Uzaktan Çalışmanın Artmasıyla Beraber RDP Brute-Force Ataklarında Patlama Yaşanıyor

Siber saldırganlar, içinde bulunduğumuz dönemde çalışanların sokağa çıkma kısıtlamaları ve karantinalar sebebiyle evden çalışmak zorunda kalmasıyla beraber daha fazla sayıda uzaktan erişime açılan şirket kaynaklarını hedef olarak seçiyorlar.

Uzaktan erişim için Windows iş istasyonları ve sunuculara RDP aracılığı ile bağlanmak en popüler yöntemler arasında. Fakat çalışanların uzaktan çalışmasını sağlamak için dışarıya açılan ve yeterince güvenli olarak yapılandırılmamış RDP erişimli sunucular, aynı zamanda kurumların sistemlerini dışarıdan gelebilecek saldırılara karşı da güvensiz hale getiriyor.  

Kaspersky güvenlik araştırmacılarının 29 Nisan 2020’de yayımladıkları rapora göre hemen hemen bütün ülkelerde Mart 2020’den itibaren RDP servisleri üzerinden yapılan brute force ataklarında çok büyük artışlar görüldü.

Bu tip ataklarda otomize araçlar kullanılarak daha önce sızdırılmış kullanıcı bilgilerinden veya farklı yöntemlerle oluşturulan veri setlerinden  kütüphaneler kullanılıp çok sayıda kullanıcı adı parola kombinasyonları ile hedef sisteme giriş denemeleri yapılıyor.

Saldırgan, doğru kullanıcı adı parola kombinasyonunu bulabildiği zaman saldırgan sisteme erişim elde edip hassas bilgileri çalma, casus yazılım kurma, iç ağda bulunan daha önemli kaynaklara erişme gibi yöntemlerle ilgili kuruma büyük zararlar verebiliyor.

Güvenlik araştırmacıların verilerinde internet üzerinden erişime açık olan RPD sunuculara yapılan ataklardaki yüksek artış açıkça görülebiliyor. ABD üzerinden örnek verecek olursak, daha önce ortalama günde 200.000 olarak görülen atak sayısı Martın ilk haftalarından Nisanın ortalarına kadar olan dönemde günde ortalama 1.200.000 seviyelerine çıkmış durumda. Binary Edge ve Shodan verilerine göre RDP servisi uzaktan erişime açık olan 4.500.000’in üzerinde cihaz bulunmakta.

RDP servislerine yönelik ataklar 2016 yılının ortalarından itibaren özellikle RDP açığı bulunan sunucu ve cihazlara yönelik bilgilerin dark web’de popüler hale gelmesi ile birlikte artış göstermeye başladı. Örnek olarak, 2017 yılında yaklaşık 85.000 adet RDP portu açık sunucuya ait erişim bilgileri dark web’de satışa sunulmuştu.

Uzaktan erişime açık RDP atakları Ransomware (fidye) virüsü saldırısı yapan grupların da hedef sisteme sızmak için en çok kullandığı atak vektörleri arasında yer alıyor.

RDP sunucularını nasıl güvenli hale getiririz?

Kaspersky’nin güvenlik önerileri aşağıdaki gibidir:

• Öncelikli olarak güçlü parola kullanımı.
• RDP sunucusunun internet üzerinden erişime kapatılması sadece kuruma ait VPN üzerinden erişim verilmesi.
• Network level authentication (NLA) Ağ düzeyinde kimlik doğrulama kullanılması.
• Mümkünse iki faktörlü kimlik doğrulamanın kullanılması.
• Eğer RDP hiç kullanılmıyorsa RDP servisinin ve 3389 portunun kapatılması.

İlave olarak “account lockout policies” aktif hale getirilerek belirli sayıda başarısız giriş denemesi yapan kullanıcı hesaplarının geçici olarak bloklanması sağlanarak brute force atakları önlenebilir.

“Advaced security audit policy settings” ayarları ile hesap denetimleri aktif hale getirilerek sistem yöneticilerinin sürekli tekrarlayan başarısız giriş denemelerini izleyip potansiyel brute-force atakları engellemesi sağlanabilir.

Kaspersky araştırmacılarının raporuna göre, uzaktan erişim için VNC protokolü kullanmak da yeterince güvenli bulunmuyor. Linux ve Windows sistemlerde çalışan VNC client uygulamalarında da birçok güvenlik açığı bulunuyor.

Kaynak