Setki publicznie dostępnych serwerów VNC ujawniają środowiska ICS/OT - Security Bez Tabu

Setki publicznie dostępnych serwerów VNC ujawniają środowiska ICS/OT

Cybersecurity news

Wprowadzenie do problemu / definicja

Bezpośrednie wystawianie usług zdalnego dostępu do internetu pozostaje jednym z najpoważniejszych błędów konfiguracyjnych w środowiskach przemysłowych. Dotyczy to przede wszystkim protokołów RDP i VNC, które są powszechnie używane do administracji systemami, ale nie powinny być osiągalne z sieci publicznej bez dodatkowych warstw ochrony.

Najnowsze ustalenia badaczy pokazują, że problem nie ogranicza się do klasycznych stacji roboczych czy serwerów administracyjnych. W wielu przypadkach publicznie dostępne sesje VNC prowadzą bezpośrednio do interfejsów HMI i paneli sterowania wykorzystywanych w środowiskach ICS/OT, a część z nich nie wymaga żadnego uwierzytelniania.

W skrócie

  • W internecie nadal widoczne są miliony systemów udostępniających RDP i VNC.
  • Po odfiltrowaniu honeypotów oraz infrastruktury dostawców pozostają dziesiątki tysięcy serwerów możliwych do powiązania z konkretnymi sektorami.
  • Blisko 60 tysięcy serwerów VNC działało bez włączonego uwierzytelniania.
  • W 670 przypadkach nieuwierzytelniony dostęp prowadził bezpośrednio do paneli ICS/OT.
  • Dodatkowe zagrożenie stanowią starsze systemy Windows, podatności takie jak BlueKeep oraz aktywność grup wykorzystujących exposed remote access do sabotażu, rekonesansu i ransomware.

Kontekst / historia

Usługi zdalnego dostępu od lat stanowią jeden z najczęściej wykorzystywanych wektorów wejścia do sieci firmowych i przemysłowych. W środowiskach OT problem jest szczególnie istotny, ponieważ granica między IT i OT bywa nieostra, a rozwiązania wdrażane tymczasowo na potrzeby utrzymania lub serwisu często pozostają aktywne znacznie dłużej, niż zakładano.

W ostatnich latach badacze wielokrotnie zwracali uwagę na publicznie dostępne interfejsy zarządzające w sektorach produkcji, energetyki, wodociągów, ochrony zdrowia i usług. Zjawisko to wpisuje się w szerszy problem architektur projektowanych przede wszystkim pod kątem dostępności operacyjnej, a nie odporności na atak zewnętrzny. W efekcie błędy higieny bezpieczeństwa, takie jak ekspozycja RDP lub VNC, stają się bezpośrednim ryzykiem dla procesów fizycznych.

Analiza techniczna

Technicznie problem ma kilka warstw. Pierwszą jest sama skala ekspozycji. Dane telemetryczne i wyniki skanów wskazują na około 1,8 mln publicznie dostępnych serwerów RDP oraz około 1,6 mln serwerów VNC. Choć część z nich należy do honeypotów, operatorów telekomunikacyjnych i dostawców hostingu, po przeprowadzeniu klasyfikacji nadal pozostaje około 91 tys. serwerów RDP i 29 tys. serwerów VNC przypisanych do konkretnych branż.

Drugą warstwą jest błędna konfiguracja uwierzytelniania. VNC od lat bywa wdrażany w prosty sposób, często z domyślnymi ustawieniami lub bez silnej kontroli dostępu. W analizowanym przypadku niemal 60 tys. serwerów VNC działało bez uwierzytelniania, co oznacza możliwość uzyskania interaktywnego dostępu do pulpitu lub panelu operatorskiego bez potrzeby łamania haseł czy obchodzenia MFA.

Trzecia warstwa dotyczy charakteru systemów docelowych. Wśród wystawionych zasobów znalazły się nie tylko stacje robocze i hosty administracyjne, ale również interfejsy HMI, panele nadzoru i inne komponenty wykorzystywane w ICS/OT. W 670 przypadkach niechroniony VNC prowadził bezpośrednio do paneli przemysłowych, co może umożliwić obserwację procesu, zmianę parametrów pracy, ingerencję w harmonogramy, zatrzymanie operacji albo przygotowanie dalszego ruchu bocznego w sieci OT.

Czwartą warstwą jest stan oprogramowania. Część systemów korzystała z wersji Windows po zakończeniu wsparcia. Ponad 19 tys. serwerów RDP miało być narażonych na BlueKeep, czyli znaną podatność umożliwiającą zdalne wykonanie kodu w określonych warunkach. Połączenie publicznego RDP, nieaktualnego systemu i słabej segmentacji nadal tworzy atrakcyjną ścieżkę wejścia dla operatorów ransomware oraz aktorów APT.

