En ny Kaspersky rapport afslører, at fire fælles, open source VNC (Virtual Network Computing) remote desktop apps indeholder 37 sårbarheder, der kunne gøre det muligt for angreb,.
Fire fælles open source VNC apps indeholder 37 sårbarheder
Spørgsmålet med desktop apps er, at de kan give en indgang til en virksomheds infrastruktur, der bliver endnu lettere, hvis de fjernadgang værktøjer er sårbare, forskerne påpegede i deres rapport.
Kendskab til disse risici, forskerne besluttet at undersøge fire fælles open source VNC apps:
- LibVNC - et bibliotek, dvs., et sæt af færdige kode her på hvilke grundlag udviklere kan skabe apps; LibVNC anvendes, for eksempel, i systemer, der tillader fjernforbindelser til virtuelle maskiner, samt iOS- og Android mobilenheder.
- TightVNC 1.X - en ansøgning anbefalet af leverandører af industriel automatisering systemer til tilslutning til en menneske-maskine-interface (HMI).
- TurboVNC - en VNC implementering til remote arbejde med grafisk, 3D, og video objekter.
- UltraVNC - en VNC-variant bygget specielt til Windows; det er også almindeligt anvendt i industriel produktion for tilslutning til HMI'er.
Ikke overraskende, eksperterne opdagede sårbarheder i alle fire implementeringer. En sårbarhed blev opdaget i TurboVNC, fire i TightVNC, ti i LibVNC, og 22 i UlraVNC, som gør alt 37 sårbarheder.
Alle spørgsmål stammer fra forkert brug af hukommelse, og deres udnyttelse kan føre til fejlfunktioner og denial-of-service-angreb. Men, i en værre scenarie, angribere kunne være i stand til at få uautoriseret adgang til oplysninger om systemet, eller endda falde malware.
De fejl blev rapporteret til udviklerne af de respektive software biblioteker og apps, og de fleste af dem er allerede blevet fastsat. Men, udviklerne af TightVNC understøtter ikke den første version af deres system længere, og derfor har de ikke fastsætte sårbarheder. "Dette er en vægtig grund til at overveje at flytte til en anden VNC-platform,”Siger forskerne.
Yderligere problemer kan komme fra det faktum, at sårbare kode bruges i mange open source-projekter, og ikke alle udviklere gennemfører bibliotekets opdateringer. Sådanne apps vil forblive sårbar medmindre deres udviklere opdatere den sårbare kode, der ikke kan ske på alle.
Mere information om sårbarhederne findes i Kasperskys rapport ICS CERT.
Selvom fokus i forskningen var om brugen af VNC i industrivirksomheder, truslerne er relevante for enhver virksomhed, der udruller denne teknologi, Kaspersky bemærkede.