אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
חוקרים ישראלים: חשפנו פרצות אבטחה חמורות בפיירוולים צילום: Shutterstock

חוקרים ישראלים: חשפנו פרצות אבטחה חמורות בפיירוולים

פרצות אבטחה שהתגלו בפיירוולים מהדור החדש מאפשרות לגורמים פנימיים להעביר מידע מחוץ לרשת ללא בקרה וללא הגבלה

10.12.2015, 16:28 | רפאל קאהאן

פרצות אבטחה חמורות נחשפו על ידי חוקרים מקבוצת Bugsec ו-Cynet הישראלית בפיירוולים מהדור החדש (Next Generation). על פי ההודעה שפורסמה אמש (ד'), הפרצות עשויות לאפשר לגורם עם גישה לרשת הפנימית להעביר החוצה מידע ללא בקרה וללא הגבלה.  

קראו עוד בכלכליסט

במהלך המחקר נחשף שחומות האש מסוג Next Generation עוצבו ונבנו בצורה שמאפשרת יצירת "פתיחת קשר" מעל פרוטוקול TCP, ללא וידוא היעד אליו נשלחות הבקשות. זאת על מנת לאסוף מספיק מידע לזיהוי הפרוטוקול בו נעשה שימוש (גלישה באינטרנט, Telnet וכו').

פתיחת הקשר מתאפשרת במידה וחומת האש הוגדרה, לדוגמה, כדי לאפשר גלישה מהרשת הפנימית ליעדים ספציפיים באינטרנט. מצב זה אפשרי גם אם מדובר בכתובת יעד אחת בלבד. החולשה התגלתה על ידי ראש המחלקה ההתקפית של הקבוצה, סטס וולפוס.

לדברי וולפוס: "חולשה זו אפשרה לנו לבצע 'פתיחת קשר' מלאה מעל פרוטוקול TCP אל מול שרת C&C, מה שמאפשר ייצור הודעות והעברת מידע באמצעותן החוצה. כל זאת תוך עקיפה מלאה של חומת האש ושליחה של המידע לכל כתובת, על אף ההגבלה שהוגדרה בחומת האש לנתיבים ספציפיים בלבד.

החוקרים הסבירו שניתן שהפרצה עשויה להתממש ע"י האקרים ותוכנות זדוניות (Malware) על מנת לתקשר עם שרתי שליטה ובקרה (C&C). פגיעות זו למעשה מבטלת את יכולתה של חומת האש לחסום תעבורה מהרשת הפנימית לעולם החיצוני. הם אף הצליחו לנצל את הפרצה תוך שימוש בסקריפט פשוט שנכתב ב-Python.

לאחר חשיפת הפרצה ליצרנים, הסביר אחד מהם שלפי תכנון המערכת, חומת האש מאפשרת ביצוע TCP Handshake מלא על מנת לברר את סוג האפליקציה הנדרשת לשימוש. בנוסף, ציין היצרן, לאחר פתיחת הקשר חומת האש מזהה את האפליקציה, בהתאם להגדרות המתאימות ומטפלת בתעבורה הנדרשת. היצרן הוסיף שבמידה ומדובר באפליקציה לא מזוהה, חומת האש מקטלגת את התעבורה כ-"Unknown-TCP" ומבצעת בדיקה חוזרת ע"פ ההגדרות המתאימות על מנת לקבוע האם לאפשר או לחסום את התעבורה.

תגיות

5 תגובות לכתיבת תגובה לכתיבת תגובה

5.
ל־3 - מילת המפתח היא "סוס טרויאני"
לא חייב להיות מרגל בתוך האירגון. מספיק שיש איזשהו פתי שהתקין סוס טרויאני. המטרה בפיירוול שחוסם יציאות מתוך הארגון החוצה היא לחסום סוסים טרוייאניים. נניח במקרה הנפוץ, שהארגון לא מעוניין להיחסם כספאמר. אם יהיו bot־ים בתוך האירגון שיכולים לפתוח פורט 25 לכל מקום, ספאמרים ישתמשו בהם כנקודת הפצה, והארגון עצמו ייחסם כמקור לספאם. לכן ארגונים בדרך כלל חוסמים את היציאה לפורט 25 למעט לשרת הדוא"ל הייעודי של החברה. אבל אם הפירצה הנ"ל עובדת, הרי שכאילו אין לך פיירוול - איזשהו מנהל חשבונות שלא מבין באבטחת מידע החליט להתקין תוכנה מהרשת, הכניס סוס טרויאני למערכת, והספאמרים חוגגים. אותו דבר יכול לקרות לגבי שימושים אחרים ולאו דווקא ספאם. המטרה שלך היא לא להילחם במרגלים בתוך האירגון - זה כבר עניין ברמה אחרת לגמרי - אלא בטמטום ארגוני רגיל.
מרימה גבה  |  13.12.15
3.
אם הפירצה היא מבפנים - ההאקר צריך להיות בתוך הארגון...לא?
בעצם מדובר בפרצה שמאפשרת לבנאדם שכבר בתוך הרשת הפנימית לפתוח דלת אחורית בפיירוול שתתקשר עם מחשבים ב...רשת הפנימית.. ז"א מחוץ לרשת הכל תקין,אבל מתוך הרשת אפשר לפתוח ערוץ תקשורת לסוס טרוייאני בתוך הרשת כדי לרגל על הארגון... אז "פרצה" תלוייה בגורם אנושי או האקר שכבר יש לו גישה לרשת הפנימית, או קוד זדוני (שנכתב במיוחד לפיירוול הזה) שהגיע איכשהוא לרשת הפנימית ופותח לעצמו גישה החוצה...
שמעון , חיפה  |  12.12.15