新闻快讯
< >

Rapid7报告:数百万终端因RDP遭到曝光 中国数量排第二位

E安全8月16日讯 据Rapid7实验室最近发布的报告显示,目前全球总计存在410万个通过远程桌面协议(简称RDP)接收通信数据的Windows端点。

Rapid7报告:数百万终端通过RDP遭到曝光-E安全

远程桌面是方便Windows服务器管理员对服务器进行基于图形界面的远程管理。远程桌面基于RDP远程桌面协议,是一个多通道(multi-channel)的协议,让使用者所在计算机(用户端或‘本地计算机’)连上提供微软终端机服务的计算机(称为服务端或‘远程计算机’)。

RDP远程桌面协议曾修补漏洞多达20次

从安全角度来讲,RDP远程桌面协议在历史上可谓“颇具地位”。至少自2002年开始,微软已经发布了20项与RDP相关的安全更新,而且至少存在24项独立CVE,具体包括:

· MS99-028: 终端服务器连接请求洪流漏洞

· MS00-087: 终端服务器登录缓冲区溢出漏洞

· MS01-052: 无效RDP数据可能导致终端服务故障

· MS02-051: RDP协议中的加密缺陷可能导致信息泄露

· MS05-041: 远程桌面协议中的安全漏洞可能导致拒绝服务

· MS09-044: 远程桌面连接中的安全漏洞可能导致远程代码执行

· MS11-017: 远程桌面客户端中的安全漏洞可能导致远程代码执行

· MS11-061: 远程桌面Web访问中的安全漏洞可能导致权限提升

· MS11-065: 远程桌面协议中的安全漏洞可能导致拒绝服务

· MS12-020: 远程桌面中的安全漏洞可能导致远程代码执行

· MS12-036: 远程桌面中的安全漏洞可能导致远程代码执行

· MS12-053: 远程桌面中的安全漏洞可能导致远程代码执行

· MS13-029: 远程桌面客户端中的安全漏洞可能导致远程代码执行

· MS14-030: 远程桌面中的安全漏洞可能导致篡改

· MS14-074: 远程桌面协议中的安全漏洞可能导致安全功能回避

· MS15-030: 远程桌面协议中的安全漏洞可能导致拒绝服务

· MS15-067: 远程桌面协议中的安全漏洞可能导致远程代码执行

· MS15-082: 远程桌面协议中的安全漏洞可能导致远程代码执行

· MS16-017: 用于解决权限提升问题的远程桌面显示驱动程序安全更新

· MS16-067: 分卷管理器驱动程序安全更新

最近一段时间以来,影子经济人公布了指向Windows 2003与XP系统内RDP协议的Esteemaudit漏洞。近期公布的漏洞(CVE-2017-0176)很可能正是受到这项最新曝光的RDP安全漏洞的启发。

RDP远程桌面协议广泛应用存风险

Rapid7实验室在其声纳项目(Project Sonar)当中一直关注RDP在全球IPv4互联网当中的暴露问题。实验室首先立足蜜罐角度研究了RDP的滥用行为,并将其纳入去年发布的《攻击者词典》当中。

通过这项以Windows端点总体RDP暴露情况作为主要关注方向的研究,安全厂商Rapid7实验室发现了总计1100万个开放3389/TCP端点,而其中410万个“通过RDP实现彼此通信”。

此项研究延续该公司之前发布的多篇报告,2016年年初,声纳项目观察到高达1080万个疑似开放RDP端点,作为Rapid7实验室2016年度国内曝光指数研究成果的一部分,2016年第二季度的两项检测中分别观察到900万与940万个疑似开放RDP端点。

最近,作为2017年国内曝光指数的一部分,声纳项目于2017年第一季度观察到的端点数量则下降至720万个。

端点暴露虽然值得关注,但真正重要的是所暴露协议究竟会引发怎样的风险。

作为声纳项目的组成部分,蜜罐、tarpit、IP或者其它看似属于开放端点,但实际不是安全设备,其并不属于安全隐患因素。

Rapid7报告:数百万终端通过RDP遭到曝光-E安全

以上公布的数据可信吗?

互联网上当然不可能存在高达7000万套遭到RDP暴露在外的系统,对吧?

