|
Zarówno Citrix jak i RDP Microsoftu są w powszechnym użyciu od dłuższego czasu. Technologie te pozwalają podłączyć się do zdalnego pulpitu oraz używać aplikacji i narzędzi administratora. Jeżeli korzystasz z tych technologii codziennie, być może warto zadać sobie samemu pytanie czy zdalne środowisko komputerowe jest tak bezpieczne jak by mogło być.
Kilka tygodni temu Petko Petkov opublikował kilka interesujących informacji na swojej stronie WWW GNUCITIZEN. Dzięki użyciu Google, Petkov odkrył liczne pliki konfiguracyjne Citrix (.ica) zlokalizowane na różnych domenach, między innymi .gov albo .mil. Jeśli jesteś zaznajomiony z plikami konfiguracyjnymi Citrix, wiesz, że zawierają one informacje używane przez klientów przy podłączaniu do serwera. Razem z adresami IP serwera, informacje te zawierają czasami nazwy użytkownika i hasło.
Wystarczy powiedzieć, że wykazanie plików .ica przez Google i inne wyszukiwarki jest oczywiście problematyczne. W poniedziałek zrobiłem szybkie wyszukiwanie na Google i znalazłem ponad 600 plików .ica i niektóre z nich zawierały pełną informację o połączeniu. Pliki połączenia RDP są także wystawione w Internecie i przez to wyszukiwarki je znajdują. Szybkie szukanie w Google ujawniło ponad 300 plików połączenia RDP. Szukanie tych samych dwóch typów pliku w Yahoo! ujawniło więcej udostępnionych plików połączenia.
W poście na blogu „CITRIX: Owning the Legitimate Backdoor” Petkov zarysował jak łatwo można zmodyfikować pliki połączenia Citrix, aby uruchomić różne programy, w tym komendy powłoki po połączeniu do zdalnego serwera. Możliwe jest także wyliczenie dostępnych zespołów serwerów, serwerów oraz aplikacji przy użyciu skryptów. Ten rodzaj informacji może pozwolić intruzowi na łatwe znalezienie dziur w zbroi sieci.
Pliki połączenia Citrix i RDP nie powinny znaleźć się w wyszukiwarkach, co znaczy, że powinno się chronić dostęp do tych typów plików. Co więcej, musisz się upewnić, że instalacje Citrix i Windows Terminal Services są dokładnie zablokowane. W przeciwnym razie intruz w końcu na to natrafi i będzie próbował się włamać.
Musisz również bronić się przed e-mailowymi i sieciowymi atakami, które dostarczają specyficznie zmodyfikowane pliki połączenia Citrix i RDP, mające na celu oszukanie i narażenie na ujawnienie poufnych danych, nakłonienie do przesyłania i odbierania plików itd.
Więcej informacji o ryzyku związanym z Citrix i RDP w poście Petkova „Remote Desktop Command Fixation Attacks” oraz „Clear”. W tych postach rozwodzi się on na temat niektórych obaw i dostarcza linki do wielu materiałów związanych z tym tematem.
Kiedy tylko ktoś wspomni o takim ryzyku, podnosi się podobna aktywność intruzów. Aby choć trochę zorientować się jak tego typu informacje pobudzają tę aktywność, przejdź na SANS Institute's Internet Storm Center i popatrz na wzory ruchu dla portu Citrix 1494 oraz port RDP 3389. Zauważysz szczyty w ruchu, które pokrywają się z postami Petkova na blogu. |
