Llegamos a ustedes gracias a:



Alertas de Seguridad

Las instancias VNC expuestas

Amenazan las infraestructuras críticas

[16/08/2022] Una nueva investigación de la empresa de inteligencia de amenazas y ciberseguridad Cyble ha identificado un pico de ataques dirigidos a la computación en red virtual (VNC, por sus siglas en inglés) -un sistema gráfico de escritorio compartido que utiliza el protocolo Remote Frame Buffer (RFB) para controlar otra máquina de forma remota- en sectores de infraestructuras críticas. Analizando los datos de su Global Sensor Intelligence (CGSI), los investigadores de Cyble observaron un pico de ataques al puerto 5900 (el puerto por defecto para VNC) entre el 9 de julio y el 9 de agosto del 2022. La mayoría de los ataques se originaron en los Países Bajos, Rusia y Ucrania, según la empresa, y ponen de manifiesto los riesgos de la VNC expuesta en las infraestructuras críticas.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Los VNC expuestos ponen en riesgo los ICS

Según una publicación en el blog que detalla los hallazgos de Cyble, las organizaciones que exponen los VNC a través de Internet, al no habilitar la autenticación amplían el alcance de los atacantes y aumentan la probabilidad de incidentes cibernéticos. Se detectaron más de ocho mil instancias VNC expuestas con la autenticación desactivada. Cyble también descubrió que los activos expuestos conectados a través de VNC se venden, compran y distribuyen con frecuencia en los foros y el mercado de la ciberdelincuencia.

"Aunque el recuento de VNCs expuestos es bajo en comparación con años anteriores, hay que tener en cuenta que los VNCs expuestos encontrados durante el tiempo de análisis pertenecen a varias organizaciones que entran dentro de las infraestructuras críticas, como plantas de tratamiento de agua, plantas de fabricación, instalaciones de investigación", añadió la firma. Los investigadores de Cyble lograron reducir varios sistemas de interfaz hombre-máquina (HMI), sistemas de control y adquisición de datos (SCADA) y estaciones de trabajo, conectados a través de VNC y expuestos a través de Internet.

Un atacante que acceda a un cuadro de mandos "puede manipular los ajustes predefinidos del operador y puede cambiar los valores de temperatura, caudal, presión, etc., lo que podría aumentar la tensión en el equipo, provocando daños físicos en el lugar y potencialmente en los operadores cercanos", escribió Cyble. Los sistemas SCADA expuestos también podrían ser operados por un atacante, que además podría obtener información confidencial y sensible que puede ser utilizada para comprometer todo el entorno ICS, continuó. "Exponer los sistemas de esta manera permite a los atacantes apuntar a un componente particular dentro del entorno e iniciar una cadena de eventos manipulando varios procesos involucrados en la instalación objetivo".

El VNC vulnerable es un objetivo fácil para los atacantes

En declaraciones a CSO, John Bambenek, principal cazador de amenazas de Netenrich, afirma que VNC permite el acceso a una máquina objetivo y tiene herramientas lamentablemente insuficientes para proteger esas máquinas, incluso cuando se utilizan contraseñas. "Los daños que se pueden causar dependen de la organización y de los permisos de los usuarios con los que se ejecuta VNC. En un ejemplo, se expuso un sistema del Ministerio de Sanidad, lo que significa que se expone información sanitaria privada", afirma.

Tim Silverline, vicepresidente de seguridad de Gluware, coincide. "Los servicios de escritorio remoto, como VNC, son uno de los objetivos más fáciles de identificar para los hackers, ya que operan en puertos predeterminados bien conocidos y existen muchas herramientas para buscar estos servicios y forzar las contraseñas de los que encuentran", señaló.

Cualquier organización que ejecute servicios de acceso remoto de cara al público con autenticación no configurada, está esencialmente poniendo el cartel de bienvenida a los adversarios, añadió Rick Holland, CISO, vicepresidente de estrategia de Digital Shadows. "Encontrar este tipo de servicios abiertos es trivial, por lo que cualquier actor, desde los script kiddies hasta los actores sofisticados, podría aprovechar estas desconfiguraciones para obtener el acceso inicial al entorno".

Uno de los retos de la defensa de los entornos de infraestructuras críticas es que muchos defensores asumen que hay un espacio de aire que separa las redes de TI tradicionales de las redes ICS, sostiene Holland. "Las redes segmentadas no siempre existen, y los defensores deben tener visibilidad en tiempo real de los servicios de cara al público. Estos servicios deben tener restringido el acceso a la red con una autenticación fuerte habilitada, incluyendo la autenticación basada en certificados".

Silverline aconseja a las empresas que limiten su exposición a Internet mediante VNC y que exijan la autenticación multifactor (MFA) para cualquier conectividad remota a una red, incluso a través de VPN o directamente mediante protocolos como RDP, VNC o SSH. "Esto evita que los intentos de fuerza bruta tengan éxito y aumenta sustancialmente la dificultad de un hacker para acceder a la red".