VNC uzaktan erişim güvenlik açıkları

ICS CERT uzmanlarımız dört VNC uygulamasında 37 güvenlik açığı buldu. Geliştiriciler açıkların çoğunu tamir etse de bir kısmı hala duruyor.

Uzaktan erişim kolaylık sağlar ve bazen zaruridir. Öte yandan, özellikle de kullandığınız uzaktan erişim araçlarında güvenlik açıkları varsa, kurumsal alt yapınızda davetsiz misafirler için giriş noktaları sağlayabilirler.

VNC güvenlik açıkları

ICS CERT uzmanlarımız birçok VNC (Sanal Ağ Bilgi İşleme) uygulamasını inceledi. VNC; teknik destek, ekipman izleme, uzaktan öğrenme ve diğer amaçlarla yaygın olarak kullanılan bir uzaktan erişim sistemidir. Bu uygulamaların toplam 37 güvenlik açığı içerdiği bulundu. Bu güvenlik açıklarından bazıları 1999’dan bu yana fark edilmemişti.

VNC sistemleri kullanan cihazların sayısını net olarak söylemek zor, fakat Shodan arama motorundan gelen verilere göre 600.000’den fazla VNC sunucusuna çevrimiçi olarak erişilebiliyor. Gerçek sayının bunun çok üstünde olduğu düşünülüyor.

Güvenlik açıklarını nerede bulduk

Uzmanlarımız yaygın olarak kullanılan dört açık kodlu VNC uygulamasını inceledi:

  • LibVNC: Bir kütüphane, yani geliştiricilerin temel alarak uygulama yaratabildiği bir dizi hazır kod parçacığı. LibVNC, iOS ve Android mobil cihazlarda kullanıldığı kadar, örneğin sanal makinelere uzaktan bağlantı sağlayan sistemlerde de kullanılıyor.
  • TightVNC 1.X: Endüstriyel otomasyon sistemi satıcıları tarafından insan-makine arayüzlerine (HMI) bağlanmak için önerilen bir uygulama.
  • TurboVNC: Grafik, 3D ve video nesneleri ile uzaktan çalışmak için kullanılan bir VNC uygulaması.
  • UltraVNC: Özel olarak Windows için yapılmış bir VNC çeşidi. Ayrıca HMI’lara bağlanmak için endüstriyel üretimde de yaygın olarak kullanılıyor.

Dört sistemde de hatalar tespit edildi: TurboVNC’de bir, TightVNC’de dört, LibVNC’de on, UltraVNC’de ise tam 22 tane.

Güvenlik açıkları neler ve nasıl kötüye kullanılabilirler

VNC uygulamaları iki bölümden oluşur: Çalışanınızın uzaktan bağlandığı bilgisayarda kurulu bir sunucu ve bağlanan cihazda çalışan bir istemci. Genellikle daha basit olduğu için daha az hata barındıran sunucu tarafında güvenlik açığı çok daha az görülür. Buna rağmen CERT uzmanlarımız incelenen uygulamaların her iki kısmında da hatalar buldu. Bununla birlikte çoğu durumda yetkilendirme olmaksızın sunucuya saldırılmak imkansız olurdu.

Hataların tamamı hatalı bellek kullanımıyla bağlantılıydı. Bunların kötüye kullanılması yalnızca bozulmaya ve hizmet dışı kalmaya yol açıyordu; bu, görece daha iyi bir sonuçtu. Daha ciddi vakalarda ise saldırganlar cihazdaki bilgilere yetkisiz erişim elde edebiliyor veya kurbanın sistemine kötü amaçlı yazılım bırakabiliyordu.

Güvenlik açıklarından bazıları tamir edildi, bazıları edilmedi

CERT uzmanlarımız, hataları bu kütüphanelerin ve uygulamarın geliştiricilerine bildirdi. Hataların çoğu giderildi bile. Biri hariç: TightVNC’nin yaratıcıları sistemlerinin ilk sürümünü artık desteklemiyor ve bu sürümde tespit edilen güvenlik açıklarını tamir etmeyi kabul etmediler. Bu, başka bir VNC platformuna geçmeyi düşünmek için yeterli bir sebep olabilir.

Dahası, pek çok açık kaynaklı projede olduğu gibi, güvenlik açığı bulunan kod, geliştirilen çok sayıda başka programda da kullanıldı ve tüm geliştiriciler geliştirdikleri üründe kullandıkları parçalar hakkında güncellemeleri takip etmiyor. Bu tarz programlar, geliştiricileri kodu güncelleyene kadar güvenlik açığı içermeye devam edecek. Bunu söylemek bizi üzüyor ama bazı geliştiriciler bu güncellemeyi hiç yapmayabilir de.

İşletmeler nasıl eyleme geçmeli?

Güvenlik açıklarının listesini teknik ayrıntılarıyla birlikte Kaspersky ICS CERT web sitesinde yayınlanan raporda bulabilirsiniz. Meslektaşlarımız endüstriyel kuruluşlarda VNC kullanımına odaklanmış olsa da tehditler bu teknolojiyi kullanan tüm işletmeler için geçerli.

Siber suçluların bu güvenlik açıklarını size karşı kullanmasını önlemek için altyapınızdaki uzaktan erişim programlarını izlemenizi öneriyoruz.

  • Hangi cihazların uzaktan bağlantı kurabildiğini kontrol edin ve gerekli değilse uzaktan bağlantıları engelleyin.
  • Yalnızca VNC değil, tüm uzaktan erişim uygulamalarının envanterini çıkarın ve sürümlerinin güncel olup olmadığını kontrol edin. Güvenilirlikleri hakkında şüpheleriniz varsa kullanmayı bırakın. Kullanmaya devam edecekseniz en son sürüme yükselttiğinizden emin olun.
  • VNC sunucularınızı güçlü bir parolayla koruyun. Bu, saldırıları zorlaştıracaktır.
  • Güvenilmeyen ya da test edilmemiş VNC sunucularına bağlanmayın.
  • Endüstriyel kuruluş ortamlarında Kaspersky Industrial CyberSecurity gibi endüstriyel otomasyon sistemleri için özel olarak geliştirilmiş bir güvenlik çözümü kullanın.
  • İşletmenizi korumak için güçlü bir güvenlik çözümü kullanın. Kaspersky Endpoint Security for Business bu açıdan mükemmel bir tercih.
İpuçları