Servidores Windows RDP para amplificar ataques DDoS

Windows imagen relacionada

Los servidores Windows RDP que se ejecutan en el puerto UDP 3389 pueden quedar atrapados en botnets DDoS y abusar de ellos para rebotar y amplificar el tráfico basura hacia las redes de las víctimas.

Las bandas de delincuentes cibernéticos están abusando de los sistemas Windows Remote Desktop Protocol (RDP) para rebotar y amplificar el tráfico basura como parte de los ataques DDoS, dijo la firma de seguridad Netscout en una alerta el martes.

No se puede abusar de todos los servidores RDP, sino solo de los sistemas en los que la autenticación RDP también está habilitada en el puerto UDP 3389 además del puerto TCP estándar 3389.

Netscout dijo que los atacantes pueden enviar paquetes UDP mal formados a los puertos UDP de los servidores RDP que se reflejarán en el objetivo de un ataque DDoS, amplificado en tamaño, lo que provocará que el tráfico basura llegue al sistema del objetivo.

Esto es lo que los investigadores de seguridad denominan factor de amplificación de DDoS y permite a los atacantes con acceso a recursos limitados lanzar ataques DDoS a gran escala al amplificar el tráfico basura con la ayuda de sistemas expuestos a Internet.

En el caso de RDP, Netscout dijo que el factor de amplificación es 85,9, y que los atacantes envían unos pocos bytes y generan "paquetes de ataque" que tienen "una longitud constante de 1260 bytes".

Un factor de 85,9 coloca a RDP en el escalón superior de los vectores de amplificación DDoS, con servidores Jenkins (~ 100), DNS (hasta 179), WS-Discovery (300-500), NTP (~ 550) y Memcached ( ~ 50.000).

Pero las malas noticias no terminan con el factor de amplificación. Netscout dijo que los actores de amenazas también se han enterado de este nuevo vector, del que ahora se abusa mucho.

"Como suele ser el caso con los nuevos vectores de ataque DDoS, parece que después de un período inicial de empleo por parte de atacantes avanzados con acceso a la infraestructura de ataque DDoS a medida, la reflexión / amplificación de RDP se ha convertido en arma y se ha agregado a los arsenales de los llamados booter / estresan los servicios DDoS contratados, colocándolos al alcance de la población general de atacantes ", dijeron los investigadores.

Netscout ahora solicita a los administradores de sistemas que ejecutan servidores RDP expuestos en Internet que desconecten los sistemas, los cambien al puerto TCP equivalente o coloquen los servidores RDP detrás de VPN para limitar quién puede interactuar con sistemas vulnerables.

Actualmente, Netscout dijo que está detectando más de 33,000 servidores RDP expuestos en línea y ejecutándose en el puerto UDP 3389.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Fecha actualización el 2021-01-24. Fecha publicación el 2021-01-24. Categoría: windows 10 Autor: Oscar olg Mapa del sitio Fuente: zdnet