פתחו דלת אחורית לשרת קריטי ושכחו לסגור אותה

לאחר חקירה שביצענו, גילינו שהכול התחיל בתקלות תקשורת חוזרות עם שירותים כגון OneDrive. על מנת לפתור את התקלות, מישהו מצוות הפיתוח או מצוות ה-SOC של הלקוח,החליט להלבין מספר כתובות IP כדי לעקוף את התקלה, ובעצם פתח “דלת אחורית” לשרת קריטי, המאפשרת גישה לשרת הזה ממערכות חיצוניות, דלת שהוא שכח לסגור. כתוצאה מכך, נחשף השרת לסריקת בוטים באינטרנט. מניתוח שערכנו עלה כי התקיפה הייתה ככל הנראה חלק ממערך סריקות בוט רחב אחר שרתים חשופים ולאו דווקא התקפה ממוקדת על הארגון. למזלו של אותו ארגון, הבוט פנה למערכת של לינוקס תוך שימוש בשפה שאינה מתאימה ל-Windows, קיבל הודעת שגיאה, והמשיך הלאה. כלומר הבוט לא הצליח לחדור לשרת ולהוציא מידע של הלקוח החוצה. אם היה מדובר בבוט שיודע לזהות את מערכת ההפעלה, או בבוט שהיה מתחיל בשאילתה אחרת שמתאימה לשרתי Windows, זה יכול היה להיגמר לגמרי אחרת.

פעולות שנקטנו – צעדים ראשונים להגנה ובדיקה נוספת של מערכות הארגון

פעולות מיידיות שנקטנו לאחר הגילוי:

• ניתוק החיבור: סגירת NAT על מנת לנתק את הקשר בין הכתובת החיצונית לכתובת הפנימית של השרת.
• כיבוי השרת: על מנת למנוע כל איום פעיל פוטנציאלי, השרת כובה באופן מיידי.
• בדיקת לוגים ראשונית: סריקה בסיסית ביומני המערכת לאיתור התרעות נוספות.
• חסימת IP חשוד: הסרת כלל בחומת האש (FW) שאפשר גישה ישירה לשרתים פנימיים לל WAF.

בדיקות נוספות שערכנו לאחר גילוי החשיפה:

• מערכות אבטחה: לא נמצאו חריגות במרכיבי המערכת או בלוגים של מערכת ההגנה.
• בדיקת עדכוני מערכת: (HOTFIX)- לא אותרו פערים בעדכונים.
• חקר מערכות XDR: זיהוי איומים נוספים על ידי ה-IP החשוד לא העלה ממצאים חריגים.
• ניתוח רשת DMZ והונאות (Honeypot): לא זוהו סימנים לחשיפה.
• ניטור תעבורה: חיפוש ברשומות היומן לא העלה פעילות חשודה.

מבדיקות אלו לא נמצאו סימנים לפעילות חריגה, מלבד ניסיון תקיפת Brute force שלא צלח.

לקחים והמלצות להמשך:

המלצה ראשונה וחשובה ביותר היא לא לפתוח דלת אחורית למערכות שלכם, ויותר מכך,כל שינוי מהותי שרוצים לבצע ברשת או במערכות, צריך לעבור תהליך של change management על מנת לוודא שכולם מודעים לפעילות ולסיכונים הפוטנציאליים. דבר שני, חשוב לבצע בקרה תמידית ולסרוק את המערכות באופן קבוע. לא מספיק להפיק ולשמור את הלוגים, צריך שתהיה לכם מערכת שתדע לנטר. ללא מערך מלא של הפקת לוגים מהמערכות ומערכת שאוספת, מנתחת ומתריעה קיים פער משמעותי ביכולת של הארגון לזהות אירוע בזמן ואמת, וביכולת לתחקר את האירוע אחרי שהסתיים.

המלצות נקודתיות:

1. הגנה על שרתים מאחורי WAF: חשוב להקפיד שמערכות קריטיות יהיו מוגנות מאחורי חומת אבטחה ייעודית (WAF) על מנת לחסום גישה בלתי מורשית.
2. הגבלת טווחי כתובות IP: יש להימנע מפתיחת טווחים גדולים של כתובות IP – זה עלול להוות גורם סיכון לחשיפה.
3. ניהול גישה ואימות: מומלץ לשים דגש על בקרות גישה והגדרת פרוטוקולים נכונים של ניהול גישה, ולוודא שההרשאות אינן פתוחות מעבר לנדרש.
4. בדיקת הגדרות קודמות: במיוחד כשמדובר בשינויים בתצורת הרשת, יש לעקוב אחר ההגדרות שהוגדרו על מנת למנוע חשיפות לא רצויות.

באמצעות יישום ההמלצות הללו, ניתן לצמצם את הסיכונים לחשיפות דומות בעתיד ולחזק את מנגנוני האבטחה בארגון. למידע נוסף על הפתרונות שלנו בתחום שירותי ניתוח פורנזי מתקדמים, חקירות DFIR מורכבות ומתן פתרונות מותאמים אישית להגנה על הארגון שלכם השאירו פרטים בטופס ונחזור אליכם.