"האקרים מתוחכמים מאוד" מנצלים פגיעות בסיסקו; חשש מהרס תשתיות קריטיות

שורת סוכנויות ביון מערביות התריעו ביממה האחרונה מפני סדרת מתקפות סייבר שמנצלות פגיעות ברכיב של סיסקו, תוך חשש מפני "ניצול המוני" של הפגיעות על ידי האקרים. שחקני האיום מכוונים לתשתיות קריטיות לאומיות ובעקבות זאת, CISA, הסוכנות לאבטחת סייבר ותשתיות בארצות הברית, עשתה צעד נדיר וחייבה את הארגונים הפדרליים להוריד את התיקון לפגיעות בזמן קצר מאוד – 48 שעות בלבד מפרסום האזהרה.

לצד CISA, הארגונים שהנפיקו את האזהרה הם המרכז הלאומי לאבטחת סייבר בבריטניה וסוכנויות הביון של אוסטרליה וניו זילנד. החשש שלהם הוא לניצול רחב היקף של הפגיעות ב-Cisco Catalyst Software Defined Wide Area Networks (SD-WAN). הסוכנות האמריקנית אף הנפיקה הנחיית חירום, שלפיה כלל הארגונים הפדרליים חייבים לטפל בבעיה עד היום ב-12:00 שעון ארצות הברית (בין 19:00 ל-22:00 שעון ישראל), ולסיים את "התיקונים במלואם" עד מחר ב-17:00 אחר הצהרים (הלילה שבין שישי לשבת בארץ).

טאלוס, יחידת מודיעין האיומים של סיסקו, עוקבת אחרי ניצול פעיל של החולשה, שסווגה כ-CVE-2026-20127. ענקית הטק מייחסת את המתקפות לגורם איום לא ידוע בשם UAT-8616, וחוקריה מסרו כי "אנחנו בטוחים שמדובר בשחקן איום סייבר מתוחכם מאוד, בהתחשב בהיקף הפעילות ההיסטורי שלו, החל מ-2023". כמו כן, הם העריכו שמדובר בהאקרים בגיבוי מדינתי, "וזאת בשל יעד המתקפות – ארגוני תשתיות ותשתיות קריטיות לאומיים".

החוקרים ציינו כי "מפעילי האיום מתמקדים באופן מתמשך במכשירי קצה רשת, במטרה להקים 'נקודות גשר' (להשיג גישה – י"ה) בארגונים בעלי ערך גבוה, כגון מפעילי תשתיות לאומיות קריטיות".

הסוכנויות הנחו את כלל המשתמשים "לנקוט בפעולה מיידית" – לאחר שזיהו פעילות נרחבת של שההאקרים, שמכוונת למוצרי סיסקו הנפוצים הללו.

כיצד ההאקרים פועלים?

מומחים ציינו כי הבעיה המרכזית שקיימת בפגיעויות שנחשפו ומנוצלות, "והמדאיגה ביותר עבור סיסקו, היא זו שסווגה כ-CVE-2026-20127. זוהי פגיעות שמאפשרת לעקוף את האימות ב-Catalyst SD-WAN".

סיסקו עדכנה ש-"הפגיעות נבעה מכשל במנגנון אימות העמיתים במערכת. תוקף עלול לנצל אותה על ידי שליחת בקשות מתוכננות למערכת שבמוקד המתקפות. ניצול מוצלח שלה עלול לאפשר לתוקף להתחבר לבקר SD-WAN של Cisco Catalyst שנפגע – כאילו מדובר בחשבון משתמש פנימי, עם הרשאות גבוהות. באמצעות חשבון זה, התוקף יכול לגשת ל-NETCONF – מה שיאפשר לו לשנות את תצורת הרשת עבור ה-SD-WAN".

בחקירה נוספת שסיסקו ערכה, היא מצאה שההאקרים הסלימו את השימוש בפגיעות והגיעו עד לשורש שלה (root), על ידי הורדת גרסת התוכנה, והשתמשו בה לניצול פגם נוסף – CVE-2022-20775.

מומחים ציינו כי "אין בסדרת המתקפות מיקוד כלשהו, אך אופן הפעולה שלהן הוא, ברובו, זהה: לאחר הפריצה, שחקני האיום מוסיפים 'חבר' (האקר) זדוני – לפני ביצוע פעולות המשך. זאת, לטובת השגת גישה לליבת מערכות הקורבן, תוך שמירה על גישה מתמשכת לרשת שלו".

"יש לבחון בדחיפות האם הארגון חשוף"

ממרכז הגנת הסייבר של בריטניה נמסר כי "ההתראה החדשה שלנו מבהירה שכל ארגון שמשתמש במוצרי סיסקו צריך לחקור, בדחיפות, את מידת החשיפה שלו לפגיעות. על כלל הארגונים לחפש אחר פעילות זדונית, תוך מימוש ההנחיות החדשות לציד איומים שהוצאנו עם שותפינו הבינלאומיים – כדי לזהות ראיות לפריצה".

"אנחנו דוחקים ומפצירים בארגונים לדווח על הפריצות הללו, ליישם את עדכוני הספקים ולמלא אחר ההנחיות לחיזוק מערכי ה-IT שלהם, במטרה להפחית את הסיכון לניצול", ציינו אנשי המרכז בקריאה הבהולה שלהם.

קהילת האבטחה מאוחדת

מומחים ציינו כי "סיסקו פרסמה עדכוני תוכנה שמטפלים בפגיעות זו. אין פתרונות עוקפים שמטפלים בפגיעות". אחרים ציינו ש-"ארגונים עם ממשקי ניהול חשופים לאינטרנט הם בסיכון הגבוה ביותר לניצול של הפגיעות".

רוב קהילת האבטחה מאוחדת בדעה כי "צוותי אבטחה צריכים לעדכן מיד לגרסאות המתאימות והעדכניות של מנהל ובקר Catalyst SD-WAN, וליישם את מדריך החיזוק של הרכיב".