近日,Cyble的安全研究人员发现至少9000台公开暴露的VNC(虚拟网络计算)服务器,无需身份验证即可访问和使用,从而使攻击者可以轻松访问内部网络。
VNC(虚拟网络计算)是一个独立于平台的系统,通过RFB(远程帧缓冲协议)提供对远程计算机(桌面)的访问和控制,在设备间传输屏幕图像、鼠标移动及键盘事件,可帮助用户访问需要监控和调整的系统。
VNC暴露严重威胁工控系统安全
简单来说,VNC系统可以帮助一台设备远程(跨平台)访问另一台设备的屏幕。由于跨平台实现以及许可证开源,现在VNC已经是最常用的一种远程管理工具,广泛应用于工业自动化系统中,大多数工控系统厂商都会在产品中基于VNC来实现远程管理工具。根据卡巴斯基的统计,约有三分之一的工控系统电脑中安装了包括VNC在内的各种远程管理工具(RAT)。
如果这些VNC端点没有使用密码适当地保护(通常是由于疏忽、错误或仅仅为了方便),可被未经授权的用户,包括恶意黑客的攻击入口点。
有些暴露VNC的工控系统,例如关键的水(库/处理)、能源、交通设施,如果访问权被滥用可对整个社区甚至城市产生灾难性影响。
中国暴露最多
Cyble的漏洞猎手在没有密码的情况下扫描了Web以查找面向互联网暴露的VNC实例,结果发现了9000多台可访问的服务器。大多数暴露的实例位于中国和瑞典,而美国、西班牙和巴西紧随其后,拥有大量未受保护的VNC。
更糟糕的是,Cybcle发现其中一些暴露的VNC实例用于工业控制系统,它们本不应该暴露在互联网上。
“在调查过程中,研究人员通过分析VNC连接暴露的人机界面(HMI)系统、监控和数据采集系统(SCADA)、工作站等锁定具体工控系统设备。”Cyble在报告中指出。
为了了解VNC服务器被黑客针对的频率,Cyble使用其网络情报工具来监控对VNC的默认端口5900端口的攻击,结果发现一个月内有超过600万个请求。
大多数访问VNC服务器的尝试来自荷兰、俄罗斯和美国。
VNC访问在黑客论坛“热销”
在黑客论坛上,通过暴露或破解的VNC访问关键网络的需求很高,在某些情况下,这种访问可以用于更深层次的网络渗透。
“攻击者可能会滥用VNC,以登录用户的身份进行恶意操作,如打开文档、下载文件和运行任意命令,"一位Cyble研究员在一次私下讨论中告诉Bleeping Computer,"攻击者可以利用VNC来远程控制和监控一个系统,以收集数据和信息,从而向网络内的其他系统进行渗透。"
Bleeping Computer发现,在一个暗网论坛的帖子中列出了一长串暴露的VNC实例,这些实例的密码非常弱或没有密码。弱密码的情况引起了人们对VNC安全的另一个关注,因为 Cyble 的调查仅集中在身份验证层完全禁用的实例上。
由于许多VNC产品不支持超过8个字符的密码,导致它们在安全性上的表现欠佳,建议VNC管理员不要把服务器直接暴露在互联网上,如果必须远程访问,至少将它们放在 VPN 后面以保护对服务器的访问。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照