נחשפו חולשות שעלולות לפגוע במאות מיליוני מכשירים בעולם
מעבדות המחקר של פורסקאוט ו-JSOF חשפו את NAME:WRECK - סדרה של תשע חולשות הקשורות לארבעה מערכי TCP/IP נפוצים ● החולשות קשורות ליישומי DNS ועלולות לגרום למתקפת מניעת שירות (DoS) או להפעלה מרחוק של קוד (RCE)
מעבדות המחקר של פורסקאוט (Forescout), הישראלית במקורה, ו-JSOF הישראלית, חשפו חולשות DNS חדשות, העלולות להשפיע על מאות מיליוני מכשירים, הנמצאים בשימוש פרטי וארגוני.
מדובר ב-NAME:WRECK, סידרה של תשע חולשות הקשורות לארבעה מערכי TCP/IP נפוצים – FreeBDS, IPnet, Nucleus NET ו-NetX. חולשות אלו קשורות ליישומי DNS (ר"ת Domain Name System) ועלולות לגרום למתקפת מניעת שירות (DoS) או להפעלה מרחוק של קוד (RCE). בכך הן מאפשרות לתוקפים להשבית פעילות של מכשירים או להשתלט עליהם. השימוש הנפוץ במערכים האלה והחשיפה החיצונית של יישומי DNS פגיעים מובילים לגידול דרמטי במישור התקיפה.
החוקרים ציינו, כי "המחקר הנוכחי מספק עדות נוספת לכך, שקהילת ה-IT צריכה לתקן בעיות ב-DNS, שאנו מאמינים שהן נפוצות הרבה יותר מכפי שאנו יודעים כעת". החוקרים מציינים גם, כי ארגונים במגזרי ממשל ושירותי הבריאות הם בעלי החשיפה הגדולה ביותר למערכים: בהערכה שמרנית, 1% מכלל 10 מיליארד פריסות ויישומים שרלוונטיים עלול להיות פגיע – מכאן, שלפחות 100 מיליון מכשירים עלולים להיפגע מ-NAME:WRECK.
החולשות הן בכמה מערכי תקשורת נפוצים: Nucleus NET הוא חלק מ-Nucleus RTOS, ויותר מ-3 מיליארד מכשירים משתמשים במערכת ההפעלה בזמן אמת, כולל מכשירי אולטרה סאונד, מערכות אחסון, מערכות חיוניות בתחום התעופה ועוד. המכשירים שמריצים אותו באופן הרחב ביותר כוללים מערכות לאוטומציה של בניינים, טכנולוגיה תפעולית ו- FreeBDS ;VoIP מוכר בעיקר בזכות השימוש בו בשרתים עתירי ביצועים במיליוני רשתות IT, והוא גם מהווה בסיס לפרויקטים מוכרים מאוד בקוד פתוח, כגון פיירוולים והתקני רשת מסחריים. המכשירים שעושים את השימוש הנפוץ ביותר בו הם מחשבים, מדפסות וציוד רשת; NetX פועל על גבי ThreadX RTOS. יישומים נפוצים שלו כוללים מכשור רפואי, מערכות על שבב וסוגים מסוימים של מדפסות, והוא פועל על מיליארדי מכשירים – כשהשימוש הנפוץ הוא במכשירים ניידים, מכשירי אלקטרוניקה ביתיים ואוטומציה לעסקים, מדפסות, שעונים חכמים, וציוד אנרגיה במערכות בקרה תעשייתיות.
בשיחה עם אנשים ומחשבים אמר שלומי אוברמן, מנכ"ל JSOF, כי "מדובר ברכיבי תקשורת, בספריות קוד של תקשורת, שיצרני IoT לא מפתחים בעצמם, אלא לוקחים פיתוחים מסחריים מוכנים, חלקם בקוד פתוח. ניתחנו כמות גדולה של ספריות, ורק בחלקן לא מצאנו חולשות. בחלק מהם יש מעט אבטחת מידע ובחלק כלל אין. החולשות עלולות לאפשר להאקרים לגייס את רכיבי האינטרנט של הדברים לטובת רשת בוטנט, או לצורך שיבוש, או לשנות דברים בבית החכם, או להרוס קווי ייצור תעשייתיים. החולשות מאפשרות להשתלט על הרכיבים, וחולשות אחרות 'רק' להשבית אותם. יש מצב שבו ניתן להשתלט על רכיב שכזה גם בתשתיות קריטיות, כי הרבה פעמים הן מנותקות מהרשת. דוגמה אחרת: ההאקרים יכולים 'לפנות' לבקר תעשייתי שבאינפוזיה ולבקש עדכונים, או גרוע מכך, להביא לתרחיש של הפסקת חשמל או לגרום למשהו להתפוצץ. כל תוקף, בין אם הוא ממומן, ובין אם הוא שלוח מדינה, עלול לנצל חולשות אלו".
"אנו קוראים למפתחי מערכי TCP/IP שעדיין לא נותחו להוריד נתונים מהדו"ח הטכני שלנו, לבדוק את הקוד שלהם, לבדוק הימצאות באגים ולתקנם", אמר אוברמן. "פרסמנו קוד פתוח, המאפשר לחוקרים ולמפתחים לבצע ניתוח של מערכים נוספים לגבי הימצאות חולשות דומות. אנו מזמינים חוקרים, מפתחים וספקים לפנות אלינו, מערך הוכחת ההיתכנות שלנו יכול לשמש כדי לבחון באופן אוטומטי חוקים של זיהוי חדירה". הוא סיכם באומרו, כי "הגנה מלאה כנגד NAME:WRECK דורשת עדכון של מכשירים המריצים גירסאות פגיעות של מערכי תקשורת אלה. הם עודכנו באחרונה, וספקי מכשירים המשתמשים בתוכנות אלה צריכים לספק עדכונים משלהם ללקוחות. עם זאת, לא תמיד ניתן לעדכן מכשירים, והמאמץ הנדרש לשם עדכון משתנה באופן משמעותי, באם מדובר בשרת IT סטנדרטי או מכשירIoT ".
תגובות
(0)