Kritikus sebezhetőségektől hemzseg a VNC

Súlyos biztonsági hibákra derült fény a különféle VNC-alkalmazások esetében. Most különösen célszerű odafigyelni e szoftverek védelmére.
 

A Kaspersky ICS CERT biztonsági szakértői úgy határoztak, hogy alaposan szemügyre veszik a VNC-alapú technológiákat, és azok kapcsán sérülékenységvizsgálatokat folytatnak le. Erre azért volt szükség, mert a távoli menedzsmentet elősegítő VNC széles körben használatos, és nemcsak a kisebb cégek alkalmazzák előszeretettel, hanem a nagyobb vállalatoknál is gyakran feltűnik e technológia.
 
A vizsgálatok nem voltak hiábavalók, és meglehetősen aggasztó eredménnyel zárultak. A biztonsági kutatók ugyanis 37 sérülékenységet tártak fel, amelyek között akad olyan is, amely 20 éve létezik. Az elemzés során a következő szoftverek kerültek górcső alá:

• LibVNC
• TightVNC 1.x
• TurboVNC
• UltraVNC

 
A VNC szoftverek széles körű elterjedése annak is köszönhető, hogy megannyi operációs rendszerhez elérhetővé váltak az idők során. Így például Windows mellett, Linux, iOS és Android kompatibilis kiadások is léteznek. Alapvetően két összetevőből épülnek fel. Egy szerver és egy kliens komponensből, amelyek biztosítják a számítógépek távolról történő vezérelhetőségét.
 
Mekkora a baj?
 
A Kaspersky kutatói szerint a felfedezett 37 darab sebezhetőség zöme memóriakezelési rendellenességekre vezethető vissza. A kockázatok listáján megtalálható a szolgáltatásmegtagadás, a jogosulatlan rendszerhozzáférés és a jogosulatlan kódfuttatás lehetősége is. Egyes esetekben védelmi mechanizmusok (például az ASLR) megkerülésére is mód adódhat.
 
A vizsgálatok szerint jelenleg több mint 600 ezer olyan számítógép érhető el az internet felől, amelyek sebezhető VNC-vel rendelkeznek. Vagyis a kiszolgáltatott rendszerek száma nagyon magas. Azt pedig egyelőre megbecsülni is nehéz, hogy a külvilág számára láthatatlan (csak helyi hálózatokból elérhető) telepítések száma mennyi lehet.
 
A biztonság cég jelezte, hogy a kockázatokat leginkább az csökkenti, hogy a sérülékenységek zöme nem használható ki anélkül, hogy a támadó előzőleg ne végezne érvényes authentikációt. Vagyis nagyon sok múlik a VNC-kapcsolatokhoz beállított jelszavak erősségén is.
 
Mit tegyünk?
 
Mivel egyelőre a VNC-szoftverek fejlesztői még dolgoznak a frissítéseken, ezért nem minden esetben lehet hatékonyan kezelni a sebezhetőségeket. (A TightVNC csapata jelezte, hogy az 1.x verziókhoz valószínűleg nem is fog már hibajavításokat közzétenni, csak a 2.x-es (kereskedelmi) változatokat támogatja.)
 
A Kaspersky a következőket javasolja:

• Csak a valóban szükséges helyeken fussanak VNC-alkalmazások.
• A VNC-alapú hozzáféréseket a lehető legszigorúbban korlátozni kell (főleg az internet felől).
• Erős jelszavak alkalmazása a VNC-kapcsolatokhoz.
• Csak megbízható VNC-szerverekhez való kapcsolódás.
• Az elérhetővé váló biztonsági frissítések rendszeres telepítése.