Analyse offenbart Memory-Corruption-Schwachstellen in Open-Source-Projekten
Kaspersky-Forscher haben im Rahmen einer Analyse von VNC (Virtual Network Computing)-Systemen, die Open Source sind, eine Reihe unbekannter sowie bekannter aber nicht gepatcher Schwachstellen aufgedeckt [1]. Damit wäre eine Code-Ausführung auf mehr als 600.000 Servern [2] aus der Ferne möglich. Kaspersky hat die Schwachstellen an die betreffenden Entwickler gemeldet.
VNC-Systeme kommen zum Einsatz, um den Fernzugriff von Endgeräten auf andere durch die Verwendung des Protokolls Remote Frame Buffer (RFB) zu ermöglichen. Aufgrund der Verfügbarkeit auf mehreren Plattformen und unterschiedlicher Open-Source-Versionen haben sich VNC-Systeme zu populären Desktop-Sharing-Tools entwickelt. Sie werden etwa häufig in automatisierten Industrieanlagen zur Fernsteuerung von Systemen eingesetzt; etwa 32 Prozent der Industrienetzwerkcomputer verfügen über eine Art Fernverwaltungstool wie VNC. Schwachstellen innerhalb solcher Systeme können zu Unterbrechungen komplexer Produktionsprozesse und in der Konsequenz zu erheblichen finanziellen Einbußen führen.
Die Forscher von Kaspersky haben die VNC-Systeme LibVNC [3], UltraVNC [4], TightVNC 1.x [5] sowie TurboVNC [6] untersucht. Das Ergebnis: Obwohl diese bereits in der Vergangenheit von anderen Forschern untersucht wurden, fanden sich noch unbekannte und nicht gepatchte Schwachstellen. Insgesamt wurden 37 CVE-Nummern für Schwachstellen vergeben, die sowohl auf Client- als auch Server-Seite gefunden wurden.
Einige davon ermöglichen es, einen Remote Code auszuführen, was Cyberkriminellen die Möglichkeit gibt, Änderungen an den infizierten Systemen vorzunehmen. Viele der serverseitigen Schwachstellen können erst nach der Passwort-Authentifizierung ausgenutzt werden und einige Server erlauben es nicht, einen passwortfreien Zugriff einzurichten.
Regelmäßige Überprüfungen dringend erforderlich
„Ich war über die Einfachheit der entdeckten Schwachstellen, insbesondere angesichts ihrer signifikanten Lebensdauer, sehr erstaunt“, betont Pavel Cheremushkin, Kaspersky ICS CERT Vulnerability Researcher. „Angreifer hätten diese deshalb im Grunde schon vor langer Zeit entdecken und ausnutzen können. Darüber hinaus sind einige der Schwachstellen in vielen Open-Source-Projekten vorhanden und bleiben auch nach einem Refactoring der Codebasis, die anfälligen Code enthielt, erhalten. Wir bei Kaspersky halten es für besonders wichtig, eine solche Vielzahl von Projekten mit Altlasten an Schwachstellen systematisch zu überprüfen und potenzielle Gefahren aufzudecken, weswegen wir regelmäßig solche Analysen durchführen.“
Kaspersky hat die Details über die entdeckten Schwachstellen an die Entwickler weitergegeben, fast alle Schwachstellen wurden bereits gepatcht.
Kaspersky-Tipps um den Risiken anfälliger VNC-Tools zu begegnen
- Die Nutzung von Tools zur Remote-Verwaltung von Anwendungen und Systemen überprüfen, die im industriellen Netzwerk eingesetzt werden. Alle mit der ICS-Software mitgelieferten Fernverwaltungstools, die nicht für den industriellen Prozess erforderlich sind, sollten entfernt werden. Detaillierte Anweisungen hierzu sind in der entsprechenden Softwaredokumentation zu finden.
- Jeder industrielle Prozess sollte genau überwacht und protokolliert werden. Fernzugriffslösungen sollten standardmäßig deaktiviert und nur auf Anfrage und lediglich für begrenzte Zeiträume aktiv sein.
- Betriebssysteme, Anwendungssoftware und Sicherheitslösungen sollten stets auf dem neuesten technologischen Stand sein.
- Verbindungen zu unbekannten VNC-Servern sollten vermieden werden, starke Passwörter bieten Schutz.
- Dedizierte Sicherheitslösungen für industrielle Automationssysteme wie Kaspersky Industrial Cybersecurity [7] verwenden.
Die vollständige Analyse zu VNC-Schwachstellen ist verfügbar unter https://ics-cert.kaspersky.com/reports/2019/11/22/vnc-vulnerability-research/
[1] https://ics-cert.kaspersky.com/reports/2019/11/22/vnc-vulnerability-research/
[2] https://www.shodan.io/search?query=%22rfb%22
[7] https://www.kaspersky.de/enterprise-security/industrial
Nützliche Links:
- Kaspersky-Analyse zu VNC-Schwachstellen: https://ics-cert.kaspersky.com/reports/2019/11/22/vnc-vulnerability-research/
- Kaspersky ICS CERT: https://ics-cert.kaspersky.com/
- Kaspersky Industrial Cybersecurity: https://www.kaspersky.de/enterprise-security/industrial
Über Kaspersky ICS CERT
Das Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) ist ein weltweites Projekt, das von Kaspersky im Jahr 2016 ins Leben gerufen wurde, um die Bemühungen von Anbietern von Automatisierungssystemen, Eigentümern und Betreibern von Industrieanlagen sowie IT-Sicherheitsforschern zum Schutz von Industrieunternehmen vor Cyberangriffen zu koordinieren. Der Fokus von Kaspersky ICS CERT liegt darauf, potenzielle und bestehende Bedrohungen für industrielle Automatisierungssysteme und das Industrial Internet of Things (IIoT) zu identifizieren. Seit der Gründung identifizierte das Team mehr als 200 kritische Sicherheitslücken in Produkten von großen weltweiten ICS-Anbietern. Kaspersky ICS CERT ist aktives Mitglied und Partner führender internationaler Organisationen, die Empfehlungen zum Schutz von Industrieunternehmen vor Cyberbedrohungen erarbeiten. Weitere Informationen unter ics-cert.kaspersky.com.
