روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دسترسیِ ریموت، کار راهانداز است و در عین حال، وقتهایی هم ضروری و واجب میشود. یکی از ایرادهایش این است که میتواند در زیرساخت سازمانی شما نقطهی دخولی (entry point) برای مهاجمین درست کند؛ خصوصاً اگر ابزارهای دسترسی ریموتی که استفاده میکنید از نوع آسیبپذیرشان باشد. متخصصین ICS CERT ما، موفق به کشف 37 آسیبپذیری در چهار پیادهسازیِ VNC شدند. توسعهدهندگان، بیشترِ این آسیبپذیریها را برطرف کردند اما نه همهاش را. در ادامه با ما همراه شوید تا چند و چونِ آسیبپذیریهای پیدا شده در سیستم دسترسی ریموت VNC را خدمتتان شرح دهیم.
آسیبپذیریهای VNC
تیم ICS CERT ما در طی مطالعات خود چندین پیادهسازیِ VNC (رایانه مجازی تحت شبکه[1]) کشف کرد. VNC در حقیقت یک سیستم دسترسی ریموت رایج است که به طور گستردهای برای مقاصد مختلفی چون پشتیبانی فنی، نظارت تجهیزات، یادگیریهای از راه دور و غیره استفاده میگردد. طبق یافتههای محققین ما، این پیادهسازیها شامل 37 آسیبپذیری (به طور کلی) میشدند که برخی از آنها از سال 1999 نادیده گرفته شده بودند.
این آسیبپذیریها را از کجا پیدا کردیم؟
متخصصین ما نگاهشان روی چهار پیادهسازی رایج و منبع بازِ VNC بود:
- LibVNC- یک آرشیو که در حقیقت مجموعهایست از اسنیپتهای از قبلساختهشده که توسعهدهندگان درست بر همین مبنا میتوانند اپ بسازند. برای مثال، LibVNC در سیستمهایی که به ماشینهای مجازی اجازهی ارتباطات ریموت میدهند و نیز دستگاههای موبایل اندرویدی و آیاواس به کار برده میشود.
- TightVNC 1.X- اپلیکیشنی توصیهشده توسط فروشندگانِ سیستمهای صنعتیِ اتوماسیون برای اتصال به رابط ماشین-انسان (HMI).
- TurboVNC- یک پیادهسازیِ VNC برای کار ریموت با امور گرافیکی، سهبعدی و ویدیویی.
- UltraVNC- نوعی از VNC که به طور خاص برای ویندوز ساخته شده است؛ همچنین به طور گستردهای در محصولات صنعتی نیز به کار گرفته میشود (برای اتصال HMIها).
باگها در کل این چهار سیستم دیده شدند: یک باگ در TurboVNC، چهار باگ در TightVNC، ده باگ در LibVNC و 22 باگ در UltraVNC.
این آسیبپذیریها چه هستند و چطور میتوانند اکسپلویت شوند؟
اپلیکیشنهای VNC از دو بخش تشکیل میشوند: یک، سروری که روی کامپیوتر نصب میشود؛ همانی که در واقع کارمند شما به آن به صورت ریموت وصل میشود. دو، کلاینتِ اجراشده روی دستگاهی که از آن اتصال صورت میگیرد. آسیبپذیریهای بخش سرور آنقدرها هم متداول نیستند برای همین چندان باگی هم ندارند. با این وجود، متخصصین CERT ما در هر دو بخشِ اپلیکیشنهای مورد بررسی به ایراداتی پی بردند؛ هرچند حمله روی سرور در بسیاری از موارد بدون مجوز غیرممکن است.
همهی این باگها به استفادهی نادرست از مموری ارتباط پیدا میکند. اکسپلویت کردنِ آنها فقط و فقط به نقص در عملکرد و محرومسازیِ سرویس میانجامد- نتیجهای نسبتاً مطلوب. در موارد جدیتر، مهاجمین میتوانند به اطلاعات روی دستگاه دسترسیِ غیرمجاز پیدا نموده یا بدافزاری را در سیستم قربانی تزریق کنند.
برخی آسیبپذیریها برطرفشده اما نه همهشان
بچههای CERT ما باگها را به توسعهدهندگانِ آرشیوها و اپهای مربوطه گزارش دادند. بیشترشان برطرف شدند اما افسوس که در این میان یک استثنا وجود دارد: سازندگان TightVNC دیگر از اولین نسخهی سیستم خود پشتیبانی نکرده و برای آسیبپذیریهای شناساییشده در آن پچی ارائه نمیدهند. شاید این دلیل اصلیای باشد برای افتادن به فکرِ مهاجرت کردن به پلتفرمِ VNC دیگر.
افزون بر این، مانند بسیاری از پروژههای منبعباز کد آسیبپذیری نیز در تعداد وسیعی از توسعهها نیز مورد استفاده قرار میگیرد و خوب همهی توسعهدهندگان هم تبها را نزدیکِ آپدیتهای آرشیو (که از طریق آنها، برای سازههای خود اسنیپت قرض میگیرند) نگه نمیدارند. چنین برنامههایی تا وقتی سازندگانشان کد را به روز نکنند همینطور آسیبپذیر باقی خواهند ماند که خوب خیلی متأسفیم که این را میگوییم: هیچگاه چنین چیزی اتفاق نخواهد افتاد.
چه کاری از دست کسب و کارها برمیآید؟
فهرست آسیبپذیریهای مربوط به بخش جزئیات فنی را میتوان در گزارش منتشرشده در وبسایت Kaspersky ICS CERT پیدا کرد. گرچه تمرکز همکاران ما روی استفاده از VNC در سازمانهای صنعتی بود اما این تهدیدها بیشتر به هر کسب و کاری مربوط میشود که این فناوری را به کار میبندد.
برای اینکه نگذارید مجرمان سایبری چنین آسیبپذیریهایی را بر علیه شما مورد اکسپلویت قرار دهند توصیهمان این است که برنامههای دسترسی ریموت را در زیرساخت خود مورد نظارت و بررسی قرار دهید.
- چک کنید کدام دستگاهها میتوانند به صورت ریموت وصل شوند و در صورت عدم لزوم میتوانند کانکشنهای ریموت را مسدود کنند.
- فهرست کاملی از تمام اپهای دسترسی ریموت تهیه کنید- نه فقط VNC- و چک کنید که نسخههایشان حتماً به روز شده باشد. اگر به قابل اعتماد بودن آنها شک دارید، از آنها استفاده نکنید. اگر قصد دارید به استفاده از آنها ادامه دهید، مطمئن شوید به آخرین نسخهی خود آپگرید شده باشند.
- با رمزعبوری قوی از سرورهای VNC خود محافظت کنید. با این کار، حمله بدانها را بسی سختتر کردهاید.
- به سرورهای VNC نامطمئن و آزمایشنشده وصل نشوید.
- در محیطهای سازمانی صنعتی، از راهکار امنیتی تخصصی برای سیستمهای اتوماسیون صنعتی استفاده کنید. برای مثال Kaspersky Industrial CyberSecurity.
- به منظور حفاظت از کسب و کار خود از راهکار امنیتی قوی استفاده کنید. بهترین انتخاب برای شما میتواند Endpoint Security for Business باشد.
[1] Virtual Network Computing
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.