Napriek varovaniam výrobcu bezpečnostného softvéru Symantec, aby nepripojili svoj softvér pcAnywhere na diaľku k Internetu, sa zdá, že viac ako 140 000 počítačov zostáva nakonfigurovaných tak, aby umožňovali priame pripojenie z Internetu, a tým ich ohrozujú.
Cez víkend spoločnosť Rapid7 zameraná na správu zraniteľností skenovala vystavené systémy so systémom pcAnywhere a zistila, že by mohli byť napadnuté desiatky tisíc inštalácií prostredníctvom neopravených chýb zabezpečenia v softvéri, pretože priamo komunikujú s internetom. Možno najväčšou obavou je, že malá, ale významná časť systémov sa javí ako dedikované počítače v mieste predaja, kde sa program pcAnywhere používa na vzdialenú správu zariadenia, hovorí hlavný bezpečnostný pracovník spoločnosti Rapid7 spoločnosti HD Moore.
„Je zrejmé, že program pcAnywhere sa stále často používa v konkrétnych oblastiach, najmä v miestach predaja,“ hovorí Moore a dodáva, že pripojením softvéru priamo k internetu „sa organizácie vystavujú riziku vzdialeného kompromisu alebo krádeže vzdialeného hesla . “
Línie útoku „Väčšina ľudí sa obáva, či sa niekto môže dostať priamo do ich systému, a na základe [nedávnych zraniteľností] nemusíte byť najnáročnejším výskumníkom, ktorý ... využije tieto systémy,“ hovorí Moore. Minulý týždeň hlásila iniciatíva Zero Day Initiative spoločnosti HP TippingPoint jednu z týchto zraniteľností, pomocou ktorej je možné prevziať kontrolu nad akoukoľvek rizikovou inštaláciou pcAnywhere pripojenou k internetu. Zabezpečenie programu pcAnywhere bolo podrobené kontrole tento mesiac po tom, čo spoločnosť Symantec potvrdila, že zdrojový kód produktu bol ukradnutý v roku 2006. Aj keď samotná krádež zdrojového kódu používateľov neohrozila, prípadní útočníci, ktorí kód analyzujú, pravdepodobne nájdu chyby. Keď sa spoločnosť Symantec napríklad po krádeži znovu pozrela na zdrojový kód, spoločnosť našla chyby, ktoré by útočníkom umožnili odpočúvať komunikáciu, chytiť zabezpečené kľúče a potom diaľkovo ovládať počítač - ak by útočníci našli spôsob, ako odpočúvať komunikáciu. Spoločnosť Symantec minulý týždeň zverejnila opravy týkajúce sa problémov, ktoré spoločnosť našla počas analýzy zdrojového kódu, ako aj závažnejších zraniteľností hlásených iniciatívou Zero Day Initiative. V pondelok spoločnosť taktiež ponúkla bezplatnú aktualizáciu všetkým zákazníkom pcAnywhere, pričom zdôraznila, že používatelia, ktorí aktualizujú svoj softvér a riadia sa jeho bezpečnostnými radami, sú v bezpečí. Otvorený nepleche „Odhadoval by som, že väčšina z týchto systémov je už [napadnutá] alebo bude čoskoro, pretože sa to dá ľahko urobiť. Vďaka tomu bude pekný veľký botnet,“ hovorí Chris Wysopal, technický riaditeľ spoločnosti Veracode, ktorý testuje bezpečnosť aplikácií. spoločnosti. Rapid7 naskenoval cez víkend viac ako 81 miliónov internetových adries - asi 2,3 percenta adresovateľného priestoru. Z týchto adries malo viac ako 176 000 otvorený port, ktorý sa zhodoval s adresami portov, ktoré používa program pcAnywhere. Drvivá väčšina týchto hostiteľov však na žiadosti nereagovala: takmer 3 300 odpovedalo na sondu pomocou protokolu riadenia prenosu (TCP) a ďalších 3 700 odpovedalo na podobnú žiadosť pomocou protokolu používateľského datagramu (UDP). Na jednu z dvoch sond odpovedalo spolu 4 477 hostiteľov. Pri extrapolácii na celý adresovateľný internet naskenovaná vzorová sada naznačuje, že pomocou sondy TCP alebo UDP je možné kontaktovať takmer 200 000 hostiteľov a pomocou protokolu TCP možno napadnúť viac ako 140 000 hostiteľov. Podľa Moorovho výskumu môže na jednom z dvoch portov používaných programom pcAnywhere počúvať viac ako 7,6 milióna systémov. Skenovanie Rapid7 je taktika prevzatá z príručky útočníkov. Zločinci často skenujú internet, aby sledovali zraniteľných hostiteľov, tvrdí Wysopal z agentúry Veracode. „O programe pcAnywhere sa vie, že predstavuje riziko, a že sa neustále kontroluje, takže keď chyba vyjde, útočníci vedia, kam majú ísť,“ hovorí. Plány ochrany Spoločnosť vydala dokument s odporúčaniami na zabezpečenie inštalácií pcAnywhere. Spoločnosti musia aktualizovať na najnovšiu verziu softvéru pcAnywhere 12.5 a použiť opravu. Hostiteľský počítač by nemal byť pripojený priamo k internetu, ale mal by byť chránený bránou firewall nastavenou na blokovanie predvolených portov pcAnywhere: 5631 a 5632. Spoločnosti by navyše nemali používať predvolený server pcAnywhere Access, uviedla spoločnosť Symantec. Namiesto toho by sa mali pomocou sietí VPN pripojiť k miestnej sieti a potom získať prístup k hostiteľovi. „Aby sa znížilo riziko z externých zdrojov, zákazníci by mali zakázať alebo odstrániť server Access Server a používať vzdialené relácie prostredníctvom zabezpečených tunelov VPN,“ hovorí spoločnosť. V mnohých prípadoch sú používatelia pcAnywhere ľudia z malých firiem, ktorí outsourcujú podporu svojich systémov. Malé percento systémov, ktoré reagovali na Moorove skeny, obsahovalo ako názov systému „POS“, čo naznačuje, že systémy typu point-of-sale sú bežnou aplikáciou pcAnywhere. Asi 2,6 percenta z približne 2 000 hostiteľov pcAnywhere, ktorých meno bolo možné získať, malo na štítku nejaký variant „POS“. „Prostredie miesta predaja je hrozné z hľadiska bezpečnosti,“ hovorí Moore. „Je prekvapujúce, že ide o veľkú koncentráciu.“ Tento príbeh „Mnoho systémov pcAnywhere stále sedí kačíc“ bol pôvodne publikovaný na .com. Získajte prvé slovo o tom, čo skutočne znamenajú dôležité technologické novinky, s blogom Tech Watch. Najnovší vývoj v oblasti obchodných technologických noviniek nájdete na serveri .com na Twitteri.
