Publicado el 21 de mayo de 2019
Lanzado originalmente para Windows en 1993, pcAnywhere de Symantec permitía al usuario acceder de forma remota a un equipo host que ejecutara pcAnywhere. El concepto de acceso remoto tiene sentido desde el punto de vista de la usabilidad, pero presenta retos de seguridad adicionales con los que debemos lidiar. De forma similar a los problemas de los que informamos con el protocolo de escritorio remoto (RDP y VNC), pcAnywhere requería que los usuarios se aseguraran de que existían las medidas de seguridad adecuadas y de que el acceso estaba estrictamente limitado.
pcAnywhere perdió oficialmente el soporte en 2014, dejando a los usuarios muy expuestos a vulnerabilidades que permanecerían sin parchear y abiertas a la explotación por parte de actores maliciosos. Uno de los informes de TrendMicro fue particularmente condenatorio: una vulnerabilidad fue apodada "browse-and-get-owned" y los atacantes podían infectar las máquinas de los usuarios con solo navegar por un sitio hackeado. Brian Krebs escribió un artículo en profundidad sobre esa vulnerabilidad en particular. Más recientemente, VICE informó de que un proveedor de máquinas de votación instaló el software pcAnywhere en máquinas de votación en los EE.UU. para permitir el soporte técnico remoto. Nuestros lectores pueden imaginar el caos de seguridad potencial que podría ocurrir como resultado de la instalación de tecnología de acceso remoto en una máquina de votación, y mucho menos un software que no ha recibido una actualización de seguridad en varios años.
Los riesgos inherentes a la tecnología de acceso remoto
Para los profesionales de la seguridad corporativa y de TI, el acceso remoto es a veces un mal necesario: sus empleados pueden tener una necesidad legítima de esta tecnología, pero sus adversarios también saben que se trata de fruta madura que se convierte en un objetivo muy fácil si no se protege adecuadamente. La tecnología de acceso remoto es muy arriesgada porque cualquier usuario puede introducirse en su organización a través de ella.
El resultado es que la tecnología de acceso remoto es blanco habitual de ataques de relleno de credenciales, es decir, de toma de control de cuentas mediante inyección web automatizada. Esto permite a los atacantes eludir algunas de las medidas de seguridad, como la gestión de acceso a identidades (IAM) y otras herramientas de autenticación.
A veces la gente instala un sistema de acceso remoto como pcAnywhere intencionadamente para trabajar a distancia, pero a menudo desconocen las normas de seguridad de TI sobre tecnologías de acceso remoto. O simplemente no entienden los riesgos que implica para toda la organización porque ellos mismos no son expertos en seguridad y simplemente instalaron pcAnywhere porque es fácil y es con lo que están familiarizados como consumidores.
Otra razón importante por la que debe vigilar regularmente el uso de acceso remoto fraudulento en su empresa es que algunos productos se entregan con pcAnywhere incorporado, para que puedan realizar tareas de soporte técnico y solución de problemas. A menudo esto sucede sin el conocimiento del consumidor/usuario.
En este caso, por supuesto, el problema es doblemente grave porque pcAnywhere está "al final de su vida útil" (ya no recibe actualizaciones de seguridad), lo que lo hace intrínsecamente inseguro. Cuando un producto deja de recibir soporte, deberías dejar de usarlo lo antes posible y pasarte a una alternativa segura con parches de seguridad y actualizaciones continuas.
Con todo esto en mente, es fundamental hacer un inventario de su red en busca de puntos de acceso que no tenía intención de crear y que no audita. Así que vamos a la caza para asegurarse de que no tiene ningún individuo o equipos que utilizan pcAnywhere dentro de su organización.
Búsqueda de servidores en Censys mediante el software pcAnywhere
Nuestros nuevos datos de pcAnywhere en el puerto 5632 facilitan la búsqueda de estos servidores. La amplia búsqueda por etiquetas descubre 14.510 servidores que utilizan el software pcAnywhere. Una nota interesante es que la mayoría de estos servidores se encuentran en China, Estados Unidos y Taiwán, con más del 57% de las instancias.
Para encontrar cualquiera vinculado a su dominio, una forma fácil de comprobarlo es añadir un filtro a esa búsqueda amplia para (AND 443.https.tls.certificate.parsed.names: yourdomain). Otra forma es utilizar la búsqueda general y añadir (AND ip:[su CIDR de red]).
Qué hacer si encuentra usuarios de pcAnywhere en su organización
- Bloquear el acceso. pcAnywhere no ofrece un nivel razonable de seguridad, y mucho menos las protecciones TLS, autenticación multifactor o bloqueo de cuenta, que recomendaríamos como requisitos para la tecnología de acceso remoto.
- Si decide que necesita una solución de acceso remoto, existen aplicaciones modernas y seguras. Asegúrate de que el software que estás evaluando permite trabajar a distancia de forma segura e incluye o admite medidas de seguridad, entre otras:
- Bloqueo de la cuenta
- Cifrado
- Autenticación multifactor
- Capacidad de gestión de cuentas
En un entorno empresarial, concéntrese en facilitar que sus empleados trabajen a distancia y de forma segura, y será menos probable que eviten las TI para conseguirlo.
Si buscas más consejos como estos sobre cómo utilizar los datos de Censys para mantener segura la red de tu empresa, no pierdas de vista nuestro blog y suscríbete a nuestro Twitter @censysio.
