strommast-5581755_1280.jpg

Com 529 instâncias VNC expostas, Brasil pode estar sob ataque

Da Redação
15/08/2022

Pesquisadores de segurança emitiram alerta informando que inúmeras organizações globais podem estar em risco de comprometimento remoto em decorrência de mais de 8 mil instâncias de Virtual Network Computing (VNC) terem sido expostas. Uma equipe de especialistas da Cyble descobriu que as instâncias eram gerenciadas por empresas de infraestrutura crítica, como de tratamento de água, fábricas e institutos de pesquisa.

Os países com mais instâncias de VNC expostas são a China (1.555), Suécia (1.506), EUA (835), Espanha (555) e Brasil (529), segundo a fornecedora de sistemas de segurança.

VNC é um sistema de compartilhamento de tela multiplataforma que permite aos usuários controlar remotamente outro computador. No entanto, com a autenticação desabilitada de acordo com as 8 mil instâncias descobertas, operadores de ameaças podem potencialmente sequestrar esses endpoints e os sistemas de controle industrial aos quais estão frequentemente conectados.

“Durante as investigações, os pesquisadores conseguiram restringir vários sistemas de interface homem-máquina (HMI), sistemas de supervisão e aquisição de dados (SCADA), estações de trabalho, etc., conectados via VNC e expostos pela internet”, disse a empresa. “Hackers podem utilizar mecanismos de busca online para restringir organizações com VNCs expostos. Eles também podem alterar abruptamente os pontos de ajuste, rotações e estações de bombeamento, resultando em perda de operações. Isso pode até resultar na interrupção da cadeia de suprimentos e dos processos relacionados às indústrias afetadas”, completou.

Veja isso
Empresas de infraestrutura crítica falham na segurança IIoT/OT
UE terá nova diretiva de segurança para infraestruturas críticas

Ainda de acordo com a Cyble, operadores de ameaças persistentes avançadas (APT) podem explorar as implantações VNC expostas não apenas para sabotagem e reconhecimento, mas também roubo de dados e ataques de ransomware. A empresa disse ter detectado surtos de ataques à porta 5900, o padrão para VNC, entre 9 de julho e 9 deste mês, a maioria dos quais originados da Holanda, Rússia e Ucrânia.

“Acessar remotamente os ativos de infraestrutura de TI e OT é bastante útil e foi amplamente adotado devido à pandemia de Covid-19 e à migração em massa das empresas para o trabalho remoto. No entanto, se as organizações não tiverem as medidas de segurança e verificações de segurança adequadas, essa situação pode levar a graves perdas monetárias”, alertou a Cyble.

Deixar os VNCs expostas pela internet sem qualquer autenticação torna bastante fácil para os invasores penetrarem na rede da vítima e criarem estragos. Os invasores também podem tentar explorar o serviço VNC usando várias vulnerabilidades e técnicas, permitindo que eles se conectem aos ativos expostos”, finalizou a empresa.

A Cyble recomendou as empresas que executam o VNC para melhorar o treinamento de conscientização de segurança, garantir que as políticas de acesso e firewalls adequados estejam em vigor e garantir que os dispositivos sejam corrigidos e monitorados continuamente.

Compartilhar: