Uzak Masaüstü Protokolü (RDP) hizmetlerini hedef alan tarama etkinliklerinde, özellikle 1098/TCP bağlantı noktasına odaklanan önemli bir artış var.
Shadowserver Foundation’ın gözlemlerine göre, geçtiğimiz iki hafta boyunca honeypot sensörleri bu taramalarda endişe verici bir artış tespit etti; günde 740.000’e kadar farklı kaynak IP adresi tespit edildi; bunların arasında şaşırtıcı bir şekilde 405.000’i Brezilya’dan gelenler de bulunuyor.
Bu agresif tarama kampanyası, yaygın kullanımları ve potansiyel güvenlik açıkları nedeniyle uzun süredir siber suçluların tercih ettiği hedef olan RDP hizmetlerini çevreleyen devam eden tehdit ortamını vurguluyor.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Tipik olarak diğer hizmetlerle ilişkilendirilen 1098 numaralı bağlantı noktasına olağandışı odaklanma, saldırganların yanlış yapılandırmalardan yararlandığını veya geleneksel güvenlik önlemlerini atlamaya çalıştığını gösteriyor.
Bu tarama faaliyetinin zamanlaması özellikle dikkat çekicidir, çünkü Microsoft’un son Salı Yaması sürümünü yakından takip etmektedir.
Aralık 2024 güncellemesi, CVE-2024-49106, CVE-2024-49108, CVE-2024-49115, CVE-2024-49119, CVE-2024-49120, CVE-2024-49123 dahil olmak üzere birden fazla kritik RDP güvenlik açığını giderdi. CVE-2024-49132, CVE-2024-49116 ve CVE-2024-49128.
Microsoft’un Aralık 2024 Salı Yaması’ndaki Uzak Masaüstü Hizmetleri güvenlik açıklarıyla ilgili CVE’leri özetleyen bir tablo:
| CVE Numarası | Şiddet | CVSS Puanı | Tanım |
|---|---|---|---|
| CVE-2024-49106 | Kritik | 8.1 (Yüksek) | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49108 | Kritik | 8.1 (Yüksek) | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49115 | Kritik | 8.1 (Yüksek) | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49116 | Kritik | Belirtilmemiş | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49119 | Kritik | Belirtilmemiş | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49120 | Kritik | 8.1 (Yüksek) | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49123 | Yüksek | 8.1 | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49128 | Kritik | Belirtilmemiş | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
| CVE-2024-49132 | Yüksek | 8.1 | Windows Uzak Masaüstü Hizmetlerinde Uzaktan Kod Yürütme |
Tüm bu güvenlik açıkları Windows Uzak Masaüstü Hizmetlerini etkiler ve yama yapılmaması halinde önemli güvenlik riskleri oluşturur. Kuruluşların bu tehditleri azaltmak için en son güvenlik güncellemelerini uygulamaya öncelik vermesi gerekir.
Bu güvenlik açıkları, yama yapılmadığı takdirde saldırganların etkilenen sistemlerde uzaktan kod çalıştırmasına olanak tanıyabilir.
Güvenlik uzmanları, yanlış yapılandırılmış RDP hizmetlerinin saldırganlara hedef ağlarda tehlikeli bir dayanak noktası sağlayabileceği konusunda uyarıyor. Saldırganlar, savunmasız ana bilgisayarlara yetkisiz erişim sağlamanın ötesinde, hedef sistemler hakkında değerli bilgiler de toplayabilir.
RDP tarafından kullanılan SSL sertifikaları genellikle sistemin ana bilgisayar adını içerir ve saldırganlara ek keşif verileri sağlar.
Bu tehditler ışığında, kuruluşların RDP hizmetlerini güvence altına almak için derhal harekete geçmeleri önemle tavsiye edilir. Temel öneriler şunları içerir:
- RDP hizmetlerinin internete gereksiz şekilde maruz kalmasının sınırlandırılması.
- Tüm RDP bağlantıları için Çok Faktörlü Kimlik Doğrulamayı (MFA) etkinleştirme.
- Tüm sistemlerin en son güvenlik güncellemeleriyle derhal yamalanmasını sağlamak.
- Güçlü şifre politikaları ve hesap kilitleme önlemlerinin uygulanması.
- Ağ Düzeyinde Kimlik Doğrulama (NLA), kimlik doğrulama öncesi güvenlik için ekstra bir katman eklemek için kullanılır.
Ayrıca, BT güvenlik ekiplerinin, RDP taramasına veya kötüye kullanım girişimlerine ilişkin her türlü raporu derhal araştırması istenmektedir. Bu faaliyetlere dahil olan kaynak IP adresleri, güvenliği ihlal edilmiş sistemlerin daha büyük bir saldırı altyapısının parçası olarak kullanıldığına işaret ediyor olabilir.
Uzaktan çalışma birçok kuruluşun operasyonlarının önemli bir parçası olmaya devam ederken, RDP ve diğer uzaktan erişim teknolojilerinin güvenliği kritik olmaya devam ediyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin