وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

براساس گزارش سایت Shodan.io تعداد 266629 ایمیل سرورهای Exchange آسیب پذیر همچنان روی اینترنت در دسترس است !

در ایران، در لحظه نگارش این مطلب بیش از 1000 سرور Exchange آسیب پذیر در دسترس است! نگاهی اجمالی به لیست سرورهای آسیب پذیر در ایران نشان می دهد Mail Server های سازمانهایی مثل:
– یک نهاد حاکمیتی،
– چند سازمان دولتی،
– یکی از بانکها،
– یکی از پژوهشگاه های مهم کشور،
– یکی از شرکتهای فعالی در حوزه نیروگاهی
– یک شرکت نفتی،
– چندین دانشگاه،
– یک شرکت بیمه ای،
– یک شرکت داروسازی،
– چند فروشگاه اینترنتی و زنجیره ای،
– یک شرکت بزرگ حمل و نقل و ترانزیت کالا،
– چندین کارخانه تولیدی
– و حتی چندین شرکت فعال در حوزه IT و امنیت، در میان سرورهای Exchange آسیب پذیر دیده می شوند!

مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.

تمامی نسخه‌های که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.

تاکید می شود عدم نصب Patch روی سرورهای آسیب پذیر می تواند به سادگی دسترسی کامل سرور ایمیل را در اختیار فرد هکر قرار دهد.

سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است.

بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده.

همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.

این سازمانها باید خیلی خوش شانس بوده باشند اگر تا کنون مورد نفوذ قرار نگرفته باشند!