Dans le cadre du suivi de nos études 2018 sur les points de terminaison du protocole RDP (Remote Desktop Protocol), Awingu research a découvert que plus de 360 000 entreprises et organisations gouvernementales en Allemagne, au Royaume-Uni, en Italie, aux Pays-Bas, en Belgique et en Suède disposent d'un accès ouvert à leur réseau, non protégé et disponible sur l'Internet "ordinaire" via RDP. En outre, nous avons également constaté un pic spécifique (jusqu'à 40 000 environnements RDP vulnérables) sur le site public cloud de Microsoft Azure Amsterdam. Même les pirates inexpérimentés peuvent facilement se frayer un chemin dans ces environnements non protégés, par exemple en utilisant des bases de données d'identifiants volés ou l'un des nombreux exploits RDP connus. Par conséquent, nous demandons instamment à ces entreprises d'ajouter une couche supplémentaire de sécurité à leur environnement dès que possible.
Cette étude a été présentée sur DataNews (BE), DutchITChannel (NL), ImpresaCity (IT) et Digit (Royaume-Uni).
L'étude, et pourquoi elle est importante
En septembre 2018, novembre 2018 et février 2019, une recherche menée par l'Awingu sur la sécurité de respectivement. Belge, Italien et Suédois a abouti à des résultats stupéfiants : plus de 50 000 points d'extrémité RDP (Remote Desktop Protocol) ouverts ont été découverts, laissant les entreprises auxquelles ils appartenaient avec une menace de sécurité bien réelle. En janvier 2020, nous avons examiné l'évolution de la situation et les résultats obtenus par les autres pays européens (Royaume-Uni, Pays-Bas et Allemagne) lors de ce test.
Nous avons mené une enquête approfondie sur la base des données publiques disponibles pour savoir quels points d'extrémité RDP étaient accessibles publiquement dans ces pays, et nous avons effectué des recherches spécifiques sur les adresses IP connectées à des points d'extrémité non protégés avec un accès RDP (Remote Desktop Protocol) actif. Il peut s'agir de serveurs et de PC.
RDP est l'un des outils d'accès à distance aux postes de travail et aux serveurs les plus utilisés au monde. Via le client RDP, une application qui doit être installée sur l'appareil de l'utilisateur (par exemple un ordinateur portable), vous permettez aux utilisateurs d'accéder à un bureau ou à une application complète à distance. En général, cela permet aux employés d'utiliser leurs logiciels à l'intérieur et à l'extérieur de l'entreprise. RDP est une solution à faible seuil, et l'ajout de sécurité est parfois considéré comme allant de soi : des mesures de sécurité supplémentaires (par exemple, des règles de pare-feu ou des listes de contrôle d'accès) sont synonymes de complexité supplémentaire pour l'administrateur informatique (et l'utilisateur).
Après une analyse basée sur les données mises à disposition par un moteur de recherche public, Awingu a obtenu le résultat spectaculaire suivant : plus de 360 000 points d'extrémité RDP sont actuellement accessibles au public dans les 6 pays étudiés. Cela signifie qu'ils sont accessibles à tous via l'internet, même si aucune connexion sécurisée, facilitée par l'organisation, n'est établie. En d'autres termes, ils ne sont pas ou pas suffisamment protégés et présentent un potentiel indéniable de piratage.
Des cibles faciles pour les pirates informatiques
C'est un jeu d'enfant pour des pirates relativement peu qualifiés de faire correspondre la liste des points de terminaison RDP et leur adresse IP à des entreprises réelles et de comparer cette liste aux nombreuses bases de données de mots de passe volés accessibles au public sur le dark web - il y a de fortes chances qu'ils y parviennent sans trop d'efforts. Si cela ne fonctionne pas, mais que le point d'accès RDP est accessible au public, il n'y a aucune raison pour que les pirates ne puissent pas effectuer une attaque par force brute pour essayer de deviner les informations de connexion, ou utiliser les nombreuses vulnérabilités RDP connues (si vous n'utilisez pas la dernière mise à jour). Il est donc conseillé aux entreprises disposant d'un environnement RDP ouvert de prendre des mesures à ce sujet le plus rapidement possible. Une fois qu'un pirate a accès, il peut exécuter des commandes qui installent un ransomware sur le système et infecter d'autres appareils du même réseau.
