Virtual Network Computing
Udaljeni pristup je zgodan i ponekad neophodan. Loša strana je što on može pružiti ulaznu tačku u vašu korporativnu infrastrukturu za uljeze, posebno ako su alati za daljinski pristup koji koristite ranjivi.
VNC ranjivosti
Naš ICS CERT proučavao je nekoliko VNC (Virtual Network Computing) implementacija. VNC je uobičajeni sistem daljinskog pristupa koji se široko koristi za tehničku podršku, nadzor opreme, učenje na daljinu i druge svrhe. Otkriveno je da ove implementacije sadrže ukupno 37 ranjivosti, od kojih su neke ostale nezapaženo od 1999. godine.
Teško je staviti precizan podatak o broju uređaja koji koriste VNC sisteme, no sudeći prema podacima sa pretraživača Shodan, više od 600.000 VNC poslužitelja može pristupiti putem interneta . Stvarna brojka je verovatno daleko veća.
Gde smo otkrili ranjivosti
Naši stručnjaci pogledali su četiri uobičajene implementacije VNC-a otvorenog koda:
- LibVNC – biblioteka, to jest skup gotovih isečaka koda na temelju kojih programeri mogu kreirati aplikacije; LibVNC se koristi na primjer u sastavima koji omogućavaju daljinsko povezivanje s virtualnim računarima, kao i iOS i Android mobilnim uređajima.
- TightVNC 1.X – aplikacija koju preporučuju dobavljači industrijskih sistema za automatizaciju povezivanje na sučelje čovjek-mašina (HMI).
- TurboVNC – VNC implementacija za daljinski rad sa grafičkim, 3D i video objektima.
- UltraVNC – VNC varijanta izgrađena posebno za Windows; Također se široko koristi u industrijskoj proizvodnji za povezivanje s HMI-ima.
Bagovi su otkriveni u sva četiri sastava: jedan u TurboVNC, četiri u TightVNC, deset u LibVNC i čak 22 u UltraVNC.
Koje su ranjivosti i kako se mogu iskoristiti
VNC aplikacije sastoje se od dva dela: poslužitelja instaliranog na računaru na koji se vaš zaposleni daljinsko povezuje i klijenta koji radi na uređaju s kojeg se povezuje. Ranjivosti su daleko ređe na strani poslužitelja, što je obično nešto jednostavnije i zato ima manje grešaka. Ipak, naši CERT-ovi stručnjaci pronašli su nedostatke u oba dela istražnih aplikacija, iako bi napad na poslužitelj u mnogim slučajevima bio nemoguć bez autorizacije.
Sve greške povezane su s pogrešnom upotrebom memorije. Njihovo iskorištavanje dovodi samo do kvara i uskraćivanja usluge – relativno povoljan ishod. U ozbiljnijim slučajevima, napadači mogu dobiti neovlašćeni pristup informacijama na uređaju ili pustiti zlonamerni softver u sistem žrtve.
Neke ranjivosti su popravljene, ali ne sve
Naši CERT-ovi su prijavili greške programerima odgovarajućih biblioteka i aplikacija. Većina ih je već popravljena. Ali, postoji izuzetak: Kreatori TightVNC više ne podržavaju prvu verziju svog sistema i odbili su da zakrpe otkrivene ranjivosti u njemu. Ovo je važan razlog za razmatranje prelaska na drugu VNC platformu.
Nadalje, kao i u mnogim projektima otvorenog koda, ranjivi se kôd koristi u velikom broju drugih razvojnih događanja, a ne svi programeri pomno prate jezične biblioteke od kojih su posudili isečke za svoje kreacije. Takvi će programi ostati ranjivi sve dok njihovi tvorci ne ažuriraju kôd, što, nažalost, možemo reći da se nikad neće dogoditi.
Koje aktivnosti treba preduzeti?
Popis ranjivosti s tehničkim detaljima može se naći u izvještaju objavljenom na web stranici Kaspersky ICS CERT . Iako je fokus naših kolega bio na upotrebi VNC-a u industrijskim preduzećima, pretnje su relevantne za bilo koji posao koji koristi ovu tehnologiju.
Da biste sprečili cyber-kriminalci da iskoriste ove ranjivosti protiv vas, preporučujemo vam da nadgledate programe udaljenog pristupa u vašoj infrastrukturi.
- Proverite koji se uređaji mogu daljinski povezati i blokirajte udaljene veze ako nisu potrebne.
- Popis svih aplikacija za daljinski pristup – ne samo VNC – i proverite jesu li njihove verzije ažurirane. Ako sumnjate u njihovu pouzdanost, prestanite ih koristiti. Ako ih nameravate nastaviti s primenom, budite sigurni da nadogradite na najnoviju verziju.
- Zaštitite svoje VNC servere jakom lozinkom. To će ih napasti daleko teže.
- Ne spajajte se na nepouzdane ili neproverene VNC servere.
- U industrijskim poslovnim okruženjima koristite specijalizirano sigurnosno rešenje za sustave industrijske automatizacije, na primjer, Kaspersky Industrial CyberSecurity.
- Da biste zaštitili svoje poslovanje, koristite snažno sigurnosno rješenje. Odličan izbor je Kaspersky Endpoint Security for Business .