האם חברות אבטחת הסייבר המובילות סבלו מפגיעות מסוכנת?

פרסום של צוות החירום לטיפול באירועי מחשב באוניברסיטת קרנגי מלון, לפיו קיימת פגיעות ביישומי VPN של כמה חברות תקשורת ואבטחה גדולות, גרם למחלקת אבטחת הסייבר במשרד לביטחון המולדת האמריקני לשחרר אזהרה רשמית כדי להתריע בפני מה שנראה כבעיה שיכולה להתברר כקשה.

לפי הצוות, יישומי VPN שנבנו בידי סיסקו, פאלו אלטו, F5 ופולס סיקיור – כמה מהשמות המובילים בתחום אבטחת הסייבר – שמרו אסימוני זיהוי וקבצי עוגיות בזיכרון או בקבצי לוג באופן לא מאובטח. בדיווח נטען כי האקרים יכולים לנצל את הפגיעות הזו כדי לתפוס שליטה על יישומים במחשבי המשתמשים כדי לנצלם לרעה. תוקף עם אסימוני זיהוי גנובים יכול לקבל גישה ליישומים אחרים בארגון, למערכות מידע ואחסון בדיוק כמו כל משתמש לגיטימי.

צוות האבטחה טען במקביל שהפגיעות הזו לא השפיעה על מוצרי אבטחה של צ'ק פוינט ו-pfSense, אך הסטטוס של יישומי VPN רבים אחרים של מאות יצרניות עדיין לא ברור.

סיסקו הכחישה שהמערכות והפתרונות שלה הושפעו מהעניין

סיסקו הכחישה שהמערכות והפתרונות שלה הושפעו בידי התקלה הזו, למרות טענות הצוות. לעומתה פאלו אלטו אישרה את הדיווח לגבי המוצרים המסוימים שלה, GlobalProtect Agent 4.1.0 for Windows ו-GlobalProtect Agent 4.1.10 וגרסאות מוקדמות יותר עבור macOS. לטענתה שדרוג היישומים לגרסאות מתקדמות יותר יפתור את הבעיה. גם פולס סיקיור נהגה באופן דומה עם שחרור עדכונים עבור המוצרים הבעייתיים שלה, כשהתיקון בעיקרו דורש תיקון בצד הלקוח בלבד.

ב-F5 הגיבו בדרך מעט שונה, ומתברר שבחברה מודעים לפגיעות בזיכרון במוצרים BIG-IP APM, BIG-IP Edge Gateway ו-FirePass מזה מספר שנים, אבל לא שחררו תיקון מתאים. לטענת החברה, מספיק להשתמש בסיסמאות חד פעמיות או בזיהוי בשני צעדים כדי למנוע את הבעיה. לגבי בעיית הרישום בקבצי הלוג, כחברה טענו כי היא כבר שחררה עדכונים מתאימים בתחילת 2018.