Усиленные проверки RDP-сервисов: внимание сосредоточено на порту 1098
Недавние данные показали резкий рост атак на службы Remote Desktop Protocol (RDP), особенно на порт 1098/TCP, со стороны киберпреступников. За последние две недели установленные сенсоры honeypot фиксировали более 740,000 сканирований ежедневно с различных IP-адресов. Согласно данным Shadowserver Foundation, 405,000 из этих сканирований исходили из Бразилии.
RDP-сервисы давно стали мишенью для хакеров благодаря их широкому применению в корпоративной среде. Однако текущие атаки, сосредоточенные на порте 1098, являются необычными, что может свидетельствовать о попытках злоумышленников использовать ошибки конфигурации или обойти стандартные меры безопасности. Это подчёркивает необходимость повышенной бдительности при мониторинге сетей и управлении конфигурациями.
Эта активность совпадает с выпуском декабрьского обновления Patch Tuesday от Microsoft в 2024 году. Обновления нацелены на устранение множества критических уязвимостей в RDP-сервисах, включая те, которые позволяют выполнение кода удалённо (RCE).
Важные CVE-дефекты, исправленные в декабре 2024 года
Ниже приведена краткая информация о CVE-уязвимостях, связанных с RDP-сервисами, исправленных Microsoft:
| Номер CVE | Критичность | CVSS Оценка | Описание |
|---|---|---|---|
| CVE-2024-49106 | Критическая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49108 | Критическая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49115 | Критическая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49116 | Критическая | Не указано | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49119 | Критическая | Не указано | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49120 | Критическая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49123 | Высокая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49128 | Критическая | Не указано | Удалённое выполнение кода в Windows Remote Desktop Services |
| CVE-2024-49132 | Высокая | 8.1 | Удалённое выполнение кода в Windows Remote Desktop Services |
Если данные уязвимости не будут устранены, злоумышленники смогут выполнять код на уязвимых системах удалённо. Эксплуатируемые RDP-сервисы предоставляют хакерам «точку входа» в системы, что позволяет осуществлять боковые перемещения, кражу данных и атаки типа ransomware.
Необходимость устранения ошибок конфигурации
Неправильно настроенные RDP-сервисы увеличивают риск эксплуатации. Кроме того, злоумышленники могут использовать SSL-сертификаты, связанные с RDP, для получения дополнительной информации о системе, например, имени хоста.
Рекомендации по защите RDP-сервисов
Учитывая сложившуюся угрозу, организациям необходимо срочно предпринять действия. Эксперты рекомендуют следующие меры:
- Ограничение доступа к RDP-сервисам:
- Предоставляйте доступ к RDP только необходимым пользователям и системам.
- Используйте VPN или другие защищённые решения для скрытия RDP-сервисов из публичной сети.
- Включение многофакторной аутентификации (MFA):
- Требуйте MFA для всех подключений к RDP для добавления дополнительного уровня безопасности.
- Немедленное обновление безопасности:
- Установите последние патчи, особенно касающиеся уязвимостей RDP.
- Усиление паролей:
- Внедрите строгие требования к паролям и политику блокировки учётных записей.
- Аутентификация на уровне сети (NLA):
- Требуйте предварительную аутентификацию для подключений к RDP.
- Мониторинг активности сканирования:
- Исследуйте аномальные всплески сканирования или попыток эксплуатации. IP-адреса, участвующие в таких действиях, могут быть частью крупной инфраструктуры атак.
Рост популярности удалённой работы усилил зависимость от RDP и аналогичных технологий, что сделало их главной целью для киберпреступников. Организациям следует усиливать меры безопасности и оставаться бдительными перед лицом растущих угроз. Устранение уязвимостей и защита RDP-сервисов важны не только для предотвращения текущих угроз, но и для обеспечения долгосрочной устойчивости корпоративных сетей.
