Παρά τις προειδοποιήσεις του κατασκευαστή λογισμικού ασφαλείας Symantec να μην συνδέσει το λογισμικό απομακρυσμένης πρόσβασης στο pcAnywhere, στο Διαδίκτυο, περισσότεροι από 140.000 υπολογιστές φαίνεται να παραμένουν διαμορφωμένοι ώστε να επιτρέπουν άμεσες συνδέσεις από το Διαδίκτυο, θέτοντας τους σε κίνδυνο.
Κατά τη διάρκεια του Σαββατοκύριακου, η εταιρεία διαχείρισης ευπάθειας Rapid7 πραγματοποίησε σάρωση για εκτεθειμένα συστήματα που εκτελούν pcAnywhere και διαπίστωσε ότι δεκάδες χιλιάδες εγκαταστάσεις ενδέχεται να επιτεθούν μέσω απροσδιόριστων τρωτών σημείων στο λογισμικό, επειδή επικοινωνούν απευθείας με το Διαδίκτυο. Ίσως μεγαλύτερη ανησυχία είναι ότι ένα μικρό αλλά σημαντικό μέρος των συστημάτων φαίνεται να είναι αφιερωμένοι υπολογιστές σημείου πώλησης, όπου το pcAnywhere χρησιμοποιείται για απομακρυσμένη διαχείριση της συσκευής, λέει ο HD Moore, επικεφαλής ασφαλείας της Rapid7.
"Είναι σαφές ότι το pcAnywhere εξακολουθεί να χρησιμοποιείται ευρέως σε συγκεκριμένες θέσεις, ειδικά στο σημείο πώλησης", λέει ο Moore, προσθέτοντας ότι συνδέοντας το λογισμικό απευθείας στο Διαδίκτυο, "οι οργανισμοί θέτουν τον εαυτό τους σε κίνδυνο απομακρυσμένου συμβιβασμού ή κλοπής απομακρυσμένου κωδικού πρόσβασης "
Γραμμές επίθεσης "Οι περισσότεροι άνθρωποι ανησυχούν για το εάν κάποιος μπορεί να μπει απευθείας στο σύστημά του και, βάσει των [πρόσφατων τρωτών σημείων], δεν χρειάζεται να είστε ο πιο σκληρός ερευνητής για ... να εκμεταλλευτείτε αυτά τα συστήματα", λέει ο Moore. Την περασμένη εβδομάδα, η πρωτοβουλία Zero Day Initiative του HP TippingPoint ανέφερε μια τέτοια ευπάθεια που θα μπορούσε να χρησιμοποιηθεί για τον έλεγχο οποιασδήποτε εγκατάστασης pcAnywhere σε κίνδυνο που είναι συνδεδεμένη στο Διαδίκτυο. Η ασφάλεια του pcAnywhere τέθηκε υπό έλεγχο αυτόν τον μήνα αφού η Symantec αναγνώρισε ότι ο πηγαίος κώδικας για το προϊόν είχε κλαπεί το 2006. Ενώ η κλοπή του ίδιου του πηγαίου κώδικα δεν έθετε σε κίνδυνο τους χρήστες, οι επίδοξοι εισβολείς που αναλύουν τον κώδικα πιθανότατα θα βρουν ευπάθειες. Όταν η Symantec ρίχνει μια άλλη ματιά στον πηγαίο κώδικα μετά την κλοπή, για παράδειγμα, η εταιρεία βρήκε ευπάθειες που θα μπορούσαν να επιτρέψουν στους εισβολείς να παρακολουθούν τις επικοινωνίες, να αρπάξουν τα ασφαλή κλειδιά και, στη συνέχεια, να ελέγξουν τον υπολογιστή από απόσταση - εάν οι εισβολείς μπορούσαν να βρουν έναν τρόπο να αναχαίτιση επικοινωνιών. Η Symantec δημοσίευσε ενημερώσεις την περασμένη εβδομάδα για τα ζητήματα που βρήκε η εταιρεία κατά την ανάλυση του πηγαίου κώδικα καθώς και για τη σοβαρότερη ευπάθεια που ανέφερε η Πρωτοβουλία Zero Day. Τη Δευτέρα, η εταιρεία προσέφερε επίσης δωρεάν αναβάθμιση σε όλους τους πελάτες του pcAnywhere, τονίζοντας ότι οι χρήστες που ενημερώνουν το λογισμικό τους και ακολουθούν τις συμβουλές ασφαλείας της ήταν ασφαλείς. Ανοιχτό σε αταξία "Υποθέτω ότι η πλειονότητα αυτών των συστημάτων είναι ήδη [σε κίνδυνο] ή θα είναι σύντομα, επειδή είναι τόσο εύκολο να το κάνουμε. Και αυτό θα κάνει ένα ωραίο μεγάλο botnet", λέει ο Chris Wysopal, CTO στο Veracode, μια δοκιμή ασφάλειας εφαρμογών Εταιρία. Το Rapid7 σάρωσε περισσότερες από 81 εκατομμύρια διευθύνσεις Διαδικτύου το σαββατοκύριακο - περίπου 2,3 τοις εκατό του χώρου που απευθύνεται. Από αυτές τις διευθύνσεις, περισσότερες από 176.000 είχαν ανοιχτή θύρα που ταιριάζει με τις διευθύνσεις θύρας που χρησιμοποιεί το pcAnywhere. Η συντριπτική πλειονότητα αυτών των κεντρικών υπολογιστών, ωστόσο, δεν απάντησε σε αιτήματα: σχεδόν 3.300 απάντησαν σε έναν ανιχνευτή χρησιμοποιώντας το πρωτόκολλο ελέγχου μετάδοσης (TCP) και άλλοι 3.700 απάντησαν σε παρόμοιο αίτημα χρησιμοποιώντας το πρωτόκολλο datagram χρήστη (UDP). Σε συνδυασμό, 4.547 οικοδεσπότες απάντησαν σε έναν από τους δύο ανιχνευτές. Επεκτείνοντας το σύνολο του διευθυνσιοδοτούμενου Διαδικτύου, το σαρωμένο σύνολο δειγμάτων υποδηλώνει ότι σχεδόν 200.000 κεντρικοί υπολογιστές θα μπορούσαν να επικοινωνήσουν είτε με έναν TCP ή UDP ανιχνευτή και περισσότεροι από 140.000 κεντρικοί υπολογιστές θα μπορούσαν να επιτεθούν χρησιμοποιώντας TCP. Πάνω από 7,6 εκατομμύρια συστήματα ενδέχεται να ακούν σε οποιαδήποτε από τις δύο θύρες που χρησιμοποιεί το pcAnywhere, σύμφωνα με την έρευνα του Moore. Η σάρωση του Rapid7 είναι μια τακτική που λαμβάνεται από το playbook των εισβολέων. Κακόβουλοι ηθοποιοί συχνά σαρώνουν το Διαδίκτυο για να παρακολουθούν ευάλωτους κεντρικούς υπολογιστές, λέει ο Wysopal του Veracode. "Το pcAnywhere είναι γνωστό ότι αποτελεί κίνδυνο και ανιχνεύεται συνεχώς, οπότε όταν βγαίνει μια ευπάθεια, οι εισβολείς ξέρουν πού να πάνε", λέει. Σχέδια προστασίας Η εταιρεία κυκλοφόρησε μια Λευκή Βίβλο με συστάσεις για την ασφάλεια των εγκαταστάσεων pcAnywhere. Οι εταιρείες πρέπει να ενημερώσουν στην πιο πρόσφατη έκδοση του λογισμικού, pcAnywhere 12.5, και να εφαρμόσουν την ενημερωμένη έκδοση κώδικα. Ο κεντρικός υπολογιστής δεν πρέπει να συνδέεται απευθείας στο Διαδίκτυο, αλλά να προστατεύεται από ένα τείχος προστασίας που να αποκλείει τις προεπιλεγμένες θύρες pcAnywhere: 5631 και 5632. Επιπλέον, οι εταιρείες δεν πρέπει να χρησιμοποιούν τον προεπιλεγμένο διακομιστή pcAnywhere Access, δήλωσε η Symantec. Αντ 'αυτού, πρέπει να χρησιμοποιούν VPN για σύνδεση στο τοπικό δίκτυο και στη συνέχεια πρόσβαση στον κεντρικό υπολογιστή. "Για να περιορίσουν τον κίνδυνο από εξωτερικές πηγές, οι πελάτες θα πρέπει να απενεργοποιήσουν ή να καταργήσουν τον Access Server και να χρησιμοποιούν απομακρυσμένες περιόδους σύνδεσης μέσω ασφαλών σηράγγων VPN", λέει η εταιρεία. Σε πολλές περιπτώσεις, οι χρήστες του pcAnywhere είναι άνθρωποι μικρών επιχειρήσεων που αναθέτουν την υποστήριξη των συστημάτων τους σε εξωτερικούς συνεργάτες. Ένα μικρό ποσοστό συστημάτων που ανταποκρίθηκαν στις σαρώσεις του Moore περιελάμβαναν το "POS" ως μέρος του ονόματος συστήματος, υποδηλώνοντας ότι τα συστήματα σημείου πώλησης είναι μια κοινή εφαρμογή του pcAnywhere. Περίπου 2,6 τοις εκατό των περίπου 2.000 υπολογιστών pcAnywhere των οποίων το όνομα θα μπορούσε να ληφθεί είχε κάποια παραλλαγή του "POS" στην ετικέτα. "Το περιβάλλον του σημείου πώλησης είναι τρομερό από την άποψη της ασφάλειας", λέει ο Moore. "Είναι εκπληκτικό ότι είναι μια μεγάλη συγκέντρωση." Αυτή η ιστορία, "Πολλά συστήματα pcAnywhere εξακολουθούν να κάθονται πάπιες", δημοσιεύθηκε αρχικά στο .com. Λάβετε την πρώτη λέξη για το τι πραγματικά σημαίνουν οι σημαντικές ειδήσεις τεχνολογίας με το ιστολόγιο Tech Watch. Για τις τελευταίες εξελίξεις στα νέα της τεχνολογίας των επιχειρήσεων, ακολουθήστε το .com στο Twitter.
