Investigadores han descubierto al menos 9.000 puntos finales de VNC (virtual network computing) expuestos a los que se puede acceder y utilizar sin autenticación, lo que permite a los actores de amenazas acceder fácilmente a las redes internas.
El VNC (virtual network computing) es un sistema independiente de la plataforma destinado a ayudar a los usuarios a conectarse a sistemas que requieren monitorización y ajustes, ofreciendo el control de un ordenador remoto a través del RFB (remote frame buffer protocol) sobre una conexión de red.
Si estos puntos finales no están debidamente protegidos con una contraseña, lo que suele ser el resultado de una negligencia, un error o una decisión tomada por conveniencia, pueden servir como puntos de entrada para usuarios no autorizados, incluyendo actores de amenazas con intenciones maliciosas.
Dependiendo de los sistemas que se encuentren detrás de las VNCs expuestas, como por ejemplo, las instalaciones de tratamiento de agua, las implicaciones de abusar del acceso podrían ser devastadoras para comunidades enteras.
Los cazadores de debilidades de seguridad de Cyble escanearon la web en busca de instancias VNC orientadas a Internet sin contraseña y encontraron más de 9.000 servidores accesibles.
La mayoría de las instancias expuestas se encuentran en China y Suecia, mientras que Estados Unidos, España y Brasil les siguen en el top 5 con volúmenes significativos de VNCs no protegidos.
Para empeorar las cosas, Cybcle descubrió que algunas de estas instancias VNC expuestas correspondían a sistemas de control industrial, que nunca deberían estar expuestos a Internet.
En uno de los casos explorados, el acceso VNC expuesto conducía a una HMI para controlar bombas en un sistema SCADA remoto en una unidad de fabricación no identificada.
La mayoría de los intentos de acceso a los servidores VNC se originaron en los Países Bajos, Rusia y Estados Unidos.
La demanda de acceso a redes críticas a través de VNC expuestos o crackeados es alta en los foros de ciberdelincuentes, ya que este tipo de acceso puede, en determinadas circunstancias, utilizarse para una infiltración más profunda en la red.
Se aconseja a los administradores de VNC que nunca expongan los servidores directamente a Internet, y si deben ser accesibles de forma remota, al menos colóquenlos detrás de una VPN para asegurar el acceso a los servidores.
Incluso entonces, los administradores deberían añadir siempre una contraseña a las instancias para restringir el acceso a los servidores VNC.
Con información de Bleeping Computer.