21.000 IP italiani espongono il Remote Desktop Protocol. Su internet non deve essere esposto!

Quanto volte abbiamo detto che su internet, i sistemi di amministrazione non devono essere esposti? Purtroppo questa cultura non è da tutti, e molti sistemi operativi restano aperti a chiunque voglia violarli in modo completamente in vista, su internet.

Questa volta, è stato pubblicato un file all’interno di un sistema di file sharing che contiene una collection di 21.000 indirizzi IP che espongono il Remote Desktop Protocol (porta 3389) in Italia. Non che questi facciano notizia (su shodan oggi in Italia ne vengono conteggiati 27.000), ma così ben ordinati e “ciclabili” e scaricabili in un click, non è cosa da poco.

Perché esporre RDP su internet è un suicidio!

Esporre il Remote Desktop Protocol (RDP) direttamente su Internet senza adeguata protezione è estremamente rischioso per diversi motivi:

1. Attacchi di Brute Force o Spraying Password: Esponendo RDP su Internet, gli attaccanti possono facilmente individuare e mirare agli endpoint RDP, tentando di indovinare le credenziali dell’account tramite attacchi di Brute Force o Spraying Password. Con questi metodi, gli aggressori provano una serie di combinazioni di username e password finché non riescono ad accedere con successo. Questi attacchi possono essere automatizzati utilizzando strumenti come Hydra, Ncrack o Metasploit, rendendo il processo più rapido ed efficiente per gli hacker.
2. Vulnerabilità del Protocollo RDP: Anche se le credenziali non vengono compromesse, l’esposizione di RDP rende gli endpoint vulnerabili a sfruttamenti noti e vulnerabilità di sicurezza associate al protocollo stesso. Le vulnerabilità nel protocollo RDP possono essere sfruttate per ottenere l’accesso non autorizzato al sistema remoto, bypassare le misure di sicurezza e persino eseguire codice arbitrario.
3. Minaccia di Malware e Attacchi di Ransomware: Una volta che un aggressore ottiene accesso a un endpoint RDP compromesso, può installare malware, eseguire attacchi ransomware o compiere altre azioni dannose sul sistema. Questo può causare gravi danni, inclusa la perdita di dati sensibili o la compromissione della rete aziendale.
4. Monitoraggio e Regolamentazione delle Attività: Esponendo RDP su Internet, gli attacchi possono avvenire costantemente, rendendo difficile il monitoraggio e il controllo delle attività sospette. Gli attaccanti possono facilmente nascondere le loro attività all’interno del traffico RDP, complicando il rilevamento e la risposta agli incidenti di sicurezza.

Ma se voglio utilizzare RDP su internet, come posso fare?

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se hai la necessità di utilizzare il Remote Desktop Protocol (RDP) su Internet per accedere ai tuoi sistemi remoti, è fondamentale adottare misure di sicurezza robuste per proteggere gli endpoint e prevenire accessi non autorizzati. Ecco alcune strategie avanzate da considerare:

1. Aggiornamenti Regolari e Patching del Software: Assicurati che tutti i tuoi sistemi e applicazioni RDP siano regolarmente aggiornati e protetti con le ultime patch di sicurezza. Le vulnerabilità software possono essere sfruttate dagli aggressori per compromettere i sistemi, quindi è fondamentale mantenere tutto il software aggiornato;
2. Implementazione di VPN (Virtual Private Network): La migliore pratica è creare una connessione VPN sicura tra il tuo dispositivo locale e la rete a cui vuoi accedere tramite RDP. Una VPN crittografa il traffico di rete, creando un tunnel sicuro attraverso Internet e proteggendo le comunicazioni RDP da attacchi esterni.
3. Configurazione dell’Accesso Remoto Sicuro: Se è assolutamente necessario esporre direttamente RDP su Internet, assicurati di implementare le migliori pratiche di sicurezza, come l’uso di autenticazione a più fattori (MFA), l’impostazione di password robuste e la restrizione degli indirizzi IP autorizzati.
4. Limitazione dei Privilegi di Accesso: Applica il principio del privilegio minimo necessario limitando l’accesso agli account RDP solo a utenti autorizzati e assegnando loro solo i privilegi necessari per svolgere le loro attività. Riduci al minimo il rischio di compromissione limitando il numero di utenti con accesso RDP e monitorando attentamente le attività degli utenti privilegiati.

Implementando queste strategie avanzate, puoi utilizzare RDP su Internet in modo sicuro e proteggere i tuoi sistemi remoti da minacce informatiche e accessi non autorizzati. Ricorda sempre di mantenere la sicurezza come priorità assoluta e di adottare le migliori pratiche per proteggere i tuoi dati e la tua infrastruttura da potenziali rischi.

Roberto Beneduci, CEO di Coretech da dei consigli su come comprendere se la vostra macchina è sotto attacco e su come proteggerla al meglio. “2 consigli pratici a chi ha un RDP aperto. Il primo è quello di andare su Windows nel registro Eventi Security e verificare se trova tanti eventi con icona del lucchetto corrispondenti all’ ID Evento numero 4625. Se riscontrate molti di questi messaggi significa che stanno tentando di fare un brute force al vostro server. L’errore infatti indica che l’autenticazione non è riuscita. E’ questione di tempo e potreste trovarvi la sorpresa presto Il secondo consiglio, più pratico se non potete fare connessione RDP via VPN come suggerito nell’articolo è quello di valutare soluzioni come Tsplus che rende disponibile RDP over HTTPS con autenticazione a due fattori, ad un costo decisamente abbordabile per tutti.”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.