Upptäckten att hamnarna 135 och 137 är öppna på ett målsystem antyder starkt närvaron av
Microsoft Windows tjänster och indikerar potentiellt sårbarheter. Låt oss bryta ner vad dessa portar betyder:
* port 135 (RPC Endpoint Mapper): Detta är den primära porten för RPC -tjänst för fjärrprocedur (RPC) i Windows. RPC är en mekanism som tillåter applikationer på olika datorer att kommunicera med varandra. En öppen port 135 innebär att systemet accepterar RPC -förfrågningar, vilket potentiellt kan avslöja många tjänster beroende på vilka andra tjänster som körs och konfigureras för att använda RPC. Detta är ett betydande säkerhetsproblem eftersom angripare kan använda det för att räkna upp andra öppna tjänster och potentiellt utnyttja sårbarheter inom dessa tjänster.
* port 137 (NetBios Name Service): Denna port används av NetBIOS -namntjänsten, också främst associerad med Windows. NetBIOS är ett nätverksprotokoll som används för att lösa datornamn till IP -adresser i ett lokalt nätverk. Även om det inte i sig är en enorm säkerhetsrisk på egen hand, betyder dess närvaro ofta ett Windows -system och hjälper angripare att bekräfta sitt mål. Dessutom kan det användas i samband med andra verktyg för att samla in ytterligare information om nätverket.
Implikationer för en angripare:
Att hitta dessa portar öppna gör det möjligt för en angripare att:
* räknar upp tjänster: Använd verktyg som `rpcinfo" (på Linux/Unix -system) eller andra RPC -uppräkningsverktyg för att upptäcka andra tjänster som körs på systemet som använder RPC. Detta kan exponera tjänster med kända sårbarheter.
* Lanseringsattacker mot specifika tjänster: När andra tjänster har identifierats kan angriparen undersöka och utnyttja kända sårbarheter inom dessa tjänster (t.ex. sårbarheter i specifika RPC-baserade applikationer som Samba, om den körs på ett icke-windows-system).
* Få nätverksinformation: Port 137 kan användas i samband med andra verktyg för att kartlägga nätverket och identifiera andra enheter.
* Utför ytterligare rekognosering: Denna första upptäckt hjälper angriparen att förfina sin attackstrategi.
Mitigation:
Systemadministratörer bör:
* Inaktivera onödiga tjänster: Kör bara de tjänster som krävs för systemets funktion.
* Keep Systems Patched: Tillämpa regelbundet säkerhetsuppdateringar för att lappa kända sårbarheter i RPC och andra tjänster.
* Begränsa nätverksåtkomst: Använd brandväggar för att begränsa åtkomsten till portarna 135 och 137 från otillförlitliga nätverk.
* Implementera intrångsdetektering/förebyggande system (IDS/IPS): Dessa kan upptäcka och blockera skadlig aktivitet som riktar sig till dessa portar.
* princip för minst privilegium: Kör tjänster med minsta nödvändiga behörigheter.
Kort sagt är upptäckten av hamnarna 135 och 137 öppna en betydande säkerhetsröd flagga och bör undersökas och åtgärdas omedelbart. Det ökar risken för en framgångsrik attack.
