吳明宜安全研究人員發現在歐、美與亞洲超過 2 萬台 Exchange Server 有遠端程式碼執行 (remote code execution, RCE) 漏洞。
The ShadowsServer 基金會研究人員近日執行掃瞄網路,想了解在可由網際網路存取的 Exchange Server 伺服器之中,是否有版本太舊,已經不再獲得微軟支援的版本。結果發現,這類已經 EoL 的 Exchange Server 伺服器有將近 2 萬台。其中超過 1 萬台位在歐洲,北美為 6000 台,亞洲則有 2200 多台。另一家安全廠商 Macnica 安全研究人員 Yutaka Sejiyama 11 月的掃瞄則發現這個數字則是 30,635 台。
以版本來看,根據 Sejiyama 的統計,Exchange Server 2007 為 275 台,Server 2010 為 4062 台,而 Server 2013 高達 26,298 台。雖然比 4 月份減少了 18%,但研究人員認為還是太高,因為這些舊版 Exchange Server 可能遭到鎖定多個漏洞的攻擊,包括一些重大風險漏洞。
ShadowServer 基金會指出,這些 Exchange Server 可能曝險的漏洞包括 CVE-2020-0688 、 CVE-2021-26855(ProxyLogon) 、 CVE-2021-27065(ProxyLogon 攻擊鏈的一部份)、 CVE-2022-41082(ProxyNotShell 攻擊鏈的一部份)、 CVE-2023-21529 、 CVE-2023-36745 、 CVE-2023-36439 。其中 ProxyLogon( CVE-2021-26855) 可串聯 CVE-2021-27065 執行遠距程式碼執行攻擊。 Sejima 根據掃瞄結果判斷,至少 1800 台 Exchange Server 可能曝露於 ProxyLogon 、 ProxyShell 或 ProxyToken 漏洞攻擊的風險。
對跑舊 Exchange Server 的企業來說,讓這些脆弱的系統掛在公開網際網路上無異對攻擊者敞開大門,因此最好的辦法仍然還是升級到收到安全更新的版本。