情境圖,Photo by Jilbert Ebrahimi on https://unsplash.com/photos/pVEcNabAg9o

資安業者卡巴斯基(Kaspersky)於上周警告,他們在奠基於虛擬網路運算(Virtual Network Computing,VNC)協定的4款開源實作中發現了37個安全漏洞,全都與錯誤的記憶體使用有關,有些可能造成服務阻斷,但嚴重的可能允許駭客存取裝置上的資訊或植入惡意程式。

VNC為一常見的遠端存取系統,被廣泛部署在技術支援、設備監控、遠端學習或其它目的上,而基於VNC的應用程式通常是由兩個部份組成,一是安裝在電腦上的伺服器,另一是執行在遠端裝置的客戶端程式,以用來連結伺服器。

這次卡巴斯基所檢驗的4款開源VNC應用,分別是可用來連結虛擬機器的LibVNC、通常應用在工業自動化系統的TightVNC 1.X、被應用在遠端繪圖/3D/影片物件的TurboVNC,以及專為Windows所設計且被廣泛使用在工業生產中的UltraVNC。

結果研究人員在UltraVNC中發現了22個漏洞,在LibVNC中發現10個漏洞,TightVNC也含有4個漏洞,而TurboVNC則僅有一個漏洞。

在卡巴斯基撰寫報告並公布上述漏洞之前,已先行知會相關的開發人員,除了TightVNC之外,其它多已修補完畢;這是因為開發人員已不再支援TightVNC的第一個版本,而且拒絕修補它們。卡巴斯基則建議使用者應考慮改用其它VNC平台。

此外,研究人員也警告,如同許多的開源專案,含有漏洞的程式碼可能被應用在其它程式中,但並非所有開發人員都會留心他們所借用的函式庫是否更新,這些程式將依然存有漏洞,而且很可能永遠不會被修補。

卡巴斯基建議網管人員應監控企業架構中的遠端存取程式,包括檢查哪些裝置能夠遠端存取並移除不必要的存取權限,清點所有的遠端存取應用,以強密碼來保護VNC伺服器,勿連結不可靠或未經測試的VNC伺服器,以及採用專門的安全解決方案等。

熱門新聞


Advertisement