ההאקרים שתוקפים בענן מעדיפים לנצל פגיעויות ולא אישורי גישה

שחקני איום המכוונים לסביבות ענן מעדיפים כיום לערוך מסעות תקיפה בהם הם משיגים גישה ראשונית למערכות הקורבן על ידי ניצול פגיעויות – בניגוד לעבר, אז המתקפות היו מבוססות אישורי גישה גנובים או מזויפים; כך לפי חוקרי האיומים של גוגל קלאוד.

המסמך מנתח את נוף איומי הענן וההתפתחויות שלו לפי התנהגות התוקפים במחצית השנייה של 2025. "אנשי הצוות שלנו הבחינו בשינוי יסודי בנוף האיומים", אמרה קריסטל ליסטר, יועצת אבטחה וראשת תוכנית דו"חות האיומים במערך האבטחה של ענקית הענן.

באופן מסורתי, שחקני איום נסמכו על אישורי גישה חלשים, או חלקיים, וכן על תצורות שגויות על מנת לקבל גישה לסביבות גוגל קלאוד. אלא שבמחצית השנייה של השנה החולפת החלו שחקני האיום לנצל יותר ויותר פגיעויות צד שלישי שלא תוקנו. דפוס תקיפה זה – של ניצול פגיעויות ולא של אישורי גישה – היווה 44.5% מכלל וקטורי החדירה הראשיים במחצית השנייה של 2025. הנתון משקף עלייה משמעותית – בהשוואה לנתון שעמד על 2.9% במחצית הראשונה של השנה שעברה.

לעומת זאת, השימוש לרעה וניצול אישורי גישה חלשים או חלקיים כנקודת מוצא למתקפות – ירד מ-47.1% במחצית הראשונה של השנה, ל-27.2% במחצית השנייה של 2025.

אחת הפגיעויות הנפוצות שניצלו ההאקרים שתקפו בענן הייתה CVE-2025-55182, הידועה יותר בשם React2Shell. זו פגיעות קריטית, המאפשרת השתלטות מרחוק על רכיבים של שרת React, בעזרת נוזקות. הפגיעות עלולה לאפשר לתוקפים להשתלט על השרתים ולפגוע בנתונים שעליהם. חוקרי איומים קישרו אותה למתקפות סייבר של שחקני איום הפועלים בחסות מדינתית, הקשורים הן לצפון קוריאה והן לסין.

"בעוד שהתשתית הבסיסית של גוגל קלאוד נשארת בטוחה, שחקני האיום מצליחים לתקוף יישומים לא מוטלאים ולא מעודכנים ומנצלים הגדרות שגויות שעשו משתמשים ברמת הפיירוול", אמרו החוקרים של ענקית הענן.

החברה גם הזהירה, כי התוקפים הפכו מהירים יותר, בשל "ניצול המוני" של פגיעויות תוכנה שנחשפו בפומבי. לפי הדו"ח, חלון הזמנים בין גילוי הפגיעויות לניצול המוני שלהן הצטמצם משמעותית – משבועות לימים ספורים. כך, הזהירו החוקרים, "אם ארגונים לא תיקנו פגיעויות בתוך ימים ספורים מאז שפורסמו – הרי ששירותי הענן שלהם פגיעים למתקפות סייבר".

הם ציינו לדוגמה, כי בתוך 48 שעות בלבד מהחשיפה הפומבית של React2Shell בדצמבר 2025, כמה שחקני איום כבר ניצלו את הפגיעות כדי להדביק קורבנות בנוזקות לכריית מטבעות קריפטו.

ממצא נוסף מהמחקר העלה, כי חדירה ראשונית לענן על בסיס זהות היוותה בסיס ל-83% מהפריצות. "שחקני האיום המשיכו לעבור מפישינג מסורתי להנדסה חברתית מבוססת קול (Vishing), ולאיסוף אישורים מטוקנים של SaaS צד שלישי – כדי לאפשר חילוץ נתונים שקט בקנה מידה גדול".

עוד נכתב, כי "האקרים צפון קוריאנים עקפו את גבולות הרשת המסורתיים באמצעות הנדסה חברתית. הם ניצלו חיבור אישי לחברה, מה שאפשר להם לעבור לענן ולפגוע בקוברנטיס, כדי לגנוב מיליונים במטבעות קריפטו".

החוקרים העריכו, כי השנה, "אירועים שונים – כמו סכסוכים גיאו-פוליטיים הולכים וגדלים, משחקי המונדיאל ובחירות האמצע בארה"ב – יהוו רקע להנדסה חברתית בהיקף גבוה ולהתקפות מניעת שירות מבוזרות (DDoS) – המכוונות לנתונים שבענן".

"כדי לצמצם סיכונים אלה בכל סביבה, אנשי אבטחת המידע והגנת הסייבר בענן צריכים להתמקד בבקרות גישה לזהות, ולעשות שימוש בכלי נראות מרכזיים לאבטחת נתונים", סיכמו חוקרי ענקית הענן. "ארגונים צריכים לעבור מתיקונים ידניים להגנות אוטומטיות כדי למנוע מצב של ניצול בקצה הרשת לפני שניתן ליישם עדכוני תוכנה".