Úgy tűnik, hiába volt emlékezetes lecke a 2003. SQL Slammer flashworm, sokan azóta sem végzik el a házi feladatukat. Miről is szólt ez? Az SQL Slammer egy gyors lefolyású világjárvány volt, alig 30 perc alatt legalább 75 ezer gépet fertőzött meg, később összesítve 750m USD kárt okozott, és az igaz, hogy a maga módján trükkös volt: nem készült fájl, a memóriába töltődött, hálózati csomagokban terjedt, de emellett egy valamire még személetesen felhívta a figyelmet. Nincs hatékony védelem naprakész, lefuttatott hibajavító frissítések nélkül. Ami az SQL Slammer esetében még egy előző évben kiadott, 2002-es patch figyelmen kívül hagyására vezethető vissza.
Azóta azonban már sok víz lefolyt a Dunán, és egyéb folyókon, és joggal gondolhatnánk, hogy ahogy clear textben már senki sem tart jelszavakat (ja nem, hiszen Facebook 540 milliót 2019-ben), úgy ma már ez a frissítés sehol nem maradhat el. Sajnos azonban nem igazán látszik a megtanult lecke, hogy megint egy szemléletes, és a blogban korábban már kivesézett incidenst emlegessünk, az Equifax amerikai hitelminősítő, egyike a három legnagyobbnak, elkerülhette volna a 143 millió adat kiszivárgásával járó informatikai támadást, ha frissítettek volna.
Ami még inkább hajmeresztő, hogy az utólagos forensic vizsgálat azt is kimutatta, nem hogy éppen akkor nem frissítettek, de a cégnél (pénzügyi cég, OMG) nem létezett szabályozott rendje a hibajavításoknak, és nem is volt kinevezett felelőse sem ezen feladatok elvégzésének.
És akkor ráfordulva a friss helyzetre - aminek része az is, hogy már hat éve velünk élő ransomware egyik kedvenc támadási vektora az RDP - vajon látjuk-e a leszűrt tanulságot, a korábbi példákból való tanulást, és a biztonság érdekében elvégzett házi feladatot? A BlueKeep fedőnevű RDP (Remote Desktop Protocol) kritikus sebezhetőségre már két hete, május 14-én figyelmeztetett a Microsoft, mindenki frissítse a CVE-2019-0708-nek megfelelő dolgokat.
A Wannacry incidenshez hasonlóan annyira gálánsak voltak, hogy még az öt éve nem támogatott Windows XP rendszerhez is kiadtak rendkívüli javítófoltot.
Egy biztonsági szakértő, Rob Graham kíváncsiságból elkezdte szkennelgetni az RDP portot, hány helyen van még mindig nyitva, látszik-e a hibajavító frissítés tömeges alkalmazása. Ennek alapján 950 ezer olyan gépet talált, amely sebezhető és sérülékeny.
Biztos van ebben néhány darab honeypot is, de hogy ezek száma nem 950 ezer, az tuti.
Mivel kritikus hibáról van, nem érdemes halogatni a frissítést, és ahogy azt említettük, a súlyosság miatt még külön az őskövület XP-ekre is gondoltak.
Szóval lehet a sebezhetőségre a hivatalos közleményekben figyelmet felhívni, lehet erre előbb-utóbb javítófoltot kiadni, meg lehet erről blogposztokban is oltogatni, ám updatelni viszont már a felhasználóknak maguknak kellene, ehhez nem kell mesterséges intelligencia, elég lenne hozzá a hagyományos.