Molti sistemi pcAnywhere continuano a non funzionare

Nonostante gli avvertimenti del produttore di software di sicurezza Symantec di non connettere il proprio software di accesso remoto pcAnywhere a Internet, più di 140.000 computer sembrano rimanere configurati per consentire connessioni dirette da Internet, mettendoli così a rischio.

Durante il fine settimana, la società di gestione delle vulnerabilità Rapid7 ha analizzato i sistemi esposti che eseguono pcAnywhere e ha scoperto che decine di migliaia di installazioni potrebbero essere attaccate attraverso vulnerabilità prive di patch nel software perché comunicano direttamente con Internet. Forse la preoccupazione maggiore è che una piccola ma significativa frazione dei sistemi sembra essere computer point-of-sale dedicati, dove pcAnywhere viene utilizzato per la gestione remota del dispositivo, afferma HD Moore, chief security officer di Rapid7.

"È chiaro che pcAnywhere è ancora ampiamente utilizzato in nicchie specifiche, in particolare nei punti vendita", afferma Moore, aggiungendo che collegando il software direttamente a Internet, "le organizzazioni si stanno esponendo a rischio di compromissione remota o furto di password da remoto . "

Linee di attacco

"La maggior parte delle persone si preoccupa se qualcuno può accedere direttamente al proprio sistema e, in base a [recenti vulnerabilità], non è necessario essere il ricercatore più accanito per ... sfruttare questi sistemi", afferma Moore.

La scorsa settimana, Zero Day Initiative di HP TippingPoint ha segnalato una di queste vulnerabilità che potrebbe essere utilizzata per assumere il controllo di qualsiasi installazione di pcAnywhere a rischio connessa a Internet.

La sicurezza di pcAnywhere è stata esaminata questo mese dopo che Symantec ha riconosciuto che il codice sorgente del prodotto era stato rubato nel 2006. Sebbene il furto del codice sorgente stesso non abbia messo in pericolo gli utenti, i potenziali aggressori che analizzano il codice probabilmente troveranno delle vulnerabilità. Quando Symantec ha esaminato nuovamente il codice sorgente in seguito al furto, ad esempio, la società ha rilevato vulnerabilità che potrebbero consentire agli aggressori di intercettare le comunicazioni, afferrare le chiavi protette e quindi controllare a distanza il computer, se gli aggressori riuscissero a trovare un modo per intercettare le comunicazioni.

Symantec ha pubblicato patch la scorsa settimana per i problemi riscontrati dalla società durante l'analisi del codice sorgente, nonché per la vulnerabilità più grave segnalata dalla Zero Day Initiative. Lunedì, l'azienda ha anche offerto un aggiornamento gratuito a tutti i clienti di pcAnywhere, sottolineando che gli utenti che aggiornano il loro software e seguono i suoi consigli sulla sicurezza sono al sicuro.

Aperto al male

"Immagino che la maggior parte di questi sistemi sia già [compromessa] o lo sarà a breve, perché è così facile da fare. E questo renderà una botnet bella e grande", afferma Chris Wysopal, CTO di Veracode, un test di sicurezza dell'applicazione azienda.

Rapid7 ha scansionato più di 81 milioni di indirizzi Internet durante il fine settimana, circa il 2,3% dello spazio indirizzabile. Di questi indirizzi, più di 176.000 avevano una porta aperta che corrispondeva agli indirizzi di porta utilizzati da pcAnywhere. La stragrande maggioranza di questi host, tuttavia, non ha risposto alle richieste: quasi 3.300 hanno risposto a una sonda utilizzando il protocollo di controllo della trasmissione (TCP) e altri 3.700 hanno risposto a richieste simili utilizzando il protocollo dei datagrammi utente (UDP). Complessivamente, 4.547 host hanno risposto a una delle due sonde.

Estrapolando l'intera Internet indirizzabile, il set di campioni analizzato suggerisce che quasi 200.000 host potrebbero essere contattati da un probe TCP o UDP e più di 140.000 host potrebbero essere attaccati utilizzando TCP. Secondo la ricerca di Moore, più di 7,6 milioni di sistemi potrebbero essere in ascolto su una delle due porte utilizzate da pcAnywhere.

La scansione di Rapid7 è una tattica presa dal playbook degli attaccanti. Gli attori dannosi scansionano frequentemente Internet per tenere traccia degli host vulnerabili, afferma Wysopal di Veracode.

"pcAnywhere è noto per essere un rischio ed è costantemente scansionato, quindi quando emerge una vulnerabilità, gli aggressori sanno dove andare", afferma.

Piani di protezione

L'azienda ha pubblicato un white paper con consigli per la protezione delle installazioni di pcAnywhere. Le aziende devono eseguire l'aggiornamento alla versione più recente del software, pcAnywhere 12.5, e applicare la patch. Il computer host non deve essere connesso direttamente a Internet, ma deve essere protetto da un firewall impostato per bloccare le porte predefinite di pcAnywhere: 5631 e 5632.

Inoltre, le aziende non dovrebbero utilizzare il server di accesso pcAnywhere predefinito, ha affermato Symantec. Invece, dovrebbero utilizzare VPN per connettersi alla rete locale e quindi accedere all'host.

"Per limitare il rischio da fonti esterne, i clienti dovrebbero disabilitare o rimuovere Access Server e utilizzare sessioni remote tramite tunnel VPN sicuri", afferma la società.

In molti casi, gli utenti di pcAnywhere sono piccole imprese che esternalizzano il supporto dei propri sistemi. Una piccola percentuale di sistemi che hanno risposto alle scansioni di Moore includeva "POS" come parte del nome del sistema, suggerendo che i sistemi per punti vendita sono un'applicazione comune di pcAnywhere. Circa il 2,6% dei circa 2.000 host di pcAnywhere di cui è stato possibile ottenere il nome presentava una variante di "POS" nell'etichetta.

"L'ambiente del punto vendita è terribile in termini di sicurezza", afferma Moore. "È sorprendente che si tratti di una grande concentrazione".

Questa storia, "Molti sistemi pcAnywhere ancora non funzionano", è stata originariamente pubblicata su .com. Ottieni la prima parola su cosa significano veramente le notizie tecnologiche importanti con il blog Tech Watch. Per gli ultimi sviluppi nelle notizie di tecnologia aziendale, segui .com su Twitter.