buchachon - Fotolia
L’accès à des dizaines de milliers de services RDP compromis en vente en ligne
S’introduire directement dans des systèmes d’information ou simplement maquiller ses traces, les usages ne manquent pas pour ces accès. La France est loin d’être à l’abris.
Olivia Rowley, analyste chez Flashpoint alerte : les accès à des dizaines de milliers de services RDP accessibles en ligne sont en vente, en particulier sur UAS, ou « Ultimate Anonimity Services », une boutique spécialisée active depuis début 2016. Dans ses rayonnages, il faudrait compter plus de 35 000 services RDP et un nombre non précisé de proxies Socks. Tunnels SSH, VPN et Shells accessibles à distance sont annoncés pour « bientôt ». Une annonce qu’il convient peut-être de mettre en parallèle de la découverte évoquée récemment par Wordfence d’efforts de pirates pour trouver des clés privées utilisées pour SSH sur des serveurs accessibles en ligne, et surtout mal configurés.
Comme le souligne Olivia Rowley, « les serveurs RDP compromis peuvent être utilisés comme instruments d’anonymat mais aussi parfois comme moyens pour fournir un accès direct aux réseaux des victimes ». Dans ce contexte, « ils offrent un vecteur initial dans l’organisation visée. En élevant les privilèges, les attaquants peuvent pivoter de l’environnement auquel le serveur RDP leur a donné accès vers d’autres, plus intéressants ». Le risque mérite dès lors de ne pas être ignoré.
Flashpoint a recensé chez UAS plus de 7000 services RDP en Chine, plus de 6000 au Brésil, ou encore plus de 3000 en Inde. En France, le spécialiste du renseignement sur les menaces en a compté 456. Mais le chiffre était plus élevé au début de ce projet de recherche, fin septembre : Il était 676. Un recul rassurant ? Pas forcément.
Sans surprise, Olivia Rowley estime « avec une confiance modérée » que « la majorité » des serveurs RDP dont l’accès auxquels est en vente sur UAS a été indexée par le moteur de recherche spécialisé Shodan. Et là, le potentiel apparaît plus que vaste.
Shodan compte ainsi plus de 77 000 services RDP exposés sur Internet en France, dont plus de 30 000 hébergés chez OVH. Des offres DaaS ? Peut-être, mais assurément pas uniquement : nombre de ces machines indexées par Shodan semblent être des serveurs dédiés loués, configurés sous Windows Server 2008 R2 ou 2012 R2 - annonçant dans certains cas la disponibilité de mises à jour à appliquer, et exécutant CopSSH. Mais on trouve là aussi des machines sous Windows 7, et même Windows Server 2003 et Windows XP.
A l’échelle mondiale, Shodan fait état de près de trois millions de machines exposant leur service RDP, dont plus de 170 000 hébergées chez Amazon, près de 150 000 chez Alibaba, et plus de 111 000 sur Azure. Et là encore, l’éventail de systèmes d’exploitation est vaste, et les systèmes obsolètes ou non mis à jour ne manquent pas.
Les accès RDP compromis se vendent jusqu’à 100 $ l’un sur xDedic, selon la « qualité », mais UAS casse les prix, avec un maximum de 15 $ pour un accès tout frais, ajouté moins de 5 heures plus tôt. Pour un service RDP sous Windows 8 ou 10 dans l’union européenne, il faut compter 10 $. Le premier prix est de 3 $ pour un accès distant à un Windows XP aux Etats-Unis.