2,306,820 dispositivos conectados a Internet cuentan con puertos abiertos para los servicios SMB, el mismo protocolo que se utilizó para infectar a cientos de miles de ordenadores con el WannaCry ransomworm
De éstos, el 42%, o casi 970.000, proporcionan acceso de "invitado", lo que significa que cualquier persona puede acceder a los datos compartidos a través del protocolo de intercambio de archivos SMB sin necesidad de proporcionar autenticación.Los exploits utilizados por WannaCry no necesariamente necesitan tener acceso de invitados, pero sólo que el sistema esté conectado a Internet. Facilitar el acceso de invitados se abre a la máquina explota menos complejos.
Según el fundador Shodan John Matherly, que compiló estos números en los últimos días, de estos casi un millón de dispositivos SMB con el acceso de invitados, el 90% está ejecutando Samba, una aplicación de intercambio de archivos de Linux que proporciona una interfaz con los servicios SMB en Windows.
Debido a ETERNALBLUE, un presunto exploit NSA que se filtró en Internet, no puede apuntar a Linux esto no significa que estos sistemas son seguros. Samba en sí también está plagado de una vulnerabilidad denominada SambaCry que afecta a todas las instalaciones de Samba liberados en los últimos siete años. Este defecto se ha utilizado para hacerse cargo de los servidores Linux con puertos SMB abiertos y instalar los mineros criptomoneda.
Tanto Windows y Samba vienen con acceso SMB invitados desactivado por defecto, lo que significa que los administradores de dispositivos están permitiendo intencionalmente esta función. Matherly señala que casi la mitad de los dispositivos que tienen habilitada Samba SMB acceso para invitados se encuentran en la red de Etisalat, un gran proveedor de Internet en los UAE.
Más de 2,2 millones de dispositivos ejecutan SMBv1 obsoleta
Esta primera versión del protocolo para compartir archivos SMB tiene más de tres décadas de antigüedad y se sabe que es vulnerable a muchos errores de seguridad.ETERNALBLUE, la vulnerabilidad utilizada por el ransomworm WannaCry a extenderse a los nuevos PC, utiliza SMBv1. Microsoft planea desactivar SMBv1 para todas las nuevas instalaciones limpias de Windows, a partir de este otoño.
La buena noticia es que a partir de estos dispositivos de 2,3 millones, sólo el 91081 no ha aplicado la actualización de seguridad MS17-010 Microsoft, lo que significa que siguen siendo vulnerables a la explotación a través de ETERNALBLUE.
Durante el brote WannaCry, el ransomware utiliza ETERNALBLUE para conseguir un punto de apoyo en equipos que ejecutan los servicios SMB obsoletas y después se instala la puerta trasera DOUBLEPULSAR, que fue utilizado para entregar el actual WannaCry cripto-ransomware.
Matherly dice que su exploración detecta sólo 16.206 instalaciones DUBLEPULSAR, pero el número se ha reducido de más de 100.000, el número visto el 20 de abril, poco después de los corredores de la sombra vierten las herramientas ETERNALBLUE y DOUBLEPULSAR en línea.
