חוקרים ישראלים: חשפנו פרצות אבטחה חמורות בפיירוולים

פרצות אבטחה חמורות נחשפו על ידי חוקרים מקבוצת Bugsec ו-Cynet הישראלית בפיירוולים מהדור החדש (Next Generation). על פי ההודעה שפורסמה אמש (ד'), הפרצות עשויות לאפשר לגורם עם גישה לרשת הפנימית להעביר החוצה מידע ללא בקרה וללא הגבלה.  

במהלך המחקר נחשף שחומות האש מסוג Next Generation עוצבו ונבנו בצורה שמאפשרת יצירת "פתיחת קשר" מעל פרוטוקול TCP, ללא וידוא היעד אליו נשלחות הבקשות. זאת על מנת לאסוף מספיק מידע לזיהוי הפרוטוקול בו נעשה שימוש (גלישה באינטרנט, Telnet וכו').

פתיחת הקשר מתאפשרת במידה וחומת האש הוגדרה, לדוגמה, כדי לאפשר גלישה מהרשת הפנימית ליעדים ספציפיים באינטרנט. מצב זה אפשרי גם אם מדובר בכתובת יעד אחת בלבד. החולשה התגלתה על ידי ראש המחלקה ההתקפית של הקבוצה, סטס וולפוס.

לדברי וולפוס: "חולשה זו אפשרה לנו לבצע 'פתיחת קשר' מלאה מעל פרוטוקול TCP אל מול שרת C&C, מה שמאפשר ייצור הודעות והעברת מידע באמצעותן החוצה. כל זאת תוך עקיפה מלאה של חומת האש ושליחה של המידע לכל כתובת, על אף ההגבלה שהוגדרה בחומת האש לנתיבים ספציפיים בלבד.

החוקרים הסבירו שניתן שהפרצה עשויה להתממש ע"י האקרים ותוכנות זדוניות (Malware) על מנת לתקשר עם שרתי שליטה ובקרה (C&C). פגיעות זו למעשה מבטלת את יכולתה של חומת האש לחסום תעבורה מהרשת הפנימית לעולם החיצוני. הם אף הצליחו לנצל את הפרצה תוך שימוש בסקריפט פשוט שנכתב ב-Python.

לאחר חשיפת הפרצה ליצרנים, הסביר אחד מהם שלפי תכנון המערכת, חומת האש מאפשרת ביצוע TCP Handshake מלא על מנת לברר את סוג האפליקציה הנדרשת לשימוש. בנוסף, ציין היצרן, לאחר פתיחת הקשר חומת האש מזהה את האפליקציה, בהתאם להגדרות המתאימות ומטפלת בתעבורה הנדרשת. היצרן הוסיף שבמידה ומדובר באפליקציה לא מזוהה, חומת האש מקטלגת את התעבורה כ-"Unknown-TCP" ומבצעת בדיקה חוזרת ע"פ ההגדרות המתאימות על מנת לקבוע האם לאפשר או לחסום את התעבורה.