זהירות: סוס טרויאני שמותקן על ידי הארגון עצמו. צילום: GettyImages

חוקר הסייבר הישראלי שיצא לחפש חולשות - ומצא מחדל אבטחה עולמי

נועם יפה מ-Pentera Labs מספר ל"היום" כיצד חשף אלפי שרתים של ארגונים גלובליים עם סוסים טרויאנים מובנים - ומצא שתוקפים כבר מפעילים עליהם "מפעל קריפטו" שקט • "אם לקוח אחד עשה את זה, כמה עוד עשו את אותו דבר?"

יוחאי שויגר
, עודכן
0

Your browser doesn’t support HTML5 audio

נועם יפה, ראש צוות מחקר וסייבר התקפי ב-Pentera Labs, לא יצא לחפש פרצה עולמית. הוא גם לא התחיל את הדרך עם תזה גדולה או חשד לקמפיין פלילי מתוחכם. במהלך בדיקת אבטחה שגרתית שביצע עבור לקוח, הוא נתקל בפרט קטן, כמעט שולי - משהו שנראה במבט ראשון תמים, אבל לא ממש היה אמור להיות שם. משם, כמו בסיפור בלשי טוב, הוא רק משך בחוט. והחוט לא הפסיק להיפרם.

יפה הגיע לעולם מבדקי החדירה לארגונים ממקום מאוד בסיסי. "הייתי מתכנת. נשמתי קוד", הוא מספר. "הבנתי לעומק איך אפליקציות עובדות, ואיך לוגיקה נשברת". אחת הדרכים שבהן תרגל סייבר בתחילת הדרך הייתה באמצעות אפליקציות קוד פתוח ייעודיות שנבנו במיוחד כדי להיות פגיעות.

מדובר ב"אפליקציות מעבדה": פרויקטים כמו Hackazon ,OWASP Juice Shop או DVWA, מערכות עם חולשות מובנות, שנועדו לאפשר לאנשי אבטחה, סטודנטים וחברות סייבר להתאמן, להדגים מוצרים או לבצע ניסויים מבוקרים. "זה כלי אימון. אף אחד לא אמור לשים את זה בפרודקשן", מסביר יפה.

אלא שמישהו עשה את זה.

נועם יפה. נתקל בפרט קטן, כמעט שולי, צילום: Pentera Labs

הלוגו המוכר על השרת הלא נכון

לפני כשמונה חודשים, במהלך בדיקת אבטחה בסביבת ענן של לקוח, משהו קטן תפס את העין של יפה. "פתאום אני רואה אפליקציה 'שבורה'. הלוגו היה מוכר לי". השם קפץ מיד: Hackazon - אותה אפליקציית אימון פגיעה במכוון, שהיתה זכורה ליפה מימיו כאיש סייבר מתחיל. הארגון פשוט התקין אפליקציית אימון פגיעה על שרת אמיתי, עם כתובת IP ציבורית, כחלק מסביבת הענן שלו.

יפה החליט לבדוק עד כמה עמוק הבור. הוא ניצל חולשות ידועות, בדיוק כפי שנועדו לשמש בתרגול, והשיג שליטה מלאה על השרת שעליו רץ. אלא שהשרת הזה לא היה מבודד: הוא היה מחובר לסביבת הענן הארגונית וכלל זהויות והרשאות פעילות. משם הדרך התקצרה. "ברגע שיש לך שליטה על תחנה עם הרשאות ענן, אתה כבר לא רק על השרת", הוא אומר. בתוך זמן קצר, מצא את עצמו עם גישה אדמיניסטרטיבית לסביבת הענן הרחבה יותר של הארגון.

זה היה רגע מטריד, אבל עדיין נקודתי. ואז עלתה השאלה הגדולה באמת: כמה עוד חברות שכחו סוס טרויאני בשרת? "אחרי חודש חשבתי לעצמי, זה לא יכול להיות מקרה אחד", מספר יפה. "ייתכן שזהו דפוס חוזר בתעשייה. אם לקוח אחד עשה את זה, כמה עוד עשו את אותו דבר?"

פאלו אלטו. "שם נפל לי האסימון", צילום: .

בענן של ענקית הסייבר העולמית

יפה החליט לצאת למחקר רחב היקף. לא חיפוש חולשות מתוחכם, אלא סריקה שיטתית: איתור כתובות IP ציבוריות שמכילות לוגואים של אפליקציות אימון פגיעות. באמצעות מנועי חיפוש ייעודיים, הוא מיפה אלפי מערכות חשופות.

"מצאתי בערך 16 אלף כתובות IP עם אפליקציות מהסוג הזה", הוא מספר. לאחר סינון, נותרו למעלה מ-2,000 מערכות רלוונטיות - רבות מהן בסביבות ענן של AWS, Azure ו-GCP.

