צ'ק פוינט איתרה את "אחת החולשות החמורות בעולם"

מערך הסייבר הלאומי הוציא אמש התרעה דחופה על חולשה חמורה בקוד הפתוח החינמי, שעלולות להגיע ממנו חדירות למערכות המחשוב הארגוניות. לפי חוקרי צ'ק פוינט, הם צפו בכ-40 אלף ניסיונות להשתמש בחולשה הזאת בתריסר השעות מאז פרסומה. הבוקר,  בארה"ב – שם מבוצעות מירב המתקפות – המספר כבר קפץ ליותר מ-86 אלף ניסיונות ניצול של החולשה, משמע יותר מכפליים.

לדברי לוטם פינקלשטיין, מנהל המחקר והמודיעין בצ׳ק פוינט, "במהלך סוף השבוע התגלתה חולשה באחת מהתוכנות הפופולריות ביותר, האמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה – Logs4j, לכאורה לא מוכרת, משובצת כמעט בכל שירות אינטרנטי או אפליקציה המוכרים לנו, כולל טוויטר, אמזון, מיקרוסופט, מיינקראפט ועוד".

לדבריו, "בשל פשטות חולשת האבטחה, הדרך לניצולה הייתה קצרה, ובתוך שעות מועטות החלו תוקפים שונים להשתמש בה. בתריסר השעות בלבד מאז שהתקנו הגנה שלנו אצל הלקוחות, ראינו יותר מ-40 אלף ניסיונות לנצל את החולשה הזו – וזה רק יילך ויתרחב בימים הקרובים – אלא אם תגנו על עצמכם. כרגע, עיקר המתקפות נוגעות לכריית מטבעות קריפטוגרפיים, על חשבון הקורבנות, אולם בחסות הרעש, תוקפים מתקדמים יותר עלולים לפעול בצורה אגרסיבית כנגד מטרות איכות".

"זו עדות נוספת למגיפות הסייבר המתרחשות עלינו לעיתים הולכות וקרבות", הוסיף פינקלשטיין, "כאשר חולשה משמעותית נמצאת בתוכנות פופולריות, החושפות ארגונים רבים כל כך למתקפות סייבר. על כן, על מנת לצמצם את הצלחות התוקפים, אנו מאיצים בכל ארגון או שירות, שלא נקט באמצעי הגנה כנגד מתקפה זו – לעשות זאת כעת ולהגן על המידע והנכסים שברשותו".

דוד ורשבסקי, סמנכ"ל סיגניה (Sygnia), אמר, כי "מדובר באחת הפרצות הכי חמורות שנראו בשנים האחרונות, וייקח חודשים להבין את היקף הפגיעה שלה ואת זהות הנפגעים. בסבירות גבוהה נראה תוקפים מנצלים את הפרצה לחדירה לארגונים. אנחנו כבר רואים כורים המנצלים מחשבים תמימים לצורכי כרייה של מטבעות קריפטו. השלב הבא כנראה יהיה תקיפות של קבוצות כופרה, שינצלו את החולשה כדי לחדור לארגונים. התוכנה הפגיעה נמצאת בכל מקום – משרתי iCloud וטוויטר, ועד לפתרונות IT ואבטחה ארגוניים (למשל VMWare Horizon, Palo Alto Panorama, Qradar, NetApp) וגם מצלמות CCTV ומדפסות – החבילה הפגיעה משמשת במיליוני יישומי ג'אווה. אפשר רק לשער מה גופי ביון יעשו עם זה. הפגיעות מאפשרת לשחקני איום חיצוניים לחדור לרשתות ארגוניות ולסביבות ענן, כמו גם להדליף מידע רגיש מיישומי אינטרנט ומוצרים. אנחנו כבר צופים בתוקפים שממנפים את הפגיעות כדי להשתלט על שרתים הפונים כלפי חוץ, ואז עלולים להתקין נוזקות נוספות, אשר בתורן עשויות להוביל לפגיעה מלאה בסביבה. אנחנו מצפים לראות חדירה מאסיבית גם לחברות וגופים ביטחוניים עם יכולות הגנת סייבר מתקדמות".

לדברי אלדד רודיק, סמנכ"ל המו"פ בסטארט-אפ טורק (Torq), "החולשה חמורה מאוד מכמה סיבות: היא קיימת בספרייה מאוד נפוצה, שנמצאת בהמון מקומות וקיימת כבר הרבה זמן. לכן, קשה יחסית לזהות ולעדכן את כל המקומות שבהן היא נמצאת. היא קלה באופן יחסי לניצול גם מרחוק. כיוון שהיא נפוצה מאוד, קשה לזהות באופן כולל את המקומות שבהם יש חשיפה, העלולה להוות מקור כניסה למערכות הארגון".

נדב אביטל, ראש קבוצת המחקר באימפרבה, ציין, כי "מדובר בחולשת אבטחה חמורה ברכיב תוכנה נפוץ מאוד בשירותים מבוססי ג'אווה. החולשה מאפשרת לתוקפים להריץ קוד זדוני באופן מרוחק מבלי להזדהות כלל. זו רמת החומרה הגבוהה ביותר שניתנת לחולשות אבטחה, כי יש המון שירותים מבוססי ג'אווה שאנחנו משתמשים בהם ברמה יום יומית כמו טוויטר, אמזון ועוד. יש לעדכן את התוכנה במהירות האפשרית, או להתקין פתרונות אבטחה שיגנו על ארגונים עד שיוכלו לעדכן את השירותים שלהם".

אלן אדלסון, מנהל אבטחת מידע בסייבריזן, הוסיף כי "חולשה המשפיעה על Apache Log4j בגירסאות 2.0 עד 2.14.1 נחשפה ב-GitHub ב-9 בדצמבר. החולשה זכתה לכינוי Log4Shell והיא בעלת דירוג החומרה הגבוה ביותר האפשרי של 10.Apache  זהו שרת נפוץ מאוד, כשליש מכל שרתי האינטרנט (web servers)  בעולם – מה שהופך את זה לחולשה שעלולה להיות קטסטרופלית. החולשה מאפשרת לתוקף להשתלט על השרת מרחוק (RCE) ומשם להגיע למידע ולהשתלט על השרת תוך כדי הרצת קוד וסבירות מאוד גבוהה להגיע לכל מקום אפשרי בסביבה הארגונית. צוותי סייבריזן פיתחו 'חיסון' שאותו פרסמנו ביום ו'".