IT News פורטל המחשוב העסקי וההייטק של ישראל
חוקרי פורסקאוט חשפו חולשות בתשעה מערכי תקשורת החושפות את המכשירים למתקפות סייבר. החולשות שנחשפו במסגרת מחקר NUMBER:JACK של מעבדת המחקר של פורסקאוט שימשו באופן היסטורי לצורך פריצות למחשבים, כפי שהודגם לראשונה עוד בשנות התשעים ע"י הפורץ המיתולוגי קווין מיטניק. מה שהופך את הממצא הנוכחי לחמור במיוחד הוא שממשקי התקשורת שבהם התגלו החולשות נמצאים בשימוש במיליוני מכשירי IoT ו-OT, ובכך מתרחב משמעותית היקף הפגיעה האפשרי.
הגילויים האחרונים מתבססים על היבט מהותי של תקשורת TCP: יצירת מספר רצף ראשוני Initial Sequence Number (ISN). ה ISN נועד להבטיח שכל חיבור TCP בין שני מחשבים הוא ייחודי, כך שצד שלישי אינו יכול להפריע לרציפות החיבור או לבצע בהם מניפולציות.
על מנת להבטיח זאת, ISNs צריכים להיווצר באופן אקראי כך שתוקף לא יכול לנחש את ה-ISN, לפרוץ את החיבור או לזייף חיבור חדש. זהו יסוד של אבטחת מחשבים שהיה ידוע כבר משנות ה -90 – אך בכל הנוגע לאבטחת מכשירי IoT, מצאו החוקרים כי החולשה הישנה הזו קיימת מכיוון שהמספרים אינם אקראיים לחלוטין, כך שניתן לחזות את התבנית של מספרי ISN בתקשורת TCP.
המערכים שנבדקו הם- uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP, uC/TCP-IP, MPLAB Net, TI-NDKTCPIP, Nanostack, ו-Nucleus NET. החולשות התגלו ודווחו לספקים באוקטובר 2020. במרבית המקרים פורסמו עדכונים ו/או המלצות למזעור סיכונים.
השכיחות של חלק מתרחישי השימוש במערכים הפגיעים האלה היא גבוהה. כפי שפורסם בדוח AMNESIA:33 שפרסמה פורסקאוט, מימושים רבים של פרוטוקול TCP המשמש מיליוני מכשירי IoT המחוברים לרשת האינטרנט (דוגמת uIP, FNET, picoTCP ו- Nut/Net) לוקים בחולשה זו.
המלצות למזעור סיכונים
זיהוי ועדכון של מכשירים העושים שימוש ב TCP פגיעים הן פעולות מאתגרות מכיוון שלעיתים קרובות לא קיים מידע לגבי התוכנה המשמשת כל מכשיר, ומאחר שמכשירים כאלה הם קשים ביותר לניהול ועדכון.
- גילוי וניהול מכשירים המריצים מערכי TCP/IP פגיעים. Forescout Research Labs פרסמה קוד פתוח המשתמש בתביעות אצבע פעילות כדי לזהות מכשירים המשתמשים במערכים הפגיעים. הקוד הזה מתעדכן באופן שוטף עם חתימות חדשות. בנוסף, Nmap מאפשר איסוף של מדדי ISN ומבצע ניתוח סטטיסטי כדי להבין האם מכשיר המטרה סובל מחולשה ביצירת ה- ISN.
- עדכון בהקדם האפשרי. יש לעקוב אחר פרסום עדכונים מצד ספקי המכשירים הפגיעים, ולייצר תוכנית תיקונים עבור הנכסים הפגיעים.
- סגמנטציה למזעור סיכונים. עבור מכשירי IoT ו-OT רגישים, יש להשתמש בסגמנטציה כדי למזער את החשיפה לרשת ואת הסיכון לפריצה, ומבלי לפגוע ביכולות חיוניות לפעילות העסקית. סגמנטציה וחלוקה לאזורים יכולות גם להגביל את היקף הפגיעה ואת ההשפעה על העסקים במקרה ומכשיר נפרץ.
- הפעלת IPsec. פתרונות הצפנה מקצה לקצה אשר נבנים על גבי שכבת הרשת (IPsec) אינם דורשים ביצוע שינויים במערך ה-TCP/IP הנמצא בשימוש, ובמקביל הם מאפשרים להגן מפני התחזות ל- TCP והתקפות אתחול חיבורים. לרוע המזל, מימוש IPSec הוא מטלה קשה במיוחד.
