Onderzoekers van Cyble hebben ten minste 9.000 blootgestelde vnc-eindpunten (virtual network computing) ontdekt die toegankelijk zijn en gebruikt kunnen worden zonder authenticatie, waardoor er vrij eenvoudig toegang verschaft kan worden tot interne netwerken. Veel van de pogingen tot ongeautoriseerde toegang kwam onder meer uit Nederland.
Vnc (virtual network computing) is een platformonafhankelijk systeem dat bedoeld is om gebruikers te helpen verbinding te maken met systemen die monitoring en aanpassingen vereisen, en biedt controle over een externe computer via rfb (remote frame buffer protocol) via een netwerkverbinding. Als deze eindpunten niet goed zijn beveiligd met een wachtwoord, kunnen ze dienen als toegangspunt voor onbevoegde gebruikers. Het niet goed beveiligen met een wachtoord is vaak het gevolg van nalatigheid, fouten of een gemaksbesluit. Het kan desastreuze gevolgen hebben voor bijvoorbeeld waterzuiveringsinstallaties.
Cyble Global Sensor Intelligence heeft het internet gescand op internetgerichte vnc-endpoints zonder wachtwoord. Daarbij hebben ze ruim 9.000 toegankelijke servers gevonden. De meeste blootgestelde instanties bevinden zich in China en Zweden, gevolgd door de VS, Spanje en Brazilië.
Volgens Cyble zouden sommige van deze instanties nooit aan het internet verbonden mogen zijn, aangezien ze bestemd zijn voor industriële controlesystemen, zoals het voorbeeld van bovengenoemde waterzuiveringsinstallatie. Tijdens het onderzoek was Cyble in staat om meerdere Human Machine Interface (HMI)-systemen op te roepen die zichtbaar waren via het internet, naast Supervisory Control and Data Acquisition Systems (SCADA), werkstations, enzovoorts.
Om te zien hoe vaak aanvallers zich op vnc-servers richten, gebruikte Cyble zijn cyberintelligentietools om te controleren op aanvallen op poort 5900, de standaardpoort voor vnc. Het bedrijf ontdekte dat er meer dan zes miljoen verzoeken waren binnen een maand. De meeste pogingen daartoe kwamen uit Nederland, Rusland en de Verenigde Staten.
De vraag naar toegang tot kritieke netwerken via blootgestelde of gekraakte vnc's is groot op hackerforums, omdat dit soort toegang onder bepaalde omstandigheden kan worden gebruikt voor diepere netwerkinfiltratie. "Belagers kunnen vnc misbruiken om kwaadaardige acties uit te voeren als de ingelogde gebruiker, zoals het openen van documenten, het downloaden van bestanden en het uitvoeren van willekeurige commando's", aldus een onderzoeker van Cyble tegen Bleeping Computer.
"Een tegenstander zou vnc kunnen gebruiken om op afstand een systeem te besturen en te bewaken om gegevens en informatie te verzamelen om naar andere systemen binnen het netwerk te draaien."
In ander gevallen worden instructies online geplaatst over hoe gebruikers blootgestelde instanties zelf kunnen scannen en lokaliseren.
Een darknet-forumpost gezien door Bleeping Computer bevat een lange lijst van blootgestelde VNC-instanties met zeer zwakke of geen wachtwoorden.
Het onderzoek van Cyble richtte zich op instanties waarbij de authenticatielaag volledig was uitgeschakeld. Als slecht beveiligde servers tevens in het onderzoek waren opgenomen, zou het potentieel kwetsbare instanties veel groter zijn. Cyble raadt instanties aan alle belangrijke toegangspunten achter een firewall te plaatsen en wanneer het niet noodzakelijk is, niet te koppelen aan het internet. Een sterk wachtwoord wordt aangeraden. Echter, ondersteunen veel vnc-eindpunten geen wachtwoorden langer dan acht tekens.
Bronnen: Bleeping Computer, Cyble
