La autoridad nacional alemana de ciberseguridad advirtió el martes de que había encontrado al menos 17.000 servidores Microsoft Exchange en Alemania expuestos en línea y vulnerables a una o más vulnerabilidades críticas de seguridad.
Según la Oficina Federal Alemana de Seguridad de la Información (BSI), alrededor de 45.000 servidores Microsoft Exchange en Alemania tienen habilitado Outlook Web Access (OWA) y son accesibles desde Internet.
Aproximadamente el 12 % de estos servidores siguen utilizando versiones obsoletas de Exchange (2010 o 2013), que no han recibido actualizaciones de seguridad desde octubre de 2020 y abril de 2023, respectivamente.
En el caso de los servidores Exchange 2016 o 2019 expuestos en línea, aproximadamente el 28% no han sido parcheados durante al menos cuatro meses y son vulnerables a al menos un fallo de seguridad crítico explotable en ataques de ejecución remota de código.
"En conjunto, al menos el 37% de los servidores Exchange de Alemania (y en muchos casos también las redes que los respaldan) son gravemente vulnerables. Esto corresponde a unos 17.000 sistemas. En particular, están afectados muchos colegios e institutos, clínicas, consultorios médicos, servicios de enfermería y otras instituciones médicas, abogados y asesores fiscales, administraciones locales y medianas empresas", advirtió la BSI [PDF].
"Ya en 2021, la BSI advirtió en varias ocasiones de la explotación activa de vulnerabilidades críticas en Microsoft Exchange y calificó temporalmente la situación de las amenazas informáticas de "roja". Sin embargo, la situación no ha mejorado desde entonces, ya que muchos operadores de servidores Exchange siguen actuando de forma muy descuidada y no publican a tiempo las actualizaciones de seguridad disponibles."
El BSI instó a los administradores de estos servidores sin parches a utilizar siempre las versiones actuales de Exchange, instalar todas las actualizaciones de seguridad disponibles y configurar de forma segura las instancias expuestas en línea.
Para ello, deben comprobar periódicamente si sus sistemas se encuentran en el nivel actual de parches de Microsoft Exchange y asegurarse de que las actualizaciones de seguridad mensuales de marzo de 2024 se instalan lo antes posible:
- Exchange Server 2019 CU14 Mar24SU (número de compilación 15.2.1544.9)
- Exchange Server 2019 CU13 Mar24SU (número de compilación 15.2.1258.32)
- Exchange Server 2016 CU23 Mar24SU (número de compilación 15.1.2507.37)
El BSI también recomienda restringir el acceso a los servicios del servidor Exchange basados en web, como Outlook Web Access, a direcciones IP de origen de confianza o protegerlos a través de una VPN en lugar de hacerlos accesibles desde Internet.
Además, para protegerse contra la explotación activa de la vulnerabilidad crítica de escalada de privilegios CVE-2024-21410 revelada por Microsoft el mes pasado, deben activar Extended Protection en todos los servidores Exchange mediante este script PowerShell específico.
En febrero, el servicio de vigilancia de amenazas Shadowserver advirtió de que 28.500 servidores Microsoft Exchange eran vulnerables a los ataques CVE-2024-21410 en curso. Shadowserver también confirmó los hallazgos de BSI, afirmando que hasta 97.000 servidores, incluidos más de 22.000 de Alemania, podrían ser potencialmente vulnerables si no se activaba Extended Protection.
Microsoft activa ahora automáticamente Extended Protection en los servidores Exchange tras instalar la actualización acumulativa H1 de febrero de 2024 (CU14).
Hace un año, la empresa también instó a los administradores de Exchange a que mantuvieran actualizados sus servidores locales para que estuvieran siempre preparados para implantar parches de seguridad de emergencia.
Fuente: somoslibres
