3389 UDP portu üzerinden çalışan Windows RDP sunucuları, DDoS botnetlerinin tuzağına düşerek kurban ağlarına yönelik gereksiz trafiği geri döndürmek ve etkisini arttırmak için kötüye kullanılabiliyor.
Güvenlik firması Netscout Salı günü yaptığı bir açıklamada, siber suç çetelerinin DDoS saldırılarının bir parçası olarak gereksiz trafiği geri döndürmek ve artırmak için Windows Uzak Masaüstü Protokolü (RDP) sistemlerinin kötüye kullanıldığını söyledi.
Bütün RDP sunucuları saldırganlar tarafından kötüye kullanılmıyor. Sadece standart olan TCP 3389 port numarasının üstüne 3389 UDP portunun da etkinleştirildiği sunucular bu zaafiyet ile saldırganların hedefi oluyor.
Netscout, saldırganların bir DDoS saldırısının hedeflerine sekecek olan RDP sunucularının UDP bağlantı noktalarına hatalı biçimlendirilmiş UDP paketleri gönderebileceğini, boyut olarak büyütülmüş ve gereksiz trafiğin hedef sisteme çarpmasına neden olabileceğini söyledi.
Bu, siber güvenlik uzmanlarının “DDoS büyütme faktörü” olarak adlandırdığı bir işlem. Bu taktik, sınırlı kaynaklara erişimi olan saldırganların, internete bağlı olan sistemlerin yardımıyla gereksiz trafiği artırarak büyük ölçekli DDoS saldırıları yapmasına izin veriyor.
Söz konusu RDP saldırısında Netscout, saldırganların birkaç bayt gönderip “tutarlı olarak 1.260 bayt uzunluğunda” “saldırı paketleri” oluşturduğu büyütme faktörünün 85.9 olduğunu söyledi.
85.9 faktör değeri, RDP’yi Jenkins sunucuları (~ 100), DNS (179’a kadar), WS-Discovery (300-500), NTP (~ 550) ve Memcached (~50000) gibi DDoS amplifikasyon vektörlerinin en üst kademesine yerleştiriyor.
Bu saldırılar ile RDP sunucuları siber saldırılar için daha yoğun olarak kullanılmaya başladı
Ancak kötü haber, büyütme faktörü ile bitmiyor. Netscout, saldırganların şu anda ağır şekilde istismar edilen bu yeni vektörü çok daha sık bir şekilde kullanmaya başladığını söyledi.
Netscout yetkilileri, internete erişimi olan RDP sunucularını çalıştıran sistem yöneticilerine, savunmasız sistemlerle kimlerin etkileşime girebileceğini sınırlandırmak için sistemleri çevrimdışına almalarını, bunları eşdeğer TCP bağlantı noktasına geçirmelerini veya RDP sunucularını VPN’lerin arkasına koymalarını tavsiye ediyor.
Netscout şu anda, çevrimiçi olarak açığa çıkmış olan ve 3389 UDP bağlantı noktası üzerinde çalışan 14.000’in üzerinde RDP sunucusu tespit ettiğini söyledi.
Aralık 2018’den beri beş yeni DDoS amplifikasyon kaynağı gün ışığına çıktı. Bu kaynaklar, Kısıtlı Uygulama Protokolü (CoAP), Web Hizmetleri Dinamik Keşfi (WS-DD) protokolü, Apple Uzaktan Yönetim Hizmeti (ARMS), Jenkins sunucuları ve Citrix ağ geçitleri olarak belirlendi.
Kaynak: zdnet.com
Bunlar da İlginizi Çekebilir
MrbMiner Kripto-Maden Botnetinin, İran İle Bağlantısı Tespit Edildi
Aylardır Bulunamayan Jack Ma Sonunda Ortaya Çıktı
AMD’nin Ryzen 5000 Serisi Laptoplara Geliyor