פגיעויות ישנות מאיימות על נתונים רגישים בעננים הציבוריים

חוקרי אבטחה חשפו באחרונה כי פגיעויות ישנות מהוות איום ממשי על נתונים רגישים שנמצאים בעננים ציבוריים, וכי "מנהלי ומומחי האבטחה בארגונים לא מתמקדים מספיק בתרחיש החדש ובסכנות הישנות הטמונות בו".

החוקרים, שלא הציגו את עצמם על הבמה, השתתפו בכנס WHY2025, שנערך השבוע בג'יסטמרמבאכט שבהולנד, בהשתתפות אלפי האקרים, ומכונה "קייטנת קיץ". זהו האירוע העשירי בסדרת כנסים ארבע שנתיים, שמתקיימים מאז 1989.

לפי החוקרים, באמצעות שימוש בפגיעות בת שבע שנים הם הצליחו להדליף נתונים פרטיים מעננים ציבוריים. "היכולת שחשפנו מעידה עד כמה שגויה ולא רצינית הגישה של חוסר דאגה מפגיעויות מהעבר", אמרו.

ההאקרים החוקרים עשו זאת עם פגיעות מסוג "ביצוע חולף", שעלתה לכותרות ב-2018, כאשר נחשפו פגמים בשבבים של אינטל, המכונים Specter ו-Meltdown. השבוע הם נעזרו ב-Specter. אינטל כינתה אז את הזן החדש של הפגיעויות וריאנט 4 (Variant 4). הגרסה הזו, שהחוקרים השתמשו בה, הייתה דומה למרבית האפיונים של פגיעויות האבטחה שנחשפו בראשונה בינואר 2018, ונועדה לחלץ מידע רגיש. שתי הפרצות במעבדי אינטל העמידו בסכנה כל מחשב שיוצר מזה שנים, ועם כל מערכת הפעלה, כי הן אפשרו להאקרים להגיע למה שנחשב לקודש הקודשים של המערכת: הליבה שלה (Kernel), ולכן היוו סיכון אבטחתי חמור.

השאלה שעולה מהגילוי

לפי ההאקרים, "בהינתן שלעננים של היום יש ציים גדולים של מעבדים ישנים, שלחלקם חסרים תיקונים מקיפים מפני מגוון פגיעויות מסוג 'ביצוע חולף', נשאלת השאלה: האם נפרסו מספיק הגנות מבוססות תוכנה כדי לעצור התקפות ממשיות – במיוחד אלה שמשתמשות בפגיעויות ישנות יותר, שהן לכאורה לא תקפות?".

התשובה לשאלה זו, אמרו ההאקרים החוקרים, היא לא. "אנחנו ממחישים את העובדה שהנוהג של צמצום הנזק מהפגיעויות על ידי בידוד שלהן, בלי לעקור את הבעיה ולחקור את סיבותיה השורשיות לעומק – מותירה את המערכות פגיעות", הוסיפו.

"הממצאים שלנו מראים כי פריצה בדרך זו היא הרבה יותר מאשר אפשרות תיאורטית", ציינו ההאקרים. "זהו איום בעולם האמיתי, והוא נמצא בעננים הציבוריים הפופולריים. זאת, בניגוד לפגיעויות המקוריות, שלא הייתה להן ישימות רבה בעולם האמיתי".

"עבור משתמשים רגילים, סביר להניח שהפגיעויות הללו, ברמת המעבד, לא מהוות איום גדול. עם זאת, לא זה המקרה עבור ספקיות הענן הציבורי. המודל העסקי שלהן הוא לספק יכולות תכנות ותוכנה כשירות על ידי השכרה של משאבי חומרה משותפים, ולעשות זאת בצורה היעילה ביותר האפשרית", ציינו.

שבחים לגוגל ואמזון

ההאקרים החוקרים כינו את המתקפה L1TF Reloaded, על שם פגיעות נוספת שנחשפה בשבבי אינטל ב-2018. הם אמרו שהם עבדו בתוך מערכות הענן של גוגל קלאוד ו-AWS, "כדי למנוע נזק ממשי". שתי ענקיות הענן הציבורי תיקנו את הניצול והודיעו כי הן מתכננות צעדי אבטחה עתידיים.

החוקרים שיבחו את גוגל ואמזון: "המסקנה שלנו היא לא שהאבטחה של AWS וגוגל לוקה בחסר, אלא שהן מעודדות באופן פעיל שיפורי אבטחה".

אמזון, שציינה כי העניקה חסות לחלק מעבודת החוקרים, מסרה כי "המחקר מרשים – אך הפגיעות לא משפיעה על נתוני הלקוחות שלנו, שפועלים על מערכת AWS Nitro או Nitro Hypervisor". גוגל מסרה בתגובה כי "כאשר פגיעות זו התגלתה בראשונה, יישמנו מיידית פעולות לטיפול בסיכונים הידועים. מאז, שיתפנו פעולה עם חוקרי אבטחה מהאקדמיה כדי להעריך את המצב הנוכחי, להגדיל את רמת האבטחה במעבדים ולפעול נגד טכניקות תקיפה חדשות. החלנו תיקונים חדשים על הנכסים המושפעים, כולל גוגל קלאוד, כדי להפחית את היקף הבעיה".

לסיכום אמרו החוקרים כי "בעוד שפגיעויות שכאלה גרמו בעבר לדאגה מועטה, כעת אנחנו מטילים ספק בחוסר הדאגה לנושא. הממצאים שלנו מראים לא רק שהתקפות על עננים הן אפשריות – אלא שהן אפשריות עם פגיעויות שחשבנו שהנזק שלהם פחת לפני שבע שנים".