Bien que les organisations connaissent depuis des semaines les vulnérabilités de ProxyLogon dans Microsoft Exchange, de nouvelles recherches de CyberNouvelles a révélé qu’il y a encore plus de 60 000 serveurs qui n’ont pas encore été corrigés.
Début mars, le géant du logiciel a détecté que plusieurs exploits zero-day étaient utilisés pour attaquer des versions sur site de serveurs exécutant son logiciel. Alors que Microsoft a attribué la campagne à un groupe d’acteurs menaçants connu sous le nom de Hafnium ayant des liens avec la Chine, ces vulnérabilités sont désormais exploitées par d’autres groupes d’acteurs menaçants.
Malgré le fait que Microsoft a publié une mise à jour de sécurité complète, un outil de réduction provisoire d’Exchange sur site en un clic et même des conseils étape par étape traitent ces attaques, CyberNouvellesL’enquête montre que des milliers de serveurs restent vulnérables.
Le média a examiné la principale vulnérabilité, suivie sous le numéro CVE-2021-26855, et a collecté des données sur le nombre de serveurs potentiellement vulnérables non corrigés pour découvrir qu’environ 62 174 serveurs n’ont pas encore été mis à jour.
Sommaire
Serveurs vulnérables
Des serveurs vulnérables trouvés par CyberNouvelles, 13 877 sont situés aux États-Unis et plus de 9 000 en Allemagne. En France, au Royaume-Uni, en Italie et en Russie, il existe respectivement 3 387, 3 128, 2 577 et 2 517 serveurs vulnérables. Il s’agit toujours d’une amélioration par rapport au nombre de systèmes vulnérables (120 000) lorsque les vulnérabilités ProxyLogon ont été découvertes pour la première fois.
Maintenant, cependant, ces serveurs vulnérables sont attaqués dans la nature par des cybercriminels qui tentent de les infecter avec le ransomware BlackKingdom. Dans un nouveau billet de blog, directeur de l’ingénierie chez Sophos, Mark Loman a fourni des informations supplémentaires sur le ransomware BlackKingdom, en disant:
«Le ransomware Black KingDom est loin d’être la charge utile la plus sophistiquée que nous ayons vue. En fait, nos premières analyses révèlent qu’il est quelque peu rudimentaire et amateur dans sa composition, mais qu’il peut encore causer beaucoup de dégâts. Cela peut être lié à un ransomware du même nom qui est apparu l’année dernière sur des machines qui, à l’époque, exécutaient une version vulnérable du logiciel de concentrateur VPN Pulse Secure. »
Si votre organisation possède un serveur Microsoft Exchange, il est fortement recommandé de suivre les conseils de Microsoft et d’installer les derniers correctifs et correctifs de bogues immédiatement, maintenant que les cybercriminels ciblent activement les serveurs vulnérables.
Via CyberNews
