Semaine de la sécurité 19: attaques brutales sur RDP

La transition des employés de bureau vers un site distant a considérablement accru le fardeau des services publics de conférence Web et de partage de fichiers ainsi que de l'infrastructure de l'entreprise. Ce sont deux problèmes fondamentalement différents. Les défaillances Zoom est un problème d'un service dans le contexte de plusieurs applications alternatives. Il n'y a pas de remplacement pour les propres services de l'entreprise, la chute du serveur de messagerie ou VPN natif menace de graves conséquences. Tout le monde n'est pas prêt pour une situation où la plupart des employés sont en dehors du périmètre d'entreprise plus ou moins bâti.

Souvent, la sécurité en souffre: l'accès aux serveurs précédemment ouverts uniquement lorsque le bureau est ouvert, les niveaux de protection pour le VPN, le courrier et le stockage des fichiers sont supprimés. Une situation aussi difficile ne pouvait pas profiter des cybercriminels. Le graphique ci-dessus montre exactement comment cela se produit. Elle montre l'augmentation du nombre d'attaques avec des attaques par force brute sur des serveurs RDP (selon de Kaspersky Lab). Il s'agit de la Russie, l'étude montre également des graphiques pour d'autres pays, mais l'image est la même: une augmentation du nombre d'attaques par force brute à certains moments.

Les attaquants utilisent à la fois des mots de passe par défaut courants et des bases de données à base de code fréquemment utilisées. Pour une infrastructure d'entreprise bien réglée, ce n'est pas un problème, mais les temps sont difficiles, la charge des spécialistes informatiques est élevée et il y a plus de possibilités de se tromper. Les recommandations sont standard: utilisez des mots de passe complexes, idéalement ne rendez pas le serveur RDP accessible de l'extérieur, utilisez l'autorisation au niveau du réseau. L'année dernière, c'est l'ALN qui a rendu difficile l' exploitation de graves vulnérabilités de protocole. Il est conseillé de ne pas inclure RDP du tout lorsque cet accès n'est pas vraiment nécessaire.

Que s'est-il passé d'autre

Une autre vulnérabilité dans les plugins WordPress. Dans l'extension Rechercher et remplacer en temps réel, ils ont découvert une vulnérabilité CSRF qui permettait d'injecter un script malveillant dans un site Web. Trois plugins, avec lesquels vous pouvez créer des services éducatifs basés sur WordPress (LearnDash, LearnPress, LifterLMS), présentent un certain nombre de vulnérabilités conduisant à la divulgation d'informations, à la modification des notes des utilisateurs et à l'escalade de privilèges pour un contrôle complet sur le site.

Les bases de données des comptes d'utilisateurs Zoom piratés sont vendues gratuitement dans le cyber underground. L'un des premiers cas d'apparition d'une collection plutôt modeste de connexions et de mots de passe a été enregistré début avril. La semaine dernière, l'accès était déjà 500 mille comptes. Les bases de données sont vendues à très bon marché ou sont généralement distribuées gratuitement. En raison de la nature éphémère des groupes de discussion, la principale menace de telles fuites est le développement d'une attaque contre d'autres services réseau de l'entreprise. Mais il existe d'autres options: la semaine dernière, le Financial Times a licencié un journaliste qui a écrit sur des questions financières dans un média rival. Il a pris conscience de ces problèmes après s'être connecté à une conférence Web mal protégée.

Les créateurs du cheval de Troie rançongiciel Shade ont téléchargé 750 mille clés sur GitHub pour décrypter les données avec la signature: «Nous nous excusons auprès de toutes les victimes du cheval de Troie.» Un expert de Kaspersky Lab a confirmé (voir le tweet ci-dessus) que les clés fonctionnent.

Une vulnérabilité majeure du logiciel Cisco IOS XE affecte les routeurs SD-WAN.

Une attaque de phishing massive cible les utilisateurs du service de collaboration Microsoft Teams.

F-Secure a décrit en détail la vulnérabilité du logiciel Salt , un projet open source de gestion de l'infrastructure des serveurs.