Security

Schwachstellen in VCN-Systemen entdeckt

| Redakteur: Katharina Juschkat

Kaspersky hat bei einer Untersuchung von VCN-Systemen viele unbekannte und ungepatchte Schwachstellen entdeckt. Viele dieser Systeme werden in automatisierten Industrieanlagen verwendet. Inzwischen sind viele Schwachstellen gepatcht.

Die betroffenen Systeme werden häufig in automatisierten Industrieanlagen verwendet. Kaspersky empfiehlt, diese Systeme zu überprüfen.
Die betroffenen Systeme werden häufig in automatisierten Industrieanlagen verwendet. Kaspersky empfiehlt, diese Systeme zu überprüfen.
(Bild: gemeinfrei / Pixabay)

Sicherheitsexperten von Kaspersky haben eine Reihe von unbekannten sowie bekannten, aber nicht gepatchten Schwachstellen in Virtual-Network-Computing-Systemen (VCN), die Open Source sind, entdeckt. Theoretisch wäre damit eine Code-Ausführung auf mehr asl 600.000 Servern aus der Ferne möglich. Kaspersky hat die Schwachstellen an die betreffenden Entwickler gemeldet.

Zur detaillierten Untersuchung

Was sind VCN-Systeme?

VNC-Systeme kommen zum Einsatz, um den Fernzugriff von Endgeräten auf andere durch die Verwendung des Protokolls Remote Frame Buffer (RFB) zu ermöglichen. Aufgrund der Verfügbarkeit auf mehreren Plattformen und unterschiedlicher Open-Source-Versionen haben sich VNC-Systeme zu populären Desktop-Sharing-Tools entwickelt. Sie werden häufig in automatisierten Industrieanlagen zur Fernsteuerung von Systemen eingesetzt; etwa 32 Prozent der Industrienetzwerkcomputer verfügen über eine Art Fernverwaltungstool wie VNC. Schwachstellen innerhalb solcher Systeme können zu Unterbrechungen komplexer Produktionsprozesse und in der Konsequenz zu erheblichen finanziellen Einbußen führen.

Die Forscher von Kaspersky haben folgende VNC-Systeme untersucht:

Das Ergebnis: Viele unbekannte und nicht gepatchte Schwachstellen

Obwohl diese bereits in der Vergangenheit von anderen Forschern untersucht wurden, fanden sich noch unbekannte und nicht gepatchte Schwachstellen. Insgesamt wurden 37 CVE-Nummern für Schwachstellen vergeben, die sowohl auf Client- als auch Server-Seite gefunden wurden.

Einige davon ermöglichen es, einen Remote Code auszuführen, was Cyberkriminellen die Möglichkeit gibt, Änderungen an den infizierten Systemen vorzunehmen. Viele der serverseitigen Schwachstellen können erst nach der Passwort-Authentifizierung ausgenutzt werden und einige Server erlauben es nicht, einen passwortfreien Zugriff einzurichten.

Schwachstellen sind für Angreifer einfach zu entdecken

Ich war über die Einfachheit der entdeckten Schwachstellen, insbesondere angesichts ihrer signifikanten Lebensdauer, sehr erstaunt.

Pavel Cheremushkin, Kaspersky ICS CERT Vulnerability Researcher

Pavel Cheremushkin von Kaspersky ist schockiert über die Einfachheit der Schwachstellen und hält fest: „Angreifer hätten diese deshalb im Grunde schon vor langer Zeit entdecken und ausnutzen können.“ Außerdem seien einige der Schwachstellen in vielen Open-Source-Projekten vorhanden und blieben auch nach einem Refactoring der Codebasis, die anfälligen Code enthielt, erhalten. „Wir bei Kaspersky halten es für besonders wichtig, eine solche Vielzahl von Projekten mit Altlasten an Schwachstellen systematisch zu überprüfen und potenzielle Gefahren aufzudecken.“

Kaspersky hat die Details über die entdeckten Schwachstellen an die Entwickler weitergegeben, fast alle Schwachstellen wurden bereits gepatcht.

Die Security-Experten von Kaspersky geben Tipps, um den Risiken anfälliger VNC-Tools zu begegnen:

  • Die Nutzung von Tools zur Remote-Verwaltung von Anwendungen und Systemen überprüfen, die im industriellen Netzwerk eingesetzt werden. Alle mit der ICS-Software mitgelieferten Fernverwaltungstools, die nicht für den industriellen Prozess erforderlich sind, sollten entfernt werden. Detaillierte Anweisungen finden Anwender in der entsprechenden Softwaredokumentation.
  • Jeder industrielle Prozess sollte genau überwacht und protokolliert werden. Fernzugriffslösungen sollten standardmäßig deaktiviert und nur auf Anfrage und lediglich für begrenzte Zeiträume aktiv sein.
  • Betriebssysteme, Anwendungssoftware und Sicherheitslösungen sollten stets auf dem neuesten technologischen Stand sein.
  • Verbindungen zu unbekannten VNC-Servern sollten vermieden werden, starke Passwörter bieten Schutz.
  • Dedizierte Sicherheitslösungen für industrielle Automationssysteme verwenden.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46255352)