שת״פ סייבר ישראלי חשף חולשות קריטיות של מכשירי IoT

שיתוף פעולה של חברות סייבר ישראליות חשף חולשות שעלולות לסכן מאות מיליוני מכשירים ולחשוף אותם להשתלטות מרחוק

חלק מהתעשיות המושפעות מהחולשות. באדיבות JSOF

חברת אבטחת המידע הירושלמיתJSOF  חשפה השבוע שורה של 19 חולשות, תחת השם Ripple20, העלולות לסכן מאות מיליוני מכשירים מחוברים (IoT) ולהוביל לחשיפת מידע רגיש ולהשתלטות מרחוק על מכשירי קצה בטווח רחב של מגזרים.

החולשות, שארבע מהן מוגדרות כקריטיות, פוגעות בספריית תקשורת IP של חברת Treck. רכיב תקשורת IP הוא רכיב תוכנה בסיסי לקישוריות, הנדרש בכל מכשיר מקושר וחכם. זה של Treck נמצא בשימוש נרחב, בין היתר על ידי חברות ענק כמו HP, סיסקו, אינטל, וכן על ידי יצרניות אחרות של מוצרים ומכשירים החל ממדפסות וכלה במערכות שליטה תעשייתיות וציוד רפואי. במרץ האחרון הוציאה Treck הודעת אזהרה וקראה ללקוחותיה לתקן את הפרצות.

החולשות הללו התגלו לראשונה על ידי JSOF בסוף שנת 2019. כחלק ממהלך לאיתור ספקים ומכשירים פגועים, יזמה החברה שיתוף פעולה יוצא דופן בסצנת הסייבר הישראלית. פורסקאוט, אחת מחברות הסייבר הגדולות במדינה, השתתפה במאמץ לצד חברות נוספות. במסגרת התהליך, השתמשו חוקרי פורסקאוט ב-Device Cloud, מאגר מידע ייחודי הכולל יותר מ-10 מיליון מכשירים מסוגים שונים. מתוכם אותרו כ-90,000 מכשירים של כ-50 ספקים שהטמיעו את הקוד הזדוני במוצרי ה-IT וה-OT שלהם, ביניהם משאבות עירוי בבתי חולים, מערכות UPS,  מרכזי נתונים ומערכות שיחות וידיאו בארגונים. החברה פרסמה מספר כלי הגנה שמאפשרים ללקוחותיה לזהות מכשירים פגיעים ולבודד אותם מהרשת.

לחשיפה היתה שותפה גם חברת CyberMDX, המתמחה בסייבר למכשור רפואי ובתי חולים. תחילה נבדקו החתימות במעבדות החברה מול מגוון של מכשירים רפואיים, ולאחר מכן נבדקו בקרב הרשתות של לקוחות החברה, ביניהן כמה מרשתות בית החולים הגדולות בעולם. כל זאת על מנת לאתר וללמוד על מכשירים נוספים העשויים להיות מושפעים מהחולשה.

כדי לנצל את חולשות Ripple20, נדרש התוקף לחיבור ישיר למכשיר או לנתב המנותב לרשתות פנימיות. במקרים מסוימים, הוא יכול לבצע תקיפה מחוץ לרשת. פירוש הדבר שמכשירים המחוברים ישירות לאינטרנט הם אלה הנמצאים בסיכון הגבוה ביותר. תוקף יכול להתמקד תחילה במכשירים אלה, להשתלט עליהם ולנוע בתוך הרשת כדי לגשת למכשירים אחרים או להדביק אותם. בתסריט אחר, יוכל תוקף להשתמש במכשיר כדי להתחבא במערכת קריטית לאורך שנים.

בעולם האינטרנט של הדברים ובעולמות התעשייה והתשתיות הקריטיות, אין דרך קלה למשתמשים ולארגונים לדעת אילו רכיבים נמצאים בכל מכשיר. מכאן, שחלק מהרכיבים האלו עלולים לגרום לסיכון אבטחה משמעותי, מבלי שהמשתמשים – ולעיתים גם יצרני המכשירים - יהיו ערים לכך.

 

 

אולי יעניין אותך גם