Semana de la seguridad 19: ataques de fuerza bruta contra RDP

La transición de los trabajadores de oficina a un sitio remoto ha aumentado seriamente la carga tanto para las conferencias web públicas como para los servicios de intercambio de archivos y la infraestructura corporativa. Estos son dos problemas fundamentalmente diferentes. Malfunctions Zoom es un problema de un servicio en el contexto de varias aplicaciones alternativas. No hay reemplazos para los servicios propios de la compañía, la caída del correo nativo o el servidor VPN amenaza con serias consecuencias. No todos están preparados para una situación en la que la mayoría de los empleados están fuera del perímetro corporativo más o menos urbanizado.

A menudo, la seguridad se ve afectada por esto: el acceso a los servidores que antes estaban abiertos solo cuando se trabaja desde la oficina está abierto, los niveles de protección para VPN, correo y almacenamiento de archivos se eliminan. Una situación tan difícil no podría aprovecharse de los cibercriminales. El gráfico anterior muestra exactamente cómo sucede esto. Esto demuestra el crecimiento en el número de ataques con ataques de fuerza bruta en los servidores RDP (de acuerdo a Kaspersky Lab). Esto es Rusia, el estudio también muestra gráficos para otros países, pero la imagen es la misma: un aumento en el número de ataques de fuerza bruta a veces.

Los atacantes usan contraseñas predeterminadas comunes y bases de datos de base de código de uso frecuente. Para una infraestructura corporativa bien ajustada, esto no es un problema, pero los tiempos son difíciles, la carga de especialistas en TI es alta y hay más oportunidades para cometer un error. Las recomendaciones son estándar: use contraseñas complejas, idealmente no haga que el servidor RDP sea accesible desde el exterior, use la autorización de nivel de red. El año pasado, fue el NLA lo que dificultó la explotación de vulnerabilidades serias del protocolo. Es aconsejable no incluir RDP en absoluto cuando dicho acceso no sea realmente necesario.

Que mas paso

Otra vulnerabilidad en los complementos de WordPress. En la extensión Buscar y reemplazar en tiempo real, descubrieron una vulnerabilidad CSRF que permitía inyectar un script malicioso en un sitio web. Tres complementos, con los que puede crear servicios educativos basados ​​en WordPress (LearnDash, LearnPress, LifterLMS), tienen una serie de vulnerabilidades que conducen a la divulgación de información, cambios en las calificaciones de los usuarios y la escalada de privilegios para un control completo sobre el sitio.

Las bases de datos de cuentas de usuario hackeadas de Zoom se venden libremente en el ciber underground. A principios de abril se registró uno de los primeros casos de aparición de una colección bastante modesta de inicios de sesión y contraseñas . La semana pasada, el acceso ya era de 500 mil cuentas. Las bases de datos se venden a un precio muy bajo o generalmente se distribuyen de forma gratuita. Debido a la naturaleza efímera de los grupos de noticias, la principal amenaza de tales filtraciones es el desarrollo de un ataque contra otros servicios de red de la empresa. Pero hay otras opciones: la semana pasada, el Financial Times despidió a un periodista que escribió sobre problemas financieros en un medio rival. Se dio cuenta de estos problemas después de conectarse a una conferencia web mal protegida.

Los creadores de la sombra de Troya ransomware subido 750 mil llaves en GitHub para descifrar los datos con la firma: “Pedimos disculpas a todas las víctimas del troyano.” Un experto de Kaspersky Lab confirmó (ver el tweet anterior) que las teclas están funcionando.

Una vulnerabilidad importante en el software Cisco IOS XE afecta a los enrutadores SD-WAN.

Un ataque de phishing masivo se dirige a los usuarios del servicio de colaboración de Microsoft Teams.

F-Secure describió en detalle la vulnerabilidad en el software Salt , un proyecto de código abierto para administrar la infraestructura del servidor.