Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета

    Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%.

    image

    На сегодня самый популярный способ организовать удаленную работу – удаленное подключение к рабочему месту, поскольку ПО для подключения к удаленному рабочему столу входит в состав любой современной версии Windows, а процесс такой работы для сотрудника ничем не отличается от обычного доступа к рабочей системе. Для обеспечения удаленного доступа применяется протокол RDP, который по умолчанию использует порт 3389.

    К сожалению, из-за паники многие компании не уделяют должного внимания защите удаленного доступа к рабочему месту, что несет с собой множество угроз. Например, нередки ситуации, когда удаленный сервер доступен и виден из сети Интернет – любой желающий может попробовать подключиться к нему. Несмотря на необходимость идентификации и аутентификации, злоумышленник может забрутфорсить пароль или подменить сертификат безопасности. К тому же существует немало известных уязвимостей, позволяющих получить доступ к удаленному серверу даже без прохождения процедуры проверки подлинности.

    Насколько актуальными являются эти угрозы? Для ответа на этот вопрос мы c помощью различных инструментов провели анализ и мониторинг количества устройств, доступных из сети Интернет по протоколу RDP. Основываясь на полученных данных, можно сделать вывод, что из-за массового перевода сотрудников на удаленную работу количество доступных устройств стремительно растет. Так, всего за неделю число доступных серверов в мире увеличилось более чем на 20% и достигло отметки в 3 миллиона. Похожая ситуация наблюдается и в России – рост доли доступных серверов почти на 15%, общее число составляет более 75 000.





    Эта статистика начинает пугать, ведь не так давно отгремели несколько крупных уязвимостей, связанных с RDP. В середине 2019 года была обнаружена критическая уязвимость под номером CVE-2019-0708, получившая название BlueKeep, а через несколько месяцев также были опубликованы сведения о критических уязвимостях CVE-2019-1181/1182, получивших название DejaBlue. Как первая, так и вторая не связаны непосредственно с протоколом RDP, но касаются службы удаленных рабочих столов RDS и позволяют при успешной эксплуатации путем отправления через RDP специального запроса получить возможность выполнения произвольного кода на уязвимой системе, даже не проходя при этом процедуру проверки подлинности. Достаточно лишь иметь доступ к хосту или серверу с уязвимой системой Windows. Таким образом, любая система, доступная из сети Интернет, является уязвимой при отсутствии установленных последних обновлений безопасности Windows.

    Для устранения угрозы эксплуатации BlueKeep и DejaBlue компанией Майкрософт были своевременно выпущены обновления безопасности, однако это всего лишь несколько примеров известных угроз, связанных с незащищенным удаленным доступом. Каждый месяц в обновлениях безопасности Windows исправляются новые обнаруженные уязвимости, касающиеся RDP, успешная эксплуатация которых может приводить как к краже важной информации, так и к внедрению и быстрому распространению вредоносных программ по всей инфраструктуре компании.

    Во время любых массовых событий, тем более таких пугающих, как глобальная пандемия, неизбежно возрастает количество атак на организации. Компании стараются как можно быстрее обеспечить удаленный доступ всем сотрудникам, но в такой спешке очень легко забыть или пренебречь правилами защиты. Именно поэтому крайне нежелательно использовать обычный незащищенный удаленный доступ к рабочему столу. Рекомендуется использовать VPN c двухфакторной аутентификацией и реализовывать удаленный доступ на основе защищенных протоколов.
    Ростелеком-Солар
    Безопасность по имени Солнце

    Комментарии 58

      +6
      У вас потерялась вторая часть статьи, где вы описываете способ организации VPN подключения с минимальными телодвижениями для конечного пользователя, работающего из дома.
        0
        С минимальными телодвижениями, быстро и бюджетно — это все-таки про сервисную модель. Если интересно, варианты для организации безопасного удаленного доступа, которые предлагаем мы, можно посмотреть тут www.youtube.com/watch?v=FJ9ADBtMF8A
        0

        При включенном NLA (что windows давно делает по умолчанию) насколько я понимаю никогда уязвимостей не было, плюс с включенными апдейтами оперативно исправляются и остальные "угловые ситуации", так что для личного пользования я лично не гнушаюсь открывать RDP "в интернеты". Так сказать указываю возможную мотивацию для использования напрямую. :)

          –3

          А использование нестандартного порта просто делает сервер практически необннаруживаемым.

            0
            Заблуждение.

            У нас 2 года назад взломали доступ по RDP и внедрили шифровальщик. Хорошо, что у взломанного пользователя никуда к важной инфраструктуре доступа не было. Так что, ущерб был минимальным.

            А порт был, таки, нестандартным… да.
              0
              Распространенное заблуждение. А теперь посмотрите свои логи.
                0

                Прошли те времена, сейчас находят и брутят рдп и на чужих портах

                0
                NLA действительно включен в Windows по умолчанию и делает невозможной эксплуатацию части уязвимостей, поскольку требует аутентификацию до установления сессии, однако по-прежнему можно осуществить подбор учетных данных, и в нашей практике встречались случаи подбора пароля к RDP при включенном NLA с последующим внедрением вредоносного ПО на системе. К сожалению, практика показывает, что далеко не всегда в инфраструктуре организации возможно оперативно установить свежие обновления безопасности (именно поэтому к каждой исправленной уязвимости пишутся временные меры для тех, кто не имеет возможности установки обновлений). Ситуация с использованием RDP с доступом из сети Интернет для личного использования все же немного отличается от использования удаленного доступа для сотрудников организаций, в последнем случае требуется больше внимания уделить защите этого процесса.
                  0
                  Тут работает принцип Неуловимого Джо.
                  Обычно поиском доступных серверов с RDP занимаются для продажи доступа всяким майнерам. От них легко защититься нестандартным паролем и ограничением прав учётной записи. Ну и в принципе защита на самом сервере стандартными антивирусными практиками.
                  А если у злоумышленника цель: получить доступ к серверам компании, то тут уже просто включается борьба «стоимость защиты против стоимости выгоды от взлома». А если цель: любой ценой, то извините, даже VPN не панацея.
                    0

                    Стойте-стойте. Так мы все же о домашнем использоаании или про "число корпоративных серверов, доступных для злоумышленников из интернета" в пугающую эпоху "глобальной пандемии"?

                      0
                      В сегодняшнем «внезапно-цифровом» мире домашнее — очень часто равно «доступ к корпоративному». Только RDP там где-то на последнем месте по стремности. Стим и аналоги — вполне могут позволить проникнуть к вам на ПК без «палева» и эксплоитов.
                  +4
                  Графики c отрезанной осью ординат? Очень информативно, да.
                    0
                    Ось была такая: внизу отметка со значением «мало», а вверху отметка со значением «много». Согласитесь, такую и отрезать не страшно.
                      +1
                      Т.е. были использованы графики, на которых в принципе не отличить, изображено ли на них изменение от 2 до 5, от 2 до 100505, или 100502 до 100505?
                      Зачем они вообще тогда были добавлены в статью? С той же степенью информативности можно было ещё пару ландшафтных фото использовать.
                        –1
                        Это не графики, а иллюстрации. Они добавлены в статью, чтобы показать изменения.
                    0
                    Около десятка серверов начиная от с 2003 сервера по RDP, на разных портах в разных организациях живут уже более десятка лет. Ни разу ни у кого из них не было проблем, может потому что стандартные пользователи отключены и пароли не очень простые.
                      +1
                      Конкуренты в том году больше миллиона отдали за то, чтобы им вернули данные. А так да, до этого у них проблем тоже не было.
                        0
                        Это как с короновирусом сейчас, кто-то недооценивает его опасность… Вот вы в этой группе, только недооцениваете опасность открытых портов в интернет. Достаточно будет ОДНОГО раза и всё, перескочите в альтернативную группу.
                          0
                          Хоть какой UpdatePack от simplix накатите для приличия
                          +1
                          Открывать RDP наружу — самоубийственное занятие. На практике несколько раз сталкивался с тем, что сервер был взломан, а все важные данные были зашифрованными. После таких случаев, у этих контор отключался режим скупости и они соглашались на любые траты ради организации безопасного удалённого доступа. Часто просто покупался Mikrotik, на котором поднимался IPSEC/L2TP сервер, а учетки L2TP синхронизировались с Radius или контроллера домена.
                            0
                            Не проще ли было запретить удалённый доступ?
                            0
                            Голый RDP в наше время это, конечно, моветон. Сейчас любой Кинетик умеет в OpenVPN и, в принципе, любая небольшая или средней руки контора, может малой кровью и без особого напряга организовать удалёнку.
                              0
                              Как домашний пользователь, после взвешивания VPN vs голый RDP я пришёл к выводу, что лучше всё-таки RDP пусть наружу торчит.

                              Как упомянули выше, включенный по умолчанию Network Level Authentication практически гарантирует невозможность RCE, т.к. атакующий должен знать логин и пароль хотя бы одного пользователя. BlueKeep на Windows 10 не распространяется именно по этой причине.

                              С другой стороны VPN куда как опаснее, потому что производители быстро бросают выпускать обновления к устройству — год-два может быть, а живут роутеры по 5 лет и больше. А взлом роутера может привести к довольно-таки неприятным последствиям, начиная от прослушки трафика, и заканчивая атаками на незащищённые соединения внутри домашней сети, которые со временем могут и к утечкам реальных паролей привести. Отсутствие VPN снижает attack surface роутера очень сильно, т.к. кроме него на роутерах в Интернет вообще обычно ничего не смотрит, кроме NAT.
                                0
                                Если речь про домашнего пользователя
                                OpenSSH есть даже в десятке. Иногда кобызится с ключами работать, надо через icacls права на ~/.ssh/authorized_keys править, но в целом великолепная вещь когда надо и безопастно и прокинуть что угодно. На роутере порт пробрасывается до ПК и вот вам счастье. Уже даже VS Code допилили до возможности с виндой по Remote SSH полноценно работать.
                                А ещё есть весёленький p2p vpn — tinc.
                                Со стороны организаций же выталкивать в мир RDP — это реально странно и стрёмно.
                                  0

                                  Не понятно чем OpenSSH лучше RDP. Мне снаружи ничего кроме RDP не надо, так что ставить SSH, чтобы через него делать порт форвардинг для RDP — ненужный геморрой.

                                    0
                                    Я давно не имел дело с виндой, но там уже можно запретить вход с логином-паролем и авторизоваться только ключами?
                              0
                              Я ждал этой новости.
                              Когда волна начнет спадать, я также жду роста спроса на (в особенности защищенные) инфраструктурные решения и продукты. В первую очередь в госсекторе. Цифровизация должна пойти в гору на повышеных оборотах. Нашему брату от этого только польза.
                                0
                                Не холивара ради, но всё же…

                                1. Чем подбор пароля от RDP сложнее чем подбор пароля от VPN?
                                2. Чем уязвимость в софте RDP отличается от уязвимости в софте VPN?
                                3. Ну и в итоге на основании предыдущих пунктов: Чем безопасность подключения по VPN надежнее чем по RDP? При том, что взломав VPN злоумышленник не просто получает доступ к ПК, но и ко внутренней сети.
                                  0
                                  1. Тем, что при VPN логин+пароль+ключ.
                                    0
                                    Совершенно верно.
                                    Логин+Пароль VS Логин+Пароль+Ключ. Других принципиальных отличий по безопасности нет, и я рад, что здесь достаточно компетентный народ, который с пунктом 2 не спорит.

                                    Но, что мешает нам поставить на RDP пользователя длинный пароль? Windows поддерживает макс длину до 127 символов, такой пароль на современных компьютерах подобрать невозможно, его легко сгенерировать, а человеку выполняющему подключение, без разницы, какой длины будет copy/past в строку пароля (мы понимаем, что для RDP заводится спец. пользователь с требуемыми правами).

