Según comenta BleepingComputer debido al teletrabajo algunas compañías han comenzado a exponer el puerto RDP (Remote Desktop, escritorio remoto) para poder dar ciertas supuestas facilidades a sus usuarios a acceder a diversos equipos.
Los atacantes están aprovechando para realizar ataques de fuerza bruta con el objetivo de encontrar equipos con RDP expuestos. Aunque también se buscan aprovechar fallas de RDP que estén presentes en los equipos expuestos y no hayan sido corregidas.
Una vez el atacante ingresa puede usar el equipo para realizar ataques a equipos que están en la red interna, ataques a terceros (ocultando su IP real), o para robar información, entre otros.
Como CSIRT CEDIA sugerimos que las instituciones no expongan libremente RDP a Internet. Si existen personas que necesitan acceder al escritorio remoto lo hagan:
- A través de una VPN, permitiendo el acceso al equipo con escritorio remoto únicamente desde los usuarios de esta VPN.
- Otra opción más laboriosa es permitir únicamente el acceso a RDP desde un grupo pequeño de IPs desde donde se conecten los usuarios al equipo.
Bajo ninguna circunstancia debe dejarse el RDP totalmente expuesto a Internet pues estos ataques esperamos que se vayan recrudeciendo a medida que el tiempo transcurra.
Para mayor información u apoyo pueden contactar con el CSIRT CEDIA.
Artículo de referencia: https://www.bleepingcomputer.com/news/security/rdp-brute-force-attacks-are-skyrocketing-due-to-remote-working/
