מיליוני מכשירים בעולם חשופים למתקפות כופרה בשל חולשות ברכיבי תקשורת

מיליוני מכשירים בעולם חשופים למתקפות כופרה, בשל חולשות ברכיבי תקשורת, כך על פי מעבדות המחקר של פורסקאוט.

ענקית האבטחה, הישראלית במקורה, חשפה היום (ג') שורה של 33 חולשות חדשות. החולשות התגלו בספריות תקשורת TCP/IP של ארבע חברות:  uIP, FNET, PicoTCP ו-Nut/Net. ספריות אלו מהוות בסיס לתקשורת עבור מיליוני מכשירים ברחבי העולם. החולשות נובעות מכך, שבפיתוחן של ספריות אלו לא הושמו דגשים מספקים על אבטחתן, ולכן המשתמשים חשופים לאיומים בצורה משמעותית יותר. חוקרי פורסקאוט זיהו, כי החולשות מופיעות במגוון רחב של מכשירים ברשת – החל ממדפסות ומתגי תאורה, וכלה במצלמות רשת ומכונות קפה – והן מאפשרות לתוקף, בנסיבות מסוימות, לנצלן למינוף התקיפה, לרבות מתקפות כופרה, הגעה למאגרי מידע רגישים והזלגתם לגורם זדוני.

החולשות נמצאו בשבעה פרוטוקולים שונים של רכיבי תקשורת: DNS, IPv6, IPv4, TCP, ICMP, LLMNR ו-mDNS. החולשות עלולות להביא לארבעה סוגי איומים אפשריים: הפעלת קוד מרחוק (RCE), מניעת שירות (DoS באמצעות Crash או לופ אינסופי), דליפת מידע (infoleak) והרעלת מטמון DNS cache Poisoning) DNS). את החולשות האלו ניתן לנצל כדי לקבל שליטה מלאה על מכשיר המטרה, לפגוע בפעילותו ובזמינותו, להשיג מידע רגיש, או להזריק רשומות DNS זדוניות, אשר יפנו את המכשיר לדומיין שבשליטת התוקף.

סוגי ההתקנים הנתונים בסיכון. איור: פורסקאוט

פורסקאוט מעריכה כי מיליוני מכשירים ברחבי העולם, המיוצרים על ידי יותר מ-150 יצרנים, מושפעים בצורה ישירה מחשיפת חולשות אלו בעקבות הטמעת ספריות אלו במוצריהם. ספריות פגיעות אלו נמצאות כבר היום בשימוש נרחב במכשירי קצה ביתיים (לדוגמה, שקע חכם) ובמגוון מגזרים, בהם בריאות, ממשל, תעשיות, קמעונאות, ספקי שירותים, גופים פיננסיים ועוד. בשל תפוצתן הנרחבת קיים קושי רב לאמוד את היקף הסיכון ואת אפשרויות העדכון.

"ארגונים שלא יפעלו למזעור הסיכון", ציינו החוקרים, "מותירים את הדלת פתוחה לתוקפים במכשירי OT, IT ו-IoT ברחבי הארגון. ניצול החולשות עלול לאפשר לתוקף להשתלט על מכשיר ולהשתמש בו כנקודת גישה לרשת, כנקודת מרכזית לתנועה רוחבית ברשת, וכבסיס יציאה להתקפות על רשת המטרה – או כיעד הסופי להתקפה. לגבי צרכנים, מכשירי IoT ביתיים עלולים להיות מנוצלים לצורך הוצאה לפועל של התקפות גדולות, כגון בוטנטים, בלא שיהיו מודעים לכך".

ישנם מקרים רבים שבהם חולשה תהיה ברכיב מסוים על מכשיר קצה, בעוד היצרן של אותו רכיב אינו קיים עוד, ולכן לא יופץ עדכון גירסה הפותר את החולשה. במקרים שבהם יפיץ היצרן עדכון גירסה, ישנן תעשיות, כגון בריאות או תשתיות קריטיות, שיתעכבו משמעותית בהתקנת העדכון, או לא יתקינו אותו כלל, בשל מורכבות תפעולית והצורך להשבית זמנית את המערכת לשם כך.

אחוז ההתקנים הפגיעים לפי ורטיקלים של תעשיות. איור: פורסקאוט

פורסקאוט שיתפה בממצאים את רשויות הגנת הסייבר השונות, שיצרו קשר עם הספקים שזוהו במחקר. חלק מהספקים כבר אימתו את החולשות ופרסמו עדכונים; חלק עדיין חוקרים את הממצאים. "היום ברור", כתבו החוקרים, "כי מכשירים מרושתים (IoT) מהווים נקודת ממשק נוחה ומועדפת לתקיפות סייבר, בעיקר בשל האפשרות לתקיפה מרחוק והיכולת לטשטש עקבות. מדובר גם באתגר הגנתי ותפעולי, שכן מנהל אבטחת המידע בארגון כלל אינו יודע האם המכשיר שברשת מכיל חולשות, וייתכן שכאשר הדברים יתבררו – יהיה מאוחר מדי".

נאור קלבו, מנהל מחקר-סייבר בפורסקאוט ישראל, אמר, כי "המחקר מראה לנו פעם נוספת, בצורה ברורה, כי יצרנים רבים ומובילים בשוק עדיין לא מייחסים את החשיבות הנדרשת לאבטחת מוצריהם, הנמצאים במגזרים ובמקומות הרגישים ביותר – בתי חולים, תעשיות קריטיות, ארגונים ממשלתיים ועוד. המציאות שבה ארגונים רבים נופלים קורבן לפריצות, לדליפות מידע ולמתקפות כופרה מוגדרת על סמך החוליה החלשה ביותר ברשת. 'חוליות' אלו רבות ומסוכנות יותר. בנוסף, אם עד היום רוב ההתמקדות הייתה במרדף אחר מכשירי קצה פגיעים, הרי שהמחקר מלמד, כי הרובד העמוק יותר של ספריות הליבה, דוגמת TCP/IP – מהווה אתגר רחב, משמעותי ובעיקר מסוכן יותר. אין ספק שבתקופה הקרובה נראה התקפות רבות בגזרה זו".

רכיבים והתקנים המריצים את הספריות הפגיעות. איור: פורסקאוט