حول udalenka ، RDP غير المحمي وزيادة عدد الخوادم المتاحة من الإنترنت

نظرًا للانتقال الجماعي المتسرع للشركات إلى العمل عن بُعد ، فإن عدد خوادم الشركات المتاحة لمجرمي الإنترنت من الإنترنت يتزايد بسرعة. أحد الأسباب الرئيسية هو استخدام بروتوكول سطح المكتب البعيد (RDP) غير المحمي. وفقًا لبياناتنا ، في أسبوع واحد فقط في روسيا وحدها ، زاد عدد الأجهزة التي يمكن الوصول إليها من الإنترنت عبر بروتوكول RDP بنسبة 15٪.



اليوم ، الطريقة الأكثر شيوعًا لتنظيم العمل عن بُعد هي الاتصال عن بُعد بمحطة عمل ، نظرًا لأن برنامج الاتصال بسطح المكتب البعيد هو جزء من أي إصدار حديث من Windows ، ولا تختلف عملية هذا العمل للموظف عن الوصول المنتظم إلى نظام العمل. لتوفير الوصول عن بعد ، يتم استخدام بروتوكول RDP ، والذي يستخدم بشكل افتراضي المنفذ 3389.

لسوء الحظ ، وبسبب الذعر ، لا تولي العديد من الشركات الاهتمام الواجب لحماية الوصول عن بعد إلى مكان العمل ، مما يشكل العديد من التهديدات. على سبيل المثال ، هناك حالات يكون فيها الخادم البعيد متاحًا ومرئيًا من الإنترنت - يمكن لأي شخص محاولة الاتصال به. على الرغم من الحاجة إلى التعريف والمصادقة ، يمكن للمهاجم فرض كلمة مرور أو استبدال شهادة أمان. بالإضافة إلى ذلك ، هناك العديد من نقاط الضعف المعروفة التي تسمح لك بالوصول إلى خادم بعيد حتى دون الحاجة إلى الخضوع لإجراء المصادقة.

ما مدى صلة هذه التهديدات؟ للإجابة على هذا السؤال ، استخدمنا أدوات متنوعة لتحليل ومراقبة عدد الأجهزة المتاحة من الإنترنت باستخدام بروتوكول RDP. استنادًا إلى البيانات التي تم الحصول عليها ، يمكننا أن نستنتج أنه نظرًا للنقل الجماعي للموظفين إلى العمل عن بُعد ، فإن عدد الأجهزة المتاحة ينمو بسرعة. لذلك ، في غضون أسبوع واحد فقط ، زاد عدد الخوادم المتاحة في العالم بأكثر من 20٪ ووصل إلى علامة 3 ملايين. لوحظ وضع مماثل في روسيا - نمو حصة الخوادم المتاحة بنسبة 15٪ تقريبًا ، والعدد الإجمالي أكثر من 75000. بدأت





هذه الإحصاءات في التخويف ، لأنه منذ وقت ليس ببعيد تلاشت العديد من الثغرات الرئيسية المتعلقة بـ RDP. في منتصف 2019 ، تم اكتشاف ثغرة خطيرة تحت الرقم CVE-2019-0708 ، المسمىBlueKeep ، وبعد بضعة أشهر ، تم نشر معلومات أيضًا حول نقاط الضعف الحرجة CVE-2019-1181 / 1182 ، المسماة DejaBlue . لا يرتبط كل من الأول والثاني بشكل مباشر ببروتوكول RDP ، لكنهما يتعلقان بخدمات سطح المكتب البعيد RDS ويسمحان بالتشغيل الناجح عن طريق إرسال طلب خاص من خلال RDP للحصول على القدرة على تنفيذ التعليمات البرمجية التعسفية على نظام ضعيف دون الحاجة إلى الخضوع لإجراء المصادقة. يكفي أن يكون لديك حق الوصول إلى مضيف أو خادم به نظام Windows ضعيف. وبالتالي ، فإن أي نظام يمكن الوصول إليه من الإنترنت يكون عرضة للخطر إذا لم يتم تثبيت آخر تحديثات أمان Windows.

أصدرت Microsoft تحديثات الأمان في الوقت المناسب لمعالجة تهديد BlueKeep و DejaBlue ، ولكن هذه ليست سوى أمثلة قليلة على التهديدات المعروفة المتعلقة بالوصول غير الآمن عن بعد. كل شهر ، تعمل تحديثات أمان Windows على إصلاح الثغرات الجديدة المكتشفة فيما يتعلق بـ RDP ، والتي يمكن أن يؤدي تشغيلها الناجح إلى سرقة المعلومات المهمة ، بالإضافة إلى إدخال البرامج الضارة وانتشارها السريع عبر البنية التحتية الكاملة للشركة.

خلال أي أحداث جماهيرية ، وكلما ازداد انتشار الخوف من الوباء العالمي ، سيزداد عدد الهجمات على المنظمات حتمًا. تحاول الشركات توفير الوصول عن بعد إلى جميع الموظفين في أسرع وقت ممكن ، ولكن في مثل هذه السرعة من السهل جدًا نسيان أو تجاهل قواعد الحماية. هذا هو السبب في أنه من غير المرغوب فيه للغاية استخدام الوصول العادي غير المحمي عن بعد إلى سطح المكتب. يوصى باستخدام VPN بمصادقة ثنائية وتنفيذ الوصول عن بُعد استنادًا إلى البروتوكولات الآمنة.