פיקוד הסייבר בארה"ב: הטליאו בדחיפות פגיעות אבטחה ב-F5

F5 Networks

F5 Networks, הפועלת בעולמות הרישות, אבטחת יישומים ופתרונות ענן, הוציאה תיקון אבטחה לפגיעות משמעותית, שניצול שלה עלול להביא ל"סיכון כולל של מלוא המערכות".

פלטפורמת ניהול ואבטחת היישומים של החברה, BIG IP, היא ציוד רישות פופולרי ביותר, המשמש כיום במערכות IT ממשלתיות, בקרב ספקיות שירותי אינטרנט ובמרכזי מחשוב ענן. אם מנהלי אבטחה לא מצליחים לתקן את הפגיעות החדשה, הרי שהתוקפים עלולים לגרום להרס ברשתות שלהם, כך טוענים מומחי אבטחת מידע. מיכאיל קליוצ'ניקוב, חוקר אבטחת אפליקציות בכיר ב-Positive Technologies, שחשף את הפגיעות, העריך כי ישנם כ-8,000 מכשירים שכאלה, הנחשפים לאינטרנט.

הפגיעות, שתויגה CVE-2020-5902, משפיעה על TMUI, ממשק המשתמש לניהול התעבורה של BIG-IP. זה מאפשר איזון עומסים, תפעול פיירוולים, מגבילי קצב ומערכות עיצוב תנועה באינטרנט. תוקפים המנצלים את החולשה יכולים לבצע פקודות מערכת שרירותיות, ליצור קבצים, למחוק קבצים או להשבית שירותים, כך על פי F5.

הציון הגבוה ביותר האפשרי של 10 מ-CVSS

הפגיעות היא כה חמורה, עד ש"זכתה" לקבל את הציון הגבוה ביותר האפשרי של 10 מ-CVSS, מערכת ניקוד הפגיעויות. פיקוד הסייבר במשרד ההגנה האמריקני הזהיר בטוויטר כי הטלאת הטלאי הוא "דחופה" וכי "אין לדחות אותה לסוף השבוע". הסוכנות אבטחת הרשת במשרד להגנת המולדת הודיעה למנהלים כי עליהם לעדכן את מערכות ה-F5 שלהם ביום העצמאות, ה-4 ביולי.

כריס קרבס, מנהל הסוכנות לאבטחת סייבר ותשתיות (CISA), צייץ שלשום (ב') כי "אם לא תטליא עד היום בבוקר – צא מנקודת הנחה שאתה פגיע ונפגעת".

"ניצול הפגיעות לטובת השתלטות מרחוק על המערכת על ידי ההאקרים", הסביר קליוצ'ניקוב, "נובע מפגמי אבטחה ברכיבים רבים. הדבר מסוכן במיוחד לחברות שממשק האינטרנט של BIG-IP שלהן מופיע במנועי חיפוש ייחודיים, כמו שודן (Shodan)".

השתלטות מרחוק מטעם האקרים על מערכות ממשל. צילום אילוסטרציה: BigStock

שודן ודומיו, הם מנועי חיפוש הסורקים את הרשת במטרה לזהות ולמפות מערכות שמחוברות לאינטרנט, כמו נתבים או מערכות שליטה ובקרה תעשייתיות (ICS או SCADA). בדרך זו ניתן לגלות ולמפות בקלות את המערכות הסובלות מבעיות. כמו שחוקרי אבטחה נעזרים במנוע ובדומיו – כך עושים גם ההאקרים.

ריץ' וורן, יועץ האבטחה הראשי בקבוצת NCC, אמר כי אנשיו צפו בניצול של הפגיעות זמן קצר לאחר שהממשל הוציא את ההתראות שלו ב'פושים'. לדבריו, "המתקפות היו מגוונות ואופורטוניסטיות. ראינו עלייה חדה בנסיונות לנצל את הפגיעות, בעקבות הפרסום אודותיה, ולסייע להאקרים בעלי מיומנות פריצה נמוכה". לדבריו, נסיונות הניצול הראשונים הגיעו מאיטליה, ולאחריהם, היו נסיונות רבים מסין.

זהו הפגם השני שנחשף בתוך ימים אחדים, ש"זוכה" לקבל את הציון החמור ביותר, 10, על ידי CVSS. בשבוע שעבר מסר הממשל האמריקני על פגיעות אבטחה קריטית שנמצאה ברכיבים רבים של פאלו אלטו (Palo Alto Networks). הפגיעות מאפשרת לתוקפים מרוחקים לעקוף את מנגנון האימות ולהפעיל נוזקה על מערכות, מה שעלול לאפשר פריצה מלאה לרשתות ולמערכות של הארגון, כך מסרו יועצי האבטחה של פאלו אלטו.