Miles de servidores VNC quedan al descubierto

Al analizar los datos de su Global Sensor Intelligence (CGSI), los investigadores de Cyble observaron un pico de ataques al puerto 5900 (el puerto por defecto para VNC) entre los pasados 9 de julio y 9 de agosto. La mayoría de los ataques se originaron en los Países Bajos, Rusia y Ucrania, según la empresa, y ponen de manifiesto los riesgos de la VNC expuesta en las infraestructuras críticas.

Los VNC al descubierto ponen en riesgo los sistemas de control industrial

Según una publicación del blog que detalla los hallazgos de Cyble, las organizaciones que exponen los VNC a través de Internet, al no habilitar la autenticación, amplían el alcance de los atacantes y aumentan la probabilidad de incidentes cibernéticos. Se detectaron más de 8.000 instancias VNC expuestas con la autenticación desactivada. Cyble también descubrió que los activos expuestos conectados a través de VNC se venden, compran y distribuyen con frecuencia en los foros y el mercado de la ciberdelincuencia.

"Aunque el recuento de VNC al descubierto es bajo en comparación con años anteriores, hay que tener en cuenta que los que se han encontrado durante el tiempo de análisis pertenecen a varias organizaciones que entran dentro de las infraestructuras críticas como plantas de tratamiento de agua, plantas de fabricación, instalaciones de investigación", según la firma. Los investigadores de Cyble lograron reducir varios sistemas de interfaz hombre-máquina (HMI), sistemas de control de supervisión y adquisición de datos (SCADA) y estaciones de trabajo, conectados a través de VNC y expuestos en Internet.

Un atacante que acceda a un cuadro de mandos "puede manipular los ajustes predefinidos del operador y puede cambiar los valores de temperatura, caudal, presión, etc., lo que podría aumentar la tensión en el equipo, provocando daños físicos en el lugar y potencialmente en los operadores cercanos", afirman desde Cyble. Los sistemas SCADA expuestos también podrían ser operados por un atacante, que además podría obtener información confidencial y sensible que puede ser utilizada para comprometer todo el entorno ICS, continuó. "Exponer los sistemas de esta manera permite a los atacantes apuntar a un componente particular dentro del entorno e iniciar una cadena de eventos manipulando varios procesos involucrados en la instalación objetivo".

El VNC vulnerable es un objetivo fácil para los atacantes

En declaraciones a CSO, John Bambenek, experto en amenazas de Netenrich, afirma que VNC permite el acceso a una máquina objetivo y tiene herramientas lamentablemente insuficientes para proteger esas máquinas, incluso cuando se utilizan contraseñas. "Los daños que se pueden causar dependen de la organización y de los permisos de los usuarios con los que se ejecuta VNC. En un ejemplo, quedó al descubierto un sistema del Ministerio de Sanidad, lo que significa que se expone información sanitaria privada", afirma.

Tim Silverline, vicepresidente de seguridad de Gluware, coincide. "Los servicios de escritorio remoto, como VNC, son uno de los objetivos más fáciles de identificar para los hackers, ya que operan en puertos predeterminados bien conocidos y existen muchas herramientas para buscar estos servicios y forzar las contraseñas de los que encuentran", explica a CSO.

Cualquier organización que ejecute servicios de acceso remoto de cara al público con autenticación no configurada está básicamente poniendo el cartel de 'bienvenidos' a los adversarios, añade Rick Holland, CISO y vicepresidente de estrategia de Digital Shadows. "Encontrar este tipo de servicios abiertos es trivial, por lo que cualquier actor, desde los script kiddies hasta los más sofisticados, podría aprovechar estas desconfiguraciones para obtener el acceso inicial al entorno".

Uno de los retos de la protección de entornos de infraestructuras críticas es que muchos defensores asumen que hay un espacio de aire que separa las redes tradicionales de TI de las redes de ICS, dice Holland. "Las redes segmentadas no siempre existen, y los responsable de la defensa deben tener visibilidad en tiempo real de los servicios de cara al público. Estos servicios deben tener el acceso a la red restringido con una autenticación fuerte habilitada, lo que incluye la autenticación basada en certificados".

Silverline aconseja a las empresas que limiten su exposición a Internet mediante VNC y que exijan la autenticación multifactor (MFA) para cualquier conectividad remota a una red, incluso a través de VPN o directamente mediante protocolos como RDP, VNC o SSH. "Esto evita que los intentos de fuerza bruta tengan éxito y aumenta sustancialmente la dificultad de un hacker para acceder a la red".