Sintesi

Nell’ambito delle proprie attività, volte ad individuare fattori di rischio a cui è esposto lo spazio digitale nazionale, lo CSIRT Italia ha rilevato un incremento delle attività ostili, spesso condotte da gruppi hacktivisti, indirizzate verso apparati SCADA e IoT esposti impropriamente tramite servizi di accesso remoto non adeguatamente protetti, quali ad esempio instanze VNC.

Introduzione

VNC è un sistema di controllo remoto che consente di interagire con il desktop grafico di un sistema (es. desktop di Windows, Linux e macOS), utilizzando il protocollo RFB (Remote Framebuffer Protocol). Sebbene alcune implementazioni supportino meccanismi di cifratura, molte configurazioni trasmettono i dati in chiaro per impostazione predefinita o utilizzano schemi crittografici deboli, rendendo il traffico vulnerabile a intercettazioni.

L’esposizione di VNC su Internet senza adeguate misure di protezione potrebbe permettere attacchi di tipo brute-force e la possibilità di carpire credenziali utente e/o informazioni sensibili, tramite intercettazioni del traffico in chiaro.

Spesso utilizzato sia in ambiti industriali e laboratori o contesti domestici, VNC può rappresentare un serio rischio per la sicurezza qualora non confinato a reti interne o protetto da meccanismi di accesso controllato, come VPN, firewall o sistemi di autenticazione centralizzata.

Questo tipo di servizio consente l’accesso diretto alla console dei sistemi remoti ed è spesso oggetto di attività malevole, incluse campagne condotte da gruppi hacktivisti finalizzate all’acquisizione del controllo completo dei sistemi.

Rischi associati all’impiego di VNC

1. Limiti architetturali del protocollo RFB

• Cifratura non adeguata: in molte implementazioni il protocollo RFB, su cui si basa VNC, non applica di default una cifratura robusta del traffico. In tali condizioni, la conduzione di un attacco di tipo “MitM” (Man‑in‑the‑Middle), da parte di un attaccante con accesso al medesimo segmento di rete in cui è presente il server VNC, potrebbe consentire di intercettare le comunicazioni e ricostruire l’intera sessione di accesso remoto.
• Meccanismi di autenticazione limitati: diverse implementazioni di VNC prevedono password con lunghezza massima ridotta (tipicamente 8 caratteri), esponendo il servizio ad attacchi di tipo brute-force o password guessing.
• Accesso “Guest” senza la necessità di credenziali: diverse implementazioni di VNC consentono l’accesso in lettura ai sistemi senza la necessità di autenticarsi al sistema facilitando la raccolta di “prove” utili alle rivendicazioni hacktiviste.
• Assenza di controllo granulare dei privilegi: l’accesso VNC fornisce generalmente il controllo completo del sistema remoto, senza livelli di autorizzazione differenziati.

2. Obsolescenza e gestione del ciclo di vita

• Aggiornamenti di sicurezza non uniformi: alcune implementazioni VNC, in particolare versioni meno recenti o software non più mantenuti, non ricevono aggiornamenti di sicurezza regolari.
• Disponibilità di alternative più sicure: accessi remoti tramite SSH o piattaforme di remote access basate su architetture Zero Trust offrono livelli di sicurezza superiori.
• Criticità in ambito di compliance: l’utilizzo di servizi VNC non protetti può risultare non conforme a diversi framework normativi e di sicurezza (es. GDPR, ISO/IEC 27001), in particolare per quanto riguarda la protezione dei dati in transito.

3. Rischi derivanti dall’esposizione diretta su Internet

• Elevata visibilità agli scanner automatici: motori di scansione come Shodan e Censys individuano rapidamente i servizi VNC esposti (tipicamente sulla porta 5900/TCP), rendendoli bersagli privilegiati per bot e attacchi automatizzati.
• Presenza di vulnerabilità note (CVE): numerose vulnerabilità documentate consentono, in specifiche versioni, il bypass dei meccanismi di autenticazione o l’esecuzione di codice non autorizzato.
• Facilitazione della compromissione post-accesso: una volta ottenuto l’accesso VNC, un attaccante può procedere rapidamente con l’esfiltrazione di dati, l’installazione di malware e il movimento laterale all’interno della rete.

Azioni di mitigazione

Sulla base delle considerazioni esposte, si raccomanda di valutare la dismissione o la sostituzione delle soluzioni di accesso remoto basate sul protocollo VNC, in favore di strumenti alternativi più recenti, sicuri e adeguatamente manutenuti.

Ove l’intervento di sostituzione non possa essere attuato nell’immediato, si raccomanda l’implementazione delle seguenti misure di sicurezza al fine di ridurre la superficie di attacco e mitigare i rischi associati.

• Evitare l’esposizione diretta del servizio VNC su Internet:
  • verificare l’effettiva necessità di pubblicazione delle interfacce dei sistemi di controllo riducendone, ove possibile, la raggiungibilità ai soli utenti strettamente necessari, ad esempio attraverso misure di firewalling/mutua autenticazione SSL, VPN, whitelisting, etc.;
  • configurare il server VNC affinché sia raggiungibile esclusivamente dalla rete interna o dalla VPN aziendale;
  • configurare VNC per esporre il servizio esclusivamente sull’interfaccia di rete necessaria (es. management) e non su tutte le interfaccie della macchina su cui è installato;
  • posizionare l’accesso VNC su una rete segregata dal resto della rete aziendale.
• Sostituire le password predefinite e adottare credenziali complesse e univoche e, ove possibile, abilitare l’autenticazione a più fattori (MFA).
• Ruotare periodicamente le credenziali impostate.
• Disabilitare la clipboard se non essenziale.
• Disabilitare il trasferimento di file, se presente.
• Evitare sessioni senza autenticazione dell’utente (“guest”) sugli endpoint.
• Chiudere automaticamente le sessioni inattive.
• Innalzare il livello di monitoraggio per individuare tempestivamente tentativi di accesso non autorizzati o attività anomale creando ad esempio le seguenti regole:
  • autenticazioni fallite multiple;
  • connessioni effettuate fuori dall’orario lavorativo;
  • connessioni da indirizzi IP localizzati in aree geografiche in cui il personale tecnico non opera;
  • schemi di riconnessione ripetuti.
• Applicare regolarmente patch di sicurezza e aggiornamenti software/firmware.