最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

现在是2022 年仍有数千个公共系统使用无密码VNC

行业文章 快米云 来源:快米云 88浏览

公共互联网上的数千台机器可以通过 VNC 远程控制,无需任何身份验证,网络安全供应商本月提醒我们。

这些盒子,减去任何蜜罐设备,为不法分子、间谍和勒索软件攻击者提供了进入公司网络、关键基础设施和其他计算机系统的简单、畅通无阻的途径。

Cyble 的研究人员表示,他们在全球发现了 8,000 多个面向互联网的 VNC 端点,无需任何密码即可轻松访问。

事实上,刚刚快速浏览一下 Shodan.io发现有超过 640,000 台机器向地球公开 VNC 服务,尽管并非所有机器都缺乏身份验证检查。我们之前在这里警告过开放 VNC 系统。

Cyble 团队表示,除了它发现的数千个未受保护的端点外,它还目睹了不法分子和机器人在默认 VNC TCP 端口 5900 上扫描“网络”以获取活动服务,在 7 月 9 日至 8 月 9 日期间检测到大约七次此类活动。 ,我们被告知,总共有超过 600 万次尝试检测正在运行的 VNC 服务。Cyble 说,大多数扫描来自荷兰、俄罗斯和乌克兰。

Cyble 分析师写道:“任何勒索软件、数据勒索、高级持续威胁 (APT) 组织或其他复杂的网络犯罪分子成功进行的网络攻击通常都会先对受害者的企业网络进行初步入侵。” “将暴露的 VNC 留在互联网上的组织扩大了攻击者的范围,并大大增加了网络事件的可能性。”

有关如何通过 VNC 访问有价值系统的详细信息——无论是由于没有身份验证,还是由于凭据被盗或泄露——都在网络犯罪论坛上进行交易。骗子喜欢购买这些详细信息,以便轻松进入网络并感染它们、窃取信息或利用它们攻击其他组织;有时,骗子可以花钱请黑帽黑客为他们执行此初始条目。无论如何,开放的 VNC 可访问系统正是这类犯罪分子所寻找的。

安全,如果管理得当

VNC 是一个独立于平台的远程桌面系统,它使用远程帧缓冲区 (RFB) 协议来完成它的工作。它对于连接到需要在软件级别进行监控、调整或修复的遥不可及的计算机或设备最有用。如果 VNC 端点暴露在互联网上并且不需要密码即可访问,未经授权的用户(包括勒索软件操作员和其他卑鄙小人)可以进入并将其用作攻击的发射台。

“尽管与往年相比,暴露的 VNC 数量较少,但应该注意的是,在分析期间发现的暴露 VNC 属于关键基础设施下的各种组织,例如水处理厂、制造厂、研究设施、等等,”Cyble 研究人员写道,并补充说他们“能够缩小通过 VNC 连接并通过互联网公开的多个人机界面 (HMI) 系统、监督控制和数据采集系统 (SCADA)、工作站等。”

他们以石油和天然气运营中的无密码 VNC 访问控制面板为例。在最坏的情况下,不法分子可能会利用这种不受限制的访问来改变所示设备中的温度、流量和压力,这可能会增加系统的压力并损坏现场。如前所述,Shodan 搜索引擎列出了数千个暴露的端点,其中一些需要身份验证,而另一些则不需要。

根据 Cyble 的研究,中国、瑞典和美国的案例暴露最多。西班牙和巴西位列前五。

过去几年,美国政府一直关注关键基础设施和工业控制系统 (ICS) 的安全威胁,包括 SCADA 操作,尤其是在去年Colonial Pipeline和 JBS Foods 遭到袭击之后。Cyble 研究人员写道,让这些系统暴露在外“允许攻击者瞄准环境中的特定组件,并通过操纵目标设施中涉及的各种进程来启动一系列事件”。

“攻击者甚至可以深入了解机密和敏感情报,例如警报设置点、设备 ID、网络详细信息、控制流等,这些信息可以进一步用于破坏整个 ICS 环境。”

网络自动化供应商 Gluware 的安全副总裁 Tim Silverline 表示,企业需要通过启用身份验证、强制执行 VPN 级访问和其他措施来保护 VNC 实例。不受保护的远程桌面服务非常适合勒索软件团伙试图获得对组织的初始访问权限。

Silverline 告诉The Register: “许多黑客花费大量时间钓鱼用户以远程入侵计算机以访问目标公司的内部网络。 ” “禁用身份验证的暴露 VNC 实例允许黑客控制内部资产,甚至无需诱骗用户做任何事情。”

网络安全公司 Digital Shadows 的首席信息安全官兼战略副总裁 Rick Holland 告诉The Register,运行具有未配置身份验证的面向公众的远程访问服务类似于向攻击者竖起欢迎标志。

“可悲的是,面向公众的 VNC 并不令人意外,它突显了实施‘安全基础’的挑战,”Holland 说。“找到这些类型的开放服务是微不足道的,所以任何演员,从脚本小子到老练的演员,都可以利用这些错误配置来获得对环境的初始访问权限。”

Cyble 概述了组织可以采取的一系列措施来限制风险,包括确保关键的 IT 和运营技术 (OT) 资产位于防火墙后面,从而限制系统暴露于互联网,并遵循强密码做法以及保持补丁和最新。

网络安全专家 Dispersive Holdings 的首席执行官 Rajiv Pimplaskar 告诉The Register,“隐形网络”是打击不法分子扫描互联网以寻找易受攻击的服务以利用或攻击的一种方式。Pimplaskar 表示,隐形网络“混淆了源到目的地的关系以及敏感数据流。这种技术可以确保所有受保护的 OT 资产的完全隐私和匿名性,而不会对其通信能力产生不利影响。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 现在是2022 年仍有数千个公共系统使用无密码VNC