"דלת פתוחה": חוקר הסייבר הישראלי גילה שרבע מהאינטרנט נמצא בסכנה

9.8. זה ציון גבוה מאוד. כזה שרובנו היינו שמחים לראות בראש דף המבחן. אבל בעולם הסייבר, הציון 9.8 בסולם CVSS הוא לא סיבה לחגיגה, אלא נורת אזהרה אדומה בוהקת. זה בדיוק הציון שקיבלה לאחרונה חולשת אבטחה חמורה במיוחד, שהתגלתה בידי שמחה קוסמן, חוקר בכיר במעבדות המחקר של סייברארק (CyberArk) הישראלית.

החולשה שזיהה קוסמן מאפשרת לתוקף להשתלט מרחוק על שרתים קריטיים, בלי סיסמה, בלי הזדהות, ובלי שאף אחד ילחץ בטעות על לינק. "זה ציון מאוד נדיר, והוא ממחיש עד כמה פשוטה החולשה לניצול ומה היקף הנזק שניצול החולשה עשוי לחולל", מסביר קוסמן ל"היום".

החולשה התגלתה בספרייה השייכת לעולם של "אפאצ'י" (Apache) - שם שמוכר אולי פחות לציבור הרחב, אך עומד מאחורי חלק ניכר מתשתיות האינטרנט. Apache Software Foundation היא גוף קוד פתוח שמפתח ומתחזק רכיבי תוכנה המשמשים מיליוני שרתים ברחבי העולם. אחד המוצרים הידועים ביותר שלו הוא שרת האינטרנט Apache HTTPD, ולפי הערכות שונות, כרבע מהאינטרנט נשען בצורה כזו או אחרת על הטכנולוגיה הזאת. כך, למשל, בנקים, בורסות, פלטפורמות מסחר ומערכות קריטיות אחרות משתמשות בה כדי להעביר מידע במהירות ובאמינות.

שכחו לסגור את הדלת

החולשה החדשה מצויה ברכיב מתקדם שנועד לאפשר לתוכנות "לדבר" עם שרתים במהירות גבוהה במיוחד. מדובר בספריית bRPC, שפותחה במקור על ידי ענקית הטכנולוגיה הסינית באידו (Baidu) ואומצה בהמשך על ידי Apache. הרעיון פשוט: לאפשר לתוכנה להפעיל פונקציות בשרת מרוחק כמעט בזמן אמת. זה קריטי לעולמות שבהם כל שבריר שנייה חשוב - מסחר פיננסי, מערכות בנקאיות ותשתיות זמן אמת.

כדי לשמור על מהירות הפיתוח, המפתחים שילבו במערכת ממשק מיוחד לדיבוג, מעין "חלון אחורי" שמאפשר להציץ פנימה בזמן אמת, לבדוק מה קורה בזיכרון של השרת כשהקוד עדיין נכתב ונבחן. זה כלי שמיועד לשלב שבו בונים את המערכת, מריצים אותה בסביבה סגורה ומתקנים תקלות.

"זה לא משהו שאמור להיות בפרודקשן", מסביר קוסמן - כלומר, לא בשלב שבו האתר או השירות כבר פתוחים לציבור. "אבל בפועל, כשעוברים מפיתוח להשקה, לא תמיד זוכרים לסגור את כל הדלתות". לפעמים זה לחץ של דד-ליין, לפעמים העברה בין צוותים, ולפעמים פשוט הנחה שמישהו אחר כבר טיפל בזה - אך אם הממשק הזה נשאר פתוח גם כשהשרת עולה לאוויר - הוא הופך מכלי בדיקה תמים לדלת פתוחה עבור תוקפים. ושם בדיוק מתחילה הבעיה.

הבעיה, במקרה הזה, חמורה במיוחד. נקודת הקצה - כתובת פנימית בשרת שמיועדת רק להחזרת מידע - אמורה לספק תמונת מצב של הזיכרון. אלא שבאמצעות פרמטר נוסף בשם extra options, שנועד במקור לאפשר בדיקות לגיטימיות למפתחים, ניתן גם לשרשר פקודות נוספות. המערכת לא בודקת אם הערכים שמוזנים שם חוקיים, ולמעשה מריצה אותם כמו שהם, עם ההרשאות של השרת עצמו. במילים פשוטות, היא מקבלת לא רק בקשה "להסתכל", אלא גם הוראות "לעשות".

"זה מאפשר לי להכניס איזה ערכים שאני רוצה, וה-RPC פשוט מריץ את זה על המחשב", אומר קוסמן. "הרבה פעמים אלו הרשאות מנהל, וזה אומר גישה מוחלטת לשרת. כל זה מרחוק. דמיינו כספומט שאמור רק להציג יתרה, אך מאפשר להוסיף בשורת ההערה גם פקודה להעברת כסף. אני רק צריך לזהות שרת כזה, להגיע ל-URL הנכון - ובום, יש לי שליטה מלאה".

מרגיש כמו נס

המשמעות רחבה בהרבה מתקלה נקודתית. ברגע שתוקף נכנס לשרת, הוא יכול לגנוב מידע, לשנות נתונים, לשתול קוד זדוני - ואף להשתמש בשרת כקרש קפיצה לתוך שאר מערכות הארגון. זו בדיוק הסיבה שהחולשה קיבלה ציון כה גבוה במדד CVSS, שמדרג חולשות לפי קלות הניצול וההשפעה שלהן. כאן, שתי הקטגוריות קיבלו את הציון הגבוה ביותר.

לא מפתיע, אם כן, שהגילוי יצר תהודה רחבה בקהילת הסייבר העולמית. חברות ניהול סיכונים מיהרו להתריע בפני לקוחות, צוותי אבטחה ברחבי העולם החלו לסרוק מערכות, ואלפי אזכורים הופיעו ברשת. "הכמות של השיח סביב החולשה הזו לא פרופורציונלית לרוב החולשות שמתגלות", אומר קוסמן. "כל מי שעובד עם אפאצ’י מבין שצריך לעצור ולהתעדכן".

עבור קוסמן, מדובר בהישג יוצא דופן נוסף בתוך פרק זמן קצר. רק לאחרונה הציג בכנס הסייבר היוקרתי BlackHat מחקר נוסף, שבו הדגים כיצד כלי מבוסס בינה מלאכותית שפיתח מאפשר לאתר חולשות במהירות וביעילות, ובעלות כוללת של עשרות דולרים בודדים. אבל מעבר לטכנולוגיה ולמספרים, הוא מדבר קודם כול על התחושה. "העבודה שלי בתור חוקר חולשות מאפשרת לי לעשות את הבלתי אפשרי", הוא אומר. “כשאני מצליח לכתוב exploit (קוד לניצול חולשות. י.ש) טוב לתוכנה מורכבת, זה מרגיש כמעט כמו נס".

במקרה הזה, אותו "נס" לא נשאר על מסך של חוקר אחד, אלא הפך לפרצה שגרמה לארגונים בכל העולם לעצור, לבדוק, לעדכן – ולהיזכר שגם חוקר בודד, עם הכלים הנכונים, יכול לחשוף חולשה שמקיפה את העולם כולו.