8.803 Belgian companies risk major security breach

This investigation was featured in Datanews on 17/09/2018. NL versie: zie onder.

In an in-depth investigation into the IT security of Belgian companies, Awingu was able to identify 8.803 organizations that run a high risk of hacking. We did specific research on IP addresses that were connected to unprotected Remote Desktop Servers (based on the Remote Desktop Protocol). Microsoft’s RDP is a very popular server-based computing technology, but in its bare form, it offers insufficient protection. By implementing Awingu on top of RDP, you can greatly reduce the security risk of your IT environment.

RDP is one of the most used IT solutions in the world. Via the RDP client, an application that needs to be installed on the user’s device (e.g. a laptop), you allow users to access a desktop or application remotely. Typically, this is used to enable employees to use their software both inside and outside of the company. RDP is a low-threshold solution, and the addition of security is sometimes omitted: extra security measures (e.g. firewall rules or access control lists) mean added complexity for the IT administrator (and the user).

However, leaving your RDP environment without protection is not without risks: ‘Since 2002, 20 Microsoft security updates have been released specifically for RDP, and people now know of at least 25 vulnerabilities (CVEs) that malicious parties can exploit without much effort. With that in mind, you must be crazy not to add an extra layer of security to your environment’, Kurt Bonne (CTO Awingu) teaches us.

After analysis based on data made available by search engine Shodan, Awingu achieved the following spectacular result: almost 9.000 RDP endpoints are currently publicly available in Belgium. This means that these are accessible to everyone via the internet – even if no secure connection, facilitated by the organization, is established. In other words, these are not or insufficiently protected and have an unmistakable potential to be hacked. Such companies with an open RDP environment are therefore advised to do something about this as quickly as possible.

Open RDP endpoints occur everywhere in Belgium: any form of geographical concentration we noticed in our research corresponds to industry density. In other words, it is a global problem that does not seem to affect any region in particular. If we map out the impacted companies – or at least the location of their data center – this results in the following:

Locations of open RDP endpoints Belgium – July 2018, Awingu

The Remote Desktop protocol was originally developed to be used primarily on an internal company network. Making your environment directly available via the internet may be possible, but it is advised to take at least several security measurements beforehand. You can find several methods to protect your environment on the web that, although they’re sometimes outdated, are very relevant and necessary to ensure a minimum of security.

In the more recent RDP versions, Microsoft paid great attention to the safety aspect, not only by adding more possibilities but also by offering more intelligent default settings. You would, therefore, think that it is a ‘no-brainer’ to at least upgrade your RDP environment to the latest version, but often older applications are not always compatible, and the older versions are kept out of necessity.

Insufficient security at RDP ports is a universal problem in Belgium that is not regionally bound and prevents companies affiliated with any provider, large or small. It is therefore highly recommended that you review the situation at your company and, if necessary, place an extra layer of security on top of your environment. If you do not do that, you run a considerable risk of being hacked at any given moment. Awingu is a solution that offers companies this extra security.

Awingu facilitates a solution for this problem with our Unified Workspace. When using it, you connect to the application or desktop via a browser – and no longer via an RDP client. This means that people with bad intentions can no longer exploit the weak points of an unprotected RDP access. To maximize protection through the browser access, Awingu implements the following security measures:

• Multi-factor authentication: Awingu comes with a built-in MFA solution, and can (if necessary) easily integrate your current method of authentication. By adding MFA you ensure that the ‘brute force attacks’ are no longer possible.
• SSL without hassle: use your own certificates or switch SSL via the built-in Let’s Encrypt integration with just a single mouse click.
• Extensive audit possibilities: keep your existing RDP logging tools running alongside the included Awingu audit capabilities
• Anomaly detection: get informed about irregularities in your environment, such as someone who logs in too often with a wrong password or when someone tries to log in from abroad

Do you want to know more about how Awingu can help you to secure your IT environment? Check out our website!

In een specifiek onderzoek naar de IT-beveiliging van Belgische bedrijven konden we 8803 organisaties die een hoog risico op hacking lopen identificeren. Daarvoor deden we specifiek onderzoek naar IP-adressen waar onbeschermde Remote Desktop Servers (die gebaseerd zijn op het Remote Desktop Protocol) aan verbonden waren. Microsofts RDP is een zeer populaire technologie voor ‘server based computing’, maar in zijn naakte vorm biedt het onvoldoende bescherming. Door het implementeren van Awingu bovenop RDP kan je het veiligheidsrisico van je IT-omgeving sterk verminderen.

RDP (in Nederland en België ook gekend als ‘Extern Bureaublad’) is één van de meest gebruikte IT-oplossingen over de hele wereld. Via de RDP client, een applicatie die op het toestel van de gebruiker  (bijv. een laptop) moet geïnstalleerd worden, sta je gebruikers toe om vanop afstand toegang te krijgen tot een desktop of applicatie. Typisch wordt dat gebruikt om werknemers zowel binnen als buiten het bedrijf hun software te kunnen laten gebruiken. RDP is een laagdrempelige oplossing, en het toevoegen van security wordt soms achterwege gelaten: extra beveiligingsmaatregelen (bv. firewall rules of access control lists) betekenen immers toegevoegde complexiteit voor de IT-beheerder (en de gebruiker).

