近日，Cyble的安全研究人員發現至少9000臺公開暴露的VNC（虛擬網絡計算）服務器，無需身份驗證即可訪問和使用，從而使攻擊者可以輕松訪問內部網絡。

VNC（虛擬網絡計算）是一個獨立于平臺的系統，通過RFB（遠程幀緩沖協議）提供對遠程計算機（桌面）的訪問和控制，在設備間傳輸屏幕圖像、鼠標移動及鍵盤事件，可幫助用戶訪問需要監控和調整的系統。

VNC暴露嚴重威脅工控系統安全

簡單來說，VNC系統可以幫助一臺設備遠程（跨平臺）訪問另一臺設備的屏幕。由于跨平臺實現以及許可證開源，現在VNC已經是最常用的一種遠程管理工具，廣泛應用于工業自動化系統中，大多數工控系統廠商都會在產品中基于VNC來實現遠程管理工具。根據卡巴斯基的統計，約有三分之一的工控系統電腦中安裝了包括VNC在內的各種遠程管理工具（RAT）。

如果這些VNC端點沒有使用密碼適當地保護（通常是由于疏忽、錯誤或僅僅為了方便），可被未經授權的用戶，包括惡意黑客的攻擊入口點。

有些暴露VNC的工控系統，例如關鍵的水（庫/處理）、能源、交通設施，如果訪問權被濫用可對整個社區甚至城市產生災難性影響。

中國暴露最多

Cyble的漏洞獵手在沒有密碼的情況下掃描了Web以查找面向互聯網暴露的VNC實例，結果發現了9000多臺可訪問的服務器。大多數暴露的實例位于中國和瑞典，而美國、西班牙和巴西緊隨其后，擁有大量未受保護的VNC。

更糟糕的是，Cybcle發現其中一些暴露的VNC實例用于工業控制系統，它們本不應該暴露在互聯網上。

“在調查過程中，研究人員通過分析VNC連接暴露的人機界面(HMI)系統、監控和數據采集系統(SCADA)、工作站等鎖定具體工控系統設備。”Cyble在報告中指出。

為了了解VNC服務器被黑客針對的頻率，Cyble使用其網絡情報工具來監控對VNC的默認端口5900端口的攻擊，結果發現一個月內有超過600萬個請求。

大多數訪問VNC服務器的嘗試來自荷蘭、俄羅斯和美國。

VNC訪問在黑客論壇“熱銷”

在黑客論壇上，通過暴露或破解的VNC訪問關鍵網絡的需求很高，在某些情況下，這種訪問可以用于更深層次的網絡滲透。

“攻擊者可能會濫用VNC，以登錄用戶的身份進行惡意操作，如打開文檔、下載文件和運行任意命令，"一位Cyble研究員在一次私下討論中告訴Bleeping Computer，"攻擊者可以利用VNC來遠程控制和監控一個系統，以收集數據和信息，從而向網絡內的其他系統進行滲透。"

Bleeping Computer發現，在一個暗網論壇的帖子中列出了一長串暴露的VNC實例，這些實例的密碼非常弱或沒有密碼。弱密碼的情況引起了人們對VNC安全的另一個關注，因為 Cyble 的調查僅集中在身份驗證層完全禁用的實例上。

由于許多VNC產品不支持超過8個字符的密碼，導致它們在安全性上的表現欠佳，建議VNC管理員不要把服務器直接暴露在互聯網上，如果必須遠程訪問，至少將它們放在 VPN 后面以保護對服務器的訪問。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明