近日，Cyble的安全研究人員發(fā)現(xiàn)至少9000臺(tái)公開暴露的VNC（虛擬網(wǎng)絡(luò)計(jì)算）服務(wù)器，無需身份驗(yàn)證即可訪問和使用，從而使攻擊者可以輕松訪問內(nèi)部網(wǎng)絡(luò)。

VNC（虛擬網(wǎng)絡(luò)計(jì)算）是一個(gè)獨(dú)立于平臺(tái)的系統(tǒng)，通過RFB（遠(yuǎn)程幀緩沖協(xié)議）提供對(duì)遠(yuǎn)程計(jì)算機(jī)（桌面）的訪問和控制，在設(shè)備間傳輸屏幕圖像、鼠標(biāo)移動(dòng)及鍵盤事件，可幫助用戶訪問需要監(jiān)控和調(diào)整的系統(tǒng)。

VNC暴露嚴(yán)重威脅工控系統(tǒng)安全

簡(jiǎn)單來說，VNC系統(tǒng)可以幫助一臺(tái)設(shè)備遠(yuǎn)程（跨平臺(tái)）訪問另一臺(tái)設(shè)備的屏幕。由于跨平臺(tái)實(shí)現(xiàn)以及許可證開源，現(xiàn)在VNC已經(jīng)是最常用的一種遠(yuǎn)程管理工具，廣泛應(yīng)用于工業(yè)自動(dòng)化系統(tǒng)中，大多數(shù)工控系統(tǒng)廠商都會(huì)在產(chǎn)品中基于VNC來實(shí)現(xiàn)遠(yuǎn)程管理工具。根據(jù)卡巴斯基的統(tǒng)計(jì)，約有三分之一的工控系統(tǒng)電腦中安裝了包括VNC在內(nèi)的各種遠(yuǎn)程管理工具（RAT）。

如果這些VNC端點(diǎn)沒有使用密碼適當(dāng)?shù)乇Ｗo(hù)（通常是由于疏忽、錯(cuò)誤或僅僅為了方便），可被未經(jīng)授權(quán)的用戶，包括惡意黑客的攻擊入口點(diǎn)。

有些暴露VNC的工控系統(tǒng)，例如關(guān)鍵的水（庫/處理）、能源、交通設(shè)施，如果訪問權(quán)被濫用可對(duì)整個(gè)社區(qū)甚至城市產(chǎn)生災(zāi)難性影響。

中國(guó)暴露最多

Cyble的漏洞獵手在沒有密碼的情況下掃描了Web以查找面向互聯(lián)網(wǎng)暴露的VNC實(shí)例，結(jié)果發(fā)現(xiàn)了9000多臺(tái)可訪問的服務(wù)器。大多數(shù)暴露的實(shí)例位于中國(guó)和瑞典，而美國(guó)、西班牙和巴西緊隨其后，擁有大量未受保護(hù)的VNC。

更糟糕的是，Cybcle發(fā)現(xiàn)其中一些暴露的VNC實(shí)例用于工業(yè)控制系統(tǒng)，它們本不應(yīng)該暴露在互聯(lián)網(wǎng)上。

“在調(diào)查過程中，研究人員通過分析VNC連接暴露的人機(jī)界面(HMI)系統(tǒng)、監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、工作站等鎖定具體工控系統(tǒng)設(shè)備。”Cyble在報(bào)告中指出。

為了了解VNC服務(wù)器被黑客針對(duì)的頻率，Cyble使用其網(wǎng)絡(luò)情報(bào)工具來監(jiān)控對(duì)VNC的默認(rèn)端口5900端口的攻擊，結(jié)果發(fā)現(xiàn)一個(gè)月內(nèi)有超過600萬個(gè)請(qǐng)求。

大多數(shù)訪問VNC服務(wù)器的嘗試來自荷蘭、俄羅斯和美國(guó)。

VNC訪問在黑客論壇“熱銷”

在黑客論壇上，通過暴露或破解的VNC訪問關(guān)鍵網(wǎng)絡(luò)的需求很高，在某些情況下，這種訪問可以用于更深層次的網(wǎng)絡(luò)滲透。

“攻擊者可能會(huì)濫用VNC，以登錄用戶的身份進(jìn)行惡意操作，如打開文檔、下載文件和運(yùn)行任意命令，"一位Cyble研究員在一次私下討論中告訴Bleeping Computer，"攻擊者可以利用VNC來遠(yuǎn)程控制和監(jiān)控一個(gè)系統(tǒng)，以收集數(shù)據(jù)和信息，從而向網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)進(jìn)行滲透。"

Bleeping Computer發(fā)現(xiàn)，在一個(gè)暗網(wǎng)論壇的帖子中列出了一長(zhǎng)串暴露的VNC實(shí)例，這些實(shí)例的密碼非常弱或沒有密碼。弱密碼的情況引起了人們對(duì)VNC安全的另一個(gè)關(guān)注，因?yàn)?Cyble 的調(diào)查僅集中在身份驗(yàn)證層完全禁用的實(shí)例上。

由于許多VNC產(chǎn)品不支持超過8個(gè)字符的密碼，導(dǎo)致它們?cè)诎踩陨系谋憩F(xiàn)欠佳，建議VNC管理員不要把服務(wù)器直接暴露在互聯(lián)網(wǎng)上，如果必須遠(yuǎn)程訪問，至少將它們放在 VPN 后面以保護(hù)對(duì)服務(wù)器的訪問。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明