El estudio y por qué es importante
En septiembre de 2018, noviembre de 2018 y febrero de 2019, una investigación realizada por Awingu sobre la seguridad de respectivamente Belga, italiano y sueco empresas condujo a resultados sorprendentes: se descubrieron más de 50 000 puntos finales RDP (Protocolo de escritorio remoto) abiertos, lo que dejó a las empresas a las que pertenecían con una amenaza de seguridad muy real. En enero de 2020, analizamos cómo ha cambiado la situación y cómo se desempeñaron en esta prueba otros países europeos (Reino Unido, Países Bajos y Alemania).
Realizamos una investigación en profundidad basada en datos disponibles públicamente sobre qué puntos finales RDP eran de acceso público en dichos países, e investigamos específicamente las direcciones IP que estaban conectadas a puntos finales desprotegidos con un acceso RDP (Protocolo de escritorio remoto) activo. Estos pueden ser servidores y PC.
RDP es una de las herramientas más utilizadas para el acceso remoto a escritorios y servidores en el mundo. A través del cliente RDP, una aplicación que debe instalarse en el dispositivo del usuario (por ejemplo, una computadora portátil), permite a los usuarios acceder a una aplicación o escritorio completo de forma remota. Por lo general, esto permite a los empleados utilizar su software tanto dentro como fuera de la empresa. RDP es una solución de umbral bajo, y la adición de seguridad a veces se da por sentada: las medidas de seguridad adicionales (por ejemplo, reglas de firewall o listas de control de acceso) significan una complejidad adicional para el administrador de TI (y el usuario).
Después de un análisis basado en los datos puestos a disposición por un motor de búsqueda público, Awingu logró el siguiente resultado espectacular: más de 360 000 puntos finales RDP están actualmente disponibles públicamente en nuestros 6 países investigados. Esto significa que todos pueden acceder a ellos a través de Internet, incluso si no se establece una conexión segura facilitada por la organización. En otras palabras, estos no están protegidos o están insuficientemente protegidos y tienen un potencial inconfundible de ser pirateados.
Blancos fáciles para los piratas informáticos
Es pan comido para los piratas informáticos relativamente poco calificados asignar la lista de puntos finales de RDP y su dirección IP a empresas reales y comparar esa lista con las muchas bases de datos disponibles públicamente de contraseñas robadas en la web oscura; es probable que obtengan sin mucho esfuerzo Si eso no funciona, pero el punto final de RDP está disponible públicamente, no hay ninguna razón por la que los piratas informáticos no puedan realizar un ataque de fuerza bruta para intentar adivinar los detalles de inicio de sesión o utilizar las numerosas vulnerabilidades de RDP conocidas (si no está ejecutando la última actualización). Por lo tanto, se recomienda a las empresas con un entorno RDP abierto que hagan algo al respecto lo más rápido posible. Una vez que un pirata informático tiene acceso, puede ejecutar comandos que instalan ransomware en el sistema e infectan otros dispositivos en la misma red.
Solo en el último año hubo más de unas pocas hazañas devastadoras que causaron estragos en todo el mundo, incluido el aún no parcheado por completo. Bluekeep eso ha hecho daños significativos a finales de 2019 y el Virus NotPetya que costó a empresas de todo el mundo más de 10.000 millones de dólares y esencialmente cerrado prestado Maersk no puede realizar ninguna de sus actividades por un tiempo. En otras palabras: exponer su punto final RDP para que todo el mundo lo vea es una importante problema de seguridad.
Los resultados: malas noticias
Antes de realizar nuestra prueba, éramos optimistas: seguramente estos incidentes en todo el mundo y el esfuerzo continuo de Microsoft para limitar las vulnerabilidades habrán llevado a las personas a ser más cautelosas con su infraestructura y habrán reducido la cantidad de puntos finales RDP abiertos. Sin embargo, ese no fué el caso.