Acerca de udalenka, RDP sin protección y el aumento en el número de servidores disponibles en Internet

Debido a la apresurada transición masiva de las empresas al trabajo remoto, el número de servidores corporativos disponibles para los cibercriminales desde Internet está creciendo rápidamente. Una de las razones principales es el uso del Protocolo de escritorio remoto (RDP) sin protección. Según nuestros datos, solo en una semana en Rusia, el número de dispositivos accesibles desde Internet a través del protocolo RDP aumentó en un 15%.



Hoy, la forma más popular de organizar el trabajo remoto es conectarse de forma remota a una estación de trabajo, ya que el software para conectarse a un escritorio remoto es parte de cualquier versión moderna de Windows, y el proceso de dicho trabajo para un empleado no es diferente del acceso regular a un sistema de trabajo. Para proporcionar acceso remoto, se usa el protocolo RDP, que por defecto usa el puerto 3389.

Desafortunadamente, debido al pánico, muchas compañías no prestan la debida atención a proteger el acceso remoto al lugar de trabajo, lo que plantea muchas amenazas. Por ejemplo, hay situaciones en las que un servidor remoto es accesible y visible desde Internet; cualquiera puede intentar conectarse a él. A pesar de la necesidad de identificación y autenticación, un atacante puede forzar una contraseña o reemplazar un certificado de seguridad. Además, hay muchas vulnerabilidades conocidas que le permiten acceder a un servidor remoto incluso sin tener que pasar por un procedimiento de autenticación.

¿Cuán relevantes son estas amenazas? Para responder a esta pregunta, utilizamos varias herramientas para analizar y monitorear la cantidad de dispositivos disponibles en Internet utilizando el protocolo RDP. Con base en los datos obtenidos, podemos concluir que debido a la transferencia masiva de empleados al trabajo remoto, el número de dispositivos disponibles está creciendo rápidamente. Entonces, en solo una semana, el número de servidores disponibles en el mundo aumentó en más del 20% y alcanzó la marca de 3 millones. Una situación similar se observa en Rusia: el crecimiento de la proporción de servidores disponibles en casi un 15%, el número total es más de 75,000.





Estas estadísticas están comenzando a asustar, porque no hace mucho tiempo varias vulnerabilidades importantes relacionadas con RDP se extinguieron. A mediados de 2019, se descubrió una vulnerabilidad crítica con el número CVE-2019-0708, llamadaBlueKeep , y después de unos meses, también se publicó información sobre las vulnerabilidades críticas CVE-2019-1181 / 1182, llamada DejaBlue . Tanto el primero como el segundo no están directamente relacionados con el protocolo RDP, pero se relacionan con los Servicios de escritorio remoto RDS y permiten una operación exitosa al enviar una solicitud especial a través de RDP para obtener la capacidad de ejecutar código arbitrario en un sistema vulnerable sin tener que pasar por un procedimiento de autenticación. Es suficiente tener acceso a un host o servidor con un sistema Windows vulnerable. Por lo tanto, cualquier sistema accesible desde Internet es vulnerable si no se instalan las últimas actualizaciones de seguridad de Windows.

Microsoft ha publicado actualizaciones de seguridad de manera oportuna para abordar la amenaza de BlueKeep y DejaBlue, pero estos son solo algunos ejemplos de amenazas conocidas relacionadas con el acceso remoto inseguro. Cada mes, las actualizaciones de seguridad de Windows corrigen nuevas vulnerabilidades descubiertas con respecto a RDP, cuya operación exitosa puede conducir al robo de información importante, así como a la introducción y propagación rápida de malware en toda la infraestructura de la empresa.

Durante cualquier evento masivo, aún más aterrador como una pandemia global, el número de ataques contra organizaciones aumentará inevitablemente. Las empresas intentan proporcionar acceso remoto a todos los empleados lo más rápido posible, pero con tanta prisa es muy fácil olvidar o descuidar las reglas de protección. Es por eso que es extremadamente indeseable usar acceso remoto ordinario sin protección al escritorio. Se recomienda usar una VPN con autenticación de dos factores e implementar acceso remoto basado en protocolos seguros.