image

Duizenden Nederlandse SMB-servers toegankelijk via internet

woensdag 17 mei 2017, 13:27 door Redactie, 29 reacties

In Nederland zijn duizenden Windowsservers te vinden die via SMB op poort 445 toegankelijk zijn. De WannaCry-ransomware verspreidde zich via kwetsbare SMB-servers die via poort 445 benaderbaar waren. Beveiligingsbedrijf Rapid7 besloot te onderzoeken hoeveel systemen er wereldwijd via SMB op poort 445 bereikbaar zijn. Dit leverde meer dan 1 miljoen machines op, waarvan er meer dan 800.000 Windows draaien.

"Het is waarschijnlijk dat een groot percentage van deze systemen kwetsbare Windowsversies draait waar SMBv1 nog steeds staat ingeschakeld", aldus onderzoeker Roy Hodgman. Volgens andere onderzoekers zou 30 procent van deze systemen kwetsbaar zijn, zo merkt hij op. SMB wordt onder andere gebruikt voor het delen van bestanden en printers, alsmede beheer op afstand. Rapid7 maakte ook een verdeling per land. Dan blijkt dat in Nederland 9.000 Windowsservers zijn te vinden die SMB op poort 445 voor het internet hebben openstaan. Koploper is echter de Verenigde Staten met 330.000 systemen.

Wordt er naar de gebruikte Windowsversies gekeken, dan blijkt dat meer dan de helft op Windows Server 2008 R2 draait, gevolgd door Windows 7. Inmiddels zijn ook allerlei partijen op poort 445 aan het scannen. De meeste van deze scans zijn vanuit de Verenigde Staten afkomstig, gevolgd door Rusland en China. "MS17-010 zal een vector voor aanvallers blijven of het nu om de WannaCry-ransomware gaat of iets anders. Volg het advies van Microsoft op en patch je systemen", zegt Hodgman.

Reacties (29)
17-05-2017, 13:55 door [Account Verwijderd]
[Verwijderd]
17-05-2017, 14:07 door Anoniem
USA scant massaal, ja goh. AWS?
17-05-2017, 15:03 door Anoniem
Check poort 445: https://www.grc.com/x/ne.dll?bh0bkyd2
17-05-2017, 15:30 door karma4
En shodan had die informatie al niet verzameld?
17-05-2017, 16:03 door Anoniem
Wat mij nog het meest verbaast is dat de smb-poorten blijkbaar geforward zijn? SMB is sowieso niet geschikt om buiten een LAN te gebruiken.
17-05-2017, 16:09 door Anoniem
Je moet echt een rund zijn om je server met dergelijke filesharing poorten direct aan het internet te hangen. Mag best wel gevolgen hebben voor een aantal banen lijkt me want anders leert niemand hoe het niet moet.
17-05-2017, 16:09 door Anoniem
Zover ik weet ben je met Windows 10 niet kwetsbaar voor deze ransomware worm toch? Ik heb hem overigens wel volledig bijgewerkt. Er draait nog een laptop in huis met Win7, ook die is voorzien van alle updates.

Ik twijfel over het volgende namelijk:

Ik heb één machine op Windows 10 (main pc) en daar heb ik letterlijk een volledige harde schijf gedeeld. Op die manier kan ik op andere pc's en apparatuur informatie inzien. Nu is mijn vraag, zit ik safe? Ik ben niet thuis nu, maar stel dat poort 445 open staat maar de machines zijn wel up-to-date, zit ik dan alsnog safe? Zo niet, poort 445 uitschakelen? Of gewoon heel die shared maps opheffen? Tegenwoordig gebruik ik eigenlijk alleen maar Plex. Plex op de mainpc> streamen naar de chromecast en andere apparaten.
17-05-2017, 16:13 door Anoniem
Lekker onderzoek : Het is waarschijnlijk dat ...

Het is waarschijnlijk dat Rapid7 zijn naam eer aan doet en een rapid onderzoekje heeft gedaan
om er rapid geld aan te verdienen.
17-05-2017, 16:18 door Anoniem
Door karma4: En shodan had die informatie al niet verzameld?