Je RDP-omgeving open stellen zonder bescherming gebeurt echter niet zonder gevaren: ‘sinds 2002 zijn er al 20 Microsoft security updates specifiek voor RDP uitgebracht, en men heeft nu weet van minstens 25 kwetsbaarheden (CVE’s) die kwaadwilligen zonder veel moeite kunnen uitbuiten. Met dat in het achterhoofd, moet je wel gek zijn om geen extra beveiligingslaag toe te voegen aan je omgeving’, leert Kurt Bonne (CTO Awingu) ons.

Na analyse op basis van gegevens beschikbaar gesteld door zoekrobot Shodan, kwam Awingu tot het volgende spectaculaire resultaat: bijna 9000 RDP endpoints staan op dit moment publiek in België. Dat betekent dat die toegankelijk zijn voor iedereen via het internet – ook wanneer er geen (door de organisatie gefaciliteerde) veilige verbinding gemaakt wordt. Die zijn, met andere woorden, niet of onvoldoende beschermd en hebben een niet mis te schatten potentieel om gehackt te worden. Aan zulke bedrijven met een open RDP-omgeving wordt dan ook aangeraden daar zo snel mogelijk iets aan te doen.

Open RDP-poorten komen overal in België voor: als er van concentratie mag gesproken worden, dan komt die vooral overeen met industriedichtheid. Het is, anders gezegd, een globaal probleem dat niet een bepaalde regio in het bijzonder lijkt te treffen. Als we de geimpacteerde bedrijven – of althans de locatie van hun datacenter – in kaart brengen, levert dat het volgende resultaat op:

Locatie van open RDP omgevingen – Juni 2018, Awingu

Het Remote Desktop protocol werd oorspronkelijk ontwikkeld om in de eerste plaats op het interne bedrijfsnetwerk gebruikt te worden. Je omgeving rechtstreeks beschikbaar maken via het internet is dan misschien wel mogelijk, maar vraagt toch wat extra ingrepen. Wie het dan toch wil doen en zijn omgeving wil beveiligen, vindt op het web verschillende methoden die – al zijn ze soms outdated – bijzonder relevant en nodig zijn om een minimum aan security te verzekeren.

In de recentere RDP-versies heeft Microsoft tevens veel aandacht geschonken aan het veiligheidsaspect, niet alleen door meer mogelijkheden toe te voegen  maar ook door verstandigere standaardinstellingen aan te bieden. Je zou daarom denken dat het een ‘no-brainer’ is om je RDP-omgeving op z’n minst  te upgraden naar de laatste versie, maar vaak zijn oudere applicaties daar niet altijd compatibel mee en worden de oudere versies gehouden uit noodzaak.

Onvoldoende veiligheid bij RDP-poorten is in België een universeel probleem dat niet regionaal gebonden is en bij bedrijven die bij om het even welke provider, groot of klein, aangesloten zijn voorkomt. Het is hoe daarom dan ook uitermate aangeraden de situatie bij jouw bedrijf onder de loep te nemen, en indien nodig een extra veiligheidslaag bovenop je omgeving te leggen. Doe je dat niet, dan loop je een aanzienlijk risico om op een gegeven moment gehackt te worden. Awingu is een oplossing die bedrijven deze extra beveiliging biedt.

Awingu faciliteert zelf zo’n oplossing met onze Unified Workspace. Als je die gebruikt, leg je een verbinding met de applicatie of desktop via een browser – en niet langer via een RDP client. Dat betekent dat mensen met kwade bedoelingen niet langer de zwakke plekken van een naakte RDP kunnen uitbuiten. Om de  veiligheid maximaal te verhogen via een browsertoegang, implementeert Awingu de o.a. volgende veiligheidsmaatregelen:

• Multi-factorauthenticatie: Awingu heeft een inbegrepen MFA-oplossing, en kan  (indien nodig) je huidige authenticatie zonder moeite integreren. Door het toevoegen van MFA zorg je ervoor de ‘brute force attacks’ niet meer mogelijk zijn.
• SSL zonder moeite: gebruikt je eigen certificaten of schakel SSL via de  ingebouwde Let’s Encryptintegratie in met slechts één muisklik.
• Uitgebreide auditmogelijkheden: hou je bestaande RDP logging tools draaiende naast de bijgevoegde auditmogelijkheden van Awingu
• Anomaliedetectie: word geïnformeerd over onregelmatigheden in je omgeving, zoals iemand die te vaak met een verkeerd wachtwoord inlogt of wanneer iemand probeert in te loggen vanuit het buitenland

Meer weten over hoe Awingu je extra veiligheid kan bieden? Bekijk dan onze website!