הגנה בסייבר: תשתיות קריטיות הופכות להיות החוליה החלשה

בסביבה שבה לא ניתן לסבול השבתה של המערכות אפילו לרגע אחד, אין זה יוצא דופן לראות מערכות Windows 7 מדור קודם ותוכנות מיושנות אחרות שאינן נתמכות פועלות בסביבת הייצור. מאמר של שרון בריזינוב

שרון בריזינוב. צילום: עפרי סלע

לפני כחודשיים בוצעה מתקפת סייבר חמורה נגד מתקן תשתיות המים של העיירה האמריקנית אולדסמר שבפלורידה. התוקפים הגדילו פי מאה את כמות הנתרן ההידרוקסידי (סודה קאוסטית) במי השתייה, ואילולא נחשפו על ידי עובד עירני במיוחד, היו עלולים לגרום לפגיעה קשה ואפילו הרעלה של כ-15 אלף תושבים וגם עסקים.

מאפייני התקיפה בפלורידה מציגים בפנינו תמונה עגומה, אך גם טיפוסית למדי, של סביבות בקרה תעשייתיות. בחלק גדול מהמקרים, מצפים מעובדים לספק זמינות ובטיחות ללא המשאבים הדרושים לכך, מה שבסופו של דבר מאלץ אותם להסתמך על תוכנות מדור קודם ועל פתרונות גישה מרחוק שאינם עומדים ברמת האבטחה המתאימה למתקני תשתית קריטית שאחראים לניהול שירות ציבורי חיוני.

ביום התקיפה עצמו, עובדים במתקן המים של אולדסמר זיהו שתי פריצות, שבאחת מהן התוקף התחבר באמצעות תוכנת TeamViewer ושינה את רמות הנתרן ההידרוקסידי במי השתייה. התגובה המהירה של המפעילים, שניתקו מיד את הגישה של התוקף, מנעה מהמים המורעלים להגיע לציבור. אולם, לצד זאת האירוע חושף כמה מהבעיות המערכתיות שאופייניות למתקנים ולמערכות תשתיות קריטיות.

בעיות אבטחה אלה רק הולכות ומצטברות, והן הופכות קריטיות יותר ויותר, ככול שחברות נוספות מכפיפות את הטכנולוגיה התפעולית שלהן (OT) תחת מערך המחשוב (ה-IT), ומחברות את המערכות הקריטיות שלהן לרשת האינטרנט.

תוכנות מיושנות וחיבורים לא מאובטחים מרחוק
לאחר חשיפת ההתקפה, סוכנות אבטחת הסייבר והתשתיות בארה"ב (CISA) פרסמה התראה מיוחדת על האירוע והצביעה על כמה מבעיות האבטחה הללו, החל מהשימוש בתוכנת TeamViewer - עם אותה סיסמה המשותפת לכל העובדים - ועד לשימוש בגרסאות מיושנות ולא נתמכות של Windows 7 לניהול מרחוק של מתקן תשתיות מים ציבורי.

בסביבה שבה לא ניתן לסבול השבתה של המערכות אפילו לרגע אחד, אין זה יוצא דופן לראות מערכות Windows 7 מדור קודם ותוכנות מיושנות אחרות שאינן נתמכות פועלות בסביבת הייצור. זה בעייתי מכיוון שבמקרה של Windows 7, למשל, מיקרוסופט סיימה את התמיכה במערכת ההפעלה כבר בינואר 2020. המשתמשים במערכות אלה לא יקבלו עדכוני אבטחה, אלא אם ישלמו עבור תוכנית להרחבת עדכוני אבטחה, אשר מתומחרת לפי מספר המכשירים והופכת יקרה יותר ככול שהלקוח מאריך את תקופת המנוי.

"תוקפי סייבר ממשיכים למצוא נקודות כניסה כדי לפרוץ למערכות הפעלה מדור קודם של Windows  ולנצל את פרוטוקול RDP לניהול שולחן העבודה המרוחק," נכתב בהתראה של CISA. מיקרוסופט בעצמה שחררה ב-2019 עדכון אבטחה דחוף לטיפול בחולשה קריטית בפרוטוקול RDP, אשר נוצלה בידי פושעי סייבר. "פושעי הסייבר משתמשים לעיתים קרובות בבקרי גישה מרחוק שהוגדרו בצורה שגויה, או שאינם מאובטחים בצורה נכונה, כדי לבצע מתקפות סייבר", הוסיפו ב-CISA.