Shodan met filter "port:445 country:nl" levert 13338 hits op
17-05-2017, 16:58 door Knoepi Draffelsturf
WAAROM poort 445 publiceren op het interwebz?! Ik snap het echt niet zo goed: wat zou het doel hiervan zijn?
17-05-2017, 16:59 door Anoniem
Laten we vooral IPv6 invoeren en het gekloot met NAT afschaffen.
17-05-2017, 18:24 door Anoniem
Door Anoniem: Je moet echt een rund zijn om je server met dergelijke filesharing poorten direct aan het internet te hangen. Mag best wel gevolgen hebben voor een aantal banen lijkt me want anders leert niemand hoe het niet moet.

Nee hoor... Zoals zovaak. gewoon verkeerd inrichten / installeren van een server. Gewoon een Windows servers neer zetten Externe IP van op deze bak configueren IIS installeren, en je hebt een webserver draaien. Dat SMB ook direct aan het Internet hangt... Dat is niet belangrijk.

Op de firewall van mijn server in het datacenter, zie ik ook zeer veel broadcasts voorbij komen die er niet horen. Gewoon verkeerd en slecht geconfigureerd servers

Zoals met alle OS....Een server neer zetten is niet zo moeilijk. Een server goed neer zetten en onderhouden... Dat is een stuk lastiger.
17-05-2017, 19:35 door Anoniem
Ook bij het uitzetten / deinstallatie van SMB blijft poort 445 open staan. Hoe kan dat?
17-05-2017, 20:01 door Anoniem
Daarom zul je altijd les 1 van de security moeten toepassen: segmenteren. En uiteraard een security gateway met acces-control en multilayer security t/m laag 7;
check ook dit:
http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/
17-05-2017, 20:44 door Anoniem
Door Anoniem: Laten we vooral IPv6 invoeren en het gekloot met NAT afschaffen.
En dan trek je echt de doos van pandora open want al die miljoenen consumenten routertjes doen prima NAT maar ontberen veelal een IPv6 firewall, en zonder deze hangt men direct aan het Internet zonder enige filtering. Of ben jij een van de adepten die denken dan IPv6 alle problemen gaat oplossen? Droom gerust verder.
17-05-2017, 20:47 door Anoniem
Door Anoniem: Daarom zul je altijd les 1 van de security moeten toepassen: segmenteren. En uiteraard een security gateway met acces-control en multilayer security t/m laag 7;
check ook dit:
http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/
SMB en RPC zijn hierin erg lastig. Aangezien je deze vaak nodig hebt, en dus open moet zetten.

Maar ja het is wel de basis van een goede security.
17-05-2017, 21:16 door Anoniem
Door Anoniem: Daarom zul je altijd les 1 van de security moeten toepassen: segmenteren. En uiteraard een security gateway met acces-control en multilayer security t/m laag 7;
check ook dit:
http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/

Yes... maar het is wel heul lang geleden dat elke vendor zijn eigen osi lagen ontwikkelde. Verder is fysieke scheiding fijn, deden we vroeger toch ook op Linux? Aparte firewall server. Tegenwoordig moet alles compact, het liefst in 1 router. Tsjaa
17-05-2017, 21:54 door Anoniem
@karma4,

Als we dit recente nieuws eens allemaal de revu laten passeren, dan wordt het steeds duidelijker dat we ons in de fase van het zogeheten "dwapara yuga" bevinden. Zo'n tijdperk, het tweede van onderen (na kali yuga dus) van de yug, kenmerkt zich door de illusie van het steeds minder duidelijk worden van afstand. Radio, telegrafie, telefoon, radio, tv, recente digitale technologie en wat nog verder op ons wacht....teleportatie wellicht.

We zien het nu nog steeds sneller gaan optreden in de tijd van informatica en communicatie technologie. We zullen ook zien dat steeds meer vrowuwen een leidende rol zullen gaan spelen in zo'n tijd.

