Ernstig lek in Real VNC 4 geeft iedereen toegang
Gebruikers van het zeer populaire remote-desktop programma RealVNC zijn gewaarschuwd voor een ernstig lek in de software waardoor iedereen toegang tot een machine kan krijgen die RealVNC draait. Door de kwetsbaarheid hoeft iemand die verbinding met een VNC machine maakt geen wachtwoord in te voeren. Inmiddels heeft het bedrijf een update uitgebracht die "een security lek" verhelpt. Verdere informatie wilde RealVNC niet geven. RealVNC versie 4.1.2 kan hier gedownload worden.
Met dank aan Frans E voor het melden van dit nieuws
eerdere versie, 4.1, is niet kwetsbaar. 4.1.2 fixt het
issue. Jammer genoeg wordt er nergens dieper op het probleem
ingegaan (zoals welke functie verantwoordelijk is voor het
probleem), wat een rede is geweest voor SANS om in eerste
instantie afwachtend te reageren:
http://isc.sans.org/diary.php?storyid=1331&rss
Och het probleem het er maar een jaar ingezeten.... leuk.
Wel hypocriet van Steve om PoC nu maar dan wel weg te halen.
I set the password to a really huge value that I could not have possibly left
in our code by accident. Got back on the development machine and clicked
connect:
klinkt als input validation.
Mensen moeten de komende tijd gaan opletten op probes op 5900.
enkele secure variant te vinden. RealVNC probeert nog wel wat
te doen aan de waardeloze beveiliging van de afgelopen jaren
maar het was een leip pakket en het blijft een leip pakket. Zelfs
als het 100% veilig was, blijven remote control programma's
zonder enige vorm van execute beperkingen levensgevaarlijk.
Jammer dat er zoveel 'mensen' zijn die het 'zo handig' vinden...
Tja, dat 'zo handig' zullen mensen die er misbruik van willen
maken ook vinden.
AS
VNC is synoniem aan gevaarlijk. Alle forken ten spijt is er geen
enkele secure variant te vinden. RealVNC probeert nog wel wat
te doen aan de waardeloze beveiliging van de afgelopen jaren
maar het was een leip pakket en het blijft een leip pakket.
Welnee. VNC doet wat het zegt, namelijk ook een enkele account
(degene waarop je ingelogd bent), remote control bieden via een
wachtwoord. VNC pretendeerd niet (en heeft dat nooit gedaan), dat
je transport ook veilig is. Net zo min als de transport van HTTP, IMAP,
DNS, SMTP, en zo'n beetje elk protocol dat er bestaat. Al deze systemen
zeggen allemaal hetzelfde, namelijk dat je link secure moet zijn. Dit kan
je mogelijk garanderen door een VPN op te zetten, of door de boel over
een ssh tunneltje te gooien. Wat is er zo fundamenteel onveilig in het
VNC-protocol?
Als je bedoelt dat de implementatie onveilig is (er is namelijk een buffer-
overflow ontdekt), dan ben ik het met je eens dat dat stom is. Veilig
programmeren is een skill die iedereen die in C programmeerd toch
wel onder de knie zou moeten hebben, na +/-15 jaar ervaring met buffer
overflows. En als je dat niet kan: neem een highlevel language, en
accepteerd dat het ietsje langzamer gaat (je hebt andere security-
problemen, maar tenminste geen buffer overflows meer).
Zelfs als het 100% veilig was, blijven remote control programma's
zonder enige vorm van execute beperkingen levensgevaarlijk.
Om dezelfde reden vindt je dat ssh ook gevaarlijk is en afgeschaft moet
worden? Je moet een service natuurlijk niet als 'root' draaien, maar VNC
draait standaard (als het niet als service draait) als het account waarin je
ingelogd zit.
--------------------------------------------------------------------------------
Door tifkap op woensdag 17 mei 2006 03:26
Om dezelfde reden vindt je dat ssh ook gevaarlijk is en afgeschaft moet
worden? Je moet een service natuurlijk niet als 'root' draaien, maar VNC
draait standaard (als het niet als service draait) als het account waarin je
ingelogd zit.
--------------------------------------------------------------------------------
Waarom zou je ssh niet als 'root' kunnen laten draaien?
Je hebt toch een wachtwoord voor de ssh, en kan je nog uitbreiden met
een certificaat en een sleutel. Dus er is geen sprake van gevaarlijk.
Je auto van 30 of 40.000 euro laat je ook buiten staan, en ook ieder kan er
met een voorwerp het slot proberen te forceren.
Oftewel:
laat kostbare spullen nooit in je auto achter... dit weet iedereen.
laat belangrijke bestande nooit achter op een server die direct op internet
aangesloten zit.
Standaard kijk je altijd naar je mooie wagen.
Doe dit ook met log files van jou internet server, en neem aktie bij vreemde
regels. Tenslotte doe je dat ook met een kras op je auto.
Gevaarlijk is pas als je niet weet waar je mee bezig bent.
Zoals je pincode op je website zetten of tegen het verkeer inrijden op de
snelweg.
VNC bied je een uitstekende oplossing aan, maar hoe ga jij om met
gegevens?
Zet je dan echt alle pincodes en creditcard nummers in een tekst
bestandje met pasfoto en paspoort? En zet een leek dan zomaar poort
5900 of 22 open?
Dat is namelijk hetzelfde als een touwtje uit je brievenbus hangen
waarmee je de voordeur kan open trekken.
Gr. Alfred
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
