Araştırmacılar, kimlik doğrulaması olmadan erişilebilen ve kullanılabilen ve tehdit aktörlerinin dahili ağlara kolay erişim sağlayan en az 9.000 maruz kalan VNC (sanal ağ hesaplama) uç noktaları keşfettiler.
VNC (Sanal Ağ Hesaplama), kullanıcıların bir ağ bağlantısı üzerinden RFB (uzak çerçeve arabellek protokolü) aracılığıyla uzak bir bilgisayarın kontrolünü sunan, kullanıcıların izleme ve ayarlamalar gerektiren sistemlere bağlanmasına yardımcı olmak için platformdan bağımsız bir sistemdir.
Bu uç noktalar, genellikle ihmal, hata veya kolaylık sağlamak için alınan bir kararın sonucu olan bir şifre ile uygun şekilde sabitlenmezse, kötü niyetli niyetleri olan tehdit aktörleri de dahil olmak üzere yetkisiz kullanıcılar için giriş noktaları olarak hizmet edebilirler.
Örneğin, su arıtma tesisleri gibi maruz kalan VNC'lerin arkasında hangi sistemlerin yattığına bağlı olarak, erişimi kötüye kullanmanın etkileri tüm topluluklar için yıkıcı olabilir.
Cyble'daki güvenlik zayıflığı avcıları, şifre olmadan internete bakan VNC örnekleri için web'i taradı ve 9.000'den fazla erişilebilir sunucu bulundu.
Maruz kalan örneklerin çoğu Çin ve İsveç'te bulunurken, Amerika Birleşik Devletleri, İspanya ve Brezilya, ilk 5'i korunmasız VNC'ler ile izledi.
Daha da kötüsü, Cybcle bu maruz kalan VNC örneklerinden bazılarının asla internete maruz kalmaması gereken endüstriyel kontrol sistemleri için olduğunu buldu.
“Araştırma sırasında araştırmacılar, VNC aracılığıyla bağlanan ve İnternet üzerinden maruz kalan birden fazla insan makine arayüzü (HMI) sistemini, denetim kontrol sistemlerini (SCADA), iş istasyonları vb. raporda.
Keşfedilen durumlardan birinde, maruz kalan VNC erişimi, isimsiz bir üretim ünitesindeki uzak bir SCADA sistemindeki pompaları kontrol etmek için bir HMI'ya yol açtı.
Saldırganların VNC sunucularını ne sıklıkta hedeflediğini görmek için Cyble, VNC'nin varsayılan bağlantı noktası olan 5900 numaralı bağlantı noktasındaki saldırıları izlemek için siber istihbarat araçlarını kullandı. Cyble, bir ay boyunca altı milyondan fazla talep olduğunu buldu.
VNC sunucularına erişme girişimlerinin çoğu Hollanda, Rusya ve Amerika Birleşik Devletleri'nden kaynaklandı.
Kritik ağlara açık veya çatlak VNC'ler aracılığıyla erişme talebi, hacker forumlarında yüksektir, çünkü bu tür erişim belirli koşullar altında daha derin ağ infiltrasyonu için kullanılabilir.
Bir Cyble araştırmacısı özel bir tartışma sırasında Blewing Bilgisayarına verdiği demeçte, "Düşmanlar VNC'yi, belgeleri açmak, dosya indirmek ve keyfi komutlar çalıştırmak gibi oturum açmış kullanıcı olarak kötü niyetli işlemler gerçekleştirmek için kötüye kullanabilirler." Dedi.
"Bir düşman, ağ içindeki diğer sistemlere döndürmek için veri ve bilgileri toplamak için bir sistemi uzaktan kontrol etmek ve izlemek için VNC'yi kullanabilir."
Diğer durumlarda, güvenlik meraklıları kullanıcıların bu maruz kalan örnekleri kendi başlarına nasıl tarayabilecekleri ve bulabilecekleri konusunda talimatlar sunar.
Blewing bilgisayar tarafından görülen bir Darknet forumu gönderisi, çok zayıf veya olmayan parola ile açıkta kalan VNC örneklerinin uzun bir listesine sahiptir.
Zayıf şifreler örneği, Cyble’ın soruşturması sadece kimlik doğrulama katmanının tamamen devre dışı bırakıldığı durumlara odaklandığından, VNC güvenliği konusunda başka bir endişe yaratıyor.
Şifreleri kolay olan zayıf güvenli sunucular soruşturmaya dahil edilirse, potansiyel olarak savunmasız örneklerin sayısı çok daha önemli olacaktır.
Bu cephede, birçok VNC ürününün sekiz karakterden daha uzun parolaları desteklemediğini hatırlamak önemlidir, bu nedenle oturumlar ve şifreler şifrelenmiş olsa bile doğal olarak güvensizdirler.
VNC yöneticilerinin sunucuları asla doğrudan internete maruz bırakmaları tavsiye edilir ve eğer uzaktan erişilebilir olması gerekiyorsa, sunuculara erişimi güvence altına almak için en azından bir VPN'nin arkasına yerleştirin.
O zaman bile, yöneticiler VNC sunucularına erişimi kısıtlamak için her zaman örneklere bir şifre eklemelidir.
Şifre gücünü daha şeffaf hale getirmenin faydaları
Bilgisayar korsanları Zimbra'daki şifre çalma kusurunu aktif olarak kullanıyor
Rus hackerlar Ukrayna'yı Varsayılan Kelime Şablon Halvan ile Hedef
Netflix neden şifre paylaşımı hakkında yanan tek kişi değil
10 kötü amaçlı PYPI paketleri geliştiricinin kimlik bilgilerini çaldı
Kaynak: Bleeping Computer