多くのpcAnywhereシステムはまだアヒルに座っています

セキュリティソフトウェアメーカーのSymantecから、pcAnywhereリモートアクセスソフトウェアをインターネットに接続しないように警告されているにもかかわらず、140,000台を超えるコンピューターがインターネットからの直接接続を許可するように構成されたままであるため、危険にさらされているようです。

週末に、脆弱性管理会社Rapid7は、pcAnywhereを実行している公開されたシステムをスキャンし、インターネットと直接通信するため、ソフトウェアのパッチが適用されていない脆弱性によって数万のインストールが攻撃される可能性があることを発見しました。Rapid7の最高セキュリティ責任者であるHDMoore氏は、おそらく最大の懸念は、システムのごく一部が専用のPOSコンピューターであり、pcAnywhereがデバイスのリモート管理に使用されているように見えることです。

「pcAnywhereが特定のニッチ市場、特にPOSでまだ広く使用されていることは明らかです」とムーア氏は言い、ソフトウェアをインターネットに直接接続することで、「組織はリモート侵害やリモートパスワード盗難のリスクにさらされています。 。」

攻撃ライン

「ほとんどの人は、誰かが自分のシステムに直接侵入できるかどうかを心配しています。[最近の脆弱性]に基づいて、これらのシステムを悪用するために最も筋金入りの研究者である必要はありません」とムーア氏は言います。

先週、HPTippingPointのゼロデイイニシアチブは、インターネットに接続されたリスクのあるpcAnywhereインストールを制御するために使用できる脆弱性の1つを報告しました。

2006年に製品のソースコードが盗まれたことをノートンライフロックが認めた後、pcAnywhereのセキュリティが今月精査されました。ソースコード自体の盗難はユーザーを危険にさらすことはありませんでしたが、コードを分析する攻撃者は脆弱性を見つける可能性があります。たとえば、ノートンライフロックが盗難に続いてソースコードをもう一度調べたところ、攻撃者が通信を盗聴し、安全なキーを取得して、コンピュータをリモートで制御できる脆弱性が見つかりました。通信を傍受します。

ノートンライフロックは先週、ソースコード分析中に発見した問題と、ゼロデイイニシアチブによって報告されたより深刻な脆弱性に対するパッチを公開しました。月曜日に、同社はすべてのpcAnywhereの顧客に無料アップグレードを提供し、ソフトウェアを更新してセキュリティアドバイスに従うユーザーは安全であると強調しました。

いたずらをする

アプリケーションセキュリティテストのVeracodeのCTOであるChrisWysopalは、次のように述べています。会社。

Rapid7は、週末に8100万を超えるインターネットアドレスをスキャンしました。これは、アドレス可能なスペースの約2.3パーセントです。これらのアドレスのうち、176,000以上が、pcAnywhereで使用されるポートアドレスと一致するオープンポートを持っていました。ただし、これらのホストの大多数は要求に応答しませんでした。ほぼ3,300が伝送制御プロトコル(TCP)を使用してプローブに応答し、別の3,700がユーザーデータグラムプロトコル(UDP)を使用して同様の要求に応答しました。合計すると、4,547のホストが2つのプローブの1つに応答しました。

アドレス可能なインターネット全体に外挿すると、スキャンされたサンプルセットは、TCPまたはUDPプローブのいずれかによって約200,000のホストに接続でき、TCPを使用して140,000を超えるホストが攻撃される可能性があることを示しています。Mooreの調査によると、760万を超えるシステムがpcAnywhereで使用される2つのポートのいずれかでリッスンしている可能性があります。

Rapid7のスキャンは、攻撃者のプレイブックから取られた戦術です。悪意のある攻撃者は、脆弱なホストを追跡するためにインターネットを頻繁にスキャンします、とVeracodeのWysopalは言います。

「pcAnywhereはリスクがあることが知られており、絶えずスキャンされているため、脆弱性が発生した場合、攻撃者はどこに行けばよいかを知っています」と彼は言います。

保護計画

同社は、pcAnywhereのインストールを保護するための推奨事項を記載したホワイトペーパーをリリースしました。企業は、ソフトウェアの最新バージョンであるpcAnywhere 12.5に更新し、パッチを適用する必要があります。ホストコンピューターはインターネットに直接接続しないでください。ただし、デフォルトのpcAnywhereポート(5631および5632)をブロックするように設定されたファイアウォールで保護する必要があります。

さらに、企業はデフォルトのpcAnywhereAccessサーバーを使用すべきではないとSymantecは述べています。代わりに、VPNを使用してローカルネットワークに接続してから、ホストにアクセスする必要があります。

「外部ソースからのリスクを制限するには、顧客はAccess Serverを無効にするか削除し、安全なVPNトンネルを介してリモートセッションを使用する必要があります」と同社は言います。

多くの場合、pcAnywhereユーザーは、システムのサポートを外部委託する中小企業の人々です。ムーアのスキャンに応答したシステムのごく一部は、システム名の一部として「POS」を含んでおり、POSシステムがpcAnywhereの一般的なアプリケーションであることを示唆しています。名前を取得できた約2,000のpcAnywhereホストの約2.6%で、ラベルに「POS」のバリアントが含まれていました。

「POS環境はセキュリティの観点からひどいものです」とムーア氏は言います。「それが高濃度であることは驚くべきことです。」

このストーリー「多くのpcAnywhereシステムはまだアヒルに座っている」は、もともと.comで公開されました。重要な技術ニュースが実際に何を意味するのかについて、TechWatchブログで最初の言葉を入手してください。ビジネステクノロジーニュースの最新動向については、Twitterで.comをフォローしてください。