Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

21.000 IP italiani espongono il Remote Desktop Protocol. Su internet non deve essere esposto!

Redazione RHC : 16 Febbraio 2024 16:11

Quanto volte abbiamo detto che su internet, i sistemi di amministrazione non devono essere esposti? Purtroppo questa cultura non è da tutti, e molti sistemi operativi restano aperti a chiunque voglia violarli in modo completamente in vista, su internet.

Questa volta, è stato pubblicato un file all’interno di un sistema di file sharing che contiene una collection di 21.000 indirizzi IP che espongono il Remote Desktop Protocol (porta 3389) in Italia. Non che questi facciano notizia (su shodan oggi in Italia ne vengono conteggiati 27.000), ma così ben ordinati e “ciclabili” e scaricabili in un click, non è cosa da poco.

Esempio di Broker di Accesso (IaB) che rivende l’accesso a 40 server RDP di una azienda italiana a 190 euro

Perché esporre RDP su internet è un suicidio!

Esporre il Remote Desktop Protocol (RDP) direttamente su Internet senza adeguata protezione è estremamente rischioso per diversi motivi:

  1. Attacchi di Brute Force o Spraying Password: Esponendo RDP su Internet, gli attaccanti possono facilmente individuare e mirare agli endpoint RDP, tentando di indovinare le credenziali dell’account tramite attacchi di Brute Force o Spraying Password. Con questi metodi, gli aggressori provano una serie di combinazioni di username e password finché non riescono ad accedere con successo. Questi attacchi possono essere automatizzati utilizzando strumenti come Hydra, Ncrack o Metasploit, rendendo il processo più rapido ed efficiente per gli hacker.
  2. Vulnerabilità del Protocollo RDP: Anche se le credenziali non vengono compromesse, l’esposizione di RDP rende gli endpoint vulnerabili a sfruttamenti noti e vulnerabilità di sicurezza associate al protocollo stesso. Le vulnerabilità nel protocollo RDP possono essere sfruttate per ottenere l’accesso non autorizzato al sistema remoto, bypassare le misure di sicurezza e persino eseguire codice arbitrario.
  3. Minaccia di Malware e Attacchi di Ransomware: Una volta che un aggressore ottiene accesso a un endpoint RDP compromesso, può installare malware, eseguire attacchi ransomware o compiere altre azioni dannose sul sistema. Questo può causare gravi danni, inclusa la perdita di dati sensibili o la compromissione della rete aziendale.
  4. Monitoraggio e Regolamentazione delle Attività: Esponendo RDP su Internet, gli attacchi possono avvenire costantemente, rendendo difficile il monitoraggio e il controllo delle attività sospette. Gli attaccanti possono facilmente nascondere le loro attività all’interno del traffico RDP, complicando il rilevamento e la risposta agli incidenti di sicurezza.

Ma se voglio utilizzare RDP su internet, come posso fare?

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Se hai la necessità di utilizzare il Remote Desktop Protocol (RDP) su Internet per accedere ai tuoi sistemi remoti, è fondamentale adottare misure di sicurezza robuste per proteggere gli endpoint e prevenire accessi non autorizzati. Ecco alcune strategie avanzate da considerare:

    1. Aggiornamenti Regolari e Patching del Software: Assicurati che tutti i tuoi sistemi e applicazioni RDP siano regolarmente aggiornati e protetti con le ultime patch di sicurezza. Le vulnerabilità software possono essere sfruttate dagli aggressori per compromettere i sistemi, quindi è fondamentale mantenere tutto il software aggiornato;
    2. Implementazione di VPN (Virtual Private Network): La migliore pratica è creare una connessione VPN sicura tra il tuo dispositivo locale e la rete a cui vuoi accedere tramite RDP. Una VPN crittografa il traffico di rete, creando un tunnel sicuro attraverso Internet e proteggendo le comunicazioni RDP da attacchi esterni.
    3. Configurazione dell’Accesso Remoto Sicuro: Se è assolutamente necessario esporre direttamente RDP su Internet, assicurati di implementare le migliori pratiche di sicurezza, come l’uso di autenticazione a più fattori (MFA), l’impostazione di password robuste e la restrizione degli indirizzi IP autorizzati.
    4. Limitazione dei Privilegi di Accesso: Applica il principio del privilegio minimo necessario limitando l’accesso agli account RDP solo a utenti autorizzati e assegnando loro solo i privilegi necessari per svolgere le loro attività. Riduci al minimo il rischio di compromissione limitando il numero di utenti con accesso RDP e monitorando attentamente le attività degli utenti privilegiati.

    Implementando queste strategie avanzate, puoi utilizzare RDP su Internet in modo sicuro e proteggere i tuoi sistemi remoti da minacce informatiche e accessi non autorizzati. Ricorda sempre di mantenere la sicurezza come priorità assoluta e di adottare le migliori pratiche per proteggere i tuoi dati e la tua infrastruttura da potenziali rischi.

    Roberto Beneduci, CEO di Coretech da dei consigli su come comprendere se la vostra macchina è sotto attacco e su come proteggerla al meglio. “2 consigli pratici a chi ha un RDP aperto. Il primo è quello di andare su Windows nel registro Eventi Security e verificare se trova tanti eventi con icona del lucchetto corrispondenti all’ ID Evento numero 4625. Se riscontrate molti di questi messaggi significa che stanno tentando di fare un brute force al vostro server. L’errore infatti indica che l’autenticazione non è riuscita. E’ questione di tempo e potreste trovarvi la sorpresa presto Il secondo consiglio, più pratico se non potete fare connessione RDP via VPN come suggerito nell’articolo è quello di valutare soluzioni come Tsplus che rende disponibile RDP over HTTPS con autenticazione a due fattori, ad un costo decisamente abbordabile per tutti.”

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...

    Spagna e Portogallo al buio e sospetti di attacco informatico. NoName e DarkStorm Rivendicano

    Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...

    Cyberattacchi senza precedenti: il Report DarkMirror di DarkLab lancia l’allarme per l’Italia

    Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006