מודמים ונתבים הם לא הטכנולוגיות המקושרות הזוהרות ביותר. למעשה, נוכחותם בכל מקום פירושה שרוב הארגונים שוכחים שהם אפילו שם. עם זאת, הם גם מבצעים פונקציה קריטית במתן אפשרות למכשירים ומכונות ברשת להגיע לאינטרנט הציבורי. בלעדיהם, רוב העסקים יתקשו לפעול.
עם זאת, בגלל מיקומם בקצה הרשת, נתבים הם גם יעד פופולרי יותר ויותר. זה לא עוזר שרבים רצופים בנקודות תורפה וייתכן שלא יעודכנו בתדירות גבוהה כמו מכשירים קריטיים אחרים. א דו"ח של פורסקאוט שפורסם באוקטובר מזהיר מפני 14 פגמי קושחה חדשים בנתבי DrayTek.
הגיע הזמן להתייחס ברצינות להגנה על נתבים ארגוניים.
מה רע ב-DrayTek?
לפי Forescout, שתיים מתוך 14 נקודות התורפה החדשות שגילתה בנתבים מהיצרן הטיוואני מדורגות קריטיות: ל-CVE-2024-41592 יש ציון CVSS מרבי של 10, בעוד ש-CVE-2024-41585 מקבל 9.1.
הראשון הוא גלישת חיץ בפונקציית GetCGI() של ממשק המשתמש האינטרנטי של DrayTek VigorConnect. זה יכול להיות מופעל על ידי מחרוזת שאילתה בעלת מבנה מיוחד וארוך מדי לכל אחד מ-40 דפי ה-CGI של ממשק המשתמש האינטרנטי. זה, בתורו, יכול לשמש כדי להשיג דחיית שירותים או, אם הוא משורשר עם באג הזרקת פקודות מערכת ההפעלה CVE-2024-41585, כדי להשיג גישה שורש מרחוק למערכת ההפעלה המארח הבסיסית.
זה עלול להיות חמור בהרבה, מכיוון שהוא יספק לתוקף את "המפתחות לממלכה" - מה שמאפשר שליטה מרחוק מלאה על הנתב הממוקד, ועל ידי הזזה לרוחב, מכשירים אחרים באותה רשת, אומר פורסקאוט.
הפופולריות של נתבי DrayTek ברחבי העולם מדגישה את האתגרים של מגיני הרשת ואת ההזדמנות עבור גורמי איומים. לפי Forescout, יותר מ-704,000 נתבים נחשפו לאינטרנט - ולכן פתוחים לניצול - בעת עריכת הדו"ח, כולל 425,000 בבריטניה ובאיחוד האירופי. רובם ככל הנראה מיועדים לשימוש עסקי.
DrayTek תיקן את כל פרצות הקושחה עד לפרסום הדוח. ובכל זאת, אין ערובה שלקוחות יחילו את העדכונים לפני ניסיונות פוטנציאליים לנצל אותם. הספק הוא גם לא היצרן היחיד שמוצריו נמצאים בסכנת פשרה. בספטמבר, ייעוץ משותף מכמה סוכנויות אבטחה של Five Eyes חשפו את קיומו של רשת בוטנית ענקית של 260,000 מכשירים שנחטפו, כולל נתבים מ-MikroTik, Ubiquiti, Telesquare, Telstra, Cisco ו-NetGear.
למה נתבים?
מודמים ונתבים הם ללא ספק יעד פופולרי עבור שחקני איומים. זה בגלל שהם:
- לרוב רצופות נקודות תורפה ללא תיקון שעלולות להיות מנוצלות
- הם משמשים לעתים קרובות על ידי חברות קטנות ובינוניות עם פחות משאבי אבטחה וידע, מה שעלול להשאיר נתבים חשופים
- קל להאקרים לסרוק מרחוק
- עשוי להיות מוגן רק על ידי אישורי ברירת המחדל של היצרן
- לספק שער למכשירים אחרים באותה רשת, ולכן יכול לשמש כווקטור גישה ראשוני עבור תוכנות כופר וגניבת נתונים
- ניתן לחטוף אותם ולהשתמש בהם כרובוטים ברשת בוטים גדולה יותר כדי להפעיל התקפות DDoS על אחרים או להסוות קמפיינים מתוחכמים יותר של איומים
- ניתן להשתמש מחדש כשרתי פיקוד ושליטה (אם הם נתבים בעלי ביצועים גבוהים)
מכשירי סוף-חיים (EoL) או סוף-מכירה (EoS) נמצאים בסיכון במיוחד מכיוון שייתכן שלא יהיו תיקונים/עדכונים זמינים מהספק. Forescout טוענת ש-11 מתוך 24 דגמי DrayTek המושפעים המפורטים במחקר שלה היו EoL או EoS. גם אם ניתן להדביק מדבקות, לעתים קרובות הם לא. כמעט שתי חמישיות (40%) מאלה בדו"ח עדיין חשופים לפגמים דומים שזוהו שנתיים קודם לכן, על פי פורסקאוט.
