Много системи pcAnywhere все още седят патици

Въпреки предупрежденията от производителя на софтуер за сигурност Symantec да не свързва своя компютър pnyAnywhere софтуер за отдалечен достъп към Интернет, изглежда, че над 140 000 компютъра остават конфигурирани да позволяват директни връзки от интернет, като по този начин ги излагат на риск.

През уикенда фирмата за управление на уязвимости Rapid7 сканира за открити системи, работещи с pcAnywhere, и установи, че десетки хиляди инсталации вероятно могат да бъдат атакувани чрез неизправени уязвимости в софтуера, тъй като те директно комуникират с интернет. Може би най-голямото притеснение е, че малка, но значителна част от системите изглежда са специализирани компютри на място, където pcAnywhere се използва за дистанционно управление на устройството, казва HD Moore, главен служител по сигурността на Rapid7.

„Ясно е, че pcAnywhere все още се използва широко в конкретни ниши, особено на местата за продажба“, казва Мур и добавя, че чрез свързване на софтуера директно към Интернет, „организациите се излагат на риск от отдалечен компромис или кражба на парола от разстояние . "

Линии за атака

„Повечето хора се притесняват дали някой може да влезе директно в тяхната система и въз основа на [скорошни уязвимости] не е нужно да сте най-твърдият изследовател, за да ... експлоатирате тези системи“, казва Мур.

Миналата седмица инициативата на HP TippingPoint за нулев ден отчете една такава уязвимост, която може да се използва за контрол на всяка рискова инсталация pcAnywhere, свързана с интернет.

Сигурността на pcAnywhere беше подложена на контрол този месец, след като Symantec призна, че изходният код на продукта е откраднат през 2006 г. Въпреки че кражбата на самия изходен код не е застрашила потребителите, потенциалните нападатели, които анализират кода, вероятно ще намерят уязвимости. Когато Symantec погледна отново изходния код след кражбата, например, компанията откри уязвимости, които биха могли да позволят на нападателите да подслушват комуникациите, да вземат защитените ключове и след това да управляват дистанционно компютъра - ако нападателите могат да намерят начин да прихващат комуникации.

Symantec публикува кръпки миналата седмица за проблемите, които компанията откри по време на анализа на изходния код, както и за по-сериозната уязвимост, докладвана от Zero Day Initiative В понеделник компанията предложи и безплатен ъпгрейд за всички клиенти на pcAnywhere, подчертавайки, че потребителите, които актуализират своя софтуер и следват съветите за сигурност, са в безопасност.

Отворен за пакости

"Предполагам, че по-голямата част от тези системи вече са [компрометирани] или скоро ще бъдат, защото това е толкова лесно да се направи. И това ще направи хубав голям ботнет", казва Крис Уисопал, технически директор във Veracode, тестване за сигурност на приложенията компания.

Rapid7 сканира над 81 милиона интернет адреса през уикенда - около 2,3 процента от адресируемото пространство. От тези адреси над 176 000 са имали отворен порт, който съответства на адресите на портовете, използвани от pcAnywhere. По-голямата част от тези хостове обаче не отговориха на заявки: почти 3300 отговориха на сонда, използвайки протокола за управление на предаването (TCP), а други 3700 отговориха на подобна заявка, използвайки потребителския протокол за дейтаграми (UDP). Комбинирани 4,547 домакина отговориха на една от двете сонди.

Екстраполирайки се към целия адресируем интернет, сканираният пробен набор предполага, че близо 200 000 хоста могат да бъдат свързани чрез TCP или UDP сонда и повече от 140 000 хоста могат да бъдат атакувани чрез TCP. Над 7,6 милиона системи може да слушат на всеки от двата порта, използвани от pcAnywhere, според изследването на Moore.

Сканирането на Rapid7 е тактика, взета от книгата за игри на нападателите. Злонамерените актьори често сканират интернет, за да проследяват уязвимите хостове, казва Wysopal на Veracode.

„Известно е, че pcAnywhere представлява риск и се сканира постоянно, така че когато излезе уязвимост, нападателите знаят къде да отидат“, казва той.

Планове за защита

Компанията пусна бяла книга с препоръки за осигуряване на инсталации pcAnywhere. Компаниите трябва да актуализират до последната версия на софтуера pcAnywhere 12.5 и да приложат корекцията. Компютърът домакин не трябва да бъде свързан директно към Интернет, но да бъде защитен от защитна стена, настроена да блокира портовете pcAnywhere по подразбиране: 5631 и 5632.

Освен това компаниите не трябва да използват сървъра pcAnywhere Access по подразбиране, заяви Symantec. Вместо това те трябва да използват VPN, за да се свържат с локалната мрежа и след това да получат достъп до хоста.

„За да ограничат риска от външни източници, клиентите трябва да деактивират или премахнат Access Server и да използват отдалечени сесии чрез защитени VPN тунели“, казва компанията.

В много случаи потребителите на pcAnywhere са хора от малкия бизнес, които възлагат поддръжка на своите системи. Малък процент от системите, отговорили на сканирането на Мур, включват „POS“ като част от името на системата, което предполага, че системите за продажба на място са често срещано приложение на pcAnywhere. Около 2,6% от приблизително 2000 pcВсички хостове, чиито namse могат да бъдат получени, имат някакъв вариант на "POS" в етикета.

„Средата на мястото на продажба е ужасна от гледна точка на сигурността“, казва Мур. "Изненадващо е, че става дума за голяма концентрация."

Тази история, "Много системи pcAnywhere все още седят патици", първоначално е публикувана в .com. Разберете първата дума за това какво всъщност означават важните технически новини с блога на Tech Watch. За най-новите разработки в новините за бизнес технологии, следвайте .com в Twitter.