Pekan Keamanan 19: serangan bruteforce terhadap RDP

Transisi pekerja kantor ke situs jarak jauh telah secara serius meningkatkan beban pada konferensi web publik dan layanan berbagi file dan infrastruktur perusahaan. Ini adalah dua masalah yang berbeda secara mendasar. Crashing Zoom adalah masalah layanan tunggal dengan beberapa aplikasi alternatif. Tidak ada penggantian untuk layanan perusahaan sendiri, jatuhnya email asli atau server VPN mengancam dengan konsekuensi serius. Tidak semua orang siap untuk situasi di mana sebagian besar karyawan berada di luar batas perusahaan yang lebih atau kurang dibangun.

Seringkali, keamanan menderita karena ini: akses ke server yang sebelumnya hanya dibuka ketika bekerja dari kantor dibuka, tingkat perlindungan untuk VPN, penyimpanan surat dan file dihapus. Situasi yang sulit seperti itu tidak dapat mengambil keuntungan dari penjahat cyber. Grafik di atas menunjukkan dengan tepat bagaimana hal ini terjadi. Ini menunjukkan pertumbuhan jumlah serangan dengan serangan brute force pada server RDP (menurut ke Kaspersky Lab). Ini adalah Rusia, penelitian ini juga menunjukkan grafik untuk negara-negara lain, tetapi gambarannya sama: peningkatan jumlah serangan brute force pada waktu-waktu tertentu.

Penyerang menggunakan kedua kata sandi standar umum dan basis data kode yang sering digunakan. Untuk infrastruktur perusahaan yang disesuaikan dengan baik, ini bukan masalah, tetapi kali ini sulit, beban pada spesialis TI tinggi, dan ada lebih banyak peluang untuk membuat kesalahan. Rekomendasi standar: gunakan kata sandi yang kompleks, idealnya jangan membuat server RDP dapat diakses dari luar, gunakan Otorisasi Level Jaringan. Tahun lalu, NLA yang membuatnya sulit untuk mengeksploitasi kelemahan protokol yang serius. Dianjurkan untuk tidak memasukkan RDP sama sekali ketika akses tersebut tidak benar-benar diperlukan.

Apa lagi yang terjadi

Kerentanan lain dalam plugin WordPress. Dalam ekstensi Real-Time Find and Replace, mereka menemukan kerentanan CSRF yang memungkinkan skrip berbahaya untuk disuntikkan ke situs web. Tiga plugin, yang dengannya Anda dapat membuat layanan pendidikan berdasarkan WordPress (LearnDash, LearnPress, LifterLMS), memiliki sejumlah kerentanan yang mengarah pada pengungkapan informasi, mengubah peringkat pengguna dan peningkatan hak istimewa hingga kontrol penuh atas situs.

Basis data akun pengguna Zoom yang diretas dijual secara bebas di cyber underground. Salah satu kasus pertama dari munculnya koleksi login dan kata sandi yang agak sederhana didaftarkan pada awal April. Pekan lalu, akses sudah 500 ribu akun. Database dijual sangat murah atau umumnya didistribusikan secara gratis. Karena sifat sementara newsgroup, ancaman utama dari kebocoran tersebut adalah pengembangan serangan terhadap layanan jaringan lain dari perusahaan. Tetapi ada pilihan lain: Pekan lalu, Financial Times memecat seorang reporter yang menulis tentang masalah keuangan di media saingan. Dia menyadari masalah ini setelah dia terhubung ke konferensi web yang kurang terlindungi.

Pencipta Trojan Shade ransomware mengunggah 750 ribu kunci di GitHub untuk mendekripsi data dengan tanda tangan: "Kami meminta maaf kepada semua korban trojan." Seorang ahli di Kaspersky Lab mengkonfirmasi (lihat tweet di atas) bahwa kunci berfungsi.

Kerentanan utama dalam perangkat lunak Cisco IOS XE memengaruhi router SD-WAN.

Serangan phishing besar-besaran menargetkan pengguna layanan kolaborasi Microsoft Teams.

F-Secure menjelaskan secara rinci kerentanan dalam perangkat lunak Salt , proyek sumber terbuka untuk mengelola infrastruktur server.