פאלו אלטו מצאה חולשות אבטחה אצל שלוש ספקיות הענן המובילות

שורה ארוכה של חולשות וחורי אבטחת מידע בשירותי הענן הציבורי המובילים – של אמזון (AWS), מיקרוסופט (Azure), וגוגל (GCP), כך לפי מחקר חדש של Unit 42 – קבוצת מחקרי אבטחת המידע של פאלו אלטו.

שירותי ענן ציבורי, נכתב בדו"ח, הופכים פופולריים יותר ויותר. ההוצאה הכוללת העולמית המדווחת על תשתיות ענן צמחה ב-45.6% בשנת 2018. AWS ממשיכה להוביל, ולה נתח של 31.3% משוק ספקי שירותי הענן, CSP. אחריה מדרגת שניה מיקרוסופט, ולה נתח שוק של 16.5%. שלישית ניצבת גוגל, כששירותי הענן שלה אוחזים ב-9.5% מהשוק. הענן, כתבו החוקרים, מספק לארגונים אג'יליות, יכולת להגדלת ולהקטנת מערך המחשוב בלא לדאוג ל"ברזלים", וככזה, הוא מניב תועלות עסקיות מבוססות IT.

מספר הפגיעויות בשנות CVE שונות, ב-AWS, Azure ו-GCP. טבלאות: פאלו אלטו

"למרות זאת", ציינו החוקרים, "גילינו בעננים הציבוריים כמה תצורות (קונפיגורציות) לא מאובטחות, שעלולות להוות סיכון לארגונים המשתמשים בשירותי הענן של הספקיות. המחקר העלה כי ההאקרים ופושעי הרשת מנצלים את תשתיות הענן כאבן דרך להשקת המתקפות שלהם. למרות זאת, הענן נחשב בטוח יותר מאשר מערכי מחשוב המתבססים על התוכנה ברישוי מסורתי: בכל אחת משלושת ספקיות הענן נמצאו פחות מעשרים חולשות בשנה, וזאת לעומת אלפי חולשות שיש במערכי מחשוב מבוססי סביבות של חלונות או לינוקס".

"הגדרות לא נכונות של השירותים עלולות לסכן את כל התשתית" 

"ספקי שירותי הענן", ציינו החוקרים, "מציעים מודלים שונים של שירות שמעניקים לעסקים זריזות וגמישות לבצע פעילות מהירות ולצמוח – מבלי לדאוג להתאים כל העת את תשתית ה-IT שלהם. עם זאת, הגדרות לא נכונות של השירותים עלולות לסכן את כל התשתית – והן חושפות עסקים לסיכוני אבטחה חמורים".

כך, ציינו החוקרים של פאלו אלטו, "47% משרתי ה-SSH – אשר מאפשרים ביצוע פעולות מרחוק על ידי Login – של מיקרוסופט, חשופים למתקפות לפריצה בכוח של הסיסמה. זאת, מאחר שההגדרות מאפשרות למשתמש לבחור באופציה פחות מאובטחת – של כניסה באמצעות סיסמה".

עוד עלה מהמחקר כי 50% מהשרתים הנגישים למשתמשים דרך הענן הציבורי חשופים לחולשות אבטחה הידועות מזה שנתיים לפחות – ואשר טרם נחסמו. ממצא נוסף מצביע על כך כי 24% משרתי האירוח הנגישים למשתמשים דרך הענן הציבורי – כוללים חולשות לא ידועות.

על פי המחקר, 61% מהשרתים הנגישים למשתמשים דרך הענן הציבורי עדיין מריצים פרוטוקול תקשורת TLS בגרסה 1.1 או גרסאות ישנות יותר (גרסה 1.2 הושקה ב-2008 וגרסה 1.3 הושקה ב-2018).

כך, עולה כי בשרתי האפליקציות הנגישים למשתמשים דרך הענן הציבורי, החוקרים זיהו 29 מיליון חולשות אבטחה בשרתי AWS, כ-1.7 מיליון חולשות אבטחה בשרתי מיקרוסופט – Azure, וארבע מיליון חולשות בשרתי הענן של גוגל.

חוקרי האבטחה של פאלו אלטו עדכנו את שלושת ספקיות הענן לגבי החולשות שנמצאו, ופעלו יחד עימן לתיקון בעיות אבטחת המידע – בטרם פרסום ממצאי המחקר.