זה נראה כמו תרחיש האימים של מומחי הסייבר: מערך הסייבר הלאומי פרסם אמש (שבת) התרעה דחופה בעקבות חולשת אבטחה חמורה שהתגלתה בתוכנה בשם Log4j, המשמשת לתיעוד פעילות משתמשים בשירותים ברשת ומשובצת באפליקציות ושירותים רבים ברשת - כולל של אפל, אמזון, מיקרוסופט, טוויטר ועוד. מחברת אבטחת המידע צ'ק פוינט נמסר כי עד כה נרשמו יותר מ-400 אלף ניסיונות לנצל את החולשה, ומאחורי 45% מהם עומדות קבוצות תקיפה זדוניות.
עוד כתבות שיעניינו אתכם:
החולשה התגלתה לראשונה במשחק הפופולרי מיינקראפט, אבל מומחי סייבר מעריכים כי מיליוני אפליקציות נוספות עושות שימוש ב-Log4J ולכן גם הן פגיעות. מדובר בין היתר ב-iCloud של אפל, שירות הגיימינג סטים ועוד. האקרים יכולים לנצל את חולשת האבטחה על מנת לשלוח קודים זדוניים לשרתים, ולגרום להם להוריד נוזקה שתעמיד את המידע של החברות ושל המשתמשים בסכנה. החדשות הטובות: יש כבר עדכון אבטחה ומומחי הסייבר ממליצים לארגונים להתקין אותו בהקדם האפשרי. סוכנות הסייבר האמריקנית (CISA) פרסמה גם היא התרעה בעקבות גילוי החולשה.
לדברי לוטם פינקלשטיין, מנהל המחקר ומודיעין בצ׳ק פוינט, "בשל פשטות חולשת האבטחה, הדרך לניצול שלה הייתה קצרה ובתוך מספר שעות תוקפים שונים החלו להשתמש בה. זה רק ילך ויתרחב בימים הקרובים אלא אם תגנו על עצמכם. כרגע עיקר המתקפות נוגעות לכריית מטבעות קריפטוגרפיים על חשבון הקורבנות, אולם בחסות הרעש תוקפים מתקדמים יותר עלולים לפעול בצורה אגרסיבית נגד מטרות איכות".
השלב הבא: מתקפות כופר
בצ'ק פוינט מסבירים כי חולשת האבטחה מאפשרת לתקוף את השרתים של האפליקציות השונות, ולכן המפתחות הן אלה שאמורות לנקוט בפעולה - למרות שגם המשתמשים נמצאים בסכנה. לדברי פינקלשטיין, "על מנת לצמצם את הצלחות התוקפים, אנו מאיצים בכל ארגון או שירות שלא נקט באמצעי הגנה כנגד מתקפה זו, לעשות זאת כעת ולהגן על המידע והנכסים שברשותו".
לדברי דוד ורשבסקי, סמנכ"ל Enterprise Security בחברת Sygnia, מדובר באחת הפרצות החמורות שנראו בשנים האחרונות וייקח שבועות ואולי חודשים להבין את היקף הפגיעה ומי פגיע. "אנחנו כבר רואים crypto miners מנצלים את הפריצה (על מנת לכרות מטבעות קריפטוגרפיים במחשבים שאינם שלהם - י.מ) והשלב הבא כנראה יהיה תקיפות של קבוצות כופר שינצלו את החולשה כדי לחדור לארגונים. התוכנה הפגיעה נמצאת בכל מקום - משרתי iCloud וטוויטר, ועד לפתרונות IT ואבטחה ארגוניים (למשל VMWare Horizon, Palo Alto Panorama, Qradar, NetApp) וגם מצלמות CCTV ומדפסות - החבילה הפגיעה קיימת באלפי יישומי ג'אווה. אפשר רק להתחיל לשער מה גופי ביון יעשו עם זה".
ורשבסקי הוסיף כי "הפגיעות מאפשרת לתוקפים לחדור לרשתות ארגוניות ולסביבות/פלטפורמות ענן, כמו גם להדליף מידע רגיש מאתרי אינטרנט ומוצרים. אנחנו כבר צופים בתוקפים שממנפים את הפגיעות כדי להשתלט על שרתים הפונים כלפי חוץ ולהתקין תוכנות זדוניות נוספות, אשר בתורן עשויות להוביל לשליטה מלאה של התוקף בסביבה. היות והמון חברות טכנולוגיה ואבטחה בעצמן פגיעות לזה, אנחנו מצפים לראות חדירה מאסיבית גם לחברות וגופים ביטחוניים עם יכולות הגנת סייבר יותר מתקדמות".
משה ציוני, סמנכ"ל מחקר סייבר בסטארט-אפ Apiiro, מציין כי חולשת האבטחה חושפת את "הבטן הרכה" של כל תוכנה באשר היא - התלות שלה בכלים אחרים. לדבריו, "כל תוכנה היום נשענת על חבילות תוכנה רבות כדי לקיימה. log4j היא רק אחת מאותן חבילות פופלריות שמרבות לצוץ 'מאחורי הקלעים' של אתרים ושירותים רבים שאנחנו צורכים. היום כל ארגון בעצם כותב תוכנות, בין אם ללקוחותיו ובין אם פנימית, ומנהלי אבטחת מידע מתקשים לדעת על אילו חבילות תוכנה אחרות הן נשענות. למעשה, קשה להם מאוד לדעת אילו תוכנות הופכות להיות בין רגע לפגיעות, מאחר והמידע הזה לרוב קשה לפענוח כאשר חולשת אבטחה כזו מתפרצת".
בהודעת מערך הסייבר נכתב כי "ספרייה חינמית (Open Source) בשם Log4j, אשר מקורה בפרויקט Apache, כלולה במספר רב של מוצרים מתוצרת יצרנים שונים, ובשירותי ענן שונים. הספרייה משמשת לרישום לוגים בתוכנות שונות הכתובות בשפת Java. לאחרונה פורסמה פגיעות קריטית בספרייה, המאפשרת לתוקף מרוחק הרצת קוד על שרת המפעיל ספריה זו (RCE) ללא צורך בהזדהות באמצעות משלוח תעבורה ספציפית לשרת. מומלץ מאד במיידית לבחון ולהתקין את עדכון האבטחה שפורסם לפגיעות בהקדם האפשרי, או להגדיר את המעקף שפורסם על ידי Apache. התרעה זו תתעדכן בהתאם להתפתחויות בניצול הפגיעות".
פורסם לראשונה: 19:21, 11.12.21