בין כתובות ה-IP שמיפה הופיעו מערכות של חברות Fortune 500 ואף Fortune 10, ארגונים גלובליים עם תשתיות ענן מורכבות וצוותי אבטחה גדולים. אבל מה שהדהים את יפה באמת הגיע מהר מהצפוי. בכתובת השלישית בלבד שבדק לעומק, הוא לקח את פרטי הגישה שמצא - ופתאום הבין שהוא נמצא בתוך סביבת הענן של ענקית הסייבר פאלו אלטו נטוורקס.

"שם נפל לי האסימון", הוא מספר. "אם זה קורה כאן - זה לא מקרה נקודתי". משם המחקר רק התרחב. סריקות נוספות הובילו אותו לעוד שורה ארוכה של חברות סייבר מוכרות, בהן Cloudflare ו-F5, לצד מאות ארגונים גלובליים נוספים.

ההסבר, כך התברר, לא היה טכנולוגי אלא תפעולי. רבות מהחברות הללו משתמשות באפליקציות פגיעות לצורכי בדיקות והדגמות ללקוחות (POC) של מוצרי אבטחה, אך מרימות אותן על שרתים אמיתיים, כחלק מתשתית הענן הארגונית. "זה מתחיל כטסט", אומר יפה, "אבל נשאר מחובר". כך, סביבות שנועדו להיות זמניות ולא קריטיות הפכו לנקודת כניסה שקטה אל לב התשתית הארגונית.

מטבעות קריפטוגרפיים. "מישהו העלה קוד זדוני והשתמש בכוח העיבוד של השרת כדי לכרות מטבעות", צילום: רויטרס

אבל מישהו כבר שם לב

בשלב הזה, המחקר עדיין עסק בפוטנציאל. חולשה חמורה, רוחבית, מסוכנת - אבל תיאורטית. יפה רצה לסגור מעגל. לבדוק אם מישהו כבר ניצל את זה לרעה. התשובה חיכתה לו באחת המערכות.

"אני מסתכל על הקבצים שעלו לשרת ופתאום רואה קובץ קונפיגורציה", הוא מספר. "ובתוכו - כתובת של ארנק קריפטו". הלוגים סיפרו סיפור ברור: מישהו העלה קוד זדוני, השתמש בכוח העיבוד של השרת כדי לכרות מטבעות, והעביר את הרווחים לאותו ארנק. "עד אותו רגע זה היה מחקר על חולשה פוטנציאלית. פתאום אני מבין: יש פה ניצול אמיתי".

יפה הרחיב את הסריקה, וחיפש אינדיקציות דומות במערכות נוספות. התוצאה מדהימה: קרוב ל-20 אחוז מהאפליקציות החשופות הכילו ממצאים שמעידים על כריית קריפטו פעילה. כולן מחוברות, כך נראה, לאותו ארנק, אותו קמפיין.

"זה לא מישהו שעבר במקרה", הוא אומר. "הייתה פה הבנה עמוקה של ההתנהגות הארגונית. אוטומציה, התמדה, ניצול שקט. הם ידעו שאף אחד לא מסתכל".

על פי ממצאי הלוגים, אזור הזמן של התוקף הצביע על מינסק, אך Pentera לא הרחיבה את המחקר לכיוון מודיעיני. "לא ניסינו לרדוף אחרי מי זה", מבהיר יפה. "המטרה הייתה להבין את הבעיה ולצמצם אותה". עם זאת, הממצאים העלו כי ייתכן ש"מפעל הקריפטו" הזה פעל מתחת לרדאר חודשים רבים וייתכן כי גרף לאותו בעל ארנק מטבעות קריפטו בשווי הון עתק.

דפוס מסוכן: אפליקציות אימון פגיעות שמחוברות ישירות לזהויות ענן פעילות, צילום: רויטרס

חור אחד קטן - וענן שלם נפתח

המחקר, שפורסם כעת על ידי Pentera Labs, מצביע על דפוס מסוכן: אפליקציות אימון פגיעות שמחוברות ישירות לזהויות ענן פעילות, עם הרשאות רחבות מדי וללא בידוד. במילים אחרות, סוס טרויאני שמותקן על ידי הארגון עצמו. "אפליקציית אימון אחת עם קונפיגורציה שגויה הספיקה כדי להשיג אישורי ענן ולהריץ כורי קריפטו על חשבון הארגון", מסכם יפה. "זה קורה אצל אלפי חברות".

Pentera מדווחת כי פנתה לארגונים שנמצאו חשופים כדי שיוכלו לטפל בפערים. אבל הסיפור רחב יותר מאירוע נקודתי. הוא נוגע לתרבות שלמה של סביבות בדיקה, POC-ים וניסויים שנשארים מחוברים לעולם האמיתי הרבה אחרי שאף אחד כבר לא זוכר למה הם הוקמו.

בסופו של דבר, יפה מדגיש שלא מדובר בכשל טכנולוגי חריג או בפרצת קוד מתוחכמת. "זו לא הייתה חולשה בקוד", הוא אומר. "זו בעיה התנהגותית".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אבטחהחולשת אבטחהטכנולוגיהסייבר
Load more...