Este informe identifica los hosts que tienen el servicio de escritorio remoto (RDP) en ejecución y son accesibles para todo el mundo en Internet.
El RDP mal configurado puede permitir que los atacantes accedan al escritorio de un host vulnerable y también puede permitir la recopilación de información en un host de destino, ya que el certificado SSL que usa RDP a menudo contiene el hostname del sistema. Existen varios escenarios posibles para que un atacante pueda aprovechar un servicio RDP expuesto:
- Credenciales débiles: los atacantes buscan RDP con credenciales fáciles de adivinar. Cualquier cuenta local o del dominio que se encuentre almacenada en el equipo en cuestión puede ser aprovechada.
- Vulnerabilidades: ocasionalmente se descubren vulnerabilidades que afectan al propio servicio en sí, permitiendo por ejemplo la ejecución arbitraria de código. Al estar expuesto a Internet el servicio, éste es explotable remotamente. Ejemplos de vulnerabilidades de RDP:
Puede obtener más información sobre el informe en el tutorial Informe de RDP accesible.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo de la organización Shadowserver, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_rdp, scan6_rdp
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta (siempre TCP) |
| port | Puerto del que provino la respuesta (3389/TCP) |
| hostname | El nombre de host es DNS inverso del dispositivo IP en cuestión o, si no se obtiene y el nombre_común_sujeto en el certificado RDP/SSL tiene un dominio presente, el nombre_común_sujeto se copia en el nombre de host. |
| tag | Siempre será rdp |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| rdp_protocol | La versión del protocolo RDP que respondió; las respuestas válidas son RDP (también conocido como RDP Security), RDP_negotiation_ignored (estas pueden ser versiones antiguas de Windows o xrdp), no compatibles (no tengo idea de qué es esto), CredSSP_Enforced (Hybrid Security, NLA), SSL_Enforced (TLS security es obligatoria) |
| cert_length | Longitud del Certificado (1024, 2048, 4096, etcétera) |
| subject_common_name | El nombre común (CN) del certificado SSL |
| issuer_common_name | El nombre común de la entidad que firmó el certificado SSL |
| cert_issue_date | Fecha en que el certificado SSL entró en vigencia |
| cert_expiration_date | Fecha en que caduca el certificado SSL |
| sha1_fingerprint | Huella digital SHA1 del certificado |
| cert_serial_number | Número de serie incrustado en el certificado |
| ssl_version | Versión SSL |
| signature_algorithm | Algoritmo utilizado para firmar el certificado |
| key_algorithm | Algoritmo utilizado por la clave |
| sha256_fingerprint | Huella digital SHA256 del certificado |
| sha512_fingerprint | Huella digital SHA512 del certificado |
| md5_fingerprint | Huella digital MD5 del certificado |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| sector | sector de dispositivos |
| tlsv13_support | TLS 1.3 si es compatible |
| tlsv13_cipher | Cifrados TLS 1.3 compatibles |
| cve20190708_vulnerable | Si es vulnerable a CVE 2019-0708 |
| bluekeep_vulnerable | Si es vulnerable a Bluekeep (igual que arriba) |
| jarm | Huella dactilar JARM |
EJEMPLO
timestamp,ip,port,hostname,tag,handshake,asn,geo,region,city,rdp_protocol,cert_length,subject_common_name,issuer_common_name,cert_issue_date,cert_expiration_date,sha1_fingerprint,cert_serial_number,ssl_version,signature_algorithm,key_algorithm,sha256_fingerprint,sha512_fingerprint,md5_fingerprint,naics,sic,sector,tlsv13_support,tlsv13_cipher,cve20190708_vulnerable,bluekeep_vulnerable,jarm
"2010-02-10 00:00:00",192.168.0.1,3389,node01.example.com,rdp,,64512,ZZ,Region,City,CredSSP_Enforced,2048,example.com,example.com,"2012-11-14 11:18:27","2021-11-12 11:18:27",03:39:9E:5D:77:19:38:C4:49:DE:C3:3D:9B:E6:13:ED:5A:F1:42:55,B3F13DFBDBA2D8B2,2,sha256WithRSAEncryption,rsaEncryption,E1:D1:6E:87:49:B9:AC:74:B4:AC:9B:77:85:27:69:97:0D:16:B1:F6:63:F0:26:51:AA:89:42:39:66:BD:47:D0,1C:E9:04:22:90:46:68:0B:8B:54:33:38:C6:20:5F:EE:A6:73:A6:B5:2C:7D:12:94:DE:F1:CC:11:2E:72:0B:97:C2:7D:19:BF:E0:6B:98:A9:21:D9:9D:5A:CB:38:0B:D8:7E:E2:8E:2B:EA:15:EC:60:11:1E:41:E3:FB:4C:20:9F,F1:8A:02:48:3C:6B:F4:00:CC:5C:D5:B0:71:E4:FA:00,0,0,"Communications, Service Provider, and Hosting Service",,,N,N,
"2010-02-10 00:00:01",192.168.0.2,3389,node02.example.com,rdp,,64512,ZZ,Region,City,CredSSP_Enforced,2048,example.com,example.com,"2012-11-14 11:18:27","2021-11-12 11:18:27",03:39:9E:5D:77:19:38:C4:49:DE:C3:3D:9B:E6:13:ED:5A:F1:42:55,B3F13DFBDBA2D8B2,2,sha256WithRSAEncryption,rsaEncryption,E1:D1:6E:87:49:B9:AC:74:B4:AC:9B:77:85:27:69:97:0D:16:B1:F6:63:F0:26:51:AA:89:42:39:66:BD:47:D0,1C:E9:04:22:90:46:68:0B:8B:54:33:38:C6:20:5F:EE:A6:73:A6:B5:2C:7D:12:94:DE:F1:CC:11:2E:72:0B:97:C2:7D:19:BF:E0:6B:98:A9:21:D9:9D:5A:CB:38:0B:D8:7E:E2:8E:2B:EA:15:EC:60:11:1E:41:E3:FB:4C:20:9F,F1:8A:02:48:3C:6B:F4:00:CC:5C:D5:B0:71:E4:FA:00,0,0,"Communications, Service Provider, and Hosting Service",,,N,N,
"2010-02-10 00:00:02",192.168.0.3,3389,node03.example.com,rdp,,64512,ZZ,Region,City,CredSSP_Enforced,2048,example.com,example.com,"2012-11-14 11:18:27","2021-11-12 11:18:27",03:39:9E:5D:77:19:38:C4:49:DE:C3:3D:9B:E6:13:ED:5A:F1:42:55,B3F13DFBDBA2D8B2,2,sha256WithRSAEncryption,rsaEncryption,E1:D1:6E:87:49:B9:AC:74:B4:AC:9B:77:85:27:69:97:0D:16:B1:F6:63:F0:26:51:AA:89:42:39:66:BD:47:D0,1C:E9:04:22:90:46:68:0B:8B:54:33:38:C6:20:5F:EE:A6:73:A6:B5:2C:7D:12:94:DE:F1:CC:11:2E:72:0B:97:C2:7D:19:BF:E0:6B:98:A9:21:D9:9D:5A:CB:38:0B:D8:7E:E2:8E:2B:EA:15:EC:60:11:1E:41:E3:FB:4C:20:9F,F1:8A:02:48:3C:6B:F4:00:CC:5C:D5:B0:71:E4:FA:00,0,0,"Communications, Service Provider, and Hosting Service",,,N,N,