btbilgi

Remote Desktop Protocol (RDP), yani Uzak Masaüstü Bağlantı Protokolü kurumların uzak lokasyonlardaki bilgisayarlara ve sunuculara bağlanmak için sıkça tercih ettiği bir yöntem. Ne yazık ki bu yöntem aynı zamanda siber suçluların da dikkatini çekmekte. 2011 yılından beri sistem yöneticilerinin başını ağrıtan RDP odaklı saldırıları takip eden güvenlik firması Sophos, bu konuda kapsamlı bir rapor hazırlamış durumda.

“RDP Exposed: The Threat That’s Already at your Door” başlığıyla yayımlanan araştırma, bu yöntemdeki açıkları değerlendiren siber saldırganların operasyonlarında ısrarlı ve inatçı olduklarını ortaya koyuyor. Matrix ve SamSam hedefli saldırılarının arkasında yer alan siber grupların, geçen sene boyunca ağlara sızmak için kullandıkları diğer tüm yöntemleri bir kenara bırakıp RDP’ye odaklanmış olduklarına dikkat çekilmekte.

Raporu değerlendiren Sophos Güvenlik Uzmanı Matt Boddy şu bilgileri vermiş: “Geçtiğimiz günlerde BlueKeep (CVE-2019-0708) adı verilen ve hedef sistemlerde uzaktan kod çalıştırılmasına olanak sağlayan RDP açığı gündemde önemli bir yer tuttu. Bu öylesine ciddi bir açık ki, saatler içinde bütün dünyaya yayılacak bir potansiyel fidye yazılımı saldırısının başlangıcı olabilir. Şu an dünyada RDP ile erişim sağlayan 3 milyondan fazla cihaz var. RDP odaklı tehditlere karşı sistemleri koruma altına almak ise BlueKeep için yama yüklemenin çok daha ötesinde bir çaba gerektiriyor, Araştırmamızda siber saldırganların potansiyel RDP açığı olan sistemleri 7 gün 24 saat saldırı yağmuru altında tuttuğunu gözlemledik. Bilgi teknolojileri yöneticileri bu konuyu çok daha fazla ciddiye almalılar.”

Raporda Remote Desktop özelliği açık cihazların neredeyse internet üzerinde belirir belirmez keşfedildiğini ve hedef alındığı aktarılmakta. Sophos bunun etkisini denemek için geniş bir coğrafi alanda düşük etkileşimli kukla sunucular aktive etmiş. Deneme sonucunda şu bulgular elde edilmiş:

  • 10 sunucunun tamamı daha ilk gününü doldurmadan RDP saldırısına uğramış. İlk saldırılan sunucunun Paris’te, son saldırılan sunucunun Singapur’da olduğu rapor ediliyor.
  • Sunucular 30 gün içinde 4 milyon 298 bin 513 başarısız giriş denemesine maruz kalmış. Bunun her 6 saniyede bir denemeye karşılık geldiği belirtilmekte. 2012 yılında gerçekleştirilen benzer bir araştırmada bu rakamın yarım saatte bir olarak ölçüldüğü hatırlatılmakta.
  • Siber güvenlik sektörü genelinde, siber suçluların açık RDP kaynaklarını taramak için Shodan gibi siteleri kullanıldığı tahmin ediliyor. Bu yeni araştırmaya göre ise saldırganlar kendi araç ve tekniklerini geliştimekte. Yani artık üçüncü parti sitelere eskisi kadar ihtiyaç duymuyorlar.

Kurulan tüm kukla sunucular internete bağlandıktan kısa bir süre sonra sadece RDP kullandıkları için keşfedilerek hedef alınmışlar. Raporda bu saldırılardan korunmanın yolunun RDP kullanımını olabildiğince azaltmaktan geçtiği ifade edilmiş. Ayrıca organizasyon genelinde güçlü şifre belirleme politikaları oluşturmak ve doğru güvenlik protokolleri uygulamak da verilen tavsiyeler arasında.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.