רשמית: האקרים מנצלים פגיעות בסוניקוול למתקפות
סוכנות אבטחת הסייבר של ארצות הברית, CISA, ממליצה "בחום" לכל הארגונים "ליישם תיקונים זמינים לפגם הקריטי" ● אלפי מכשירים נמצאים תחת סיכון

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, אישרה בסוף השבוע כי פרצה קריטית, שמשפיעה על מסוף ניהול מכשירי ה-SMA1000 של סוניקוול, נוצלה על ידי האקרים לטובת ביצוע מתקפות. אנליסטים העריכו שאלפי מכשירים נמצאים בסיכון בשל החולשה.
החולשה, שמשפיעה גם על קונסולת הניהול המרכזית של סוניקוול, נחשפה בשבוע שעבר על ידי חוקרי מיקרוסופט, שגילו גם הם עדויות לניצול שלה. סוניקוול, לעומת זאת, הודיעה ביום ה' האחרון כי "שותפים ולקוחות לא דיווחו על ניצול ישיר של החולשה", שמאפשרת לתוקפים להסב נזק לקורבנות – מרחוק. החברה לא הגיבה לפרסומים, מעבר להודעה זו. יום קודם לכן, ביום ד' האחרון, חברת אבטחת הסייבר פרסמה אזהרה מפני הפגיעות, שמשפיעה על המוצר שלה – שבו חברות רבות משתמשות כדי לספק לעובדים גישת VPN לרשתות ארגוניות.
בהודעת CISA נמסר כי היא הוסיפה את החולשה, שסווגה כ-CVE-2025-23006, לקטלוג הפגיעויות שלה, תחת הקטגוריה של "ראיות לניצול פעיל". היא קראה לארגונים לתקן אותה עד מחצית פברואר.
"וקטורי תקיפה תכופים שנמצאים בשימוש שחקני סייבר זדוניים"
לפי הסוכנות, "סוגים אלה של פגיעויות הם וקטורי תקיפה תכופים שנמצאים בשימוש שחקני סייבר זדוניים. הם מהווים סיכונים משמעותיים לארגונים פדרליים. אנחנו קוראים לכל הארגונים וממליצים להם בחום להציב את תיקון הפגמים בראש סדר העדיפויות שלהם, כי הפגיעות הזו היא בין הפגיעויות שהן ידועות – ומנוצלות".
הפגיעות עלולה להיות מנוצלת על ידי גורם זדוני כדי להפעיל קוד מרחוק ללא אימות. לפי סוניקוול, היא קיבלה דירוג חומרה "קריטי" של 9.8 מתוך 10.
החולשה משפיעה על גרסאות של פלטפורמת SMA1000, עד גרסה 12.4.3-02804. סוניקוול שחררה תיקון שפותר את הבעיה.
החברה מסרה כי חוקרים במרכז מודיעין האיומים של מיקרוסופט (MSTIC) "גילו ראיות לניצול, מה שהוביל לסקירת קוד ופגיעות מקיפה, שהובילה לגילוי החולשה ולסיווגה". החברה הוסיפה כי "אנחנו עובדים בשיתוף פעולה הדוק, על מנת לזהות ולצמצם את הפגיעות האמורה".
2,300 מכשירים עלולים להיות פגיעים לבאג
ההערכות הן כי 2,300 מכשירים חשופים לאינטרנט ועלולים להיות פגיעים לבאג, ורובם נמצאים בארצות הברית, בגרמניה (שסוכנות אבטחת הסייבר שלה פרסמה אזהרה משלה לגבי הפגיעות ביום ה' האחרון) ובהונג קונג. צוות האבטחה של מיקרוסופט הודיע כי "חובה על המשתמשים להוריד את העדכון ולתקן את הבאג".
מומחי אבטחה ציינו שמכשירים מסוג זה, שמשמשים כשערים לגישה מאובטחת מרחוק, "מהווים מטרה אטרקטיבית לתוקפים". מומחה אחד ציין שמכשירי סוניקוול היו מטרה למתקפות לעתים קרובות בעבר, "והיו גם על הכוונת של קבוצות כופרה".
תגובות
(0)