Hi, wir haben gestern mal munter mit dem Scanner von R. Graham (erratasec)
1k Systeme in der RWTH gefunden. Die Admins wurden informiert.
Genau ein (in Zahlen: 1) System war weltweit erreichbar, die Freischaltung wurde entzogen. Aktives "exploitieren" der Verwundbarkeit wurde noch nicht gesehen, allerdings scheint das Potential hoch. Gruß, Jens Hektor P.S. FAQ: Q: da ist doch ne Firewall vor, oder? A: ja P.P.S. a) der Firewallhersteller erkennt das Exploit wohl in der non-SSL Variante, so etwas liegt hier aber eher selten vor. Beim Aufbrechen der Verschlüsselung an sich ist man noch nicht soweit. Mal ganz abgesehen vom Key-Management bei RDP. b) der Security-Check via Greenbone fand die Systeme nicht. Da vor allem Systeme mit Erreichbarkeit aus dem Internet gecheckt werden, betrifft das die wenigsten. P.P.S. Danke an alle, die schon gepatcht haben. P.P.P.S An die, die noch nicht gepatcht ahen: # # # # ##### ####### ### # # # # # # # ### # # # # # # ### ####### # # ##### # # # # # # # # # # # # # # # ### # # ##### ##### # ### Am 28.05.19 um 13:44 schrieb Bernd Kohler:
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)"
--> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht).
VG
Bernd
p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben.
[0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html
[2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8b...