Plus de 9 000 serveurs VNC accessibles sur Internet, sans mot de passe !
Des chercheurs en sécurité ont découvert au moins 9 000 serveurs VNC exposés sur Internet et accessibles sans authentification ! Un attaquant qui se connecte un serveur VNC non protégé peut utiliser cet accès pour accéder facilement au réseau interne.
Pour rappel, VNC (Virtual Network Computing) est un système qui permet de prendre le contrôle à distance sur une machine, en reposant sur une connexion client - serveur. Même si aujourd'hui on entend beaucoup parler de TeamViewer, AnyDesk, etc.... VNC reste une solution très utilisée et il existe de nombreux logiciels pour prendre en charge cette solution (UltraVNC, par exemple). Attention tout de même, VNC ne s'appuie pas sur un principe d'ID avec des serveurs relais, mais plutôt sur des connexions directes où l'on précise l'adresse IP (ou le nom) du serveur sur lequel on souhaite se connecter.
Lorsqu'un appareil est équipé d'un serveur VNC et que ce dernier n'est pas bien configuré, cela expose directement le serveur en question. S'il n'y a pas de mot de passe, que ce soit intentionnel ou non, cela représente un risque important d'autant plus si la machine est exposée sur Internet. En fonction du système qui se cache derrière cet accès VNC, les conséquences peuvent être désastreuses... Et les résultats de cette enquête menée par les chercheurs en sécurité de Cyble ne sont pas rassurants.
Des systèmes industriels exposés et accessibles via VNC !
En effet, des chercheurs de l'entreprise Cyble ont analysé le Web à la recherche d'instances VNC accessible sur le port par défaut (5900), sans mot de passe et ont trouvé plus de 9 000 serveurs accessibles ! Dans le top 5 des pays avec le plus d'instances non protégées, nous avons la Chine, la Suède, les États-Unis, l'Espagne ainsi que le Brésil. D'après la carte mise en ligne, il y a également quelques serveurs en France.
Le pire dans tout ça, c'est que certaines instances VNC exposées sur Internet donnent accès directement à des systèmes de contrôle industriel ! Dans son rapport, Cyble, explique : "Au cours de l'enquête, les chercheurs ont pu identifier plusieurs systèmes d'interface homme-machine (IHM), des systèmes de contrôle et d'acquisition de données (SCADA), des stations de travail, etc... connectées via VNC et exposés à Internet". Dans la pratique, ces accès donnent réellement accès au contrôle des appareils puisque dans l'un des cas explorés, l'accès VNC a conduit à une IHM permettant de contrôler des pompes sur un système SCADA distant dans une unité de fabrication.
Les cyberattaquants sont très friands d'accès VNC : "Les attaquants peuvent abuser de VNC pour effectuer des actions malveillantes en tant qu'utilisateurs connectés, comme ouvrir des documents, télécharger des fichiers et exécuter des commandes arbitraires", a déclaré un chercheur de Cyble au site Bleeping Computer. L'accès VNC est un point d'entrée idéal, d'autant plus qu'une fois connecté en VNC, on est déjà dans une session active au niveau du système d'exploitation.
Pour sécuriser son instance, il convient d'utiliser une solution VNC fiable, qui supporte les mots de passe longs et complexes (certaines solutions limitent la prise en charge à 8 caractères), car oui le mot de passe est indispensable, et surtout il ne faut pas exposer directement un serveur VNC sur Internet ! Un accès via VNC pourquoi pas, mais au travers d'une connexion VPN.
