安全企业卡巴斯基(Kaspersky)于上周警告,他们在奠基于虚拟网络运算(Virtual Network Computing,VNC)协议的4款开源实例中发现了37个安全漏洞,全都与错误的内存使用有关,有些可能造成服务阻断,但严重的可能允许黑客访问设备上的信息或植入恶意程序。
VNC为一常见的远程访问系统,被广泛部署在技术支持、设备监控、远程学习或其它目的上,而基于VNC的应用程序通常是由两个部分组成,一是安装在计算机上的服务器,另一是执行在远程设备的客户端程序,以用来连接服务器。
这次卡巴斯基所检验的4款开源VNC应用,分别是可用来连接虚拟机的LibVNC、通常应用在工业自动化系统的TightVNC 1.X、被应用在远程绘图/3D /视频对象的TurboVNC,以及专为Windows所设计且被广泛使用在工业生产中的UltraVNC。
结果研究人员在UltraVNC中发现了22个漏洞,在LibVNC中发现10个漏洞,TightVNC也含有4个漏洞,而TurboVNC则仅有一个漏洞。
在卡巴斯基撰写报告并公布上述漏洞之前,已先行知会相关的开发人员,除了TightVNC之外,其它多已修补完毕;这是因为开发人员已不再支持TightVNC的第一个版本,而且拒绝修补它们。卡巴斯基则建议用户应考虑改用其它VNC平台。
此外,研究人员也警告,如同许多的开源项目,含有漏洞的程序代码可能被应用在其它程序中,但并非所有开发人员都会留心他们所借用的函数库是否更新,这些程序将依然存有漏洞,而且很可能永远不会被修补。
卡巴斯基建议网管人员应监控企业架构中的远程访问程序,包括检查哪些设备能够远程访问并移除不必要的访问权限,清点所有的远程访问应用,以强密码来保护VNC服务器,勿连接不可靠或未经测试的VNC服务器,以及采用专门的安全解决方案等。
领取专属 10元无门槛券
私享最新 技术干货