מערך הסייבר: הטליאו בדחיפות את העדכון למוצרי צ'ק פוינט

מערך הסייבר הלאומי יצא הבוקר (א') בהתרעה, ובה קרא לארגונים להטמיע בדחיפות את עדכון האבטחה האחרון למוצרי צ'ק פוינט.

לפי מערך הסייבר, "חולשת אבטחה חמורה שהתגלתה באחרונה בטכנולוגיית החיבור מרחוק (VPN) מבית צ'ק פוינט חושפת ארגונים שמשתמשים במוצר זה למתקפות. החולשה מאפשרת גניבת נתוני זיהוי של משתמשים ושימוש בהם לגישה לציוד".

על פי מידע שהגיע למערך, החולשה כבר מנוצלת בעולם לביצוע מתקפות סייבר. "החשש", ציינו, "הוא שבקרוב מאוד יותקפו גם ארגונים בישראל, שלא הטמיעו את עדכון האבטחה האחרון למוצר".

ההודעה יצאה בשיתוף צ'ק פוינט, ובסוף השבוע האחרון אנשי המערך פנו באופן יזום למאות ארגונים שבבעלותם טכנולוגיה זו עם הנחיות להטמעת עדכון האבטחה.

"אימות על ידי סיסמה בלבד – לא מומלץ"

בשבוע שעבר פרסמנו שהאקרים מנסים לתקוף את כלי ה-VPN של צ'ק פוינט, שמאפשר גישה מרחוק – כך החברה הודתה בפוסט שפרסמה בבלוג שלה.

צ'ק פוינט מאפשרת גישה מרחוק בכל מוצרי הפיירוול שלה, בין אם מדובר בגישה לרשת הארגונית בתצורה של מהלקוח לאתר (Client to site) ובין אם בפורטל SSL VPN לגישה דרך הרשת.

בענקית אבטחת המידע הישראלית אמרו אז כי מדובר בתקיפה של חשבונות ישנים. "ראינו בסוף השבוע (הקודם – י"ה) ניסיונות תקיפה של VPN דרך שימוש בחשבונות מקומיים (Local accounts). הם מנסים להיכנס ל-VPN דרך חשבונות די ישנים, עם סיסמה בלבד וללא אמצעי זיהוי נוספים, כגון אימות דו שלבי". על פי צ'ק פוינט, בעקבות דיווחים מחברות מהתעשייה על פריצות ל-VPN, בהם כמה דיווחים שהיא קיבלה מלקוחות שלה, החברה הקימה צוות למעקב, שגילה את הניסיונות. "בחרנו להזהיר ארגונים מפני ניסיונות תקיפה שכאלה. הטיפול בהם פשוט מאוד, והם יכולים לעשות זאת לבד או באמצעות כלי שלנו שמאפשר את זה", ציינו.

בפוסט שפרסמה החברה בבלוג שלה נכתב כי "להאקרים יש מוטיבציה לקבל גישה לארגונים באמצעות הגדרות גישה מרחוק, כדי שיוכלו לנסות לגלות נכסים ומשתמשים ארגוניים שרלוונטיים להם. הם מחפשים פגיעויות (במערכות הארגוניות – י"ה) כדי להגיע לנכסים המרכזיים של הארגון הקורבן".

על פי החברה, "אימות על ידי סיסמה בלבד נחשב למתודה לא מומלצת אם רוצים להבטיח אבטחה ברמה הגבוהה ביותר, ואנחנו ממליצים שלא להשתמש בו בכניסה לתשתיות רשת". "כצעד מונע", ציינו בצ'ק פוינט, "שחררנו פתרון, שמטפל בניסיונות הגישה מרחוק הלא מורשית הללו".

צ'ק פוינט מעודדת את הלקוחות לבדוק האם יש להם חשבונות מקומיים, האם השתמשו בהם ומי עשה זאת; לבטל את האפשרות להשתמש באותם חשבונות, בפרט אם בפועל לא משתמשים בהם; ואם כן רוצים להשתמש בהם – להוסיף שכבת אבטחה נוספת, על מנת להגביר את אבטחת מערכות ה-IT; וללקוחות החברה, לפרוס את הפתרון שהיא הוציאה ב-Gateways שלהם. "זה ימנע באופן אוטומטי גישה לא מורשית ל-VPN של הארגון על ידי שימוש בחשבונות מקומיים שמאמתים את זהות המשתמש באמצעות סיסמה בלבד", כתבה החברה בבלוג.

ההאקרים מבצעים יותר ויותר מתקפות על כלי VPN

כלי VPN נעשים יותר ויותר ליעד פופולרי להתקפות של שחקני איום. על פי דו"ח הסיכונים של זיסקיילר לשנה הנוכחית, הפגיעויות שההאקרים מצליחים לנצל בהצלחה הרבה ביותר בכלי VPN הם כופרות, נוזקות ומתקפות DDoS.

צ'ק פוינט היא החברה השנייה שספגה בחודשים האחרונים ניסיונות תקפה על כלי ה-VPN שלה. הראשונה הייתה סיסקו, שדיווחה לפני כמה שבועות שמתקפות נפוצות של "דחיפות אישורים" מכוונות לשירותי ה-VPN וה-SSN במוצרים שלה, כמו גם של צ'ק פוינט, סוניק וול, פורטינט ויוביקווייטי.