Exchange漏洞公布5分鐘就被駭客掃描

安全廠商Palo Alto發現，現在駭客攻擊更勤快、更快速，RDP漏洞占了1/3，而8成重大漏洞和雲端有關。今年三月微軟Exchange Server漏洞公布後， 5分鐘內駭客就開始掃描網路上可能的攻擊目標了。

微軟三月初公告，名為Hafnium的中國駭客組織積極活動，透過統稱為ProxyLogon的4項零時差漏洞對本地部署的Exchange Server發動攻擊。不到一周，估計光是美國就有3萬公立和民營組織遭駭。安全廠商研判有至少10組駭客企圖以木馬、勒索軟體、DDoS攻擊程式攻擊Exchange Server用戶。

Palo Alto Networks從今年一月到三月分析了網路上對全球50家企業共5000萬個IP的掃描活動，並發表《Cortex Xpanse 攻擊表面威脅報告》，顯示駭客24x7掃描網路尋找受害機器，平常情況下攻擊者每小時掃一次，反觀全球化企業可能要好幾周才會掃完公司有漏洞的機器。此外，駭客動作極快，在漏洞CVE公開後，一般零時差漏洞，平均15分鐘就開始掃描了，而對Exchange Server這麼普及的機器，微軟3月2日公布後，駭客5分鐘內就開始行動。

研究人員還發現，全球企業每12小時就發現到重大漏洞，包括RDP、Telnet、SNMP、VNC等不安全的遠端存取漏洞、資料庫伺服器及Exchange Server或F5負載平衡器上的零時差漏洞，速度之快反映今天IT及漏洞的複雜性。研究也顯示，在所有安全問題中，RDP漏洞占了1/3，而重大漏洞中，和雲端相關的占了79%，顯示雲端對現代企業基礎架構帶來的風險，特別是疫情下，企業加速將營運環境搬上雲端。

研究人員解釋，駭客活動升高是現在資訊設備及運算服務愈來愈便宜之故，駭客只要花個10美元租用雲端掃描服務，只要大致掃描網路看看有哪些未補漏洞的Exchange Server，使攻擊的門檻大為降低。現在一些免費搜尋引擎，像是Shodan和GrayHatWarfare更被駭客濫用來查詢連網潛在目標機器。

報告顯示，從大量成功的攻擊來看，駭客發動攻擊已經比企業修補漏洞還快。