VNC maakte afgelopen jaar 98% uit van remote desktop-aanvallen

Uit onderzoek van Barracuda over remote desktop software blijkt dat aanvallers zich in de afgelopen 12 maanden verreweg het meeste richtten op Virtual Network Computing (VNC) – dit maakte 98% uit van alle traffic naar alle naar poorten die worden gebruikt voor remote desktop-activiteiten. Meer dan 99% van deze aanvalspogingen richtte zich op HTTP-poorten, de resterende 1% was gericht op TCP. De eenvoudigste en meest gebruikte aanvalsmethode tegen remote desktop software is het misbruik van zwakke, hergebruikte en/of via phishing verkregen logingegevens.

VNC, dat gebruikmaakt van het RFB-protocol, is een veel gebruikte, platformonafhankelijke tool. Hierdoor kunnen gebruikers en devices verbinding maken met servers, ongeacht het besturingssysteem. VNC wordt gebruikt als basissoftware voor onder andere de remote desktop- en screen sharing-oplossing van Apple. Het wordt ook veel gebruikt in kritieke infrastructuursectoren. VNC kan gebruikmaken van een reeks poorten, met als basispoorten 5800 voor TCP verbindingen en 5900 voor HTTP.

 

De meeste aanvallen op VNC richtten zich op het brute-force pogingen om toegang te verkrijgen met behulp van zwakke en hergebruikte wachtwoorden. Als het lukt om hiermee in te loggen, heeft de aanvaller direct toegang tot de systemen waartoe de legitieme gebruiker toegang heeft. De meest voorkomende kwetsbaarheid waarop de aanvallen zich richtten was CVE-2006-2369, waarmee een aanvaller de authenticatie in het 18 jaar oude RealVNC 4.1.1 kan omzeilen.

 

Het is lastig om te bepalen waar de aanvallen vandaan komen, omdat veel aanvallers proxy’s of VPN’s gebruiken. Rekening houdend met deze beperking blijkt dat ongeveer 60% van de schadelijke traffic gericht op VNC afkomstig is uit China.

Remote Desktop Protocol op één na meest gebruikte tool bij aanvallen

De op één na meest gebruikte tool was Remote Desktop Protocol (RDP), goed voor ongeveer 1,6% van de gedetecteerde aanvalspogingen. RPD is een veelgebruikt, gepatenteerd protocol dat is ontwikkeld door Microsoft voor remote desktop gebruik.

Bij grootschaligere aanvallen op netwerken en data is RDP vaker betrokken dan VNC. RDP-aanvallen worden bijvoorbeeld vaak gebruikt om malware, ransomware of cryptominers te installeren, of om kwetsbare devices te gebruiken als onderdeel van DDoS-aanvallen. RDP wordt daarnaast gebruikt voor Microsoft Support ‘vishing’ (voice/phone phishing) aanvallen. Hierbij proberen aanvallers hun slachtoffers te overtuigen dat hun device technische problemen heeft en dat dit opgelost kan worden als ze RDP access inschakelen en toegang verlenen aan de aanvaller.

Uit de data blijkt dat de meeste RDP-aanvalspogingen afkomstig waren uit Noord-Amerika (ongeveer 42%), gevolgd door China en India.

Andere remote desktop tools waar aanvallers zich op richtten waren TeamViewer, Independent Computing Architecture (ICA), AnyDesk en Splashtop Remote.

“Remote desktop oplossingen zijn nuttige en populaire zakelijke tools waarmee medewerkers verbinding kunnen maken met hun computernetwerk, waar ze zich ook bevinden. Helaas zijn ze ook een belangrijk doelwit voor cyberaanvallen”, zegt Jonathan Tanner, Senior Security Researcher bij Barracuda. “Er zijn veel verschillende tools beschikbaar, die elk verschillende en soms meerdere virtuele connecties of poorten gebruiken. Hierdoor is het voor IT-securityteams lastig om te controleren op schadelijke verbindingen en daaropvolgende inbreuken. Door te standaardiseren op één remote desktop-oplossing binnen de hele organisatie, kan het IT-team zich focussen op het beheren, monitoren en beveiligen van de bijbehorende poorten, en ander dataverkeer blokkeren.”

Barracuda raadt hiernaast aan om defense-in-depth securityoplossingen te implementeren die verdacht poortverkeer over het netwerk kunnen detecteren. Dit moet aangevuld worden met robuust securitybeleid en -programma’s, zoals het beperken van toegang tot externe services tot diegenen die dit nodig hebben, het gebruik van beveiligde verbindingen zoals een VPN en het regelmatig updaten van software met de nieuwste patches. Authenticatiemethoden moeten minimaal het gebruik van sterke wachtwoorden in combinatie met multifactor authenticatie omvatten. Idealiter wordt overgegaan op een Zero Trust benadering.