Come seguito dei nostri studi del 2018 sugli endpoint aperti del protocollo Desktop (RDP), la ricerca Awingu ha trovato oltre 360.000 aziende e organizzazioni governative in Germania, Regno Unito, Italia, Paesi Bassi, Belgio e Svezia che hanno un accesso aperto nella loro rete non protetto e disponibile su Internet "regolare" tramite RDP. Inoltre, abbiamo anche trovato un picco specifico (fino a 40.000 ambienti RDP vulnerabili) sul pubblico cloud di Microsoft Azure Amsterdam. Anche gli hacker inesperti possono facilmente navigare in questi ambienti non protetti, ad esempio, utilizzando database di login rubati o utilizzando uno dei tanti exploit RDP conosciuti. Pertanto, esortiamo queste aziende ad aggiungere un ulteriore livello di sicurezza al loro ambiente il prima possibile.
Questo studio è stato presentato su DataNews (BE), DutchITChannel (NL), ImpresaCity (IT) e Cifra (Regno Unito).
Lo studio e perché è importante
Nel settembre 2018, novembre 2018 e febbraio 2019, una ricerca condotta da Awingu sulla sicurezza di rispettivamente Belga, Italiano e Svedese ha portato a risultati sbalorditivi: sono stati scoperti più di 50.000 endpoint RDP (Remote Desktop Protocol) aperti, che hanno lasciato le aziende a cui appartenevano con una minaccia alla sicurezza molto reale. Nel gennaio del 2020, abbiamo esaminato come è cambiata la situazione e come si sono comportati gli altri paesi europei (Regno Unito, Paesi Bassi e Germania) in questo test.
Abbiamo eseguito l'indagine approfondita sulla base di dati pubblicamente disponibili su quali endpoint RDP erano accessibili pubblicamente in tali paesi, e abbiamo fatto ricerche specifiche sugli indirizzi IP che erano collegati a endpoint non protetti con un accesso RDP (Remote Desktop Protocol) attivo. Questi possono essere server e PC.
RDP è uno degli strumenti più utilizzati al mondo per l'accesso remoto a desktop e server. Attraverso il client RDP, un'applicazione che deve essere installata sul dispositivo dell'utente (ad esempio un portatile), si permette agli utenti di accedere a un desktop completo o a un'applicazione in remoto. In genere, questo permette ai dipendenti di utilizzare il loro software sia all'interno che all'esterno dell'azienda. RDP è una soluzione a bassa soglia, e l'aggiunta della sicurezza è a volte data per scontata: misure di sicurezza extra (ad esempio regole di firewall o liste di controllo degli accessi) significano una maggiore complessità per l'amministratore IT (e l'utente).
Dopo un'analisi basata sui dati resi disponibili da un motore di ricerca pubblico, Awingu ha ottenuto il seguente risultato spettacolare: oltre 360.000 endpoint RDP sono attualmente disponibili pubblicamente nei nostri 6 paesi oggetto della ricerca. Ciò significa che questi sono accessibili a tutti via internet - anche se non viene stabilita una connessione sicura, facilitata dall'organizzazione. In altre parole, questi non sono protetti o lo sono in modo insufficiente e hanno un potenziale inequivocabile di essere violati.
Bersagli facili per gli hacker
È un gioco da ragazzi per gli hacker relativamente poco qualificati mappare la lista degli endpoint RDP e il loro indirizzo IP su aziende reali e confrontare quella lista con i molti database pubblicamente disponibili di password rubate sul dark web - è probabile che entreranno senza molto sforzo. Se questo non funziona, ma l'endpoint RDP è pubblicamente disponibile, non c'è motivo per cui gli hacker non possano anche eseguire un attacco brute-force per cercare di indovinare i dettagli di accesso, o, utilizzare le molte vulnerabilità RDP conosciute (se non stai eseguendo l'ultimo aggiornamento). Tali aziende con un ambiente RDP aperto sono quindi consigliate di fare qualcosa al più presto. Una volta che un hacker ha accesso, può eseguire comandi che installano ransomware sul sistema e infettano altri dispositivi nella stessa rete.
