Los investigadores de Netscout han descubierto un nuevo vector de ataque DDoS, donde los atacantes abusan de los servidores RDP de Windows para amplificar el tráfico basura mientras alcanzan los objetivos. La laguna en esto es que los servidores RDP están expuestos en el puerto 3389, lo que permitiría a los atacantes con menos recursos amplificar el tráfico general a basura.
Un nuevo vector de ataque DDoS
Netscout, una firma de ciberseguridad, ha lanzado una alerta el martes, donde detalla un nuevo vector de ataque DDoS. La denegación de servicio distribuida (DDoS) se trata de dirigir el tráfico malicioso contra un sitio web o un servidor para que aplaste el manejo de más de su capacidad.
Esto impide que los usuarios genuinos accedan al servicio mientras está inactivo. Dado que el ataque desde un solo dispositivo se puede detectar fácilmente, los piratas informáticos a menudo usan múltiples dispositivos desde varios lugares para atacar a la vez, por lo que se distribuyen y son difíciles de rastrear. Se detectó un nuevo vector para hacer esto.donde los atacantes utilizan servidores Windows RDP.
Aquí, están apuntando a los servidores RDP que tienen la autenticación RDP activada y con el puerto UDP 3389 habilitado sobre el puerto TCP general 3389. Al iniciarlo, los atacantes inicialmente enviarían paquetes UDP con formato incorrecto a los servidores RDP, que son devueltos por los puertos UDP contra el sistema del objetivo en tamaño amplificado.
Como detectaron los investigadores, los atacantes pueden amplificar este ataque de manera excelente, ya que enviar solo unos pocos bytes de la solicitud de datos a los servidores RDP devuelve alrededor de 1260 bytes de paquetes de ataque contra el objetivo. Esto permite a los piratas informáticos incluso con recursos de gama baja lanzar ataques a gran escala, por lo que recibió un factor de amplificación de 85,9.
Los atacantes están abusando tanto de esto que ahora se agrega al paquete de servicios de alquiler DDoS booter/stresser, lo que brinda a los atacantes generales una nueva opción. Por lo tanto, los investigadores son administradores de sistemas de advertencia para use VPN en servidores RDP tan vulnerables o cámbielos a un puerto TCP equivalente o desconéctelos para evitar ataques.
