Til tross for advarsler fra produsenten av sikkerhetsprogramvaren Symantec om ikke å koble sin pcAnywhere-programvare for ekstern tilgang til Internett, ser det ut til at mer enn 140.000 datamaskiner forblir konfigurert for å tillate direkte tilkoblinger fra Internett, og derved sette dem i fare.
I løpet av helgen søkte sårbarhetsstyringsfirmaet Rapid7 etter eksponerte systemer som kjørte pcAnywhere og fant at titusenvis av installasjoner sannsynligvis kunne bli angrepet gjennom upatchede sårbarheter i programvaren fordi de kommuniserer direkte med Internett. Den største bekymringen er kanskje at en liten, men betydelig brøkdel av systemene ser ut til å være dedikerte salgssteder, hvor pcAnywhere brukes til ekstern styring av enheten, sier HD Moore, Rapid7s sikkerhetssjef.
"Det er klart at pcAnywhere fortsatt er mye brukt i spesifikke nisjer, spesielt salgssted," sier Moore og legger til at ved å koble programvaren direkte til Internett, "risikerer organisasjoner seg for kompromiss eller ekstern passordtyveri . "
Angrepslinjer "De fleste bekymrer seg for om noen kan komme inn i systemet deres direkte, og basert på [nylige sårbarheter] trenger du ikke å være den mest hardcore forskeren for å ... utnytte disse systemene," sier Moore. I forrige uke rapporterte HP TippingPoints Zero Day Initiative et sårbarhet som kunne brukes til å ta kontroll over enhver pcAnywhere-installasjon med risiko som er koblet til Internett. pcAnywhere's sikkerhet ble undersøkt denne måneden etter at Symantec erkjente at kildekoden for produktet var stjålet i 2006. Selv om tyveriet av selve kildekoden ikke truet brukere, vil potensielle angripere som analyserer koden sannsynligvis finne sårbarheter. Da Symantec for eksempel tok en titt på kildekoden etter tyveriet, fant selskapet sårbarheter som kan gjøre det mulig for angripere å avlytte kommunikasjon, gripe de sikre nøklene og deretter styre datamaskinen eksternt - hvis angriperne kunne finne en måte å avlytte kommunikasjon. Symantec publiserte oppdateringer i forrige uke for problemene selskapet fant under kildekodeanalysen, samt den mer alvorlige sårbarheten som ble rapportert av Zero Day Initiative. Mandag tilbød selskapet også en gratis oppgradering til alle pcAnywhere-kunder, og understreket at brukere som oppdaterer programvaren og følger sikkerhetsrådene, var trygge. Åpen for ondskap "Jeg vil gjette at flertallet av disse systemene allerede er [kompromittert] eller vil være innen kort tid, fordi det er så enkelt å gjøre. Og det vil gjøre et fint stort botnet," sier Chris Wysopal, CTO hos Veracode, en applikasjonssikkerhetstesting. selskap. Rapid7 skannet mer enn 81 millioner internettadresser i løpet av helgen - omtrent 2,3 prosent av den adresserbare plassen. Av disse adressene hadde mer enn 176 000 en åpen port som samsvarte med portadressene som ble brukt av pcAnywhere. De aller fleste av disse vertene svarte imidlertid ikke på forespørsler: nesten 3300 svarte på en sonde ved hjelp av overføringskontrollprotokollen (TCP), og ytterligere 3700 svarte på lignende forespørsel ved hjelp av brukerdataprotokollen (UDP). Til sammen svarte 4547 verter på en av de to sonder. Ekstrapolering til hele det adresserbare Internett antyder det skannede prøvesettet at nesten 200 000 verter kan kontaktes av enten en TCP- eller UDP-probe, og mer enn 140 000 verter kan angripes ved hjelp av TCP. Mer enn 7,6 millioner systemer kan høre på en av de to portene som brukes av pcAnywhere, ifølge Moores forskning. Rapid7s skanning er en taktikk hentet fra angriperens spillbok. Ondsinnede skuespillere skanner ofte Internett for å holde oversikt over sårbare verter, sier Veracodes Wysopal. "Det er kjent at pcAnywhere er en risiko og skannes kontinuerlig, så når en sårbarhet kommer ut, vet angripere hvor de skal dra," sier han. Beskyttelsesplaner Selskapet ga ut en whitepaper med anbefalinger for å sikre pcAnywhere-installasjoner. Bedrifter må oppdatere til den nyeste versjonen av programvaren, pcAnywhere 12.5, og bruke oppdateringen. Vertsdatamaskinen skal ikke være koblet direkte til Internett, men være beskyttet av en brannmur satt for å blokkere standard pcAnywhere-porter: 5631 og 5632. I tillegg bør selskaper ikke bruke standard pcAnywhere Access-server, uttalte Symantec. I stedet bør de bruke VPN-er for å koble til det lokale nettverket og deretter få tilgang til verten. "For å begrense risikoen fra eksterne kilder, bør kundene deaktivere eller fjerne Access Server og bruke eksterne økter via sikre VPN-tunneler," sier selskapet. I mange tilfeller er pcAnywhere-brukere småbedriftsfolk som outsource støtte for systemene sine. En liten prosentandel av systemene som reagerte på Moores skanninger inkluderte "POS" som en del av systemnavnet, noe som tyder på at salgssteder er en vanlig applikasjon av pcAnywhere. Cirka 2,6 prosent av de rundt 2000 pcAnywhere-vertene hvis navn kunne oppnås, hadde en variant av "POS" i etiketten. "Salgsmiljøet er forferdelig når det gjelder sikkerhet," sier Moore. "Det er overraskende at det er en stor konsentrasjon." Denne historien, "Mange pcAnywhere-systemer som fremdeles sitter ender", ble opprinnelig publisert på .com. Få det første ordet om hva de viktige tekniske nyhetene egentlig betyr med Tech Watch-bloggen. For å få den siste utviklingen i nyheter om forretningsteknologi, følg .com på Twitter.