Solo nell'ultimo anno ci sono stati più di alcuni exploit devastanti che hanno portato il caos in tutto il mondo, tra cui il non ancora completamente patchato Bluekeep che ha fatto danni significativi alla fine del 2019 e il Il virus NotPetya che è costato alle aziende di tutto il mondo oltre $10b ed essenzialmente ha reso inutilizzabile Maersk incapace di svolgere qualsiasi attività per un po' di tempo. In altre parole: esporre il vostro endpoint RDP perché tutto il mondo lo veda è un maggiore problema di sicurezza.
I risultati: cattive notizie
Prima di eseguire il nostro test, eravamo ottimisti: sicuramente questi incidenti mondiali e lo sforzo continuo di Microsoft per limitare le vulnerabilità avranno portato le persone ad essere più caute con la loro infrastruttura e avranno abbassato la quantità di endpoint RDP aperti. Tuttavia, non è stato così.
| Studio precedente | Studio 2020 | |
|---|---|---|
|
🇧🇪 Belgio |
8.803 |
8.698 |
|
🇮🇹 Italia |
33.629 |
32.664 |
|
🇸🇪 Svezia |
9.655 |
12.614 |
|
🇬🇧 Regno Unito |
|
76.626 |
|
🇩🇪 Germania |
|
141.500 |
|
🇳🇱 Paesi Bassi |
|
89.398 |
Nota: questi numeri includono infrastrutture cloud pubbliche come Google Cloud Platform e Microsoft Azure. Ciò significa che paesi come i Paesi Bassi, che ospitano molti cloud pubblici, hanno più "esposizione". I clienti che girano in queste cloud provengono anche da altri paesi, il che altera un po' i dati - anche se non possiamo misurare di quanto.
Mentre il Belgio e l'Italia hanno visto una leggera diminuzione dei numeri (rispettivamente 1,2% e 2,8%), la Svezia vede un aumento di circa 25% in 11 mesi. Inoltre, le regioni precedentemente non studiate mostrano numeri elevati, con soprattutto i Paesi Bassi in testa quando si confrontano gli endpoint RDP aperti con la popolazione - con circa 1,5 volte il numero di cittadini del Belgio, hanno dieci volte la quantità di server RDP non protetti.
Poiché non sappiamo quanti endpoint RDP (compresi quelli che seguono le corrette procedure di sicurezza) ci sono in un paese, non possiamo affermare quale sia relativamente peggiore. Tuttavia, una metrica significativa con cui confrontare i dati è il PIL, che ci darà almeno una metrica per confrontare i paesi. Fare questo esercizio ci porta al seguente risultato:
| Punti finali aperti | PIL (in miliardi di USD)* | Punti finali/b PIL | |
|---|---|---|---|
|
1. 🇳🇱 Paesi Bassi NL (non-Azure) |
89.398 51.632 |
902,36 |
99,07 57,21 |
|
2. 🇩🇪 Germania |
141.500 |
3.863,34 |
36,63 |
|
3. 🇬🇧 Regno Unito |
76.626 |
2.743,59 |
27,93 |
|
4. 🇸🇪 Svezia |
12.614 |
528,93 |
23,85 |
|
5. 🇧🇪 Belgio |
8.698 |
517,61 |
16,8 |
|
6. 🇮🇹 Italia |
32.664 |
1.988,64 |
16,43 |
*Fonte: https://www.imf.org/external/pubs/ft/weo/2019/02/weodata/index.aspx
Rispetto alla media, anche la Germania è in una brutta posizione. Tuttavia, i Paesi Bassi spiccano come un pollice dolente. Anche lasciando fuori dal mix i server Azure (che potenzialmente ospitano i dati di aziende non olandesi, dato che Azure Amsterdam ospita la parte europea occidentale della geografia Azure), abbiamo ancora trovato 51.632 endpoint aperti, eliminando l'argomento che i numeri salgono alle stelle solo a causa della loro presenza cloud pubblica. Questo numero elevato è naturalmente anche legato all'alta adozione del 'server-based computing' (e quindi RDP) nei Paesi Bassi - e quindi più data center, più server Windows e una cultura che favorisce il lavoro remoto. Anche lasciando fuori i numeri di Azure Amsterdam, possiamo affermare con sicurezza che più aziende sono colpite pro capite nei Paesi Bassi che in tutte le altre regioni.
