Más de 9,000 servidores VNC están expuestos en línea sin contraseña
Investigadores de seguridad han descubierto al menos 9,000 puntos finales VNC (Computación Virtual en Red) expuestos a los que se puede acceder y utilizar sin autenticación. En otras palabras, esto permite a los atacantes acceder fácilmente a las redes internas.
VNC (Computación Virtual en Red) es una plataforma independiente del sistema destinada a ayudar a los usuarios a conectarse a sistemas que requieren monitoreo y ajustes. Esta permite tomar el control de una computadora remota a través de RFB (remote frame buffer) por medio de una conexión de red.
Si estos puntos finales no están debidamente protegidos con una contraseña, que a menudo es el resultado de una negligencia, un error o una decisión tomada por conveniencia, pueden servir como puntos de entrada para usuarios no autorizados. Por ejemplo, los ciberdelincuentes con intenciones maliciosas.
Un ataque cibernético exitoso por parte de cualquier banda de ransomware, grupos de amenazas persistentes avanzadas (APT) u otros ciberdelincuentes sofisticados generalmente está precedido por un compromiso inicial en la red empresarial de la víctima. Una organización que deja VNC expuestas a través de Internet amplía el alcance de los atacantes y aumenta drásticamente la probabilidad de incidentes cibernéticos .
Según los sistemas que se encuentren detrás de los VNC expuestos, como, por ejemplo, las instalaciones de tratamiento de agua, las implicaciones del abuso del acceso podrían ser devastadoras para comunidades enteras.
Hallazgos alarmantes
Los cazadores de vulnerabilidades de seguridad en Cyble escanearon la web en busca de instancias de VNC orientadas a Internet sin contraseña. Sorprendentemente, encontraron más de 9,000 servidores accesibles.
La mayoría de las instancias expuestas se encuentran en China y Suecia. Además, Estados Unidos, España y Brasil se encuentran entre los 5 primeros con volúmenes significativos de VNCs sin protección.
Para empeorar las cosas, Cybcle descubrió que algunas de estas instancias de VNC expuestas son para sistemas de control industrial. Estas instancias nunca deberían estar expuestos a Internet.
“Durante el curso de la investigación, los investigadores pudieron encontrar múltiples sistemas de interfaz hombre-máquina (HMI), sistemas de control de supervisión y adquisición de datos (SCADA), estaciones de trabajo, etc., conectados a través de VNC y expuestos a través de Internet”.
Detalles extraídos del informe de Cyble
En uno de los casos explorados, el acceso VNC expuesto condujo a una HMI para controlar bombas en un sistema SCADA remoto en una unidad de fabricación sin nombre.
Para ver con qué frecuencia los atacantes se dirigen a los servidores VNC, Cyble usó sus herramientas de inteligencia cibernética para monitorear los ataques en el puerto 5900. Este es el puerto predeterminado para VNC. Cyble descubrió que hubo más de seis millones de solicitudes durante un mes.
La mayoría de los intentos de acceder a los servidores VNC se originaron en los Países Bajos, Rusia y los Estados Unidos.
Demanda de acceso VNC
La demanda de acceso a redes críticas a través de VNC expuestos o descifrados es alta en los foros de hackers. Esto porque este tipo de acceso puede, en determinadas circunstancias, utilizarse para una infiltración más profunda de la red.
“Los atacantes pueden abusar de VNC para realizar acciones maliciosas como un usuario que inició sesión. Por ejemplo, abrir documentos, descargar archivos y ejecutar comandos arbitrarios”.
“Un atacante podría usar VNC para controlar y monitorear de forma remota un sistema para recopilar datos e información para pasar a otros sistemas dentro de la red”.
Declaraciones de un investigador de Cyble
En otros casos, los entusiastas de la seguridad ofrecen instrucciones sobre cómo los usuarios pueden escanear y ubicar estas instancias expuestas por su cuenta.
Una publicación de un foro de la darknet presenta una larga lista de instancias VNC expuestas con contraseñas muy débiles o sin contraseña.
El caso de las contraseñas débiles plantea otra preocupación sobre la seguridad de VNC, ya que la investigación de Cyble solo se centró en las instancias que tenían la capa de autenticación completamente desactivada.
Si se incluyeran en la investigación servidores mal protegidos cuyas contraseñas son fáciles de descifrar, el dato cambiaría. Es decir, la cantidad de instancias potencialmente vulnerables sería mucho más significativa.
En ese frente, es esencial recordar que muchos productos VNC no admiten contraseñas de más de ocho caracteres. Por lo tanto, son intrínsecamente inseguros incluso cuando las sesiones y las contraseñas están cifradas.
Contramedidas
El acceso remoto a los activos de infraestructura informática es bastante útil y se ha adoptado ampliamente debido a la pandemia de COVID-19 y las políticas de trabajo desde el hogar.
Sin embargo, si las organizaciones no cuentan con las medidas de seguridad y los controles de seguridad apropiados, esta situación puede generar pérdidas monetarias graves para una organización. Dejar los VNC expuestos a través de Internet sin ninguna autenticación hace que sea bastante fácil para los intrusos penetrar en la red de la víctima y crear estragos.
Los atacantes también pueden intentar explotar el servicio VNC mediante el uso de diversas vulnerabilidades y técnicas, lo que les permite conectarse con los activos expuestos.
Por lo tanto, recomendamos a los administradores de VNC que nunca expongan los servidores directamente a Internet. Y, si deben ser accesibles de forma remota, al menos deben colocarlos detrás de una VPN para asegurar el acceso a los servidores. Además, deben seguir una política de contraseñas seguras dentro de la organización, asegurarse de que se coloquen controles de acceso adecuados dentro de la organización y realizar análisis y monitoreos para encontrar anomalías dentro de la red.
Incluso entonces, los administradores siempre deben agregar una contraseña a las instancias para restringir el acceso a los servidores VNC.
En resumen, deben habilitar todas las medidas de seguridad necesarias para VNC.