Decenas de miles de servidores de correo electrónico de Microsoft Exchange en Europa, EE.UU., América Latina y Asia expuestos en la Internet pública son vulnerables a fallas de ejecución remota de código.
Los sistemas de correo ejecutan una versión de software que actualmente no tiene soporte y ya no recibe ningún tipo de actualizaciones, siendo vulnerables a múltiples problemas de seguridad, algunos con clasificación de gravedad crítica.
Los análisis de Internet de The ShadowServer Foundation muestran que actualmente hay cerca de 20.000 servidores Microsoft Exchange accesibles a través de la Internet pública que han alcanzado la etapa de fin de vida útil (EoL).
El viernes, más de la mitad de los sistemas estaban ubicados en Europa. En América del Norte, había 6.038 servidores Exchange y en Asia 2.241 instancias.
Sin embargo, es posible que las estadísticas de ShadowServer no muestren el panorama completo, ya que el investigador de seguridad de Macnica, Yutaka Sejiyama, descubrió que poco más de 30.000 servidores Microsoft Exchange alcanzaron el fin del soporte.
Según los escaneos de Sejiyama en Shodan, a finales de noviembre había 30.635 máquinas en la web pública con una versión no compatible de Microsoft Exchange:
- 275 instancias de Exchange Server 2007
- 4.062 instancias de Exchange Server 2010
- 26.298 instancias de Exchange Server 2013
Riesgo de ejecución remota de código
El investigador también comparó la tasa de actualización y observó que desde abril de este año, el número global de servidores en EoL de Exchange cayó sólo un 18% desde 43.656, una disminución que Sejiyama considera insuficiente.
«Incluso recientemente, sigo viendo noticias sobre la explotación de estas vulnerabilidades y ahora entiendo por qué. Muchos servidores todavía se encuentran en un estado vulnerable» – Yutaka Sejiyama.
La Fundación ShadowServer destaca que las máquinas Exchange obsoletas descubiertas en la web pública eran vulnerables a múltiples fallas de ejecución remota de código.
Algunas de las máquinas que ejecutan versiones anteriores del servidor de correo Exchange son vulnerables a ProxyLogon, un problema de seguridad crítico identificado como CVE-2021-26855, que puede encadenarse con un error menos grave identificado como CVE-2021-27065 para lograr la ejecución remota de código. .
Según Sejiyama, según los números de compilación obtenidos de los sistemas durante el análisis, hay cerca de 1.800 sistemas Exchange que son vulnerables a las vulnerabilidades ProxyLogon, ProxyShell o ProxyToken.
ShadowServer señala que las máquinas analizadas son vulnerables a los siguientes fallos de seguridad:
- CVE-2020-0688
- CVE-2021-26855 – ProxyLogon
- CVE-2021-27065 – part of the ProxyLogon exploit chain
- CVE-2022-41082 – part of the ProxyNotShell exploit chain
- CVE-2023-21529
- CVE-2023-36745
- CVE-2023-36439
Aunque la mayoría de las vulnerabilidades mencionadas anteriormente no tienen una puntuación de gravedad crítica, Microsoft las marcó como «importantes». Además, a excepción de la cadena ProxyLogon, que ha sido explotada en ataques, todas fueron etiquetadas como «más propensas» a ser explotadas.
Incluso si las empresas que aún ejecutan servidores Exchange obsoletos han implementado las mitigaciones disponibles, la medida no es suficiente, ya que Microsoft recomienda priorizar la instalación de actualizaciones en los servidores externos.
En el caso de las instancias que llegaron al final del soporte, la única opción que queda es actualizar a una versión que aún reciba al menos actualizaciones de seguridad.
Fuente y redacción: segu-info.com.ar
