33 milhões de servidores Microsoft RDP vulneráveis sob ataque de DDoS. Pesquisadores alertam que hackers estão explorando o Remote Desktop Protocol para invadir servidores.
Hackers estão explorando o protocolo RDP (Remote Desktop Protocol) para invadir servidores Microsoft vulneráveis e amplificar ataques distribuídos de negação de serviço (DDoS, na sigla em inglês), de acordo com um relatório da Netscout.
Em maio do ano passado, mostramos aqui no Blog que a McAfee apontou que cibercriminosos estavam explorando o trabalho remoto atacando portas RDP e que havia registrado um aumento crescente no número de ataques às portas RDP (Remote Desktop Protocol) expostas à Internet. O estudo destacou ainda outra maneira pela qual os cibercriminosos estão explorando o enorme aumento de pessoas que trabalham em casa como resultado do COVID-19.
No total, o relatório a McAfee mostrou que o número de portas RDP expostas à Internet aumentou de três milhões para 4,5 milhões no período de janeiro a março de 2020. Isso levou a um aumento nos ataques às portas RDP e a um aumento no volume credenciais de RDP vendidas em mercados subterrâneos.
Agora os pesquisadores da Netscout, fornecedora de soluções de segurança cibernética, identificaram cerca de 33 mil servidores Microsoft RDP vulneráveis que podem ser usados por operadores de ameaças para aumentar seus ataques DDoS. RDP é um protocolo de comunicação proprietário da Microsoft que os administradores de sistema e funcionários usam para se conectar remotamente a sistemas e serviços corporativos.
O serviço Microsoft Remote Desktop Protocol (RDP) incluído nos sistemas operacionais Microsoft Windows se destina a fornecer acesso de infraestrutura de desktop virtual remoto (VDI) autenticado a estações de trabalho e servidores baseados em Windows. O serviço RDP pode ser configurado por administradores de sistemas Windows para rodar em TCP / 3389 e / ou UDP / 3389.
Quando ativado em UDP / 3389, o serviço RDP do Microsoft Windows pode ser abusado para lançar ataques de reflexão / amplificação UDP com uma taxa de amplificação de 85,9: 1. O tráfego de ataque amplificado consiste em pacotes UDP não fragmentados originados de UDP / 3389 e direcionados para o (s) endereço (s) IP de destino e porta (s) UDP de escolha do invasor. Em contraste com o tráfego de sessão RDP legítimo, os pacotes de ataque amplificado têm consistentemente 1.260 bytes de comprimento e são preenchidos com longas sequências de zeros. Aproximadamente 33.000 servidores Windows RDP abusivos foram identificados até o momento.
Os tamanhos de ataque observados variam de ~ 20 Gbps – ~ 750 Gbps. Como é rotineiramente o caso com vetores de ataque DDoS mais recentes, parece que após um período inicial de emprego por atacantes avançados com acesso à infraestrutura de ataque DDoS sob medida, a reflexão / amplificação RDP foi transformada em arma e adicionada aos arsenais do chamado booter / estressante Serviços DDoS de aluguel, colocando-os ao alcance da população geral de invasores.
Em alguns casos, os pesquisadores da Netscout encontraram uma taxa de amplificação de 85,9: 1, o que significa que para cada 10 gigabytes por segundo (Gbps) de solicitações direcionadas a um servidor RDP, o hacker poderia redirecionar 860 Gbps de tráfego de rede no endereço IP de destino.
As agência americanas FBI – Federal Bureau of Investigation – e o DHS – Department of Homeland Security – emitiram uma alerta conjunto em outubro de 2018 alertando que desde 2016 os atques de RDP estão em alta . As agências alertaram aos consumidores e empresas sobre o uso crescente da ferramenta de administração do protocolo RDP como um vetor de ataque. Em julho de 2020, o FBI alertou que, desde o início da pandemia COVID-19, os agentes de ameaças têm usado vários meios para amplificar e conduzir ataques DDoS maiores e mais destrutivos.
Impacto colateral
O impacto colateral dos ataques de reflexão / amplificação RDP é potencialmente muito alto para organizações cujos servidores Windows RDP são usados como refletores / amplificadores. Isso pode incluir a interrupção parcial ou total dos serviços de acesso remoto de missão crítica, bem como a interrupção do serviço adicional devido ao consumo de capacidade de trânsito, esgotamento da tabela de estado de firewalls com estado, balanceadores de carga, etc.
A filtragem de atacado de todo o tráfego originado de UDP / 3389 por operadoras de rede pode potencialmente bloquear o tráfego legítimo da Internet, incluindo respostas legítimas de sessão remota RDP.
Fatores mitigantes
O impacto colateral de servidores Windows RDP abusados pode alertar os administradores de sistemas para desabilitar o serviço baseado em UDP ou implantar servidores Windows RDP atrás de concentradores VPN, evitando assim que sejam utilizados em ataques de reflexão / amplificação RDP.
Ações Recomendadas
Os operadores de rede devem realizar o reconhecimento para identificar servidores Windows RDP abusivos em suas redes e / ou nas redes de seus clientes downstream. É altamente recomendável que os servidores RDP sejam acessíveis apenas por meio de serviços VPN para protegê-los de abusos. Se os servidores RDP que oferecem acesso remoto via UDP não puderem ser movidos imediatamente para trás dos concentradores de VPN, é altamente recomendável que o RDP via UDP / 3389 seja desativado como uma medida provisória.
Toda infraestrutura de rede, arquitetura e práticas recomendadas operacionais (BCPs) de rede relevantes devem ser implementadas pelos operadores de rede.
Organizações com propriedades de Internet voltadas ao público críticas para os negócios devem garantir que toda infraestrutura de rede, arquitetura e BCPs operacionais relevantes foram implementados, incluindo políticas de acesso de rede específicas da situação que permitem apenas o tráfego de Internet por meio de portas e protocolos IP necessários. O tráfego da rede de acesso à Internet do pessoal interno da organização deve ser desconsiderado do tráfego da Internet de / para propriedades da Internet voltadas para o público e servido por meio de links upstream de trânsito da Internet separados.
As defesas DDoS para todas as propriedades de Internet voltadas ao público e infraestrutura de suporte devem ser implementadas de maneira apropriada à situação, incluindo testes periódicos para garantir que quaisquer alterações nos servidores / serviços / aplicativos da organização sejam incorporadas ao seu plano de defesa DDoS. Ambos os recursos orgânicos de mitigação DDoS inteligente no local devem ser combinados com serviços de mitigação de DDoS upstream baseados em nuvem ou trânsito para garantir a máxima capacidade de resposta e flexibilidade durante um ataque.
Segundo a Netscout é imperativo que as organizações que operam propriedades e / ou infraestruturas de Internet voltadas para o público de missão crítica garantam que todos os servidores / serviços / aplicativos / datastores / elementos de infraestrutura estejam protegidos contra ataques DDoS e incluídos em testes periódicos e realistas do plano de mitigação de DDoS da organização. Em muitos casos, encontramos situações em que elementos óbvios, como servidores da Web voltados para o público, foram protegidos de forma adequada, mas servidores DNS autorizados, servidores de aplicativos e outros elementos essenciais de entrega de serviço foram negligenciados, deixando-os vulneráveis a ataques.
Ref: Netscout