I ricercatori di Cyble hanno scoperto oltre 9.000 server VNC accessibili da Internet senza autenticazione. L’assenza di password, dovuta a negligenza o scelta intenzionale, permette ai malintenzionati di prendere il controllo del sistema da remoto ed eseguire qualsiasi attività pericolosa. Nel caso dei sistemi di controllo industriali, le conseguenze potrebbero essere disastrose.
Pericolo VNC per le infrastrutture critiche
VNC (Virtual Network Computing) è un sistema che consente la condivisione del desktop attraverso il protocollo RFB (Remote Frame Buffer). Può essere sfruttato per controllare un computer da remoto e trasmettere gli input di tastiera e mouse. Gli esperti di Cyble hanno rilevato oltre 9.000 istanze VNC esposte su Internet e oltre 6 milioni di attacchi in un mese sulla porta 5900 predefinita.
Un hacker è riuscito ad accedere al computer di un dipendente del Ministero della Salute in Russia, senza nessuna autenticazione. Ha potuto quindi accedere a tutti i file e individuare gli altri computer collegati alla stessa rete locale. Un cybercriminale potrebbe rubare dati riservati e installare un ransomware.
Alcuni dei server VNC accessibili da Internet sono utilizzati per il controllo dei sistemi industriali (HMI e SCADA). Un malintenzionato potrebbe modificare da remoto i vari parametri, come temperatura e pressione, causando danni irreparabili sia all’infrastruttura che alle persone nelle vicinanze.
Sui forum del dark web ci sono numerosi post di acquisto e vendita degli accessi VNC. Si possono anche trovare elenchi di server non protetti (senza password) o protetti con password deboli. I sistemi di controllo industriale non devono mai essere collegati ad Internet. Se proprio necessario è preferibile proteggerli con una VPN.