השימוש בגרסאות חינמיות של TeamViewer ויישומי שיתוף ותמיכה אחרים מרחוק אינו נדיר בסביבות אלה. אלא שמגפת הקורונה רק הגבירה את הסיכון הכרוך ביישומים האלה ככול שיותר עובדים עברו לעבוד מהבית והגישה מרחוק למתקנים ולתהליכים קריטיים הפכה להכרחית.

TeamViewer בהחלט מספקת למנהלים גישה קלה וזולה למתקנים, אך יש להגדיר יישומים כאלה מתוך הבנה עמוקה והתחשבות בהיבטי אבטחה, וגם אז הם אינם מתאימים לרשתות OT, מפני שבניגוד לפתרונות גישה-מרחוק שפותחו מתוך תפיסת אבטחה עמוקה, יישומים אלה אינם מתעדים באופן פעיל את פעילויות המשתמשים, אינם מספקים יכולות ביקורת, ולא מאפשרים למנהלים לפקח בזמן אמת - ולנתק במידת הצורך – פעילות לא מאושרת המבוצעת מרחוק.

לרוב הם גם לא מאפשרים למנהלים להגדיר רמות שונות של הרשאות משתמש, למשל בהתבסס על תפקידים. ברגע שהתוקף השיג גישה ליישום, כמו במקרה של מתקן המים באולדסמר, הוא יכול להשיג שליטה מרחוק על כל מערכת בקרה אליה הוא מחובר.

בגלל הקונפיגורציה של TeamViewer, היא מאפשרת חיבורים מרוחקים לרשתות שעוקפות את הפיירוול וה-NAT (Network Address Translation). נקודות קצה היושבות על שתי רשתות שונות עדיין יכולות להתחבר ולאפשר לכל מי שיש לו את הסיסמה הנכונה להתחבר למכונה שמריצה את TeamViewer. זאת בניגוד לפרוטוקול RDP של מיקרוסופט, למשל, הדורש ששני המחשבים יהיו באותה רשת. במקרים אלה, שיקולי השימושיות עלולים לגבור על שיקולי האבטחה.

להגן על תשתיות קריטיות
ההתראה שפרסמה CISA מכילה רשימה ארוכה של צעדי מניעה, כולל המלצה שארגונים תעשייתיים המשתמשים בגרסאות הנוכחיות של Windows ישתמשו באימות רב-שלבי ובסיסמאות חזקות לאבטחת חיבורים מרוחקים. מומלץ גם לבצע ביקורת על תצורות הרשת, וכן לדאוג לפילוח (סגמנטציה) של מערכות שלא ניתן לעדכן.

CISA גם התריעה כי השימוש ב-TeamViewer וביישומים דומים אחרים עלול להיות מנוצל לרעה לא רק לגישה בלתי-מורשית מרחוק לתהליכים קריטיים, אלא גם כדי לעבור לרוחב הרשת ולהחדיר לתוכה קוד זדוני כגון סוסים טרויאניים (RAT), או לטשטש פעילות זדונית אחרת. "השימוש הלגיטימי ב-TeamViewer, עם זאת, הופך לעתים פעילות חריגה לפחות חשודה בעיניי משתמשי הקצה ומנהלי המערכת בהשוואה ל-RAT", נכתב בהתראה של CISA.

בנוסף לכך, מומלץ להשתמש בפתרונות לאבטחת גישה מרחוק אשר פותחו עבור סביבות בקרה תעשייתיות (ICS), מפני שהם מאפשרים רק למשתמשים מורשים להתחבר, ומעניקים למנהלי המערכת יכולת לנטר ולנתק את החיבור בזמן אמת במקרה של חשד לפעילות זדונית.

חשוב גם להצטייד בתוכנה לניטור הרשת, שתספק נראות מלאה של כל הנכסים הפועלים על גבי רשתות ה-OT - כגון מערכות הפעלה ותוכנות לא מעודכנות, וכן כל CVE המקושר למוצרים האלה – כדי לאפשר למנהלים לנקוט בפעולה הדרושה להגנה על הארגון.

מאת: שרון בריזינוב, ראש צוות מחקר חולשות-אבטחה בחברת הסייבר התעשייתי Claroty 

אולי יעניין אותך גם