Исследователи обнаружили по меньшей мере 9000 открытых конечных точек VNC, к которым можно получить доступ и использовать их без аутентификации, что позволяет злоумышленникам легко получить доступ к внутренним сетям.
VNC (Virtual Network Computing — система удалённого доступа к рабочему столу компьютера) — это платформенно-независимая система, предназначенная для того, чтобы помочь пользователям подключаться к системам, требующим мониторинга и настройки, предлагая управление удаленным компьютером через RFB (протокол удаленного кадрового буфера) по сетевому соединению.
Если эти конечные точки не защищены должным образом паролем, они могут служить точками входа для неавторизованных пользователей, включая злоумышленников.
В зависимости от того, какие системы лежат в основе уязвимых VNC, последствия злоупотребления доступом могут быть разрушительными для целых отраслей.
Тревожные выводы
Охотники за уязвимостями безопасности в Cyble просканировали Интернет на наличие инстансов VNC без пароля и обнаружили более 9000 доступных серверов.
Большинство выявленных случаев находятся в Китае и Швеции. Далее по убыванию в пятёрке лидеров по «дырявым» точкам VNC — Соединенные Штаты, Испания и Бразилия.
Но удивительно не то, что в Сети обнаружены беспарольные системы удалённого доступа, а то, что некоторые из этих открытых точек VNC предназначены для промышленных систем управления, которые никогда не должны были открывать доступ в Интернет.
«В ходе расследования исследователи смогли сузить круг систем человеко-машинного интерфейса (HMI), систем диспетчерского управления и сбора данных (SCADA), рабочих станций и т. д., подключенных через VNC и выставленных через Интернет», — подробно описывает Cyble в отчете.
В одном из исследованных случаев открытый доступ к VNC привел специалистов из Cyble прямо к интерфейсу управления насосами на удаленной системе SCADA.
Чтобы увидеть, как часто злоумышленники нацелены на серверы VNC, Cyble использовала свои инструменты киберразведки для мониторинга атак на порт 5900 (порт по умолчанию для VNC). В ходе своего эксперимента спецы из Cyble обнаружили, что в течение одного месяца было более шести миллионов запросов.
Большинство попыток получить доступ к серверам VNC исходило из Нидерландов, России и Соединенных Штатов.
Большой спрос на доступ к VNC
На хакерских форумах в Даркнете спрос на доступ к критически важным сетям через открытые или взломанные виртуальные сети очень высок. Потому как данный вид доступа при определенных обстоятельствах может использоваться для более глубокого проникновения в сеть.
«Злоумышленники могут злоупотреблять VNC для выполнения вредоносных действий в качестве вошедшего в систему пользователя, таких как открытие документов, загрузка файлов и выполнение произвольных команд», — Cyble
«Противник может использовать VNC для удаленного управления и мониторинга системы для сбора данных и информации для перехода к другим системам в сети».
Иногда энтузиасты в области безопасности выкладывают в Сеть инструкции о том, как пользователи могут самостоятельно сканировать и находить такие открытые точки удалённого входа.
В Даркнете полно сообщений, в которых предлагается «оптом и в розницу», иногда совершенно бесплатно, для всех желающих «воспользоваться и наслаждаться» доступом к VNC. Вот, например, одно из таких сообщение на форуме Даркнета содержит длинный список открытых экземпляров VNC с очень слабыми паролями или без них вовсе.
Использование слабых паролей вызывает еще одну озабоченность по поводу безопасности VNC, поскольку расследование Cyble было сосредоточено только на случаях, когда уровень аутентификации был полностью отключен.
Если бы в расследование были включены плохо защищенные серверы, пароли которых легко взломать, количество потенциально уязвимых экземпляров было бы гораздо более значительным.
Тем, кто использует решения на основе такого протокола важно помнить, что многие продукты VNC не поддерживают пароли длиной более восьми символов, поэтому они по своей сути небезопасны, даже когда сеансы и пароли зашифрованы.
Решения для усиления безопасности выглядят следующим образом и рекомендуются к выполнению обязательно:
- Никогда не выставлять серверы VNC напрямую в Интернет
- Для удалённого доступа размещать их за VPN
- Всегда добавлять пароль к инстансам, чтобы ограничить доступ к серверам VNC.