Des dizaines de milliers de serveurs de messagerie Microsoft Exchange en Europe, aux États-Unis et en Asie, exposés sur l'Internet public, sont vulnérables aux failles d'exécution de code à distance.
Les systèmes de messagerie exécutent une version logicielle qui n'est actuellement pas prise en charge et ne reçoivent plus aucun type de mises à jour, étant vulnérables à de multiples problèmes de sécurité, certains avec un indice de gravité critique.
Exchange Server 2007 toujours en cours d'exécution
Analyses Internet de The ShadowServer Foundation montrer qu'il existe près de 20 000 serveurs Microsoft Exchange actuellement accessibles sur l'Internet public qui ont atteint le stade de fin de vie (EoL).
Vendredi, plus de la moitié des systèmes étaient situés en Europe. En Amérique du Nord, il y avait 6 038 serveurs Exchange et en Asie, 2 241 instances.
Cependant, les statistiques de ShadowServer peuvent ne pas montrer une image complète en tant que chercheur en sécurité de Macnica Yutaka Sejiyama découvert un peu plus de 30 000 serveurs Microsoft Exchange qui ont atteint fin du support.
Selon les analyses de Sejiyama sur Shodan, fin novembre, il y avait 30 635 machines sur le Web public avec une version non prise en charge de Microsoft Exchange :
- 275 instances d'Exchange Server 2007
- 4 062 instances d'Exchange Server 2010
- 26 298 instances d'Exchange Server 2013
Risque d'exécution de code à distance
Le chercheur a également comparé le taux de mise à jour et a observé que depuis avril de cette année, le nombre mondial de serveurs EoL Exchange n'a diminué que de 18 %, passant de 43 656, une diminution que Sejiyama juge insuffisante.
« Même récemment, je vois encore des nouvelles faisant état d'exploitation de ces vulnérabilités, et je comprends maintenant pourquoi. De nombreux serveurs sont encore dans un état vulnérable » – Yutaka Sejiyama
La Fondation ShadowServer souligne que les machines Exchange obsolètes découvertes sur le Web public étaient vulnérables à de multiples failles d'exécution de code à distance.
Certaines machines exécutant d'anciennes versions du serveur de messagerie Exchange sont vulnérables à Connexion proxyun problème de sécurité critique identifié comme CVE-2021-26855, qui peut être enchaîné avec un bug moins grave identifié comme CVE-2021-27065 pour permettre l'exécution de code à distance.
Selon Sejiyama, sur la base des numéros de build obtenus à partir des systèmes lors de l'analyse, près de 1 800 systèmes Exchange sont vulnérables aux vulnérabilités ProxyLogon, ProxyShell ou ProxyToken.
Serveur Shadow Remarques que les machines analysées sont vulnérables aux failles de sécurité suivantes :
Bien que la plupart des vulnérabilités ci-dessus n’aient pas de score de gravité critique, Microsoft les a marquées comme « importantes ». De plus, à l’exception de la chaîne ProxyLogon – qui a été exploitée lors d’attaques, toutes ont été étiquetées comme « plus susceptibles » d’être exploitées.
Même si les entreprises qui utilisent encore des serveurs Exchange obsolètes ont mis en œuvre les mesures d'atténuation disponibles, cette mesure n'est pas suffisante puisque Microsoft recommande de prioriser l'installation des mises à jour sur les serveurs orientés vers l'extérieur.
Dans le cas des instances ayant atteint la fin du support, la seule option restante est de passer à une version qui reçoit encore au moins les mises à jour de sécurité.
