Aumentan un 30% los intentos de ataque contra servidores RDP

SANS Institute ha identificado un incremento del 30% de interés en ataques a servidores de Protocolo de Escritorio Remoto (RDP) durante el mes de marzo, un aumento que coincide con el momento en el que hay más servidores RDP expuestos, debido al aumento masivo en el número de empresas que necesita permitir a sus empleados trabajar desde casa para cumplir con las restricciones de distanciamiento social impuestas por la rápida difusión del COVID-19. Para permitir a los empleados trabajar en remoto de forma rápida y barata, algunas empresas han implementado el RDP y esto puede exponer los sistemas confidenciales del negocio y hacerlos públicos en internet.

Recomendados:  WEBINAR >> Teletrabajo: productividad, flexibilidad y seguridad a pleno rendimiento Registro  WEBINAR >> Autenticación y gestión de identidades, el nuevo perímetro de seguridad Registro

"El número de direcciones IP fuente que los atacantes utilizaron para escanear Internet en busca de servidores RDP aumentó alrededor de un 30% en marzo, hasta alrededor de 3.540 cada día”, señala Johannes Ullrich, decano de Investigación en el SANS Technology Institute. “El RDP no es un protocolo lo suficientemente robusto como para estar expuesto a Internet. En consecuencia, estamos viendo a los atacantes comerciar activamente con credenciales débiles que han identificado para estos servidores RDP. Y un servidor RDP comprometido puede comprometer todo el sistema y será probablemente utilizado para atacar a otros sistemas adicionales de la red”.

Para las empresas que han implementado un RDP se aconseja usar contraseñas únicas, largas y aleatorias para asegurar los servidores RDP y, si es posible, proporcionar solo acceso a través de una VPN. Microsoft también ofrece el servicio RDP Gateway, que puede ser utilizado para implementar políticas de autenticación fuertes. También se puede intentar limitar el acceso a RDP desde direcciones IP específicas si no puede implementar una VPN en este momento, pero esto puede resultar difícil si sus administradores están trabajando actualmente desde casa con direcciones IP dinámicas.

"Otra opción es utilizar un servidor en la nube como punto de partida", añade Ullrich. "Poner en la lista blanca el servidor en la nube y utilizar protocolos seguros como SSH para conectarse. Esta técnica puede funcionar como solución rápida para aquellos que no quieren arriesgarse a estar inactivos mientras todo el mundo está trabajando de forma remota. Muchas organizaciones no están dispuestas actualmente a arriesgarse a perder el acceso a los sistemas críticos de negocio. La modificación de las reglas de acceso remoto y de los cortafuegos puede conducir a una pérdida de acceso que, en algunos casos, sólo puede ser restaurada por el personal in situ".