Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

Вести с фронта: число уязвимых Microsoft Exchange сократилось до 80 000

За последние две недели Microsoft выпустила патчи для устаревших, неподдерживаемых версий Exchange Server, чтобы защитить как можно больше пользователей от текущих атак с использованием новейших брешей (ProxyLogon). В итоге разработчику, по его оценкам, удалось прикрыть от эксплойта 95% версий Exchange-серверов, доступных из интернета.

По данным телеметрии RiskIQ, в начале текущего месяца Microsoft Exchange насчитывал около 400 тыс. активных установок. После выпуска патчей для поддерживаемых версий продукта число уязвимых серверов за неделю сократилось почти до 100 тысяч (125 тыс., по оценке Palo Alto Networks). К 11 марта этот показатель, согласно статистике RiskIQ, снизился до 82,7 тыс., так как Microsoft начала латать также версии Exchange Server, снятые с поддержки.

На тот момент наибольшее количество уязвимых установок (из-за отсутствия заплат или по нерадивости пользователей) приходилось (данные исследования RiskIQ привела компания Тайгер Оптикс) на долю Exchange 2013 и 2016. Список стран, в которых расположены непропатченные серверы, возглавляли США (23,8%) и Германия (13,7%). Россия в этом антирейтинге занимала шестое место с долей около 3,9%.

 

Среди открытых для эксплойта организаций эксперты обнаружили 312 банков, 335 медучреждений, 105 фармацевтических предприятий и 153 сервера госструктур (в доменах TLD-зоны .gov).

Наблюдатели из Check Point тоже обновили свою статистику, отметив, что в период с 11 по 15 марта число ежедневных попыток эксплуатации уязвимостей в Microsoft Exchange Server возросло на порядок и теперь измеряется тысячами. Наибольшее количество атак (17%) замечено в США, на Россию пришлось 4% таких попыток взлома. В разделении по вертикалям основные мишени злоумышленников остались прежними — правительственные и военные организации (доля возросла до 23% атак), промышленность и финансы (в обоих случаях показатели несколько снизились).

Хотя число уязвимых экземпляров Microsoft Exchange неуклонно снижается, это происходит медленнее, чем хотелось бы. В RiskIQ полагают, что некоторые организации просто не осознают, что их серверы открыты из интернета, — обычно этим отличаются новоявленные пользователи. Кроме того, многие Exchange Server уже нельзя пропатчить — только через апгрейд. Представляя хронологию выпуска заплат, Microsoft не зря отметила, что хотфиксы для устаревших сборок — лишь временная мера, пользователям все равно придется в итоге произвести обновление до актуальной версии и вновь применить патч.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в OpenSSH: имена пользователей позволяют выполнить код

Исследователь безопасности Дэвид Лидбитер обнаружил уязвимость в OpenSSH — CVE-2025-61984 — которая демонстрирует: даже мелкие особенности парсинга команд и поведения shell могут привести к удалённому выполнению кода.

Суть проблемы проста и неприятна: в OpenSSH (до версии 10.1) контрол-символы в именах пользователей, полученных из ненадёжных источников, могли не отфильтровываться.

Когда такое «имя» подставлялось в ProxyCommand (через переменную %r), OpenSSH формировал строку для exec, которую запускал через shell. Если в этой строке оказывались символы вроде $[ и символы новой строки, некоторые оболочки (например, bash) могли интерпретировать это так, что первая команда аварийно завершается, а затем выполняется то, что идёт после — то есть возможна инъекция команды.

Эксплуатация требует специфической связки: конфигурация, использующая ProxyCommand с %r, уязвимая оболочка и «входной» источник имени пользователя, который злоумышленник контролирует. Практический пример — злоумышленный .gitmodules, где в URL подставляют строку вроде:

[submodule "foo"]
  path = foo
  url = "$[+]\nsource poc.sh\n@foo.example.com:foo"

Если SSH-конфиг содержит строку вроде

ProxyCommand some-command %r@%h:%p

и вы запускаете git clone --recursive, то в подходящих условиях может выполниться source poc.sh — до установления самого соединения.

Важно понимать: условия для успешной атаки нишевые, но реальны — инструментальная цепочка Git → SSH → shell и автоматизация (CI/CD) дают атакующему много точек входа. Проблема усугубляется тем, что OpenSSH фильтровал многие метасимволы, но пропустил $ и [ — и это создало неожиданный вектор.

Исправление уже включено в OpenSSH 10.1: разработчики начали проверять и запрещать управляющие символы в именах пользователей через iscntrl() в ssh.c. То есть долгосрочное решение — обновиться до 10.1 или новее.

Если обновиться сразу нельзя, Лидбитер предлагает два практических временных шага. Во-первых, брать имя пользователя в одинарные кавычки в ProxyCommand, чтобы предотвратить подстановку:

ProxyCommand some-command '%r@%h:%p'

(Обратите внимание: одинарные кавычки нужны именно потому, что двойные не защитят от $[ — оболочка всё ещё будет их обрабатывать.) Во-вторых, по умолчанию отключить SSH-подмодули в Git и не позволять автоматические URL-хендлеры, которые могут передавать непроверенные SSH-команды:

git config --global protocol.ssh.allow user

Главный вывод — не полагаться на то, что «маленький» символ или строка не принесут беды: при передаче входа от ненадёжных источников через несколько инструментов даже неочевидная каверза в парсинге может стать критической. Рекомендуется как можно скорее обновить OpenSSH или применить временные защитные меры в конфигурациях ProxyCommand и политиках Git.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru