В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выяснили, что число сетевых узлов в России, доступных по протоколу удаленного рабочего стола (RDP) всего за три недели (с конца февраля 2020 года) увеличилось на 9% и составило более 112 000. Уже сейчас свыше 10% таких ресурсов уязвимы для ошибки безопасности BlueKeep (CVE-2019-0708), которая позволяет взломщику получить полный контроль над компьютером на базе Windows.
Для атаки достаточно отправить специальный RDP-запрос к уязвимым службам удаленного рабочего стола (RDS). Аутентификации при этом не требуется. В случае успеха злоумышленник сможет устанавливать и удалять программы в скомпрометированной системе, создавать учетные записи с максимальным уровнем доступа, читать и редактировать конфиденциальную информацию. Уязвимости подвержены операционные системы Windows 7, Windows Server 2008 и Windows Server 2008 R2.
По динамике роста числа открытых по RDP узлов на сегодняшний день лидирует Уральский федеральный округ: оно увеличилось на 21%, а общая доля узлов, уязвимых для BlueKeep, составляет 17%. Далее идут Сибирский (21% и 16% соответственно), Северо-Западный (19% и 13%), Северо-Кавказский (18% и 17%), Южный (11% и 14%), Приволжский (8% и 18%), Дальневосточный (5% и 14%) и Центральный федеральные округа (4% и 11%).
«На сетевом периметре российских компаний начало увеличиваться число ресурсов, атака на которые позволит злоумышленникам получить контроль над сервером и проникнуть в локальную сеть, — отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков. — Мы связываем это, в первую очередь, с поспешным переводом части сотрудников на удаленную работу. Независимо от выбранного типа удаленного подключения разумно обеспечить удаленный доступ через специальный шлюз. Для RDP-подключений это Remote Desktop Gateway (RDG), для VPN — VPN Gateway. Удаленное подключение напрямую к рабочему месту использовать не рекомендуется».
В Positive Technologies предупреждают, что открытие доступа к отдельным подсетям сразу всем пользователям VPN существенно снижает защищенность организации и не только дает широкие возможности внешнему атакующему, но и повышает риск атаки со стороны инсайдера. Поэтому IT-специалистам необходимо сохранять сегментацию сетей и выделять необходимое число VPN-пулов.
Эксперты Positive Technologies отдельно подчеркивают угрозу появления каналов удаленного доступа к критически важным для бизнеса сетям и системам (например, технологическим сетям на производстве и в энергетике, сетям управления банкоматами или карточным процессингом в банках, серверам «1C», конфиденциального документооборота). Службам ИБ рекомендуется строго контролировать попытки администраторов упростить себе задачи управления и конфигурации для таких сегментов с помощью отдельного незащищенного подключения. Обеспечить контроль можно с помощью постоянного мониторинга периметра сети организации, особенно ключевых ее сегментов. Кроме того, необходимо строго регламентировать использование ПО для удаленного администрирования (например, RAdmin или TeamViewer) и отслеживать случаи их нелегального применения (например, по артефактам в трафике с помощью NTA-решений). Также в условиях изменения традиционной модели поведения сотрудников организации (массового удаленного доступа) необходимо перенастроить и правила корреляций в используемых системах мониторинга и защиты от кибератак.
Помимо этого, Positive Technologies рекомендует обратить внимание на критически опасную уязвимость (CVE-2019-19781) в программном обеспечении Citrix, которое используется в корпоративных сетях, в том числе для организации терминального доступа сотрудников к внутренним приложениям компании с любого устройства через интернет. В случае эксплуатации этой уязвимости злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.
Кроме того, к числу уязвимостей, требующих особого внимания в условиях увеличившегося числа открытых удаленных доступов, относятся уязвимость в протоколе рабочего стола CVE-2012-0002 (MS11-065) восьмилетней давности, которая до сих пор встречается на сетевых периметрах организаций, и уязвимости служб удаленного рабочего стола CVE-2019-1181/1182 в различных версиях операционной системы Microsoft (включая Windows 10). Следует устранить и уязвимость в PHP 7 (CVE-2019-11043), которая, по оценке Positive Technologies, вошла в список наиболее опасных по итогам 2019 года. Факт наличия перечисленных уязвимостей в инфраструктуре компании может быть оперативно выявлен посредством сканеров уязвимостей. Для устранения уязвимостей во всех случаях необходимо по меньшей мере выполнить соответствующие рекомендации производителя уязвимой версии ПО или оборудования.