Kaspersky presentó un análisis de Computación Virtual en Red (VNC, por sus siglas en inglés) en el cual fueron descubiertas vulnerabilidades por corrupción de memoria que han existido en un número importante de proyectos durante mucho tiempo.
La explotación de algunas de las vulnerabilidades detectadas podría llevar a ejecutar código a distancia y afectar a los usuarios de los sistemas VNC, que ascienden a más de 600.000 servidores accesibles, solo desde la red global, segúnshodan.io. Teniendo en cuenta que solo se puede acceder a los dispositivos en las redes locales, el número real de instalaciones de VNC podría ser más elevada.
Los expertos de Kaspersky ICS CERT descubrieron 37 vulnerabilidades en 4 importantes implementaciones de VCN (Virtual Network Computing), sistemas que se utilizan para proporcionar el acceso a distancia de un dispositivo a otro mediante el uso del protocolo Remote Frame Buffer (RFB). Debido a su disponibilidad en diferentes plataformas y la presencia de varias versiones de fuente abierta, los sistemas VNC se han convertido en algunas de las herramientas de uso compartido para escritorio más populares hasta la fecha. Se usan activamente en instalaciones industriales automatizadas que permiten el control a distancia de sistemas, aproximadamente en el 32% de las computadoras de redes industriales que tienen alguna forma de herramientas de administración remota.
El nivel de prevalencia de tales sistemas en general, y particularmente en los que son vulnerables, es un problema especialmente significativo para el sector industrial pues los daños potenciales pueden producir pérdidas considerables debido a la interrupción de los complejos procesos de producción. El acceso remoto es cómodo y en el caso de algunas empresas, resulta indispensable. El inconveniente es que puede servir a los cibercriminales como punto de entrada a la infraestructura corporativa de las compañías, sobre todo si las herramientas de acceso remoto que se utilizan son vulnerables.
Los investigadores de Kaspersky estudiaron algunos de los sistemas VNC más populares: LibVNC, UltraVNC, TightVNC1.X y TurboVNC
Aunque estos proyectos de VNC fueron analizados previamente por otros investigadores, no todas las vulnerabilidades fueron descubiertas y enmendadas. Como resultado del análisis realizado por los investigadores de Kaspersky, se crearon 37 registros CVE que marcan diversas vulnerabilidades. Se encontraron vulnerabilidades no solo en el cliente, sino también en el servidor del sistema. Algunas de ellas pueden permitir que se ejecute código a distancia, lo que a su vez podría permitir a un agente malintencionado realizar cambios arbitrarios en los sistemas atacados. En una nota más positiva, muchas vulnerabilidades del lado del servidor solo podrían explotarse si se tiene autenticada la contraseña y algunos servidores no permiten establecer el acceso sin contraseña.
“Me sorprendió ver la simplicidad de las vulnerabilidades descubiertas, especialmente teniendo en cuenta su importante vida útil. Esto significa que los atacantes podrían haber notado y aprovechado las vulnerabilidades hace mucho tiempo. Además, algunas clases de vulnerabilidades están presentes en muchos proyectos de fuente abierta y permanecen allí incluso después de reestructurar el código base, que incluía código vulnerable. En Kaspersky creemos que es importante detectar sistemáticamente tales multitudes de proyectos con vulnerabilidades heredadas, por eso llevamos a cabo investigaciones de este tipo”, comentó Pavel Cheremushkin, investigador de vulnerabilidades en Kaspersky ICS CERT.
La información sobre todas las vulnerabilidades descubiertas se ha transmitido a los programadores. Casi todos los contactados enmendaron las vulnerabilidades, con la excepción de TightVNC, que no acepta este producto. Los usuarios de este último deben considerar opciones alternativas del sistema VNC.
Para abordar los riesgos relacionados con las herramientas vulnerables de VNC, los expertos de Kaspersky recomiendan a los programadores y usuarios de VNC que:
- Auditen el uso de herramientas de administración a distancia de aplicaciones y sistemas utilizadas en la red industrial. Eliminen todas las herramientas de administración a distancia que no sean necesarias para el proceso industrial.
- Lleven a cabo una auditoría y desactiven las herramientas de administración a distancia que vienen con el software ICS (consulten la documentación pertinente al software para obtener instrucciones detalladas), siempre que el proceso industrial no las requiera.
- Supervisen y lleven un registro de los eventos para cada sesión de control a distancia requerida por el proceso industrial; el acceso a distancia debe estar inactivado de manera predeterminada y activado solo por encargo y por períodos de tiempo limitados.
- Actualicen periódicamente los sistemas operativos, el software de aplicación y las soluciones de seguridad, establezcan un procedimiento para arreglarlos.
- Eviten la conexión a servidores VNC desconocidos y creen contraseñas únicas y seguras en todos los servidores.
- Utilicen un producto de ciberseguridad dedicado para sistemas de automatización industrial, como Kaspersky Industrial Cybersecurity.
Una copia del Estudio de vulnerabilidades en sistemas VNC está disponible en ICS CERT.
Acerca de Kaspersky
Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en https://latam.kaspersky.com.
Acerca de Kaspersky ICS CERT
El Equipo de respuesta a emergencias cibernéticas en sistemas de control industrial de Kaspersky (Kaspersky ICS CERT) es un proyecto global introducido por Kaspersky en 2016 para coordinar los esfuerzos de proveedores de sistemas de automatización, propietarios y operadores de instalaciones industriales e investigadores de seguridad de TI para proteger a las empresas industriales contra ataques cibernéticos. Kaspersky ICS CERT dedica sus esfuerzos principalmente a identificar amenazas potenciales y existentes dirigidas a sistemas de automatización industrial y a la Internet industrial de las cosas. Desde su inicio, el equipo identificó más de 240 vulnerabilidades críticas en productos de los principales proveedores mundiales de sistemas de control industrial (ICS). Kaspersky ICS CERT es un miembro activo y socio de las principales organizaciones internacionales que desarrollan recomendaciones para proteger a las empresas industriales contra ciberamenazas. ics-cert.kaspersky.com
