image

Onderzoek: Miljoenen systemen met open SMB- en Telnet-poort

woensdag 14 juni 2017, 16:15 door Redactie, 12 reacties

Ondanks de uitbraak van de WannaCry-ransomware die bedrijven via een SMB-lek in Windows aanviel, zijn er nog altijd 5,5 miljoen systemen met een open SMB-poort (445) die via internet vindbaar is, zo stelt het Amerikaanse beveiligingsbedrijf Rapid7 aan de hand van eigen onderzoek.

Vorig jaar ging het nog om 4,6 miljoen systemen. Van 800.000 gevonden systemen met een open SMB-poort kon worden vastgesteld dat ze Windows draaien. SMB wordt onder andere gebruikt voor het delen van bestanden en printers, alsmede beheer op afstand. "Het verschijnen van deze ransomwareworm benadrukt het belang dat individuen en organisaties meer moeten stilstaan bij wat ze aan het internet blootstellen. Er is geen reden om SMB volledig bloot te stellen zonder firewall of het op andere manieren beperken van de toegang", aldus de onderzoekers in het rapport (pdf).

De onderzoekers ontdekten daarnaast ook nog 10 miljoen machines met een open Telnet-poort (23). De beruchte Mirai-malware, alsmede allerlei afgeleide varianten, verspreidde zich via deze poort. Het aantal machines is echter wel met 5 miljoen gedaald ten opzichte van vorig jaar. Daarnaast is er een stijging van het aantal machines met een open ssh-poort (22). Ssh biedt in tegenstelling tot Telnet wel een versleutelde manier van inloggen. De opmars van ssh hangt volgens de onderzoekers mogelijk samen met de aandacht voor Mirai en het aanpakken van onveilige IoT-apparaten.

Naast het rapport werd er ook een overzicht per land gemaakt. Dan blijkt dat Nederland van de 183 onderzochte landen op de 84ste plek staat wat betreft open poorten. Hiervoor werden een kleine 3,5 miljoen systemen gescand. Zo heeft ssh een groter aandeel dan Telnet en doet Nederland het ook goed wat betreft de verhouding tussen https en http, alsmede het gebruik van encryptieprotocollen zoals tls voor e-mail.

Image

Reacties (12)
14-06-2017, 16:37 door Anoniem
Het is een misverstand dat SSH als commandline login veiliger is dan telnet als het gaat om infecties, trojans, e.d.
Het is wel veiliger tegen meekijken onderweg en op die manier wachtwoorden en andere inside informatie achterhalen,
maar dat is niet de manier waarop de aanvallen plaatsvinden.
SSH login met user/password is net zo onveilig tegen wachtwoordje-raden en na gelukte inlog installeren van malware
als telnet.
14-06-2017, 22:18 door Anoniem
Door Anoniem: Het is een misverstand dat SSH als commandline login veiliger is dan telnet als het gaat om infecties, trojans, e.d.
Het is wel veiliger tegen meekijken onderweg en op die manier wachtwoorden en andere inside informatie achterhalen,
maar dat is niet de manier waarop de aanvallen plaatsvinden.
SSH login met user/password is net zo onveilig tegen wachtwoordje-raden en na gelukte inlog installeren van malware
als telnet.

Voor SSH moet je geen wachtwoorden gebruiken, maar authorized keys. Is vele malen veiliger.
14-06-2017, 22:59 door Anoniem
Door Anoniem: Het is een misverstand dat SSH als commandline login veiliger is dan telnet als het gaat om infecties, trojans, e.d.
Het is wel veiliger tegen meekijken onderweg en op die manier wachtwoorden en andere inside informatie achterhalen,
maar dat is niet de manier waarop de aanvallen plaatsvinden.
SSH login met user/password is net zo onveilig tegen wachtwoordje-raden en na gelukte inlog installeren van malware
als telnet.

Klopt, aap/aap in telnet is vergelijkbaar zwak als aap/aap in SSH. Verder gaat iedere vergelijking tussen ssh en telnet mank.
15-06-2017, 06:03 door karma4 - Bijgewerkt: 15-06-2017, 06:10
Door Anoniem:
Voor SSH moet je geen wachtwoorden gebruiken, maar authorized keys. Is vele malen veiliger.
Je krijgt dan te maken met bestandjes die je ergens moet bewaren. Wordt ook wel als passwordless ssh aangeduid.
Leuk met shared high privileged keys waar meerdere personen die sleutels voor de zelfde key moeten gaan bewaren.
Of neem een omgeving waar het persoonlijke user deel voor een ieder shared open staat omdat men elkaars werk moet kunnen overnemen.
Ja je hoeft geen pasword mee er in te tikken de andere kant is: Hoe staat het met de beveiliging van al die sleutels?


