Avrupa, ABD ve Asya’da halka açık internete açık olan on binlerce Microsoft Exchange e-posta sunucusu, uzaktan kod yürütme kusurlarına karşı savunmasızdır.
Posta sistemleri, şu anda desteklenmeyen ve artık herhangi bir güncelleme almayan, bazıları kritik önem derecesine sahip birden fazla güvenlik sorununa karşı savunmasız olan bir yazılım sürümünü çalıştırıyor.
Exchange Server 2007 hala çalışıyor
ShadowServer Foundation’ın internet taramaları, şu anda halka açık internet üzerinden erişilebilen ve kullanım ömrü (EoL) aşamasına ulaşmış 20.000’e yakın Microsoft Exchange sunucusunun bulunduğunu gösteriyor.
Cuma günü sistemlerin yarısından fazlası Avrupa’da bulunuyordu. Kuzey Amerika’da 6.038 Exchange sunucusu ve Asya’da 2.241 örnek vardı.
Ancak Macnica güvenlik araştırmacısı olarak ShadowServer’ın istatistikleri resmin tamamını göstermeyebilir. Yutaka Sejiyama 30.000’den biraz fazla Microsoft Exchange sunucusunun desteğinin sonuna ulaştığını keşfetti.
Sejiyama’nın Shodan’daki taramalarına göre, Kasım ayının sonlarında halka açık web üzerinde Microsoft Exchange’in desteklenmeyen bir sürümünün bulunduğu 30.635 makine vardı:
- 275 Exchange Server 2007 örnekleri
- 4.062 Exchange Server 2010 örnekleri
- 26.298 Exchange Server 2013 örnekleri
Uzaktan kod yürütme riski
Araştırmacı ayrıca güncelleme oranını karşılaştırdı ve bu yılın nisan ayından bu yana küresel EoL Exchange sunucu sayısının 43.656’dan sadece %18 düştüğünü gözlemledi; Sejiyama bu düşüşün yetersiz olduğunu düşünüyor.
“Son zamanlarda bile bu güvenlik açıklarının istismar edildiğine dair haberler görüyorum ve şimdi bunun nedenini anlıyorum. Birçok sunucu hâlâ savunmasız durumda” – Yutaka Sejiyama
ShadowServer Vakfı, genel ağda keşfedilen eski Exchange makinelerinin birden fazla uzaktan kod yürütme hatasına karşı savunmasız olduğunu vurguluyor.
Exchange posta sunucusunun eski sürümlerini çalıştıran makinelerden bazıları, CVE-2021-26855 olarak izlenen kritik bir güvenlik sorunu olan ProxyLogon’a karşı savunmasızdır ve uzaktan kod yürütmeyi sağlamak için CVE-2021-27065 olarak tanımlanan daha az ciddi bir hatayla zincirlenebilir. .
Sejiyama’ya göre tarama sırasında sistemlerden elde edilen yapı numaralarına göre ProxyLogon, ProxyShell veya ProxyToken güvenlik açıklarına karşı savunmasız 1.800’e yakın Exchange sistemi bulunuyor.
ShadowServer, taramalarındaki makinelerin aşağıdaki güvenlik açıklarına karşı savunmasız olduğunu belirtiyor:
Yukarıdaki güvenlik açıklarının çoğunun kritik önem puanı olmasa da Microsoft bunları “önemli” olarak işaretledi. Ayrıca saldırılarda istismar edilen ProxyLogon zinciri dışındaki tüm zincirin istismar edilme olasılığı “daha yüksek” olarak etiketlendi.
Halen eski Exchange sunucularını çalıştıran şirketler mevcut hafifletici önlemleri uygulamış olsa bile, Microsoft, güncellemelerin dışarıya bakan sunuculara yüklenmesine öncelik verilmesini önerdiğinden bu önlem yeterli değildir.
Desteğin sonuna ulaşan örneklerde geriye kalan tek seçenek, en azından güvenlik güncellemelerini almaya devam eden bir sürüme yükseltmektir.