Varsel: Hackere misbruger RDP-fjernadgange
-
26. marts, 2020 - Kl. 10.45
[Oprindeligt publiceret af Center for Cybersikkerhed]
Mange myndigheder og virksomheder har i forbindelse med den igangværende Corona-pandemi for nyligt øget brug af fjernadgange for at muliggøre hjemmearbejde, herunder fjernadgang via Remote Desktop Protocol (RDP).
Cyberkriminelle misbruger imidlertid hyppigt sårbare RDP-adgange i cyberangreb, herunder målrettede ransomware-angreb. Videregivelse og salg af kompromitterede RDP-adgange er derfor udbredt i kriminelle kredse.
Danske myndigheder og virksomheder bør være opmærksomme på, at RDP-opsætninger uden tilstrækkelig sikkerhed let kan fremfindes af hackere. En søgning via søgemaskinen Shodan for åbne port 3389 i Danmark med direkte adgang finder over 5.000 danske IP-adresser.
Hvis RDP-adgangen ikke er beskyttet af f.eks. flerfaktor-autentifikation eller en VPN-løsning, kan den potentielt kompromitteres ved at gætte brugernavn og password, særligt hvis der benyttes simple brugernavne og svage password. Cyberkriminelle har udviklet et nyt modul til den meget udbredte malware TrickBot, som specifikt er designet til at foretage brute-force angreb mod RDP-adgange. TrickBot benyttes også i målrettede ransomware-angreb.
For yderligere information se eventuelt: Securing Remote Desktop (RDP) for System Administrators.
Mange myndigheder og virksomheder har i forbindelse med den igangværende Corona-pandemi for nyligt øget brug af fjernadgange for at muliggøre hjemmearbejde, herunder fjernadgang via Remote Desktop Protocol (RDP).
Cyberkriminelle misbruger imidlertid hyppigt sårbare RDP-adgange i cyberangreb, herunder målrettede ransomware-angreb. Videregivelse og salg af kompromitterede RDP-adgange er derfor udbredt i kriminelle kredse.
Danske myndigheder og virksomheder bør være opmærksomme på, at RDP-opsætninger uden tilstrækkelig sikkerhed let kan fremfindes af hackere. En søgning via søgemaskinen Shodan for åbne port 3389 i Danmark med direkte adgang finder over 5.000 danske IP-adresser.
Hvis RDP-adgangen ikke er beskyttet af f.eks. flerfaktor-autentifikation eller en VPN-løsning, kan den potentielt kompromitteres ved at gætte brugernavn og password, særligt hvis der benyttes simple brugernavne og svage password. Cyberkriminelle har udviklet et nyt modul til den meget udbredte malware TrickBot, som specifikt er designet til at foretage brute-force angreb mod RDP-adgange. TrickBot benyttes også i målrettede ransomware-angreb.
Anbefaling
CFCS anbefaler at:- Anvendelsen af privilegerede services, herunder RDP via internettet, bør altid ske ved anvendelse af VPN eller RDP Gateway.
- Brugere bør altid autentificeres ved brug af to-faktor autentifikation, når de tilgår organisationens it-systemer via RDP.
- Organisationer bør holde sig opdateret om de nyeste RDP versioner.
I januar 2020 patchede Microsoft f.eks. en kritisk sårbarhed i RDP Gateway: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610. - Brugeradgang bør altid valideres med stærke password. Se i den forbindelse CFCS’ passwordvejledning.
- RDP-brugere bør låses ude ved gentagen indtastning af forkert password.
- Hvis det er nødvendigt at åbne for RDP igennem perimeter firewall, så overvej at anvende en anden port end standardporten 3389.
- Det bør sikres at alle medarbejderkonti, der ikke anvendes f.eks. på grund af ophør af ansættelsesforholdet bliver lukket.
For yderligere information se eventuelt: Securing Remote Desktop (RDP) for System Administrators.