Cosa impariamo da questo?
1. Gli endpoint RDP aperti sono ovunque
Dei sei paesi che abbiamo ricercato, ognuno di essi ha una quantità abbondante di endpoint RDP aperti. Non dovremmo aspettarci che dica 0 (anche se dovrebbe essere il nostro obiettivo) ma mostra che nessun paese o regione sfugge al problema.
Poiché gli endpoint sono pubblici e mappati ad un indirizzo IP, siamo stati anche in grado di individuare approssimativamente dove queste aziende (o almeno i loro centri dati) possono essere trovati su una mappa, come indicato di seguito. Clicca sulle immagini per avere una visione dettagliata!
Nel complesso, impariamo da queste mappe che - non sorprende - la concentrazione di endpoint RDP aperti è direttamente correlata alla densità della popolazione. Tuttavia, questo implica anche che non è specifico della regione, o legato, per esempio, solo a un certo ISP.
2. La situazione è grave e non migliora
Poiché il lavoro a distanza tramite RDP sta guadagnando popolarità, e (allo stesso modo) sempre più aziende lo stanno abilitando, si dovrebbe tenere un minimo di sicurezza in mente. Tuttavia, il picco che vediamo in Svezia ci mostra un estremo opposto. E mentre i numeri in Belgio e Italia rimangono relativamente stabili, questo non richiede una celebrazione - au contraire. Semmai, mostra che c'è poca o nessuna conoscenza generale dei pericoli che queste pratiche comportano; se ci fosse, dovremmo registrare una drastica diminuzione degli endpoint RDP aperti, non una costante.
Anche se non possiamo confrontare i dati storici delle regioni precedentemente non studiate (Regno Unito, Paesi Bassi, Germania), possiamo affermare con sicurezza che la minaccia è molto reale anche in questi paesi. Insieme, costituiscono la parte del leone dei server scoperti rivolti al pubblico.
3. Le organizzazioni che sollevano e passano al pubblico cloud dimenticano le basi della sicurezza
Ci si aspetterebbe che l'cloud pubblico (come Microsoft Azure) abbia un impatto positivo sulla quantità di endpoint RDP aperti - ahimè, è vero il contrario. Come è evidente nei Paesi Bassi, dove 42% degli endpoint aperti sono stati trovati in Azure, non è certo il caso che spostarsi verso un cloud pubblico faccia dimenticare le preoccupazioni. Questo ci porta anche a concludere che spesso le aziende eseguono un "lift & shift" verso l'cloud pubblico, senza tenere conto delle corrette procedure di sicurezza né sulla loro infrastruttura on-prem né sull'cloud pubblico.
Mitigare i rischi di sicurezza con Awingu
Awingu facilita una soluzione per questo problema con il nostro Unified Workspace. Quando lo si utilizza, ci si connette all'applicazione o al desktop tramite un browser - e non più tramite un client RDP. Questo significa che le persone con cattive intenzioni non possono più sfruttare i punti deboli di un accesso RDP non protetto. Per massimizzare la protezione attraverso l'accesso via browser, Awingu implementa le seguenti misure di sicurezza:
- Autenticazione a più fattori: Awingu è dotato di una soluzione MFA integrata, e può (se necessario) integrare facilmente il tuo attuale metodo di autenticazione. Aggiungendo l'MFA ti assicuri che gli "attacchi di forza bruta" non siano più possibili.
- SSL senza problemiUtilizzate i vostri propri certificati o cambiate SSL tramite l'integrazione integrata di Let's Encrypt con un solo clic del mouse.
- Ampie possibilità di audit: mantenere i vostri strumenti di registrazione RDP esistenti in funzione insieme alle capacità di audit di Awingu incluse
- Rilevamento delle anomalie: essere informato su irregolarità nel suo ambiente, come qualcuno che accede troppo spesso con una password sbagliata o quando qualcuno cerca di accedere dall'estero
- Aggiungete un ulteriore strato: Awingu aggiunge una porta extra che è accessibile solo su http(s), rendendo molto più difficile per gli hacker accedere al vostro RDP. In sostanza, fornisce un'altra porta che deve essere "sbloccata".
English 
Italian 
German 
Spanish 
French