פירצת אבטחה חמורה התגלתה במערכת של נייס הישראלית

חברת אבטחת המידע האמריקאית SEC דיווחוה אתמול (ד') כי נמצאה פירצת אבטחה חמורה בתוכנת Nice Recording eXpress של נייס הישראלית. כך מדווח אתר ארס טכניקה. המערכת משמשת להקלטות קוליות ונמצאת בשימוש של מספר ארגוני אכיפת חוק ברחבי העולם.

חברת נייס המתמחה באספקת מערכות ל"מלחמה בפשע המאורגן, בהברחות סמים ובפעילות טרור", אישרה כי אכן נמצאו מספר בעיות במערכת שלה וכי רובן כבר טופלו. הפירצה הייתה עשויה לאפשר לתוקף לחדור למערכת המשמשת להקלטה ומעקב ולקבל גישה להקלטות שהתבצעו דרכה, כל זאת ללא אוטנתיקציה (זיהוי), כך מסרו חוקרי חברת SEC.

מוצרי חברת נייס סבלו מפרצות אבטחה חמורות | צילום: שאטרסטוק

"בנוסף, הפירצה יכלה לשמש כנקודת כניסה לרשת של הארגון", הרחיבו ב-SEC. הבעיה עצמה נבדקה בגרסה 6.3.5 של התוכנה, והחוקרים אישרו כי נראה שרוב הפרצות אכן תוקנו. 

הפירצה החמורה ביותר הייתה עשויה לאפשר לתוקף להתחבר לבסיס נתונים בתוכנה תוך שימוש בחשבון עם הרשאות root. החוקרים טענו כי החשבון לא היה מאובטח ושקשה היה להחליף את פרטי המשתמש. פירצה זו ועוד מספר פירצות נוספות דווחו על ידי חברת SEC לנייס כבר בדצמבר ומאז תוקנו.

רוב הפירצות התבססו על בקרת גישה לקויה, אולם חלקן גם היו עשויות לאפשר לתוקף לקבל גישה לבסיס נתונים מבוסס MySQL וכך לקבל לידיו מידע רגיש. החוקרים הוסיפו כי הפירצות התגלו בעוד שני מוצרים ישנים יותר של נייס: Cybertech eXpress ו-Cybertech Myracle.

מנייס נמסר כי: "חברות ייעוץ חיצוניות מבצעות לעיתים קרובות בדיקות עבורנו או עבור לקוחותינו ואנו מקדמים פעולות אלה בברכה. אנו מטפלים בכל סוגיה המובאת לפנינו כשם שעשינו במקרה זה. אנו מעבירים ללקוחותינו ולשותפינו העיסקיים את כל המידע על עידכוני המוצרים שלנו בערוצי התקשורת הרגילים שלנו. אנו מטפלים בסוגיות על פי סדר העדיפות שלהן ויכולים לאשר כי מרביתן כבר תוקנו והנותרות תתוקנה בתוך זמן קצר. אין אנו מאמינים כי לקוחותינו הושפעו מהסוגיות שהועלו בדו"ח שכן מערכות אלה פרוסות בסביבה מאובטחת במיוחד ואין אליהן גישה מחוץ לאירגון."