Rien que l'année dernière, plusieurs failles dévastatrices ont fait des ravages dans le monde entier, notamment la faille qui n'a pas encore été entièrement corrigée. Bluekeep qui a fait dommages importants à la toute fin de 2019 et le Le virus NotPetya qui a coûté plus de $10b aux entreprises du monde entier et a essentiellement rendu Maersk est incapable de poursuivre ses activités pendant un certain temps.. En d'autres termes, exposer votre point de terminaison RDP à la vue du monde entier est une principal problème de sécurité.
Les résultats : mauvaises nouvelles
Avant de réaliser notre test, nous étions optimistes : ces incidents mondiaux et les efforts continus de Microsoft pour limiter les vulnérabilités auront sûrement incité les gens à être plus prudents avec leur infrastructure et auront fait baisser le nombre de points de terminaison RDP ouverts. Cependant, cela n'a pas été le cas.
| Étude précédente | Étude 2020 | |
|---|---|---|
|
🇧🇪 Belgique |
8.803 |
8.698 |
|
🇮🇹 Italie |
33.629 |
32.664 |
|
🇸🇪 Suède |
9.655 |
12.614 |
|
🇬🇧 Royaume-Uni |
|
76.626 |
|
🇩🇪 Allemagne |
|
141.500 |
|
🇳🇱 Pays-Bas |
|
89.398 |
Note : Ces chiffres incluent les infrastructures publiques cloud telles que Google Cloud Platform et Microsoft Azure. Cela signifie que des pays comme les Pays-Bas, qui hébergent beaucoup de cloud publiques, ont une plus grande "exposition". Les clients qui utilisent ces cloud proviennent également d'autres pays, ce qui fausse un peu les données, même si nous ne pouvons pas mesurer dans quelle mesure.
Alors que la Belgique et l'Italie ont connu une très légère baisse des chiffres (respectivement 1,2% et 2,8%), la Suède enregistre une augmentation d'environ 25% en 11 mois. En outre, les régions qui n'avaient pas été étudiées jusqu'à présent affichent des chiffres élevés, notamment les Pays-Bas, qui sont en tête de liste lorsque l'on compare les points d'extrémité RDP ouverts à la population : avec environ 1,5 fois plus de citoyens que la Belgique, ils comptent dix fois plus de serveurs RDP non sécurisés.
Comme nous ne savons pas combien de points d'extrémité RDP (y compris ceux qui respectent les procédures de sécurité correctes) il y a dans un pays, nous ne pouvons pas dire lequel est le plus important. relativement les plus mal lotis. Cependant, le PIB est une mesure significative à laquelle comparer les données, ce qui nous donne au moins une mesure pour comparer les pays. En faisant cet exercice, nous obtenons le résultat suivant :
| Points d'extrémité ouverts | PIB (en milliards USD)* | Points finaux/b PIB | |
|---|---|---|---|
|
1. 🇳🇱 Pays-Bas NL (non-Azure) |
89.398 51.632 |
902,36 |
99,07 57,21 |
|
2. 🇩🇪 Allemagne |
141.500 |
3.863,34 |
36,63 |
|
3. 🇬🇧 Royaume-Uni |
76.626 |
2.743,59 |
27,93 |
|
4. 🇸🇪 Suède |
12.614 |
528,93 |
23,85 |
|
5. 🇧🇪 Belgique |
8.698 |
517,61 |
16,8 |
|
6. 🇮🇹 Italie |
32.664 |
1.988,64 |
16,43 |
*Source : https://www.imf.org/external/pubs/ft/weo/2019/02/weodata/index.aspx
Par rapport à la moyenne, l'Allemagne est également en mauvaise posture. Cependant, les Pays-Bas se distinguent comme un pouce endolori. Même en excluant les serveurs Azure (qui hébergent potentiellement les données d'entreprises non néerlandaises, car Azure Amsterdam héberge la partie ouest-européenne de la géographie Azure), nous avons trouvé 51 632 points d'extrémité ouverts, ce qui élimine l'argument selon lequel les chiffres s'envolent simplement en raison de leur présence publique cloud. Ce chiffre élevé est bien sûr également lié à la forte adoption de l'informatique sur serveur (et donc du RDP) aux Pays-Bas - et donc à un plus grand nombre de centres de données, de serveurs Windows et à une culture qui favorise le travail à distance. Même en laissant de côté les chiffres relatifs à Azure Amsterdam, nous pouvons affirmer avec certitude que les Pays-Bas comptent plus d'entreprises touchées par habitant que toutes les autres régions.
