industry, hall, ventilation-970151.jpg

Over 9,000 VNC-servere eksponeret online uden adgangskode

Forskere har opdaget mindst 9,000 eksponerede VNC (virtual network computing) slutpunkter, der kan tilgås og bruges uden godkendelse, hvilket giver trusselsaktører nem adgang til interne netværk. Herunder kan du se at mange steder er indbefattet, husk dog at lokationen ikke er præcis på grund af, at IP lokation ikke må være absolut.

VNC sårbarheder i f.eks. SCADA systemet kun bruges til at udføre ondsindede handlinger, såsom at åbne dokumenter, downloade filer og køre vilkårlige kommandoer. Med VNC kan man styre ventiler, pumper og f.eks. doseringer i drikkevand af tilsætningsstoffer.

image-1-43

VNC (virtual network computing) er et platformuafhængigt system, der skal hjælpe brugerne med at oprette forbindelse til systemer, der kræver overvågning og justeringer, og som tilbyder kontrol af en fjerncomputer via RFB (remote frame buffer protocol) via en netværksforbindelse.

Hvis disse slutpunkter ikke er ordentligt sikret med en adgangskode, hvilket ofte er resultatet af uagtsomhed, fejl eller en beslutning, der er truffet for nemheds skyld, kan de fungere som indgangspunkter for uautoriserede brugere, herunder trusselsaktører med ondsindede hensigter.

Afhængigt af hvilke systemer der ligger bag de udsatte VNC’er, som for eksempel vandbehandlingsanlæg, kan konsekvenserne af at misbruge adgangen være ødelæggende for hele samfund. F.eks. ved at ødelægge drikkevand m.v. Det er desværre heller ikke særligt smart at adresser m.v. er kendte for drikkevandsbehandling eller udvinding.

Alarmerende fund

Sikkerhedssvaghedsjægere hos Cyble scannede internettet for internetvendte VNC-forekomster uden adgangskode og fandt over 9.000 tilgængelige servere.

De fleste af de eksponerede tilfælde er placeret i Kina og Sverige, mens USA, Spanien og Brasilien fulgte i top 5 med betydelige mængder ubeskyttede VNC’er.

For at gøre tingene værre fandt Cybcle, at nogle af disse udsatte VNC-forekomster var til industrielle kontrolsystemer, som aldrig bør udsættes for Internettet.

“I løbet af undersøgelsen var forskere i stand til at indsnævre flere Human Machine Interface (HMI) -systemer, Supervisory Control And Data Acquisition Systems (SCADA), Arbejdsstationer osv., Forbundet via VNC og eksponeret over internettet,”.

Det siger detaljer i Cyble rapporten

I et af de undersøgte tilfælde førte den udsatte VNC-adgang til en HMI til styring af pumper på et eksternt SCADA-system i en unavngiven produktionsenhed.

image-1-44
Adgang til en pumpestyrende HMI via en ubeskyttet VNC (Cyble)

For at se, hvor ofte angribere målretter mod VNC-servere, brugte Cyble sine cyberintelligensværktøjer til at overvåge for angreb på port 5900, standardporten til VNC. Cyble fandt ud af, at der var over seks millioner anmodninger over en måned.

De fleste forsøg på at få adgang til VNC-servere stammer fra Holland, Rusland og USA.

Her er en PC i det russiske sundhedsministerium i Rusland hacket.

En person, der går under aliaset “Spielerkid89”, er forbundet til en computer, der tilhører sundhedsministeriet i Omskregion i Rusland. For at få fjernadgang til en ministeriets medarbejders skrivebord havde hackeren ikke brug for nogen adgangskode eller godkendelse – de kunne få adgang til alle filer og oplysninger på den computer via en åben VNC-port.

“Jeg var i stand til at få adgang til folks navne, andre IP-adresser, der peger på andre computere på netværket, og finansielle dokumenter også,”

Måske lige noget for Ukraine!

image-1-46

Efterspørgsel efter VNC-adgang

Efterspørgslen efter at få adgang til kritiske netværk via eksponerede eller revnede VNC’er er høj på hackerfora, da denne form for adgang under visse omstændigheder kan bruges til dybere netværksinfiltration.

I andre tilfælde tilbyder sikkerhedsentusiaster instruktioner om, hvordan brugerne kan scanne og finde disse eksponerede forekomster på egen hånd.

Et darknet-forumindlæg sindeholder en lang liste over eksponerede VNC-forekomster med meget svage eller ingen adgangskoder.

image-1-45
Liste over VNC’er med svage eller ingen adgangskoder set på Darknet.

Sagen om svage adgangskoder rejser en anden bekymring omkring VNC-sikkerhed, da Cybles undersøgelse kun fokuserede på tilfælde, der havde godkendelseslaget helt deaktiveret.

Hvis dårligt sikrede servere, hvis adgangskoder er lette at knække, blev inkluderet i undersøgelsen, ville antallet af potentielt sårbare tilfælde være meget mere betydningsfuldt.

På den front er det vigtigt at huske, at mange VNC-produkter ikke understøtter adgangskoder, der er længere end otte tegn, så de er i sagens natur usikre, selv når sessionerne og adgangskoderne er krypteret.

VNC-administratorer rådes til aldrig at udsætte servere direkte for internettet, og hvis de skal være eksternt tilgængelige, skal du i det mindste placere dem bag en VPN for at sikre adgang til serverne.

Selv da skal administratorer altid tilføje en adgangskode til forekomster for at begrænse adgangen til VNC-serverne.

Konklusion

Fjernadgang til IT/OT-infrastrukturaktiverne er ret praktisk og er blevet bredt vedtaget på grund af COVID-19-pandemien og politikker for hjemmearbejde.

Men hvis organisationer ikke har de relevante sikkerhedsforanstaltninger og sikkerhedskontrol på plads, kan denne situation føre til alvorlige monetære tab for en organisation. At efterlade VNC’er eksponeret over internettet uden nogen godkendelse gør det ret nemt for ubudne gæster at trænge ind i offerets netværk og skabe kaos.

Angribere kan også forsøge at udnytte VNC-tjenesten ved hjælp af forskellige sårbarheder og teknikker, så de kan oprette forbindelse til det eller de eksponerede aktiver.

Analyse fra CGSI påpeger, at port 5900 for nylig er blevet aktivt scannet og målrettet af angriberne, hvilket også kan resultere i ransomware-angreb på kritisk infrastruktur i den nærmeste fremtid. Læsere skal huske på, at udsatte VNC’er fra kritiske organisationer sætter den nationale sikkerhed, økonomi, energi og transportsektorer i høj risiko for cyberangreb. Det anbefales, at organisationer, der bruger VNC og lignende produkter, bør sikre, at deres havne og tjenester ikke eksponeres online og er passende sikret.

Anbefalinger

  1. Sørg for, at kritiske aktiver i IT/OT-miljøet er bag firewalls.
  2. Begræns eksponeringen af VNC over internettet.
  3. Sørg for, at enhederne i ICS-miljøet er lappet med de seneste opdateringer, der er frigivet af den officielle leverandør.
  4. Følg en stærk adgangskodepolitik i organisationen.
  5. Sørg for, at korrekt adgangskontrol er placeret i organisationen.
  6. Logføring og overvågning af aktiver kan hjælpe med at finde uregelmæssighederne i netværket.
  7. Aktivér alle de nødvendige sikkerhedsforanstaltninger for VNC.
  8. Cybersikkerhedsbevidstheds- og træningsprogrammer er nødvendige for medarbejdere, der opererer i et ICS-miljø.

Kilde: CYBLE.COM
Foto Cyble og ICARE.DK

Scroll til toppen