Porta 139 come una delle porte dedicate al Server Message Block (SMB), il protocollo che abilita la comunicazione client-server essenziale per la comunicazione e la condivisione delle risorse tra gli utenti e utilizzato per condividere l’accesso a file, stampanti, porte seriali e altre risorse su una rete.
Le porte 139 sono finite sotto i riflettori dopo gli attacchi zero-day di EternalBlue del 2017. L’exploit è stato progettato per prendere di mira le versioni vulnerabili del protocollo SMB, sfruttando una falla di sicurezza non risolta nei sistemi operativi Windows. Questo tipo di attacco informatico è salito alle cronache con WannaCry, uno degli attacchi ransomware più devastanti nella storia della cybersecurity. Tramite l’anello debole della porta 139, il malware si è diffuso rapidamente in tutto il mondo, criptando i dati degli utenti e richiedendo un riscatto per la decriptazione. L’attacco ha colpito ospedali, aziende e istituzioni governative, causando danni ingenti e mettendo in luce l’importanza di mantenere i sistemi aggiornati e protetti, alzando l’interesse sulla necessità di presidiare la protezione delle porte.
Porte SMB dedicate e vulnerabilità
Le porte dei computer sono valori definiti dal software che identificano un endpoint di comunicazione di rete, svolgendo un ruolo integrale nelle comunicazioni intercomputer. Tutte le connessioni effettuate su una rete, come internet e una rete locale, utilizzano indirizzi IP sorgente e destinazione per identificare univocamente il mittente e il destinatario, e porte sorgente e destinazione per trovare il servizio a cui il messaggio è destinato. Noto come protocollo response-request , il protocollo SMB è uno dei metodi più comuni utilizzati per le comunicazioni di rete.
Una porta è aperta quando è in ascolto per richieste in arrivo. Se una porta rifiuta le richieste di connessione o ignora tutti i pacchetti, è chiusa.
Cosa sono i numeri di porta?
I numeri di porta identificano univocamente ogni porta. I numeri di porta comunemente usati per i servizi internet ben noti sono numerati da 0 a 1023. Includono, ad esempio:
- I server web ascoltano sulla porta 443
- I server DNS ascoltano sulla porta 53
- I server e-mail necessitano delle porte 25 e 110 aperte per i messaggi SMTP e Post Office Protocol
Ogni pacchetto di comunicazione include le porte di destinazione e sorgente. Un client può quindi comunicare con più servizi sullo stesso server poiché i numeri di porta garantiscono che ogni sessione rimanga indipendente.
Porta 139: che cos’è e come funziona
Più in dettaglio, la porta 139 è il protocollo SMB su NetBIOS (Network Basic Input/Output System), un’API che permette alle applicazioni su diversi computer di comunicare all’interno di una rete locale (LAN). Sviluppato originariamente negli anni ’80, NetBIOS fornisce servizi essenziali di rete che facilitano la comunicazione tra dispositivi, senza la necessità di conoscere dettagli complessi sulle reti. L’API viene utilizzata principalmente per consentire ad applicazioni e dispositivi di accedere a risorse condivise, come file e stampanti, situate su altri dispositivi connessi in rete, su una LAN basata su Windows. Tuttavia, proprio perché è stato sviluppata in un’epoca in cui la sicurezza delle reti non era una priorità, questa API presenta diverse vulnerabilità che possono essere sfruttate da attaccanti per ottenere accesso non autorizzato a risorse di rete.
Le versioni di SMB successive a Windows 2000 utilizzano la porta 445 e TCP per consentire al SMB di funzionare tramite Internet.
Quali sono i rischi di sicurezza della porta 139 aperta?
Riassumendo, le porte aperte, se non configurate e protette correttamente, offrono un varco verso un dispositivo e la rete a cui è collegato. Una porta 139 aperta, che consente traffico in entrata da tutti gli indirizzi IP esterni, è potenzialmente pericolosa. Qualsiasi risorsa condivisa, infatti, è esposta a internet pubblico. Un attaccante potrebbe anche eseguire lo strumento diagnostico NetBIOS Nbtstat per ottenere informazioni utili per iniziare a tracciare un sistema che desidera attaccare.
Dunque, se è perfettamente normale avere la porta 139 aperta per abilitare quel protocollo su reti basate su Windows che eseguono NetBIOS (o la porta 445 su Windows 2000 e successivi), quando un’organizzazione non utilizza NetBIOS o non necessita della funzionalità di condivisione di file e stampanti, non c’è motivo di mantenere aperta una porta 139 o una porta 445.
Come proteggere la porta 139 dagli attacchi
Come suggeriscono gli esperti, per trovare le porte in ascolto su un computer, è possibile eseguire il comando netstat -aon su una macchina Windows o netstat -tunpl su una variante Linux. Esistono anche strumenti gratuiti di scansione delle porte, come Nmap e Netcat, che aiutano a rilevare le porte aperte in rete.
