חוקרים ישראלים גילו חולשת אבטחה, שתפגע דווקא בהאקרים

חברת הסייבר הישראלית SentinelOne חשפה חולשת אבטחה באחד מהכלים השימושיים ביותר עבור חוקרי אבטחה, וכזה האהוב על האקרים. כך הוא יכול לפגוע דווקא ב”חבר’ה הרעים”

אהוב על האקרים חוקרי אבטחה כאחד | מקור: Cobalt Strike

אם יצא לכם לעבוד בתעשיית הסייבר, וספציפית בתחום ה-Pen-Testing (או בדיקות חדירה בשפת הקודש), סביר להניח ששמעתם על Cobalt Strike, אחד מהכלים הפופולריים בעולם לבדיקות חדירה. כמה פופולרי? אפילו האקרים משתמשים בו כדי להבין עם מה “האויב” עובד. אבל מה עושים כשהכלי שמשמש האקרים וחוקרי אבטחה כאחד כולל בתוכו חולשת אבטחה משמעותית?

הכלי האהוב על הפן-טסטרים, וההאקרים

Cobalt Strike הוא כלי לגיטימי לחלוטין, שיצא לשוק ב-2012 ונרכש על ידי חברת HelpSystems בשנה שעברה. אך על פי כמה וכמה חברות סייבר – בהן Proofpoint האמריקאית – מדובר בכלי הפופולרי ביותר בקרב האקרים הפועלים בקבוצות מטעם מדינות (APT) ובהאקרים “פליליים”.

מדובר בכלי המאפשר ל”צווותים אדומים” לדמות תקיפות על מחשבים, להדביק אותם בתוכנות זדוניות או לפחות לנסות כדי לבחון את יכולות ההגנה של חברות. אבל יותר ויותר האקרים עושים בו שימוש, בהם אלו שהיו אחראים לאחת ממתקפות הסייבר הגדולות של השנים האחרונות – שבמסגרתה הופץ קוד זדוני דרך מערכת SolarWinds.

חברת הסייבר הישראלית SentinelOne (שרק בחודש שעבר הונפקה על פי שווי מטורף של 10 מיליארד דולר), מפרסמת היום (ד’) מחקר שביצעה ובמסגרתו גילתה חולשת אבטחה ב-Cobalt Strike – כשמי שצפויים לסבול ממנו הם בכלל “החבר’ה הרעים”. גל קריסטל, חוקר חולשות בסנטינל וואן, בחן את קובלט סטרייק בתקופה האחרונה וגילה בה חולשת אבטחה באופן שבו היא מקצה משאבים. החולשה שגילה קריסטל שיכולה להוביל למתקפת Denial of Service (או DoS, האחות נטולת ה-D של DDoS).

מרעננים? רוצים להשתדרג? מרעננים? רוצים להשתדרג? עשרות משרות שוות מחכות לכם עכשיו ב-Riskified

“החולשה נמצאת בשרת הפיקוד (C2) של תשתית התקיפה Cobalt Strike. כל אחד מרים שרת כזה לשירות שלו שלו ותוקף באמצעותו, כל המחשבים שהוא מדביק מתקשרים עם אותו השרת של אותה הקבוצה והחולשה מאפשרת כדי להשבית את השרת – מה שאומר שכל המחשבים שנתקפו מאותו שרת לא יכולים לתקשר איתו”, אומר קריסטל בשיחה עם גיקטיים.

לפי קריסטל, החולשה שמצא – ושתוקנה היום על ידי HelpSystems במסגרת תהליך האסגרה שביצעו בסנטינל וואן – פחות דרמטית עבור הפן-טסטרים. זאת מכיוון שגם אם לא עדכנו את הפאץ’ החדש – ניצול של החולשה היה מנתק אותם מהמחשבים שאליהם התחברו במסגרת ה”תקיפה” ואלו יוכלו לחזור אליו ברגע שיבצעו ריסטארט לשרת.

מי שעומד לסבול באמת מהסיפור הזה, באופן אירוני, הוא ההאקרים, שמשתמשים בגרסאות פיראטיות או פרוצות של Cobalt Strike ולא זוכים לעדכוני תוכנה סדירים. מכיוון שהם לא מקבלים עדכונים חדשים מהמערכת של HelpSystems, חולשת האבטחה שגילו בסנטינל וואן חושפת כעת את ההאקרים – כשצוותי סייבר הגנתי המזהים תקיפה באמצעות הכלי יוכלו להשתמש בחולשה כדי לנטרל את ההאקרים בצורה קצת פחות פאסיבית. אבל תהיו בטוחים שאלו יעבדו קשה מאוד להתארגן על גרסה מעודכנת כדי להמשיך וליהנות מכל מה שיש ל-Cobalt Strike להציע.

במסגרת המחקר שלהם, סנטינל וואן משחררים היום משחררים ספריית פייתון בקוד פתוח עבור חוקרי אבטחה – כדי שאלו יוכלו להבין בצורה טובה יותר את ממצאי המחקר שלהם ולהשתמש בחולשה שמצאו ב-Cobalt Strike לטובתם.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

8 תגובות על "חוקרים ישראלים גילו חולשת אבטחה, שתפגע דווקא בהאקרים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דודי
Guest

יוו אני נלחץ יש לי טטריס הוא עלול להיות פגיע?

דודידו
Guest

החברה בדיוק נתנה לחוקר לבדוק את זה, יעדכנו בהקדם ויעשו מאמר PR

maor
Guest

חחחח, עאלק חוקר אבטחה. מה עוד הם יגלו? פירצת אבטחה בסופרמרקט שדרכה יכול “האקר” להוציא מסטיק מבלי לשלם ע”י הכנסתו לכיס?

בחיי, רק ב NSO נשארו חוקרים אמיתיים.

CS_LOVER
Guest

למה? כי ב NSO הם סייבר התקפי אז הם “מגניבים” יותר?
האם אתה מתישהו הגעת לממצאים ברמה הזו? האם פעם מצאת חולשה כלשהי במוצר כלשהו?

תמיר
Guest

לא עניין של מגניבים, פשוט בסייבר התקפי אתה אשכרה צריך לעשות השמשה מהחולשה שמצאת ולא סתם לדווח עליה למישהו אחר ולא כל חולשה היא נצילה מספיק.

אבל בסייבר ההגנתי, אתה מקבל כבוד על כמות החולשות ולא על איכות החולשות, מה שגורם לתופעה כזו שבה “חוקרים” מוצאים “חולשות” שהן בעצם באגים רגילים שבכלל לא נצילים ובהרבה מקרים אתה צריך כבר הרשאות root בשביל לגשת לאזור קוד של הבאג

סייבר התקפי זה משמעותית יותר קשה מסייבר הגנתי, שמוכן תמיד למלחמה הקודמת….

זיקו
Guest

שטויות, אחלה חברה שבעולם סנטינל וואן.
רשום לך מה השווי שלהם בכתבה

nope
Guest

maor,
אתה לא מבין כלום, וכנראה script kid מהסוג הנמוך.
תן גז

Shai
Guest

כתבת יח”צ, ממומנת? לא צריך גילוי נאות או משהו כזה

wpDiscuz

תגיות לכתבה: