¿Quiero llorar? Cientos de escuelas de EE. UU. aún no han parcheado los servidores [Updated]

Si se pregunta por qué el ransomware sigue siendo un problema tan grande para los gobiernos estatales y locales y otras instituciones públicas, todo lo que tiene que hacer para obtener una respuesta es hurgar un poco en Internet. Los datos de escaneo de seguridad de acceso público muestran que muchas organizaciones públicas no han hecho más que poner una venda sobre las vulnerabilidades del sistema de larga data que, si se explotan con éxito, podrían paralizar sus operaciones.

Si bien aún se desconoce el método por el cual el ransomware RobbinHood infectó la red de la ciudad de Baltimore hace dos semanas, los expertos dentro del gobierno de la ciudad han señalado los esfuerzos incompletos de la Oficina de Tecnología de la Información para controlar la maraña de software de la ciudad, servidores obsoletos, y una amplia infraestructura de red. Baltimore ni siquiera es la única ciudad que ha sido atacada por ransomware en el último mes: Lynn, Massachusetts, y Cartersville, Georgia, ambos tuvieron sistemas de pago electrónico desconectados por ransomware este mes. Greenville, Carolina del Norte, fue atacada por el mismo ransomware RobbinHood que afectó a Baltimore en abril.

Pero las ciudades no son los únicos objetivos altamente vulnerables que pueden encontrar los posibles atacantes. Hay cientos de miles de sistemas Windows conectados a Internet en los Estados Unidos que todavía parecen ser vulnerables a un exploit del protocolo de intercambio de archivos Server Message Block versión 1 (SMB v. 1) de Microsoft Windows, a pesar de las repetidas advertencias públicas para parchear los sistemas. tras el brote mundial del malware criptográfico WannaCry hace dos años. Y según los datos del motor de búsqueda Shodan y otras fuentes públicas, cientos de ellos, si no miles, son servidores en uso en los sistemas escolares públicos de EE. UU. Incluso en los casos en los que se aplicó el parche de Microsoft de SMB v. 1, el protocolo sigue siendo un problema de seguridad potencial, que algunas organizaciones no pueden cerrar por completo porque algunos proveedores aún requieren el protocolo para aplicaciones como copiadoras y escáneres en red.

Mientras realizaba una investigación como seguimiento de nuestra cobertura del ataque de ransomware en curso de la ciudad de Baltimore, Ars descubrió que el sistema de escuelas públicas del vecino condado de Baltimore tenía ocho servidores de acceso público que aún se ejecutaban en configuraciones que indicaban que eran vulnerables a EternalBlue, el exploit Equation Group. expuesto por Shadow Brokers en abril de 2023 y luego utilizado como parte del malware WannaCry un mes después. El exploit ahora está empaquetado como parte de múltiples kits de malware, según los investigadores de seguridad.

«Consultaré con nuestro equipo de TI»

Ars se comunicó con un portavoz de las Escuelas Públicas del Condado de Baltimore (BCPS) la semana pasada, quien respondió: «Consultaré con nuestro equipo de TI». BCPS no respondió más, pero el equipo de TI del sistema escolar configuró el filtrado de solicitudes de SMB en el firewall del distrito, según los datos técnicos recopilados por Ars: el mínimo necesario para evitar un ataque de un clon de WannaCry. Sin embargo, no está claro si el condado de Baltimore aplicó el parche para el exploit dentro de su red, lo que significa que un ataque de malware basado en EternalBlue aún podría propagarse si un atacante se afianzara en la red del distrito.

Y desafortunadamente, hay decenas de otros sistemas escolares y otras instituciones estatales y locales que ejecutan servidores expuestos. Y los sistemas contados son solo aquellos a los que se puede acceder directamente desde Internet, por lo que representan solo una fracción de la vulnerabilidad potencial al ransomware u otro malware. Algunos de los otros distritos que albergan la mayor cantidad de sistemas potencialmente vulnerables incluyen:

• El Distrito Escolar Unificado de Montebello en el condado de Los Ángeles, California
• Distrito Escolar Unificado de Fresno en Fresno, California [Update, May 23, 8:34 AM ET– a Fresno IT official told Ars that the district had since identified «a few servers that for some reason were allowed to pass SMB traffic via their NAT [firewalls]», y que el uso continuado de SMB v.1 en las redes escolares se debió a » Ricoh y HP por admitir solo el escaneo SMB1 en sus copiadoras/escáneres». » dijo el funcionario..]
• 9 distritos escolares en el estado de Washington, utilizando direcciones IP propiedad de la Cooperativa de procesamiento de información escolar de Washington. [Update, May 29, 3:00 PM— An official at the Washington School Information Processing Cooperative told Ars that the IP addresses of the vulnerable systems are owned by WSIPC, «but once they are in use by districts, we have no control of their maintenance or settings.»]
• Distrito Escolar Unión de Cupertino en San José, California [Update, May 22, 1:00PM – Cupertino Union’s IT director told Ars that patches have been applied and that SMB 1 is in the process of being disabled across the district’s network.]

Además, el hecho de que estos sistemas permanezcan sin parches dos años completos después de WannaCry, y después de que Microsoft lanzó parches de emergencia incluso para sistemas operativos que ya no son compatibles, plantea la pregunta de qué otros parches de seguridad críticos no parchearon estas organizaciones.

Hay algunas aberraciones en los datos de Shodan. Por ejemplo, Shodan asoció 230 instancias de servidores Windows vulnerables con un distrito escolar público en Littleton, Colorado. Pero eso fue una mala lectura de los bloques de direcciones asociados con los sistemas; de hecho, eran máquinas virtuales que pertenecían a un proveedor de alojamiento alemán que compartía el mismo bloque de direcciones IP. Esas no son buenas noticias, solo muestran cuán generalizada es la falta de parches en todo el mundo.