أسبوع الأمن 19: هجمات الوحشية على RDP

أدى انتقال العاملين في المكاتب إلى موقع بعيد إلى زيادة العبء بشكل كبير على كل من مؤتمرات الويب العامة وخدمات مشاركة الملفات والبنية التحتية للشركات. هذان مشكلتان مختلفتان جوهريًا. يعد Malfunctions Zoom مشكلة في خدمة واحدة على خلفية العديد من التطبيقات البديلة. لا توجد بدائل لخدمات الشركة الخاصة ، ويهدد سقوط البريد الأصلي أو خادم VPN بعواقب وخيمة. ليس الجميع جاهزين لموقف يكون فيه معظم الموظفين خارج محيط الشركة المبني إلى حد ما.

غالبًا ما يعاني الأمان بسبب هذا: الوصول إلى الخوادم المفتوحة سابقًا فقط عند فتح العمل من المكتب ، تتم إزالة مستويات الحماية للشبكة الظاهرية الخاصة والبريد وتخزين الملفات. لا يمكن لمثل هذا الوضع الصعب الاستفادة من المجرمين الإلكترونيين. يوضح الرسم البياني أعلاه بالضبط كيف يحدث هذا. يوضح نمو عدد الهجمات بهجمات القوة الغاشمة على خوادم RDP (وفقًا لـ Kaspersky Lab). هذه هي روسيا ، وتظهر الدراسة أيضًا رسومًا بيانية لدول أخرى ، لكن الصورة هي نفسها: زيادة في عدد هجمات القوة الغاشمة في بعض الأحيان.

يستخدم المهاجمون كلاً من كلمات المرور الافتراضية الشائعة وقواعد بيانات قواعد التعليمات البرمجية شائعة الاستخدام. بالنسبة إلى البنية التحتية للشركات المضبوطة جيدًا ، هذه ليست مشكلة ، ولكن الأوقات صعبة ، والحمل على أخصائيي تكنولوجيا المعلومات مرتفع ، وهناك المزيد من الفرص لارتكاب خطأ. التوصيات قياسية: استخدم كلمات مرور معقدة ، من الناحية المثالية لا تجعل خادم RDP يمكن الوصول إليه من الخارج ، استخدم إذن مستوى الشبكة. في العام الماضي ، كان جيش التحرير الوطني هو الذي جعل من الصعب استغلال ثغرات بروتوكول خطيرة. من المستحسن عدم تضمين RDP على الإطلاق عندما لا يكون هذا الوصول مطلوبًا حقًا.

ماذا حدث

ثغرة أخرى في ملحقات WordPress. في ملحق Real-Time Find and Replace ، اكتشفوا ثغرة CSRF التي سمحت بإدخال نص برمجي ضار إلى موقع ويب. هناك ثلاثة مكونات إضافية ، يمكنك من خلالها إنشاء خدمات تعليمية تستند إلى WordPress (LearnDash و LearnPress و LifterLMS) ، ولديها عدد من نقاط الضعف التي تؤدي إلى الكشف عن المعلومات وتغيير تصنيفات المستخدم وتصعيد الامتيازات حتى السيطرة الكاملة على الموقع.

يتم بيع قواعد بيانات حسابات مستخدم Zoom المخترقة بحرية في عالم الإنترنت. كان واحدا من أولى حالات ظهور مجموعة متواضعة من تسجيل الدخول وكلمات السر المسجلة في أوائل أبريل. الأسبوع الماضي ، كان الوصول بالفعل 500 ألف حساب. يتم بيع قواعد البيانات إما بسعر رخيص جدًا أو يتم توزيعها مجانًا بشكل عام. نظرًا للطبيعة المؤقتة لمجموعات الأخبار ، فإن التهديد الرئيسي لمثل هذه التسريبات هو تطوير هجوم على خدمات الشبكة الأخرى للشركة. لكن هناك خيارات أخرى: في الأسبوع الماضي ، قامت صحيفة فاينانشال تايمز بطرد مراسل كتب عن القضايا المالية في وسائل الإعلام المنافسة. لقد أدرك هذه المشاكل بعد اتصاله بمؤتمر ويب ضعيف الحماية.

قام مبتكرو برنامج Shade Ransomware Trojan بتحميل 750 ألف مفتاح على GitHub لفك تشفير البيانات بالتوقيع: "نعتذر لجميع ضحايا حصان طروادة". أكد خبير في Kaspersky Lab (انظر تغريدة أعلاه) أن المفاتيح تعمل. تؤثر

الثغرة الرئيسية في برنامج Cisco IOS XE على أجهزة توجيه SD-WAN. يستهدف

هجوم التصيد الاحتيالي الضخم مستخدمي خدمة تعاون Microsoft Teams. وصف F-Secure بالتفصيل الثغرة الأمنية في برنامج Salt ، وهو مشروع مفتوح المصدر لإدارة البنية التحتية للخادم.