Onderzoeksbureau Rapid7 schat dat er op dit moment nog zo'n 150.000 tot 200.000 systemen zijn die een ongepatchte versie van PcAnywhere draaien. De software van Symantec maakt het mogelijk computers op afstand te beheren. De broncode van PcAnywhere werd in 2006 gestolen en eind vorige maand online geplaatst door de hackers. Systemen die nog niet gepatcht zijn kunnen worden overgenomen door kwaadwillenden.

Rapid7 scande via internet computers op de poort die PcAnywhere gebruikt om te luisteren naar inkomende verbindingen. Bij die controle vonden de onderzoekers veel systemen met een ongepatchte versie van PcAnywhere. Na het uitlekken van de broncode kwam Symantec met patches voor de software. Omdat de code in 2006 is gestolen lopen gebruikers van de huidige versie (12.5) weinig gevaar volgens het beveiligingsbedrijf, mits ze de laatste updates hebben doorgevoerd.

'5000 kassasystemen'

Onderzoekers van Rapid7 deden tests op de gevonden systemen en vonden daarbij tussen de 3450 en 5000 kassasystemen waarop mogelijk gevoelige creditcardinformatie staat, zegt chief security officer (cso) HD Moore van Rapid7 tegen Computerworld.com. De kassasystemen zijn bijvoorbeeld in gebruik bij supermarkten met een zelfscan-kassa. Omdat de systemen dan vaak in meerdere vestigingen staan moeten ze centraal beheerd kunnen worden.

Volgens Moore zijn de systemen niet gemaakt om creditcardgegevens via PcAnywhere te versturen, maar door het uitbuiten van kwetsbaarheden in die software is het wel mogelijk ze in handen te krijgen. “Dit soort systemen zijn aantrekkelijk om op in te breken", zegt Moore tegen Computerworld.

Tijdelijk uitschakelen

Hij wijst er verder op dat er veel systemen zijn die nog geen update hebben gehad. “Het lijkt erop dat de recente patches voor een groot deel zijn genegeerd." Symantec kwam eind januari zelf met het advies dat gebruikers PcAnywhere uit moesten schakelen totdat alle updates klaar zijn en zijn uitgevoerd. Daar kwam het bedrijf later wel op terug met de mededeling dat gebruikers van versie 12.5 wel veilig zijn.

Exploit beschikbaar

Het grootste gevaar aan het uitlekken van de broncode is dat aanvallers de software kunnen doorzoeken op kwetsbaarheden. Met behulp van de originele broncode kunnen ze aanvalscode maken. Er zijn al diverse exploits beschikbaar voor lekken in de Symantec-software. Onder meer Johnathan Norman, de directeur van beveiligingsbedrijf Alert Login schreef een code die PcAnywhere-systemen laat crashen. Norman's code werkt op alle versies van de beheersoftware.

Symantec zegt tegenover Computerworld dat het de code van Norman kent en onderzoekt. Volgens Moore levert deze code nog niet extreem veel gevaar op, omdat het systeem crasht en zichzelf opnieuw opstart. Maar de onderzoeker vermoedt dat het waarschijnlijk wel mogelijk is de denial of service-exploit uit te buiten om het systeem over te nemen.