数百面向互联网的 VNC 服务器暴露 ICS/OT

Forescout 的研究显示，数百万远程访问的 RDP 和 VNC 服务器暴露在互联网上，其中数百台可能提供对工业控制系统（ICS）和其他运营技术（OT）的访问。

RDP（远程桌面协议）和 VNC（虚拟网络计算）广泛用于远程访问，但若无安全网关，不应将它们直接暴露在开放的互联网中。

Shodan 搜索表明，约有 180 万个 RDP 服务器和 160 万个 VNC 服务器暴露在互联网上。Forescout 判定，这些服务器多数为蜜罐、互联网服务提供商（ISP）和主机托管提供商，但研究人员仍发现 9.1 万个 RDP 服务器和 2.9 万个 VNC 服务器可与特定行业相关联。

相当一部分暴露的服务器由零售、教育、服务、制造和医疗保健等行业的机构托管。

分析显示，许多暴露的服务器运行的 Windows 版本已到生命周期尽头或不再受支持。超过 1.9 万个 RDP 服务器易受名为 “蓝保”（BlueKeep）的旧漏洞影响，该漏洞已被各类威胁行为者利用。

此外，近 6 万个 VNC 服务器未启用身份验证。最令人担忧的发现之一是，其中 670 个 VNC 服务器无需身份验证即可直接访问 ICS/OT 操作面板。

对攻击者而言，获取这些信息物理系统（CPS）的访问权限价值极高，且这种威胁并非理论上的。

Forescout 指出，如 2025 年 12 月政府机构所警告的，与俄罗斯有关联的黑客已知会通过 VNC 攻击 OT 系统。

一个与俄罗斯有关联的组织，名为 “基础设施破坏小队”（IDS，又称 “黑暗引擎”），最近分享了一款用于扫描 RDP、VNC 和 OT 特定协议的工具。

Forescout 称：“2 月 23 日，该组织分享了一段据称是以色列一个遭入侵的地下水泵站的视频，称是通过这款工具发现的。3 月 9 日，该组织又分享了该工具针对特定目标集运行的另一个例子，其中包括土耳其一个控制系统的 VNC 截图。在这两条帖子之间，该组织还宣传出售对捷克一个暴露的监控与数据采集（SCADA）系统的访问权限。”

除这些攻击外，这家网络安全公司还指出，受利益驱动的网络犯罪分子一直在滥用 RDP 来部署勒索软件，自 2 月以来，Redheberg 僵尸网络已感染了近 4 万个暴露的 VNC 服务器。

各机构可通过使用专门的安全远程访问解决方案，包括专为访问敏感 CPS 设计的方案，来降低这些风险。