Muchos sistemas pcAnywhere siguen siendo un blanco fácil

A pesar de las advertencias del fabricante de software de seguridad Symantec de no conectar su software de acceso remoto pcAnywhere a Internet, más de 140.000 equipos parecen permanecer configurados para permitir conexiones directas desde Internet, lo que los pone en riesgo.

Durante el fin de semana, la empresa de gestión de vulnerabilidades Rapid7 buscó sistemas expuestos que ejecutan pcAnywhere y descubrió que decenas de miles de instalaciones probablemente podrían ser atacadas a través de vulnerabilidades sin parches en el software porque se comunican directamente con Internet. Quizás lo más preocupante es que una pequeña pero significativa fracción de los sistemas parecen ser computadoras dedicadas para el punto de venta, donde pcAnywhere se usa para la administración remota del dispositivo, dice HD Moore, director de seguridad de Rapid7.

"Está claro que pcAnywhere todavía se usa ampliamente en nichos específicos, especialmente en puntos de venta", dice Moore, y agrega que al conectar el software directamente a Internet, "las organizaciones se exponen a un riesgo de compromiso remoto o robo de contraseñas remotas. . "

Lineas de ataque

"A la mayoría de las personas les preocupa si alguien puede ingresar a su sistema directamente y, basándose en [las vulnerabilidades recientes], no es necesario ser el investigador más duro para ... explotar estos sistemas", dice Moore.

La semana pasada, la iniciativa Zero Day de HP TippingPoint informó sobre una de esas vulnerabilidades que podría usarse para tomar el control de cualquier instalación de pcAnywhere en riesgo conectada a Internet.

La seguridad de pcAnywhere fue objeto de escrutinio este mes después de que Symantec reconoció que el código fuente del producto había sido robado en 2006. Si bien el robo del código fuente en sí no puso en peligro a los usuarios, los posibles atacantes que analicen el código probablemente encontrarán vulnerabilidades. Cuando Symantec echó otro vistazo al código fuente después del robo, por ejemplo, la compañía encontró vulnerabilidades que podrían permitir a los atacantes espiar las comunicaciones, tomar las claves seguras y luego controlar remotamente la computadora, si los atacantes pudieran encontrar una manera de interceptar comunicaciones.

Symantec publicó parches la semana pasada para los problemas que la compañía encontró durante su análisis de código fuente, así como la vulnerabilidad más grave informada por Zero Day Initiative. El lunes, la compañía también ofreció una actualización gratuita a todos los clientes de pcAnywhere, enfatizando que los usuarios que actualizan su software y siguen sus consejos de seguridad están seguros.

Abierto a la travesura

"Supongo que la mayoría de esos sistemas ya están [comprometidos] o lo estarán en breve, porque es muy fácil de hacer. Y eso será una gran botnet", dice Chris Wysopal, CTO de Veracode, una aplicación de pruebas de seguridad. empresa.

Rapid7 escaneó más de 81 millones de direcciones de Internet durante el fin de semana, alrededor del 2,3 por ciento del espacio direccionable. De esas direcciones, más de 176.000 tenían un puerto abierto que coincidía con las direcciones de puerto utilizadas por pcAnywhere. Sin embargo, la gran mayoría de esos hosts no respondieron a las solicitudes: casi 3300 respondieron a una sonda utilizando el protocolo de control de transmisión (TCP) y otros 3700 respondieron a una solicitud similar utilizando el protocolo de datagramas de usuario (UDP). En conjunto, 4.547 huéspedes respondieron a una de las dos sondas.

Extrapolando a toda la Internet direccionable, el conjunto de muestra escaneado sugiere que cerca de 200.000 hosts podrían ser contactados por una sonda TCP o UDP, y más de 140.000 hosts podrían ser atacados usando TCP. Más de 7,6 millones de sistemas pueden estar escuchando en cualquiera de los dos puertos utilizados por pcAnywhere, según la investigación de Moore.

El escaneo de Rapid7 es una táctica tomada del libro de jugadas de los atacantes. Los actores maliciosos escanean con frecuencia Internet para realizar un seguimiento de los hosts vulnerables, dice Wysopal de Veracode.

"Se sabe que pcAnywhere es un riesgo y se analiza constantemente, por lo que cuando surge una vulnerabilidad, los atacantes saben adónde ir", dice.

Planes de protección

La compañía publicó un informe técnico con recomendaciones para proteger las instalaciones de pcAnywhere. Las empresas deben actualizar a la última versión del software, pcAnywhere 12.5, y aplicar el parche. La computadora host no debe estar conectada directamente a Internet, sino que debe estar protegida por un firewall configurado para bloquear los puertos predeterminados de pcAnywhere: 5631 y 5632.

Además, las empresas no deberían utilizar el servidor de acceso predeterminado de pcAnywhere, afirmó Symantec. En su lugar, deben usar VPN para conectarse a la red local y luego acceder al host.

"Para limitar el riesgo de fuentes externas, los clientes deben deshabilitar o eliminar Access Server y usar sesiones remotas a través de túneles VPN seguros", dice la compañía.

En muchos casos, los usuarios de pcAnywhere son personas de pequeñas empresas que subcontratan el soporte de sus sistemas. Un pequeño porcentaje de sistemas que respondieron a los escaneos de Moore incluyeron "POS" como parte del nombre del sistema, lo que sugiere que los sistemas de punto de venta son una aplicación común de pcAnywhere. Aproximadamente el 2,6 por ciento de los aproximadamente 2000 hosts de pcAnywhere cuyo nombre se pudo obtener tenían alguna variante de "POS" en la etiqueta.

"El entorno del punto de venta es terrible en términos de seguridad", dice Moore. "Es sorprendente que sea una gran concentración".

Esta historia, "Muchos sistemas pcAnywhere siguen siendo patos fáciles", se publicó originalmente en .com. Obtenga la primera palabra sobre lo que realmente significan las noticias tecnológicas importantes con el blog Tech Watch. Para conocer los últimos avances en noticias de tecnología empresarial, siga .com en Twitter.