بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز در معرض حملات بهرهبرداری از آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ هستند که بر Exchange Server تأثیر میگذارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ در مولفه (Exchange Control Panel (ECP قرار دارد. دلیل اصلی این مشکل این است که سرورهای Exchange در ایجاد کلیدهای منحصربهفرد در زمان نصب موفق عمل نمیکنند.
یک مهاجم از راه دور میتواند از آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ برای اجرای کد دلخواه با دسترسی بالای SYSTEM بر روی یک سرور استفاده کند و آن را در کنترل کامل خود قرار دهد.
کارشناسان امنیتی جزییات فنی در مورد نحوه بهرهبرداری از Microsoft Exchange CVE-۲۰۲۰-۰۶۸۸ همراه با PoC ویدئویی را منتشر کردند.
مایکروسافت به تمامی این معایب در بهروزرسانی Microsoft February Patch Tuesday اشاره کرده است، اما آسیبپذیری بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز برطرف نشده است.
تقریباً ۸۷ درصد از ۱۳۸هزار سرور Exchange ۲۰۱۶ و ۷۷ درصد از حدود ۲۵هزار سرور Exchange ۲۰۱۹ هنوز در معرض بهرهبرداری از آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ قرار دارند همچنین، حدود ۵۴هزار سرور Exchange ۲۰۱۰ در طول 6 سال بهروزرسانی نشدهاند.
پس از گزارش مایکروسافت درباره این آسیبپذیری، کارشناسان بارها متوجه بهرهبرداریهای پیاپی از این آسیبپذیری توسط عوامل APT شدند.
به گفته محققان ۶۱ درصد از سرورهایExchange متعلق به سالهای ۲۰۱۰ ، ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ هنوز در معرض آسیبپذیری هستند.
«کمتر از هشت ماه است که مایکروسافت وصلههایی را برای آدرسدهی به CVE-۲۰۲۰-۰۶۸۸ منتشر کرده است. در بررسیهایی که در ۲۱ سپتامبر امسال صورت گرفت به نظر میرسد که ۶۱ درصد از جمعیت هدف (Exchange ۲۰۱۰ ، ۲۰۱۳ ، ۲۰۱۶ و ۲۰۱۹) هنوز در معرض بهرهبرداری هستند.»
کارشناسان توصیه میکنند که از بهروزرسانی Exchange اطمینان حاصل شود و بهروزرسانی روی هر سرور Exchange Control Panel فعال شود.
«مطمئنترین روش برای اطمینان از نصب بهروزرسانی از طریق بررسی نرمافزار مدیریت وصله، ابزارهای مدیریت آسیبپذیری یا خود میزبانها هستند. توجه داشته باشید که اگر Exchange Server نسخه فعلی Exchange Cumulative Update یا Rollup را اجرا نکند، احتمالاً این ابزارها عدم بهروزرسانی را نشان نمیدهند و سرورها هنوز آسیبپذیر هستند.»
به گفته کارشناسان، مدیران میتوانند با بررسی حسابهای به خطر افتاده که در حملات علیه سرورهای Exchange مربوط به Windows Event و IIS برای بخشهایی از Payload های رمزگذاری شده ازجمله متن "Invalid viewstate" یا رشتههای __VIEWSTATE و __VIEWSTATEGENERATOR برای درخواست مسیر (/ecp (usually /ecp/default.aspx استفاده میشود، بررسی کنند.