Publié le 21 mai 2019
Lancé à l'origine pour Windows en 1993, pcAnywhere de Symantec permettait à l'utilisateur d'accéder à distance à un ordinateur hôte exécutant pcAnywhere. Le concept d'accès à distance est logique du point de vue de la convivialité, mais il pose des problèmes de sécurité supplémentaires auxquels nous devons faire face. À l'instar des problèmes que nous avons signalés avec le protocole de bureau à distance (RDP et VNC), pcAnywhere exige des utilisateurs qu'ils s'assurent que des mesures de sécurité appropriées sont en place et que l'accès est strictement limité.
pcAnywhere a officiellement cessé d'être pris en charge en 2014, laissant les utilisateurs exposés à des vulnérabilités non corrigées et susceptibles d'être exploitées par des acteurs malveillants. L'une d'entre elles, signalée par TrendMicro, était particulièrement accablante : une vulnérabilité, baptisée "browse-and-get-owned", permettait aux attaquants d'infecter les machines des utilisateurs simplement en naviguant sur un site piraté. Brian Krebs a écrit un article approfondi sur cette vulnérabilité particulière. Plus récemment, VICE a rapporté qu'un vendeur de machines à voter avait installé le logiciel pcAnywhere sur des machines à voter aux États-Unis pour permettre une assistance technique à distance. Nos lecteurs peuvent imaginer les problèmes de sécurité potentiels qui pourraient résulter de l'installation d'une technologie d'accès à distance sur une machine à voter, et encore moins d'un logiciel qui n'a pas reçu de mise à jour de sécurité depuis plusieurs années.
Les risques inhérents à la technologie d'accès à distance
Pour les professionnels de la sécurité et de l'informatique des entreprises, l'accès à distance est parfois un mal nécessaire - vos employés peuvent avoir un besoin légitime de cette technologie, mais vos adversaires savent aussi qu'il s'agit d'un fruit à portée de main qui devient une cible très facile s'il n'est pas correctement sécurisé. La technologie de l'accès à distance présente un risque très élevé car n'importe quel utilisateur peut s'introduire dans votre organisation par ce biais.
Il en résulte que la technologie d'accès à distance est régulièrement la cible d'attaques de type "credential stuffing" - prise de contrôle d'un compte via une injection web automatisée. Cela permet aux attaquants de contourner certaines mesures de sécurité telles que la gestion de l'accès à l'identité (IAM) et d'autres outils d'authentification.
Parfois, les gens installent un système d'accès à distance comme pcAnywhere intentionnellement pour travailler à distance, mais ils ne sont souvent pas conscients des règles de sécurité informatique concernant les technologies d'accès à distance. Ou bien ils ne comprennent pas les risques encourus par l'ensemble de l'organisation parce qu'ils ne sont pas eux-mêmes des experts en sécurité et qu'ils ont simplement installé pcAnywhere parce que c'est facile et que c'est ce qu'ils connaissent en tant que consommateurs.
Une autre raison majeure pour laquelle vous devriez être régulièrement à l'affût de l'utilisation de l'accès à distance dans votre entreprise est que certains produits sont livrés avec pcAnywhere intégré, de sorte qu'ils peuvent effectuer des tâches d'assistance technique et de dépannage. Cela se produit souvent à l'insu du consommateur/de l'utilisateur.
Dans ce cas, bien sûr, le problème est doublement grave car pcAnywhere est "en fin de vie" (il ne reçoit plus de mises à jour de sécurité), ce qui le rend intrinsèquement peu sûr. Lorsqu'un produit n'est plus pris en charge, vous devez cesser de l'utiliser dès que possible et opter pour une solution de remplacement sûre, bénéficiant de correctifs et de mises à jour de sécurité en continu.
Compte tenu de tout cela, il est essentiel d'inventorier votre réseau pour y trouver des points d'accès que vous n'avez pas eu l'intention de créer et que vous n'avez pas audités. Allons donc à la chasse pour nous assurer qu'aucune personne ou équipe n'utilise pcAnywhere au sein de votre organisation.
Recherche de Censys pour les serveurs utilisant le logiciel pcAnywhere
Nos nouvelles données pcAnywhere sur le port 5632 facilitent la recherche de ces serveurs. La recherche par étiquette large permet de découvrir 14 510 serveurs utilisant le logiciel pcAnywhere. Il est intéressant de noter que la majorité de ces serveurs sont situés en Chine, aux États-Unis et à Taïwan, représentant plus de 57 % des instances.
Pour trouver ceux qui sont liés à votre domaine, un moyen facile de vérifier est d'ajouter un filtre à cette recherche générale pour (AND 443.https.tls.certificate.parsed.names : yourdomain). Une autre méthode consiste à utiliser la recherche générale, puis à ajouter (AND ip :[le CIDR de votre réseau]).
Que faire si vous trouvez des utilisateurs de pcAnywhere dans votre organisation ?
- Bloquer l'accès. pcAnywhere n'offre pas un niveau de sécurité raisonnable, et encore moins les protections TLS, l'authentification multifactorielle ou le verrouillage de compte, que nous recommandons comme exigences pour une technologie d'accès à distance.
- Si vous déterminez que vous avez besoin d'une solution d'accès à distance, des applications modernes et sécurisées sont disponibles. Assurez-vous que le logiciel que vous évaluez permet de travailler à distance en toute sécurité et qu'il comprend ou prend en charge des mesures de sécurité, notamment :
- Verrouillage du compte
- Cryptage
- Authentification multifactorielle
- Capacités de gestion des comptes
Dans un environnement d'entreprise, il faut s'efforcer de faciliter le travail à distance et en toute sécurité du personnel, qui sera moins enclin à éviter les technologies de l'information pour y parvenir.
Si vous cherchez d'autres conseils comme ceux-ci sur la façon d'utiliser les données Censys pour sécuriser le réseau de votre entreprise, gardez un œil sur notre blog et abonnez-vous à notre fil Twitter @censysio.
