Анализ на Forescout Technologies очертава мащаба на експозицията

Ново изследване на Forescout Research – Vedere Labs разкрива, че над 1.8 милиона RDP сървъра и повече от 1.6 милиона VNC услуги са директно достъпни от интернет. Тези системи представляват огромна повърхност за атака, която обхваща както корпоративни мрежи, така и среди от индустриален тип.

Географското разпределение показва концентрация в няколко ключови държави. Китай води с 22% от RDP и 70% от VNC експозицията, следван от Съединени американски щати и Германия. Това потвърждава, че проблемът е глобален и системен, а не локализиран.

Бизнес и индустрия под натиск

Най-засегнатите сектори при RDP са търговията, услугите, образованието и производството, докато при VNC доминират образованието, услугите и здравеопазването. Присъствието на индустрии като производство, транспорт и комунални услуги поставя въпроса директно в контекста на критична инфраструктура, където компромисът може да има реални физически последици.

Остарели системи и известни уязвимости

Изследването откроява сериозни слабости в основата на тези среди. Значителна част от RDP сървърите работят с остарели операционни системи, а голям дял все още използва Windows 10, който вече е извън поддръжка.

Допълнително, хиляди системи остават уязвими към BlueKeep, а десетки хиляди VNC инстанции са конфигурирани без автентикация. Част от тях са директно свързани към индустриални контролни панели, което отваря възможност за достъп до реални производствени процеси.

Активна експлоатация и нови модели на атака

Рискът вече се материализира чрез реални кампании. Ботнетът REDHEBERG е компрометирал десетки хиляди VNC системи, докато хактивистки групи като Cyber Army of Russia Reborn и Z-Pentest активно сканират интернет за уязвими услуги и дори продават достъп до компрометирани среди.

Наблюдава се и тенденция към използване на специализирани инструменти за откриване на SCADA и OT системи, което показва еволюция към по-целенасочени атаки срещу индустриалната инфраструктура.

Проблемът не е само технологичен

Според Forescout Research – Vedere Labs основният проблем е в самия модел на отдалечен достъп. Традиционни решения като VPN и jump host сървъри разширяват доверието в мрежата, вместо да го ограничават.

В средите на оперативни технологии това е особено рисково, тъй като системите първоначално не са проектирани за сигурна отдалечена работа. Допълнителен фактор са неформалните връзки, създадени от доставчици и външни изпълнители, които често остават активни без реален контрол или мониторинг.

Необходимата промяна: контролиран, а не свободен достъп

Експертите подчертават, че сигурният отдалечен достъп трябва да се разглежда като строго контролиран процес. Моделът Secure Remote Access (SRA) въвежда посредник между потребителя и индустриалния актив, като всяка сесия се управлява, наблюдава и ограничава според контекста.

Този подход намалява риска от директна комуникация с чувствителни системи и позволява по-добра проследимост и контрол върху действията.

Hай-пренебрегваният риск остава най-опасен

Анализът показва, че най-сериозната заплаха не идва от сложни и редки атаки, а от широко разпространени и често игнорирани слабости. Отворените RDP и VNC услуги продължават да бъдат една от най-честите входни точки към компрометиране на системи.

В среда, в която индустриалните и ИТ мрежи все повече се сближават, неконтролираният отдалечен достъп се превръща в критичен риск с потенциални последици както за бизнеса, така и за физическата сигурност.