Nie bez znaczenia pozostaje również kontekst operacyjny. Badacze odnotowali zainteresowanie wykorzystaniem VNC przez grupy powiązane z Rosją w działaniach przeciwko systemom OT. Jednocześnie cyberprzestępcy nastawieni na zysk nadal traktują exposed remote access jako wygodny punkt wejścia do ataków ransomware i rekonesansu przed dalszą kompromitacją środowiska.

Konsekwencje / ryzyko

Skutki tego typu ekspozycji są w środowiskach przemysłowych poważniejsze niż w typowej sieci biurowej. Zagrożenie obejmuje nie tylko utratę poufności danych czy zaszyfrowanie systemów, ale także zakłócenie procesów fizycznych, wpływ na bezpieczeństwo ludzi, środowiska oraz ciągłość działania organizacji.

  • Nieautoryzowany podgląd ekranów HMI i paneli operatorskich.
  • Zmiana parametrów procesów przemysłowych.
  • Zatrzymanie lub destabilizacja produkcji.
  • Wykorzystanie dostępu VNC lub RDP do dalszego ruchu bocznego.
  • Instalacja ransomware w sieci IT i przejście do OT.
  • Pozyskanie informacji procesowych użytecznych do sabotażu.
  • Wzrost ryzyka naruszenia wymagań regulacyjnych i audytowych.

Szczególnie niebezpieczne są środowiska, w których zdalny dostęp kończy się bezpośrednio na systemach sterujących, bez warstwy bastionowej, monitoringu sesji, segmentacji oraz kontroli działań uprzywilejowanych. W takim modelu pojedynczy błąd konfiguracyjny może przełożyć się na incydent o charakterze cyberfizycznym.

Rekomendacje

Podstawowym działaniem naprawczym powinno być całkowite usunięcie bezpośredniej ekspozycji RDP i VNC do internetu, zwłaszcza w środowiskach OT. Jeżeli zdalny dostęp jest niezbędny operacyjnie, powinien być realizowany wyłącznie przez bezpieczne rozwiązania pośredniczące.

  • Usunąć publiczną ekspozycję RDP i VNC oraz dopuścić dostęp jedynie przez VPN lub bezpieczny gateway.
  • Wymusić silne uwierzytelnianie, najlepiej z MFA i kontrolą urządzeń końcowych.
  • Stosować bastiony administracyjne i izolować dostęp do HMI oraz systemów inżynierskich.
  • Segmentować sieci IT i OT oraz ograniczać ruch boczny przy użyciu list kontroli dostępu.
  • Regularnie identyfikować exposed assets poprzez skanowanie z perspektywy zewnętrznej.
  • Wyłączyć nieużywane usługi zdalne i zastąpić VNC rozwiązaniami z rejestrowaniem sesji.
  • Zaktualizować systemy Windows oraz usunąć hosty po zakończonym wsparciu.
  • Monitorować próby logowania, nietypowe sesje zdalne i skanowanie usług.
  • Wdrożyć detekcję anomalii w sieci OT oraz korelację zdarzeń między SOC i zespołami inżynieryjnymi.
  • Przeprowadzić przegląd dostępu stron trzecich, w tym integratorów i serwisantów.

W organizacjach przemysłowych równie ważne jest jednoznaczne przypisanie właściciela ryzyka dla zdalnego dostępu. Wiele takich interfejsów pozostaje publicznie dostępnych, ponieważ nikt nie ma pełnego obrazu zależności między wymaganiami serwisowymi a polityką bezpieczeństwa. Skuteczna redukcja ryzyka wymaga więc współpracy zespołów OT, IT, utrzymania ruchu i dostawców technologii.

Podsumowanie

Ekspozycja VNC i RDP w internecie nadal pozostaje jednym z najbardziej praktycznych i jednocześnie najłatwiejszych do wykorzystania wektorów ataku na środowiska przemysłowe. Najnowsze ustalenia pokazują, że problem obejmuje nie tylko zwykłe systemy biurowe, ale również panele ICS/OT dostępne bez uwierzytelniania. Połączenie słabej konfiguracji, przestarzałych systemów i rosnącej aktywności grup ukierunkowanych na infrastrukturę krytyczną tworzy warunki do incydentów o wysokiej skali oddziaływania. Dla organizacji oznacza to potrzebę pilnego przeglądu zdalnego dostępu i odejścia od modeli, w których systemy sterowania są osiągalne bezpośrednio z internetu.

Źródła

  1. SecurityWeek — Hundreds of Internet-Facing VNC Servers Expose ICS/OT
  2. Forescout Research — Better Safe Than Sorry
  3. CISA — Russia-Linked Cyber Actors and OT/ICS Threat Activity