בעקבות הפרצה הקריטית ב-CUPS: מה מצב המקרן, המדפסת או מצלמת האבטחה אצלכם בארגון?

תמונה: dreamstime

מאת מרק גפן

לפני כחודש התגלתה פרצה שהפכה לאירוע סייבר משמעותי. האקרים ניצלו פרצה ב-CUPS – Common UNIX Printing System מערכת ההדפסה הפופולרית ב-UNIX והריצו קוד זדוני מרחוק דרך רכיבים כגון libcupsfilters ו-cups-browsed, בעזרת פרוטוקול UDP. הפגיעות נוצלה כדי לתקוף מערכות ברחבי העולם, במיוחד בסביבות שבהן ה-CUPS מופעלת כחלק אינטגרלי מהתשתית. התוקפים הצליחו להשבית שירותים ואף להשיג גישה למידע רגיש דרך מערכת הדפסה שהוזנחה אבטחתית, וגרמו לנזקים כלכליים משמעותיים ולפגיעה במוניטין של חברות שהושפעו.

לא פורסמו פרטים מדויקים על זהות התוקפים או רשימה מלאה של הנתקפים. עם זאת, מעריכים שמדובר בקבוצות תקיפה שפועלות ממניעים כלכליים, ומטרתן הייתה לפגוע בארגונים בעלי מערכות תשתית חיוניות. המתקפה כוונה בעיקר לארגונים המשתמשים ב-CUPS בסביבות UNIX ומבוססי Linux, כולל חברות טכנולוגיה, מוסדות חינוך, וגופים ציבוריים ברחבי העולם. התוקפים הצליחו לנצל את הפרצה כדי להשיג גישה מרחוק למידע רגיש ולהשבית שירותים. מאמצי התיקון לאירוע החלו מיד, והעדכונים שוחררו זמן קצר לאחר מכן, עם הנחיות הקשורות להקשחת שירותי CUPS ולהגנה על הפורטים הרלוונטיים, כדי למנוע התקפות דומות בעתיד.

האירוע הזה מעסיק את עולם אבטחת הסייבר ומעלה שאלות חשובות לגבי האופן שבו ארגונים מגנים על עצמם מפני פגיעויות שאינן בליבת התשתיות שלהם.

אין דבר כזה לא חשוב

מתקפות המנצלות פגיעויות בשירותים צדדיים, כמו מערכות הדפסה, הפכו לנפוצות יותר בשנים האחרונות. הסיבה ברורה: אלה שירותים שלרוב לא מקבלים את אותה רמת אבטחה והשגחה כמו מערכות קריטיות אחרות בארגון. תוקפי סייבר מחפשים נקודות חולשה במערכות שנתפסות כפחות חשובות, כמו ה-CUPS, ודרכן הם יכולים לקבל גישה למידע רגיש או לבצע פעולות זדוניות. במקרים רבים אלה שירותים הפועלים מאחורי הקלעים, אך יש להם נגישות ואינטגרציה מרובה עם מערכות אחרות. מתקפות דומות אירעו במערכות דומות בעבר, כשהתוקפים ניצלו שירותים פנימיים או פרוטוקולים רשתיים שנשארו פתוחים ברמה המקומית או המרוחקת, תוך ניצול תשתיות עם הגנה חלשה.

תמונה: dreamstime

אחת התובנות המרכזיות שניתן ללמוד מפגיעות ה-CUPS היא ששירותים טכנולוגיים שנראים פחות חשובים יכולים להפוך לנקודת תורפה שיכולה להביא איתה נזקים כלכליים עצומים – העלויות של התאוששות והפסדים, ישירים ועקיפים, יכולים להגיע למיליוני דולרים – ועוד לא דיברנו על השבתת שירותים, גניבת מידע, פגיעה במוניטין הארגון, פוטנציאל לתביעות מצד לקוחות והשקעה מרובה בהחלמת המערכות.

אז מה עושים? כאמצעי הגנה ראשון חייבים לוודא ששירותים כמו cups-browsed מופעלים אך ורק כאשר יש בהם צורך אמיתי. על ידי השבתת שירותים מיותרים, ניתן לצמצם את הסיכון ולמנוע ניצול פגיעויות אבטחה שאינן זוכות לתשומת לב מספקת. במקביל, חשוב להקשיח הגדרות ויישום נוהלי אבטחה קפדניים ולוודא שכל שירות מופעל תחת ההגדרות המחמירות ביותר. פרוטוקולים כמו IPP המשתמשים בפורטים פתוחים כמו פורט 631 צריכים להיות מוגבלים ולספק גישה אך ורק למערכות מוגדרות מראש. חשוב גם להפעיל מערכות ניטור פרואקטיביות ולבצע בדיקות שוטפות ועדכוני אבטחה כדי לזהות פגיעויות אבטחה חדשות ולעדכן מערכות בזמן.

ובעיקר חשוב שחברות יהיו מוכנות להתמודד עם פריצות ופגיעות אבטחה, לפתח ולתחזק תוכנית מגירה למתקפות שונות, הכוללות נהלים ברורים לזיהוי המתקפה, לחלוקת תפקידים ולמערך תקשורת עם גורמים פנימיים וחיצוניים.

מתקפת ה-CUPS מהווה תזכורת לכך שאיומים יכולים לנבוע גם משירותים לא מרכזיים בארגון ויש להם יכולת לגרום לנזק עסקי משמעותי. חברות חייבות לנקוט גישה הוליסטית לאבטחת מידע, כזו שמכסה לא רק את מערכות הליבה, אלא את כל השירותים הנוספים המחוברים אליהם. חברות שיאמצו גישות אבטחה מתקדמות, הכוללות ניטור רציף והקשחת נהלים, יוכלו לצמצם את הסיכון למתקפות סייבר ולהבטיח פעילות עסקית רציפה תקינה ובטוחה.

הכותב הוא מנכ״ל חברת הסייבר IONIX המפתחת פלטפורמה להגנה על משטחי התקיפה הארגוניים