Huolimatta tietoturvaohjelmistovalmistajan Symantecin varoituksista olla kytkemättä pcAnywhere-etäyhteysohjelmistoa Internetiin, yli 140 000 tietokonetta näyttää olevan edelleen määritetty sallimaan suorat yhteydet Internetistä, mikä vaarantaa ne.
Viikonloppuna haavoittuvuuksien hallintayritys Rapid7 tarkisti pcAnywhere-järjestelmää käyttäviä altistettuja järjestelmiä ja havaitsi, että kymmeniä tuhansia asennuksia voidaan todennäköisesti hyökätä ohjelmiston avaamattomien haavoittuvuuksien kautta, koska ne kommunikoivat suoraan Internetin kanssa. Suurinta huolta on ehkä se, että pieni, mutta merkittävä osa järjestelmistä näyttää olevan omistettuja myyntipistetietokoneita, joissa pcAnywhereä käytetään laitteen etähallintaan, sanoo Rapid7: n turvallisuusjohtaja HD Moore.
"On selvää, että pcAnywhere on edelleen laajalti käytössä tietyissä markkinarakoissa, etenkin myyntipisteissä", Moore sanoo ja lisäävät, että yhdistämällä ohjelmiston suoraan Internetiin, "organisaatiot ovat vaarassa joutua etäkompromiteihin tai salasanojen varkauksiin. "
Hyökkäyslinjat "Useimmat ihmiset ovat huolissaan siitä, pääseekö joku järjestelmäänsä suoraan, ja [viimeaikaisten haavoittuvuuksien] perusteella sinun ei tarvitse olla kaikkein vakavin tutkija näiden järjestelmien hyödyntämiseksi", Moore sanoo. Viime viikolla HP TippingPointin Zero Day Initiative ilmoitti yhdestä sellaisesta haavoittuvuudesta, jota voitiin käyttää kaikkien Internetiin kytkettyjen riskialttiiden pcAnywhere-asennusten hallintaan. pcAnywherein tietoturva tuli tutkimuksen kohteeksi tässä kuussa sen jälkeen, kun Symantec myönsi, että tuotteen lähdekoodi oli varastettu vuonna 2006. Vaikka itse lähdekoodin varkaus ei vaaranna käyttäjiä, koodia analysoivat mahdolliset hyökkääjät todennäköisesti löytävät haavoittuvuuksia. Kun Symantec katsoi varkauden jälkeen uudelleen lähdekoodia, yritys löysi haavoittuvuuksia, jotka antoivat hyökkääjille mahdollisuuden salakuunnella viestintää, napata suojatut avaimet ja hallita tietokonetta etänä - jos hyökkääjät löysivät tapan siepata viestintää. Symantec julkaisi viime viikolla korjauksia lähdekoodianalyysin aikana löytämistään ongelmista sekä Zero Day Initiativen ilmoittamasta vakavammasta haavoittuvuudesta. Maanantaina yhtiö tarjosi myös ilmaisen päivityksen kaikille pcAnywhere-asiakkaille korostaen, että käyttäjät, jotka päivittävät ohjelmistonsa ja seuraavat sen turvallisuusohjeet, olivat turvassa. Avoinna pahaa "Luulisin, että suurin osa näistä järjestelmistä on jo [vaarantunut] tai pian, koska se on niin helppo tehdä. Ja se tekee mukavan suuren botnetin", sanoo Chris Wysopal, Veracoden tekninen johtaja, sovellusten tietoturvatestaus yhtiö. Rapid7 skannasi yli 81 miljoonaa Internet-osoitetta viikonloppuna - noin 2,3 prosenttia osoitetusta tilasta. Näistä osoitteista yli 176 000: lla oli avoin portti, joka vastasi pcAnywhere: n käyttämiä porttiosoitteita. Suurin osa näistä isännistä ei kuitenkaan vastannut pyyntöihin: melkein 3300 vastasi koettimeen käyttäen lähetysohjausprotokollaa (TCP), ja vielä 3700 vastasi vastaavaan pyyntöön käyttämällä käyttäjän datagrammin (UDP) protokollaa. Yhdessä 4547 isäntää vastasi toiseen koettimista. Ekstrapoloimalla koko osoitettava Internet, skannattu näytesarja viittaa siihen, että lähes 200 000 isäntää voitaisiin ottaa yhteyttä joko TCP- tai UDP-koettimella ja yli 140 000 isäntään voitaisiin hyökätä TCP: n avulla. Yli 7,6 miljoonaa järjestelmää saattaa kuunnella jompaa kumpaa kahdesta pcAnywhere-portista Mooreen tutkimuksen mukaan. Rapid7: n skannaus on taktiikka, joka on otettu hyökkääjien pelikirjasta. Haitalliset toimijat etsivät usein Internetiä seuratakseen haavoittuvia isäntiä, kertoo Veracoden Wysopal. "pcAnywhere tiedetään olevan riski ja sitä tarkistetaan jatkuvasti, joten kun haavoittuvuus tulee esiin, hyökkääjät tietävät minne mennä", hän sanoo. Suojelusuunnitelmat Yhtiö julkaisi valkoisen kirjan suosituksista pcAnywhere-asennusten turvaamiseksi. Yritysten on päivitettävä ohjelmiston uusimpaan versioon, pcAnywhere 12.5, ja asennettava korjaustiedosto. Isäntätietokonetta ei saa yhdistää suoraan Internetiin, mutta sitä on suojattava palomuurilla, joka estää oletusarvon mukaiset pcAnywhere-portit: 5631 ja 5632. Yritysten ei pitäisi myöskään käyttää oletusarvon mukaista pcAnywhere Access -palvelinta, Symantec totesi. Sen sijaan heidän tulisi käyttää VPN-verkkoja muodostaakseen yhteyden paikalliseen verkkoon ja sitten käyttää isäntää. "Ulkoisista lähteistä aiheutuvien riskien rajoittamiseksi asiakkaiden tulisi poistaa käytöstä tai poistaa Access Server ja käyttää etäistuntoja suojattujen VPN-tunnelien kautta", yritys sanoo. Monissa tapauksissa pcAnywhere-käyttäjät ovat pienyrittäjiä, jotka ulkoistavat järjestelmiensä tuen. Pieni osa Mooren skannauksiin vastanneista järjestelmistä sisälsi "POS" osan järjestelmän nimestä, mikä viittaa siihen, että myyntipistejärjestelmät ovat yleinen pcAnywhere -sovellus. Noin 2,6 prosentilla noin 2000 pcAnywhere-isännästä, joiden nimimerkki saatiin, oli etiketissä jokin "POS" -variantti. "Myyntipisteympäristö on turvallisuuden kannalta kauhea", Moore sanoo. "On yllättävää, että se on suuri keskittyminen." Tämä tarina "Monet pcAnywhere-järjestelmät istuvat yhä ankkoja" julkaistiin alun perin osoitteessa .com. Hanki ensimmäinen sana siitä, mitä tärkeät tekniset uutiset todella tarkoittavat Tech Watch -blogilla. Seuraa viimeisimpiä yritysteknologiauutisia seuraamalla .com Twitterissä.
