Новый год: динамика латания дыр SNMP по странам

Новый год: динамика латания дыр SNMP по странам
В прошлом году летом я приводил краткий анализ количества устройств с настройками SNMP по умолчанию (источников SNMP Amplification) по странам. Ради интереса решил из того же shodan сделать новогодний отчет и посмотреть динамику. Год новый, но дыры старые.

http://1u88jj3r4db2x4txp44yqfj1.wpengine.netdna-cdn.com/wp-content/uploads/2014/04/ddos.jpg

Новогодний отчет по SNMP на shodan , по сравнению с июньским, показал такую динамику в интегральном TOP-10:


2016 2017 Fixed, %
Brazil 1430670 1041122 27,23
USA 326735 240677 26,34
India 307155 210282 31,54
Korea 170979 173178 -1,29
China 121235 92019 24,10
Thailand 120263 61077 49,21
Colombia 104903 59178 43,59
Italy 87020 78970 9,25
Turkey 80880 50824 37,16
Iran 79506 57866 27,22

Страны с положительным процентом устранения уменьшили количество устройств с настройками SNMP по умолчанию, с отрицательным - увеличили.

В целом устройств с default SNMP community стало меньше. Если сделать подобный срез по всему миру, то увидим уменьшение количества уязвимых устройств:

TOTAL 3748045 2821398 24,72

Дифференциальный же TOP-10 на базе интегрального по проценту закрытых настроек SNMP по умолчанию выглядит следующим образом:


И в табличном виде:


Country Fixed, %
1 Thailand 49,21
2 Colombia 43,59
3 Turkey 37,16
4 India 31,54
5 Brazil 27,23
6 Iran 27,22
7 USA 26,34
8 China 24,10
9 Italy 9,25
10 Korea -1,29

Итого, из отчета видно, что в IPv4-пространстве мира стало в среднем на 24,7% меньше единиц с SNMP default community, которые дают всем возможность использовать их как источник DDoS-атак.

Возможные причины:
  • Инженеры изменили настройки SNMP по умолчанию
  • Инженеры отключили SNMP как неиспользуемый сервис
  • Хостеры/провайдеры заблокировали источники паразитного трафика
  • Обновленное ПО по умолчанию отключает SNMP
  • Shodan перестал видеть часть уязвимых серверов
  • Ваш вариант
Будем надеяться, что новый год поможет нам закрыть хотя бы старые дыры.
Как закрыть дырявый SNMP - написано здесь .

Alt text

Нидерландах из-за уязвимостей в Microsoft Exchange в магазинах исчез сыр, а в США для устранения последствий взлома сотен компьютеров пришлось привлечь даже ФБР. Смотрите 13 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed