Σύμφωνα με μια νέα έρευνα, πάνω από 100.000 υπολογιστές εξακολουθούν να είναι ευάλωτοι σε μια ευπάθεια των Windows που είναι γνωστή ως SMBGhost. Ο αριθμός είναι εξαιρετικά μεγάλος, αν λάβουμε υπόψη ότι έχει κυκλοφορήσει patch εδώ και μισό χρόνο.
Η ευπάθεια SMBGhost είναι γνωστή και ως CVE-2020-0796 και έχει λάβει βαθμολογία 10 στην κλίμακα σοβαρότητας ευπαθειών. Επομένως, πρόκειται για μια κρίσιμη ευπάθεια, που όμως διορθώθηκε τον Μάρτιο του 2020 με μια έκτακτη ενημέρωση. Μερικές εβδομάδες μετά, κυκλοφόρησαν πληροφορίες σχετικά με το πώς μπορεί να χρησιμοποιηθεί η ευπάθεια για την απόκτηση περισσότερων προνομίων σε ένα ευάλωτο σύστημα.
Επιπλέον, δύο μήνες μετά, κυκλοφόρησε και ο proof-of-concept (PoC) code για απομακρυσμένη εκτέλεση κώδικα (RCE). Λίγο αργότερα, παρατηρήθηκαν οι πρώτες επιθέσεις που εκμεταλλεύονταν την ευπάθεια SMBGhost.
Ωστόσο, σύμφωνα με τον Jan Kopriva, επικεφαλής της ομάδας ALEFs Computer Security Incident Response Team (CSIRT) και μέλος του SANS ISC, η ευπάθεια έλαβε την απαιτούμενη προσοχή όταν ανακαλύφθηκε και όταν κυκλοφόρησε ο PoC, αλλά οι αναζητήσεις μέσω Shodan δείχνουν ότι πάνω από 100.000 συστήματα εξακολουθούν να είναι ευάλωτα στο σφάλμα SMBGhost.
Το Shodan χρησιμοποιείται συχνά για την ανίχνευση συστημάτων που επηρεάζονται από μια συγκεκριμένη ευπάθεια.
“Αν ο μηχανισμός ανίχνευσης του Shodan είναι ακριβής, φαίνεται ότι υπάρχουν ακόμη περισσότερα από 103.000 ευάλωτα μηχανήματα, προσβάσιμα από το Διαδίκτυο“, λέει ο ερευνητής.
Σύμφωνα με το Securityweek, τα δεδομένα που συγκεντρώθηκαν από το Shodan τους τελευταίους οκτώ μήνες δείχνουν ότι, πριν μερικούς μήνες, οι προσπάθειες διόρθωσης της ευπάθειας ήταν έντονες, αλλά τον τελευταίο καιρό έχουν μειωθεί σημαντικά, με αποτέλεσμα πολλά συστήματα να παραμένουν απροστάτευτα.
Ο ερευνητής ανακάλυψε, επίσης, ότι η Ταϊβάν είναι η χώρα με τις περισσότερες ευάλωτες συσκευές. Ακολουθούν η Ιαπωνία, η Ρωσία, οι ΗΠΑ, η Ινδία και η Βραζιλία.
“Είναι δύσκολο να πούμε γιατί εξακολουθούν να υπάρχουν τόσα πολλά μη ενημερωμένα μηχανήματα. Η Microsoft κυκλοφόρησε μια έκτακτη ενημέρωση για τη διόρθωση της ευπάθειας CVE-2020-0796. Δεν αποτελούσε μέρος του συνηθισμένου πακέτου διορθώσεων της Τρίτης (Patch Tuesday), αλλά αυτό ήταν το μοναδικό ασυνήθιστο πράγμα και δεν είναι λογικό να είναι αυτή η αιτία για τη μη εφαρμογή της ενημέρωσης σε τόσα πολλά συστήματα“, σημειώνει ο ερευνητής.
Τέλος, ο Kopriva επισημαίνει ότι αν το Shodan είναι ένα πραγματικά ακριβές εργαλείο, πρέπει να ανησυχούμε για τον τεράστιο αριθμό ευάλωτων συσκευών, αφού η ευπάθεια SMBGhost είναι “wormable” και επιτρέπει την εκτέλεση κώδικα.