Sem senha, milhares de dispositivos de acesso remoto estão vulneráveis a invasão

O acesso remoto se tornou a palavra de ordem em um momento de regimes híbridos de trabalho ou home office. Porém, mais uma pesquisa demonstrou como esse tipo de tecnologia não parece ter sido implementada da maneira correta, com cerca de nove mil dispositivos VNC disponíveis na internet sem senha, totalmente abertos para acesso e manipulação por terceiros.

• Estudo aponta descuido com a segurança digital no home office
• Criminosos levam 15 minutos para atacar após descoberta de falhas de segurança

São casos que podem levar diretamente ao comprometimento de redes internas, instalação de malwares e roubo de dados, conforme apontou o levantamento da Cyble. O Brasil, inclusive, aparece como o quinto país com maior número de conexões desprotegidas, atrás da Suécia, China, Estados Unidos e Espanha; por aqui, são pelo menos 529 sistemas abertos, sem qualquer tipo de proteção ou autenticação.

Sem citar específicos, a Cyble aponta ainda que muitos dos endpoints encontrados pertencem a sistemas industriais ou empresas de infraestrutura, o que apenas aumenta a gravidade dos achados. Entre os VNCs abertos estão sistemas de aquisição de dados, controles, supervisão e interfaces homem-máquina, além de terminais que parecem pertencer a escritórios ou setores de administração.

Em uma das demonstrações de gravidade do problema, os pesquisadores demonstraram que, através de um dos sistemas desprotegidos, eram capazes de controlar bombas de pressão de forma remota, interferindo diretamente no funcionamento de uma indústria não identificada. Isso, claro, se você não considerar o cruzamento dos nove mil sistemas desprotegidos com a ideia de que, a cada mês, os criminosos realizam mais de seis milhões de solicitações em busca de portas 5900, normalmente usada por sistemas VNC, em busca de plataformas abertas para intrusão.

Em um ambiente cibercriminoso em que a venda de acesso a sistemas internos se tornou tão importante quanto os ataques em si, os números apresentados pela Cyble constituem um grande foco de atenção. Aqui, principalmente, falamos sobre a possibilidade de indústrias e unidades de infraestrutura serem atingidas, o que apenas aumenta o temor na medida em que mais e mais listas de instâncias VNC comprometidas aparecem à venda em fóruns da dark web.

A lista de endpoints comprometidos, claro, não foi revelada. Enquanto isso, a recomendação é que os administradores de rede revisem seus sistemas em busca de portas abertas e elementos desprotegidos; isso inclui não apenas aqueles que não têm senha, mas também os que usam credenciais fáceis de serem descobertas por ataques de força-bruta ou que não tenham autenticação em duas etapas ativada.

Além disso, vale a pena investir em sistemas de monitoramento e gerenciamento de conexões, de forma a identificar acessos de quem não deveria estar presente na rede. Controlar exatamente quem pode ter acesso remoto aos sistemas, com regras e limitadores, também ajuda a separar o uso legítimo dos cibercriminosos em busca de vetores de intrusão.

Fonte: Cyble