                                    Соответсвенно, сравниваем 2 конфигурации:

                                    1. RDP с длинным паролем напрямую через интернет.
                                    + Не требуется лишних телодвижений весь ф-ционал настройки RDP доступен из коробки в Windows.

                                    2. RDP через VPN
                                    — Кроме RDP требуется дополнительная установка/настройка VPN
                                    — Подключение работает медленнее, так как кроме стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование.
                                    — При взломе VPN, если он настроен по умолчанию (или не достаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом теоретически можно получить доступ ко внутренней сети).

                                    Как мы видим, обе конфигурации обеспечивают примерно одинаковый уровень безопасности, но вариант «RDP с длинным паролем напрямую через интернет» однозначно выигрывает.

                                    По сему, главный посыл статьи, о том, что RDP напрямую с выходом в интернет – опаснее, чем через VPN, считаю не верным, при условии правильной настройки RDP.
                                      0
                                      2. А что, обязательно выпускать ВПНщиком прям в офисную сеть? Я понимаю, так делают большинство. Но если у нас ВПН для РДП? ТОгда мы получаем сумму времени взлома впн и рдп.
                                        0
                                        ТОгда мы получаем сумму времени взлома впн и рдп.
                                        Теоретически да, если пытаться честно брутфорсом подбирать пароли/ключи то получаем увеличение времени, но по факту даже просто длинный пароль 64 и более символов на RDP подобрать не реально, зачем городить еще доп нагрузку в виде VPN?
                                        А если не честно ломать, через дыры в ПО RDP или VPN, то разницы защиты нет, хакер получает доступ с root к системе и делает всё что ему нужно…
                                    0
                                    Тем, что VPN по сертификату в изолированную сеть, а там уже доступен только RDP Gateway, к которому дальше подключается клиент.
                                    Ну и приправить Port Knoking'ом и Fail2ban'ом.
                                    0

                                    А если белому списку IP-адресов открыть только доступ к RDP? Это решит проблему безопасности?

                                      0
                                      Вы предлагаете внести в белый список все провайдерские пулы IP-адресов?
                                        0

                                        У меня 15 сотрудников на удалёнке. Из них у троих только динамический ip. Для них я внёс всю подсеть x.x.x.0/24. А у остальных статика. Сейчас статика — обычное дело, как я погляжу.

                                          0
                                          Статика — только при наличии технической возможности и за отдельную плату. А ipv6 далеко не все провайдеры предоставляют, к сожалению…
                                          Обычным делом статика была лет 15 назад. Сейчас обычное дело — nat.
                                            0

                                            Ну работает же)

                                              0
                                              Это пока не найдётся товарищ, выходящий в инет через сотовый модем. Там адреса несколько менее предсказуемы, чем /24.
                                              Вобщем, не надо выдавать ошибку выжившего за общую практику.
                                                0

                                                Тогда впн на кинетике, как уже тут говорили.

                                                  0
                                                  Э… Кинетик со стороны работы чтоль? Я как-то не готов пускать в рабочую сеть детей :-)
                                                    0

                                                    Детей со стороны удаленного работника?) Ну там фильтрация есть.

                                                      0
                                                      Э… Фильтрация где? На стороне офиса — все соединения одинаковы, они уже пришли по впн. На стороне кинетика разве что и то не особо возможностей, по-моему,. Но накой так извращаться, если надёжнее просто поставить клиента из заранее подготовленного дистрибутива? Подозреваю, что так заодно и скорость передачи будет повыше, так как openvpn всё ж чувствителен к скорости проца.
                                                        0

                                                        Вы имеете в виду ноутбуком обеспечивать с заранее установленным дистрибутивом? И что там будет, отличного от его винды? Или вы хотите ему Линукс поставить?? Продажникам?.. Ну-ну...

