חוקר ישראלי חשף חולשת אבטחה ב-ZITADEL שפעלה במשך שנתיים

cyber-security. תמונה: Pixabay

בעידן שבו ניהול זהויות הוא קו ההגנה הראשון על המידע הארגוני, כל חולשה במערכת יכולה להפוך ברגע אחד יום שגרתי במשרד ליום של ניהול משברים. חוקר הסייבר הישראלי עמית ליש, מחברת GE Vernova, חשף לאחרונה חולשת אבטחה קריטית בפלטפורמת ניהול הזהויות ZITADEL, מערכת שמשרתת יותר מ-150 ארגונים ברחבי העולם, כולל גופים פיננסיים, חברות טכנולוגיה ותשתיות חיוניות והוכיח עד כמה האיום הזה מוחשי.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

החולשה הקריטית, שסווגה תחת CVE-2025-27507, אפשרה לתוקפים להשתלט על מערכות ניהול זהויות בארגונים, לשנות הרשאות, לגנוב מידע רגיש, ואף ליצור משתמשים בעלי גישה מלאה למידע קריטי. מדובר בפרצת Insecure Direct Object Reference (IDOR), שאפשרה גישה בלתי מורשית לניהול מלא של חשבונות, שינוי הרשאות, חשיפת סיסמאות של שרתי LDAP קריטיים.

פוטנציאל נזק מסחרי ופיננסי עצום

מעבר להשתלטות הטכנית, המשמעות העסקית של החולשה הייתה יכולה להיות הרסנית. בארגונים המשתמשים בשירותי ZITADEL, כמו בנקים למשל, תוקף שהיה מצליח להגדיר את עצמו כאדמין היה יכול לבצע עסקאות פיננסיות בלתי מורשות, לגנוב כספים, לשבש שירותים קריטיים ולפגוע באמון הציבור. וכל זאת באמצעות מערכת שהייתה אמורה להגן על זהות המשתמשים ולאפשר שליטה קפדנית.

שכבה במערכת כשנתיים

לפי ליש, החולשה הייתה קיימת מאז פברואר 2023 ונמצאה רק במסגרת בדיקה שגרתית בתחילת השנה. עם זאת, בשיחה שערכנו איתו, הוא מספר כי מרגע הגילוי ועד שחרור התיקון עבר פחות משבוע בלבד. החולשה התגלתה ב-28 בפברואר 2025, והתיקון שוחרר כבר ב-4 במרץ.

האירוע הזה ממחיש בצורה חדה את הסיכונים שטמונים בשימוש בפלטפורמות IAM (Identity and Access Management) מבוססות קוד פתוח, ללא מנגנוני פיקוח קפדניים והערכות סיכון תקופתיות. בעולם שבו זהות וגישה משולבות כמעט בכל תהליך עסקי, חולשה כזו יכולה להפוך ממשבר טכני למשבר עסקי עמוק.

הפעם, בזכות דיווח מהיר מצד GE Vernova ותגובה מיידית מצד צוות ZITADEL, נמנע אסון פוטנציאלי. אבל כפי שמזכירים מומחי אבטחת מידע: הדרך להגן על מערכות זהות קריטיות לא עוברת רק בבחירת הפלטפורמה הנכונה אלא בהקפדה מתמדת על ניטור, ביקורת ועדכון רציף.