Semana 19 de segurança: ataques de força bruta ao RDP

A transição de funcionários de escritório para um site remoto aumentou seriamente a carga de serviços públicos de conferência na web e compartilhamento de arquivos e a infraestrutura corporativa. Esses são dois problemas fundamentalmente diferentes. Mau funcionamento O zoom é um problema de um serviço no contexto de vários aplicativos alternativos. Não há substitutos para os próprios serviços da empresa, a queda do correio nativo ou do servidor VPN ameaça com sérias conseqüências. Nem todo mundo está pronto para uma situação em que a maioria dos funcionários está fora do perímetro corporativo mais ou menos construído.

Freqüentemente, a segurança sofre por causa disso: o acesso aos servidores abertos anteriormente apenas quando o trabalho no escritório é aberto, os níveis de proteção para VPN, armazenamento de correio e arquivos são removidos. Uma situação tão difícil não poderia tirar proveito dos cibercriminosos. O gráfico acima mostra exatamente como isso acontece. Isso demonstra o crescimento no número de ataques com ataques de força bruta nos servidores RDP (de acordo com a Kaspersky Lab). Esta é a Rússia, o estudo também mostra gráficos para outros países, mas a imagem é a mesma: um aumento no número de ataques de força bruta às vezes.

Os invasores usam senhas padrão comuns e bancos de dados de base de código usados ​​com freqüência. Para uma infraestrutura corporativa bem ajustada, isso não é um problema, mas os tempos são difíceis, a carga sobre os especialistas em TI é alta e há mais oportunidades de cometer erros. As recomendações são padrão: use senhas complexas, idealmente não torne o servidor RDP acessível de fora, use a Autorização em nível de rede. No ano passado, foi o NLA que dificultou a exploração de vulnerabilidades sérias do protocolo. É aconselhável não incluir o RDP quando esse acesso não for realmente necessário.

O que mais aconteceu

Outra vulnerabilidade nos plugins do WordPress. Na extensão Localizar e substituir em tempo real, eles descobriram uma vulnerabilidade de CSRF que permitia que um script malicioso fosse injetado em um site. Três plug-ins, com os quais você pode criar serviços educacionais baseados no WordPress (LearnDash, LearnPress, LifterLMS), possuem várias vulnerabilidades que levam à divulgação de informações, alterando as classificações dos usuários e a escalação de privilégios para concluir o controle do site.

Bancos de dados de contas de usuário Zoom invadidas são vendidos gratuitamente no cyber underground. Um dos primeiros casos de aparecimento de uma coleção bastante modesta de logons e senhas foi registrado no início de abril. Na semana passada, o acesso já era de 500 mil contas. Os bancos de dados são vendidos muito baratos ou geralmente são distribuídos gratuitamente. Devido à natureza efêmera dos grupos de notícias, a principal ameaça de tais vazamentos é o desenvolvimento de um ataque a outros serviços de rede da empresa. Mas existem outras opções: na semana passada, o Financial Times demitiu um repórter que escreveu sobre questões financeiras em uma mídia rival. Ele ficou ciente desses problemas depois de se conectar a uma conferência na web mal protegida.

Os criadores do Trojan Shade ransomware postaram 750 mil chaves no GitHub para descriptografar os dados com a assinatura: "Pedimos desculpas a todas as vítimas do cavalo de Troia". Um especialista da Kaspersky Lab confirmou (veja o tweet acima) que as chaves estão funcionando.

Uma grande vulnerabilidade no software Cisco IOS XE afeta os roteadores SD-WAN.

Um ataque de phishing maciço é direcionado aos usuários do serviço de colaboração Microsoft Teams.

A F-Secure descreveu em detalhes a vulnerabilidade no software Salt , um projeto de código aberto para gerenciar a infraestrutura do servidor.