חברות סייבר ישראליות חשפו 19 חולשות IoT

חברת אבטחת המידע הירושלמית JSOF, בשיתוף פעולה עם חברות נוספות, חשפו השבוע שורה של 19 חולשות תחת השם Ripple20 – העלולות לסכן מאות מיליוני מכשירים מחוברים (IoT) של מאות מהספקים והיצרנים הגדולים בעולם ולהוביל לחשיפה של מידע רגיש. עוד עלולות החולשות לגרום להשתלטות מרחוק על מכשירי קצה במגזרי משק רבים, החל מתעשייה עבור בבריאות וכלה בארגוני ממשל ותשתיות קריטיות.

החולשות, שארבע מהן הן חולשות קריטיות, פוגעות בספריית תקשורת IP של חברת טרק (Treck). רכיב תקשורת IP  הוא רכיב תוכנה בסיסי לקישוריות ונדרש בכל מכשיר מקושר וחכם. רכיב התקשורת IP של טרק נמצא בשימוש נרחב מאוד, בין היתר על ידי HP, סיסקו (Cisco) אינטל (Intel), שניידר אלקטריק, רוקוול (Rockwell) וספקיות אחרות לייצור מוצרים ומכשירים – ממדפסות, ועד מערכות שליטה תעשייתיות (ICS) וציוד רפואי.

במרץ השנה, הוציאה טרק הודעת אזהרה וקראה ללקוחותיה לתקן את הפרצות. על פי חברות הגנת הסייבר הישראליות, "בעולם האינטרנט של הדברים ובעולמות התעשייה והתשתיות הקריטיות, אין דרך קלה למשתמשים ולארגונים לדעת אילו רכיבים נמצאים בכל מכשיר. המשמעות היא, שחלק מהרכיבים האלו עלולים לגרום לסיכון אבטחה משמעותי מבלי שהמשתמשים – ולעיתים גם יצרני המכשירים – יהיו ערים לכך".

החולשות הללו התגלו בראשונה על ידי JSOF בסוף 2019, וכחלק ממהלך לאיתור ספקים ומכשירים פגועים היא יזמה שיתוף פעולה בעולם הסייבר הישראלי. פורסקאוט, מחברות הסייבר הגדולות בישראל הייתה בין השותפות במאמץ. חוקרי פורסקאוט השתמשו ב-Device Cloud, מאגר מידע המכיל יותר מ-10 מיליון מכשירים מסוגים שונים. מהם אותרו כ-90,000 מכשירים של כ-50 ספקים, שהטמיעו את הנוזקה במוצרי ה-IT וה-OT שלהם, בהם משאבות עירוי בבתי חולים, מערכות אל-פסק (UPS), מרכזי נתונים ומערכות שיחות וידיאו בארגונים. מוצרי פורסקאוט מאפשרים לזהות את כל המכשירים החשודים ולקבל החלטה אוטומטית לגבי הטיפול בהם, כגון לבודדם מיידית מהרשת, או ממערכות רגישות אחרות.

עוד שותפה לחשיפה הייתה  CyberMDX – חברה המתמחה בסייבר למכשור רפואי ולבתי חולים. תחילה נבדקו החתימות במעבדות החברה מול מגוון של מכשירים רפואיים, ולאחר מכן נבדקו בקרב הרשתות של לקוחות החברה, בהן כמה מרשתות בתי החולים הגדולים בעולם. זאת על מנת לאתר וללמוד על מכשירים נוספים העשויים להיות מושפעים מהחולשה.

חברות הסייבר הישראליות הסבירו, כי "גישה זו לגילוי חולשות, שכללה שיתוף פעולה עם חברות נוספות בתחום אבטחת הרשת לצורך זיהוי מכשירים, הינה הכרחית – כיוון שטרק הוא רכיב קישוריות בסיסי, המשמש מגוון ספקי מכשירים בדרכים רבות ומגוונות".

ספקים אינם מפרסמים את העובדה שהם משתמשים בספריית תקשורת זו או אחרת, ובנוסף, רק לעיתים רחוקות הם מפרסמים את רכיבי התוכנה והחומרה הרבים האחרים המשובצים במכשירים שלהם.

בעולם האינטרנט של הדברים אין עץ מוצרים (Bill of materials), שמאפשר למשתמשים ולארגונים לדעת מה הם הרכיבים המשובצים במכשירים שהם משתמשים בהם ואילו חולשות משפיעות עליהם. יותר מכך, שרשרת האספקה לייצור מכשירי IoT יכולה להיות ארוכה ומורכבת מאוד. בין רכיב תוכנה כמו טרק למכשיר של משתמש קצה יכולה להיות רשת מפותלת של יצרנים ואינטגרטורים.

כדי לנצל את חולשות Ripple20, התוקף נדרש לחיבור ישיר למכשיר, או לנתב המנותב לרשתות פנימיות, ובמקרים מסוימים הוא יכול לבצע תקיפה אף מחוץ לרשת. פירוש הדבר, שמכשירים המחוברים ישירות לאינטרנט הם אלה הנמצאים בסיכון הגבוה ביותר. תוקף יכול להתמקד תחילה במכשירים אלה, להשתלט עליהם ולנוע בתוך הרשת כדי לגשת למכשירים אחרים, או להדביק אותם. בתסריט אחר, תוקף יוכל להשתמש במכשיר כדי להתחבא במערכת קריטית – ולעשות זאת לאורך שנים.