Verder in zo'n tijdsgewricht kunnen zielen die hoger gaan dan dit niveau niet meer reincarneren. En daarom hebben we het niveau van huidige IT and de onveilige volledig gepnewde infrastructuur. Als je je er voor open stelt, kun je aanvoelen wat er nog op ons afkomt en het zal nog 70 jaar verwarring brengen, goede vriend.

Dus daarom zitten we nu met de gebakken peren van de NSA spooks, het info versus desinfo spel en het zal allemaal nog instenser worden, de stier staat nog maar op twee poten, goede vriend.

SMB1 had al lang afgeserveer moeten zijn. Het twee extensie probleem in Windows had moeten zijn gemitigeerd en nog veel meer. Niemand zou meer excessieve info proliferatie moeten willen tolereren. SRI hashes zouden moeten worden gegenereerd, script errors doorgetest en geanalyseerd.

Of je laat de infrastructuur met jou spelen en dan ben je sleachtoffer of je speelt zelf met de infrastructuur en stuur je de ontwikkeling mee.
17-05-2017, 22:41 door Anoniem
Door Anoniem:
Door Anoniem: Laten we vooral IPv6 invoeren en het gekloot met NAT afschaffen.
En dan trek je echt de doos van pandora open want al die miljoenen consumenten routertjes doen prima NAT maar ontberen veelal een IPv6 firewall,

Wat weet jij daar nou van??? Helemaal niks kennelijk.
18-05-2017, 11:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Laten we vooral IPv6 invoeren en het gekloot met NAT afschaffen.
En dan trek je echt de doos van pandora open want al die miljoenen consumenten routertjes doen prima NAT maar ontberen veelal een IPv6 firewall,

Wat weet jij daar nou van??? Helemaal niks kennelijk.
Tja, het is altijd lastig wanneer het duidelijk wordt dat alleen blaten geen inhoud heeft. Reageer dan eens inhoudelijk waarom er met NAT gestopt moet worden en waarom Ipv6 problemen als deze gaat oplossen. Verlicht ons met je wijsheid, zou ik zeggen.
18-05-2017, 12:08 door Anoniem
Door Anoniem: Je moet echt een rund zijn om je server met dergelijke filesharing poorten direct aan het internet te hangen. Mag best wel gevolgen hebben voor een aantal banen lijkt me want anders leert niemand hoe het niet moet.

Of een rund als baas hebben, of runderen als gebruikers. Typisch scenario: Baas beslist dat alle medewerkers van thuis of onderweg gemakkelijk bij hun bestanden moeten kunnen. VPN is te ingewikkeld.

Overigens is de volgende stap om de file shares in de cloud te zetten. Dan weet je ook niet wie erbij kan...
18-05-2017, 12:43 door Anoniem
Door Anoniem: Zover ik weet ben je met Windows 10 niet kwetsbaar voor deze ransomware worm toch? Ik heb hem overigens wel volledig bijgewerkt. Er draait nog een laptop in huis met Win7, ook die is voorzien van alle updates.

Ik twijfel over het volgende namelijk:

Ik heb één machine op Windows 10 (main pc) en daar heb ik letterlijk een volledige harde schijf gedeeld. Op die manier kan ik op andere pc's en apparatuur informatie inzien. Nu is mijn vraag, zit ik safe? Ik ben niet thuis nu, maar stel dat poort 445 open staat maar de machines zijn wel up-to-date, zit ik dan alsnog safe? Zo niet, poort 445 uitschakelen? Of gewoon heel die shared maps opheffen? Tegenwoordig gebruik ik eigenlijk alleen maar Plex. Plex op de mainpc> streamen naar de chromecast en andere apparaten.

