Der Fernzugriff auf den Desktop eines Computers ist vor allem praktisch – und manchmal sogar unbedingt notwendig. Der Nachteil ist jedoch, dass Angreifern auf diese Weise ein Einstiegspunkt in Ihre Unternehmensinfrastruktur geboten werden kann, insbesondere wenn die von Ihnen verwendeten RAS-Tools Schwachstellen aufweisen.
VNC-Schwachstellen
Unser ICS-CERT hat mehrere VNC-Implementierungen (Virtual Network Computing) untersucht. VNC ist ein weit verbreitetes Fernzugriffssystem, das für technische Supportzwecke, zur Geräteüberwachung, für den Fernunterricht und andere Zwecke verwendet wird. Insgesamt konnten in diesen Implementierungen 37 Schwachstellen gefunden werden, von denen einige bereits seit 1999 unbemerkt in freier Wildbahn leben.
Es ist nicht ganz leicht, eine genaue Ziffer bezüglich der Anzahl der Geräte, die VNC-Systeme verwenden, zu nennen. Gemessen an den Daten der Shodan-Suchmaschine kann jedoch online auf mehr als 600.000 VNC-Server zugegriffen werden. Die tatsächliche Zahl dürfte jedoch weitaus höher liegen.
Fundort der Schwachstellen
Unsere Experten haben vier gängige Open-Source-VNC-Implementierungen genauer unter die Lupe genommen:
- LibVNC – eine Programmbibliothek, die es ermöglicht, eigene Anwendungen mit VNC Server- oder Client-Funktionalität auszustatten. LibVNC wird beispielsweise in Systemen verwendet, die Remoteverbindungen zu virtuellen Maschinen sowie zu iOS- und Android-Mobilgeräten ermöglichen.
- TightVNC 1.X – eine von Anbietern industrieller Automatisierungssysteme empfohlene Anwendung für die Kommunikation mit einem Human-Machine Interface.
- TurboVNC – eine VNC-Implementierung für die Fernarbeit mit Grafik-, 3D- und Videoobjekten.
- UltraVNC – eine speziell für Windows entwickelte VNC-Variante.
In allen vier Systemen konnten Bugs gefunden werden: einer in TurboVNC, vier in TightVNC, zehn in LibVNC und bis zu 22 in UltraVNC.
Um welche Schwachstellen es geht & wie sie ausgenutzt werden können
VNC-Anwendungen bestehen aus zwei Teilen: einem Server, der auf dem Computer installiert ist, mit dem Ihr Mitarbeiter eine Remoteverbindung herstellt, und einem Client, der auf dem Gerät ausgeführt wird, von dem aus die Verbindung hergestellt wird. Schwachstellen sind auf der Serverseite weitaus seltener, da diese für gewöhnlich etwas einfacher gestrickt ist und daher weniger Bugs aufweist. Trotzdem haben unsere CERT-Experten in beiden Teilen der untersuchten Anwendungen Mängel festgestellt, obwohl ein Angriff auf den Server in vielen Fällen ohne Genehmigung nicht möglich wäre.
All diese Bugs sind auf eine falsche Speichernutzung zurückzuführen und ihr Exploit führt lediglich zu Fehlfunktionen und zur Dienstverweigerung (Denial of Service) – ein vergleichsweise harmloses Ergebnis. In schwerwiegenderen Fällen können Angreifer unbefugten Zugriff auf Informationen, die sich auf dem Gerät befinden, erhalten oder Malware in das System des Opfers schleusen.
Nicht alle Schwachstellen wurden behoben
Unsere CERT-Mitarbeiter haben die Fehler den Entwicklern der jeweiligen Bibliotheken und Anwendungen gemeldet. Die meisten von ihnen wurden bereits behoben. Leider gibt es eine Ausnahme: Die Entwickler von TightVNC unterstützen die erste Version ihres Systems nicht mehr und haben sich daher geweigert, die darin entdeckten Schwachstellen zu beheben. Nutzer des Dienstes sollten daher die Nutzung einer anderen VNC-Plattform in Betracht ziehen.
Darüber hinaus wird anfälliger Code, wie in vielen Open-Source-Projekten, in einer Vielzahl anderer Entwicklungen verwendet, und nicht alle Entwickler haben einen genauen Überblick über die Updates der Bibliotheken. Derartige Programme bleiben deshalb so lange anfällig, bis ihre Entwickler den Code aktualisieren, was – leider – eventuell niemals passieren wird.
Das sollten Sie unternehmen
Die Liste aller Schwachstellen mit technischen Details finden Sie im Bericht auf unserer Kaspersky ICS CERT Website. Obwohl der Schwerpunkt unserer Kollegen auf dem Einsatz von VNC in Industrieunternehmen lag, sind die Bedrohungen für jedes Unternehmen relevant, das diese Technologie einsetzt.
Um zu verhindern, dass Cyberkriminelle diese Schwachstellen gegen Sie nutzen, empfehlen wir, RAS-Programme in Ihrer Infrastruktur zu überwachen.
- Überprüfen Sie, welche Geräte eine Remoteverbindung herstellen können, und blockieren Sie Remoteverbindungen, falls dies nicht erforderlich ist.
- Inventarisieren Sie alle RAS-Anwendungen – nicht nur VNC – und überprüfen Sie, ob deren Versionen auf dem neuesten Stand sind. Wenn Sie Zweifel an ihrer Zuverlässigkeit haben, verwenden Sie sie nicht weiter. Wenn Sie sie weiterhin bereitstellen möchten, müssen Sie auf die neueste Version aktualisieren.
- Schützen Sie Ihre VNC-Server mit einem sicheren Passwort, um mögliche Angriffe schwieriger zu gestalten.
- Stellen Sie keine Verbindung zu nicht vertrauenswürdigen oder nicht getesteten VNC-Servern her.
- Verwenden Sie in industriellen Unternehmensumgebungen eine spezielle Sicherheitslösung für industrielle Automatisierungssysteme, z. B. Kaspersky Industrial CyberSecurity.
- Verwenden Sie zum Schutz Ihres Unternehmens eine robuste Sicherheitslösung. Eine ausgezeichnete Wahl ist Kaspersky Endpoint Security for Business.