Microsoft Exchange servers ที่มีช่องโหว่กว่า 20,000 รายการ กำลังถูกมุ่งเป้าโจมตี

Microsoft Exchange servers นับหมื่นแห่งในยุโรป สหรัฐอเมริกา และเอเชียที่สามารถเข้าถึงได้บนอินเทอร์เน็ต มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Exchange Server 2007 ยังคงมีการใช้งานอยู่

จากการสแกนบนอินเทอร์เน็ตของ The ShadowServer Foundation ในวันที่ 1 ธันวาคม 2023 พบว่ามีเซิร์ฟเวอร์ Microsoft Exchange เกือบ 20,000 เซิร์ฟเวอร์ที่สามารถเข้าถึงได้บนอินเทอร์เน็ต ซึ่งถึงระยะสิ้นสุดอายุการใช้งานหรือ end-of-life (EoL) แล้ว โดยพบว่า Exchange server มากกว่าครึ่งหนึ่งตั้งอยู่ในยุโรป, ในอเมริกาเหนือ 6,038 รายการ และในเอเชีย 2,241 รายการ

!image-2023-12-03-12-16-09-425.png!แต่อย่างไรก็ตาม สถิติของ ShadowServer อาจไม่เห็นภาพรวมทั้งหมด เนื่องจากนักวิจัยของ Macnica Yutaka Sejiyama ได้ค้นพบเซิร์ฟเวอร์ Microsoft Exchange มากกว่า 30,000 เซิร์ฟเวอร์ที่สิ้นสุดอายุการใช้งานหรือ end-of-life (EoL) ไปแล้ว

ซึ่งจากการสแกนด้วย Shodan ของ Sejiyama ในช่วงปลายเดือนพฤศจิกายน 2023 พบว่ามี Microsoft Exchange 30,635 รายการที่สิ้นสุดอายุการใช้งาน (EoL) ไปแล้ว

  • Exchange Server 2007 จำนวน 275 รายการ
  • Exchange Server 2010 จำนวน 4,062 รายการ
  • Exchange Server 2013 จำนวน 26,298 รายการ

ความเสี่ยงในการถูกโจมตีด้วยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

ผู้วิจัยยังได้เปรียบเทียบอัตราการอัปเดต และตั้งข้อสังเกตว่าตั้งแต่เดือนเมษายน 2023 เป็นต้นมา จำนวน Exchange server ที่ EoL ทั่วโลกลดลงเพียง 18% จาก 43,656 ซึ่งเป็นการลดลงที่น้อยมาก

โดย Exchange server ที่ EoL มีความเสี่ยงในการถูกโจมตีจากช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) หลายรายการ รวมถึงช่องโหว่ ProxyLogon (CVE-2021-26855) ที่เชื่อมโยงกับช่องโหว่ CVE-2021-27065 ที่สามารถใช้ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้
**

ช่องโหว่ที่มีผลกระทบต่อ Exchange server ที่ EoL :

  • CVE-2020-0688 (คะแนน CVSS 8/10 ความรุนแรงระดับ High)
  • CVE-2021-26855 (คะแนน CVSS 8/10 ความรุนแรงระดับ Critical) ProxyLogon
  • CVE-2021-27065 (คะแนน CVSS 8/10 ความรุนแรงระดับ High) ส่วนหนึ่งของช่องโหว่ ProxyLogon
  • CVE-2022-41082 (คะแนน CVSS 8/10 ความรุนแรงระดับ High) ส่วนหนึ่งของช่องโหว่ ProxyNotShell
  • CVE-2023-21529 (คะแนน CVSS 8/10 ความรุนแรงระดับ High)
  • CVE-2023-36745 (คะแนน CVSS 0/10 ความรุนแรงระดับ High)
  • CVE-2023-36439 (คะแนน CVSS 0/10 ความรุนแรงระดับ High)

ทั้งนี้นักวิจัยพบว่ามี Exchange server ที่ EoL มีความเสี่ยงในการถูกโจมตีจากช่องโหว่ ProxyLogon, ProxyShell หรือ ProxyToken ถึง 1,800 รายการ

แม้ว่าช่องโหว่เหล่านี้จะมีความรุนแรงระดับ Critical ไม่กี่รายการ แต่ทาง Microsoft ระบุว่า ช่องโหว่เหล่านี้เป็นช่องโหว่ที่มีความสำคัญทั้งสิ้น รวมถึงยังได้ถูกนำไปใช้ในการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง ยกเว้นช่องโหว่ ProxyLogon

Microsoft จึงได้แจ้งเตือนไปยังผู้ดูแลระบบให้ทำการอัปเกรด Exchange server เป็นเวอร์ชันที่ยังคงได้รับการอัปเดตด้านความปลอดภัยอยู่ เพื่อป้องกันการโจมตีจากช่องโหว่ต่าง ๆ

ที่มา : bleepingcomputer