Viele pcAnywhere-Systeme sitzen immer noch auf Enten

Trotz der Warnungen des Sicherheitssoftwareherstellers Symantec, seine pcAnywhere-Fernzugriffssoftware nicht mit dem Internet zu verbinden, scheinen mehr als 140.000 Computer so konfiguriert zu sein, dass direkte Verbindungen aus dem Internet möglich sind, wodurch sie gefährdet werden.

Am Wochenende suchte das Schwachstellenmanagementunternehmen Rapid7 nach exponierten Systemen, auf denen pcAnywhere ausgeführt wird, und stellte fest, dass Zehntausende von Installationen wahrscheinlich durch nicht gepatchte Schwachstellen in der Software angegriffen werden könnten, da sie direkt mit dem Internet kommunizieren. Die vielleicht größte Sorge ist, dass ein kleiner, aber bedeutender Teil der Systeme dedizierte POS-Computer zu sein scheinen, auf denen pcAnywhere für die Fernverwaltung des Geräts verwendet wird, sagt HD Moore, Chief Security Officer von Rapid7.

"Es ist klar, dass pcAnywhere in bestimmten Nischen, insbesondere an Verkaufsstellen, immer noch weit verbreitet ist", sagt Moore und fügt hinzu, dass Unternehmen durch die direkte Verbindung der Software mit dem Internet dem Risiko von Remote-Kompromissen oder Remote-Passwortdiebstahl ausgesetzt sind . "

Angriffslinien

"Die meisten Menschen machen sich Sorgen darüber, ob jemand direkt in ihr System eindringen kann, und basierend auf den [jüngsten Sicherheitslücken] muss man nicht der Hardcore-Forscher sein, um ... diese Systeme auszunutzen", sagt Moore.

Letzte Woche hat die Zero Day Initiative von HP TippingPoint eine solche Sicherheitsanfälligkeit gemeldet, mit der die Kontrolle über gefährdete pcAnywhere-Installationen übernommen werden kann, die mit dem Internet verbunden sind.

Die Sicherheit von pcAnywhere wurde diesen Monat überprüft, nachdem Symantec bestätigt hatte, dass der Quellcode für das Produkt 2006 gestohlen wurde. Während der Diebstahl des Quellcodes selbst die Benutzer nicht gefährdete, werden potenzielle Angreifer, die den Code analysieren, wahrscheinlich Schwachstellen finden. Als Symantec beispielsweise nach dem Diebstahl einen weiteren Blick auf den Quellcode warf, fand das Unternehmen Schwachstellen, die es Angreifern ermöglichen könnten, die Kommunikation zu belauschen, die sicheren Schlüssel abzurufen und dann den Computer fernzusteuern - sofern die Angreifer einen Weg finden könnten Kommunikation abfangen.

Symantec hat letzte Woche Patches für die Probleme veröffentlicht, die das Unternehmen bei seiner Quellcode-Analyse festgestellt hat, sowie für die schwerwiegendere Sicherheitsanfälligkeit, die von der Zero Day Initiative gemeldet wurde. Am Montag bot das Unternehmen außerdem allen pcAnywhere-Kunden ein kostenloses Upgrade an und betonte, dass Benutzer, die ihre Software aktualisieren und deren Sicherheitshinweise befolgen, sicher seien.

Offen für Unheil

"Ich würde vermuten, dass die meisten dieser Systeme bereits [kompromittiert] sind oder in Kürze verfügbar sein werden, weil dies so einfach ist. Und das ergibt ein schönes großes Botnetz", sagt Chris Wysopal, CTO bei Veracode, einem Anwendungssicherheitstest Unternehmen.

Rapid7 hat am Wochenende mehr als 81 Millionen Internetadressen gescannt - etwa 2,3 Prozent des adressierbaren Speicherplatzes. Von diesen Adressen hatten mehr als 176.000 einen offenen Port, der mit den von pcAnywhere verwendeten Portadressen übereinstimmte. Die überwiegende Mehrheit dieser Hosts antwortete jedoch nicht auf Anfragen: Fast 3.300 antworteten auf eine Sonde unter Verwendung des Übertragungssteuerungsprotokolls (TCP), und weitere 3.700 antworteten auf ähnliche Anfragen unter Verwendung des Benutzerdatagrammprotokolls (UDP). Insgesamt antworteten 4.547 Wirte auf eine der beiden Sonden.

Bei der Extrapolation auf das gesamte adressierbare Internet deutet der gescannte Stichprobensatz darauf hin, dass fast 200.000 Hosts entweder von einem TCP- oder einem UDP-Test kontaktiert werden könnten und mehr als 140.000 Hosts mit TCP angegriffen werden könnten. Laut Untersuchungen von Moore können mehr als 7,6 Millionen Systeme einen der beiden von pcAnywhere verwendeten Ports abhören.

Das Scannen von Rapid7 ist eine Taktik aus dem Spielbuch der Angreifer. Laut Wysopal von Veracode scannen böswillige Schauspieler häufig das Internet, um gefährdete Hosts im Auge zu behalten.

"pcAnywhere ist als Risiko bekannt und wird ständig überprüft. Wenn also eine Sicherheitsanfälligkeit auftritt, wissen Angreifer, wohin sie gehen müssen", sagt er.

Schutzpläne

Das Unternehmen veröffentlichte ein Whitepaper mit Empfehlungen zur Sicherung von pcAnywhere-Installationen. Unternehmen müssen auf die neueste Version der Software, pcAnywhere 12.5, aktualisieren und den Patch anwenden. Der Host-Computer sollte nicht direkt mit dem Internet verbunden sein, sondern durch eine Firewall geschützt sein, die die Standard-pcAnywhere-Ports 5631 und 5632 blockiert.

Darüber hinaus sollten Unternehmen laut Symantec nicht den Standard-pcAnywhere Access-Server verwenden. Stattdessen sollten sie VPNs verwenden, um eine Verbindung zum lokalen Netzwerk herzustellen und dann auf den Host zuzugreifen.

"Um das Risiko durch externe Quellen zu begrenzen, sollten Kunden Access Server deaktivieren oder entfernen und Remotesitzungen über sichere VPN-Tunnel verwenden", so das Unternehmen.

In vielen Fällen sind pcAnywhere-Benutzer Kleinunternehmer, die den Support ihrer Systeme auslagern. Ein kleiner Prozentsatz der Systeme, die auf Moores Scans reagierten, enthielt "POS" als Teil des Systemnamens, was darauf hindeutet, dass Point-of-Sale-Systeme eine häufige Anwendung von pcAnywhere sind. Ungefähr 2,6 Prozent der ungefähr 2.000 pcAnywhere-Hosts, deren Name erhalten werden konnte, hatten eine Variante von "POS" auf dem Etikett.

"Das Point-of-Sale-Umfeld ist in Bezug auf die Sicherheit schrecklich", sagt Moore. "Es ist überraschend, dass es sich um eine große Konzentration handelt."

Diese Geschichte "Viele pcAnywhere-Systeme sitzen immer noch auf Enten" wurde ursprünglich auf .com veröffentlicht. Erfahren Sie im Tech Watch-Blog, was die wichtigen technischen Neuigkeiten wirklich bedeuten. Folgen Sie .com auf Twitter, um die neuesten Entwicklungen in den Nachrichten zu Geschäftstechnologien zu erfahren.