Kaspersky araştırmacıları, dört popüler açık kaynaklı sanal ağ bilgi işlem (VNC-virtual network computing) sisteminde düzinelerce güvenlik açığı belirledi, neyse ki bunların çoğu yamalı durumda.
VNC sistemleri, kullanıcıların bir cihazı uzaktan kontrol etmelerini sağlamak için uzak çerçeve tamponu (RFB-remote frame buffer- protokolünü kullanır. Kaspersky’ye göre, VNC genellikle endüstriyel ortamlarda kullanılır ve birçok endüstriyel kontrol sistemi üreticisi (ICS), ürünlerine uzaktan yönetim yetenekleri eklemek için VNC’yi kullanır.
Kaspersky, LibVNC, UltraVNC, TightVNC ve TurboVNC dahil olmak üzere yaygın olarak kullanılan dört açık kaynaklı VNC sistemini analiz etti. Siber güvenlik şirketi, UltraVNC ve TightVNC’nin, endüstriyel otomasyon sistemi satıcıları tarafından insan-makine arayüzlerine (HMI’ler) bağlanmak için sıklıkla önerildiğini söylüyor.
Kaspersky’nin sunucu ve istemci yazılımında bulunan güvenlik açıklarına toplam 37 CVE tanımlayıcısı atanmıştır. Hataların bir kısmı, saldırganın hedef sistemde değişiklik yapmasına izin vererek uzaktan kod yürütme için kullanılabilir. UltraVNC’de güvenlik hatalarının 20’den fazlası tespit edildi.
Bazı durumlarda, güvenlik firması, bu araştırma projesinin bir parçası olarak bulunan kusurların daha önce tanımlanmış zayıflıkların çeşitliliği olduğunu belirtti.
Sunucu tarafı güvenlik açıkları, hedeflenen VNC sunucusuyla aynı ağda bulunan bir saldırgan tarafından kullanılabilir. Ancak, Shodan’ın verilerine göre internetten doğrudan erişilebilen 600.000’den fazla VNC sunucu var.
Kullanıcı tarafında zayıf bir VNC istemcisi kullanarak saldırgan tarafından kontrol edilen bir sunucuya bağlandığında, istemci tarafında zayıflıklar kullanılabilir.
İyi haber 37 güvenlik açığının çoğu yamalı durumda. Bununla birlikte, TightVNC için durum biraz farklı, TightVNC 1.X için üreticilere Ocak 2019’da bildirilmesine rağmen herhangi bir düzeltme yayınlamadılar.
Kaspersky, bu güvenlik açıklarının bir kısmının, özellikle endüstriyel sistemler söz konusu olduğunda, ciddi durumlarda risk teşkil edebileceğini, ancak çoğu durumda sunucu tarafı hatalarının istismar edilmesinin, kimlik doğrulaması gerektirdiğini ve yazılımın, parola olmadan doğrulamaya izin vermeyecek şekilde tasarlandığını belirtti. Bu, sunucuda güçlü bir şifre belirlemenin birçok saldırıyı önleyebileceği anlamına gelir. İstemci tarafında en iyi savunma, kullanıcıların güvenilmeyen VNC sunucularına bağlanmamasını sağlamaktır.
Kaspersky ICS CERT araştırmacılarından Pavel Cheremushkin, “Keşfedilen güvenlik açıklarının basitliğini, özellikle de önemli yaşam sürelerini göz önünde bulundurursak şaşırdım,” dedi. “Bu, saldırganların uzun zaman önce güvenlik açıklarını fark ettiği ve avantajlarından yararlandığı anlamına geliyor. Dahası, bazı açık kaynaklı projelerde güvenlik açıkları mevcut olup, güvenlik açığı bulunan kod tabanının yeniden yapılandırılmasından sonra bile orada kalır. ”
Teknik detaylar Kaspersky’nin ICS-CERT web sitesinde bulunabilir.