Programavimas

Daugelis „pcAnywhere“ sistemų vis dar sėdi antimis

Nepaisant saugos programinės įrangos gamintojo „Symantec“ perspėjimų neprijungti savo „pcAnywhere“ nuotolinės prieigos programinės įrangos prie interneto, atrodo, kad daugiau nei 140 000 kompiuterių yra sukonfigūruoti leisti tiesioginius ryšius iš interneto, todėl jiems kyla pavojus.

Savaitgalį pažeidžiamumo valdymo įmonė „Rapid7“ patikrino, ar nėra veikiančių sistemų, veikiančių „pcAnywhere“, ir nustatė, kad dešimtys tūkstančių įrenginių greičiausiai gali būti užpulti dėl nepatvirtintų programinės įrangos pažeidžiamumų, nes jie tiesiogiai bendrauja su internetu. Bene didžiausią nerimą kelia tai, kad nedidelė, bet reikšminga sistemų dalis, atrodo, yra specialūs prekybos vietose esantys kompiuteriai, kuriuose „pcAnywhere“ naudojamas nuotoliniam įrenginio valdymui, sako „Rapid7“ vyriausiasis saugos pareigūnas HD Moore'as.

„Akivaizdu, kad„ pcAnywhere “vis dar yra plačiai naudojamas konkrečiose nišose, ypač prekybos vietose, - sako Moore'as ir priduria, kad programinę įrangą tiesiogiai prijungę prie interneto, organizacijos kelia nuotolinio kompromiso ar nuotolinio slaptažodžio vagystės riziką. . "

Puolimo linijos

„Daugelis žmonių nerimauja dėl to, ar kas nors gali tiesiogiai patekti į jų sistemą, ir, remiantis [naujausiais pažeidžiamumais], jūs neturite būti griežčiausias tyrinėtojas, kad galėtumėte ... išnaudoti šias sistemas“, - sako Moore'as.

Praėjusią savaitę „HP TippingPoint“ programa „Zero Day Initiative“ pranešė apie vieną tokių pažeidžiamumų, kuriuos galima naudoti norint kontroliuoti bet kokį prie interneto prijungtą rizikos grupės „pcAnywhere“ įrenginį.

„pcAnywhere“ saugumas šį mėnesį buvo tikrinamas po to, kai „Symantec“ pripažino, kad 2006 m. buvo pavogtas produkto šaltinio kodas. Nors paties šaltinio kodo vagystė nekėlė pavojaus vartotojams, potencialūs užpuolikai, išanalizavę kodą, greičiausiai ras pažeidžiamumų. Pavyzdžiui, kai „Symantec“ po vagystės dar kartą pažvelgė į šaltinio kodą, bendrovė aptiko pažeidžiamumų, kurie užpuolikams galėjo leisti pasiklausyti ryšių, paimti saugius raktus ir tada nuotoliniu būdu valdyti kompiuterį - jei užpuolikai galėtų rasti būdą perimti ryšius.

„Symantec“ praėjusią savaitę paskelbė problemų, kurias bendrovė aptiko atlikdama šaltinio kodą, taip pat rimtesnį pažeidžiamumą, apie kurį pranešė „Zero Day Initiative“, pataisas. Pirmadienį bendrovė taip pat pasiūlė nemokamą atnaujinimą visiems „pcAnywhere“ klientams, pabrėždama, kad vartotojai, kurie atnaujina savo programinę įrangą ir laikosi jos saugos patarimų, yra saugūs.

Atviras išdykavimui

"Spėčiau, kad dauguma tų sistemų jau yra [pažeistos] arba netrukus bus, nes tai padaryti yra taip lengva. Ir tai padarys gražų didelį botnetą", - sako Chrisas Wysopalas, „Veracode“ CTO, programos saugumo testavimas. bendrovė.

„Rapid7“ savaitgalį nuskaitė daugiau nei 81 milijoną interneto adresų - apie 2,3 procento adresuojamos vietos. Iš šių adresų daugiau nei 176 000 turėjo atvirą prievadą, atitinkantį „pcAnywhere“ naudojamus prievado adresus. Tačiau didžioji dauguma šių kompiuterių neatsakė į užklausas: beveik 3 300 atsakė į zondą naudodamiesi perdavimo valdymo protokolu (TCP), o dar 3 700 atsakė į panašią užklausą naudodamiesi vartotojo duomenų perdavimo protokolu (UDP). Kartu į vieną iš dviejų zondų sureagavo 4547 šeimininkai.

Ekstrapoliuojant visą adresuojamą internetą, nuskaitytas pavyzdžių rinkinys rodo, kad TCP arba UDP zondu galima susisiekti su beveik 200 000 kompiuterių, o naudojant TCP galima užpulti daugiau nei 140 000 kompiuterių. Remiantis Moore'o tyrimais, daugiau nei 7,6 mln. Sistemų gali klausytis bet kurio iš dviejų „pcAnywhere“ naudojamų prievadų.

„Rapid7“ nuskaitymas yra taktika, paimta iš užpuolikų knygos. Kenkėjiški veikėjai dažnai skenuoja internetą, kad galėtų stebėti pažeidžiamus kompiuterius, sako Veracode'o Wysopalas.

„Žinoma, kad„ pcAnywhere “yra rizika ir ji yra nuolat tikrinama, todėl išaiškėjus pažeidžiamumui užpuolikai žino, kur kreiptis“, - sako jis.

Apsaugos planai

Bendrovė išleido baltąjį dokumentą su rekomendacijomis, kaip apsaugoti „pcAnywhere“ įrenginius. Įmonės turi atnaujinti naujausią programinės įrangos versiją „pcAnywhere 12.5“ ir pritaikyti pleistrą. Pagrindinis kompiuteris neturėtų būti tiesiogiai prijungtas prie interneto, bet turi būti apsaugotas užkardos, kuri blokuoja numatytuosius „pcAnywhere“ prievadus: 5631 ir 5632.

Be to, įmonės neturėtų naudoti numatytojo „pcAnywhere Access“ serverio, teigė „Symantec“. Vietoj to, jie turėtų naudoti VPN prisijungti prie vietinio tinklo ir tada pasiekti prieglobą.

„Norėdami sumažinti išorinių šaltinių riziką, klientai turėtų išjungti arba pašalinti„ Access Server “ir naudoti nuotolines sesijas per saugius VPN tunelius“, - sako bendrovė.

Daugeliu atvejų „pcAnywhere“ vartotojai yra smulkaus verslo žmonės, kurie perduoda savo sistemų palaikymo paslaugas. Nedidelė dalis sistemų, atsakiusių į Moore'o nuskaitymus, įtraukė „POS“ kaip sistemos pavadinimo dalį, o tai rodo, kad pardavimo vietos sistemos yra įprasta „pcAnywhere“ programa. Apie 2,6 proc. Iš maždaug 2000 „pcAnywhere“ kompiuterių, kurių vardą buvo galima gauti, etiketėje turėjo tam tikrą „POS“ variantą.

„Pardavimų aplinka yra baisi saugumo požiūriu“, - sako Moore'as. "Stebina tai, kad tai yra didelė koncentracija".

Ši istorija „Daugelis„ pcAnywhere “sistemų vis dar sėdi antimis“ iš pradžių buvo paskelbta .com. Gaukite pirmą žodį apie tai, ką iš tikrųjų reiškia svarbios technologijų naujienos, naudodamiesi „Tech Watch“ tinklaraščiu. Norėdami sužinoti naujausius verslo technologijų naujienas, sekite .com „Twitter“.

Copyright lt.verticalshadows.com 2022