De nombreux systèmes pcAnywhere sont toujours assis

Malgré les avertissements du fabricant de logiciels de sécurité Symantec de ne pas connecter son logiciel d'accès à distance pcAnywhere à Internet, plus de 140 000 ordinateurs semblent rester configurés pour permettre des connexions directes depuis Internet, ce qui les expose à des risques.

Au cours du week-end, la société de gestion des vulnérabilités Rapid7 a recherché les systèmes exposés exécutant pcAnywhere et a découvert que des dizaines de milliers d'installations pourraient probablement être attaquées par des vulnérabilités non corrigées dans le logiciel car elles communiquaient directement avec Internet. La plus grande inquiétude est peut-être qu'une fraction petite mais significative des systèmes semble être des ordinateurs dédiés au point de vente, où pcAnywhere est utilisé pour la gestion à distance de l'appareil, déclare HD Moore, directeur de la sécurité de Rapid7.

«Il est clair que pcAnywhere est encore largement utilisé dans des niches spécifiques, en particulier dans les points de vente», déclare Moore, ajoutant qu'en connectant le logiciel directement à Internet, «les entreprises s'exposent à des risques de compromission à distance ou de vol de mot de passe à distance. . "

Lignes d'attaque

«La plupart des gens s'inquiètent de savoir si quelqu'un peut accéder directement à leur système, et sur la base [des vulnérabilités récentes], vous n'avez pas besoin d'être le chercheur le plus acharné pour ... exploiter ces systèmes», déclare Moore.

La semaine dernière, Zero Day Initiative de HP TippingPoint a signalé une telle vulnérabilité qui pourrait être utilisée pour prendre le contrôle de toute installation pcAnywhere à risque connectée à Internet.

La sécurité de pcAnywhere a fait l'objet d'un examen minutieux ce mois-ci après que Symantec a reconnu que le code source du produit avait été volé en 2006. Bien que le vol du code source lui-même n'ait pas mis en danger les utilisateurs, les attaquants potentiels qui analysent le code trouveront probablement des vulnérabilités. Lorsque Symantec a examiné à nouveau le code source suite au vol, par exemple, l'entreprise a découvert des vulnérabilités qui pourraient permettre aux attaquants d'écouter les communications, de saisir les clés sécurisées, puis de contrôler à distance l'ordinateur - si les attaquants pouvaient intercepter les communications.

Symantec a publié des correctifs la semaine dernière pour les problèmes que l'entreprise a découverts lors de son analyse du code source ainsi que la vulnérabilité plus grave signalée par Zero Day Initiative. Lundi, la société a également proposé une mise à niveau gratuite à tous les clients de pcAnywhere, soulignant que les utilisateurs qui mettent à jour leur logiciel et suivent ses conseils de sécurité étaient en sécurité.

Ouvert au méfait

«Je suppose que la majorité de ces systèmes sont déjà [compromis] ou le seront sous peu, car c'est si facile à faire. Et cela fera un beau gros botnet», déclare Chris Wysopal, CTO chez Veracode, une application de test de sécurité entreprise.

Rapid7 a numérisé plus de 81 millions d'adresses Internet au cours du week-end, soit environ 2,3% de l'espace adressable. Parmi ces adresses, plus de 176 000 avaient un port ouvert correspondant aux adresses de port utilisées par pcAnywhere. La grande majorité de ces hôtes, cependant, n'a pas répondu aux demandes: près de 3300 ont répondu à une sonde utilisant le protocole de contrôle de transmission (TCP), et 3700 autres ont répondu à une demande similaire en utilisant le protocole de datagramme utilisateur (UDP). Ensemble, 4 547 hôtes ont répondu à l'une des deux sondes.

En extrapolant à l'intégralité de l'Internet adressable, l'ensemble d'échantillons analysés suggère que près de 200 000 hôtes pourraient être contactés par une sonde TCP ou UDP, et que plus de 140 000 hôtes pourraient être attaqués à l'aide de TCP. Selon les recherches de Moore, plus de 7,6 millions de systèmes peuvent être à l'écoute sur l'un des deux ports utilisés par pcAnywhere.

Le scan de Rapid7 est une tactique tirée du playbook des attaquants. Les acteurs malveillants analysent fréquemment Internet pour suivre les hôtes vulnérables, explique Wysopal de Veracode.

"pcAnywhere est connu pour être un risque et est constamment analysé, donc lorsqu'une vulnérabilité apparaît, les attaquants savent où aller", dit-il.

Plans de protection

La société a publié un livre blanc contenant des recommandations pour la sécurisation des installations pcAnywhere. Les entreprises doivent mettre à jour la dernière version du logiciel, pcAnywhere 12.5, et appliquer le correctif. L'ordinateur hôte ne doit pas être connecté directement à Internet, mais être protégé par un pare-feu configuré pour bloquer les ports pcAnywhere par défaut: 5631 et 5632.

De plus, les entreprises ne doivent pas utiliser le serveur d'accès pcAnywhere par défaut, a déclaré Symantec. Au lieu de cela, ils doivent utiliser des VPN pour se connecter au réseau local, puis accéder à l'hôte.

«Pour limiter les risques provenant de sources externes, les clients doivent désactiver ou supprimer Access Server et utiliser des sessions à distance via des tunnels VPN sécurisés», déclare la société.

Dans de nombreux cas, les utilisateurs de pcAnywhere sont des petites entreprises qui sous-traitent le support de leurs systèmes. Un petit pourcentage de systèmes ayant répondu aux scans de Moore incluait «POS» dans le nom du système, ce qui suggère que les systèmes de point de vente sont une application courante de pcAnywhere. Environ 2,6% des quelque 2 000 hôtes pcAnywhere dont le nom pouvait être obtenu avaient une variante de «POS» dans l'étiquette.

«L'environnement de point de vente est terrible en termes de sécurité», dit Moore. "Il est surprenant que ce soit une grande concentration."

Cette histoire, «De nombreux systèmes pcAnywhere sont toujours en attente», a été initialement publiée sur .com. Obtenez le premier mot sur ce que les nouvelles technologiques importantes signifient vraiment avec le blog Tech Watch. Pour connaître les derniers développements dans l'actualité des technologies commerciales, suivez .com sur Twitter.