Qu'est-ce que cela nous apprend ?
1. Les points de terminaison RDP ouverts sont partout
Sur les six pays que nous avons étudiés, chacun d'entre eux compte un grand nombre de points d'accès RDP ouverts. Il ne faut pas s'attendre à ce que ce chiffre soit de 0 (bien que cela doive être notre objectif) mais cela montre qu'aucun pays ou région n'échappe au problème.
Comme les points d'accès sont publics et associés à une adresse IP, nous avons également pu localiser sur une carte l'emplacement approximatif de ces entreprises (ou du moins de leurs centres de données), comme indiqué ci-dessous. Cliquez sur les images pour obtenir une vue détaillée !
Globalement, ces cartes nous apprennent que - sans surprise - la concentration de points d'extrémité RDP ouverts est directement liée à la densité de population. Toutefois, cela implique également qu'elle n'est pas spécifique à une région, ni liée, par exemple, à un certain fournisseur d'accès Internet.
2. La situation est grave et ne s'améliore pas
Alors que le travail à distance via RDP gagne en popularité et que les entreprises sont de plus en plus nombreuses à l'activer, il convient de garder à l'esprit un minimum de sécurité. Cependant, le pic que nous observons en Suède nous montre un extrême contraire. Et si les chiffres en Belgique et en Italie restent relativement stables, il ne faut pas s'en réjouir, au contraire. Si c'était le cas, nous devrions enregistrer une diminution drastique des points d'accès RDP ouverts, et non une constante.
Bien que nous ne puissions pas comparer les données historiques des régions qui n'ont pas encore fait l'objet de recherches (Royaume-Uni, Pays-Bas, Allemagne), nous pouvons affirmer que la menace est bien réelle dans ces pays également. Ensemble, ils représentent la part du lion des serveurs accessibles au public découverts.
3. Les organisations qui se lèvent et passent au public cloud oublient les bases de la sécurité.
On pourrait s'attendre à ce que le cloud public (tel que Microsoft Azure) ait un impact positif sur la quantité de terminaux RDP ouverts - hélas, c'est le contraire. Comme on peut le constater aux Pays-Bas, où 42% des points d'extrémité ouverts ont été trouvés dans Azure, ce n'est certainement pas en passant à un cloud public que l'on oublie ses soucis. Cela nous amène également à conclure que les entreprises effectuent souvent un "lift & shift" vers le cloud public, sans tenir compte des procédures de sécurité correctes sur leur infrastructure on-prem ou publique cloud.
Atténuer les risques de sécurité avec Awingu
Awingu facilite une solution à ce problème avec notre espace de travail unifié. En l'utilisant, vous vous connectez à l'application ou au bureau via un navigateur - et non plus via un client RDP. Cela signifie que les personnes mal intentionnées ne peuvent plus exploiter les points faibles d'un accès RDP non protégé. Pour maximiser la protection via l'accès par navigateur, Awingu met en œuvre les mesures de sécurité suivantes :
- Authentification multi-facteurs: Awingu est livré avec une solution MFA intégrée, et peut (si nécessaire) intégrer facilement votre méthode d'authentification actuelle. En ajoutant MFA, vous vous assurez que les "attaques par force brute" ne sont plus possibles.
- SSL sans tracas: utilisez vos propres certificats ou changez de SSL via l'intégration intégrée de Let's Encrypt en un seul clic de souris.
- Possibilités d'audit étendues: conserver vos outils de journalisation RDP existants en plus des capacités d'audit d'Awingu incluses.
- Détection d'anomalies: être informé des irrégularités dans votre environnement, par exemple lorsqu'une personne se connecte trop souvent avec un mauvais mot de passe ou lorsqu'une personne tente de se connecter depuis l'étranger
- Ajoutez une couche supplémentaire : Awingu ajoute une porte supplémentaire qui n'est accessible que par http(s), ce qui rend l'accès à votre RDP beaucoup plus difficile pour les pirates. En fait, il s'agit d'une porte supplémentaire qui doit être "déverrouillée".
English 
Italian 
German 
Spanish 
French