קלארוטי

דוח מדאיג: שני שליש מחולשות האבטחה הידועות – במכשור רפואי

פורסם בתאריך ע"י Techtime

[בתמונה: אמיר פרמינגר, סמנכ"ל המו"פ של קלארוטי. קרדיט: קרן מזור]

דו"ח של צוות המחקר Team82 של חברת הסייבר קלארוטי (Claroty חושף נתון מדאיג מאוד על עולם המכשור הרפואי. לפי הדוח השנתי, שבחן את מצב האבטחה של מערכות בשירותי הבריאות, כ-63% מחולשות האבטחה המוכרות (KEV – Known Exploited Vulnerabilities) נמצאות ברשתות תקשורת של מערכות רפואיות.כמו כן, ב-23% מהמכשור הרפואי, כדוגמת מכשירי הדמיה, מכשירי IoT קליניים וציוד רפואי לחדרי ניתוח, קיימת לפחות חולשת אבטחה אחת ידועה שנוצלה על ידי גורמי איום.

לדברי סמנכ"ל המו"פ של קלארוטי, אמיר פרמינגר, הדו מדגים כיצד הקישוריות הגוברת של מכשירים רפואיים קריטיים עלולה, בהיעדר מענה אבטחתי, להיות בעלת השלכות שליליות פוטנציאליות על מטופלים. 

"הקישוריות יצרה שיפורים דרמטיים בטיפול בחולים. עם זאת, הגידול בקישוריות דורש הבנה של החשיפה לתוקפים הכרוכה בה ובהתאם את את הצורך בבניית ארכיטקטורת רשת נכונה." 

הדוח מצביע על הממשק המסוכן בין הרשתות האלחוטיות הציבוריות לבין המערכות הרפואיות הקריטיות. לפי הדו"ח, ל-22% מבתי החולים יש מכשירים מחוברים המגשרים בין רשתות אורחים המספקות למטופלים ולמבקרים גישה לאינטרנט אלחוטי, לבין רשתות פנימיות.

"מצב זה יוצר וקטור תקיפה מסוכן, מכיוון שתוקף יכול למצוא במהירות נכסים רפואיים ברשת האלחוט הציבורית ולמנף גישה זו כגשר כניסה לרשתות פנימיות שבהן שוכן ציוד הטיפול בחולים," נכתב בדוח, שמציג בהיבט זה נתון מדהים נוסף: 4% מהמכשור הכירורגי – ציוד קריטי שאם יותקף וייפגע עלול לסכן חולים – מתקשר על גבי רשתות אורחים.

עוד עולה מהדוח, כי 14% מהמכשירים הרפואיים המחוברים פועלים במערכות הפעלה שאינן נתמכות או נמצאות בסוף חייהן. מתוך המכשירים שאינם נתמכים, 32% הם מכשירי הדמיה, כולל מערכות רנטגן ו-MRI, החיוניים לאבחון ולטיפול רפואי מונע, ו-7% הם מכשירים כירורגיים.

הדוח בחן מכשירים בעלי ציוני EPSS (Exploit Prediction Scoring System) גבוהים, המייצגים את ההסתברות שחולשת תוכנה תנוצל במרחב הסייבר, בסולם של אפס עד מאה. מניתוח הנתונים עולה כי 11% מהמכשור הרפואי המיועד למטופלים, כגון משאבות עירוי, ו-10% מהמכשור הכירורגי בחדרי ניתוח, כוללים חולשות אבטחה עם ציוני EPSS גבוהים. כאשר בוחנים מכשור רפואי עם מערכות הפעלה שאינן נתמכות, 85% מהמכשירים הכירורגיים בקטגוריה זו הם בעלי ציוני EPSS גבוהים. 

צוות המחקר בדק אלו מכשירים רפואיים נגישים מרחוק ומצא כאלה עם סיכוי גבוה לכשל, כולל דפיברילטורים, שערי דפיברילטורים ומערכות ניתוח רובוטיות. המחקר הראה גם כי 66% ממכשירי ההדמיה, 54% מהמכשירים הכירורגיים ו-40% ממכשור המיועד למטופלים, הנם נגישים מרחוק.

פרמינגר: "ארגוני בריאות וגופי האבטחה שלהם חייבים לפתח מדיניות ואסטרטגיות שיבטיחו כי מכשירים ומערכות ניהול רפואיים יהיו עמידים בפני חדירות של איומי סייבר. זה כולל גישה מאובטחת מרחוק, תעדוף ניהול סיכונים והטמעת סגמנטציה". 

