Il sistema di condivisione di desktop grafici VNC si basa sul protocollo Remote Frame Buffer (RFB) per fornire il controllo di una macchina remota attraverso una rete.
L’esposizione di VNC a Internet è da tempo considerata un rischio per la sicurezza, ma Cyble ha identificato oltre 8.000 istanze VNC accessibili a Internet con l’autenticazione disabilitata.
Cyble segnala inoltre un’impennata degli attacchi che hanno come obiettivo la porta 5900, la porta predefinita per VNC, notando che i Paesi Bassi, la Russia e l’Ucraina sono emersi come i principali Paesi attaccanti.
Secondo la società di threat intelligence, la maggior parte delle istanze VNC esposte si trova in cinque Paesi: Cina, Svezia, Stati Uniti, Spagna e Brasile.
Alcuni dei VNC esposti appartengono a organizzazioni che operano in settori di infrastrutture critiche, tra cui impianti di trattamento delle acque, produttori e strutture di ricerca. Cyble afferma di essere riuscita a identificare diversi sistemi di interfaccia uomo-macchina (HMI), sistemi SCADA e workstation collegati tramite VNC e accessibili a Internet.
Gli aggressori in grado di compromettere tali sistemi possono manomettere le impostazioni predefinite, arrestare i sistemi di controllo industriale (ICS), interrompere la catena di fornitura e i processi nelle industrie interessate o accedere a dati sensibili che possono essere utilizzati per compromettere ulteriormente i sistemi ICS.
L’esposizione dei VNC a Internet, osserva Cyble, aumenta la probabilità di un cyberattacco, compresi ransomware, furto di dati e cyberespionaggio, tutti tipicamente preceduti da una compromissione iniziale della rete.
“La nostra indagine ha rilevato che la vendita, l’acquisto e la distribuzione di risorse esposte collegate tramite VNC sono frequenti nei forum e nei mercati della criminalità informatica”, osserva Cyble.
Se da un lato l’accesso remoto alle risorse dell’infrastruttura IT/OT può rivelarsi utile, dall’altro le misure di sicurezza non correttamente implementate possono portare a incidenti di grande impatto e a perdite significative. I VNC esposti a Internet e privi di autenticazione consentono agli aggressori di accedere facilmente alla rete della vittima e di creare scompiglio.
“I lettori dovrebbero tenere presente che i VNC esposti delle organizzazioni critiche mettono ad alto rischio di cyberattacchi i settori della sicurezza nazionale, dell’economia, dell’energia e dei trasporti. Si consiglia alle organizzazioni che utilizzano VNC e prodotti simili di assicurarsi che le loro porte e i loro servizi non siano esposti online e siano adeguatamente protetti”, conclude Cyble.