Специалисты из Forescout поделились результатами большого исследования — насчитали 3,4 млн открытых RDP- и VNC-серверов в интернете и объясняют, почему промышленности пора менять подход к удалённому доступу. Далее расскажем об этом подробнее. А ещё разберем критическую уязвимость Pack2TheRoot в PackageKit, которая позволяет любому локальному пользователю получить права root без пароля.
Миллионы RDP- и VNC-серверов открыты в интернет, под угрозой — промышленные сети
Компания Forescout Technologies опубликовала исследование, которое фиксирует масштаб проблемы незащищённого удалённого доступа в промышленных и корпоративных сетях. В интернете обнаружено 1,8 млн серверов с открытым RDP и 1,6 млн — с открытым VNC.
Это исследование в очередной раз указывает на большую роль человеческого фактора в безопасности, что создаёт серьёзные риски для компаний и бизнеса.
Одно из возможных решений для крупного бизнеса — полный отказ от RDP и VNC в открытом интернете и переход на современные решения Secure Remote Access (SRA).
Что обнаружили
По данным Shodan, 22% открытых RDP-серверов находятся в Китае, 20% — в США, 8% — в Германии. По VNC картина острее: Китай — 70%, США — 7%, Германия — 2%.
После фильтрации по отраслям (с исключением провайдеров и хостингов, где часто размещаются ханипоты — компьютеры-ловушки для отлова хакеров) исследователи выделили 91 тысячу открытых RDP-серверов и 29 тысяч VNC, поддающихся отраслевой привязке.
Среди открытых RDP-серверов по отраслям лидируют:
- ритейл — 32%
- сервисы — 23%
- образование — 16%
- производство — 15%
Среди открытых VNC-серверов:
- образование — 28%
- сервисы — 22%
- здравоохранение — 17%
- ритейл — 9%
Дополнительные риски:
- 18% открытых RDP-серверов работают на версиях Windows, снятых с поддержки; ещё 42% — на Windows 10, которая тоже недавно вышла из цикла поддержки.
- Более 19 000 RDP-серверов уязвимы перед критической уязвимостью BlueKeep.
- Почти 60 000 VNC-серверов работают без аутентификации — из них более 670 напрямую подключены к панелям управления OT-систем и промышленных контроллеров (ICS).
Кого затронуло
Угроза актуальна для любой организации, в сети которой есть RDP- или VNC-серверы с прямым выходом в интернет — особенно в производстве, транспорте, энергетике и здравоохранении. Хактивистские группы активно сканируют сеть в поисках открытых VNC-серверов и публично делятся инструментами для их поиска и эксплуатации. Ботнет REDHEBERG с февраля заразил почти 40 000 открытых VNC-узлов.
Отдельную проблему представляют недокументированные каналы удалённого доступа, которые создают подрядчики и производители оборудования, — они часто работают без какого-либо контроля.
Как снизить угрозу безопасности компаниям и организациям
- Закрыть прямой доступ к RDP и VNC из интернета — эти протоколы не предназначены для публичного размещения.
- Инвентаризировать все каналы удалённого доступа, включая подрядческие и вендорские.
- Перейти от VPN и jump-хостов к современным решениям для защищённого удалённого доступа (Secure Remote Access, SRA), которые изолируют сессии и обеспечивают их аудит.
- Обеспечить постоянную видимость активов в сети — без понимания того, что подключено, управлять доступом невозможно.
- Отключить аутентификацию по умолчанию там, где она отсутствует, и обновить или изолировать устаревшие системы.
Надо отметить, что SRA не предназначен для частных лиц — это корпоративное решение для промышленных сетей. Поэтому обычным пользователям достаточно соблюдать базовые правила: своевременно обновлять ПО, использовать легальные сервисы удалённого доступа, задавать сложные пароли и включать 2FA-аутентификацию. А также никогда не оставлять VNC-серверы без пароля.
Компаниям необходима смена архитектуры доступа с переходом на SRA, обычным пользователям — соблюдение элементарных мер предосторожности.
Уязвимость в PackageKit позволяет установить произвольный пакет с правами root
Специалисты Deutsche Telekom Red Team обнаружили уязвимость в PackageKit — демоне, который управляет установкой, обновлением и удалением пакетов в Linux-системах. Баг получил кодовое имя Pack2TheRoot, идентификатор CVE-2026-41651 и оценку 8,8 по шкале CVSS.
Что за уязвимость и как работает
Уязвимость относится к классу TOCTOU — «время проверки / время использования». По сути, это комбинация трёх ошибок: пользовательские флаги транзакции записываются без проверки авторизации и даже в момент её выполнения. В итоге бэкенд PackageKit обрабатывает флаги атакующего, а не оригинальные.
Это позволяет непривилегированному пользователю устанавливать произвольные RPM-пакеты — включая пакеты со скриптлетами — с правами root и без прохождения аутентификации. Эксплуатация занимает считанные секунды.
После успешной атаки демон PackageKit завершает работу из-за assertion failure. Systemd перезапускает его при следующем D-Bus-вызове, поэтому отказа в обслуживании не происходит. Тем не менее сбой фиксируется в логах и может служить индикатором компрометации.
Технические детали и PoC-эксплоит пока не опубликованы — исследователи дают время на распространение патчей.
Кого затронуло
Уязвимость присутствует в PackageKit начиная с версии 1.0.2 (ноябрь 2014 года) и до версии 1.3.4 включительно. По данным исследователей, баг мог существовать ещё с версии 0.8.1, выпущенной около 14 лет назад.
Эксплуатация подтверждена:
- на Ubuntu Desktop 18.04 (EOL) и 24.04.4 LTS, Ubuntu 26.04 LTS beta, Ubuntu Server 22.04–24.04 LTS,
- Debian Desktop Trixie 13.4,
- RockyLinux Desktop 10.1,
- Fedora 43 Desktop и Fedora 43 Server.
Это неисчерпывающий список: уязвимыми можно считать все дистрибутивы, в которых PackageKit предустановлен и включён по умолчанию.
Кроме того, PackageKit является опциональной зависимостью Cockpit, поэтому серверы с установленным Cockpit — включая Red Hat Enterprise Linux — также могут быть уязвимы.
Как защититься
Уязвимость устранена в PackageKit версии 1.3.5. Патчи уже включены в обновления для Debian, Ubuntu и Fedora.
Проверить установленную версию PackageKit:
dpkg -l | grep -i packagekit # Debian/Ubuntu
rpm -qa | grep -i packagekit # RHEL/FedoraПроверить, запущен ли демон:
systemctl status packagekit
pkmonРекомендуем обновиться как можно скорее.
Возможно, вам будет интересно
