Banyak sistem pcAnywhere masih bebek

Meskipun ada peringatan dari pembuat perangkat lunak keamanan Symantec untuk tidak menghubungkan perangkat lunak akses jarak jauh pcAnywhere-nya ke Internet, lebih dari 140.000 komputer tampaknya tetap dikonfigurasi untuk memungkinkan koneksi langsung dari Internet, sehingga menempatkan mereka pada risiko.

Selama akhir pekan, perusahaan manajemen kerentanan Rapid7 memindai sistem terbuka yang menjalankan pcAnywhere dan menemukan bahwa puluhan ribu penginstalan kemungkinan dapat diserang melalui kerentanan yang belum ditambal dalam perangkat lunak karena mereka berkomunikasi secara langsung dengan Internet. Mungkin kekhawatiran terbesar adalah bahwa sebagian kecil tapi signifikan dari sistem tampaknya didedikasikan, komputer point-of-sale, di mana pcAnywhere digunakan untuk manajemen remote perangkat, kata HD Moore, kepala petugas keamanan Rapid7.

"Jelas bahwa pcAnywhere masih banyak digunakan di ceruk tertentu, terutama tempat penjualan," kata Moore, menambahkan bahwa dengan menghubungkan perangkat lunak langsung ke Internet, "organisasi menempatkan diri mereka pada risiko penyusupan jarak jauh atau pencurian sandi jarak jauh. . "

Garis serangan

"Kebanyakan orang khawatir tentang apakah seseorang dapat masuk ke sistem mereka secara langsung, dan berdasarkan [kerentanan baru-baru ini] Anda tidak harus menjadi peneliti paling hardcore untuk ... memanfaatkan sistem ini," kata Moore.

Minggu lalu, Zero Day Initiative dari HP TippingPoint melaporkan satu kerentanan yang dapat digunakan untuk mengendalikan semua instalasi pcAnywhere berisiko yang tersambung ke Internet.

Keamanan pcAnywhere berada di bawah pengawasan bulan ini setelah Symantec mengetahui bahwa kode sumber untuk produk tersebut telah dicuri pada tahun 2006. Meskipun pencurian kode sumber itu sendiri tidak membahayakan pengguna, calon penyerang yang menganalisis kode tersebut kemungkinan besar akan menemukan kerentanan. Ketika Symantec melihat lagi kode sumber setelah pencurian, misalnya, perusahaan menemukan kerentanan yang memungkinkan penyerang untuk menguping komunikasi, mengambil kunci aman, dan kemudian mengontrol komputer dari jarak jauh - jika penyerang dapat menemukan cara untuk mencegat komunikasi.

Symantec menerbitkan patch minggu lalu untuk masalah yang ditemukan perusahaan selama analisis kode sumbernya serta kerentanan yang lebih serius yang dilaporkan oleh Zero Day Initiative. Pada hari Senin, perusahaan juga menawarkan peningkatan gratis untuk semua pelanggan pcAnywhere, menekankan bahwa pengguna yang memperbarui perangkat lunak mereka dan mengikuti saran keamanannya aman.

Terbuka untuk kerusakan

"Saya kira sebagian besar sistem tersebut telah [disusupi] atau akan segera, karena sangat mudah dilakukan. Dan itu akan menjadi botnet besar yang bagus," kata Chris Wysopal, CTO di Veracode, sebuah pengujian keamanan aplikasi perusahaan.

Rapid7 memindai lebih dari 81 juta alamat Internet selama akhir pekan - sekitar 2,3 persen dari ruang alamat. Dari alamat tersebut, lebih dari 176.000 memiliki port terbuka yang cocok dengan alamat port yang digunakan oleh pcAnywhere. Namun, sebagian besar host tersebut tidak menanggapi permintaan: hampir 3.300 menanggapi probe menggunakan protokol kontrol transmisi (TCP), dan 3.700 lainnya menanggapi permintaan serupa menggunakan protokol datagram pengguna (UDP). Gabungan, 4.547 host menanggapi salah satu dari dua probe.

Ekstrapolasi ke seluruh Internet yang dapat dialamatkan, kumpulan sampel yang dipindai menunjukkan bahwa hampir 200.000 host dapat dihubungi baik oleh probe TCP atau UDP, dan lebih dari 140.000 host dapat diserang menggunakan TCP. Lebih dari 7,6 juta sistem mungkin mendengarkan di salah satu dari dua port yang digunakan oleh pcAnywhere, menurut penelitian Moore.

Pemindaian Rapid7 adalah taktik yang diambil dari buku pedoman penyerang. Aktor jahat sering memindai Internet untuk melacak host yang rentan, kata Wysopal dari Veracode.

"pcAnywhere dikenal sebagai risiko dan terus-menerus dipindai, jadi ketika kerentanan muncul, penyerang tahu ke mana harus pergi," katanya.

Rencana perlindungan

Perusahaan merilis buku putih dengan rekomendasi untuk mengamankan instalasi pcAnywhere. Perusahaan perlu memperbarui ke versi terbaru perangkat lunak, pcAnywhere 12.5, dan menerapkan tambalan. Komputer host tidak boleh terhubung langsung ke Internet, tetapi dilindungi oleh firewall yang disetel untuk memblokir port pcAnywhere default: 5631 dan 5632.

Selain itu, perusahaan tidak boleh menggunakan server akses pcAnywhere default, kata Symantec. Sebaliknya, mereka harus menggunakan VPN untuk menyambung ke jaringan lokal dan kemudian mengakses host.

"Untuk membatasi risiko dari sumber eksternal, pelanggan harus menonaktifkan atau menghapus Access Server dan menggunakan sesi jarak jauh melalui terowongan VPN yang aman," kata perusahaan itu.

Dalam banyak kasus, pengguna pcAnywhere adalah orang-orang bisnis kecil yang melakukan outsourcing untuk mendukung sistem mereka. Sebagian kecil dari sistem yang menanggapi pemindaian Moore menyertakan "POS" sebagai bagian dari nama sistem, yang menunjukkan bahwa sistem tempat penjualan adalah aplikasi umum pcAnywhere. Sekitar 2,6 persen dari sekitar 2.000 host pcAnywhere yang namanya dapat diperoleh memiliki beberapa varian "POS" di labelnya.

"Lingkungan tempat penjualan sangat buruk dalam hal keamanan," kata Moore. "Mengejutkan bahwa ini adalah konsentrasi yang besar."

Cerita ini, "Banyak sistem pcAnywhere masih bebek," awalnya diterbitkan di .com. Dapatkan informasi pertama tentang arti sebenarnya dari berita teknologi penting dengan blog Tech Watch. Untuk perkembangan terbaru dalam berita teknologi bisnis, ikuti .com di Twitter.