Los servidores Windows RDP se utilizan para amplificar los ataques DDoS

Netscout notó que los atacantes están utilizando sistemas Windows RDP para amplificar los ataques DDoS. Cabe señalar que no todos los servidores RDP están sujetos a tal abuso, sino solo aquellos sistemas donde la autenticación está habilitada no solo para el puerto TCP estándar 3389, sino que también usa el puerto UDP 3389.

Los investigadores escriben que el factor de amplificación de los ataques en este caso es de 85,9 (hasta 750 Gbps), es decir, los atacantes crean y envían paquetes de varios bytes y generan «paquetes de ataque» de 1260 bytes. Este factor de amplificación pone a RDP a la par con vectores tan poderosos para amplificar ataques DDoS como Jenkins (100), DNS (hasta 179), WS-Discovery (300-500) y NTP (550).

Según los expertos, el uso de RPD para amplificar los ataques ya se está convirtiendo en un fenómeno de masas. Peor aún, Netscout encontró más de 14,000 servidores RDP ejecutándose en el puerto UDP 3389 en la red.

«Como es habitual con los nuevos vectores de ataques DDoS, después del período inicial de uso por parte de atacantes avanzados que tienen acceso a su propia infraestructura DDoS, se adoptó la reflexión / amplificación a través de RDP y se agregó a los arsenales de servicios como» DDoS-as-a-service » «Haciendo que el nuevo vector esté disponible para la mayoría de los atacantes», advierten los expertos.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: