Tentang udalenka, RDP tanpa kondom dan peningkatan jumlah server yang tersedia dari Internet

Karena masa transisi yang cepat dari perusahaan ke pekerjaan jarak jauh, jumlah server perusahaan yang tersedia untuk penjahat dunia maya dari Internet tumbuh dengan cepat. Salah satu alasan utama adalah penggunaan Remote Desktop Protocol (RDP) yang tidak dilindungi. Menurut data kami, hanya dalam satu minggu di Rusia saja, jumlah perangkat yang dapat diakses dari Internet melalui protokol RDP meningkat sebesar 15%.



Saat ini, cara paling populer untuk mengatur pekerjaan jarak jauh adalah menyambungkan ke stasiun kerja jarak jauh, karena perangkat lunak untuk menyambungkan ke desktop jarak jauh adalah bagian dari versi Windows modern mana pun, dan proses pekerjaan semacam itu untuk karyawan tidak berbeda dengan akses reguler ke sistem kerja. Untuk memberikan akses jarak jauh, protokol RDP digunakan, yang secara default menggunakan port 3389.

Sayangnya, karena kepanikan, banyak perusahaan tidak memperhatikan karena melindungi akses jarak jauh ke tempat kerja, yang menimbulkan banyak ancaman. Misalnya, ada situasi ketika server jarak jauh dapat diakses dan terlihat dari Internet - siapa pun dapat mencoba menyambungkannya. Meskipun perlu identifikasi dan otentikasi, penyerang dapat memaksa kata sandi atau mengganti sertifikat keamanan. Selain itu, ada banyak kerentanan yang diketahui yang memungkinkan Anda untuk mengakses server jauh bahkan tanpa harus melalui prosedur otentikasi.

Seberapa relevan ancaman ini? Untuk menjawab pertanyaan ini, kami menggunakan berbagai alat untuk menganalisis dan memantau jumlah perangkat yang tersedia dari Internet menggunakan protokol RDP. Berdasarkan data yang diperoleh, kita dapat menyimpulkan bahwa karena perpindahan massa karyawan ke pekerjaan jarak jauh, jumlah perangkat yang tersedia tumbuh dengan cepat. Jadi, hanya dalam seminggu, jumlah server yang tersedia di dunia meningkat lebih dari 20% dan mencapai angka 3 juta. Situasi serupa diamati di Rusia - pertumbuhan pangsa server yang tersedia hampir 15%, jumlah total lebih dari 75.000.





Statistik ini mulai menakut-nakuti, karena belum lama ini beberapa kerentanan utama terkait dengan RDP mereda. Pada pertengahan 2019, kerentanan kritis ditemukan di bawah nomor CVE-2019-0708, yang disebutBlueKeep , dan setelah beberapa bulan, informasi juga dipublikasikan tentang kerentanan kritis CVE-2019-1181 / 1182, yang disebut DejaBlue . Baik yang pertama maupun yang kedua tidak secara langsung berkaitan dengan protokol RDP, tetapi mereka berhubungan dengan RDS Remote Desktop Services dan memungkinkan operasi yang sukses dengan mengirimkan permintaan khusus melalui RDP untuk mendapatkan kemampuan untuk mengeksekusi kode arbitrer pada sistem yang rentan tanpa harus melalui prosedur otentikasi. Cukup memiliki akses ke host atau server dengan sistem Windows yang rentan. Dengan demikian, sistem apa pun yang dapat diakses dari Internet rentan jika pembaruan keamanan Windows terbaru tidak diinstal.

Microsoft telah meluncurkan pembaruan keamanan secara tepat waktu untuk mengatasi ancaman BlueKeep dan DejaBlue, tetapi ini hanya beberapa contoh ancaman yang diketahui terkait dengan akses jarak jauh yang tidak aman. Setiap bulan, pembaruan keamanan Windows memperbaiki kerentanan baru yang ditemukan terkait RDP, operasi yang sukses yang dapat mengarah pada pencurian informasi penting, serta pengenalan dan penyebaran malware yang cepat di seluruh infrastruktur perusahaan.

Selama setiap peristiwa massal, yang jauh lebih menakutkan dari pandemi global, jumlah serangan terhadap organisasi pasti akan meningkat. Perusahaan berusaha untuk menyediakan akses jarak jauh ke semua karyawan secepat mungkin, tetapi terburu-buru sangat mudah untuk melupakan atau mengabaikan aturan perlindungan. Itulah mengapa sangat tidak diinginkan untuk menggunakan akses jarak jauh biasa yang tidak terlindungi ke desktop. Disarankan untuk menggunakan VPN dengan otentikasi dua faktor dan mengimplementasikan akses jarak jauh berdasarkan protokol aman.