Les serveurs Windows RDP sont exploités pour des attaques DDoS

Spread the love
Les serveurs Windows RDP sont exploités pour des attaques DDoS

Les groupes cybercriminels exploitent les systèmes RDP (Windows Remote Desktop Protocol) pour faire rebondir et amplifier le trafic malveillant dans le cadre d’attaques DDoS, a déclaré la société de sécurité Netscout dans une alerte publiée mardi.

Tous les serveurs RDP ne sont pas concernés : seuls les systèmes où l’authentification RDP est activée sur le port UDP 3389 en plus du port TCP 3389 standard sont visés.

publicité

Netscout a déclaré que les attaquants peuvent envoyer des paquets UDP modifiés vers les ports UDP des serveurs RDP : ceux ci seront amplifiés et renvoyés vers la cible d’une attaque DDoS, ce qui génère un trafic indésirable frappant le système de la cible.

C’est ce que les chercheurs en sécurité appellent un facteur d’amplification DDoS : cela permet aux attaquants ayant accès à des ressources limitées de lancer des attaques DDoS à grande échelle en amplifiant le trafic indésirable à l’aide de systèmes exposés sur Internet.

Dans le cas du protocole RDP, Netscout a déclaré que le facteur d’amplification est de 85,9 : les attaquants envoient quelques octets et génèrent des “paquets d’attaque” qui sont “constamment de 1 260 octets de longueur”.

Un facteur de 85,9 place RDP dans le peloton de tête des facteurs d’amplification DDoS, aux cotés des serveurs Jenkins (~100), DNS (jusqu’à 179), WS-Discovery (300-500), NTP (~550) et Memcached (~50 000).

Les serveurs RDP sont utilisés par des attaquants

Mais les mauvaises nouvelles ne s’arrêtent pas là. Netscout a déclaré que les acteurs malveillant ont également appris l’existence de ce nouveau vecteur et n’hésitent pas à le mettre à profit.

“Comme c’est souvent le cas avec les nouveaux vecteurs d’amplification DDoS, il semble qu’après une période initiale ou cette technique était utilisée par des attaquants avancés ayant accès à des infrastructures d’attaque DDoS sur mesure, les attaques exploitant RDP ont été ajoutées aux services de DDoS à la demande, ce qui la met à la portée de la population générale des attaquants”, ont déclaré les chercheurs.

Netscout demande maintenant aux administrateurs de systèmes qui gèrent des serveurs RDP exposés sur Internet de mettre les systèmes hors ligne, d’activer l’authentification uniquement sur le port TCP équivalent ou de placer les serveurs RDP derrière des VPN afin de limiter les personnes qui peuvent interagir avec les systèmes vulnérables.

Actuellement, Netscout a détecté plus de 14 000 serveurs RDP exposés en ligne et utilisant le port UDP 3389.

Depuis décembre 2018, cinq nouvelles techniques d’amplification DDoS ont vu le jour. Il s’agit du Constrained Application Protocol (CoAP), du Web Services Dynamic Discovery (WS-DD), d’ Apple Remote Management Service (ARMS), des serveurs Jenkins et des gateways Citrix.

Selon le FBI, les quatre premiers ont été exploités lors d’attaques réelles.

Source : “ZDNet.com”

Leave a Reply