                                                          0
                                                          Для openvpn под винды вполне можно подгототовить дистрибутив, из которого поставится уже сконфигурированное и готовое к работе. Или вы таки пойдёте к продажникам до дому, ковырять кинетик? А если там не кинетик?
                                                          Где-то видел даже онлайн-генератор такого, но не факт, что сейчас найду — мне было не актуально ещё когда настраивал, а теперь на новой работе всё по-другому…
                                                            0

                                                            Да не их кинетик. На их компе в два касания устанавливается l2tp.

                                                              0
                                                              А… Таки кинетик со стороны работы :-)
                                                              Не сразу понял, да… Прошу прощения, бывает.
                                                                0

                                                                Конечно, кинетик — всё-таки для домохозяек… Как офисный роутер он так себе… Но с моими задачами пока справляется. А в долгосрочной перспективе у меня планы перейти на микротик...

                                                              0
                                                              Но ведь в windows есть свой клиент VPN, который умеет и PPTP, и L2TP? Чем он плох?
                                                                0
                                                                Про l2tp ничего плохого не скажу, так как не в курсе, можно ли ему подсунуть конфигурацию в один клик (+«далее-далее-финиш»), а вот pptp просто недостаточно безопасен. Да и gre некоторыми провайдерами и домашними роутерами не пропускается.
                                                                  0

                                                                  Да. От pptp отказался уже давно. А l2tp-соединение появляется в соединениях WiFi. Соединяется так же: кликнул/подключиться — все.

                                                                    0
                                                                    Я про создание конфигурации, а не про запуск. Тот же openvpn в сгенерированном установщике — действительно запустить и потом «далее-далее-далее-финиш».
                                                                    А запуск под виндой везде более-менее одинаков, по-моему.
                                                                      +1

                                                                      А, ну я инструкцию написал пользователям как создать соединение. Получилось просто.
                                                                      Далее-далее-финиш, конечно, было бы круче… Может такое что-то есть… Не в курсе.

                                                                      0
                                                                      Или внезапно получил сообщение типа «модем занят или неправильно работает» (не очень дословно — но слово «модем» там есть, хотя тут никакого модема нету) вместо попытки соединения по VPN. Лечится перезагрузкой, появляется непонятно почему. OpenVPN на Win10 — тоже иногда странно не работает с первого раза (и не связаны эти 2 события никак). Поэтому или ssh connection forwarding, или отдельная железка.
                                                                    0

                                                                    Так я и говорю: кинетик на стороне офиса с поднятыми туннелями. В винде л2тп подключается к рабочему роутеру.

                                                                    0
                                                                    Вам же «только» RDP надо — не «играть по сети через UDP» или соединяться в произвольное место. Зачем «козе баян»? putty (plink) или другой ssh-клиент+ключик+следящая за коннектом оболочка (чтоб не отвалилась сессия в NAT по тайм-ауту)+connection forwarding на RDP-сервер. На ssh-сервере — фаерволим какие клиенты к какому RDP и т.п. коннектятся. Это настраиваемо для работы и в другую сторону (коннект к клиенту с динамическим IP). Зачем возиться с VPN, который меняет таблицы маршрутизации, не всегда пролезает (привет от GRE) и требует админских прав для настройки на клиенте.
                                                                      0
                                                                      Слава непонятно какому богу, мне RDP не требуется :-)
                                                                      Но идея мне нравится, чем-то напомнила включение-выключение доступа у одного из местечковых провайдеров — вход putty на шлюз, где шеллом стояла программка, показывающая, сколько байтов утекло и кнопкой «выкл интернет», закрывающей соединение и, соответственно, пока та программка запущена — был разрешен доступ дальше.
                                                    0
                                                    Если деньги не платятся за статику — то никто ничего не обещает. И далее внезапно адрес, не менявшийся месяцами, даже при усилиях со стороны клиента (отключиться на сутки+), вдруг сменяется. Придумайте «весёлые обстоятельства», когда «обычное дело» внезапно закончилось и подключиться не получилоось, а также дальнейшие приключения, самостоятельно :).

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое