Učestali napadi na RDP zbog prelaska na rad od kuće

Učestali napadi na RDP zbog prelaska na rad od kuće

backdoor RDP

Sve je veći broj napada na infrastrukturu tvrtki koju koriste zaposlenici koji rade iz udobnosti svoga doma uslijed COVID-19 pandemije. Remote Desktop Protocol (RDP) korisnicima omogućava povezati se s Windows radnim stanicama i poslužiteljima. Međutim, veliki broj RDP poslužitelja je izravno spojen na mrežu, što mrežu tvrtke zbog neadekvatne konfiguracije izlaže napadima. Gotovo sve države se suočavaju s velikim porastom napada na otvorene RDP usluge od početka ožujka. Brute-force napadi se vrše tako što automatiziani alati ubacuju kombinacije korisničkih imena i lozinki s listi prethodno ugroženih korisničkih podataka, nasumično generiranih na licu mjesta ili iz rječnika korisničkih podataka. Nakon što napadač pogodi pravu kombinaciju, dobiva pun pristup, što znači da može ukrasti osjetljive informacije, ubaciti zlonamjernu datoteku ili izvršiti lateralnu kretnju kroz mrežu i procijeniti što je najisplativije napraviti u sljedećim koracima.

Brute-force napadači nisu uvijek uspješni, ali biraju područja djelovanja. Prateći trend prelaska na rad od kuće koji su nametnule COVID-19 okolnosti pretpostavlja da će broj neadekvatno konfiguriranih RDP poslužitelja porasti, pa će tako slijediti i rast u broju napada. Na primjer, broj ovakvih napada na otvorene RDP poslužitelje se u SAD-u povećao s oko 200 000 početkom ožujka na čak 1 200 000 početkom travnja. Trenutno na svijetu ima preko 4 600 000 uređaja na mreži s otvorenim RDP-om. RDP se koristi za povezivanje s radnim stanicama i poslužiteljima, ali je potrebno poduzeti korake kako bi proces bio siguran, što podrazumijeva sljedeće:

  • Snažne lozinke.
  • RDP treba biti dostupan samo putem korporativnog VPN-a.
  • Autentifikacija na nivou mreže (NLA).
  • Dvofaktorska autentifikacija, ukoliko je moguće.
  • Ukoliko se ne koristi RDP, onemogućiti port 3389.

Također, poželjno je omogućiti zaključavanje računa kako bi se blokirali brute-force napadi, s obzirom da se tako privremeno blokira pokušaj prijave nakon određenog broja neuspješnih pokušaja. Isto tako, omogućavanje provjere računa može pomoći u sprječavanju ovih napada, jer administratori mogu vidjeti na kojim se računima ponavljaju greške neuspješnih prijava. Ukoliko se koristi VNC protokol za rad od kuće, također je veća izloženost napadima, jer je u studenom prošle godine otkriveno na desetine ranjivosti u Linux i Windows VNC klijentima. Za mjeru zaštite se preporučuje da se klijenti ne povezuju na nepoznate VNC poslužitelje i da administratori konfiguriraju autentifikaciju na poslužitelju koristeći jedinstvenu, snažnu lozinku.

Prethodna objava Slijedeća objava