Il Bundesamt für Sicherheit in der Informationstechnik (BIS) ha lanciato un'allerta urgente sulla precaria situazione della patching dei server Microsoft Exchange nel paese. Secondo l’ente governativo, ci sono più di 17.000 istanze di Exchange Server in Germania vulnerabili ad almeno una vulnerabilità critica, su circa 45.000 server pubblicamente accessibili nel paese europeo.
Di questi server, il 12 percento utilizza una versione di Exchange Server non è più supportata, come Exchange 2010 e 2013, e circa un quarto utilizza Exchange 2016 e 2019 ma senza patch vitali, il che significa che almeno il 37 percento è classificato come "vulnerabile".
"Non può accadere che ci siano decine di migliaia di installazioni vulnerabili di un software così rilevante in Germania", ha avvertito Claudia Plattner, presidente del BSI.
"Le aziende, le organizzazioni e le autorità mettono inutilmente a rischio i propri sistemi informatici e quindi il loro valore aggiunto, i propri servizi o i propri dati e quelli di terzi, che possono essere altamente sensibili. La sicurezza informatica deve finalmente essere una priorità. C'è un urgente bisogno di azione!". Il BIS sta ora cercando di convincere i suoi cittadini ad applicare le patch tempestivamente.
Di particolare preoccupazione è la correzione della CVE-2024-21410, una vulnerabilità che Microsoft ha patchato il mese scorso; si tratta di una minaccia particolarmente insidiosa, ma c’è anche una difficoltà aggiuntiva per chi vuole installare la correzione: Microsoft ha avvertito che si tratta di un aggiornamento più complicato del normale da applicare.
Il BIS sta inviando mail cercando di invitare tutti ad applicare gli aggiornamenti, facendo presente che i criminali già conoscono le falle e le stanno sfruttando. Sono a rischio "scuole e università, cliniche, studi medici, servizi di assistenza infermieristica e altre strutture mediche, avvocati e commercialisti, enti governativi locali e molte medie imprese sono particolarmente colpite."
"La maggior parte delle vulnerabilità è vecchia di mesi e le patch di sicurezza sono disponibili", ha dichiarato un portavoce del BIS. "Anche se gli amministratori non sono responsabili della qualità del software (Microsoft lo è), devono ora agire rapidamente e in modo coerente."