Комментарии 10
Удалённая работа. Уязвимость №1: Windows.
Не зависит от операционной системы, но так как в зоне риска преимущественно предприятия мелкого и среднего размера, то логично предположить что у них будет преимущественно Windows based сеть с часто не развитой ИБ по всем направлениям.
К сожалению, подход к ОйТи в данной категории до сих пор остаётся на уровне упоминающемся в множестве анекдотов и страшных историй, даже пострадавшие от «пети» и его клонов, не вынесли урока.
Я отслеживаю небольшой пул адресов (местные провы, ~24k адресов), с того момента как начали говорить о карантине.
1. «голых задниц» RDP — (24) 236
2. SMB — (2) 17
3. VPN — (72) 124 (преимущественно l2tp — mikrotik)
4. SQL — (4) 7
вот список того что приросло (в скобках ДО) и продолжает почуток расти.
~20% RDP и SMB (зачем вообще его шарят) уязвимы (предположительно, атаки не осуществлял, могут быть и ложно положительные).
Разослал провайдерам список IP с описанием проблемы и просьбой передать клиентам информацию.
Сделали они это или нет неизвестно, но ситуация за две недели никак не поменялась и только усугубляется.
К сожалению, подход к ОйТи в данной категории до сих пор остаётся на уровне упоминающемся в множестве анекдотов и страшных историй, даже пострадавшие от «пети» и его клонов, не вынесли урока.
Я отслеживаю небольшой пул адресов (местные провы, ~24k адресов), с того момента как начали говорить о карантине.
1. «голых задниц» RDP — (24) 236
2. SMB — (2) 17
3. VPN — (72) 124 (преимущественно l2tp — mikrotik)
4. SQL — (4) 7
вот список того что приросло (в скобках ДО) и продолжает почуток расти.
~20% RDP и SMB (зачем вообще его шарят) уязвимы (предположительно, атаки не осуществлял, могут быть и ложно положительные).
Разослал провайдерам список IP с описанием проблемы и просьбой передать клиентам информацию.
Сделали они это или нет неизвестно, но ситуация за две недели никак не поменялась и только усугубляется.
Ну, условно, если у меня ssh с авторизацией по ключам голой задницей в интернет торчит, то… подзасрут логи брутфорсом, да.
А вот RDP — это уж прям "голая задница". Хотя, казалось бы, в чём разница?
Условно, в Linux системах более чем достаточно дырявого софта, хотя дырявость прежде всего определяется его конфигурацией.
ptsecurity свои постом целили в конкретную категорию и с упором на их основные «болячки».
А если уж разворачивать обсуждение более широко то можно уйти и в девайсы видео наблюдения, коих нынче больше пол тыщи у меня в логах, а это вообще считай прямая дорога в локальную сеть фирмочек
ptsecurity свои постом целили в конкретную категорию и с упором на их основные «болячки».
А если уж разворачивать обсуждение более широко то можно уйти и в девайсы видео наблюдения, коих нынче больше пол тыщи у меня в логах, а это вообще считай прямая дорога в локальную сеть фирмочек
RDP, SMB, SQL понятно. Но что не так с L2TP и конкретно с Mikrotik?
А зачем шарят SMB я сейчас расскажу. Некоторые ОйТи (да, именно так) в текущей ситуации удалёнку реализовали буквально следующим образом — ну ка все дружно берём подмышку свои системники с мониторами с идём с ними домой. Если там были какие-то сетевые диски, то очевидно подключат их через SMB на белом IP. При этом факт наличия сетевых дисков это даже прогресс. Это значит, что хотя бы что-то лежит на каком-то сервере и возможно даже бэкапится. А не лежит локально на компе до первого шифровальщика или смерти диска.
А зачем шарят SMB я сейчас расскажу. Некоторые ОйТи (да, именно так) в текущей ситуации удалёнку реализовали буквально следующим образом — ну ка все дружно берём подмышку свои системники с мониторами с идём с ними домой. Если там были какие-то сетевые диски, то очевидно подключат их через SMB на белом IP. При этом факт наличия сетевых дисков это даже прогресс. Это значит, что хотя бы что-то лежит на каком-то сервере и возможно даже бэкапится. А не лежит локально на компе до первого шифровальщика или смерти диска.
Удаленное подключение напрямую к рабочему месту использовать противопоказано.
Мне вот интересно, почему в RDP постоянно находят дыры?
Что — сам протокол такой сложный? кривой?
Вот SSH — казалось бы некоторый аналог. У SSH бывает устаревают шифры, бывает находят путь повысить привилегии после логина, но что-то не припомню уязвимостей уровня «не нужен даже пароль».
Что не так с RDP?
AFAIK проблемы не в RDP, а в реализации конкретных серверов/клиентов. А если говорить конкретно про последние уязвимости в сервере от MS, то всё ещё усугубляется нежеланием почему-то настраивать его безопасным образом (зачем-то отключают NLA).
Ещё то, что реализация от MS закрыта, OpenSSH вылизан сообществом.
Если взять SSH в котором покопались шаловливые ручки различных вендоров (IoT, роутеры и т.п.) то там тоже не всё гладко.
Если взять SSH в котором покопались шаловливые ручки различных вендоров (IoT, роутеры и т.п.) то там тоже не всё гладко.
Когда мне говорят слова про вылизанность сообществом я всегда вспоминаю Heartbleed. Так что никто ни от чего не застрахован, увы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пять уязвимостей, опасных для удаленной работы