Los actores de amenazas pueden aprovechar los servidores RDP de Windows para amplificar los ataques DDoS - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los actores de amenazas pueden aprovechar los servidores RDP de Windows para amplificar los ataques DDoS

Hola otra vez. Te escribe Eduardo Arroyo y esta vez hablaremos sobre Los actores de amenazas pueden aprovechar los servidores RDP de Windows para amplificar los ataques DDoS

Los actores de amenazas pueden aprovechar los servidores RDP de Windows para amplificar los ataques DDoS

Los investigadores de Netscout identifican más de 14.000 servidores existentes que pueden ser utilizados indebidamente por la «población general de ataque» para inundar las redes de las organizaciones con tráfico.

Los ciberdelincuentes pueden aprovechar el Protocolo de escritorio remoto de Microsoft (RDP) como una herramienta poderosa para amplificar la denegación de servicio distribuida (ataques DDoS), según ha descubierto una nueva investigación.

Los atacantes pueden abusar de RDP para lanzar ataques de reflexión / amplificación de UDP con una relación de amplificación de 85,9: 1, dijo el ingeniero principal Roland Dobbins y el analista senior de seguridad de redes Steinthor Bjarnason de Netscout en un informe publicado Online esta semana.

Sin embargo, no todos los servidores RDP se pueden utilizar de esta forma. Solo es posible cuando el servicio está habilitado en el puerto UDP 3389 que se ejecuta en el puerto TCP estándar 3389, dijeron los investigadores.

Hasta ahora, Netscout ha identificado más de 14.000 servidores RDP de Windows «abusivos» que los atacantes pueden utilizar indebidamente en ataques DDoS, una noticia preocupante en un momento en el que este tipo de ataque va en aumento debido al aumento del volumen de personas Online durante la pandemia de coronavirus en curso.

Este riesgo se destacó a principios de esta semana cuando los investigadores identificaron una nueva variante de malware llamada Freakout que agregó puntos finales a una botnet para atacar dispositivos Linux con ataques DDoS.

Además, aunque inicialmente solo los atacantes avanzados con acceso a «una infraestructura de ataque DDoS personalizada» utilizaron este método de amplificación, los investigadores también observaron que los llamados «booters» estaban abusando de los servidores RDP en los servicios DDoS alquilados, afirmó. Esto significa que la «población general de atacantes» también puede utilizar este modo de amplificación para aumentar el peso de sus ataques DDoS.

RDP es una parte del sistema operativo Microsoft Windows que proporciona acceso autenticado a Infraestructura de escritorio virtual remoto (VDI) a estaciones de trabajo y servidores basados ​​en Windows. Los administradores del sistema pueden configurar RDP para que se ejecute en el puerto TCP 3389 y / o en el puerto UDP 3389.

Los atacantes pueden enviar tráfico de ataque amplificado, que se compone de paquetes UDP no fragmentados que se originan en el puerto UDP 3389, para apuntar a una dirección IP particular y un puerto UDP preferido, dijeron los investigadores.

«En contraste con el tráfico de sesión RDP legítimo, los paquetes de ataque amplificados tienen una longitud constante de 1260 bytes y están llenos de largas cadenas de ceros», explicaron Dobbins y Bjarnason.

Aprovechar los servidores RDP de Windows de esta manera tiene un impacto significativo en las organizaciones víctimas, incluida la «interrupción parcial o total de los servicios de acceso remoto de misión crítica», así como otras interrupciones en el servicio debido al consumo y los efectos de la capacidad de tránsito. asociados en la infraestructura de red, dijeron los investigadores.

«El filtrado masivo de todo el tráfico de origen UDP / 3389 por parte de los operadores de red puede potencialmente bloquear el tráfico legítimo de Internet, incluidas las respuestas legítimas de sesiones RDP remotas», señalaron los investigadores.

Para mitigar el uso de RDP para amplificar los ataques DDoS y su impacto, los investigadores proporcionaron una serie de consejos a los administradores de sistemas de Windows. En primer lugar, deberían implementar servidores RDP de Windows detrás de los concentradores VPN para evitar que sean abusados ​​para amplificar los ataques DDoS, dijeron.

«Los operadores de red deben realizar un reconocimiento para identificar los servidores RDP de Windows que puedan estar mal utilizados en sus redes y / o en las redes de sus clientes», aconsejaron Dobbins y Bjarnason. «Se recomienda encarecidamente que solo se pueda acceder a los servidores RDP a través de servicios VPN para protegerlos de abusos».

Sin embargo, si esta mitigación no es posible, «recomendaron encarecidamente» que al menos los administradores del sistema deshabiliten RDP a través del puerto UDP 3389 «como medida provisional», dijeron.

El tráfico de la red de acceso a Internet del personal interno de la organización debe desconfiarse del tráfico de Internet hacia / desde propiedades de Internet de cara al público y servirse a través de enlaces de tránsito de Internet ascendentes separados.

Al mismo tiempo, los operadores de red deben implementar las mejores prácticas actuales (BCP) para todas las infraestructuras, arquitectura y operaciones de red relevantes, incluidas las «políticas de acceso a la red específicas para cada situación que solo permitan el tráfico de Internet a través de los protocolos y puertos IP requeridos «, dijeron los investigadores.

El tráfico de la red de acceso a Internet por parte del personal interno de la organización también debe desconfiarse del tráfico de Internet hacia / desde propiedades de Internet de cara al público y servirse a través de enlaces de tránsito de Internet ascendentes separados, agregaron.

.

Deberías compartir en tu Facebook para que tus colegas lo disfruten

??? ? ? ???

Comparte