Programmering

Mange pcAnywhere-systemer sidder stadig ænder

På trods af advarsler fra producenten af ​​sikkerhedssoftware Symantec om ikke at forbinde sin pcAnywhere-software til fjernadgang til Internettet, ser det ud til, at mere end 140.000 computere forbliver konfigureret til at tillade direkte forbindelser fra Internettet og derved sætte dem i fare.

I weekenden scannede sårbarhedsstyringsfirmaet Rapid7 efter udsatte systemer, der kører pcAnywhere og fandt ud af, at titusinder af installationer sandsynligvis kunne blive angrebet gennem ikke-patchede sårbarheder i softwaren, fordi de direkte kommunikerer med Internettet. Måske den største bekymring er, at en lille, men betydelig del af systemerne ser ud til at være dedikerede salgssteder, hvor pcAnywhere bruges til fjernstyring af enheden, siger HD Moore, Rapid7s sikkerhedschef.

"Det er klart, at pcAnywhere stadig bruges i vid udstrækning i specifikke nicher, især salgssted," siger Moore og tilføjer, at organisationer ved at forbinde softwaren direkte til internettet "risikerer at gå på kompromis med fjernsyn eller fjernt adgangskodetyveri. . "

Angrebslinjer

"De fleste bekymrer sig om, hvorvidt nogen kan komme ind i deres system direkte, og baseret på [nylige sårbarheder] behøver du ikke være den mest hardcore forsker for at ... udnytte disse systemer," siger Moore.

I sidste uge rapporterede HP TippingPoints Zero Day Initiative en sådan sårbarhed, der kunne bruges til at tage kontrol over enhver risiko-pcAnywhere-installation, der er forbundet til Internettet.

pcAnywhere's sikkerhed kom under kontrol i denne måned, efter at Symantec anerkendte, at kildekoden til produktet var blevet stjålet i 2006. Selv om tyveriet af selve kildekoden ikke udgjorde en fare for brugerne, vil potentielle angribere, der analyserer koden sandsynligvis finde sårbarheder. Da Symantec for eksempel kiggede igen på kildekoden efter tyveriet, fandt virksomheden sårbarheder, der kunne give angribere mulighed for at aflytte kommunikation, få fat i de sikre nøgler og derefter fjernstyre computeren - hvis angriberne kunne finde en måde at aflytte kommunikation.

Symantec offentliggjorde patches i sidste uge for de problemer, virksomheden fandt under sin kildekodeanalyse, samt den mere alvorlige sårbarhed rapporteret af Zero Day Initiative. Mandag tilbød virksomheden også en gratis opgradering til alle pcAnywhere-kunder og understregede, at brugere, der opdaterer deres software og følger dets sikkerhedsråd, var sikre.

Åben for ondskab

"Jeg vil gætte, at størstedelen af ​​disse systemer allerede er [kompromitteret] eller vil være inden for kort tid, fordi det er så let at gøre. Og det vil skabe et dejligt stort botnet," siger Chris Wysopal, CTO hos Veracode, en applikationssikkerhedstest Selskab.

Rapid7 scannede mere end 81 millioner internetadresser i løbet af weekenden - cirka 2,3 procent af det adresserbare rum. Af disse adresser havde mere end 176.000 en åben port, der matchede de portadresser, der blev brugt af pcAnywhere. Langt størstedelen af ​​disse værter svarede dog ikke på anmodninger: næsten 3.300 reagerede på en sonde ved hjælp af transmissionsstyringsprotokollen (TCP), og en anden 3.700 svarede på lignende anmodning ved hjælp af brugerdatagramprotokollen (UDP). Tilsammen svarede 4.547 værter på en af ​​de to sonder.

Ekstrapolering til hele det adresserbare internet antyder det scannede prøvesæt, at næsten 200.000 værter kunne kontaktes af enten en TCP- eller UDP-probe, og mere end 140.000 værter kunne angribes ved hjælp af TCP. Mere end 7,6 millioner systemer lytter muligvis i en af ​​de to porte, der bruges af pcAnywhere, ifølge Moores forskning.

Rapid7's scanning er en taktik hentet fra angribernes playbog. Ondsindede skuespillere scanner ofte Internettet for at holde styr på sårbare værter, siger Veracodes Wysopal.

”pcAnywhere er kendt for at være en risiko og scannes konstant, så når en sårbarhed kommer ud, ved angribere, hvor de skal hen,” siger han.

Beskyttelsesplaner

Virksomheden udgav en hvidbog med anbefalinger til sikring af pcAnywhere-installationer. Virksomheder skal opdatere til den nyeste version af softwaren pcAnywhere 12.5 og anvende programrettelsen. Værtscomputeren skal ikke have forbindelse direkte til internettet, men være beskyttet af en firewall, der er indstillet til at blokere standard pcAnywhere-porte: 5631 og 5632.

Derudover bør virksomheder ikke bruge standard pcAnywhere Access-serveren, sagde Symantec. I stedet skal de bruge VPN'er til at oprette forbindelse til det lokale netværk og derefter få adgang til værten.

"For at begrænse risikoen fra eksterne kilder bør kunder deaktivere eller fjerne Access Server og bruge eksterne sessioner via sikre VPN-tunneler," siger virksomheden.

I mange tilfælde er pcAnywhere-brugere små virksomheder, der outsourcer support af deres systemer. En lille procentdel af systemer, der reagerede på Moores scanninger, inkluderede "POS" som en del af systemnavnet, hvilket antyder, at salgssteder er en almindelig anvendelse af pcAnywhere. Cirka 2,6 procent af de cirka 2.000 pcAnywhere-værter, hvis navn kunne opnås, havde en variant af "POS" i etiketten.

"Miljøet ved salgsstedet er forfærdeligt med hensyn til sikkerhed," siger Moore. "Det er overraskende, at det er en stor koncentration."

Denne historie, "Mange pcAnywhere-systemer, der stadig sidder ænder", blev oprindeligt offentliggjort på .com. Få det første ord om, hvad de vigtige tekniske nyheder virkelig betyder med Tech Watch-bloggen. For at få den nyeste udvikling inden for nyheder inden for forretningsteknologi, følg .com på Twitter.

Copyright verticalshadows.com 2021