В настоящее время в Сети обнаружено 2 306 820 устройств с открытыми портами для доступа по SMB-протоколу. Именно этот протокол использовался для инфицирования сотен тысяч компьютеров вымогательским ПО WannaCry в минувшем месяце.
Из вышеуказанного числа устройств 42% (порядка 970 тыс.) предоставляют гостевой доступ, то есть любой желающий с помощью протокола SMB может получить доступ к данным без авторизации. Эксплоиты, используемые в атаках WannaCry, не требуют наличия гостевого доступа, достаточно того, что устройство просто подключено к интернету, однако такой доступ открывает дорогу менее сложным вредоносам.
По данным создателя поисковой системы Shodan Джона Мазерли (John Matherly), из почти 1 млн устройств, предоставляющих гостевой доступ, 90% используют приложение Samba — пакет программ, позволяющих обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS.
Хотя эксплоит EternalBlue, использовавшийся в механизме самораспространения вымогательского ПО WannaCry, не работает на системах под управлением Linux, это не значит, что они в безопасности. В Samba содержится уязвимость CVE-2017-7494, получившая название SambaCry, которая затрагивает все версии ПО, выпущенные за последние 7 лет. Данная уязвимость использовалась злоумышленниками для перехвата контроля над серверами на базе Linux и установки майнеров криптовалют.
Из 2 306 820 устройств с открытыми портами 96% (более 2,2 млн) поддерживают SMBv1. Ранее компания Microsoft сообщила о намерении отключить SMBv1 в большинстве версий Windows.
Shodan — специальная поисковая система, которую можно использовать для нахождения подключенных к интернету устройств и точной информации о различных web-сайтах. При помощи Shodan можно узнать, какую операционную систему использует то или иное устройство, или найти местные FTP с открытым анонимным доступом.
SMB — сетевой протокол для общего доступа к файлам, который позволяет приложениям компьютера читать и записывать файлы, а также запрашивать службы серверных программ в компьютерной сети. Протокол SMB может использоваться поверх протокола TCP/IP или других сетевых протоколов. С его помощью приложение (или использующий его пользователь) может получать доступ к файлам и другим ресурсам удаленного сервера.
Источник: securitylab.ru
