Mnogi sustavi pcAnywhere još uvijek sjede patke

Unatoč upozorenjima proizvođača sigurnosnih softvera Symantec da ne povezuje svoj pcAnywhere softver za daljinski pristup s Internetom, čini se da više od 140 000 računala ostaje konfigurirano da dopušta izravne veze s Interneta, čime ih dovodi u opasnost.

Tijekom vikenda, tvrtka za upravljanje ranjivostima Rapid7 skenirala je otkrivene sustave s pcAnywhere i otkrila da bi deseci tisuća instalacija vjerojatno mogli biti napadnuti putem neotkrivenih ranjivosti u softveru jer izravno komuniciraju s Internetom. Možda je najveću brigu to što se čini da je mali, ali značajan dio sustava posvećena računala na prodajnom mjestu, gdje se pcAnywhere koristi za daljinsko upravljanje uređajem, kaže HD Moore, glavni sigurnosni direktor Rapid7-a.

"Jasno je da se pcAnywhere još uvijek široko koristi u određenim nišama, posebno na prodajnim mjestima", kaže Moore, dodajući da se povezivanjem softvera izravno na Internet "organizacije izlažu riziku daljinskog kompromisa ili krađe lozinke na daljinu". . "

Linije napada

"Većina se ljudi brine može li netko izravno ući u njihov sustav, a na temelju [nedavnih ranjivosti] ne morate biti najzahtjevniji istraživač da biste ... iskoristili te sustave", kaže Moore.

Prošli je tjedan HP TippingPoint-ova inicijativa Zero Day izvijestila o jednoj takvoj ranjivosti koja bi se mogla koristiti za preuzimanje kontrole nad bilo kojom rizičnom instalacijom pcAnywhere koja je povezana na Internet.

Sigurnost pcAnywhere našla se na lupu ovog mjeseca nakon što je Symantec priznao da je izvorni kôd proizvoda ukraden 2006. Iako krađa samog izvornog koda nije ugrozila korisnike, potencijalni napadači koji analiziraju kôd vjerojatno će pronaći ranjivosti. Na primjer, kada je Symantec ponovno pogledao izvorni kod nakon krađe, tvrtka je pronašla ranjivosti koje bi napadačima mogle omogućiti da prisluškuju komunikacije, zgrabe sigurne ključeve, a zatim daljinski upravljaju računalom - ako napadači mogu pronaći način da presretati komunikacije.

Symantec je prošli tjedan objavio zakrpe za probleme koje je tvrtka pronašla tijekom analize izvornog koda, kao i za ozbiljniju ranjivost koju je izvijestila Zero Day Initiative. U ponedjeljak je tvrtka također ponudila besplatnu nadogradnju svim kupcima pcAnywhere, ističući da su korisnici koji ažuriraju svoj softver i slijede njegove sigurnosne savjete na sigurnom.

Otvorena za nestašluke

"Pretpostavljam da je većina tih sustava već [ugrožena] ili će uskoro biti, jer je to tako lako učiniti. A to će biti lijepa velika botnet mreža", kaže Chris Wysopal, tehnički direktor u Veracodeu, testiranje sigurnosti aplikacija društvo.

Rapid7 je tijekom vikenda skenirao više od 81 milijuna internetskih adresa - oko 2,3 posto adresiranog prostora. Od tih adresa, više od 176 000 imalo je otvoreni port koji se podudara s adresama luka koje koristi pcAnywhere. Velika većina tih hostova, međutim, nije odgovorila na zahtjeve: gotovo 3.300 je odgovorilo na sondu pomoću protokola za kontrolu prijenosa (TCP), a još 3.700 je odgovorilo na sličan zahtjev pomoću korisničkog protokola datagrama (UDP). 4.547 domaćina kombinirano je odgovorilo na jednu od dvije sonde.

Ekstrapolirajući se na cijeli adresirani Internet, skenirani uzorak sugerira da bi se TCP ili UDP sondom moglo kontaktirati gotovo 200 000 hostova, a više od 140 000 hostova moglo bi biti napadnuto pomoću TCP-a. Prema Mooreovom istraživanju, više od 7,6 milijuna sustava možda preslušava bilo koji od dva porta koja koristi pcAnywhere.

Skeniranje Rapid7 taktika je preuzeta iz knjige napadača. Zlonamjerni glumci često skeniraju Internet kako bi pratili ranjive domaćine, kaže Veracodeov Wysopal.

"Poznato je da je pcAnywhere rizik i da se neprestano skenira pa napadači znaju kad krenu van", kaže on.

Planovi zaštite

Tvrtka je objavila bijelu knjigu s preporukama za osiguranje pcAnywhere instalacija. Tvrtke trebaju ažurirati na najnoviju verziju softvera, pcAnywhere 12.5, i primijeniti zakrpu. Računalo domaćin ne bi trebalo biti izravno povezano s Internetom, već ga treba zaštititi vatrozidom postavljenim da blokira zadane portove pcAnywhere: 5631 i 5632.

Uz to, tvrtke ne bi trebale koristiti zadani poslužitelj pcAnywhere Access, naveo je Symantec. Umjesto toga, trebali bi koristiti VPN-ove za povezivanje s lokalnom mrežom, a zatim pristup hostu.

"Da bi ograničili rizik iz vanjskih izvora, kupci bi trebali onemogućiti ili ukloniti Access Server i koristiti udaljene sesije putem sigurnih VPN tunela", kaže tvrtka.

U mnogim su slučajevima korisnici pcAnywhere korisnici malih tvrtki koji podršku svojih sustava prenose na vanjske strane. Mali postotak sustava koji su odgovorili na Mooreova skeniranja uključivao je "POS" kao dio naziva sustava, što sugerira da su sustavi prodajnih mjesta uobičajena primjena pcAnywhere. Otprilike 2,6 posto od otprilike 2000 računala Bilo gdje domaćini čiji namse se mogu dobiti imali su neku inačicu "POS" na etiketi.

"Okruženje prodajnih mjesta strašno je u sigurnosnom smislu", kaže Moore. "Iznenađujuće je da je riječ o velikoj koncentraciji."

Ova je priča "Mnogi sustavi pcAnywhere još uvijek sjede patke" izvorno objavljena na .com. Doznajte prvu riječ o tome što važne tehnološke vijesti stvarno znače s blogom Tech Watch. Za najnovija dostignuća u vijestima o poslovnoj tehnologiji, slijedite .com na Twitteru.