SIKKERHET

Opptil 20 år gamle sårbarheter funnet i populær VNC-programvare

Skal ha vært enkle å finne.

Bruk av ukryptert VNC over internett kan åpne for at alt mulig uvesen får tilgang til systemet. At flere lite sofistikerte sårbarheter i VNC-programvare har gått under radaren i mange år, bidrar ikke i positiv retning.
Bruk av ukryptert VNC over internett kan åpne for at alt mulig uvesen får tilgang til systemet. At flere lite sofistikerte sårbarheter i VNC-programvare har gått under radaren i mange år, bidrar ikke i positiv retning. Illustrasjon: Colourbox/Sergey Tryapitsyn
Harald BrombachHarald BrombachNyhetsleder
25. nov. 2019 - 13:57

IT-sikkerhetsselskapet Kaspersky Lab har vært på sårbarhetsjakt i flere populære implementeringer av «remote desktop»-systemet VNC (Virtual Network Computing), som fungerer på tvers av en rekke operativsystemer. 

En kan nok trygt si at sikkerhetsforskerne i selskapet har lykkes med oppgaven. Til sammen 37 sårbarheter har de funnet i den åpen kildekode-baserte programvaren som ble undersøkt.

Tre av de fire implementeringene av VNC som ble undersøkt er separate produkter – TightVNC, TurboVNC og UltraVNC. Den fjerde og siste heter LibVNC. Dette er et bibliotek som brukes av flere ulike produkter, inkludert flere mobilapper.

Fungerende direktør John-Eivind Velure i Nasjonal kommunikasjonsmyndighet mener det trengs en langtidsplan for å få fart på arbeidet med å sikre ekomnettene i Norge. Her i en samtale under Arendalsuka med digitaliseringsminister Karianne Tung.
Les også

Det kan ta 20 år å sikre mobil­nettet. Nå vil Nkom ha opp farta

Kaspersky Lab ønsket også å analysere VNC-produktet RealVNC, men lot det være fordi lisensbetingelsene ikke tillater omvendt konstruksjon («reverse engineering»).

Ujevnt fordelt

Hele 22 av de 37 sårbarhetene ble funnet i UltraVNC, som er en variant spesifikt bygget for å brukes i Windows-miljøer. Den skal være spesielt vanlig å bruke industrien som et grafisk brukergrensesnitt mot ulike maskiner. 

Ti sårbarbarheter ble funnet i LibVNC, fire i TightVNC, mens det kun ble funnet én sårbarhet i TurboVNC. 

Et flertall av sårbarhetene ble funnet i klientprogramvaren. Ifølge Kaspersky er VNC-serverne gjerne enklere programvare enn det klientene er, og det fører også til at disse har færre feil. Til gjengjeld vil sårbarheter i serverprogramvaren ofte være mer effektive å utnytte.

Ikke-kryptert

VNC er basert på RFB-protokollen (Remote Frame Buffer). Denne er i utgangspunktet ikke kryptert, noe som gjør at VNC aldri bør brukes direkte over internett eller i andre ikke godt kontrollerte omgivelser. I stedet bør det brukes tunnelering ved hjelp av for eksempel SSH eller VPN.

Bluesky har raskt blitt mer populær etter presidentvalget i USA.
Les også

X-brukere rømmer til konkurrent etter presidentvalget

Til tross for dette er mer enn 590.000 RFB-baserte servere tilgjengelige via internett, ifølge søketjenesten Shodan. De fleste tilbyr VNC-tjenester.

Enkle å finne

Samtlige sårbarheter som ble funnet av Kaspersky Lab, er knyttet til feil minnebruk. Ingen av dem skal alene kunne utnyttes til annet enn å forårsake tjenestenekt eller funksjonsfeil.

Pavel Cheremushkin, sikkerhetsforskeren som har skrevet rapporten, mener det er svært sannsynlig at sårbarhetene også kan ha blitt oppdaget av andre. 

– […] jeg vil nevne at mens jeg gjorde denne forskningen, kunne jeg ikke la være å tenke at sårbarhetene jeg fant var lite sofistikerte til at de tidligere har blitt oversett av alle.

Ikke rettet

De fleste av sårbarhetene har allerede blitt fjernet fra den respektive programvaren, men det er noen unntak. TightVNC 1.x-serien oppdateres ikke lenger, så alle som benytter denne må enten oppgradere til 2.x-serien eller velge et annet produkt. TightVNC er ikke utgitt som åpen kildekode, i motsetning til 1.x-serien. 

Dessuten skal ikke de nevnte sårbarhetene ha blitt fjernet fra TightVNC 2.x heller, selv om utviklerne ble varslet om dem allerede i januar i år. 

Dr. Guru Bhandari ved SEIT Kristiania har utviklet en KI-løsning som kan oppdage sårbarheter i IOT-kode i sanntid.
Les også

Norsk teknologi: Fikser sårbar kode automatisk

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tekjobb-Indeksen 2024!
Les mer
Tekjobb-Indeksen 2024!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra