נחשפה פרצת אבטחה בדור הבא של הפיירוולים

פירצת אבטחת מידע חמורה התגלתה במוצרי הדור הבא של הפיירוולים, ה-Next Generation Firewalls; כך חשפו קבוצות BugSec ו-Cynet.

סטס וולפוס, ראש המחלקה ההתקפית בקבוצה, חשף את הפגיעות, בעלת שם הקוד FireStorm. זו, לדבריו, מאפשרת לנוזקה שהיא בעלת גישה לסביבה הפנימית בארגון – לתקשר ולהעביר מידע החוצה. זאת, ללא כל הגבלה של מערכת ההגנה של חומת האש.

על פי המחקר, חומות האש מהדור הבא עוצבו ונבנו בצורה שהן מאפשרות יצירת "פתיחת קשר" מעל פרוטוקול TCP, ללא כל וידוא של היעד אליו נשלחות הבקשות. זאת, על מנת לאסוף מספיק מידע לזיהוי הפרוטוקול בו נעשה שימוש – גלישה באינטרנט, Telnet וכו'. פתיחת הקשר, הסביר וולפוס, מתאפשרת אם בחומת האש הוגדרה, לדוגמה, לאפשר גלישה באינטרנט (HTTP/S) מהרשת הפנימית של הארגון – ליעדים ספציפיים באינטרנט. מצב זה אפשרי אף אם מדובר בכתובת יעד אחת בלבד.

"חולשה זו אפשרה לנו לבצע 'פתיחת קשר' מלאה מעל פרוטוקול TCP אל מול שרת Command and Control", הסביר. "כעת, יכולנו לייצר הודעות ולהעביר באמצעותן מידע החוצה, כל זאת – תוך מעקף מלא של חומת האש ושליחה של המידע לכל כתובת. זאת, על אף שההגבלה שהוגדרה בחומת האש היא לנתיבים ספציפיים בלבד".

לחסום תעבורה מהרשת הפנימית לעולם החיצוני

חשוב לציין, הוסיף, "שכל תעבורה אשר נשלחה לשרת ה-C&C לאחר סיום תהליך 'פתיחת הקשר' – נחסמה על ידי חומת האש, עקב המדיניות שהוגדרה, אשר קטלגה את התעבורה כ-Unknown-TCP, ועקב חסימת כתובת היעד, שאינה ברשימת הנתיבים המאופשרים".

הפירצה, ציין, "עשויה לשמש האקרים ונוזקות, על מנת לתקשר עם שרתי שליטה ובקרה. פגיעות זו מבטלת את יכולתה של חומת האש לחסום תעבורה מהרשת הפנימית – לעולם החיצוני".

עידן כהן, מנהל הטכנולוגיות ב-BugSec , סייע לפתח כלי אשר מעביר באופן אוטומטי לעולם החיצוני מידע רגיש מהרשת הפנימית. זאת, באמצעות ניצול של פתיחת הקשר. הכלי מאפשר Full Tunneling מעל פתיחת הקשר של פרוטוקול TCP.

וולפוס סיים באומרו כי "חשפנו את הפרטים המלאים על הפרצה ליצרני הדור הבא של הפיירוול. אנו מאמינים שמדובר בפרצת אבטחת מידע חמורה, ועל כן יש להוסיף לחומות האש יכולת ניטור של התעבורה. זאת, על מנת לאפשר יכולת חסימה של בקשות חוזרות חשודות, וכדי למנוע תקשורת ישירה בין גורם פנימי – לרשת האינטרנט".