Exchange漏洞公布5分钟就被骇客扫描

安全厂商Palo Alto发现，现在骇客攻击更勤快、更快速，RDP漏洞占了1/3，而8成重大漏洞和云端有关。今年三月微软Exchange Server漏洞公布后， 5分钟内骇客就开始扫描网络上可能的攻击目标了。

微软三月初公告，名为Hafnium的中国骇客组织积极活动，透过统称为ProxyLogon的4项零时差漏洞对本地部署的Exchange Server发动攻击。不到一周，估计光是美国就有3万公立和民营组织遭骇。安全厂商研判有至少10组骇客企图以木马、勒索软件、DDoS攻击程式攻击Exchange Server用户。

Palo Alto Networks从今年一月到三月分析了网络上对全球50家企业共5000万个IP的扫描活动，并发表《Cortex Xpanse 攻击表面威胁报告》，显示骇客24x7扫描网络寻找受害机器，平常情况下攻击者每小时扫一次，反观全球化企业可能要好几周才会扫完公司有漏洞的机器。此外，骇客动作极快，在漏洞CVE公开后，一般零时差漏洞，平均15分钟就开始扫描了，而对Exchange Server这么普及的机器，微软3月2日公布后，骇客5分钟内就开始行动。

研究人员还发现，全球企业每12小时就发现到重大漏洞，包括RDP、Telnet、SNMP、VNC等不安全的远端存取漏洞、数据库服务器及Exchange Server或F5负载平衡器上的零时差漏洞，速度之快反映今天IT及漏洞的复杂性。研究也显示，在所有安全问题中，RDP漏洞占了1/3，而重大漏洞中，和云端相关的占了79%，显示云端对现代企业基础架构带来的风险，特别是疫情下，企业加速将营运环境搬上云端。

研究人员解释，骇客活动升高是现在资讯设备及运算服务愈来愈便宜之故，骇客只要花个10美元租用云端扫描服务，只要大致扫描网络看看有哪些未补漏洞的Exchange Server，使攻击的门槛大为降低。现在一些免费搜索引擎，像是Shodan和GrayHatWarfare更被骇客滥用来查询连网潜在目标机器。

报告显示，从大量成功的攻击来看，骇客发动攻击已经比企业修补漏洞还快。