Nu este o gluma : cercetătorii de securitate din echipa McAfee Advanced Threat Research au descoperit că cineva vinde acces de la distanță ( RDP – protocol desktop la distanță) la de sistemele de securitate ale unui aeroport internațional pentru doar 10 dolari.
În loc să cumpere certificatul RDP, cercetătorii au folosit motorul de căutare Shodan pentru a găsi adresa IP corectă a mașinii Windows Server compromis, al cărei cont de administrator a fost pus la vânzare si pe ecranul de conectare prin Windows RDP, au găsit încă două conturi de utilizator, care erau “asociate cu două companii specializate în securitatea aeroportuară, una în domeniul securității și al automatizării clădirilor, alta în supravegherea camerei și analiza video”.
Potrivit cercetătorilor, vânzătorii de pe piața neagră obișnuiesc să obțină accesul la acreditările RDP doar prin scanarea Internetului pentru sistemele care acceptă conexiunile RDP și apoi lansând un atac brutal cu instrumente populare cum ar fi Hydra, NLBrute sau RDP Forcer pentru a avea acces.
De indata ce atacatorii se loghează cu succes la computerul la distanță, ei nu fac nimic altceva decât punând detaliile conexiunii spre vânzare pe Dark Web.
Oricine cumpără accesul la astfel de mașini poate compromite securitatea, modifica setări, instala malware și fura date.
Ca o soluție, organizațiile ar trebui să ia în considerare luarea măsurilor de securitate necesare pentru PDR, cum ar fi:
+ dezactivarea accesului la conexiunile RDP prin Internet ,
+ folosind parole complexe și autentificare cu două factori pentru a face atacurile RDP mai greu de forță pentru a reuși,
+ blocarea utilizatorilor și blocarea adreselor IP care au prea multe încercări de conectare eșuate.
Surse:
www.zdnet.com
thehackernews.com/