ICS CERT виявила 37 уразливостей у популярних системах віддаленого доступу Virtual Network Computing (VNC)

Експерти Kaspersky ICS CERT провели дослідження різних реалізацій системи віддаленого доступу Virtual Network Computing (VNC) і в результаті виявили 37 вразливостей псування пам'яті, багато з яких існували протягом дуже довгого часу. Експлуатація деяких виявлених уразливостей могла дозволити зловмисникам віддалено виконувати код.

Система VNC призначена для надання одному пристрою віддаленого доступу до екрану іншого. При цьому специфікація протоколу не обмежує вибір ОС і дозволяє кросплатформні реалізації, що робить систему однією з найпоширеніших. Точну кількість інсталяцій оцінити складно, але, за оцінками shodan.io, кількість VNC-серверів, доступних із глобальної мережі, становить понад 600 тисяч. З урахуванням пристроїв, доступних тільки всередині локальної мережі, можна з впевненістю сказати, що загальна кількість використовуваних VNC-серверів набагато більше. За даними Kaspersky ICS CERT, подібні системи також активно і широко використовуються на об'єктах промислової автоматизації: в середньому кожен третій комп'ютер в індустріальній мережі містить різні засоби для віддаленого адміністрування, в тому числі і VNC.

У процесі дослідження фахівці Kaspersky ICS CERT вивчили одні з найбільш часто зустрічаються реалізацій VNC: LibVNC, UltraVNC, TightVNC1.X і TurboVNC. Всі вони вже були досліджені раніше іншими експертами, але, як з'ясувалося, далеко не всі проломи були виявлені і закриті. Експерти Kaspersky ICS CERT в цілому завели 37 CVE[1], які описують знайдені ними уразливості. Програмні діри були виявлені як у клієнтських, так і в серверних компонентах VNC. Деякі з цих вразливостей дозволяють віддалено виконати довільний код, тобто зловмисник потенційно може отримати контроль над атакованою системою. Однак для експлуатації серверних уразливостей часто необхідна парольна автентифікація, при цьому з міркувань безпеки сервер може не дозволити встановити безпарольний метод аутентифікації.

«У процесі проведення дослідження я неодноразово ловив себе на думки про те, що виявлені вразливості занадто прості, щоб їх ніхто не помітив до мене. Однак це виявилося реальністю - час життя кожної вразливості був дуже довгим. При цьому ми не можемо сказати напевно, що зловмисники їх не помітили раніше, розповів дослідник уразливостей Kaspersky ICS CERT. — Важливо також відзначити, що деякі класи вразливостей, виявлені в результаті дослідження, містяться у великій кількості проектів на основі відкритого коду і зберігаються в них навіть після рефакторингу кодової бази коду. Ось чому необхідно на систематичній основі вміти виявляти такі множини open-source проектів, що містять іноді неявно успадковані вразливості».

Інформація про всі знайдені вразливості в VNC була передана розробникам систем. Майже всі вони закрили проломи, за винятком TightVNC, який більше не підтримується командою розробки. У зв'язку з цим Kaspersky ICS CERT рекомендує користувачам згаданої системи розглянути можливість використання альтернативних реалізацій VNC.

Для мінімізації ризиків, пов'язаних із використанням уразливих VNC-інструментів, експерти Kaspersky ICS CERT радять промисловим організаціям:

• провести аудит інструментів віддаленого адміністрування, що використовуються в технологічних мережах, та  видалити ті з них, які не потрібні для виконання виробничих завдань (слід мати на увазі, що до 18% інсталяцій таких інструментів включені в склад продуктів АСУ ТП их ;
• здійснювати аудит усіх подій, що відбуваються у кожній сесії віддаленого доступу (у технологічних мережах віддалений доступ має бути відключений за мовчанням і може запускатися лише за необхідності — на обмежений проміжок часу проведення віддалених робіт);
• регулярно оновлювати операційні системи, захисні рішення та інше ПЗ;
• уникати підключення до неперевірених та недовірених VNC-серверів та використовувати унікальні складні паролі для всіх серверів;
• використовувати спеціалізоване захисне рішення для систем промислової автоматизації, наприклад Kaspersky Industrial CyberSecurity.

Інші новини