21.000 IP italiani espongono il Remote Desktop Protocol. Su internet non deve essere esposto!

Redazione RHC : 16 Febbraio 2024 16:11

Quanto volte abbiamo detto che su internet, i sistemi di amministrazione non devono essere esposti? Purtroppo questa cultura non è da tutti, e molti sistemi operativi restano aperti a chiunque voglia violarli in modo completamente in vista, su internet.

Questa volta, è stato pubblicato un file all’interno di un sistema di file sharing che contiene una collection di 21.000 indirizzi IP che espongono il Remote Desktop Protocol (porta 3389) in Italia. Non che questi facciano notizia (su shodan oggi in Italia ne vengono conteggiati 27.000), ma così ben ordinati e “ciclabili” e scaricabili in un click, non è cosa da poco.

Perché esporre RDP su internet è un suicidio!

Esporre il Remote Desktop Protocol (RDP) direttamente su Internet senza adeguata protezione è estremamente rischioso per diversi motivi:

1. Attacchi di Brute Force o Spraying Password: Esponendo RDP su Internet, gli attaccanti possono facilmente individuare e mirare agli endpoint RDP, tentando di indovinare le credenziali dell’account tramite attacchi di Brute Force o Spraying Password. Con questi metodi, gli aggressori provano una serie di combinazioni di username e password finché non riescono ad accedere con successo. Questi attacchi possono essere automatizzati utilizzando strumenti come Hydra, Ncrack o Metasploit, rendendo il processo più rapido ed efficiente per gli hacker.
2. Vulnerabilità del Protocollo RDP: Anche se le credenziali non vengono compromesse, l’esposizione di RDP rende gli endpoint vulnerabili a sfruttamenti noti e vulnerabilità di sicurezza associate al protocollo stesso. Le vulnerabilità nel protocollo RDP possono essere sfruttate per ottenere l’accesso non autorizzato al sistema remoto, bypassare le misure di sicurezza e persino eseguire codice arbitrario.
3. Minaccia di Malware e Attacchi di Ransomware: Una volta che un aggressore ottiene accesso a un endpoint RDP compromesso, può installare malware, eseguire attacchi ransomware o compiere altre azioni dannose sul sistema. Questo può causare gravi danni, inclusa la perdita di dati sensibili o la compromissione della rete aziendale.
4. Monitoraggio e Regolamentazione delle Attività: Esponendo RDP su Internet, gli attacchi possono avvenire costantemente, rendendo difficile il monitoraggio e il controllo delle attività sospette. Gli attaccanti possono facilmente nascondere le loro attività all’interno del traffico RDP, complicando il rilevamento e la risposta agli incidenti di sicurezza.

Ma se voglio utilizzare RDP su internet, come posso fare?

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se hai la necessità di utilizzare il Remote Desktop Protocol (RDP) su Internet per accedere ai tuoi sistemi remoti, è fondamentale adottare misure di sicurezza robuste per proteggere gli endpoint e prevenire accessi non autorizzati. Ecco alcune strategie avanzate da considerare:

1. Aggiornamenti Regolari e Patching del Software: Assicurati che tutti i tuoi sistemi e applicazioni RDP siano regolarmente aggiornati e protetti con le ultime patch di sicurezza. Le vulnerabilità software possono essere sfruttate dagli aggressori per compromettere i sistemi, quindi è fondamentale mantenere tutto il software aggiornato;
2. Implementazione di VPN (Virtual Private Network): La migliore pratica è creare una connessione VPN sicura tra il tuo dispositivo locale e la rete a cui vuoi accedere tramite RDP. Una VPN crittografa il traffico di rete, creando un tunnel sicuro attraverso Internet e proteggendo le comunicazioni RDP da attacchi esterni.
3. Configurazione dell’Accesso Remoto Sicuro: Se è assolutamente necessario esporre direttamente RDP su Internet, assicurati di implementare le migliori pratiche di sicurezza, come l’uso di autenticazione a più fattori (MFA), l’impostazione di password robuste e la restrizione degli indirizzi IP autorizzati.
4. Limitazione dei Privilegi di Accesso: Applica il principio del privilegio minimo necessario limitando l’accesso agli account RDP solo a utenti autorizzati e assegnando loro solo i privilegi necessari per svolgere le loro attività. Riduci al minimo il rischio di compromissione limitando il numero di utenti con accesso RDP e monitorando attentamente le attività degli utenti privilegiati.

Implementando queste strategie avanzate, puoi utilizzare RDP su Internet in modo sicuro e proteggere i tuoi sistemi remoti da minacce informatiche e accessi non autorizzati. Ricorda sempre di mantenere la sicurezza come priorità assoluta e di adottare le migliori pratiche per proteggere i tuoi dati e la tua infrastruttura da potenziali rischi.

Roberto Beneduci, CEO di Coretech da dei consigli su come comprendere se la vostra macchina è sotto attacco e su come proteggerla al meglio. “2 consigli pratici a chi ha un RDP aperto. Il primo è quello di andare su Windows nel registro Eventi Security e verificare se trova tanti eventi con icona del lucchetto corrispondenti all’ ID Evento numero 4625. Se riscontrate molti di questi messaggi significa che stanno tentando di fare un brute force al vostro server. L’errore infatti indica che l’autenticazione non è riuscita. E’ questione di tempo e potreste trovarvi la sorpresa presto Il secondo consiglio, più pratico se non potete fare connessione RDP via VPN come suggerito nell’articolo è quello di valutare soluzioni come Tsplus che rende disponibile RDP over HTTPS con autenticazione a due fattori, ad un costo decisamente abbordabile per tutti.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli