.
Pesquisadores da Rapid7 analisaram a segurança das senhas de administrador usadas para proteger os dois principais protocolos de acesso remoto a redes corporativas – e os resultados não são ótimos.
Os dois protocolos – Remote Desktop Protocol (RDP) e Secure Shell (SSH) – são amplamente utilizados para gerenciar máquinas virtuais na nuvem. Com a crescente popularidade das implantações na nuvem e do trabalho remoto, os pesquisadores disseram que é importante saber como os invasores oportunistas estão atacando esses sistemas.
Rapid7 encontrou os três nomes de usuário mais populares para RDP são “administrador”, “usuário” e “admin”. O RDP é um dos principais alvos dos invasores de ransomware.
Também: A maior ameaça de crime cibernético também é aquela sobre a qual ninguém quer falar
Os três nomes de usuário mais populares para SSH são “root”, “admin” e “nproc”, de acordo com o Relatório de Pesquisa de Senhas. Outras senhas populares para SSH e RDP são “admin”, “password” e “123456”.
Para realizar seu estudo, o Rapid7 analisou as credenciais usadas por invasores online para comprometer sua rede de honeypots RDP e SSH no ano até 9 de setembro de 2022.
Esses honeypots fazem parte do Projeto Heisenberg da empresa, que permite que invasores de bots e humanos façam conexões com sua rede. Ao longo desse tempo, observou dezenas de milhões de tentativas de conexão para seus honeypots e meio milhão de senhas exclusivas.
A empresa então comparou seu conjunto de dados honeypot com a lista de senhas ‘rockyou’ de oito bilhões de nomes de usuário e senhas usadas por testadores de caneta e invasores. Essas listas são úteis para ataques de pulverização de senha, em que o invasor usa a lista em muitas contas em que o nome de usuário é conhecido, bem como em outros ataques de força bruta. O Rapid7 descobriu que as senhas usadas para acessar seus honeypots combinavam quase perfeitamente com o rockyou definido.
“Notavelmente, descobrimos que das quase 500.000 senhas únicas observadas em nossos honeypots, esse “conjunto rockyou” continha praticamente todas elas (99,997%). Concluímos dessa observação que os invasores de credenciais online não estão gerando senhas verdadeiramente aleatórias, mas em vez disso, trabalhando inteiramente com listas de senhas adivináveis.”
Os dados do honeypot também mostram que as senhas usadas pelos invasores são, em geral, as mais populares, como “admin”, “password” e “123456”.
O Rapid7 acredita que os invasores estão tentando oportunisticamente um pequeno punhado de nomes de usuário e senhas e, em seguida, seguem em frente. Ele também vê frequentemente um único endereço IP tentando um único nome de usuário e senha, como “root:root” ou “admin:admin”, sugerindo que é um processo automatizado e possivelmente um botnet.
Rapid7 descobriu que a distribuição de nomes de usuário e senhas é “aproximadamente exponencial”, o que significa que as senhas observadas com mais frequência são vistas exponencialmente mais do que as senhas menos comuns.
Os nomes de usuário mais comuns tentados por invasores para RDP são “Administrador” e “administrador”. Isso provavelmente ocorre devido ao RDP normalmente executado no Windows e que a conta de administrador padrão é chamada de “administrador”.
Para SSH, os dois nomes de usuário de destaque são “root” e admin”, que os invasores escolhem porque a maioria das distribuições Linux é fornecida com um usuário chamado “root”, enquanto “admin” é um nome de usuário padrão comum em roteadores e dispositivos IoT. como o Mirai tenta autenticar usando as credenciais padrão do dispositivo. Essa também é a razão pela qual a NSA recomenda que os administradores alterem as credenciais padrão nos dispositivos de rede.
Os honeypots SSH do Rapid7 coletaram 497.848 senhas. De longe, as duas tentativas mais comuns foram “123456” e “senha”.
Quando o Rapid7 removeu o conjunto de dados rockyou da lista de senhas vistas em seus honeypots, apenas 14 do total permaneceram.
O principal conselho do Rapid7 é alterar as credenciais padrão e desabilitar o administrador local e as contas de convidado quando possível. Isso não interromperá os ataques direcionados, mas abordará os oportunistas. Além disso, use um gerenciador de senhas.
Também: Ransomware: por que ainda é uma grande ameaça e para onde as gangues estão indo a seguir
Para proteger o RDP e o SSH, as organizações devem usar uma VPN corporativa e restringir as conexões remotas para funcionar apenas por meio de hosts autenticados por VPN. Além disso, para evitar a maioria dos ataques de força bruta, pode valer a pena mudar as portas, embora a empresa observe que essa atividade se enquadra em “segurança através da obscuridade”.
“Para RDP, a melhor proteção é restringir o acesso por meio de firewalls e grupos de segurança de rede para que instâncias com RDP expostas possam ser acessadas apenas de endereços IP confiáveis. Usar um host de salto ou um host de bastiões para implantações na nuvem também é uma boa prática em vez disso. de expor o RDP diretamente à internet”, observa.
Ao proteger o SSH, a medida de segurança mais importante que você pode tomar é desabilitar a autenticação baseada em senha em favor da autenticação baseada em certificado. Também é altamente recomendável limitar os usuários que têm o SSH ativado modificando seu arquivo sshd_config, disse Rapid7. Também é “geralmente” uma boa ideia desabilitar o SSH para todas as contas root, bem como alterar o número máximo de tentativas de login.
.
