مكة المكرمة سامية الصالح
أجرت كاسبرسكي تحليلًا للحوسبة الشبكية الافتراضية (VNC) مفتوحة المصدر، كشف عن وجود ثغرات متلفة للذاكرة في عدد كبير من المشاريع ولفترة طويلة. وتؤكد الشركة أن استغلال بعض هذه الثغرات قد يؤدي إلى تنفيذ شيفرات برمجية خاصة عن بُعد من شأنها أن تؤثر في مستخدمي أنظمة VNC، عبر أكثر من 600,000 خادم يمكن الوصول إليها من الشبكة العالمية وحدها، وفقًا لموقع shodan.io. وبالنظر إلى أنه لا يمكن الوصول للأجهزة إلا عبر الشبكات المحلية، فإن العدد الحقيقي لتثبيتات VNC هو أضعاف مضاعفة.
وتُستخدم أنظمة VNC لإتاحة الوصول عن بُعد من جهاز إلى آخر باستخدام بروتوكول RFB للتخزين المؤقت عن بعد. وأصبحت أنظمة VNC من أكثر أدوات مشاركة سطح المكتب شيوعًا حتى الآن، نظرًا لإتاحتها على منصات متنوعة ووجود إصدارات متعددة مفتوحة المصدر منها. وتُستخدم هذه الأنظمة في المنشآت الصناعية المؤتمتة التي تتيح التحكّم عن بعد في الأنظمة، مع تمتّع نحو 32 بالمئة من حواسيب الشبكات الصناعية بشكل من أشكال أدوات الإدارة عن بعد، والتي تشمل VNC.
ويمثل مستوى انتشار مثل هذه الأنظمة بشكل عام، وخاصة الأنظمة التي اكتشف ضعفها نتيجة الثغرات، مشكلة للقطاع الصناعي، في حين أن الأضرار المحتملة يمكن أن تُحدث خسائر كبيرة جرّاء تعطّل عمليات الإنتاج.
ودرس باحثو كاسبرسكي بعض أكثر أنظمة VNC شيوعًا: LibVNC، وUltraVNC، وTightVNC1.X، وTurboVNC.
ولم يكشف تحليل سابق لمشاريع VNC أجراه باحثون آخرون عن جميع الثغرات وبالتالي لم يتمّ تصحيحها جميعها. ونتيجة لذلك، أجرى خبراء كاسبرسكي تحليلًا أنشأوا به 37 سجلاً من سجلات CVE تحدّد الثغرات المختلفة. وقد عُثر على الثغرات في جانبي الأنظمة؛ لدى أجهزة المستخدمين وفي الخوادم. ويمكن أن يسمح بعض هذه الثغرات بتنفيذ تعليمات برمجية عن بُعد، والتي بدورها قد تسمح لجهة تخريبية بإجراء تغييرات اعتباطية على الأنظمة التي تجري مهاجمتها. ولكن لوحظ أنه لا يمكن استغلال العديد من الثغرات في جانب الخادم إلا باستخدام كلمة مرور، في حين لا تسمح بعض الخوادم بتهيئة إعدادات دخول دون كلمة مرور.
وأبدى بافل شيريموشكين الباحث لمختص بالثغرات في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي، استغرابه لمدى “بساطة الثغرات المكتشفة، مع عمرها الممتد لفترة طويلة”، موضحّا أن هذا يعني احتمال أنها استُغلّت من قبل مهاجمين لاحظوها منذ وقت طويل، وقال: “توجد بعض فئات الثغرات الأمنية في العديد من المشاريع مفتوحة المصدر وتبقى هناك حتى بعد إعادة تشكيل قاعدة الشيفرات التي تضمّنت شيفرات معرضة للاستغلال. نحن في كاسبرسكي نرى أنه من المهم أن نكتشف بشكل منهجي مثل هذا العدد الكبير من المشاريع ذات الثغرات المبيّتة، لذلك نحرص على إجراء أبحاث من هذا النوع”.
وقد نُقلت المعلومات حول جميع الثغرات المكتشفة إلى المطورين المعنيين، الذين أجرى جميعهم تقريبًا تصحيحات برمجية لهذه الثغرات، باستثناء TightVNC، الذين لا يقدّمون الدعم لهذا المنتج. لذلك يجب على مستخدميه النظر في خيارات نظام VNC البديلة المتاحة.
ويوصي خبراء كاسبرسكي المطورين ومستخدمي أدوات VNC باتباع التدابير التالية لمعالجة المخاطر المتعلقة بأدوات VNC الضعيفة:
• التدقيق في استخدام أدوات التطبيقات ونظام الإدارة عن بعد المستخدمة في الشبكات الصناعية، مع إزالة جميع أدوات الإدارة عن بُعد التي لا تتطلبها العمليات الصناعية.
• التدقيق في أدوات الإدارة عن بُعد وتعطيل تلك المرفقة مع برمجيات نظم الرقابة الصناعية (يمكن مراجعة وثائق هذه البرمجيات للحصول على إرشادات مفصلة)، بشرط ألا تكون مطلوبة في العملية الصناعية.
• المراقبة الدقيقة وتسجيل الأحداث لكل دورة تحكم عن بعد تتطلبها العملية الصناعية، مع الحرص على تعطيل الوصول الافتراضي عن بُعد وتمكينه فقط عند الطلب وفي فترات زمنية محدودة.
• الحرص على تحديث أنظمة التشغيل وبرمجيات التطبيقات والحلول الأمنية بانتظام، ووضع إجراءات مناسبة لإصلاحها.
• تجنُّب الاتصال بخوادم VNC غير المعروفة، مع الحرص على إعداد كلمات مرور فريدة قوية على جميع الخوادم.
• استخدام منتج مخصص للأمن الرقمي لأنظمة الأتمتة الصناعية، مثل Kaspersky Industrial Cybersecurity.
يمكن الاطلاع على نسخة من التقرير المعنون “البحث في ثغرات نظم VNC”، المتاحة على ICS CERT.