100.000 thiết bị vẫn còn bị ảnh hưởng bởi lỗ hổng SMBGhost
An toàn thông tin - Ngày đăng : 21:32, 04/11/2020
Lỗ hổng có số hiệu CVE-2020-0796 có tính nguy cấp với số điểm CVSS là 10, đã được xử lý vào tháng 3 năm 2020 qua bản cập nhật "ngoại lệ" (out-of-band). Nhiều tuần sau đó, thông tin về cách mà lỗ hổng bị lợi dụng để leo thang các đặc quyền và gây ra tình trạng từ chối dịch vụ đã được công khai.
Những bằng chứng PoC về khả năng thực thi mã từ xa qua SMBGhost đã được công bố trên Internet vài tháng sau đó và tiếp đến là các cuộc tấn công lợi dụng lỗ hổng đã xuất hiện. Trước tình hình đó, những nỗ lực vá lỗ hổng dường như đã bị đình trệ.
Theo Jan Kopriva, trưởng nhóm ứng phó sự cố bảo mật máy tính của CIRST ALEF và là cộng tác viên của SANS ISC, khi lần đầu tiên công bố công khai bằng chứng về việc khai thác lỗ hổng, nghiên cứu Shodan thấy hiển thị lên 100.000 hệ thống bị lỗ hổng.
Ông giải thích rằng các hệ thống phát hiện thường tìm ra sự ảnh hưởng của một lỗ hổng cụ thể. Tuy nhiên, cách thức chính xác mà công cụ tìm kiếm xác định khả năng một máy có bị các tấn công SMBGhost vẫn chưa rõ ràng. "Nếu cơ chế phát hiện của nó chính xác thì có vẻ như vẫn còn hơn 103.000 máy bị ảnh hưởng từ Internet. Điều này cũng có nghĩa là máy có chứa lỗ hổng ẩn sau khoảng 8% trong tổng số IP có cổng 445 đang mở".
Dữ liệu thu thập từ Shodan trong suốt 8 tháng qua cho thấy, mặc dù đã có các nỗ lực vá lỗi, nhưng số lượng thiết bị còn tồn tại lỗ hổng vẫn ở mức cao, gần như không đổi so với năm trước.
Nhà nghiên cứu cũng phát hiện ra rằng Đài Loan dường như là quốc gia bị ảnh hưởng nhiều nhất, tiếp theo là Nhật Bản, Nga, Hoa Kỳ, Ấn Độ và Brazil.
Nhà nghiên cứu cho biết: "Thật khó nói tại sao vẫn còn nhiều máy chưa được vá lỗi. Microsoft đã phát hành bản vá ngoại lệ cho lỗ hổng CVE-2020-0796 thay vì một phần của bản vá Tuesday thông thường, nhưng đây chỉ là bản vá đặc biệt và nó không có ý nghĩa nhiều rằng lý do tại sao bản vá vẫn không được áp dụng trên nhiều hệ thống".
Kopriva cũng chỉ ra rằng, nếu Shodan là một công cụ cho kết quả chính xác thì số lượng lớn các máy vẫn còn lỗ hổng là một điều đáng lo ngại, vì SMBGhost là một "wormable" (nghĩa là mọi phần mềm độc hại trong tương lai đều có thể khai thác lỗ hổng này và lan truyền từ máy tính này sang máy tính khác theo cách tương tự).