Fem minutter fra afsløring til scanning

Verden begyndte at scanne efter Exchange Server-sårbarheder blot fem minutter efter, at Microsoft fortalte om dem

Angribere begyndte at scanne efter sårbarheder kun fem minutter efter, at Microsoft meddelte, at der var fire nul-dagssårbarheder i Exchange Server. Mens andre, der forsøgte at udnytte sårbarhederne, gjorde det inden for et kvarter. efter at detaljerne var blevet frigivet. Det skriver The Register på baggrund af en rapport fra Palo Alto Networks.

De pågældende 0-dagssårbarheder er dem, der blev afsløret af Microsoft i forbindelse med en sikkerhedsopdatering i starten af marts, men som bl.a. Dubex fandt ud af havde været kendt siden starten af januar.

10 dollar i leje

Forskningsdirektøren hos Palo Alto Networks siger i en kommentar til rapporten, at en angriber kun behøver at bruge omkring 10 dollars til leje af cloud computing-power nok til at lave upræcis scanning af hele internettet efter sårbare systemer. Han peger på, at teknologien kan bruges til både gode og mindre gode formål; søgemaskiner som Shodan og GrayHatWarfare er bygget på det.

Omkring en tredjedel af ’overordnede sikkerhedsproblemer’, som Palo Alto har bemærket, relaterede sig til dårligt konfigurerede RDP-opsætninger (Remote Desktop Protocol), hvor cloud-miljøer er ansvarlige for 80 procent af kritiske sårbarheder, der blev set under det, som Palo Alto Networks beskrev som scanninger af ’offentligt vendt internetangreb på nogle af verdens største virksomheder.’

Rapportens konklusioner er enslydende med andre observationer, der er gjort ifm. afsløring af sårbarheder. The Register nævner et eksempel fra sidste år med en researcher ved SANS, der så lignende ondsindet scanningsaktivitet ifm. afsløring Citrix-sårbarheder. 

Links:

https://www.theregister.com/2020/07/09/citrix_bugs_proof_of_concept_exploits/