Más de 20.000 servidores de correo electrónico de Microsoft Exchange en Europa, EE. UU. y Asia corren el riesgo de sufrir ataques cibernéticos debido a que ejecutan versiones de software no compatibles que ya no reciben actualizaciones. Estos servidores son susceptibles a numerosos problemas de seguridad, incluidos algunos con una clasificación de gravedad crítica. Los análisis de Internet de la Fundación ShadowServer han revelado estas cifras alarmantes.

En un solo día, la mayoría de estos sistemas vulnerables se encontraron en Europa, con más de 6.000 en América del Norte y más de 2.000 en Asia. Sin embargo, es posible que estas estadísticas no representen la magnitud completa del problema. Yutaka Sejiyama, investigador de seguridad de Macnica, descubrió más de 30.000 servidores Microsoft Exchange que han llegado al final del soporte y están expuestos en la web pública.

Según los análisis de Sejiyama en Shodan, a finales de noviembre, había 30.635 máquinas en la web pública ejecutando una versión no compatible de Microsoft Exchange. Su investigación también mostró que desde abril de este año, el número global de servidores Exchange al final de su vida útil solo ha disminuido un 18% desde 43.656, una tasa de reducción que Sejiyama considera insuficiente. Afirmó: “Incluso recientemente, sigo viendo noticias sobre la explotación de estas vulnerabilidades y ahora entiendo por qué. Muchos servidores todavía se encuentran en un estado vulnerable”.

La Fundación ShadowServer señaló que los servidores Exchange obsoletos que encontraron en la web pública son susceptibles a múltiples fallas de ejecución remota de código. Algunos servidores que ejecutan versiones anteriores del servidor de correo Exchange son vulnerables a ProxyLogon, un problema de seguridad crítico identificado como CVE-2021-26855. Esto se puede combinar con un error menos grave, CVE-2021-27065, para lograr la ejecución remota de código.

La investigación de Sejiyama encontró que casi 1.800 sistemas Exchange son vulnerables a las vulnerabilidades ProxyLogon, ProxyShell o ProxyToken según los números de compilación obtenidos de los sistemas durante el análisis. ShadowServer señaló que las máquinas analizadas son vulnerables a varios fallos de seguridad, que Microsoft ha marcado como “importantes”. A excepción de la cadena ProxyLogon, que ha sido explotada en ataques, todas fueron etiquetadas como “más propensas” a ser explotadas.

Es posible que las empresas que continúan ejecutando servidores Exchange obsoletos hayan implementado mitigaciones disponibles, pero esto no es suficiente. Microsoft aconseja priorizar la instalación de actualizaciones en servidores externos. Sin embargo, para los servidores que han llegado al final del soporte, la única opción que queda es actualizar a una versión que aún reciba actualizaciones de seguridad.

Info – Ciberseguridad Latam