AbuseBSI: Offene NetBIOS-Namensdienste in AS24940

Jan 16, 2017 21:03 · 268 words · 2 minute read monitoring

На днях получил письмо из Федерального управления по информационной безопасности (BSI) о уязвимости на ряде серверов. Речь шла о NetBIOS, который потенциально мог использоваться при DDoS-атаках на сторонние сервисы — давайте разберемся!

Важность данного уведомления показалась мне слегка преувеличенной, но тем не менее я решил принять меры. Для начала убедимся, что служба NetBIOS на серверах доступна для любого желающего в Интернете, для этого воспользуемся утилитой nmblookup:

nmblookup -A 89.184.80.162
Looking up status of 89.184.80.162
	WEB1            <00> -  B 
	WEB1            <03> -  B 
	WEB1            <20> -  B 
	WORKGROUP       <00> -  B 
	WORKGROUP       <1e> -  B 

	MAC Address = 00-00-00-00-00-00

Если же служба недоступна/выключена (или ее просто нет), то ответ (после некоторой задержки) будет выглядеть следующим образом:

nmblookup -A 89.184.80.172
Looking up status of 89.184.80.172
No reply from 89.184.80.172

Далее специалисты из управления информационной безопасности советуют либо отключить службу NetBIOS-over-TCP/IP (если она не используется), либо ограничить доступ для входящих соединений на порт 137/udp с помощью файрволла.

В моем случае нужды в данном сервисе нет, поэтому я выбрал первый вариант. Подключаемся к удаленному хосту и проверяем используется ли указанный выше порт:

netstat -napl | grep 137
udp        0      0 89.184.80.162:137       0.0.0.0:*                           1518/nmbd
udp        0      0 89.184.80.163:137       0.0.0.0:*                           1518/nmbd
udp        0      0 192.168.15.255:137      0.0.0.0:*                           1518/nmbd
udp        0      0 192.168.15.21:137       0.0.0.0:*                           1518/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           1518/nmbd

Останавливаем сервис nmbd:

systemctl stop nmdb.service

Проверяем использование порта еще раз:

netstat -napl | grep 137

И «маскируем» сервис, чтобы он более не запускался:

systemctl mask nmbd.service
Created symlink from /etc/systemd/system/nmbd.service to /dev/null.

Проделываем перечисленные действия для всех серверов с указанной уязвимостью (список в письме), благодарим сотрудников управления информационной безопасности и сообщаем что устранили уязвимость.

tweet Share