Más de 60.000 servidores Microsoft Exchange expuestos en línea aún no han sido parcheados contra la vulnerabilidad de ejecución remota de código (RCE) CVE-2022-41082, uno de los dos fallos de seguridad objetivo de los exploits ProxyNotShell.
Según un tuit reciente de investigadores de seguridad de la Shadowserver Foundation, una organización sin ánimo de lucro dedicada a mejorar la seguridad en Internet, se descubrió que casi 70.000 servidores Microsoft Exchange eran vulnerables a ataques ProxyNotShell según la información de la versión (el encabezado x_owa_version de los servidores).
Sin embargo, los nuevos datos publicados el lunes muestran que el número de servidores Exchange vulnerables ha disminuido de 83.946 instancias a mediados de diciembre a 60.865 detectadas el 2 de enero.
Estos dos fallos de seguridad, rastreados como CVE-2022-41082 y CVE-2022-41040 y conocidos colectivamente como ProxyNotShell, afectan a Exchange Server 2013, 2016 y 2019.
Si se explota con éxito, los atacantes pueden escalar privilegios y obtener la ejecución de código arbitrario o remoto en servidores comprometidos.
Microsoft lanzó actualizaciones de seguridad para abordar las fallas durante el martes de parches de noviembre de 2022, a pesar de que los ataques ProxyNotShell se han detectado en la naturaleza desde al menos septiembre de 2022.
La empresa de inteligencia de amenazas GreyNoise ha estado rastreando la explotación de ProxyNotShell desde el 30 de septiembre y proporciona información sobre la actividad de exploración de ProxyNotShell y una lista de direcciones IP vinculadas a los ataques.
Para proteger sus servidores Exchange de los ataques entrantes, tiene que aplicar los parches ProxyNotShell publicados por Microsoft en noviembre.
Aunque la empresa también proporcionó medidas de mitigación, éstas pueden ser eludidas por los atacantes, lo que significa que sólo los servidores totalmente parcheados están a salvo de ser comprometidos.