最近,声纳调查以更为准确地了解公开互联网上存在实际RDP暴露问题的系统数量。Rapid7以此前的RDP研究方式,即简单进行zmap SYN扫描为基础,进一步对其中各个IP进行完整连接,对RDP客户端在与RDP服务器联络时进行的一系列协议交互操作中的第一项进行尝试。

这套简单的初步协议协商流程能够模拟现代RDP客户端的执行方式,且与利用Nmap识别RDP的作法非常相近。这条长度为19字节的RDP协商请求应该能够在几乎每个有效RDP配置当中获得响应,范围覆盖旧有RDP版本的默认(低安全性)设置到新型默认设置中的NLA与SSL/TLS要求。

全球RDP端点暴露情况

今年3月,一份安全报告则披露称,RDP曾放行用于勒索软件分发的电子邮件。在将RDP与各类勒索软件变种相关的交付方式进行关联之后,研究人员们得出结论,认为攻击者们正越来越多地通过暴力破解RDP证书以部署此类恶意软件。

另有报道指出,诈骗分子一直利用RDP作为其攻击活动的一部分,其往往在不必要的情况下说服用户启用RDP以便提供“远程支持”。可以想见,RDP正以各种方式在公开互联网上被有意或者无意地暴露在外。

Rapid7报告:数百万终端通过RDP遭到曝光-E安全

根据相关报告,目前大多数暴露RDP端点位于美国(占比28.8%,实际数量超过110万)。中国同样拥有大量暴露的RDP端点(占比17.7%,实际数量约73万)。紧随其后的则分别为德国(4.3%,约17万7千)、巴西(3.3%,约13万7千)以及韩国(3.0%,约12万3千)。

Rapid7报告:数百万终端通过RDP遭到曝光-E安全

安全研究人员们还面向各家企业所拥有的IP进行了RDP暴露端点调查,结果显示:亚马逊(占比7.73%),阿里巴巴(6.8%)、微软(4.96%)、中国电信(4.32%)以及康卡斯特(2.07%)。

RDP协议问题受托管服务供应商影响

Rapid7公司指出,这亦反映了为何一部分国家的暴露端点数量要明显高于其它国家,这是因为其国内拥有大量云、虚拟或者物理托管服务供应商。在这种情况下,“以远程方式访问Windows设备将成为一种必需。”

安全研究人员们还发现,超过83%的被发现RDP端点希望采用CredSSP作为安全协议。如此一来,RDP会话将拥有理想的安全性保障。另外,虽然也有一部分RDP端点选择了SSL/TLS,但仍有超过15%的暴露端点声明其无法支持SSL/TLS。

Rapid7公司指出,“虽然有83%的RDP端点宣称其支持CredSSP,但这并不意味着其无法支持其它低安全性选项。换言之,这仅意味着如果客户愿意,则能够采取更为安全的路由机制。”另外,该公司同时强调称,超过80%的暴露端点包含有用于保护RDP会话的常规手段。

RDP配置方式或引发严重后果

Rapid7公司指出,“RDP正以各种方式在公开互联网上被有意或者无意地暴露在外,其在公开互联网上的暴露程度远超大家的想象。暴露程度取决于具体RDP配置方式,将其直接开放至互联网可能带来从自我毁灭到造成安全漏洞等一系列后果。”

RDP本身虽然在全部Windows版本当中皆默认被禁用,但管理员通常会立足内部网络加以启用,旨在简化管理及支持等日常工作。事实上,几乎任何组织机构都会采用RDP方案,而且其确实能够带来极大便利。

Rapid7公司指出,“旧有Windows版本中的默认RDP配置导致其可能受到数种攻击活动的影响;然而,新版本通过默认启用网络级身份验证(简称NLA)机制而大大提升了安全水平。”

今年年初,影子经济人组织公布了窃取自美国国家安全局方程组项目内的EsteemAudit漏洞,此项漏洞专门指向Windows 2003与XP系统上的RDP。微软方面公布了Windows XP安全更新以解决相关漏洞,其中包括EsteemAudit所利用的CVE-2017-0176。

有什么解决方案?

将RDP端点直接开放至互联网可能带来从自我毁灭到造成安全漏洞等一系列后果。一个简单的解决方案是,利用适当的防火墙规则或者ACL限制以确保仅受信IP地址可进行RDP访问,即可带来理想的保护效果。

然而,这些额外的安全保障机制仅在Bob-from-Accounting网站上提到的每周变更IP地址的前提下方能成立。当然,很多RDP可能配合VPN使用且确实能够显著提升安全水平,但互联网上的高安全性RDP端点与VPN的安全性基本相当。

另外,如果安全保护效果不明的家庭成员或者朋友需要远程协助,启用RDP通常是大家的第一选择。

未来如何提高RDP通信安全性?

  • 安全协议与受支持加密级别。Nmap拥有一套NSE脚本,其将枚举所有可用于RDP的安全协议与加密级别。虽然有83%的RDP端点宣称其支持CredSSP,但这并不意味着其无法支持其它低安全性选项。也就是说,如果客户愿意,则能够采取更为安全的路由机制。

  • 当采用TLS/SSL或者CredSSP时,企业是否会遵循与证书相关的各项最佳实践,包括自签名证书(可能引发MiTM)、过期以及薄弱算法?

  • 在非微软客户端及服务器当中探索如何实现RDP功能。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。