Un nouveau rapport révèle que Kaspersky quatre communes, open source VNC (informatique de réseau virtuel) des applications de bureau à distance contiennent 37 les vulnérabilités qui pourraient permettre aux attaques à distance.
Quatre applications VNC open source commune contiennent 37 vulnérabilités
Le problème avec les applications de bureau est qu'ils peuvent fournir un point d'entrée dans l'infrastructure d'une entreprise, qui devient encore plus facile si les outils d'accès à distance sont vulnérables, les chercheurs ont souligné dans leur rapport.
La connaissance de ces risques, les chercheurs ont décidé de se pencher sur quatre open source commune des applications VNC:
- LibVNC - une bibliothèque, à savoir, un ensemble d'extraits de code ready-made sur lequel les développeurs de base peuvent créer des applications; LibVNC est utilisé, par exemple, dans les systèmes qui permettent des connexions à distance aux machines virtuelles, ainsi que les appareils mobiles iOS et Android.
- TightVNC 1.X - une application recommandée par les fournisseurs de systèmes d'automatisation industrielle pour la connexion à une interface homme-machine (IHM).
- TurboVNC - une mise en œuvre VNC pour le travail à distance avec graphique, 3D, et des objets vidéo.
- UltraVNC - une variante VNC construit spécifiquement pour Windows; il est également largement utilisé dans la production industrielle pour la connexion à IHMs.
Sans surprise, les experts ont découvert des vulnérabilités dans les quatre implémentations. Une vulnérabilité a été découverte dans TurboVNC, quatre TightVNC, dans au LibVNC, et 22 en UlraVNC, ce qui rend le total de 37 vulnérabilités.
Tous les problèmes découlent de l'utilisation de la mémoire incorrecte, et leur exploitation pourrait entraîner des dysfonctionnements et des attaques par déni de service. Cependant, dans un scénario pire, les attaquants pourraient être en mesure d'obtenir un accès non autorisé aux informations sur le système, ou même déposer des logiciels malveillants.
Les bugs ont été signalés aux développeurs des bibliothèques logicielles respectives et des applications, et la plupart d'entre eux ont déjà été fixés. Cependant, les développeurs de TightVNC ne prennent pas en charge plus la première version de leur système, et par conséquent, ils ne fixent pas les vulnérabilités. "Ceci est une raison de poids à envisager de passer à une autre plate-forme VNC,» Les chercheurs.
difficulté supplémentaire peut provenir du fait que le code vulnérable est utilisé dans de nombreux projets open-source, et tous les développeurs mettent en œuvre les mises à jour bibliothèque. Ces applications resteront vulnérables à moins que leurs développeurs mettent à jour le code vulnérable, qui ne peut se produire à tout.
Plus d'informations sur les vulnérabilités est disponible en Le rapport ICS CERT de Kaspersky.
Bien que l'objectif de la recherche était sur l'utilisation de VNC dans les entreprises industrielles, les menaces sont pertinentes à toute entreprise qui déploie cette technologie, Kaspersky note.