זה לא נגמר: סוניק-וול מודה שהאקרים מנצלים פגיעות שלה

עוד ועוד חברות נחשפות כמי שנפגעו ממתקפת הענק הרוסית בסייבר. לאחר שלפני ימים אחדים פורסם כי סוניק-וול (SonicWall) נפלה קורבן למתקפת סייבר מתואמת, של "האקרים מתוחכמים" במערכותיה הפנימיות – הודתה חברת האבטחה כי ההאקרים מנצלים חולשה שלה.

על פי הודעתה מאתמול (ב') של ספקית אבטחת הרשת, ההאקרים מנצלים פגיעות קריטית, מסוג יום אפס, באחד המכשירים שהיא מוכרת.

פגם האבטחה, מסרה החברה להגנת הסייבר מעמק הסיליקון, טמון בסדרת מוצרי Secure Mobile Access 100 שלה, אשר מפשטת את האבטחה לגישה מרחוק – מקצה לקצה – למשאבי ה-IT הארגוניים. בהודעת אבטחה סוניק-וול ציינה כי הפגיעות משפיעה על גרסות 10 של סדרת המוצרים הללו, וכי תצא להם הטלאה עד היום (ג').

העדכון הגיע אתמול, כיממה לאחר שחברת האבטחה NCC Group צייצה בטוויטר (Twitter) כי היא גילתה "ניצול חסר אבחנה של הפגיעות". הציוץ של חברת האבטחה התייחס להודעה קודמת של סוניק-וול, לפיה החוקרים "זיהו מתקפה מתואמת על מערכותיה הפנימיות על ידי גורמי איום מתוחכמים ביותר, המנצלים נקודות תורפה אפשריות מסוג יום אפס במוצרי אבטחת הגישה מרחוק שלנו".

הדוברות של קבוצת NCC מסרה כי "הצוות שלנו צפה בסימנים לניצול פגיעות המשפיעה על מכשירי סוניק-וול. אנו עובדים בשיתוף פעולה הדוק עם החברה, כדי לחקור יותר לעומק את הפגיעות".

שתי החברות, סוניק-וול ו-NCC, אמנם לא קשרו את החולשה שהתגלתה לפריצת הענק הרוסית בסייבר – שנחשפה בדצמבר האחרון – ואולם מקצועני אבטחה משוכנעים כי הפגיעות קשורה לפריצה לסולאר-ווינדס (SolarWinds). במסגרת פריצת הענק, המיוחסת להאקרים המקורבים לקרמלין, אוריון, תוכנת ניהול הרשת של סולאר-ווינדס, הודבקה בנוזקה.

הקישור למתקפת הענק, הסבירו מומחי האבטחה, נעשה בהתבסס על עיתוי הגילוי, ועל כמה מהפרטים בו. קבוצת NCC סירבה למסור פרטים נוספים אודות הפגיעות, כדי שהתוקפים לא ינצלו אותה לביצוע מתקפות נוספות, בטרם יצא עדכון האבטחה.

כבר עיכבה בעבר פרסום על מתקפת סייבר שחוותה

בשבוע שעבר סוניק-וול אישרה את דבר הפריצה רק לאחר שהאתר SC Media פנה אליה לקבלת תגובה, בטרם הוא פרסם את הידיעה בנושא. קו המוצרים שלה כולל פיירוולים, פתרונות אבטחת רשת וגישה, פתרונות אבטחת דוא"ל, ענן ונקודות קצה.

"באחרונה זיהתה סוניק-וול מתקפה מתואמת על מערכותיה הפנימיות, על ידי גורמי איום מתוחכמים ביותר", מסרה חברת הסייבר בהודעה – כמה שעות לאחר הבקשה לתגובה, בצירוף המלצות לנקיטת פעולות.

אין זו הפעם הראשונה שסוניק-וול מעכבת פרסום על מתקפת סייבר שהמערכות שלה חוו. בספטמבר 2020 היא ספגה ביקורת על כך שלקח לה יותר משבועיים לטפל בפגיעות שהשפיעה על כ-10 מיליון מכשירים מנוהלים ו-500,000 ארגונים. החברה לא קיבלה את הטענות שהופנו אליה אז, ואמרה כי היא הגיבה במהירות וכי כל פגיעות לא נוצלה.

הרוסים עומדים מאחוריה. מתקפת הסייבר הענקית על ארה"ב. צילום אילוסטרציה: BigStock צילום: BigStock

החברה היא עוד ספקית אבטחת מידע 'טהורה' שנחשפת כמי שהותקפה בסייבר בתוך פחות מחודשיים: את מתקפת הענק הרוסית חשפה פייראיי (FireEye), שהייתה בעצמה קורבן. מוקדם יותר בינואר השנה התגלה כי ההאקרים הרוסים פגעו גם במאלוור בייטס (Malwarebytes). ספקית התוכנות להסרת נוזקות נפגעה כאשר ההאקרים השיגו גישה למערכת הדואר האלקטרוני שלה. הם עשו זאת באמצעות שימוש לרעה ביישומים בעלי גישה מיוחדת לסביבות אופיס 365 ול-Azure. התוקפים לא הצליחו לגשת לקוד המקור של מאלוור בייטס או "להתעלל" בו, והחברה הצהירה כי מוצריה בטוחים לשימוש בכל עת. נפגעת נוספת הייתה מיימקאסט (Mimecast).

החשיפה הופכת את סוניק-וול לחברה הגדולה החמישית שדיווחה בשבועות האחרונים כי שימשה יעד להאקרים מתוחכמים – לצד מיקרוסופט (Microsoft) וקראודסטרייק (CrowdStrike). זו האחרונה דיווחה כי המתקפה עליה לא הצליחה. לצד חברות פרטיות אלו ונוספות, דוגמת VMware וסיסקו (Cisco) – הנוזקה פגעה גם בעשרות גופי ממשל פדרליים.