Crédit : Dreamstime
Une nouvelle étude de Cyble sur les risques et la cybersécurité a reconnu un pic d’attaques ciblant le Virtual Network Computing (VNC) – un système de partage de bureau visuel qui utilise la procédure Remote Frame Buffer (RFB) pour contrôler une autre machine à distance – dans des secteurs d’installations importants.
En analysant les données de son Global Sensor Intelligence (CGSI), les scientifiques de Cyble ont observé un pic d’attaques sur le port 5900 (le port par défaut pour VNC) entre le 9 juillet et le 9 août 2022. La plupart des attaques provenaient des Pays-Bas, de la Russie et de l’Ukraine, selon l’entreprise, et mettre en évidence les risques de VNC exposés dans une infrastructure cruciale.
VNC exposés mettant en danger ICS, biens fréquemment distribués sur les forums en ligne de cybercriminalité
Selon un article de blog détaillant les conclusions de Cyble, les organisations qui exposent les VNC en ligne en omettant de rendre possible l’authentification élargit le champ d’action des agresseurs et augmente la probabilité d’occurrences cybernétiques. Il a découvert plus de 8 000 instances VNC exposées avec une authentification handicapée.
Cyble a également constaté que les biens exposés connectés via des VNC sont fréquemment proposés, achetés et distribués sur les forums et le marché en ligne des délits cybercriminels.
« Bien que le nombre de VNC exposées soit faible par rapport aux années précédentes, il convient de noter que les VNC exposés découverts au cours de l’analyse appartiennent à différentes organisations qui relèvent d’installations importantes telles que des usines de traitement de l’eau, des usines de fabrication, des centres de recherche », a ajouté la société.
Les chercheurs de Cyble ont pu limiter de nombreux systèmes d’interface utilisateur de dispositif humain (IHM), systèmes de contrôle de supervision et d’acquisition de données (SCADA) et postes de travail, reliés via VNC et exposés en ligne.
Un agresseur accédant à un panneau de contrôle « peut contrôler les paramètres prédéfinis de l’opérateur et peut modifier la valeur du niveau de température, du débit, de la pression, etc., ce qui peut augmenter la tension sur l’équipement, entraînant des dommages physiques sur le site et potentiellement à proximité. opérateurs », a composé Cyble.
Les systèmes SCADA exposés pourraient également être gérés par un agresseur, qui pourrait également acquérir des informations sur des renseignements personnels et sensibles qui pourraient être davantage utilisés pour compromettre l’ensemble de l’environnement ICS, a-t-il poursuivi.
« L’exposition de systèmes comme celui-ci permet aux attaquants de cibler une partie spécifique de l’environnement et de déclencher une chaîne d’événements en manipulant de nombreux processus impliqués dans le centre ciblé. »
Vulnérable VNC, une cible facile pour les agresseurs
S’adressant à CSO, John Bambenek, principal chasseur de danger chez Netenrich, a déclaré que VNC permet l’accès à un fabricant de cibles et qu’il est terriblement inadéquat des outils pour sécuriser ces appareils, même lorsque des mots de passe sont utilisés.
« Les dommages qui peuvent être déclenchés dépendent de l’organisation et des autorisations des utilisateurs sous lesquelles VNC s’exécute. Dans un exemple, un système du ministère de la santé a été exposé, ce qui implique que des informations personnelles sur la santé sont exposées », déclare-t-il. .
Tim Silverline, vice-président de la sécurité chez Gluware, est d’accord. « Les services de bureau à distance tels que VNC sont quelques-unes des cibles les plus faciles à reconnaître pour les pirates en raison du fait qu’ils s’exécutent sur des ports par défaut largement connus et qu’il existe de nombreux outils pour à la fois rechercher ces services et forcer brutalement le mots de passe de ceux qu’ils découvrent », informe-t-il CSO.
Toute organisation qui exécute des services d’accès à distance publics confrontés à une authentification non configurée met essentiellement en place l’indication de bienvenue pour les adversaires, ajoute Rick Holland, CISO, vice-président président technique chez Digital Shadows.
« Découvrir ces types de services ouverts est trivial, donc n’importe quel acteur, des scénaristes aux acteurs sophistiqués, pourrait utiliser ces mauvaises configurations pour obtenir un accès préliminaire à l’environnement. »
Parmi les Les défis liés à la protection des environnements d’infrastructure cruciaux sont que de nombreux défenseurs supposent qu’il existe un espace d’air séparant les réseaux informatiques traditionnels des réseaux ICS, déclare Holland.
« Les réseaux segmentés ne sont pas toujours localisés et les protecteurs doivent être exposés en temps réel aux services publics. Ces services doivent avoir un accès réseau limité avec une authentification forte autorisée, consistant en une authentification basée sur des certificats. «
Silverline recommande aux entreprises de limiter leur exposition Web VNC et d’imposer une authentification multifacteur (MFA) pour toute connectivité à distance à un réseau, consistant en un VPN ou directement via des procédures telles que RDP, VNC ou SSH . « Cela évite que les efforts de force brute ne réussissent et augmente considérablement la difficulté d’un pirate à accéder au réseau. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
