À propos d'Udalenka, du RDP non protégé et de l'augmentation du nombre de serveurs disponibles sur Internet

En raison de la transition de masse rapide des entreprises vers le travail à distance, le nombre de serveurs d'entreprise disponibles pour les cybercriminels sur Internet augmente rapidement. L'une des principales raisons est l'utilisation du protocole RDP (Remote Desktop Protocol) non protégé. Selon nos données, en seulement une semaine rien qu'en Russie, le nombre d'appareils accessibles depuis Internet via le protocole RDP a augmenté de 15%.



Aujourd'hui, la façon la plus populaire d'organiser le travail à distance est de se connecter à un poste de travail à distance, car le logiciel de connexion à un bureau à distance fait partie de toute version moderne de Windows, et le processus d'un tel travail pour un employé n'est pas différent de l'accès régulier à un système de travail. Pour fournir un accès à distance, le protocole RDP est utilisé, qui utilise par défaut le port 3389.

Malheureusement, en raison de la panique, de nombreuses entreprises ne prêtent pas l'attention voulue à la protection de l'accès à distance au lieu de travail, ce qui pose de nombreuses menaces. Par exemple, il existe des situations où un serveur distant est accessible et visible depuis Internet - n'importe qui peut essayer de s'y connecter. Malgré le besoin d'identification et d'authentification, un attaquant peut forcer un mot de passe ou remplacer un certificat de sécurité. De plus, il existe de nombreuses vulnérabilités connues qui vous permettent d'accéder à un serveur distant même sans avoir à passer par une procédure d'authentification.

Quelle est la pertinence de ces menaces? Pour répondre à cette question, nous avons utilisé différents outils pour analyser et surveiller le nombre d'appareils disponibles sur Internet en utilisant le protocole RDP. Sur la base des données obtenues, nous pouvons conclure qu'en raison du transfert massif d'employés vers le travail à distance, le nombre d'appareils disponibles augmente rapidement. Ainsi, en seulement une semaine, le nombre de serveurs disponibles dans le monde a augmenté de plus de 20% et atteint la barre des 3 millions. Une situation similaire est observée en Russie - la croissance de la part des serveurs disponibles de près de 15%, le nombre total est supérieur à 75 000.





Ces statistiques commencent à faire peur, car il n'y a pas si longtemps, plusieurs vulnérabilités majeures liées au RDP s'étaient atténuées. Mi-2019, une vulnérabilité critique a été découverte sous le numéro CVE-2019-0708, appeléeBlueKeep , et après quelques mois, des informations ont également été publiées sur les vulnérabilités critiques CVE-2019-1181 / 1182, appelées DejaBlue . Le premier et le second ne sont pas directement liés au protocole RDP, mais ils se rapportent aux services de bureau à distance RDS et permettent un fonctionnement réussi en envoyant une demande spéciale via RDP pour obtenir la possibilité d'exécuter du code arbitraire sur un système vulnérable sans même avoir à passer par une procédure d'authentification. Il suffit d'avoir accès à un hôte ou un serveur avec un système Windows vulnérable. Ainsi, tout système accessible depuis Internet est vulnérable si les dernières mises à jour de sécurité Windows ne sont pas installées.

Microsoft a publié des mises à jour de sécurité en temps opportun pour faire face à la menace de BlueKeep et DejaBlue, mais ce ne sont que quelques exemples de menaces connues liées à un accès à distance non sécurisé. Chaque mois, les mises à jour de sécurité de Windows corrigent de nouvelles vulnérabilités découvertes concernant RDP, dont le bon fonctionnement peut entraîner le vol d'informations importantes, ainsi que l'introduction et la propagation rapide de logiciels malveillants dans l'ensemble de l'infrastructure de l'entreprise.

Lors de tout événement de masse, d'autant plus effrayant qu'une pandémie mondiale, le nombre d'attaques contre des organisations augmentera inévitablement. Les entreprises essaient de fournir un accès à distance à tous les employés le plus rapidement possible, mais dans une telle précipitation, il est très facile d'oublier ou de négliger les règles de protection. C'est pourquoi il est extrêmement indésirable d'utiliser un accès à distance ordinaire non protégé au bureau. Il est recommandé d'utiliser un VPN avec une authentification à deux facteurs et de mettre en œuvre un accès à distance basé sur des protocoles sécurisés.