נמצאו חולשות ישנות בפיירוול של סוניקוול ש-"ארגונים התעלמו מהן"

חוקרי אבטחה מצאו שתי נקודות תורפה, שעלולות לאפשר להאקרים יכולות של מתקפות מרחוק. החולשות – בנות שנה ושנתיים – ניתנות לניצול, והן קיימות ביותר מ-100 אלף פיירוולים של סוניקוול; כך לפי חוקרי בישופ פוקס.

לפי חברת האבטחה ההתקפית, "רוב הארגונים שבהם יש את זוג נקודות התורפה הניתנות לניצול דרך האינטרנט התעלמו מההתרעה עליהן, ולא עדכנו ולא הטליאו את טלאי האבטחה".

החוקרים דיווחו כי ביותר מ-178 אלף תקני פיירוול מהדור הבא (NGFW) של סוניקוול לא בוצעו עדכונים נגד שתי חולשות אלה, שנמצאו כבר ב-2022 וב-2023.

מה עושות החולשות?

החולשות שהתגלו עלולות להשפיע על מכשירים מהסדרות 6 ו-7 של סוניקוול. לפי חוקרי בישופ פוקס, "הן מאפשרות ליזום ולבצע מתקפות מניעת שירות תוך שימוש ביכולות הפעלה שלהן מרחוק". לדבריהם, 76% מהתקני האבטחה הללו הם בעלי ממשקי ניהול שחשופים לאינטרנט: ל-178,637 מכשירים מתוך 233,984 יש לפחות אחת משתי החולשות. "ההשפעה של מתקפה נרחבת עלולה להיות חמורה", כתבו החוקרים. החולשות תויגו במדד חומרת הפגיעויות כ-CVE-2022-22274 ו-CVE-2023-0656.

סוניקוול מסרה בתגובה כי "החברה פועלת בהתמדה כדי לעודד שותפים ולקוחות לשדרג את קושחת המכשיר שלה. פנינו אליהם באופן יזום במהלך השנה האחרונה, כדי להבטיח אימוץ מרבי של התיקונים הרלוונטיים… בחנו מקרים רלוונטיים ולא ראינו ניצול פעיל של ההתקנים שעלולים להיות מושפעים". מהחברה נמסר בנוסף שעדכון קושחה אוטומטי נכלל בגרסה 7.1.1 של מערכת ההפעלה "כדי להגן מפני פרצות קריטיות בעתיד".

"ההאקרים מנצלים במהירות ובהיקפים גדולים את הפגיעויות ב-VPN של איבנטי"

ביום א' השבוע פרסמנו כי האקרים תקפו פגיעויות בספקית מערכת לניהול פגיעויות: התוקפים, כנראה סינים, פגעו ב-VPN של איבנטי, בשתי נוזקות יום אפס. הפגיעויות הן בדרגת חומרה גבוהה, וטרם יצא טלאי תיקון. איבנטי חשפה כי הניצול של צמד נקודות התורפה לרעה משפיע על ה-Connect Secure VPN שלה.

בחודש שעבר גילו חוקרי וולקסיטי שניתן לנצל את הפגיעויות הללו כדי לאפשר שליטה מרחוק במכשירים של ספקית האבטחה. אתמול (ג') הוסיפו החוקרים עדכון על החשיפה הראשונית שלהם, שלפיו "כמה שחקני איום, מכל העולם, מנצלים באופן נרחב את הפגיעויות". איבנטי, בהודעה נפרדת, אישרה את ממצאי חברת המחקר ואמרה שהממצאים שלה לגבי המתקפות נגד הלקוחות שלה – תואמים את אלה של וולקסיטי.

כשאיבנטי פרסמה אמצעים להפחתת הפגיעות, היא הודיעה שהטלאות לתיקון החולשות תהיינה זמינות רק בשבוע הבא, של ה-22 בינואר, ושהאספקה של ההטלאות תימשך עד אמצע פברואר. אז החברה מסרה שידוע לה על יותר מ-10 לקוחות ארגוניים שהושפעו מהפגיעויות. אתמול היא הפצירה, שוב, בלקוחות להזדרז ולהטמיע את העדכונים שיפחיתו את החשש מפגיעה, "כדי למנוע משחקני האיום לממש מתקפות רחבות היקף". היא הוסיפה כי "ראינו גידול חד בהיקפו וניצול נרחב של החולשות, כמו גם ביצוע סריקות רבות לאיתור שלהן – הן מצד ספקיות אבטחה והן בקרב האקרים מרחבי העולם". אלא שבניגוד לדברי איבנטי, לפי החוקרים שחשפו את החולשות, יותר מ-1,700 התקנים שלה כבר נוצלו על ידי ההאקרים, או נפרצו.

לפי החוקרים, "ישנן עדויות לניצול המוני של החולשות. הניצול נעשה כלפי קורבנות ארגוניים שמבוזרים ברחבי העולם, והם בכל הגדלים – החל מעסקים קטנים ועד לכמה מהארגונים הגדולים בעולם, כולל חברות פורצ'ן 500 רבות במגוון ענפי תעשייה".

איבנטי רכשה את הטכנולוגיה שמאחורי Connect Secure VPN שלה כשקנתה את Pulse Secure ב-2020. יש לה יותר מ-40 אלף לקוחות ארגוניים, בהם 78 מחברות פורצ'ן 100.

פגיעות מעקף האימות (CVE-2023-46805) זכתה לציון חומרה של 8.2 ואילו פגיעות הזרקת הפקודה (CVE-2024-21887) זכתה לציון חומרה של 9.1. על פי איבנטי, "הפגיעויות משפיעות על כל הגרסאות הנתמכות של Connect Secure".

חוקרי וולקסיטי ייחסו את ההתקפות נגד לקוחות Connect Secure לשחקן איום שפועל בחסות מדינת לאום, בשם UTA0178. ההערכות בקרב מומחי אבטחה הן שמדובר בקבוצת האקרים שפועלת בגיבוי הממשל הסיני.

מחקר שערכה החברה המותקפת לפני כשנה העלה כי קבוצות האקרים מנצלות פגיעויות בארגונים שטרם עדכנו את המערכות שלהם, גם לביצוע של מתקפות כופרה.

חוקרי מנדיאנט מבית גוגל קלאוד אישרו בשבוע שעבר את ממצאי וולקסיטי, שלפיהם הניצול של החולשות החל בדצמבר האחרון וכי "קבוצת איום כבר עשתה בהן שימוש".