資安公司Forescout最新研究指出，全球約340萬台遠端存取服務伺服器（RDP與VNC）暴露於網際網路，對企業與工業環境構成重大風險。這些系統中相當比例存在弱驗證、過時系統或未修補漏洞，甚至直接連接工業控制系統（ICS, Industrial Control Systems）與營運技術（OT, Operational Technology）。研究顯示，攻擊者已積極利用這些弱點進行勒索軟體攻擊、橫向移動與實體系統滲透，顯示遠端存取已成為現代資安防禦的關鍵弱點。

1. 事件背景與概述

隨著遠端維運與數位轉型需求增加，遠端桌面協定（RDP, Remote Desktop Protocol）與虛擬網路運算（VNC, Virtual Network Computing）成為企業與工業環境的重要管理工具。然而，這些技術原本設計為「延伸內部網路」，並非直接暴露於網際網路。Forescout透過公開掃描工具分析發現：

• 約180萬台RDP與160萬台VNC伺服器對外暴露
• 經過過濾後，仍有約9.1萬台RDP與2.9萬台VNC可對應實際產業環境
• 部分系統直接連接工業控制設備或關鍵基礎設施

此外，遠端存取需求（如第三方維護、分散式基礎設施）使這類風險更難完全移除，進一步擴大攻擊面。

2. 重點分析

• 大規模暴露的遠端存取基礎設施：全球數百萬RDP與VNC服務直接暴露於網際網路，形成可被自動掃描與利用的攻擊入口。即使排除蜜罐與測試系統，仍有大量真實企業資產處於高風險狀態，顯示此問題具系統性。
• 驗證與存取控制機制薄弱：大量VNC服務未啟用身份驗證，或使用弱密碼，導致攻擊者可直接登入系統並操作應用程式或控制介面，幾乎等同於取得合法操作權限。
• 過時系統與已知漏洞持續存在，研究發現：

―          大量系統仍使用已停止支援的Windows版本

―          約19,000台RDP仍受BlueKeep漏洞影響

這類已知漏洞早已公開，但仍廣泛存在，顯示補丁管理與資產治理不足。

• 直接暴露ICS/OT系統的高風險案例：研究指出約數百台VNC伺服器可直接存取工業控制介面，甚至未經驗證即可操作。這意味攻擊者可直接影響實體設備（如水處理、製造設備），風險從資訊層面擴展至實體層面。
• 攻擊趨勢：從IT入侵轉向OT破壞，已觀察到：

―          國家級或駭客組織利用VNC攻擊OT系統

―          勒索軟體透過RDP入侵企業網路

―          殭屍網路感染大量暴露VNC設備

顯示遠端存取服務已成為跨IT/OT攻擊的重要跳板。

• 遠端存取設計與現代需求不匹配：傳統RDP/VNC設計目標為「連線便利性」，缺乏細緻的權限控制與行為監管。在現代分散式與關鍵基礎設施環境中，這種設計導致過度授權與持久存取風險。

3. 資安影響評估

• 對企業營運：遠端存取暴露使攻擊者能快速入侵內部網路並進行橫向移動，增加勒索軟體與資料外洩風險。
• 對工業控制與關鍵基礎設施：直接暴露的ICS/OT系統可能遭未授權操作，導致設備損壞、生產中斷甚至公共安全事件。
• 對資安架構：傳統VPN或遠端桌面模式已不足，需轉向「零信任」（Zero Trust）與細粒度存取控制架構。
• 對威脅態勢：攻擊者已將遠端存取服務視為高效率入侵入口，並發展自動化掃描與利用工具，威脅規模持續擴大。

4. 建議與因應措施

• 避免直接暴露RDP/VNC服務：應關閉對外開放的遠端存取服務，或限制於內部網路與安全閘道之後。
• 強化身份驗證與存取控制：導入多重驗證（MFA, Multi-Factor Authentication）與最小權限原則，防止未授權登入。
• 導入安全遠端存取架構：採用專用安全遠端存取解決方案（如跳板機、零信任網路存取），確保所有操作可控且可審計。
• 強化資產盤點與漏洞管理：全面盤點IT與OT資產，並優先修補已知高風險漏洞（如BlueKeep）。
• 監控與異常行為偵測：建立遠端連線監控機制，識別異常登入、橫向移動與可疑操作。
• OT環境隔離與分段：實施網路分段（Segmentation），避免遠端存取直接連接關鍵控制系統。

5. 結論

資料來源：https://industrialcyber.co/industrial-cyber-attacks/forescout-finds-3-4-million-rdp-and-vnc-servers-exposed-raising-risks-to-ot-and-enterprise-networks/