شرکت امنیتی Netscout هشدار داده که مهاجمان سایبری با سوءاستفاده از دستگاههای با پودمان Remote Desktop Protocol – به اختصار RDP – فعال از آنها برای تقویت و بسط ترافیک ناخواسته حملات DDoS بهره میگیرند.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت zdnet، نه تمامی سرورهای RDP، که آنهایی که درگاه UDP/۳۳۸۹ بر روی آنها فعال است به این روش حمله آسیبپذیر گزارش شدهاند.
به گفته Netscout مهاجمان با فرستادن بستههای دستکاری شده UDP به سرورهای RDP موجب بازتاب آن به اهداف حمله DDoS خود و بسط ترافیک ناخواسته ارسالی به آنها میشوند.
تکنیکی که از آن با عنوان عامل بسط یا DDoS Amplification Factor یاد شده و مهاجمان را قادر میکند تا با دسترسی به منابع محدود حملات گسترده DDoS را با کمک سیستمهای قابل دسترس بر روی اینترنت اجرا کنند.
در خصوص این بهرهجویی از RDP، شرکت Netscout عامل بسط را ۸۵,۹ اعلام کرده و افزوده که مهاجمان با ارسال بایتهای اندک اقدام به ایجاد بستههای حمله با طول ثابت ۱,۲۶۰ بایت میکنند.
عامل ۸۵,۹، پودمان RDP را در صدر عوامل بسط DDoS و در کنار آسیبپذیری سرورهای Jenkins (با ~۱۰۰)، DNS (تا ۱۷۹)، WS-Discovery (۳۰۰ تا ۵۰۰) NTP (با ~۵۵۰) و Memcached (با ~۵۰,۰۰۰) قرار میدهد.
به گفته Netscout مهاجمان با آگاهی از این تکنیک جدید، بهطور گسترده در حال سوءاستفاده از آن هستند.
محققان Netscout معتقدند پس از استفاده مهاجمان حرفهای مجهز به زیرساخت پیشرفته از این تکنیک جدید، RDP Reflection/Amplification به عنوان Booter/Stresser به قابلیتهای ارائه شده در بسترهای اجارهای DDoS راه یافته و در اختیار خیل بیشتری از مهاجمان قرار گرفته است.
Netscout اعلام کرده که در حال حاضر بیش از ۳۳ هزار سرور RDP بر روی UDP/۳۳۸۹ در بستر اینترنت قابل دسترس هستند.
برونخط کردن سرورهای RDP، استفاده از پودمان TCP (بجای UDP) و محدود کردن دسترسی به RDP از طریق پودمان VPN توصیه میشود.
مشروح گزارش Netscout در لینک زیر قابل دریافت و مطالعه است:
https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
تا پیش از این و از زمستان ۱۳۹۷، پنج تکنیک جدید بسط DDoS شامل Constrained Application Protocol – به اختصار CoAP –، Web Services Dynamic Discovery – به اختصار WS-DD –، Apple Remote Management Service – به اختصار ARMS – و سرورهای Jenkins و درگاههای Citrix ظهور کرده بوده است.
منبع:
https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks
دیدگاه شما