A questo punto è bene disabilitare il servizio affinché non sia più in ascolto o creare una regola del firewall per bloccare qualsiasi connessione in entrata a un numero di porta specifico che non è specificamente autorizzato.
I passaggi per completare queste attività dipendono dal sistema operativo in uso sul computer.
Di seguito 7 strategie per proteggere la Porta 139:
1. Disattivare SMBv1 e utilizzare protocolli moderni
Disattivare SMBv1 e adottare protocolli SMB moderni come SMBv2 e SMBv3 è una misura di sicurezza critica per le reti che utilizzano la porta 139. SMBv1, sviluppato nei primi anni ’80, manca delle robuste misure di sicurezza essenziali nell’attuale ambiente informatico, rendendolo vulnerabile ad attacchi man-in-the-middle e malware. Le versioni più recenti, SMBv2 e SMBv3, introducono miglioramenti significativi come la crittografia end-to-end e processi di autenticazione avanzati. Passando a questi protocolli aggiornati, le organizzazioni mitigano i rischi associati a SMBv1 e migliorano le prestazioni e l’efficienza nelle operazioni di condivisione dei file, garantendo un’infrastruttura di rete più sicura e resiliente.
2. Implementare controlli di accesso rigorosi
Per proteggere le risorse condivise su SMB e prevenire l’accesso non autorizzato, adottare politiche di controllo degli accessi basate sul principio del privilegio minimo permette di compartimentare efficacemente le reti, limitando i diritti di accesso solo a quanto necessario per le attività degli utenti. Questo approccio riduce il rischio di minacce interne e limita i danni in caso di compromissione delle credenziali. Inoltre, audit regolari delle autorizzazioni utente e l’implementazione di autenticazione multifattoriale (MFA) aggiungono ulteriori livelli di sicurezza.
3. Utilizzare VPN per l’accesso remoto
Le reti private virtuali (VPN) sono essenziali per migliorare la sicurezza della rete, specialmente per la forza lavoro mobile e remota. Le VPN creano un tunnel sicuro e crittografato su Internet, proteggendo i dati trasmessi da intercettazioni e garantendo l’autenticazione sicura dell’utente remoto prima di concedere l’accesso alle risorse di rete. Questo approccio assicura che tutte le trasmissioni di dati rispettino gli stessi standard di sicurezza come se fossero condotte all’interno dell’ambiente fisico dell’ufficio, riducendo significativamente il rischio di violazioni dei dati e di accesso non autorizzato.
4. Applicare regolarmente aggiornamenti software e patch
L’applicazione regolare di aggiornamenti software e patch è fondamentale per prevenire lo sfruttamento delle vulnerabilità nei sistemi operativi e nei servizi SMB. Prioritizzare l’installazione di questi aggiornamenti permette di chiudere le vie di attacco prima che possano essere sfruttate. Un approccio sistematico e proattivo per mantenere i sistemi aggiornati, inclusa l’automazione del processo di aggiornamento, migliora la sicurezza complessiva, riducendo la finestra di opportunità per gli attaccanti.
5. Monitorare il traffico di rete
Il monitoraggio continuo del traffico di rete, in particolare su porte critiche come la porta 139, è indispensabile per identificare e mitigare potenziali minacce alla sicurezza. Implementando sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS), le organizzazioni possono ottenere informazioni in tempo reale sull’attività di rete, rilevando anomalie indicative di minacce. L’integrazione di questi sistemi con soluzioni di gestione degli eventi e delle informazioni di sicurezza (SIEM) fornisce una visione olistica dell’attività di rete, migliorando il rilevamento e la risposta agli attacchi sofisticati.
6. Istruire e formare gli utenti
L’istruzione e la formazione degli utenti sono cruciali per prevenire violazioni della sicurezza. L’errore umano, spesso dovuto a una mancanza di consapevolezza, può aprire la porta alle minacce informatiche. Implementare programmi di formazione completi che enfatizzino l’importanza dell’igiene della sicurezza informatica, come la gestione delle password e il riconoscimento degli attacchi di phishing, rafforza la postura di sicurezza dell’organizzazione. La formazione dovrebbe includere informazioni sulle vulnerabilità specifiche del protocollo SMB e aggiornamenti regolari per riflettere l’evoluzione delle minacce.
7. Configurazione del firewall
La configurazione accurata del firewall è essenziale per proteggere le reti e controllare l’accesso alla porta 139. Creare regole di firewall che filtrano il traffico potenzialmente dannoso, consentendo solo comunicazioni SMB legittime da fonti affidabili, riduce la superficie vulnerabile agli attacchi. I firewall avanzati con funzionalità di ispezione approfondita dei pacchetti (DPI) migliorano ulteriormente la sicurezza esaminando i dati all’interno dei pacchetti.