"נתבים יכולים להניב גישה לנכסים בתוך הרשת של ארגון, או אפילו שליטה עליהם. בתור השלדים של הרשתות ותתי הרשתות שהם יוצרים, הם מהווים משאב נהדר לתוקף להדביק", אומר ל-ISMS.online יועץ האבטחה של Black Duck Software, אדם בראון.
"יתר על כן, הם מנוהלים על ידי אנשים עם הרמות הגבוהות ביותר של אישורי אבטחה, שאם הם נפרצו, נותנים לשחקנים רעים את המפתחות לממלכה."
זה לא איום תיאורטי. בנוסף למסע האיומים הסיני האדיר שהודגש לעיל, אנו יכולים להצביע על הדברים הבאים:
וולט טייפון: קבוצת APT הנתמכת על ידי מדינה סינית שניצלה פגיעויות של יום אפס במכשירי רשת המחוברים לאינטרנט כמו נתבים כדי לסכן רשתות תשתית קריטיות חשובות אסטרטגית בארה"ב. המטרה הסופית, אומרת הסוכנות לאבטחת סייבר ותשתיות (CISA), הייתה להיות ערוכה ומוכנה לביצוע התקפות הרסניות במקרה של עימות צבאי.
BlackTech: קבוצת APT ממלכתית סינית נוספת שפנתה לארגונים שונים בארה"ב וביפן. זה כיוון לנתבים מוגנים בצורה גרועה במשרדי סניפים, ואיפשר לתוקפים להשתלב עם תעבורה רגילה כשהם פנו למכשירים אחרים במטה הארגוני. במקרים מסוימים, היריבים השיגו זכויות אדמין, מה שאיפשר להם להחליף את הקושחה בנתבים ו/או לכבות את הרישום כדי להסתיר את עקבותיהם.
Cyclops Blink ו-VPNFilter: שני קמפיינים מתוחכמים רב-שנתיים מקבוצת תולעי החול של רוסיה, אשר כוונו לנתבים משרדיים/ביתיים קטנים (SOHO) והתקני רשת אחרים. פריסת התוכנה הזדונית בעלת השם תואר כ "חסר הבחנה ונרחב", הוביל משקיפים לשער שהמטרה הייתה ליצור רשתות בוטים המסוגלות להשיק קמפיינים של איומים על מטרות אחרות.
APT28/דוב מפואר: קבוצת איומים רוסית פורה כיוונה ל-Ubiquiti EdgeRouters כחלק ממסע פרסום רחב יותר "להקל על פעולות סייבר זדוניות ברחבי העולם" - כולל על ידי אירוח דפי דיוג בחנית וכלי התקפה מותאמים אישית.
כיצד להפחית את האיום
כמה מחוקקים בארה"ב רוצים לחקור נתבים מתוצרת סין במטרה לצמצם את איום ריגול הסייבר של בייג'ינג. אבל זה לא יעשה שום דבר כדי להתמודד עם בעיית הנתבים שיוצרו במקום אחר שנחטפו באמצעות אישורים גנובים/כפויים בכוח או ניצול פגיעות. אז איך ארגונים יכולים להגן טוב יותר על הנתבים שלהם? כמה שיטות עבודה מומלצות יעזרו.
מקום מצוין להתחיל בו הוא היגיינת סייבר בדוקה כגון:
- תיקון קבוע של קושחה ברגע שעדכונים זמינים, תוך שימוש בערוצי עדכונים אוטומטיים במידת האפשר
- החלפת סיסמאות ברירת מחדל באישורים חזקים וייחודיים
- כיבוי שירותים ויציאות שאינם בשימוש כמו UPnP, ניהול מרחוק, שיתוף קבצים וכו'
- החלפה מיידית של ערכת EoL כדי להבטיח הגנה מקסימלית מפני ניצול.
בראון מבית Black Duck Software מוסיפה כי גישות אבטחה Zero Trust יסייעו גם לארגונים לצמצם את סיכוני האבטחה של הנתבים, כגון ניטור רשת אחר נפחי תעבורה חריגים ופילוח לצד מדיניות גישה מינימלית.
"יש לקחת בחשבון את ארכיטקטורת האבטחה בעת פריסת רשתות, ולכן נתבים, תוך הקפדה על גישה לקונסולות הנתבים בעלות בקרות אבטחה מתאימות", הוא מוסיף. "יש לשקול אזורי אמון ברשת, וגישת אפס אמון לארכיטקטורה בכל השכבות תעזור להגביל את רדיוס הפיצוץ במקרה של תקרית".
כפי שהדוגמאות לעיל מדגישות, קבוצות חזקות הנתמכות על ידי מדינה, כמו גם ישויות מתוחכמות של פשעי סייבר, מתכוונות לנצל את פערי האבטחה כדי לחטוף נתבים והרשתות שבהן הם נמצאים. עם חברות SMB על הכוונת, הגיע הזמן לסגור את פער האבטחה הקריטי הזה.
