ממשלת ארה"ב מזהירה מפני פרצות אבטחה בתוכנות SAP ואורקל
מחלקת הגנת המולדת הודיעה שליקויים בהפעלת תוכנות ERP של שתי החברות כבר איפשרו יותר מתריסר פריצות לחברות אנרגיה, פיננסים וגופים ממשלתיים. הפרצות לא נובעות ממבנה התוכנות, אלא מעצלנות הלקוחות, שמסרבים להתקין עדכוני אבטחה קריטיים
- הושק תוסף דפדפן חינמי שחוסם נוזקות קריפטו
- עם היד על השאלטר: האקרים רוסים הצליחו לפרוץ לרשתות חשמל בארה"ב
- "האמזון של ההאקרים" חזרה לפעול ברשת האפלה
חור האבטחה אינו נובע מתוכנות אורקל ו-SAP עצמן, אלא בשימוש לקוי של הלקוחות; החברות מפיצות עדכוני אבטחה באופן רציף, אך חברות לא מתקינות אותם מחשש שיצריכו האטה או עצירה של מערכי ייצור ותשתיות אחרות בזמן הטמעתם. אזהרת משרד הגנת המולדת נשענת על מחקר שבוצע בידי שתי חברות אבטחה, ונבחן בידי אנשיו. בהתחשב בכך שחברות רבות נשענות על מוצרי SAP ואורקל - וכמותן גם גופים ממשלתיים - מהווה ליקוי האבטחה סיכון מהותי למידע מסחרי, מדיני וצבאי.
עד כה אותרו מספר פריצות שנשענו על ליקויי האבטחה האמורים, ונערכו בשתי סוכנויות ממשלתיות ומספר חברות מתחומי המדיה, האנרגיה והפיננסים.
הבעיה העיקרית היא שהמידע שמאוחסן במערכות ה-ERP של אורקל ו-SAP רגיש מאוד באופן טבעי; הן משמשות לניהול משאבים ארגוניים, קשרי לקוחות, לוגיסטיקה ועוד ולכן מכילות נתונים פיננסיים, מספרי כרטיסי אשראי של לקוחות ומידע מו"פ חשאי.
אורקל ו-SAP לא הגיבו לדיווח. "מנכ"לים ומנהלי אבטחת מידע ארגוניים צריכים לשים את הנושא הזה בראש מעייניהם", אמר לסוכנות רויטרס מנכ"ל אחת החברות שערכו את המחקר. בעיה נוספת שנחשפה הן פרצות שנובעות מטעויות התקנה, קישור של מערכות ישנות עם מערכי מחשוב ענן או עם מערכות ניהול שמיועדות לאפשר גישה חיצונית מסמארטפונים וחיבורי רשת מרוחקים.
סומכים על המזל
המחקר החדש מציג מגמה מתמשכת: לפני כשנתיים פורסם מחקר דומה, שהצביע על ניסיונות של גורמי ביון סינים לנצל את הפרצות האלה לצרכיו. באותו מחקר נמנו כ-17 אלף התקנות חשופות של מערכות SAP ואורקל ששייכות לכ-3,000 ארגונים. יותר מ-10 אלף שרתים שמפעילים את התוכנות נצפו עם התקנות שגויות שחושפות אפיקי גישה להאקרים.
ישנם כ-4,000 באגים ידועים ב-SAP וכן כ-5,000 בתוכנות אורקל שעלולים לגרור סיכוי אבטחה, בעיקר במערכות ישנות. במקרים רבים, סבורים מפעילי המערכות הללו שתיקון הבאגים לא שווה את הזמן והכסף, ומעדיפים לעבוד בצורה חשופה ולקוות לטוב. "פריצות מעטות מדי נחשפות לציבור", מסר אנליסט אבטחת מידע בגרטנר, "כך שהציבור לא מודע ולכן אינו מתייחס לבעיות האלה".
פרצה כזו נוצלה לפני מספר שנים לכדי לגנוב מידע מחברת U.S. Investigations Service שמספקת שירותי מידע פיננסי ומבצעת בדיקות רקע לעובדי הממשלה הפדרלית. השנה האקרים החלו לנצל פרצה בשרת הרשת WebLogic, פרצה שאורקל חסמה בעדכון אבטחה כבר באוקטובר שעבר. בין המטרות היו מערכות Oracle PeopleSoft ERP שמנוצלות לתקיפות כריית מטבעות קריפטו כגון ביטקוין או את'ריום.
ההאקרים ועברייני הסייבר מודעים היטב לאפיקי התקיפה האלה. ניתוח של השיח בדארקנט על ידי גורמי מודיעין סייבר העלה שישנה פעילות ערה סביב הנושאים האלה בעיקר בפורומים של האקרים סינים ורוסים, שמחליפים ביניהם סיסמאות, טיפים ושיטות פריצה.