Přes varování výrobce bezpečnostního softwaru Symantec nepřipojovat svůj software pcAnywhere pro vzdálený přístup k Internetu se zdá, že více než 140 000 počítačů zůstává nakonfigurováno tak, aby umožňovalo přímé připojení z Internetu, což je ohrožuje.
O víkendu firma Rapid7 pro správu zranitelností prohledala exponované systémy se systémem pcAnywhere a zjistila, že by mohly být napadeny desítky tisíc instalací prostřednictvím neopravených chyb zabezpečení v softwaru, protože přímo komunikují s internetem. Pravděpodobně největší obavou je, že malá, ale významná část systémů se jeví jako vyhrazené počítače v místě prodeje, kde se pcAnywhere používá ke vzdálené správě zařízení, říká HD Moore, hlavní bezpečnostní pracovník společnosti Rapid7.
„Je zřejmé, že program pcAnywhere je stále široce používán v konkrétních oblastech, zejména v prodejních místech,“ říká Moore a dodává, že připojením softwaru přímo k internetu „se organizace vystavují riziku vzdáleného kompromisu nebo krádeže hesla na dálku. . “
Řádky útoku „Většina lidí si dělá starosti s tím, zda se někdo může dostat přímo do jejich systému, a na základě [nedávných zranitelností] nemusíte být nejnáročnějším výzkumným pracovníkem, který by ... využíval tyto systémy,“ říká Moore. Minulý týden hlásila iniciativa Zero Day Initiative společnosti HP TippingPoint jednu takovou chybu zabezpečení, kterou lze použít k převzetí kontroly nad jakoukoli ohroženou instalací pcAnywhere připojenou k internetu. Zabezpečení pcAnywhere prošlo kontrolou tento měsíc poté, co společnost Symantec uznala, že zdrojový kód produktu byl odcizen v roce 2006. I když samotná krádež zdrojového kódu uživatele neohrozila, potenciální útočníci, kteří kód analyzují, pravděpodobně naleznou chyby zabezpečení. Když se Symantec například po krádeži znovu podíval na zdrojový kód, našla společnost chyby zabezpečení, které by útočníkům umožnily odposlouchávat komunikaci, popadnout zabezpečené klíče a poté dálkově ovládat počítač - pokud by útočníci našli způsob, jak zachytit komunikaci. Společnost Symantec minulý týden zveřejnila opravy problémů, které společnost našla během analýzy zdrojového kódu, a také závažnější zranitelnost hlášenou iniciativou Zero Day Initiative. V pondělí společnost také nabídla bezplatný upgrade všem zákazníkům pcAnywhere a zdůraznila, že uživatelé, kteří aktualizují svůj software a řídí se jeho bezpečnostními radami, jsou v bezpečí. Otevřený neplechu „Hádal bych, že většina těchto systémů je již [kompromitována] nebo bude brzy, protože je to tak snadné. A z toho bude pěkný velký botnet,“ říká Chris Wysopal, technický ředitel společnosti Veracode, testování zabezpečení aplikací společnost. Rapid7 o víkendu naskenoval více než 81 milionů internetových adres - asi 2,3 procenta adresovatelného prostoru. Z těchto adres mělo více než 176 000 otevřený port, který odpovídal adresám portů používaných programem pcAnywhere. Drtivá většina těchto hostitelů však neodpověděla na požadavky: téměř 3300 odpovědělo na sondu pomocí protokolu pro řízení přenosu (TCP) a dalších 3700 odpovědělo na podobný požadavek pomocí protokolu uživatelského datagramu (UDP). Na jednu ze dvou sond celkem odpovědělo 4547 hostitelů. Při extrapolaci na celý adresovatelný internet naskenovaná ukázková sada naznačuje, že pomocí sondy TCP nebo UDP lze kontaktovat téměř 200 000 hostitelů a pomocí TCP lze napadnout více než 140 000 hostitelů. Podle Moorova výzkumu může na jednom ze dvou portů používaných programem pcAnywhere naslouchat více než 7,6 milionu systémů. Skenování Rapid7 je taktika převzatá z příručky útočníků. Škodliví herci často skenují internet, aby sledovali zranitelné hostitele, říká Wysopal od společnosti Veracode. „Je známo, že program pcAnywhere je rizikem a je neustále kontrolován, takže když vyjde chyba zabezpečení, útočníci vědí, kam jít,“ říká. Plány ochrany Společnost vydala dokument s doporučeními pro zabezpečení instalací pcAnywhere. Společnosti musí provést aktualizaci na nejnovější verzi softwaru pcAnywhere 12.5 a použít opravu. Hostitelský počítač by neměl být připojen přímo k internetu, ale měl by být chráněn bránou firewall nastavenou tak, aby blokovala výchozí porty pcAnywhere: 5631 a 5632. Společnosti by navíc neměly používat výchozí server pcAnywhere Access, uvedl Symantec. Místo toho by se k připojení k místní síti a následnému přístupu k hostiteli měli používat VPN. „Aby se omezilo riziko z externích zdrojů, měli by zákazníci deaktivovat nebo odebrat Access Server a používat vzdálené relace prostřednictvím zabezpečených tunelů VPN,“ uvádí společnost. V mnoha případech jsou uživateli pcAnywhere lidé z malých podniků, kteří outsourcují podporu svých systémů. Malé procento systémů, které reagovaly na Moorovy skeny, zahrnovalo „POS“ jako součást názvu systému, což naznačuje, že systémy point-of-sale jsou běžnou aplikací pcAnywhere. Asi 2,6 procent z přibližně 2 000 hostitelů pcAnywhere, jejichž jména bylo možné získat, měla na štítku nějakou variantu „POS“. „Prostředí v místě prodeje je z hlediska bezpečnosti hrozné,“ říká Moore. „Je překvapivé, že jde o velkou koncentraci.“ Tento příběh „Mnoho systémů pcAnywhere stále sedí na kachny“ byl původně publikován na .com. Získejte první slovo o tom, co opravdu znamenají důležité technologické novinky, s blogem Tech Watch. Nejnovější informace o novinkách v oblasti podnikových technologií najdete na Twitteru na webu .com.
