לפחות חלק מהתוקפים שמנצלים את הפגיעות ב-SharePoint – סינים

תוקפים רבים ניצלו ומנצלים את שרתי SharePoint, שברבים מהם נתגלתה פגיעות. לפחות חלק מהם מגיעים מסין – כך לפי חוקרי אבטחה.

גל המתקפות המתמשך, המכונה ToolShell, מנצל פגיעות קריטית של יום אפס במערכות מקומיות של Microsoft SharePoint Server. חוקרים העריכו שלפחות כמה מאות ארגונים נפגעו עד כה בגל זה, כולל סוכנויות ממשל בארצות הברית, מוסדות חינוך וארגוני תשתיות קריטיות. יש אף הערכות שלפיהן מדובר באלפי ארגונים שנפגעו.

צ'ארלס קרמקאל, סמנכ"ל הטכנולוגיות של מנדיאנט מבית גוגל קלאוד, אמר אמש (ב') כי "בעוד שכמה שחקני איום היו מעורבים במתקפות, נצפו אינדיקציות למעורבות (התקפית – י"ה) שמקורה בסין". לדבריו, "אנחנו מעריכים שלפחות אחד השחקנים שאחראים לניצול מוקדם זה של הפגיעות הוא שחקן איום מסין".

לפי החוקר הבכיר, "קריטי להבין שכמה שחקני איום מנצלים כעת באופן אקטיבי את הפגיעות הזו. אנחנו לחלוטין צופים שהמגמה הזו תימשך, שכן שחקני איום שונים אחרים, שיש להם מניעים מגוונים לתקוף, ימנפו גם הם את הפגיעות הזו".

"בנוסף לתוקפים הפועלים בחסות של מדינות, חוקרי אבטחה הניחו כי "שחקני איום בעלי מוטיבציה כספית רוצים גם הם לנצל את הפגיעות הקריטית", ציין.

"התרחיש הכי קרוב למקרה הגרוע ביותר"

חוקר סייבר כתב בפורום של האקרים אתיים ("טובים") כי "המתקפות השפיעו בצורה נרחבת על מאות ארגונים – כולל כאלה שרבים מחשיבים כארגונים 'רגישים להפליא'. זה תרחיש שהוא הכי קרוב למקרה הגרוע ביותר". לפי חוקרי WatchTowr, המתקפות החלו, לכל המאוחר, ב-17 ביולי, ורוב היעדים שהותקפו הם בארצות הברית, גרמניה, צרפת ואוסטרליה.

חוקר אחר אמר כי "עד כה, נראה שהריגול הוא עבודה של האקר בודד, או קבוצה של האקרים, אבל בהחלט ייתכן שזה ישתנה במהירות".

שודן (Shodan) הוא מנוע חיפוש, שמאפשר מציאת התקנים המחוברים לרשת האינטרנט בעזרת פילטרים שונים. על פי מנוע החיפוש, יותר מ-8,000 שרתים מקוונים כבר נפגעו על ידי האקרים שניצלו את החולשות. הוא העריך את המספר במעט יותר מ-9,000. השרתים שנפגעו נמצאים בחברות תעשייתיות גדולות, בנקים, משרדי רואי חשבון, ארגוני בריאות וגופי ממשל בארצות הברית.

"נראה כי האירוע הביא לגל רחב היקף של מתקפות שמנצלות את הפגיעות ברחבי העולם", אמר דניאל קארד מחברת ייעוץ אבטחת הסייבר הבריטית PwnDefend. "חשוב גם להבין שהתיקון הוא לא הפעולה היחידה הנדרשת לביצוע".

שגרירות סין בוושינגטון לא הגיבה לדיווח. בייג'ינג מכחישה דרך קבע שהיא מבצעת פעולות פריצה.

המתקפה בקליפת אגוז

קמפיין הסייבר ToolShell הוא מתקפה על שרתי Microsoft SharePoint מקומיים, המכילים, שלא בטובתם, פגיעות שמאפשרת השתלטות זדונית מרחוק. הפגיעות הינה בדרגת חומרה קריטית וסווגה בקטלוג האיומים כ-CVE-2025-53770. היא קשורה לפגיעות אחרת, שמאפשרת התחזות למול הקורבן – CVE-2025-53771.

מיקרוסופט פרסמה תיקוני חירום, כדי לטפל בפגיעויות במהירות, אלא שהתיקונים לא זמינים לכלל גרסאות השרת המנוצל. עוד מסרה הענקית מרדמונד שהפגיעות לא משפיעה על SharePoint Online ב-Microsoft 365. היא ציינה כי "נוסף להטמעת העדכון, קריטי לטפל במפתחות מכונת ASP.NET. אם לא תבוצענה כלל פעולות ההגנה, לתוקף עדיין יש גישה למערכות הקורבן".

חולשות שמבוססות על חולשות קודמות

לדברי קיריל גלפנד, אדריכל אבטחה בכיר בטרנד מיקרו, "שתי החולשות ב-SharePoint מבוססות על חולשות קודמות, שנחשפו בתחרות ההאקרים Pwn2Own מבית ZDI של טרנד מיקרו, שהתקיימה בברלין במאי האחרון. מיד עם גילוי החולשות הן דווחו למיקרוסופט, לפי הנהלים המקובלים. מיקרוסופט שחררה תיקונים רשמיים במסגרת עדכון Tuesday Patch בחודש הנוכחי, אך ניתוח נוסף העלה כי התיקונים היו חלקיים בלבד". בצעד יזום (Out of band), כבר בעת הגילוי, ענקית האבטחה יצרה חתימות הגנה המגנות על לקוחותיה, עוד לפני שפורסם תיקון רשמי.

גלפנד אמר כי "ניסיונות ניצול במגוון רחב של תעשיות, כולל פיננסים, חינוך, אנרגיה ובריאות – מזוהות כל הזמן. אנחנו ממליצים בחום להתקין את עדכוני האבטחה האחרונים של מיקרוסופט לשרתי SharePoint מקומיים, לעקוב אחר קבצי ASPX חשודים בתיקיית LAYOUTS, לבצע ביקורת לקבצי קונפיגורציה לאיתור שינויים חריגים ולבדוק יומני שרת עבור דפוסי גישה חריגים – במיוחד כאלה שכוללים את ToolPane.aspx ופעילות ViewState".