Эксперт «Лаборатории Касперского» Павел Черемушкин рассказал про безопасность популярных промышленных систем удаленного доступа (Virtual Network Computing, VNC). Точнее, про отсутствие в них безопасности.
По словам специалиста, в результате исследования в четырех таких решениях было обнаружено 37 уязвимостей, многие из которых годами переходят из одной реализации в другую.
Virtual Network Computing (VNC) — система удалённого доступа к рабочему столу компьютера, использующая протокол RFB (англ. Remote FrameBuffer, удалённый кадровый буфер). Управление осуществляется путём передачи нажатий клавиш на клавиатуре и движений мыши с одного компьютера на другой и ретрансляции содержимого экрана через компьютерную сеть.
Система VNC платформонезависима: VNC-клиент, называемый VNC viewer, запущенный на одной операционной системе, может подключаться к VNC-серверу, работающему на любой другой ОС.
VNC-системы позволяют открывать канал удаленного управления между разными устройствами. Это один из самых популярных продуктов в промышленности — именно они используются для удаленного администрирования систем АСУ ТП.
В настоящее время, по данным поисковика Shodan, на текущий момент в открытом доступе находится более 600 тыс. VNC-серверов. В локальных сетях таких систем может быть и вовсе на несколько порядков больше.
Атаку на VNC-решение реально вести как через его сервер, так и через пользовательский клиент. Хотя первый вариант открывает злоумышленнику больше возможностей, больше уязвимостей содержится именно в клиентской части. Причина просто: такие приложения гораздо обширнее серверных компонентов, а больше кода значит выше вероятность ошибки разработчика.
Работа аналитика охватила четыре самых популярных VNC-продукта: LibVNC, UltraVNC, TightVNC 1.X и TurboVNC. Серьезные уязвимости обнаружились во всех системах, при этом, как подчеркнул эксперт, найти их было вовсе не трудно.
Основную долю среди обнаруженных ошибок составили RCE-баги. Эксперт выявил 24 таких уязвимости: 15 в UltraVNC, пять в LibVNC, три в TightVNC и одну в TurboVNC. Угроз утечки информации и DoS-атак было найдено примерно поровну — шесть и семь соответственно. Самым небезопасным по итогам исследования был признан продукт UltraVNC, где Черемушкин насчитал более 20 уязвимостей. Все баги получили идентификаторы CVE, информация передана производителям.
По словам исследователя, такое положение вещей связано с отсутствием практики юнит-тестирования, которое предполагает проверки каждого отдельного элемента программного решения.
За первые шесть месяцев 2019 года решения «Лаборатории Касперского» заблокировали вредоносную активность на 41,6% компьютеров систем автоматизации предприятий этого сектора. По России этот показатель гораздо выше: 58,1%. Хотя большинство зафиксированных угроз не были разработаны специально для системы автоматизации объектов энергетики, коллатеральный ущерб от вредоносов может вызывать проблемы доступности и целостности систем автоматизации внутри технологического контура.
Например, майнеры вызывают отказ в обслуживании некоторых компонентов АСУ ТП. Черви могут уничтожать данные на заблокированном устройстве (как весьма частая угроза в энергетике, червь Syswin) и привести к аварийной ситуации. Насколько серьезной может быть такая аварийная ситуация, предлагает задуматься Международная ассоциация систем управления кибербезопасностью (Control Systems Cyber Security Association International, CS2AI).
По данным проведенного ею опроса 300 сотрудников компаний, некоторые из недавних инцидентов кибербезопасности, связанных с автоматизированными системами управления (АСУ), привели к травмам и даже гибели людей. Об этом сообщили 1% респондентов (то есть, это как минимум, три компании за последний год). 25% опрошенных также сообщили о сбоях в производственных процессах.
Читайте также на АКБ:
Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows
