Sicherheitslücken in Symantec pcAnywhere

26. Jänner 2012

Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der Fernwartungssoftware pcAnywhere.

Da diese Software auch Teil der Client-Management-Lösungen der Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird, bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler (mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt, Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)

Es existiert auch eine Lücke in Bezug auf Local Access File Tampering, die sich jedoch deutlich schwieriger ausnützen lassen sollte. (CVE-2011-3479, CVSS2: 6.8)

Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs- und Authentisierungsalgorithmen analysiert werden und deren Schwachstellen auch bald publik werden.

Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören, ...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von pcAnywhere.

Symantec hat sowohl eine Warnung zu den Problemen mit pcAnywhere als auch ein allgemeineres Whitepaper dazu herausgegeben.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:
  • pcAnywhere 12.5.x und älter
  • IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
  • IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter
Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe enthalten:
  • Altiris Client Management Suite
  • Altiris IT Management Suite ab Version 7.0
  • Altiris Deployment Solution with Remote 7.1

Abhilfe

Installation der bereitgestellten Updates, wo verfügbar, etwa per LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper angegeben.

Insbesondere weist Symantec darauf hin, dass in Firmennetzen die pcAnywhere-Installationen nicht von außen erreichbar sein sollen und der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu enthält das Whitepaper entsprechende Skripte.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Security Advisory von Symantec zu pcAnywhere (englisch)
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Whitepaper von Symantec zu empfohlenen Massnahmen im Zusammenhang mit diesen Lücken (englisch, PDF)
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
Erster Artikel bei Heise Security
http://www.heise.de/security/meldung/pcAnywhere-laesst-auch-Angreifer-ans-Steuer-1421170.html
Zweiter Artikel bei Heise Security
http://www.heise.de/security/meldung/Symantec-warnt-nach-Quelltext-Klau-vor-pcAnywhere-1422561.html