האקרים תוקפים דרך VMware בזמן שלקוחות התוכנה לא יכולים לעדכן
חשיפה של חברת סייבר ישראלית מצביעה על טכניקות חדירה מתקדמות דרך רכיבי VMware, ודווקא עכשיו חלק מהמשתמשים גילו כי הם לא זכאים לעדכון תוכנה שיסגור את הפירצה
תמונה: dreamstime
חברת הסייבר הישראלית סיגניה (Sygnia) חשפה ממצאים מחקירה מקיפה שערכה עלל קבוצת תקיפה המכונה "נמלת אש" (Fire Ant). קבוצה זו, שעל לפי פרסומים זרים מקורה בסין, התפרסמה כמי שביצעה מתקפת ריגול מתמשכת על תשתיות מדינתיות בסינגפור, ומאיימת כעת על מדינות נוספות.
שיטת הפעולה של הקבוצה מציגה רמה גבוהה של תחכום: התוקפים מתמקדים במערכות וירטואליזציה מתוצרת VMware וברכיבי רשת קריטיים, במטרה לחדור לרשתות ותחזק בהן נוכחות מתמשכת. על פי סיגניה, הם עושים זאת על ידי החדרת רכיבים זדוניים לתשתית הווירטואליזציה עצמה, כלומר, מתחת לשכבת מערכת ההפעלה. טכניקה זו מאפשרת להם לעקוף ולחמוק באופן מלא מאמצעי הגנה מקובלים כמו תוכנות אנטי-וירוס ומערכות EDR, שאינן מנטרות את השכבה העמוקה הזו.
"המתקפה שזיהינו מדגימה עד כמה תוקפים מתקדמים יודעים לנצל חולשות בשכבות העמוקות ביותר של התשתיות הארגוניות," הסביר יואב מזור, ראש תחום מענה למתקפות סייבר באזור אסיה פסיפיק בסיגניה, "הם עוקפים כלים מסורתיים לגילוי ותגובה. המתקפה מדגישה את החשיבות הקריטית של נראות והגנה גם במקומות שעד כה נתפסו כמאובטחים".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מדיניות ברודקום מסייעת דווקא לתוקפים?
המלצת האבטחה הבסיסית ביותר נגד חולשות כמובן היא התקנת עדכונים שוטפים מהיצרן. אך מה קורה כשהמלצה זו הופכת לבלתי אפשרית ליישום? על פי דיווח שפורסם באתר The Register, לקוחות VMware רבים ברחבי העולם נשארו חשופים למתקפה החדשה, והכל בגלל מדיניות הרישוי של ברודקום.
במה שמתברר כחוליה האחרונה בשרשרת הצעדים השנויים במחלוקת של ברודקום מאז רכישת VMware, משתמשים שרכשו בעבר "רשיון לכל החיים" אך אינם מחזיקים בחוזה תמיכה מול ברודקום, גילו כי למרות הבטחות עבר, אינם יכולים להתחבר לפורטל ההורדות ממנו ניתן להשיג את התיקון הרלוונטי. לדבריהם, נציגי התמיכה של VMware אמרו להם שייתכן שיחלפו עד 90 יום לפני שיוכלו לקבל את התיקונים הנדרשים.
דובר ברודקום טען בתגובה לדיווחים כי "שינויים אחרונים בפורטל התמיכה, הקשורים לבדיקה מחודשת של זכאות לגישה, גורמים לעיכוב בזמינות התיקונים עבור לקוחות שזכאותם הסתיימה". בחברה אגב מבטיחים שבעתיד יפיצו תיקון רלוונטי גם עבור לקוחות שאינם זכאים להוריד את התיקון הקיים. המצב הקיים, מיותר לציין, מותיר את אותם ארגונים חשופים לחלוטין לחולשות ידועות, שיכלו להיסגר בקלות באמצעות העדכון.
ההצטלבות בין שני האירועים יוצרת תרחיש מדאיג במיוחד: בעוד מומחי סייבר כמו סיגניה חושפים כיצד קבוצות תקיפה מובחרות צדות באופן אקטיבי חולשות במערכות VMware, החברה עצמה לא מספקת ללקוחותיה את התיקון המתאים, ויש שיגידו, כי היא מונעת אותם מהם באופן אקטיבי. מצב זה יוצר חלון הזדמנויות מסוכן עבור קבוצות כמו "Fire Ant", שיכולות לנצל את עיכוב העדכונים כדי לחדור למערכות נוספות.