Klopt, aap/aap in telnet is vergelijkbaar zwak als aap/aap in SSH. Verder gaat iedere vergelijking tussen ssh en telnet mank.
Functioneel doel is het verkrijgen van een cli. Command Line Interface. Wat is er anders in dat functionele doel?

De zwakte met Mirai wad niet het niet versleuteld zijn van het password maar al die voor de hand liggende user pasword als admin/admin. Pak je dat aan dan moet het ding in fabrieksinstelling niet werken en pas na het instellen door een afnemer operationeel worden. De reset naar fabrieksinstelling mag enkel hardware matig plaatsvinden. Zou dat remote spftwarematig kunnen dan heb je een fraaie ddos optie om alles uit te zetten.
15-06-2017, 09:39 door Anoniem
Door Anoniem:
Klopt, aap/aap in telnet is vergelijkbaar zwak als aap/aap in SSH. Verder gaat iedere vergelijking tussen ssh en telnet mank.
Waar het om gaat is dat SSH wordt gepropageerd als een "oplossing voor het probleem met telnet", terwijl het
dat niet is. De issue zit namelijk niet in het communicatieprotocol maar in de aanwezigheid van een remote logon
mogelijkheid met standaard wachtwoorden of gemakkelijk te proberen wachtwoorden, gecombineerd met de mogelijkheid
om na logon vervelende dingen uit te halen. Dat is met SSH niet anders dan met telnet.
15-06-2017, 10:48 door [Account Verwijderd] - Bijgewerkt: 15-06-2017, 10:55
[Verwijderd]
15-06-2017, 11:07 door Anoniem
Door Anoniem:
Door Anoniem: Het is een misverstand dat SSH als commandline login veiliger is dan telnet als het gaat om infecties, trojans, e.d.
Het is wel veiliger tegen meekijken onderweg en op die manier wachtwoorden en andere inside informatie achterhalen,
maar dat is niet de manier waarop de aanvallen plaatsvinden.
SSH login met user/password is net zo onveilig tegen wachtwoordje-raden en na gelukte inlog installeren van malware
als telnet.

Klopt, aap/aap in telnet is vergelijkbaar zwak als aap/aap in SSH. Verder gaat iedere vergelijking tussen ssh en telnet mank.
Een goed password in combinatie met fail2ban is ook zeer safe. Maar liever inderdaad een key.
15-06-2017, 11:15 door Anoniem
Door Neb Poorten: Je kan in je firewall eenvoudig een rate limiting rule opnemen die ervoor zorgt dat brute force scannen wordt beperkt:
Het gaat er helemaal niet om wat je allemaal kunt doen. Waar het om gaat is hoe de default situatie is. Als die voor
een bepaald device een kwetsbaarheid in zich heeft dan kun je nog zo veel van dit soort adviezen posten, daar mee ga
je het probleem van de miljoenen kwetsbare devices niet oplossen.
15-06-2017, 11:46 door ph-cofi
Door karma4: (...)De zwakte met Mirai wad niet het niet versleuteld zijn van het password maar al die voor de hand liggende user pasword als admin/admin(...)
Inderdaad
+ Mirai source openbaar gemaakt (he, dat IK dat nou moet constateren)
+ root wachtwoord niet door consument wijzigbaar
+ root wachtwoord reset naar kwetsbare waarde na uitschakelen+inshakelen betreffende apparaat
+ (alleen) te bedienen met smartphone app, dus toegankelijkheid van buiten essentieel.
Doelbewust aangebrachte kwetsbaarheden = bewuste spionagefunctionaliteit. Bij gebrek aan CE-keurmerk verplichting, denk ik dat firewallsoftware tot de elementaire levensbehoeften is gaan behoren.
15-06-2017, 22:34 door [Account Verwijderd]
[Verwijderd]
17-06-2017, 19:33 door Anoniem

Ja je hoeft geen pasword mee er in te tikken de andere kant is: Hoe staat het met de beveiliging van al die sleutels?

je bent niet de eerste die hier iets van vindt, maar hier enkele antwoorden:

http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.7966.pdf
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.