Wykorzystanie niektórych z nich mogło umożliwić zdalne wykonanie kodu, powodując zagrożenie dla użytkowników systemów VNC. Według danych z wyszukiwarki shodan.io liczba takich systemów dostępnych z internetu wynosi ponad 600 000. Biorąc pod uwagę, że urządzenia te są użytkowane przede wszystkim w ramach sieci lokalnych, rzeczywista liczba instalacji VNC jest wielokrotnie wyższa.
Systemy VNC umożliwiają zdalny dostęp z jednego urządzenia do innego dzięki wykorzystaniu protokołu RFB (ang. Remote Frame Buffer). Możliwość stosowania na różnych platformach oraz występowanie licznych wersji otwartego kodu źródłowego sprawia, że systemy te stanowią jedne z najpopularniejszych narzędzi do udostępniania pulpitu. Są powszechnie wykorzystywane w zautomatyzowanych obiektach przemysłowych, umożliwiając zdalne sterowanie systemami – około 32% komputerów połączonych z sieciami przemysłowymi posiada jakiś rodzaj narzędzi zdalnej administracji, w tym VNC.
Stopień rozpowszechnienia systemów VNC, a w szczególności tych podatnych na ataki, stanowi niezwykle poważny problem dla sektora przemysłowego. Potencjalne szkody obejmują znaczące straty w wyniku zakłócenia przebiegu złożonych procesów produkcyjnych.
Badacze z firmy Kaspersky przyjrzeli się jednym z najpopularniejszych systemów VNC: LibVNC, UltraVNC, TightVNC1.X oraz TurboVNC.
Wspomniane rozwiązania VNC były już analizowane przez innych badaczy, jednak, jak się okazało, nie wszystkie luki w zabezpieczeniach zostały wtedy wykryte i załatane. W wyniku analizy przeprowadzonej przez ekspertów z firmy Kaspersky stworzono 37 nowych wpisów CVN określających luki w zabezpieczeniach. Luki te zidentyfikowano nie tylko po stronie klienta, ale także po stronie serwera systemu. Niektóre z nich umożliwiają zdalne wykonanie kodu, co z kolei może pozwolić szkodliwemu użytkownikowi na wprowadzenie do atakowanych systemów dowolnych zmian. Optymistyczną informacją jest to, że wiele luk po stronie serwera mogło zostać wykorzystanych jedynie po uwierzytelnieniu przy użyciu hasła, a niektóre serwery nie zezwalają na skonfigurowanie dostępu bez hasła.
Byłem zaskoczony prostotą wykrytych luk w zabezpieczeniach oraz tym, że istnieją od dawna. To oznacza, że osoby atakujące mogły je zauważyć i wykorzystać dawno temu. Co więcej, niektóre klasy luk w zabezpieczeniach występują w wielu projektach open source i pozostają nawet po ponownym wykorzystaniu bazy kodu, która obejmowała „dziurawe” funkcje. W firmie Kaspersky uważamy, że należy systematycznie sprawdzać tego rodzaju projekty będące z zasady obarczone lukami w zabezpieczeniach, stąd nasze badanie – powiedział Paweł Czeremuszkin, badacz luk w zabezpieczeniach z zespołu Kaspersky ICS CERT.
Informacje dotyczące wszystkich wykrytych luk zostały przekazane twórcom systemów. Prawie wszyscy z nich załatali wskazane luki, wyjątek stanowi oprogramowanie TightVNC, które nie jest już wspierane. W związku z tym jego użytkownicy powinni rozważyć alternatywne systemy VNC.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają twórcom i użytkownikom systemów VNC następujące środki bezpieczeństwa pozwalające uchronić się przed zagrożeniami związanymi z narzędziami podatnymi na ataki:
- Przeprowadź audyt w zakresie użytkowania narzędzi zdalnej administracji oraz systemów stosowanych w sieci przemysłowej. Usuń wszystkie narzędzia zdalnej administracji, które nie są wymagane w procesie przemysłowym.
- Ściśle monitoruj i rejestruj zdarzenia dotyczące każdej sesji zdalnej kontroli wymaganej przez proces przemysłowy; zdalny dostęp powinien być domyślnie wyłączony, a włączony jedynie na żądanie i tylko przez ograniczony czas.
- Regularnie aktualizuj systemy operacyjne, aplikacje i rozwiązania zabezpieczające; stwórz procedurę ich naprawy.
- Unikaj łączenia się z nieznanymi serwerami VNC i ustaw na wszystkich serwerach silne, unikatowe hasła.
- Korzystaj ze specjalistycznego produktu cyberbezpieczeństwa przeznaczonego dla systemów automatyzacji przemysłowej, takiego jak np. Kaspersky Industrial Cybersecurity.
Pełny raport poświęcony badaniu firmy Kaspersky dotyczącym luk w zabezpieczeniach rozwiązań VNC jest dostępny na stronie https://r.kaspersky.pl/bA1Cg.
Informacje o Kaspersky ICS CERT
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W pierwszym roku swojej działalności zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie ics-cert.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.