Microsoft Exchange サーバ 1万7000台が脆弱:不適切なインターネット公開をドイツ当局が指摘

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online

2024/03/26 BleepingComputer — 3月12日にドイツの国家サイバー・セキュリティ当局が警告したのは、同国内に存在する少なくとも 1万7000台の Microsoft Exchange サーバがオンライン上に露出し、重大なセキュリティ脆弱性を抱えていることだ。Federal Office for Information Security (BSI) によると、ドイツでは約4万5000台の Microsoft Exchange サーバ Outlook Web Access (OWA) を有効化しており、インターネットからアクセスできるという。これらのサーバーの約 12%は、古いバージョンの Exchange (2010/2013) を使用しており、それぞれに対するセキュリティ・アップデートは、2020年10月と2023年4月に終了している。


オンラインで公開されている Exchange 2016/2019 サーバについては、約28%が少なくとも4カ月間にわたりパッチが適用されておらず、リモートコード実行攻撃のために悪用が可能な、深刻なセキュリティ上の欠陥が少なくとも1つは存在する。

BSI は、「全体として、ドイツ国内の Exchange サーバの少なくとも 37% (多くのケースにおいて背後のネットワークも含まれる) が深刻な脆弱性を抱えている。その規模は、約17,000 システムに相当する。特に、多くの学校/大学/介護サービス/診療所/医療機関/弁護士/税理士/中堅企業/地方自治体などが影響を受けている」と警告している。

同組織は、「2021年の時点において BSI は、Microsoft Exchange の深刻な脆弱性が積極的に悪用されていることを数回にわたり警告を発しており、IT 脅威の状況を一時的に “Red” と表現していた。それにもかかわらず、多くの Exchange サーバ運営者たちは、きわめて不適切な行動を取り続け、利用可能なセキュリティ更新プログラムをタイムリーに適用していないため、その後も状況は改善されていない」と説明している。

Critical flaws impacting German Exchange 2016/2019 servers exposed online
Critical flaws impacting Exchange 2016/2019 servers exposed online in Germany (BSI)

BSI は、パッチが適用されていない一連のサーバの管理者に対して、常に最新の Exchange バージョンを使用し、利用可能なセキュリティ更新プログラムをインストールし、オンラインに公開されているインスタンスを安全に構成するよう促している。

そのためには、対象となるシステムが、最新の Microsoft Exchange パッチレベルにあるかどうかを定期的に確認し、2024年3月の月例セキュリティ更新プログラムを、可能な限り早急にインストールする必要がある:

  • Exchange Server 2019 CU14 Mar24SU (ビルド番号 15.2.1544.9)
  • Exchange Server 2019 CU13 Mar24SU(ビルド番号 15.2.1258.32)
  • Exchange Server 2016 CU23 Mar24SU(ビルド番号 15.1.2507.37)

さらに BSI が推奨するのは、Outlook Web Access のような Web ベースの Exchangeサーバ・サービスへのアクセスを、インターネット上でオープンにするのではなく、信頼できるソース IP アドレスへの制限や、VPN を介した保護を徹底することだ。

さらに、2024年2月に Microsoft が公表した、深刻な特権昇格の脆弱性 CVE-2024-21410 の能動的な悪用から保護するには、専用の PowerShell スクリプトを使用して、すべての Exchange サーバで拡張保護を有効にする必要がある。

2024年2月に、脅威監視サービス Shadowserver は、28,500台の Microsoft Exchange サーバが、現在進行中の CVE-2024-21410 攻撃に対して脆弱であると警告した。さらに Shadowserver は、BSIの調査結果を確認し、拡張保護が有効になっていない場合には、ドイツ国内の 22,000台以上を含む、最大で 97,000台のサーバが、潜在的な脆弱性を持つ可能性があると述べている。

現時点において Microsoft は、2024年2月 H1 累積アップデート (CU14) をインストールすると、Exchange サーバの拡張保護が自動的に有効化されるようにしている。

さらに Microsoft は、2023年にも Exchange 管理者たちに対して、オンプレミスのサーバを最新の状態に保ち、常に緊急セキュリティ・パッチを導入できるようにすべきだと呼びかけている。

何度も何度も指摘されている、インターネットに公開されている Exchange サーバですが、ドイツ当局が調べてみたら、 1万7000台もの危険なサーバが存在するとのことです。また、別の調査では、28,500台の Microsoft Exchange サーバが、CVE-2024-21410 攻撃に対して脆弱とのことです。ご利用のチームは、ご注意ください。よろしければ、Exchange で検索も、ご利用ください。