Over 20,000 vulnerable Microsoft Exchange servers exposed to attacks
2023/12/02 BleepingComputer — 欧州/米国/アジアにおいて、パブリックなインターネット上に公開されている、数万台の Microsoft Exchange 電子メール・サーバーには、複数のリモート・コード実行の脆弱性が存在する。これらのメール・システムには、現在でサポートが切れているバージョンも含まれており、いかなる種類のアップデートも、受けることが不可能なものもある。
Exchange Server 2007 はまだ稼動中
The ShadowServer Foundation のインターネット・スキャンによると、パブリック・インターネット上で、現時点でアクセス可能な Microsoft Exchange サーバのうち、約 20,000 台近くが EoL (end-of-life) の段階に達しているという。
2023/12/1 の時点では、10,000台以上の Exchange サーバがヨーロッパに存在し、北米には 6,038 台、アジアには 2,241 台となっている。
ソース ShadowServer Foundation
しかし、Macnica のセキュリティ研究者である Yutaka Sejiyama は、サポートが終了した Microsoft Exchange サーバーが 30,000 台強あることを発見している。したがって、ShadowServer の統計が、全体像を示していない可能性もある。
11月下旬の時点で、Sejiyama が Shodan 上で行ったスキャンによると、サポートが終了したバージョンの Microsoft Exchange を搭載する 30,635 台のマシンが、パブリックな Web 上に存在していた:
- Exchange Server 2007 が 275 インスタンス
- Exchange Server 2010 が 4,062 インスタンス
- Exchange Server 2013 が 26,298 インスタンス
リモートコード実行のリスク
また、この研究者が更新率を比較したところ、2023年4月以降において、全世界の EoL Exchange サーバの数が、43,656 台から 18% だけしか減少していないことが判明した。彼は、「最近でも、これらの脆弱性が悪用されているというニュースを目にしている。多くのサーバが、依然として脆弱な状態にある」と述べている。
ShadowServer Foundation が強調するのは、パブリックな Web 上で発見された古い Exchange マシンには、複数のリモートコード実行の脆弱性が存在していることである。
古いバージョンの Exchange メールサーバを実行しているマシンの一部には、ProxyLogon と呼ばれる脆弱性 CVE-2021-26855 が存在し、別の脆弱性 CVE-2021-27065 との連鎖により、リモート・コード実行にいたる可能性があるという。
Sejiyama によると、スキャン中にシステムから得られたビルド番号をベースにすると、ProxyLogon/ProxyShell/ProxyToken などの脆弱性が存在する Exchange システムは、1,800 台近くに上るという。
ShadowServer によると、スキャン対象のマシンには、以下の脆弱性が存在する可能性があるという:
- CVE-2020-0688
- CVE-2021-26855 – ProxyLogon
- CVE-2021-27065 – part of the ProxyLogon exploit chain
- CVE-2022-41082 – part of the ProxyNotShell exploit chain
- CVE-2023-21529
- CVE-2023-36745
- CVE-2023-36439
上記の脆弱性の深刻度について Microsoft は、 “critical” ではなく “important” と評価している。さらに、すでに攻撃で悪用されている ProxyLogon チェーンを除き、その他の脆弱性については、悪用の可能性が高いと述べるに留めている。
ただし、古い Exchange サーバを運用している企業が、利用可能な緩和策を実施することも可能だ、しかし Microsoft は、外部に面しているサーバに対しては、新たなバージョンへのアップデートを推奨している。つまり、それらの緩和策は、十分とは言えないのだろう。
また、サポートが終了したインスタンスの場合には、セキュリティ・アップデートが提供されているバージョンへのアップグレードが、残された唯一の選択肢となる。
古い Exchange サーバと、古い脆弱性が、インターネットに露出し続けているという、これまでに何度も指摘されている問題です。この問題を認識していて放置しているケースと、認識していないケースがあると思いますが、後者のほうが多いのでしょうかね? 今後も、警告と侵害が繰り返され、少しずつ減少していくのだろうと推測されます。
IoT OT Security News 
You must be logged in to post a comment.