Veröffentlicht am 21. Mai 2019
Ursprünglich wurde pcAnywhere von Symantec 1993 für Windows veröffentlicht und ermöglichte dem Benutzer den Fernzugriff auf einen Host-Computer, auf dem pcAnywhere lief. Das Konzept des Fernzugriffs ist vom Standpunkt der Benutzerfreundlichkeit aus gesehen sinnvoll, bringt aber zusätzliche Sicherheitsherausforderungen mit sich, mit denen wir uns auseinandersetzen müssen. Ähnlich wie bei den Problemen, die wir bei den Remote-Desktop-Protokollen (RDP und VNC) festgestellt haben, mussten die Benutzer bei pcAnywhere sicherstellen, dass angemessene Sicherheitsmaßnahmen getroffen wurden und der Zugriff streng begrenzt war.
Die Unterstützung für pcAnywhere wurde 2014 offiziell eingestellt, wodurch die Nutzer für Sicherheitslücken anfällig wurden, die nicht behoben wurden und von böswilligen Akteuren ausgenutzt werden konnten. Eine von TrendMicro gemeldete Schwachstelle war besonders verheerend: Sie wurde als "Browse-and-get-owned" bezeichnet und Angreifer konnten die Computer der Benutzer infizieren, indem sie einfach eine gehackte Website aufriefen. Brian Krebs schrieb einen ausführlichen Artikel über diese spezielle Sicherheitslücke. Kürzlich berichtete VICE, dass ein Hersteller von Wahlgeräten die Software pcAnywhere auf Wahlgeräten in den USA installiert hat, um technischen Fernsupport zu ermöglichen. Unsere Leser können sich das potenzielle Sicherheitschaos vorstellen, das durch die Installation von Fernzugriffstechnologie auf einem Wahlgerät entstehen könnte, ganz zu schweigen von Software, die seit mehreren Jahren kein Sicherheitsupdate erhalten hat.
Die mit der Fernzugriffstechnologie verbundenen Risiken
Für Sicherheits- und IT-Fachleute in Unternehmen ist der Fernzugriff manchmal ein notwendiges Übel - Ihre Mitarbeiter haben vielleicht einen legitimen Bedarf an dieser Technologie, aber Ihre Gegner wissen auch, dass es sich um niedrig hängende Früchte handelt, die zu einem sehr leichten Ziel werden, wenn sie nicht richtig gesichert sind. Die Technologie für den Fernzugriff ist sehr risikoreich, da jeder Benutzer über sie in Ihrem Unternehmen Fuß fassen kann.
Die Folge ist, dass die Fernzugriffstechnologie regelmäßig Ziel von Credential Stuffing-Angriffenist, d. h. der Übernahme von Konten durch automatisierte Webinjektion. Auf diese Weise können Angreifer einige Sicherheitsmaßnahmen wie das Identitätszugriffsmanagement (IAM) und andere Authentifizierungstools umgehen.
Manchmal wird ein Fernzugriffssystem wie pcAnywhere absichtlich eingerichtet, um aus der Ferne arbeiten zu können, aber oft sind die IT-Sicherheitsvorschriften für Fernzugriffstechnologien nicht bekannt. Oder sie verstehen einfach nicht die Risiken für das gesamte Unternehmen, weil sie selbst keine Sicherheitsexperten sind und pcAnywhere nur installiert haben, weil es einfach ist und sie als Verbraucher damit vertraut sind.
Ein weiterer wichtiger Grund, warum Sie regelmäßig nach unberechtigtem Fernzugriff in Ihrem Unternehmen Ausschau halten sollten, ist die Tatsache, dass einige Produkte mit integriertem pcAnywhere ausgeliefert werden, so dass sie technischen Support und Fehlerbehebungsaufgaben übernehmen können. Oft geschieht dies ohne das Wissen der Verbraucher/Nutzer.
In diesem Fall ist das Problem natürlich doppelt schlimm, weil pcAnywhere nicht mehr unterstützt wird (und keine Sicherheitsupdates mehr erhält), was es von Natur aus unsicher macht. Wenn ein Produkt nicht mehr unterstützt wird, sollten Sie es so schnell wie möglich nicht mehr verwenden und zu einer sicheren Alternative mit laufenden Sicherheits-Patches und Updates wechseln.
Vor diesem Hintergrund ist es von entscheidender Bedeutung, dass Sie Ihr Netzwerk auf Zugangspunkte untersuchen, die Sie nicht beabsichtigt haben und die Sie nicht kontrollieren. Machen wir uns also auf die Suche, um sicherzustellen, dass keine Einzelpersonen oder Teams pcAnywhere in Ihrem Unternehmen verwenden.
Suche auf Censys nach Servern mit pcAnywhere-Software
Unsere neuen pcAnywhere-Daten an Port 5632 machen die Suche nach diesen Servern einfach. Die breite Tag-Suche entdeckt 14.510 Server, die pcAnywhere-Software verwenden. Interessant ist, dass sich die meisten dieser Server in China, den Vereinigten Staaten und Taiwan befinden und mehr als 57 % der Instanzen ausmachen.
Eine einfache Möglichkeit, alle mit Ihrer Domäne verknüpften Einträge zu finden, besteht darin, der breiten Suche einen Filter hinzuzufügen (AND 443.https.tls.certificate.parsed.names: yourdomain). Eine andere Möglichkeit ist, die breite Suche zu verwenden und dann (AND ip:[Ihr Netzwerk-CIDR]) hinzuzufügen.
Was ist zu tun, wenn Sie pcAnywhere-Benutzer in Ihrer Organisation finden?
- Zugriff blockieren. pcAnywhere bietet kein vernünftiges Sicherheitsniveau, geschweige denn TLS-Schutz, Multi-Faktor-Authentifizierung oder Kontosperrung, die wir als Anforderungen an eine Fernzugriffstechnologie empfehlen würden.
- Wenn Sie sich für eine Fernzugriffslösung entscheiden, stehen Ihnen moderne und sichere Anwendungen zur Verfügung. Vergewissern Sie sich, dass die Software, die Sie evaluieren, sicheres Arbeiten per Fernzugriff ermöglicht und Sicherheitsmaßnahmen umfasst oder unterstützt, z. B:
- Kontosperrung
- Verschlüsselung
- Multi-Faktor-Authentifizierung
- Fähigkeiten zur Kontoverwaltung
Konzentrieren Sie sich in einer Unternehmensumgebung darauf, Ihren Mitarbeitern das sichere Arbeiten aus der Ferne zu erleichtern, und sie werden weniger geneigt sein, die IT zu umgehen, um dies zu erreichen.
Wenn Sie auf der Suche nach weiteren Tipps wie diesen sind, wie Sie die Daten von Censys nutzen können, um Ihr Unternehmensnetzwerk sicher zu halten, sollten Sie unseren Blog im Auge behalten und unseren Twitter-Feed @censysio abonnieren.
