DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Hàng nghìn máy chủ Windows RDP bị lạm dụng để tấn công DDoS
Công ty an ninh mạng NETSCOUT mới đưa ra một cảnh báo về việc tội phạm mạng lạm dụng các máy chủ không được bảo vệ có chạy dịch vụ điều khiển máy tính từ xa (RDP) của Microsoft để khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Dịch vụ Windows RDP được thiết kế để cho phép người dùng kết nối từ xa với máy chủ và các thiết bị khác, thường để thực hiện bảo trì, triển khai các bản cập nhật và cung cấp hỗ trợ cho khách hàng.
Việc sử dụng dịch vụ này đã tăng lên đáng kể khi ngày càng có nhiều người làm việc từ xa do đại dịch COVID-19. Điều này cũng dẫn đến việc kẻ xấu ngày càng nhắm mục tiêu vào dịch vụ để có quyền truy cập vào các tài nguyên của công ty.
NETSCOUT đã cảnh báo rằng giao thức RDP bị lạm dụng cho các cuộc tấn công ánh xạ và khuếch đại UDP. Quản trị viên Windows có thể định cấu hình RDP để chạy trên cổng TCP 3389 hoặc cổng UDP 3389 và nếu kích hoạt cổng này, hệ thống có thể bị lạm dụng để khởi chạy các cuộc tấn công DDoS có tỷ lệ khuếch đại 85.9:1.
NETSCOUT giải thích: “Lưu lượng tấn công khuếch đại bao gồm các gói UDP không phân mảnh có nguồn gốc từ UDP/3389 và hướng đến (các) địa chỉ IP đích và (các) cổng UDP mà kẻ tấn công lựa chọn. Ngược lại với lưu lượng phiên RDP hợp pháp, các gói tấn công khuếch đại có độ dài nhất quán là 1.260 byte và được đệm bằng các chuỗi số 0 dài.”
Công ty đã thấy khoảng 14.000 máy chủ RDP không được bảo vệ có thể bị lạm dụng cho các cuộc tấn công như vậy.
Theo NETSCOUT, các cuộc tấn công DDoS lạm dụng RDP đã được sử dụng bởi các dịch vụ cho thuê DDoS. Công ty quan sát thấy lưu lượng băng thông trong các cuộc tấn công trong khoảng từ 20 đến 750 Gbps.
Các tổ chức có máy chủ RDP bị lạm dụng vì các cuộc tấn công DDoS có thể bị gián đoạn một phần hoặc toàn bộ đối với các dịch vụ truy cập từ xa quan trọng. Việc chặn lưu lượng truy cập trên cổng UDP 3389 có thể không phải là một giải pháp tốt vì nó có thể dẫn đến lưu lượng truy cập hợp pháp cũng bị chặn.
Các doanh nghiệp được khuyến cáo nên xác định các máy chủ Windows RDP có thể bị lạm dụng trên mạng của riêng mình và của khách hàng, đồng thời thực hiện hành động để giảm thiểu rủi ro. Quản trị viên nên ngừng chạy dịch vụ RDP trên UDP hoặc đặt máy chủ sau máy chủ VPN để giảm nguy cơ bị lạm dụng.
Dịch vụ Windows RDP được thiết kế để cho phép người dùng kết nối từ xa với máy chủ và các thiết bị khác, thường để thực hiện bảo trì, triển khai các bản cập nhật và cung cấp hỗ trợ cho khách hàng.
Việc sử dụng dịch vụ này đã tăng lên đáng kể khi ngày càng có nhiều người làm việc từ xa do đại dịch COVID-19. Điều này cũng dẫn đến việc kẻ xấu ngày càng nhắm mục tiêu vào dịch vụ để có quyền truy cập vào các tài nguyên của công ty.
NETSCOUT đã cảnh báo rằng giao thức RDP bị lạm dụng cho các cuộc tấn công ánh xạ và khuếch đại UDP. Quản trị viên Windows có thể định cấu hình RDP để chạy trên cổng TCP 3389 hoặc cổng UDP 3389 và nếu kích hoạt cổng này, hệ thống có thể bị lạm dụng để khởi chạy các cuộc tấn công DDoS có tỷ lệ khuếch đại 85.9:1.
NETSCOUT giải thích: “Lưu lượng tấn công khuếch đại bao gồm các gói UDP không phân mảnh có nguồn gốc từ UDP/3389 và hướng đến (các) địa chỉ IP đích và (các) cổng UDP mà kẻ tấn công lựa chọn. Ngược lại với lưu lượng phiên RDP hợp pháp, các gói tấn công khuếch đại có độ dài nhất quán là 1.260 byte và được đệm bằng các chuỗi số 0 dài.”
Công ty đã thấy khoảng 14.000 máy chủ RDP không được bảo vệ có thể bị lạm dụng cho các cuộc tấn công như vậy.
Theo NETSCOUT, các cuộc tấn công DDoS lạm dụng RDP đã được sử dụng bởi các dịch vụ cho thuê DDoS. Công ty quan sát thấy lưu lượng băng thông trong các cuộc tấn công trong khoảng từ 20 đến 750 Gbps.
Các tổ chức có máy chủ RDP bị lạm dụng vì các cuộc tấn công DDoS có thể bị gián đoạn một phần hoặc toàn bộ đối với các dịch vụ truy cập từ xa quan trọng. Việc chặn lưu lượng truy cập trên cổng UDP 3389 có thể không phải là một giải pháp tốt vì nó có thể dẫn đến lưu lượng truy cập hợp pháp cũng bị chặn.
Các doanh nghiệp được khuyến cáo nên xác định các máy chủ Windows RDP có thể bị lạm dụng trên mạng của riêng mình và của khách hàng, đồng thời thực hiện hành động để giảm thiểu rủi ro. Quản trị viên nên ngừng chạy dịch vụ RDP trên UDP hoặc đặt máy chủ sau máy chủ VPN để giảm nguy cơ bị lạm dụng.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: