Neskatoties uz drošības programmatūras ražotāja Symantec brīdinājumiem nepievienot savu attālās piekļuves programmatūru pcAnywhere internetam, šķiet, ka joprojām ir konfigurēti vairāk nekā 140 000 datoru, lai atļautu tiešus savienojumus no interneta, tādējādi apdraudot tos.
Nedēļas nogalē ievainojamības pārvaldības firma Rapid7 meklēja atklātās sistēmas, kurās darbojas pcAnywhere, un atklāja, ka desmitiem tūkstošu instalāciju, visticamāk, varētu uzbrukt, izmantojot programmatūras nenovērotas ievainojamības, jo tās tieši sazinās ar internetu. Iespējams, vislielākās bažas rada tas, ka neliela, bet ievērojama daļa sistēmu, šķiet, ir īpaši tirdzniecības vietas datori, kur pcAnywhere tiek izmantots ierīces attālajai pārvaldībai, saka HD Moore, Rapid7 galvenais drošības virsnieks.
"Ir skaidrs, ka pcAnywhere joprojām tiek plaši izmantots īpašās nišās, jo īpaši tirdzniecības vietās," saka Mūrs, piebilstot, ka, tieši savienojot programmatūru ar internetu, "organizācijas pakļauj sevi attālu kompromisu vai attālās paroles zādzības riskam. . "
Uzbrukuma līnijas "Lielākā daļa cilvēku uztraucas par to, vai kāds var tieši iekļūt viņu sistēmā, un, pamatojoties uz [nesenajām ievainojamībām], jums nav jābūt vissmagākajam pētniekam, lai ... izmantotu šīs sistēmas," saka Mūrs. Pagājušajā nedēļā HP TippingPoint Zero Day Initiative ziņoja par vienu šādu ievainojamību, kuru varētu izmantot, lai kontrolētu jebkuru ar internetu saistītu riska pcAnywhere instalāciju. pcAnywhere drošība šomēnes tika pārbaudīta pēc tam, kad Symantec atzina, ka produkta pirmkods tika nozagts 2006. gadā. Kaut arī avota koda zādzība neapdraudēja lietotājus, iespējamie uzbrucēji, kuri analizēs kodu, visticamāk atradīs ievainojamības. Kad Symantec pēc zādzības vēlreiz apskatīja pirmkodu, uzņēmums atrada ievainojamības, kas ļāva uzbrucējiem noklausīties sakarus, paķert drošās atslēgas un pēc tam attālināti vadīt datoru - ja uzbrucēji varētu atrast veidu, kā pārtvert sakarus. Symantec pagājušajā nedēļā publicēja ielāpus par jautājumiem, kurus uzņēmums atrada avota kodu analīzes laikā, kā arī par nopietnāko ievainojamību, par kuru ziņoja Nulles dienas iniciatīva. Pirmdien uzņēmums visiem PCAnywhere klientiem piedāvāja arī bezmaksas jaunināšanu, uzsverot, ka lietotāji, kuri atjaunina programmatūru un ievēro tās drošības ieteikumus, ir droši. Atvērta nedarbiem "Es domāju, ka lielākā daļa no šīm sistēmām jau ir [apdraudētas] vai drīz notiks, jo to ir tik viegli izdarīt. Un tas padarīs jauku lielu robottīklu," saka Kriss Visopāls, Veracode, CTO, lietojumprogrammu drošības testēšanas vadītājs. uzņēmums. Rapid7 nedēļas nogalē skenēja vairāk nekā 81 miljonu interneta adrešu - aptuveni 2,3 procentus no adresējamās vietas. No šīm adresēm vairāk nekā 176 000 bija atvērta osta, kas atbilda portu adresēm, kuras izmantoja pcAnywhere. Tomēr lielākā daļa šo resursdatoru neatbildēja uz pieprasījumiem: gandrīz 3300 atbildēja uz zondi, izmantojot pārraides vadības protokolu (TCP), un vēl 3700 atbildēja uz līdzīgu pieprasījumu, izmantojot lietotāja datagrammu protokolu (UDP). Kopā 4547 saimnieki reaģēja uz vienu no divām zondēm. Ekstrapolējot visu adresējamo internetu, skenēto paraugu kopa liek domāt, ka ar TCP vai UDP zondi var sazināties ar gandrīz 200 000 saimniekiem un, izmantojot TCP, varētu uzbrukt vairāk nekā 140 000 saimniekiem. Saskaņā ar Mūra pētījumu, vairāk nekā 7,6 miljoni sistēmu var klausīties jebkuru no abām pcAnywhere izmantotajām ostām. Rapid7 skenēšana ir taktika, kas ņemta no uzbrucēju spēles grāmatas. Ļaunprātīgi aktieri bieži skenē internetu, lai izsekotu neaizsargātiem saimniekiem, saka Veracode Wysopal. "Ir zināms, ka pcAnywhere ir risks, un tas tiek pastāvīgi pārbaudīts, tāpēc, kad parādās ievainojamība, uzbrucēji zina, kurp doties," viņš saka. Aizsardzības plāni Uzņēmums izlaida balto grāmatu ar ieteikumiem pcAnywhere instalāciju drošībai. Uzņēmumiem jāatjaunina programmatūras jaunākā versija pcAnywhere 12.5 un jāpielieto plāksteris. Saimniekdatoru nevajadzētu savienot tieši ar internetu, bet to vajadzētu aizsargāt ar ugunsmūri, kas bloķē noklusējuma portus pcAnywhere: 5631 un 5632. Turklāt uzņēmumiem nevajadzētu izmantot noklusēto pcAnywhere Access serveri, paziņoja Symantec. Tā vietā viņiem jāizmanto VPN, lai izveidotu savienojumu ar vietējo tīklu un pēc tam piekļūtu resursdatoram. "Lai ierobežotu risku no ārējiem avotiem, klientiem ir jāatspējo vai jānoņem Access Server un jāizmanto attālās sesijas, izmantojot drošus VPN tuneļus," saka uzņēmums. Daudzos gadījumos pcAnywhere lietotāji ir mazie uzņēmumi, kas izmanto savu sistēmu atbalsta ārpakalpojumus. Neliela daļa no sistēmām, kas reaģēja uz Mūra skenēšanu, kā daļu no sistēmas nosaukuma ietvēra “POS”, kas liecina, ka tirdzniecības vietas sistēmas ir izplatīta pcAnywhere lietojumprogramma. Apmēram 2,6 procentiem no aptuveni 2000 pcAnywhere saimniekiem, kuru vārdu var iegūt, etiķetē bija kāds "POS" variants. "Tirdzniecības vietas vide drošības ziņā ir briesmīga," saka Mūrs. "Pārsteidzoši, ka tā ir liela koncentrācija." Šis stāsts "Daudzas pcAnywhere sistēmas joprojām sēž pīles" sākotnēji tika publicēts vietnē .com. Iegūstiet pirmo vārdu par to, ko svarīgās tehnoloģiju ziņas patiesībā nozīmē, izmantojot Tech Watch emuāru. Lai uzzinātu jaunāko informāciju par biznesa tehnoloģiju jaunumiem, sekojiet .com vietnē Twitter.
