Op til 20 år gamle sårbarheder fundet i populær VNC-software

Sårbarheder var meget lette at finde i Virtual Network Computing.

It-sikkerhedsselskabet Kaspersky Lab har været på sårbarhedsjagt i flere populære implementeringer af ‘remote desktop’-systemet VNC (Virtual Network Computing), som fungerer på tværs af en række operativsystemer.

Man kan godt sige, at sikkerhedsforskerne i selskabet har løftet opgaven. I alt 37 sårbarheder har de fundet i den open source code-baserede software, som blev undersøgt.

Tre af de fire implementeringer af VNC, som blev undersøgt, er separate produkter – TightVNC, TurboVNC og UltraVNC. Den fjerde og sidste hedder LibVNC.

Dette er et bibliotek, som bruges af flere forskellige produkter, inklusive flere mobilapps.

Kaspersky Lab ønskede også at analysere VNC-produktet RealVNC, men lod det være, fordi licensbetingelserne ikke tillader reverse engineering.

Ujævnt fordelt

Hele 22 af de 37 sårbarheder blev fundet i UltraVNC, som er en variant specifikt bygget til at blive brugt i Windows-miljøer. Den er meget udbredt i industrien som en grafisk brugergrænseflade mod forskellige maskiner.

Ti sårbarbarheder blev fundet i LibVNC, fire i TightVNC, mens der kun blev fundet én sårbarhed i TurboVNC.

Et flertal af sårbarhederne blev fundet i klient-softwaren.

Ifølge Kaspersky er VNC-serverne oftest enklere software, end klienterne er, og det fører også til, at disse har færre fejl. Til gengæld vil sårbarheder i serversoftwaren ofte være mere effektive at udnytte.

Ikke krypteret

VNC er baseret på RFB-protokollen (Remote Frame Buffer). Denne er i udgangspunktet ikke krypteret, hvilket betyder, at VNC aldrig bør bruges direkte over internettet eller i andre omgivelser, der ikke er omhyggeligt kontrolleret. I stedet bør der bruges tunnelering ved hjælp af for eksempel SSH eller VPN.

Til trods for dette er mere end 590.000 RFB-baserede servere tilgængelige via internettet ifølge søgetjenesten Shodan. De fleste tilbyder VNC-tjenester.

Lette at finde

Samtlige sårbarheder, som blev fundet af Kaspersky Lab, er knyttet til forkert hukommelsesbrug. Ingen af dem alene kan udnyttes til andet end at forårsage denial of service eller funktionsfejl.

Pavel Cheremushkin, sikkerhedsforskeren, som har skrevet rapporten, mener, det er meget sandsynligt, at sårbarhederne også kan være blevet opdaget af andre.

»[…] jeg vil nævne, at mens jeg var i gang med denne forskning, så kunne jeg ikke lade være med at tænke, at sårbarhederne, jeg fandt, var så lidt sofistikerede, at andre nok har fundet dem på et tidligere tidspunkt.«

Ikke rettet

De fleste af sårbarhederne er allerede blevet fjernet fra den respektive software, men der er nogle undtagelser. TightVNC 1.x-serien opdateres ikke længere, så alle, som benytter denne, skal enten opgradere til 2.x-serien eller vælge et andet produkt. TightVNC er ikke udgivet som open source code i modsætning til 1.x-serien.

Desuden er de nævnte sårbarheder øjensynligt heller ikke blevet fjernet fra TightVNC 2.x, selv om udviklerne blev advaret om dem allerede i januar i år.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere