Los servidores de Windows Remote Desktop Protocol (RDP) ahora están siendo abusados por los servicios DDoS por contrato para amplificar los ataques de denegación de servicio distribuido (DDoS).
El servicio Microsoft RDP es un servicio integrado de Windows que se ejecuta en TCP / 3389 y / o UDP / 3389 que permite el acceso autenticado a la infraestructura de escritorio virtual (VDI) a servidores y estaciones de trabajo de Windows.
Los ataques que aprovechan este nuevo vector de ataque de reflexión / amplificación UDP dirigidos a servidores Windows con RDP habilitado en UDP / 3389 tienen una relación de amplificación de 85,9: 1 y un pico de ~ 750 Gbps .
Alrededor de 14.000 servidores RDP de Windows vulnerables son accesibles a través de Internet, según un aviso de Netscout publicado hoy.
Si bien al principio solo lo usaban actores de amenazas avanzados, este vector de amplificación DDoS recién descubierto ahora está siendo utilizado por booters DDoS.
«Como suele ocurrir con los nuevos vectores de ataque DDoS, parece que después de un período inicial de empleo por parte de atacantes avanzados con acceso a la infraestructura de ataque DDoS a medida, la reflexión / amplificación RDP se ha convertido en arma y se ha agregado a los arsenales de los llamados booter / estresantes servicios DDoS contratados, colocándolos al alcance de la población general de atacantes «, dijo Netscout.
Estas plataformas son utilizadas por actores de amenazas, hacktivistas o bromistas sin las habilidades o el tiempo para invertir en la construcción de su propia infraestructura DDoS.
Alquilan servicios de booters para lanzar ataques DDoS a gran escala dirigidos a servidores o sitios por varias razones, lo que desencadena una denegación de servicio que comúnmente los derriba o causa interrupciones.
Medidas de atenuación
Las organizaciones afectadas por ataques que abusan de sus servidores Windows RDP como amplificadores pueden experimentar el cierre completo de los servicios de acceso remoto, así como «interrupciones adicionales del servicio debido al consumo de capacidad de tránsito, agotamiento de la tabla de estados de firewalls con estado, equilibradores de carga, etc.»
Si bien el filtrado de todo el tráfico en UDP / 3389 puede mitigar dichos ataques, esto también podría provocar el bloqueo de conexiones legítimas y el tráfico, incluidas las respuestas de la sesión RDP.
Para mitigar adecuadamente el impacto de tales ataques, las organizaciones pueden deshabilitar completamente el servicio vulnerable basado en UDP en los servidores Windows RDP o hacer que los servidores estén disponibles solo a través de VPN moviéndolos detrás de un dispositivo de red concentrador de VPN.
Por lo tanto, también se recomienda a las organizaciones en riesgo que implementen defensas DDoS para servidores públicos para asegurarse de que puedan responder adecuadamente a un ataque DDoS de reflexión / amplificación RDP entrante.
En 2019, Netscout también observó ataques DDoS que abusan del Servicio de administración remota de Apple (ARMS) que se ejecuta en servidores macOS como un vector de reflexión / amplificación.
Los ataques DDoS que abusan de ARMS detectados en la naturaleza en ese momento alcanzaron un máximo de 70 Gbps, con una relación de amplificación de 35,5: 1.
CISA proporciona orientación sobre cómo evitar convertirse en una víctima de DDoS, cómo detectar ataques DDoS, así como qué acciones tomar mientras está siendo DDoSed.
Vía: Bleepingcomputer