数百万台のリモートアクセス用RDPおよびVNCサーバーがインターネットに露出しており、そのうち数百台は産業制御システム(ICS)および他の運用技術(OT)へのアクセスを提供している可能性がある。これはForescoutの研究によるものである。
RDP(リモートデスクトッププロトコル)とVNC(仮想ネットワークコンピューティング)は遠隔アクセスに広く使用されているが、セキュアなゲートウェイなしでオープンインターネットに直接公開されるべきではない。
Shodanの検索では、インターネットに露出した約180万台のRDPサーバーと160万台のVNCサーバーが表示されており、その大多数は中国と米国にある。Forescoutは大多数がハニーポット、ISP、およびホスティングプロバイダーであると判断しているが、その研究者はなお91,000台のRDPサーバーと29,000台のVNCサーバーが特定の業界にリンクされている可能性があることを発見した。
露出したサーバーの相当な割合は小売、教育、サービス、製造、およびヘルスケアセクターの組織によってホストされている。
分析により、露出したサーバーの多くはサポートが終了したまたはサポート終了段階に達したWindowsバージョンを実行していることが示された。19,000台以上のRDPサーバーは、多くの脅威行為者によって悪用されているBlueKeepと名付けられた古い脆弱性に対して脆弱である。
さらに、ほぼ60,000台のVNCサーバーは認証が有効になっていない。最も懸念される発見の1つは、これらのVNCサーバーのうち670台が認証なしでICS/OTパネルへの直接アクセスを提供していることである。
これらのサイバー物理システム(CPS)へのアクセスは攻撃者にとって非常に価値があり、この脅威は理論的なものではない。
Forescoutは、ロシア関連のハッカーがVNCを介してOTシステムをターゲットにすることが知られていることを指摘し、これは2025年12月に政府機関によって警告されている。
インフラストラクチャ破壊隊(IDS)およびダークエンジンとして知られるロシア関連のグループは、RDP、VNC、およびOT固有のプロトコルをスキャンするために設計されたツールを最近共有した。
「2月23日、このグループはこのツールで発見されたと述べたイスラエルの地下水ポンプ場の侵害されたと思われるビデオを共有した。3月9日、このグループはこのツールが特定のターゲットセットに対して実行されている別の例を共有し、トルコの制御システムのVNCスクリーンショットを含めた」とForescoutは述べており、「これら2つの投稿の間に、このグループはチェコの露出したSCADAシステムへのアクセスの販売も宣伝した」と追加している。
これらの攻撃に加えて、サイバーセキュリティ企業は、利益志向のサイバー犯罪者がランサムウェアの展開のためにRDPを悪用してきており、Redhebergボットネットが2月以来ほぼ40,000台の露出したVNCサーバーに感染していることに注目した。
組織は、敏感なCPSにアクセスするために特別に設計されたものを含む、専用のセキュアなリモートアクセスソリューションを使用することにより、これらのリスクを軽減することができる。
翻訳元: https://www.securityweek.com/hundreds-of-internet-facing-vnc-servers-expose-ics-ot/
