Industriesysteme gefährdet: Millionen RDP- und VNC-Server ungeschützt am Netz
Sicherheitsforscher von Forescout haben untersucht, wie viele RDP- und VNC-Server weltweit direkt über das Internet erreichbar sind. Die Ergebnisse präsentieren die Forscher in einem Blogbeitrag(öffnet im neuen Fenster). Sie fanden demnach 1,8 Millionen RDP- und 1,6 Millionen VNC-Server. Deutschland erreicht dabei im Ländervergleich den dritten Platz. Einige der exponierten Systeme bieten wohl direkten Zugriff auf Industrieanlagen.
Die meisten betroffenen Systeme sind in China stationiert. Das Land ist alleine für 22 Prozent der RDP- und 70 Prozent der VNC-Server verantwortlich. Danach folgen die USA mit 20 (RDP) respektive sieben (VNC) Prozent. Auf Platz 3 folgt Deutschland mit acht Prozent der online erreichbaren RDP- und zwei Prozent der VNC-Server.
Zehntausende Systeme aus der Industrie
Die Forscher geben jedoch zu bedenken, dass die genannten Zahlen auch viele unkritische Systeme und Honeypots inkludieren – also Systeme, die absichtlich aufgestellt wurden, um Angreifer zu ködern. Nach einem Versuch, diese Systeme herauszufiltern, verblieben aber immer noch 91.000 RDP- und 29.000 VNC-Server, die offen über das Internet zugänglich sind.
Diese konnten auch jeweils bestimmten Industriezweigen zugeordnet werden. Besonders betroffen ist laut Forescout der Einzelhandel (32 Prozent). Danach folgen die Branchen Dienstleistungen (23 Prozent), Bildung (16 Prozent) und die Fertigungsindustrie (15 Prozent). Mit niedrigen einstelligen Prozentwerten nur geringfügig betroffen sind die Bereiche Immobilien, Gesundheit, Finanzen und Logistik.
Alte Windows-Versionen vergrößern Angriffsfläche
Besonders brisant ist, dass ein nicht unerheblicher Anteil von 18 Prozent der betroffenen Systeme auf nicht mehr unterstützten Windows-Versionen basiert. Diese sind daher anfällig für teils mehrere Jahre alte Sicherheitslücken wie beispielsweise CVE-2019-0708 (Bluekeep). Letztere ist seit 2019 bekannt und ermöglicht wurmartige Angriffe wie bei dem Wanna-Cry-Debakel, das 2017 weltweit Millionen von Windows-Systemen lahmlegte.
Fast 60.000 der exponierten VNC-Server verfügen laut Forescout nicht einmal über eine aktive Authenifizierung, so dass jeder mit Leichtigkeit darauf zugreifen kann. Mehr als 670 davon sollen sogar einen direkten Zugriff auf Steuerungsportale von industriellen Kontrollsystemen ermöglichen, wie die Forscher anhand mehrerer Screenshots belegen.
Angreifer nutzen solche Zugänge nur allzu gerne aus, um kritische IT-Systeme beispielsweise mit einer Ransomware zu verschlüsseln und deren Betreiber mit einer Lösegeldforderung zu erpressen. Im Bericht von Forescout sind mehrere Beispiele für entsprechende Aktivitäten zu finden. Admins sollten daher sicherstellen, dass ihre VNC- und RDP-Server stets angemessen abgesichert sind und nicht direkt am Internet hängen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.