Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

21.000 IP italiani espongono il Remote Desktop Protocol. Su internet non deve essere esposto!

Redazione RHC : 16 Febbraio 2024 16:11

Quanto volte abbiamo detto che su internet, i sistemi di amministrazione non devono essere esposti? Purtroppo questa cultura non è da tutti, e molti sistemi operativi restano aperti a chiunque voglia violarli in modo completamente in vista, su internet.

Questa volta, è stato pubblicato un file all’interno di un sistema di file sharing che contiene una collection di 21.000 indirizzi IP che espongono il Remote Desktop Protocol (porta 3389) in Italia. Non che questi facciano notizia (su shodan oggi in Italia ne vengono conteggiati 27.000), ma così ben ordinati e “ciclabili” e scaricabili in un click, non è cosa da poco.

Esempio di Broker di Accesso (IaB) che rivende l’accesso a 40 server RDP di una azienda italiana a 190 euro

Perché esporre RDP su internet è un suicidio!

Esporre il Remote Desktop Protocol (RDP) direttamente su Internet senza adeguata protezione è estremamente rischioso per diversi motivi:

  1. Attacchi di Brute Force o Spraying Password: Esponendo RDP su Internet, gli attaccanti possono facilmente individuare e mirare agli endpoint RDP, tentando di indovinare le credenziali dell’account tramite attacchi di Brute Force o Spraying Password. Con questi metodi, gli aggressori provano una serie di combinazioni di username e password finché non riescono ad accedere con successo. Questi attacchi possono essere automatizzati utilizzando strumenti come Hydra, Ncrack o Metasploit, rendendo il processo più rapido ed efficiente per gli hacker.
  2. Vulnerabilità del Protocollo RDP: Anche se le credenziali non vengono compromesse, l’esposizione di RDP rende gli endpoint vulnerabili a sfruttamenti noti e vulnerabilità di sicurezza associate al protocollo stesso. Le vulnerabilità nel protocollo RDP possono essere sfruttate per ottenere l’accesso non autorizzato al sistema remoto, bypassare le misure di sicurezza e persino eseguire codice arbitrario.
  3. Minaccia di Malware e Attacchi di Ransomware: Una volta che un aggressore ottiene accesso a un endpoint RDP compromesso, può installare malware, eseguire attacchi ransomware o compiere altre azioni dannose sul sistema. Questo può causare gravi danni, inclusa la perdita di dati sensibili o la compromissione della rete aziendale.
  4. Monitoraggio e Regolamentazione delle Attività: Esponendo RDP su Internet, gli attacchi possono avvenire costantemente, rendendo difficile il monitoraggio e il controllo delle attività sospette. Gli attaccanti possono facilmente nascondere le loro attività all’interno del traffico RDP, complicando il rilevamento e la risposta agli incidenti di sicurezza.

Ma se voglio utilizzare RDP su internet, come posso fare?

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Se hai la necessità di utilizzare il Remote Desktop Protocol (RDP) su Internet per accedere ai tuoi sistemi remoti, è fondamentale adottare misure di sicurezza robuste per proteggere gli endpoint e prevenire accessi non autorizzati. Ecco alcune strategie avanzate da considerare:

  1. Aggiornamenti Regolari e Patching del Software: Assicurati che tutti i tuoi sistemi e applicazioni RDP siano regolarmente aggiornati e protetti con le ultime patch di sicurezza. Le vulnerabilità software possono essere sfruttate dagli aggressori per compromettere i sistemi, quindi è fondamentale mantenere tutto il software aggiornato;
  2. Implementazione di VPN (Virtual Private Network): La migliore pratica è creare una connessione VPN sicura tra il tuo dispositivo locale e la rete a cui vuoi accedere tramite RDP. Una VPN crittografa il traffico di rete, creando un tunnel sicuro attraverso Internet e proteggendo le comunicazioni RDP da attacchi esterni.
  3. Configurazione dell’Accesso Remoto Sicuro: Se è assolutamente necessario esporre direttamente RDP su Internet, assicurati di implementare le migliori pratiche di sicurezza, come l’uso di autenticazione a più fattori (MFA), l’impostazione di password robuste e la restrizione degli indirizzi IP autorizzati.
  4. Limitazione dei Privilegi di Accesso: Applica il principio del privilegio minimo necessario limitando l’accesso agli account RDP solo a utenti autorizzati e assegnando loro solo i privilegi necessari per svolgere le loro attività. Riduci al minimo il rischio di compromissione limitando il numero di utenti con accesso RDP e monitorando attentamente le attività degli utenti privilegiati.

Implementando queste strategie avanzate, puoi utilizzare RDP su Internet in modo sicuro e proteggere i tuoi sistemi remoti da minacce informatiche e accessi non autorizzati. Ricorda sempre di mantenere la sicurezza come priorità assoluta e di adottare le migliori pratiche per proteggere i tuoi dati e la tua infrastruttura da potenziali rischi.

Roberto Beneduci, CEO di Coretech da dei consigli su come comprendere se la vostra macchina è sotto attacco e su come proteggerla al meglio. “2 consigli pratici a chi ha un RDP aperto. Il primo è quello di andare su Windows nel registro Eventi Security e verificare se trova tanti eventi con icona del lucchetto corrispondenti all’ ID Evento numero 4625. Se riscontrate molti di questi messaggi significa che stanno tentando di fare un brute force al vostro server. L’errore infatti indica che l’autenticazione non è riuscita. E’ questione di tempo e potreste trovarvi la sorpresa presto Il secondo consiglio, più pratico se non potete fare connessione RDP via VPN come suggerito nell’articolo è quello di valutare soluzioni come Tsplus che rende disponibile RDP over HTTPS con autenticazione a due fattori, ad un costo decisamente abbordabile per tutti.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Matteo Salvini è stato hackerato? Un criminale mette in vendita le sue email per 250 dollari

Un post pubblicato un’ora fa su un noto forum underground ha attirato l’attenzione degli osservatori della sicurezza informatica: un utente con lo pseudonimo “elpatron85” h...

Allarme infostealer: pubblicate email del Comune di Gorizia e aziende italiane

Nelle ultime ore, un noto canale Telegram pubblico collegato ai forum underground ha pubblicato una lista di email aziendali provenienti da Italia e Germania. Il messaggio, visibile in uno screenshot ...

RVTools e Zenmap usati per diffondere Bumblebee: anche Google e Bing nel mirino

È stato recentemente rivelato che il loader Bumblebee è stato distribuito tramite il sito web hackerato RVTools. A quanto pare, gli hacker stanno anche sfruttando la popolarità...

Sarcoma Ransomware: l’anatomia di una minaccia silenziosa ma spietata

Nel panorama sempre più affollato e inquietante del cybercrimine internazionale, una nuova figura ha cominciato ad attirare l’attenzione degli analisti di sicurezza di tutto il mondo: Sarc...

E’ Cyber-caos negli USA! I tagli ai fondi mettono in ginocchio la Sicurezza Nazionale

Il sistema di sicurezza informatica degli Stati Uniti si trova ora ad affrontare una doppia minaccia: la crescente attività dei criminali informatici e i massicci tagli al personale federale. Mic...