コンテンツへスキップ
ホーム » MS Exchangeサーバーのゼロデイ、16万台以上が攻撃脅威にさらされている( CVE-2024-21410)

MS Exchangeサーバーのゼロデイ、16万台以上が攻撃脅威にさらされている( CVE-2024-21410)

2024年2月14日、新しいMS Exchangeサーバーの権限昇格ゼロデイ脆弱性「 CVE-2024-21410 」が公開された以来、その脆弱性は活発に悪用されています。あらゆるセキュリティ企業および研究員の調査によると、未だに約10万台のMS Exchangeサーバーにセキュリティパッチが適用されないまま脆弱性の影響を受けられる状態だそうです。CVE-2024-21410の脆弱性は、認証されない攻撃者がリモートでExchangeサーバーにアクセスし、NTLMのリレー攻撃を通じて権限を昇格させられるCVSS 9.8の深刻な脆弱性です。 

Microsoftは、2022年8月、当欠陥に対して悪用を防げるExchange Server EP支援を導入しました。1年後に配布されたCU14の累積アップデートをインストールした場合は、脆弱性に影響されません。しかし、ゼロデイが発表され、最新のアップデートが勧告されましたが、依然として多数のMS Exchangeサーバーが脆弱性を持っているまま公開されています。 

CVE-2024-21410 に脆弱なMS Exchangeサーバー

Criminal IPのIT資産検索で「product」フィルターと「product_version」フィルターを利用してCVE-2024-21410の影響を受けるMS Exchangeサーバーを調べました。

脆弱性に影響されかねないExchangeのバージョンは、Microsoftが勧告したCU14の累積アップデートのバージョン(15.2.1544.04)以外の全てのバージョンです。無論、前のバージョンの機器が全て脆弱なわけではなく、拡張保護を使用できるスクリプトをインストールした場合は、影響されない可能性もあります。

Criminal IPのIT資産検索に次のようなクエリでゼロデイ脆弱性に影響される、公開されたMS Exchangeサーバーを見つけられます。

Criminal IP Query: product: microsoft exchange NOT product_version: 15.2.1544 service: http OR service: https

Criminal IPで検知したCVE-2024-21410 MS Exchangeサーバー のゼロデイ脆弱性に影響される機器
Criminal IPで検知したCVE-2024-21410 MS Exchangeサーバーのゼロデイ脆弱性に影響される機器

検索結果、インターネットに公開されたMS Exchangeサーバーが総計163,244件検知されました。16万台以上の機器が活発に悪用されている脆弱性に影響されるまま公開されていることを示します。 

Criminal IPで検索された MS Exchangeサーバー のゼロデイ脆弱性を保有するIPアドレスのポート情報
Criminal IPで検索されたMS Exchangeサーバーのゼロデイ脆弱性を保有するIPアドレスのポート情報

検索されたIPアドレスの中で、1つのIPレポートを確認してみると、オープンポートの情報に15.2.1258バージョンのMicrosoft Exchangeサーバーが443番ポートで運営されていることが分かります。

このようなサーバーは、拡張保護のスクリプトが適用されなかったら、攻撃者によって権限昇格の攻撃を受けられる弱い状態です。

MS Exchangeサーバーのゼロデイ脆弱性に影響される国の統計

MS Exchangeサーバーのゼロデイ脆弱性(CVE-2024-21410)に影響される機器の国を確認してみた結果、ドイツが42,617個で最も多く保有し、アメリカが30,167、フランスが7,654でその後を継ぎました。

CVE-2024-21410 : MS Exchangeサーバーのゼロデイ脆弱性に影響される国の統計
Exchangeサーバーのゼロデイ脆弱性に影響される国の統計

ゼロデイ脆弱性に影響されるサーバーの地理的位置を可視化するためには、Criminal IPのマップにIT資産検索のクエリを入力します。

CVE-2024-21410 : MS Exchangeサーバーのゼロデイ脆弱性に影響される国が表示されたCriminal IPのマップ
Exchangeサーバーのゼロデイ脆弱性に影響される国が表示されたCriminal IPのマップ

公開された16万台以上のExchangeサーバーに対するセキュリティパッチの勧告

CVE-2024-21410の脆弱性の悪用は最近本格され、エクスプロイトに対するPoC(概念実証)が公開されると、より多くの被害が予想されます。MS Exchangeサーバーを使用する企業および機関が攻撃を予防するためには、システム管理者は2024年2月にリリースされた2019 ExchangeサーバーのCU14アップデートを適用し、NTLMのクレデンシャルリレー保護を有効化する必要があります。

当脆弱性に対して、アメリカのCISAは、「緊急パッチが必要な脆弱性」リストにCVE-2024-21410を追加し、2024年3月7日まで連邦機関に最新パッチを適用するか、製品の使用を中断して攻撃を緩和させるように勧告しました。

関連してMS Exchangeゼロデイ脆弱性のCVE-2022-41082、CVE-2022-41040に対してSecurity OSINTツールを利用して検知したケースをご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja)

ご参照:

https://criminalipdotcodotjp.wpcomstaging.com/2022/10/14/ms-exchange%e3%82%bc%e3%83%ad%e3%83%87%e3%82%a4%e8%84%86%e5%bc%b1%e6%80%a7

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む