* Porta 135 (RPC Endpoint Mapper): Questa è la porta principale per il servizio RPC (Remote Procedure Call) in Windows. RPC è un meccanismo che consente alle applicazioni su computer diversi di comunicare tra loro. Una porta aperta 135 significa che il sistema accetta le richieste RPC, esponendo potenzialmente numerosi servizi a seconda di quali altri servizi sono in esecuzione e configurati per utilizzare RPC. Questo è un problema di sicurezza significativo perché gli aggressori possono usarlo per enumerarsi altri servizi aperti e potenzialmente sfruttare le vulnerabilità all'interno di tali servizi.
* Porta 137 (servizio Nome Netbios): Questa porta viene utilizzata dal servizio di nome NetBiOS, anche principalmente associato a Windows. Netbios è un protocollo di rete utilizzato per risolvere i nomi dei computer agli indirizzi IP su una rete locale. Sebbene non sia intrinsecamente un enorme rischio per la sicurezza da sola, la sua presenza spesso significa un sistema di Windows e aiuta gli aggressori a confermare il loro obiettivo. Inoltre, può essere utilizzato insieme ad altri strumenti per raccogliere ulteriori informazioni sulla rete.
Implicazioni per un attaccante:
Trovare queste porte aperte consente a un attaccante di:
* Enumerate Services: Utilizzare strumenti come `rpcinfo` (su sistemi Linux/Unix) o altri strumenti di enumerazione RPC per scoprire altri servizi in esecuzione sul sistema che utilizzano RPC. Ciò potrebbe esporre servizi con vulnerabilità note.
* Avvia attacchi contro servizi specifici: Una volta identificati altri servizi, l'attaccante può ricercare e sfruttare le vulnerabilità note all'interno di tali servizi (ad esempio, le vulnerabilità in specifiche applicazioni basate su RPC come Samba, se è in esecuzione su un sistema non Windows).
* Ottieni informazioni sulla rete: La porta 137 può essere utilizzata insieme ad altri strumenti per mappare la rete e identificare altri dispositivi.
* Condurre ulteriore ricognizione: Questa scoperta iniziale aiuta l'attaccante a perfezionare la loro strategia di attacco.
Mitigazione:
Gli amministratori di sistema dovrebbero:
* Disabilita i servizi non necessari: Eseguire solo i servizi necessari per la funzione del sistema.
* Mantieni i sistemi patchati: Applicare regolarmente aggiornamenti di sicurezza alle vulnerabilità note di patch in RPC e in altri servizi.
* limitare l'accesso alla rete: Utilizzare i firewall per limitare l'accesso alle porte 135 e 137 da reti non attendibili.
* Implementare sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS): Questi possono rilevare e bloccare l'attività dannosa che mira a queste porte.
* Principio del minimo privilegio: Eseguire servizi con le autorizzazioni minime necessarie.
In breve, la scoperta delle porte 135 e 137 aperte è una significativa bandiera rossa di sicurezza e dovrebbe essere studiata e corretta immediatamente. Aumenta significativamente il rischio di un attacco di successo.
hardware © www.354353.com