Het gaat er om dat je poort 445 niet blootstelt aan het Internet. Kan me niet voorstellen dat de standaard Ziggo/<Willekeurige NL ISP> dit aan heeft staan, dus lijkt me niet dat je je zorgen hoeft te maken. Controleren kan uiteraard geen kwaad.
18-05-2017, 13:20 door ph-cofi
Door Anoniem: (...) Of je laat de infrastructuur met jou spelen en dan ben je slachtoffer of je speelt zelf met de infrastructuur en stuur je de ontwikkeling mee.
He, dat doet me denken aan een zekere idealist en de geldende softwarepraktijk:
https://www.goodreads.com/author/quotes/13568270.Richard_Stallman
18-05-2017, 20:08 door karma4
Door Anoniem: @karma4,

Als we dit recente nieuws eens allemaal de revu laten passeren, dan wordt het steeds duidelijker dat we ons in de fase van het zogeheten "dwapara yuga" bevinden. Zo'n tijdperk, het tweede van onderen (na kali yuga dus) van de yug, kenmerkt zich door de illusie van het steeds minder duidelijk worden van afstand. Radio, telegrafie, telefoon, radio, tv, recente digitale technologie en wat nog verder op ons wacht....teleportatie wellicht.
...
Of je laat de infrastructuur met jou spelen en dan ben je slachtoffer of je speelt zelf met de infrastructuur en stuur je de ontwikkeling mee.
Filosofisch op mijn avatar, dank je. Ik ben er nog niet uit wat de juiste volgorde is. Is het voor of na. Alsof tijd meerdere richtingen kan hebben. Het beeld komt overeen met de global village richting van toffler.

Dat laatste is er ook een. Is alles voorbestemd en laat je het gebeuren of kan je er invloed op uitoefenen.
18-05-2017, 21:57 door Anoniem
Ik erken voor velen is het ook een vraag of dwapara yuga niet een segment is dat binnen een groter kali yuga segment draait. Traditioneel ziet men dat opgedeeld in 109 segmenten en 28 is een belangrijke sequentie daarbij (allemaal symboliek en filosofie).

@ ph_cofi en @ karma4, ja ik ben een F.R.A.V..I.A. en Maone adept en heb ook bijdragen over onder andere cgi kwetsbaarheden (ondermeer voor een tool dictionairy) daar gegeven. F..R.A.V.I.A. (veel te vroeg gestorven, R.I.P.) bracht me in contact met de denkbeelden van o.a. Stallman, met PHP en uiteindelijk met searchlores en de enorme kracht van een goede zoeker te zijn.

Later zag ik in dat men alles op digitaal gebied niet kan overzien en ontstond de interesse in de specialisatie van 3rd party website security analyse, het analyseren van code via jsunpack etc. en het volgen van o.m. error discussies op StackOverflow. Dat bracht veel inzichten en ervaring.

De huidige status van de voortdurende grote onveiligheid op de infrastructuur, de verdommelijking en de anti-renaissanceachtige bewegingen baren me grote zorgen. Het is heel moeilijk om het volledig in een beeld te krijgen wat er zich werkelijk afspeelt en wat de ware agenda is, die we ten uitvoer zien worden gelegd.

Maar een aantal mensen hier hebben mij uit hun ervaringen wel veel inzichten gebracht en slijpen mijn inzichten nog steeds bij. Ga dus voort met het goede en voorlichtende werk. Sommigen van jullie zijn ware 'diamantjes' en anderen als beschermende 'gitjes'.

We staan op elkanders schouders, lieve onderzoekers, laten we dus doorgeven wat ons beweegt ten voordele van het inzicht geven aan diegenen, die nog inzicht behoeven.
18-05-2017, 22:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Laten we vooral IPv6 invoeren en het gekloot met NAT afschaffen.
En dan trek je echt de doos van pandora open want al die miljoenen consumenten routertjes doen prima NAT maar ontberen veelal een IPv6 firewall,

Wat weet jij daar nou van??? Helemaal niks kennelijk.
Tja, het is altijd lastig wanneer het duidelijk wordt dat alleen blaten geen inhoud heeft. Reageer dan eens inhoudelijk waarom er met NAT gestopt moet worden en waarom Ipv6 problemen als deze gaat oplossen. Verlicht ons met je wijsheid, zou ik zeggen.

