Десятки тысяч почтовых серверов Microsoft Exchange содержат критические уязвимости и доступны для взлома
Управление по информационной безопасности насчитало на территории Германии не менее 17 тыс. серверов с критическими уязвимостями, которые слишком легко взломать. Патчи ставить их операторы почему-то не торопятся.
Старые и уязвимые
Федеральное управление информационной безопасности ФРГ (BSI) опубликовало отчёт, в котором указывается, что по меньшей мере 17 тыс. серверов Microsoft Exchange, физически располагающихся на территории Германии, содержат критические уязвимости, будучи доступными для входящих соединений из интернета.
Всего «открытых всем ветрам» серверов Microsoft Exchange в стране насчитывается не менее 45 тыс.: у них задействован интерфейс Outlook Web Access (OWA) и отсутствует защита файерволлом.
Около 12% из них используют давно устаревшие версии - снятые с поддержки Microsoft Exchange 2010 или 2013. Для первых никаких обновлений не выпускалось с октября 2020 г., для вторых - с апреля 2023 г.
Что касается более новых версий - 2016 или 2019, - то около 28% не обновлялись как минимум четыре месяца и содержат минимум одну критическую уязвимость, позволяющую запускать произвольный код удалённо.
«В целом как минимум 37% серверов Exchange в Германии (а во многих случаях, и сети, располагающиеся за ними) в чрезвычайной степени уязвимы. Это соответствует примерно 17 тысячам систем. В первую очередь, такие проблемы характерны для школ и колледжей, клиник, частных медицинских предприятий, служб ухода за больными и других учреждений из сферы здравоохранения; а также юридических фирм, консультантов в сфере налогообложения, местных правительств и компаний средних размеров», - говорится в публикации Управления.
Ситуация не меняется
В документе говорится, что BSI с 2021 г. несколько раз выпускало экстренные предупреждения об активной эксплуатации тех или иных критических уязвимостей в Microsoft Exchange и каждый раз присваивал ситуации с безопасностью «красный» статус.
«Тем не менее, ситуация с тех пор не улучшилась, поскольку многие операторы серверов Exchange продолжают демонстрировать беззаботность и не устанавливают необходимые обновления вовремя», - говорится в публикации.
BSI настоятельно рекомендует произвести все необходимые действия по устранению уязвимостей и обновить используемые пакеты до актуальных версий. Также рекомендовано ограничить доступ к OWA до списка доверенных IP-адресов.
«Рекомендации носят штатный характер», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, обилие уязвимых серверов свидетельствует либо о том, что рекомендации BSI не все воспринимают всерьёз, либо - что у немецких компаний далеко не всегда есть необходимые ресурсы для того, чтобы следить за безопасностью серверов Exchange, хотя это один из тех пакетов, которые требуют самого пристального внимания, с точки зрения защиты данных.
В феврале Microsoft опубликовала бюллетень, посвящённый уязвимости CVE-2024-21410, которая подвергается активной эксплуатации злоумышленниками. Для профилактики взлома рекомендовано активировать режим расширенной защиты (Extended Protection) на всех серверах Exchange. Сделать это можно с помощью специального скрипта, опубликованного Microsoft на GitHub.