جمعه ۲ آذر ۱۴۰۳ , 22 Nov 2024
جالب است ۰
بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز در معرض حملات بهره‌برداری از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ هستند که بر Exchange Server تأثیر می‌گذارد.
منبع : مرکز مدیریت راهبردی افتا
بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز در معرض حملات بهره‌برداری از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ هستند که بر Exchange Server تأثیر می‌گذارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ در مولفه (Exchange Control Panel (ECP قرار دارد. دلیل اصلی این مشکل این است که سرورهای Exchange در ایجاد کلیدهای منحصربه‌فرد در زمان نصب موفق عمل نمی‌کنند.

یک مهاجم از راه دور می‌تواند از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ برای اجرای کد دلخواه با دسترسی بالای SYSTEM بر روی یک سرور استفاده کند و آن را در کنترل کامل خود قرار دهد.

کارشناسان امنیتی جزییات فنی در مورد نحوه بهره‌برداری از Microsoft Exchange CVE-۲۰۲۰-۰۶۸۸ همراه با PoC ویدئویی را منتشر کردند.

مایکروسافت به تمامی این معایب در به‌روزرسانی Microsoft February Patch Tuesday اشاره کرده است، اما آسیب‌پذیری بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز برطرف نشده است.

تقریباً ۸۷ درصد از ۱۳۸هزار سرور Exchange ۲۰۱۶ و ۷۷ درصد از حدود ۲۵هزار سرور Exchange ۲۰۱۹ هنوز در معرض بهره‌برداری از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ قرار دارند همچنین، حدود ۵۴هزار سرور Exchange ۲۰۱۰ در طول 6 سال به‌روزرسانی نشده‌اند.

پس از گزارش مایکروسافت درباره این آسیب‌پذیری، کارشناسان بارها متوجه بهره‌برداری‌های پیاپی از این آسیب‌پذیری توسط عوامل APT شدند.

به گفته محققان ۶۱ درصد از سرورهایExchange متعلق به سال‌های ۲۰۱۰ ، ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ هنوز در معرض آسیب‌پذیری هستند.

«کمتر از هشت ماه است که مایکروسافت وصله‌هایی را برای آدرس‌دهی به CVE-۲۰۲۰-۰۶۸۸ منتشر کرده است. در بررسی‌هایی که در ۲۱ سپتامبر امسال صورت گرفت به نظر می‌رسد که ۶۱ درصد از جمعیت هدف (Exchange ۲۰۱۰ ، ۲۰۱۳ ، ۲۰۱۶ و ۲۰۱۹) هنوز در معرض بهره‌برداری هستند.»

کارشناسان توصیه می‌کنند که از به‌روزرسانی Exchange اطمینان حاصل شود و به‌روزرسانی روی هر سرور Exchange Control Panel فعال شود.

«مطمئن‌ترین روش برای اطمینان از نصب به‌روزرسانی از طریق بررسی نرم‌افزار مدیریت وصله، ابزارهای مدیریت آسیب‌پذیری یا خود میزبان‌ها هستند. توجه داشته باشید که اگر Exchange Server نسخه فعلی Exchange Cumulative Update یا Rollup را اجرا نکند، احتمالاً این ابزارها عدم به‌روزرسانی را نشان نمی‌دهند و سرورها هنوز آسیب‌پذیر هستند.»

به گفته کارشناسان، مدیران می‌توانند با بررسی حساب‌های به خطر افتاده که در حملات علیه سرورهای Exchange مربوط به Windows Event و IIS برای بخش‌هایی از Payload های رمزگذاری شده ازجمله متن "Invalid viewstate" یا رشته‌های __VIEWSTATE و __VIEWSTATEGENERATOR برای درخواست مسیر (/ecp (usually /ecp/default.aspx استفاده می‌شود، بررسی کنند.
کد مطلب : 17096
https://aftana.ir/vdccexqs.2bqmo8laa2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی