Xakep #305. Многошаговые SQL-инъекции
Похоже, даже масштабные эпидемии, подобные WannaCry, Mirai, Persirai или Hajime, не помогают организациям и частным лицам учиться на своих ошибках. Исследователи компании Rapid7 и основатель Shodan Джон Мазерли (John Matherly) опубликовали два аналитических отчета, которые ясно показывают, что ситуация меняется к лучшему слишком медленно.
Специалисты Rapid7 подсчитали (PDF), что через Telnet в интернет «смотрят» почти 10 млн устройств с открытым 23 портом. Хотя в 2016 году таковых насчитывалось 14,8 млн, специалисты задаются вопросом, разумно ли в целом использовать Telnet, спустя 23 года после создания SSH и других, более надежных методов связи.
С использованием SMB ситуация ничем не лучше. Аналитики Rapid7 обнаружили 5 547 284 устройства, с открытым портами SMB (TCP 445), и порядка 800 000 из них удалось идентифицировать как системы, работающие под управлением Windows.
Напомню, что именно протокол SMB и эксплоиты ETERNALBLUE и DOUBLEPULSAR использовались в мае 2017 года для распространения шифровальщика WannaCry. В связи с этим устройства, открытые для SMB-соединений посчитал и основатель поисковика Shodan Джон Мазерли. Он обнаружил 2 306 820 устройств с открытым портами SMB и сообщил, что 42% из них (порядка 970 000 устройств) готовы предоставить гостевое соединение, то есть доступны любому желающему, практически без аутентификации.
42% of Internet-facing SMB allow guest access. 95% of those are running Samba. pic.twitter.com/hDi2hyzAxm
— John Matherly (@achillean) June 6, 2017
Хуже того, более 90% устройств поддерживают давно устаревший SMBv1, от которого планирует отказаться даже Microsoft.
Out of 2+ million results for SMB on Shodan the vast majority still support SMB version 1 (90%) pic.twitter.com/pW5bZBAGo5
— John Matherly (@achillean) June 6, 2017
Пожалуй, единственной хорошей новостью является то, что лишь 91 081 устройство из всей выборки не имеют установленного обновления безопасности MS17-010, закрывшего уязвимости, которые использовал ETERNALBLUE.
В связи с этим отмечается значительное сокращение числа установок бэкдора DOUBLEPULSAR. Так, еще в апреле 2017 года, вскоре после того, как хакерская группа The Shadow Brokers обнародовала инструменты АНБ, число установок превышало 100 000, а в настоящее время сократилось до 16 206 и продолжает снижаться.
