开放端口的设备上传播病毒

大表

开放端口的设备上传播病毒

据媒体报道，上个月WannaCry勒索软件病毒漏洞利用强势来袭，现在您可能认为每个人都已经开始未雨绸缪了，并锁定了潜在的危险端口，最起码包括一些容易遭受攻击的端口。
根据两份不同的报告显示，事实并非如此。其实许多易受攻击的设备都是由无知的消费者所操控，而很可能绝大多数运行于数据中心的服务器都是由更加专业的系统管理员进行维护。
上周，安全公司Rapid7发布了其年度“国家风险指数”报告，扫描了超过30亿个可访问IP的公共互联网设备，检查30个不同端口上的公开服务。该报告发现有1.6亿个设备开放了端口，而这些设备通常不应该暴露在互联网上。此外，还发现有550万个设备在运行时暴露了与WannaCry相关联的文件共享SMB 445端口。在Windows系统上大约有80万个这样的端口，也就是说它们将直接受到病毒蠕虫的攻击，而这些蠕虫的目标是 Windows机器。 奇怪的是，鉴于WannaCry造成的恐慌，去年只有460万台设备在运行中开放了445端口，而现在这个数字更高。
这是John Matherly发布的最新数字，John Matherly是搜索引擎Shodan的创始人，用户使用该搜索引擎可以根据设备类型搜索网络。 他发现有超过230万个在线设备开放了SMB端口。 更令人不安的是，这些设备中有42％ （约97万台）设备被配置为“GUEST访问”，使得通过SMB文件共享协议共享的数据可供任何人使用，而无需身份验证。此外，这些数据也容易受到其他比WannaCry更为简单的病毒攻击。
Matherly称90%启用了“GUEST访问”的设备，其运行的都是Samba，即Linux文件共享应用程序，它可以使Linux服务器技术能够与Windows的客户端进行连接。 无论是在Windows还是Samba中，默认情况下GUEST访问都是被禁用的，也就是说管理员有意启用该功能。其中一半运行Samba的设备位于阿联酋电信网络，这是一家位于阿联酋的ISP（网络服务提供商），其业务遍及亚洲、中东和非洲17个国家，Matherly对此抱以积极的态度，但只是因为它们局限于单一网络。
虽然“永恒之蓝”不会将运行Samba的Linux机器锁定为攻击目标，但据称，这个在NSA基础上开发的蠕虫病毒WannaCry勒索病毒也不是完全安全的。 自5月底以来，2010年之后发布的所有版本的Samba都容易受到SambaCry的攻击，其中黑客可以将共享库上传为可写共享，然后由服务器加载并执行。
现在有一些修补版本的Samba可用于处理SambaCry漏洞，但还是有大量易受攻击的Samba事件仍在发生。
如果我经营了一个数据中心，我想我应该会向我的客户发送安全公告。显然，并不是每个人都对此加强了重视。