Strežnike Windows RDP, ki se izvajajo na vratih UDP 3389, je mogoče ujeti v botnete DDoS in jih zlorabiti za odbijanje in povečanje neželenega prometa proti omrežjem žrtev.
Združbe kibernetskega kriminala zlorabljajo sisteme Windows Remote Desktop Protocol (RDP) za zavrnitev in povečanje neželenega prometa kot del napadov DDoS, je varnostno podjetje Netscout povedalo v opozorilo v torek.
Vseh strežnikov RDP ni mogoče zlorabiti, ampak samo sisteme, kjer je avtentikacija RDP omogočena tudi na vratih UDP 3389 poleg standardnih vrat TCP 3389.
Netscout je dejal, da lahko napadalci pošljejo napačno oblikovane pakete UDP na vrata UDP strežnikov RDP, ki bodo ki se odbije do tarče napada DDoS, se poveča v velikosti, kar povzroči neželeni promet, ki prizadene tarčo sistem.
Temu varnostni raziskovalci pravijo faktor ojačanja DDoS in napadalcem omogoča dostop omejeni viri za zagon obsežnih napadov DDoS s povečanjem neželenega prometa s pomočjo izpostavljenega interneta sistemi.
V primeru RDP je Netscout dejal, da je faktor ojačanja 85,9, pri čemer napadalci pošljejo nekaj bajtov in ustvarijo "napadne pakete", ki so "konsistentno dolgi 1260 bajtov."
Faktor 85,9 uvršča RDP v vrh vektorjev ojačanja DDoS, s podobnimi strežniki Jenkins (~100), DNS (do 179), WS-Discovery (300-500), NTP (~550) in Memcached ( ~50.000).
Strežniki RDP so že zlorabljeni za napade iz resničnega sveta
Toda slabe novice se ne končajo pri faktorju ojačanja. Netscout je dejal, da so akterji groženj prav tako izvedeli za ta novi vektor, ki je zdaj močno zlorabljen.
»Kot se rutinsko dogaja pri novejših vektorjih napadov DDoS, se zdi, da po začetnem obdobju zaposlitve naprednih napadalcev z dostopom do prilagojene infrastrukture napadov DDoS RDP refleksija/ojačitev je bila oborožena in dodana v arzenal tako imenovanih zagonskih/streserskih DDoS-storitev za najem, s čimer je dosegljiva splošni populaciji napadalcev," so povedali raziskovalci.
Netscout zdaj poziva sistemske skrbnike, ki izvajajo strežnike RDP, izpostavljene v internetu, da preklopijo sisteme brez povezave, na enakovredna vrata TCP ali strežnike RDP postavite za VPN-je, da omejite, kdo lahko komunicira z ranljivimi sistemi.
Trenutno Netscout pravi, da zaznava več kot 33.000 strežnikov RDP, ki so izpostavljeni na spletu in delujejo na vratih UDP 3389.
Od decembra 2018 je na dan prišlo pet novih razširitvenih virov DDoS. Ti vključujejo Protokol omejene aplikacije (CoAP), the Dinamično odkrivanje spletnih storitev (WS-DD) protokol, Apple Remote Management Service (ARMS), Jenkinsove strežnike, in Prehodi Citrix.
Po podatkih FBI, so bili prvi štirje zlorabljeni v napadih iz resničnega sveta.
Varnost
- 8 navad zelo varnih delavcev na daljavo
- Kako najti in odstraniti vohunsko programsko opremo iz telefona
- Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
- Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej