Kaspersky ostrzega: VNC open source źródłem zagrożeń

Przeczytaj także: Groźna luka w zabezpieczeniach Windows Server. Microsoft udostępnia łatkę

Dane wyszukiwarki shodan.io wskazują, że w sieci dostępnych jest przeszło 600 000 opartych na open source systemów VNC, jednak liczba ich instalacji może być znacznie pokaźniejsza. Za sprawą protokołu RFB (ang. Remote Frame Buffer) pozwalają one uzyskiwać zdalny dostęp z jednego urządzenia do innego, stanowiąc jedno z najbardziej rozpowszechnionych narzędzi do udostępniania pulpitu. Wykorzystywane są m.in. w obiektach przemysłowych – jak podaje Kaspersky, w jakiś rodzaj narzędzi zdalnej administracji, w tym VNC, wyposażony jest co trzeci komputer przemysłowy.

Nie jest zatem żadnym zaskoczeniem, że skala na jaką rozpowszechniane są systemy VNC, w szczególności te, które są wyraźnie podatne na ataki, to poważny problem przemysłu. Incydenty wymierzone w VNC open source zakłócają procesy produkcyjne, co przeważnie kończy się istotnymi stratami.

Badacze z firmy Kaspersky przyjrzeli się jednym z najpopularniejszych systemów VNC: LibVNC, UltraVNC, TightVNC1.X oraz TurboVNC. Wprawdzie te rozwiązania analizowali już inni badacze, jednak, jak się okazało, nie wszystkie luki w zabezpieczeniach zostały wtedy wykryte i załatane. W wyniku analizy przeprowadzonej przez ekspertów z firmy Kaspersky stworzono 37 nowych wpisów CVN określających luki w zabezpieczeniach. Luki te zidentyfikowano nie tylko po stronie klienta, ale także po stronie serwera systemu. Niektóre z nich umożliwiają zdalne wykonanie kodu, co z kolei może pozwolić szkodliwemu użytkownikowi na wprowadzenie do atakowanych systemów dowolnych zmian. Optymistyczną informacją jest to, że wiele luk po stronie serwera mogło zostać wykorzystanych jedynie po uwierzytelnieniu przy użyciu hasła, a niektóre serwery nie zezwalają na skonfigurowanie dostępu bez hasła.

Byłem zaskoczony prostotą wykrytych luk w zabezpieczeniach oraz tym, że istnieją od dawna. To oznacza, że osoby atakujące mogły je zauważyć i wykorzystać dawno temu. Co więcej, niektóre klasy luk w zabezpieczeniach występują w wielu projektach open source i pozostają nawet po ponownym wykorzystaniu bazy kodu, która obejmowała „dziurawe” funkcje. W firmie Kaspersky uważamy, że należy systematycznie sprawdzać tego rodzaju projekty będące z zasady obarczone lukami w zabezpieczeniach, stąd nasze badanie – powiedział Paweł Czeremuszkin, badacz luk w zabezpieczeniach z zespołu Kaspersky ICS CERT.

Jak zapewnia Kaspersky, informacje odnośnie wykrytych luk zostały przekazane twórcom systemów. Prawie wszyscy z nich załatali wskazane luki, wyjątek stanowi oprogramowanie TightVNC, które nie jest już wspierane. W związku z tym jego użytkownicy powinni rozważyć alternatywne systemy VNC.