Er wordt wat uitgekraamd over consumenten routertjes die geen IPv6 firewall zouden hebben en dat is totaal larie,
de Nederlandse internet providers hebben heel goed nagedacht over deze materie en zijn pas begonnen met de
grootschalige uitrol van IPv6 nadat zij de routers geleverd konden krijgen met ingebouwde firewall die minstens hetzelfde
kan als NAT.
(dwz inkomende connecties worden default geblokkeerd, en de klant kan hooguit op eigen initiatief bepaalde poorten
of systemen open zetten)
19-05-2017, 00:48 door Anoniem
@ karma 4

Daarom snap ik ook niet waarom iemand hier een abuse medling over deze posting afgeeft. Wie heb ik met mijn filosofische bespiegeling(en) beledigd of wie kan dit als spam beschouwen? Als we zo al met elkander omgaan, wordt het Internet een enge omgeving, waar je voor enge reacties op elke mogelijke meningsuiting moet vrezen. Wat is er in 's hemelsnaam met het mensdom aan de hand?

Toffler zou zeker hier niet kunnen posten, dan had iemand zich daar weer aan gestoord en vond men de txt met een abuse melding later in de google resultaten. Zo krijgt ieder in Nederland een positieve of negative score en dat bepaalt of je werk kan krijgen, een krediet. Zijn we zo anders bezig als in Mainland China? Eng, toch. Lees hier eens na en huiver mee: https://decorrespondent.nl/3478/heel-holland-transparant-zo-bepalen-bedrijven-en-overheden-of-je-een-risicoburger-bent/106969368-5c092520

poster van 17-05 21:54
19-05-2017, 16:21 door karma4
Door ph-cofi:
Door Anoniem: (...) Of je laat de infrastructuur met jou spelen en dan ben je slachtoffer of je speelt zelf met de infrastructuur en stuur je de ontwikkeling mee.
He, dat doet me denken aan een zekere idealist en de geldende softwarepraktijk:
https://www.goodreads.com/author/quotes/13568270.Richard_Stallman
Heel mooi ph-cofi. Combineer hem eens met
Ik huiver niet over de profiling (risicomodel), het is iets wat mensen doen is van alle tijden, maar over het niet bekend zijn van de algoritmes en de gebruikte data (informatie).

De algoritmes zijn meestal al oude bekende statistische technieken. Daar zou je open in moeten kunnen zijn.
De gebruikte data is gewoonlijk de bekende data met allerlei onzekerheden en aannames. Daar zou je open in moeten kunnen zijn naar de betrokkenen.

Leg nu het tijdframe van stallman en zijn achterliggende filosofie er eens langs https://en.wikipedia.org/wiki/Richard_Stallman
In zijn jonge tijd had het coderen alle aandacht, dat is waar hij is op blijven hameren.
Verleg de focus van code/software naar informatie algoritmes. Volgens mijn kom je bij de zelfde essentie uit.
19-05-2017, 16:43 door Anoniem
Dus als je tegen deze manier van misbruik van achterbakse profilering algoritmen bent, is de enige manier om dit soort "engerds", want in de uitwerking naar de 'geoormerkte burger of concurrent", zijn ze dit, een hak te zetten is ze "er uit te coderen".

Dus gewoon op betere techniek voor gek zetten en ze dwingen tot betere ethischer keuzes. De roe zou dus in dit geval onder in de code-zak moeten zitten, net als altijd gezegd wordt van de rekening.

We weten dat kwaad en goed hetzelfde doel bereiken, maar dat kwaad er altijd veel en veel langer over doet om daar uit te komen waar goed altijd al eerder uitkomt.

Kijk het blijft nu een onverminderde voortdurende strijd, men codeert iets dat werkt en de graaier gaat het zo inrichten, dat het niet meer werkt of meer mono-cultuur ontwerpen of door zogenaamde autoriteiten laten verbieden wat hij niet wenst.

Ze vergeten daarbij echter vaak dat ze zich op de duur zelf in de voeten schieten en vaak de wal het schip gaat keren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.