No dia 21/04, foi identificada a maior movimentação hacker já vista na história da HackNet em busca de um serviço.
A busca pelo serviço de SSH teve um aumento repentino de mais de 1.000x em relação ao tráfego considerado normal.
O serviço foi buscado por mais de 12.000 IPs diferentes, vindos de 127 países, totalizando 1.450.854 tentativas de acesso.
Top 10 países por quantidade de atacantes:
2130 United Kingdom
2050 Taiwan
1875 United States
698 Japan
571 Russia
451 South Korea
402 Australia
398 Italy
333 Canada
327 Argentina
Partindo do pressuposto de que um serviço não seria tão procurado se não houvesse uma grande possibilidade de realizar algum tipo de exploração, a NetSensor fez um trabalho de investigação a respeito da exposição desse serviço na Internet, chegando a resultados preocupantes, muito embora eles não devam surpreender grande parte dos profissionais de segurança.
Dentre os itens identificados destacamos:
Uma grande quantidade de exposições do serviço, provavelmente sem a real necessidade, seja por descuido durante a implementação, seja por uma má escolha da solução usada para atender uma demanda específica.
Serviços permitindo a enumeração dos compartilhamentos disponíveis.
Grande parte dos serviços expostos então em redes de Clouds pública
Será que vamos ver um novo CVE envolvendo alguma implementação de SSH?
Será que é apenas uma busca por vulnerabilidades já conhecidas e/ou credenciais fracas/vazadas?
O fato é que, se você possui servidor(es) com SSH dentre as dezenas de milhões existente hoje na internet, deve ficar atento!
Pode parecer clichê, algo trivial, mas infelizmente não é:
“Revisem exposições desnecessárias do serviço de SSH”.
Embora existam diversas vulnerabilidades em serviços e aplicações de mercado, as maiores vulnerabilidades continuam sendo inseridas por pessoas, seja por descuido, falta de conhecimento ou prazos curtos de entrega.
Leia também:
Comments