Nog 16.000 servers besmet met NSA-backdoor DoublePulsar

[Captain Kirk]

Nog altijd 16.000 servers wereldwijd zijn besmet met de NSA-backdoor "DoublePulsar" en ruim 90.000 servers missen de beveiligingsupdate voor het SMB-lek in Windows waardoor de backdoor kan worden geïnstalleerd en dat ook door de WannaCry-ransomware werd gebruikt om zich te verspreiden.

Dat blijkt uit een scan die zoekmachine Shodan uitvoerde. DoublePulsar werd bij de NSA gestolen en kwam in handen van de hackergroep Shadow Brokers, die de backdoor in april op internet zette. De backdoor wordt geïnstalleerd nadat er via een exploit toegang tot een server is gekregen. Het kan dan gaan om de EternalBlue-exploit van de NSA, die gebruik maakt van een SMB-lek in Windows dat in maart door Microsoft werd gepatcht.

Op het hoogtepunt waren zo'n 100.000 servers met DoublePulsar geïnfecteerd. Het aantal daalde echter sterk na de uitbraak van de WannaCry-ransomware. Volgens John Matherly van Shodan laat dit zien dat mensen de gelekte NSA-exploits niet op grote schaal tegen kwetsbare SMB-servers inzetten. Ook stelt Matherly dat in theorie alle Windows SMB-servers die via internet toegankelijk zijn inmiddels gepatcht horen te zijn. Toch ontdekte Shodan nog altijd 91.000 servers die de update voor het SMB-lek in Windows missen en zo risico lopen om te worden aangevallen.

 

 

 

bron: security.nl