Kaspersky acık kaynaklı Sanal Ağ Bilişim (Virtual Network Computing - VNC) sistemleri uzerinde yaptığı analizin sonuclarını acıkladı. Yapılan calışmada cok sayıda projede uzun suredir var olan bozuk bellek acıkları ortaya cıktı. Tespit edilen bazı acıklar kotuye kullanıldığı takdirde, uzaktan kod calıştırılarak VNC sistemleri etki altına alınabiliyordu. shodan.io sayfasına gore bu sistemler tum dunyada 600.000 ’den fazla sunucuda yer alıyor. Cihazlara yalnızca yerel ağlardan erişilebildiği duşunulduğunde gercek VNC kurulumu sayısının cok daha fazla olduğu biliniyor.

VNC sistemleri, uzak cerceve ara bellek (Remote Frame Buffer - RFB) protokolu kullanarak cihazlar arasında uzaktan erişim sağlıyor. Birden fazla platformda kullanılabilmesi ve acık kaynaklı cok sayıda surume sahip olmasıyla VNC sistemleri, gunumuzde en populer masaustu paylaşım aracları haline geldi. Bu araclar otomatik endustriyel tesislerde sistemlerin uzaktan kontrolunu sağlamak icin aktif bir şekilde kullanılıyor. Endustriyel ağ bilgisayarlarının %32 ’sinde, aralarında VNC ’nin de yer aldığı bir tur uzaktan yonetim aracı bulunuyor.

Acık icerenler başta olmak uzere bu sistemlerin yaygın kullanımı endustri sektoru icin onemli bir sorun teşkil ediyor. Potansiyel zararlar arasında karmaşık uretim sureclerinin sekteye uğrayarak buyuk kayıplar yaşanması yer alıyor.

Kaspersky araştırmacıları en populer VNC sistemlerinden bazılarını inceledi: LibVNC, UltraVNC, TightVNC1.X ve TurboVNC.

Bu VNC projeleri diğer araştırmacılar tarafından daha onceden incelenmiş olsa da tum acıkların kapatılmadığı ortaya cıktı. Kaspersky yaptığı analiz sonucunda 37 adet CVE kaydı ile ceşitli acıkları gozler onune serdi. Acıklar yalnızca istemci tarafında değil sistemin sunucu tarafında da bulundu. Bazı acıklar uzaktan kod calıştırılmasına olanak tanıyordu. Bu da saldırı altındaki sistemlerde her turlu değişikliğin yapılmasına olanak veriyordu. Tek olumlu nokta, sunucu tarafındaki acıkların coğunun yalnızca parolayla giriş yaptıktan sonra kullanılabilmesi ve bazı sunucuların parolasız girişe izin vermemesi oldu.

Kaspersky ICS CERT Acık Araştırmacısı Pavel Cheremushkin konu hakkında şunları soyledi: “Keşfedilen acıkların basitliği, ozellikle de uzun suredir var oldukları duşunulduğunde beni cok şaşırttı. Saldırganlar bu acıkları cok onceden fark edip yararlanmış olabilir. Bircok acık kaynaklı projedeki bazı acıklar, acığın bulunduğu kodun da dahil olduğu kod tabanı yeniden yapılandırıldığında bile kaybolmamış. Kaspersky olarak, acıklarla gelen bu yaygın projeleri sistemli bir şekilde tespit etmenin cok onemli olduğunu duşunuyoruz. Bu nedenle bu tur araştırmalar yapıyoruz.”

Tespit edilen tum acıklar geliştiricilere bildirildi. İletişime gecilen tum geliştiriciler, TightVNC dışında kalan acıkları kapadı. TightVNC ’nin desteklenmediği belirtildi. Bu sistemi kullananların farklı bir VNC sistemine gecmesi oneriliyor.

Hassas VNC araclarıyla ilgili riskleri onlemek icin Kaspersky uzmanları geliştiricilere ve VNC kullanıcılarına şunları oneriyor:
Endustriyel ağda kullanılan uygulamaları ve sistem uzaktan yonetim araclarını denetleyin. Endustriyel surecler icin gerekli olmayan tum uzaktan yonetim araclarını kaldırın. ICS yazılımıyla birlikte gelen (detaylı talimatlar icin ilgili yazılımın belgelerine bakın) uzaktan yonetim araclarını denetleyin ve endustriyel surecler icin gerekli olmadığı takdirde devre dışı bırakın. Endustriyel surecler icin gereken her bir uzaktan kontrol oturumunu yakından izleyin ve olayları kaydedin. Uzaktan erişim normalde devre dışı olmalı ve yalnızca talep uzerine kısıtlı bir sureliğine acılmalıdır. İşletim sistemlerini, uygulamaları ve guvenlik cozumlerini duzenli olarak guncelleyin. Bunların onarımı icin bir prosedur belirleyin. Tanımadığınız VNC sunucularına bağlanmayın ve tum sunucularda guclu parolalar kullanın. Kaspersky Industrial Cybersecurity gibi, endustriyel otomasyon sistemlerine ozel bir siber guvenlik urunu kullanın. VNC Acık Araştırması raporunu ICS CERT sayfasında bulabilirsiniz.