EternalBlue Longevity subraya el problema de parcheo



Tres años después de que Shadow Brokers publicara exploits de día cero robados de la Agencia de Seguridad Nacional, el compromiso de las PYMES sigue siendo un ataque well known en World wide web.

EternalBlue, el exploit que se filtró públicamente hace tres años el próximo mes, continúa amenazando a los servidores de Home windows sin parches conectados a World wide web, con más de 100 fuentes diferentes que lo utilizan para atacar los sistemas a diario, según un nuevo informe de la empresa de seguridad cibernética Quick7.

Los servidores conectados a Online vulnerables a EternalBlue han disminuido abruptamente desde que el ataque del ransomware WannaCry utilizó el exploit para infectar cientos de miles de sistemas en mayo de 2017, destruyendo datos e interrumpiendo las operaciones. Aún así, más de 600,000 servidores continúan permitiendo conexiones de bloque de mensajes de servidor (SMB) en World-wide-web público, según el sistema de monitoreo de Web de Fast7.

Si bien algunas empresas necesitan mantener abierto el puerto SMB para admitir aplicaciones heredadas críticas, en su mayor parte las empresas no pueden detectar y asegurar su superficie de ataque, dice Bob Rudis, científico jefe de datos de Rapid7.

«En este punto, es una pieza de código bien conocida y súper versátil que desafortunadamente todavía funciona demasiado bien, tal vez no en servidores con conexión a World-wide-web, pero ciertamente una vez que un atacante ingresa a una red», dice.

Si bien la cantidad de servidores sin parches ha disminuido significativamente, el ataque todavía está teniendo éxito, dice. «Los sistemas vulnerables no están en los millones sino en los sub-millones, pero todavía hay suficientes anfitriones para que los malos actores hagan lo que tienen que hacer», agrega.

Fast7 no es la única compañía que ve a EternalBlue como una amenaza continua. La explotación remota de la vulnerabilidad sigue siendo la principal amenaza de crimson detectada por McAfee hoy, dijo Steve Grobman, director de tecnología de la empresa de seguridad, durante su discurso de apertura de la Conferencia de Seguridad RSA.

La vulnerabilidad SMB, designada MS17-010 por Microsoft y asignó tres CVE diferentes, se ha unido a otras vulnerabilidades, como el problema de llamada a procedimiento remoto (RPC) MS08-067 – eso permitió que el gusano Conficker se propagara. Y la vulnerabilidad BlueKeep en el protocolo de escritorio remoto (RDP), CVE-2019-0708, anunciado en junio pasado en el protocolo de escritorio remoto, todavía afecta al 60% de los servidores, totalizando cientos de miles de sistemas, dijo Grobman.

Los parches para estos problemas importantes siguen siendo un problema, dijo.

«Importantes poblaciones de máquinas aún no están parcheadas», dijo Grobman. «Reconocemos la importancia de la aplicación de parches, pero los datos sugieren que colectivamente no nos estamos moviendo lo suficientemente rápido como para reparar las vulnerabilidades conocidas, incluidas las que tienen impactos significativos».

Hace tres años, este mes, un grupo de hackers que se autodenominaban Shadow Brokers, un nom de guerre tomado del videojuego de ciencia ficción «Mass Outcome», publicó archivos filtrados de la Agencia de Seguridad Nacional, el servicio de inteligencia de los Estados Unidos, que incluido una serie de hazañas significativas. EternalBlue se hizo common porque es fácil de explotar y confiable, dice Rudis de Quick7.

Si bien la mayoría de los ISP están bloqueando SMB en redes residenciales, el hecho de que más de 600,000 computadoras y servidores continúen exponiendo el servicio a Online es un peligro, incluso si el servicio está parchado, dice.

«Sabemos que existen, bueno, no diría que son legítimas, pero hay personas, organizaciones que deliberadamente están pegando SMB en World wide web», dice Rudis. «Saben que es problemático, saben que van a tener que seguir reimaginando sus servidores y lamentan el requisito de mantenerlos ahí fuera, pero al menos saben lo suficiente como para que estas cosas no estén conectadas a nada serious «.

En basic, el peligro que representan los servidores SMB aún vulnerables no debe descartarse, ya que siguen siendo una plataforma desde la cual lanzar ataques, dice Adam Meyers, vicepresidente de inteligencia de la firma de servicios de ciberseguridad CrowdStrike.

«Es difícil decir qué es un host infectado, qué es un sistema de investigación hay tantas cosas malas en Net que ocurren continuamente», dice. «Y esa es solo la actividad de nivel de molestia, ni siquiera los ataques dirigidos donde alguien va detrás de ti».

Al final, las compañías deberían reevaluar si vale la pena exponerse a Internet a los protocolos difíciles de proteger, como SMB. Para Rudis de Immediate7, la respuesta es un «no» firme.

«Si estás ejecutando SMB en Online, es un honeypot o eres un idiota, todo se decrease a esas dos cosas», dice Rudis. «No puedes asegurarlo».

Contenido relacionado:

Revisa El borde, La nueva sección de Dim Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Con el nuevo laboratorio SOL4Ce, Purdue U. y DoE establecen puntos de vista sobre la seguridad nacional«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Technology Assessment, Preferred Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia first