נחשפו חולשות אבטחה קריטיות במערכת FileWave המשמשת לניהול ושליטה מרחוק על מכשירים ניידים
מאת:
מערכת Telecom News, 25.7.22, 15:45
זוהו אלפי שרתים שהיו חשופים לחולשות האבטחה החדשות, חלקם בארגוני חינוך והשכלה, חברות עסקיות וסוכנויות ממשלתיות. תוקפי סייבר יכולים לנצל את החולשות לעקיפת מנגנוני ההזדהות ולהשגת שליטה מלאה מרחוק ברמת super-user (הגבוהה ביותר) בפלטפורמה ובכל המכשירים הניידים שהיא מנהלת.
חוקרי
Team82 של חברת הסייבר
קלארוטי (
Claroty) מתל אביב, חשפו 2 חולשות אבטחה חמורות במערכת לניהול מרחוק של מכשירים ניידים מתוצרת
FileWave, שנמצאת בשימוש נרחב בקרב ארגונים עסקיים וממשלתיים.
מערכת
FileWave נועדה לאפשר לארגונים לפקח ולנהל את כל המכשירים הניידים שלהם מרחוק, כולל טאבלטים מבוססי ווינדוס ו-
MacOS, מחשבים ניידים ותחנות עבודה, טלפונים סלולריים מבוססי אנדרואיד ו-
iOS, ואפילו טלוויזיות חכמות.
2 החולשות החמורות (
CVE-2022-34907,
CVE-2022-34906) עלולות לאפשר לתוקפי סייבר לקבל גישה ברמת
super-user (הגבוהה ביותר) מה שהיה חושף את הארגון לסיכון גדול.
תוקף, שהיה מצליח לנצל את החולשות שנחשפו, היה מסוגל לשלוט בכל המכשירים המנוהלים, לחדור לנתונים רגישים כגון המספר הסידורי של המכשיר, כתובת הדואר האלקטרוני של המשתמש, שמו המלא, כתובתו, קואורדינטות של מיקומו הגיאוגרפי, כתובת ה-
IP שלו, הקוד לפתיחת המכשיר
(PIN) ועוד הרבה יותר.
בנוסף לכך, תוקפים עלולים להשתמש לרעה ביכולות לגיטימיות של פלטפורמת הניהול כדי להתקין תוכנות זדוניות או קובצי הפעלה מרחוק, ואפילו לקבל גישה מלאה ולהשתלט מרחוק על המכשיר.
ניצול זדוני של החולשות עלול לאפשר לתקוף בקלות ולהדביק מרחוק את כל המכשירים הנגישים לאינטרנט ומנוהלים ע"י ה-
FileWave MDM, וכך לאפשר לתוקפים לשלוט בכל המכשירים, לקבל גישה לרשתות הביתיות האישיות של המשתמשים, לרשתות הפנימיות של הארגונים ואף מעבר לכך.
נועם משה, (בתמונה משמאל, צילום:
שרון בריזינוב), חוקר אבטחה ב-
Team82, קבוצת מחקרי הסייבר של קלארוטי: "בשנים האחרונות אירעו מספר התקפות נגד מוצרים לניהול נקודות קצה, כגון
התקיפה החמורה של קבוצת REvil נגד Kaseya VSA, ששימשה, בסופו של דבר, להפצת תוכנות כופר בנקודות קצה ברחבי העולם.
יותר מאלף חברות סבלו מזמני השבתה משמעותיים עקב המתקפה ההיא. חברי קבוצת
REvil הצליחו לנצל חולשות "0-
day" בפלטפורמת
Kaseya VSA כדי לעקוף את מנגנון האימות שלה ולהשיג גישה מלאה. תקרית זו המחישה, שווקטור התקיפה של מוצרי ניהול התקנים מרחוק עדיין רלוונטי, וזה מחייב אותנו להישאר ערניים ודרוכים מפניו.
ראוי לציין את התגובה המהירה של אנשי
FileWave. מיד לאחר שהודענו להם על החולשות, הם פיתחו במהירות את התיקונים הנדרשים ופנו באופן יזום ללקוחותיהם. השיפור בזמני התגובה של יצרנים וספקים לבעיות אבטחה חדשות מצמצם את משטח ההתקפה במידה ניכרת".
חברת
FileWave נתנה מענה לבעיות שנחשפו, באמצעות
עדכון הגרסה האחרון v14.7.2, ועבדה עם לקוחותיה כדי לעדכן מערכות מגרסאות שהיו חשופות לחולשות האבטחה שנחשפו.