4,1 миллиона открытых RDP-портов — открытое приглашение для хакеров

Задача исследователей кибербезопасности — постоянно отслеживать возможные области атак. Один из методов, который мы используем, — это сканирование портов разной степени сложности, которое показывает, какие векторы угроз подвергаются потенциальным злоумышленникам. Иногда, когда обнаруживается открытый порт — порт, который следует закрыть — обнаруживается, что существуют более серьезные проблемы, чем сам порт.

Так обстоит дело с недавним глобальным сканированием, проведенным исследователями безопасности в Rapid7. В отчете, опубликованном 9 августа, член сообщества Rapid7 jhart7 подробно описал недавнее сканирование портов, которое показало 11 миллионов устройств с открытыми онлайн-портами 3389/TCP. Проблема была не обязательно в самом порте, а скорее в том факте, что примерно 4,1 миллиона портов 3389/TCP специально используют протокол RDP.

Протокол удаленного рабочего стола (RDP) был создан Microsoft для «возможностей удаленного отображения и ввода через сетевые подключения для приложений на базе Windows, работающих на сервере». Из многих возможностей, которыми обладает RDP, наиболее актуальными для вопросов безопасности являются многочисленные удаленные элементы управления, разрешенные протоколом. Именно по этой причине, как указывает jhart7 в своем отчете, RDP по умолчанию отключен во всех версиях Windows.

Так в чем тогда проблема? Реальность такова, что RDP часто включается в бизнес-средах. Согласно jhart7:

RDP отключен по умолчанию для всех версий Windows, но очень часто используется во внутренних сетях для простоты использования в различных задачах, таких как администрирование и поддержка. Я не могу вспомнить место, где я работал, где бы он не использовался в каком-либо качестве. Нельзя отрицать удобство, которое он обеспечивает.

RDP, без сомнения, является полезным протоколом, и при правильном использовании его шифрования он может быть относительно безопасным. Реальность такова, и в этом суть проблемы, что протоколы RDP, описанные в этом отчете, доступны любому опытному хакеру. Как отмечает Каталин Чимпану из Bleeping Computer, «RDP был… главной целью для хакеров на протяжении десятилетий». Далее он цитирует отчет Webroot от марта 2017 года, в котором «RDP упоминается как излюбленный метод доставки программ-вымогателей», и отчет «Лаборатории Касперского», в котором подтверждается преступная связь RDP через «xDedic, онлайн-сервис, который продавал доступ почти к 70 000 взломанных серверов RDP». ”

Многие из этих проблем сводятся к человеческим ошибкам, поскольку администраторы не включают аутентификацию, используют упрощенные учетные данные или не используют брандмауэр для фильтрации доступа к машине RDP. Однако в отчете Rapid7 упоминается высокая поддержка администраторами таких методов, как более надежные протоколы аутентификации, такие как CredSSP. Кроме того, администраторы должны более внимательно относиться к тому, как они используют этот протокол в своей повседневной работе.

В конечном счете, это гонка со временем, чтобы защитить эти открытые RDP-машины, все 4,1 миллиона из них, поскольку любой нулевой день, применяемый в массовом масштабе, может привести к массовому удаленному захвату или развертыванию вредоносных программ против влиятельных организаций.