בשבוע שעבר השלימה קלארוטי סבב גיוס נוסף, בהיקף של 100 מיליון דולר, אשר העלה את סך גיוסיה מאז הקמתה ל-635 מיליון דולר. ב-2021 רכשה קלארוטי את חברת מדיגייט (Medigate) מתל אביב, המספקת פתרונות לאבטחת תשתיות קריטיות עבור בתי חולים וציוד רפואי.

קלארוטי גייסה 100 מיליון דולר 

פורסם בתאריך ע"י Techtime

[בתמונה למעלה: מנכ"ל קלארוטי, יניב ורדי. צילום: קרן מזור]

חברת Claroty התל-אביבית, המספקת פתרונות להגנת סייבר על תשתיות קריטיות, הודיעה היום על גיוס הון בסכום של 100 מיליון דולר. את סבב הגיוס הובילה קרן Delta-V Capital, ושאר המשקיעים הנם – AB Private Credit Investors at AllianceBernstein, Standard Investments, Toshiba Digital Solutions ו-Silicon Valley Bank, חטיבה של First Citizens Bank. 

עד היום גייסה קלארוטי סכום של 635 מיליון דולר. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. הפלטפורמה של קלארוטי, Claroty Platform, מתחברת אל התשתיות הקיימות של הלקוח, ומספקת מגוון מלא של בקרות אבטחת סייבר תעשייתיות לגילוי איומים, ניהול סיכונים וחולשות אבטחה, וגישה מרחוק מאובטחת.

מהחברה נמסר כי הכסף שגויס ישמש להרחבת פלטפורמת החברה להגנה על מערכות סייבר-פיזיות (CPS) במגזרי מפתח, כולל המגזר הציבורי ותעשיות תשתיות קריטיות בהן יש רגולציה מחמירה, וכן בהתרחבות לאזורים בצמיחה באמריקה, אירופה ואסיה-פסיפיק. השקעות נוספות יבוצעו במו"פ עבור טכנולוגיות ליבה של החברה וטכנולוגיות קשורות להן, כולל גישה מאובטחת מרחוק.

קלארוטי מסרה גם כמה נתונים על פעילותה העסקית בשנה האחרונה. לדבריה, במהלך 2023 רשמה החברה יותר מ-100 מיליון דולר בהכנסות חוזרות שנתיות (ARR), והגדילה ב-300% את מספר לקוחותיה, ובנתה שותפויות טכנולוגיות אסטרטגיות עם חברות מובילות בתעשייה כגון CrowdStrike, ServiceNow ו-AWS; והוסיפה לתכנית השותפים שלה מספר ספקי שירותי אבטחה  מנוהלים (MSSPs) ובהם IBM, Rockwell Automation, Schneider Electric, NTT Data ו-eSentire. כמו כן, Team82, צוות המחקר של קלארוטי הפועל בישראל, גילה וחשף עד כה מעל 550 חולשות אבטחה במערכות סייבר-פיזיות.

קלארוטי חשפה חולשת אבטחה דמויית Stuxnet בבקרי ה-PLC של Rockwell

פורסם בתאריך ע"י Techtime

בתמונה למעלה: הבקר התעשייתי CompactLogix 5480. שייך לקבוצת הבקרים אשר נפגעים מהחולשה שזוהתה

חברת קלארוטי (Claroty) מתל אביב איתרה שתי חולשות אבטחה חמורות מהסוג של תולעת Stuxnet בבקרים התעשייתיים המיתכנתים (PLC) של חברת רוקוול אוטומציה (Rockwell Automation). החולשות שנחשפו עלולות לאפשר לתוקפי סייבר להריץ קוד זדוני על הבקרים, לשנות הלוגיקה שלהם ולשבש תהליכים קריטיים – מבלי שהמהנדסים העובדים על הפלטפורמה יידעו זאת.

תולעת Stuxnet היא תוכנת תקיפה נגד בקרי SCADA אשר התגלתה בשנת 2010 כאשר הותקפו הסרקזות האירניות ששימשו לייצור אורניום מועשר, ויצאו מכלל פעולה ללא ידיעת מפעיליהן. ראש צוות מחקר ב-Team82, שהיא קבוצת מחקרי הסייבר של קלארוטי, שרון בריזינוב, אמר שתוקף המצליח לשנות את הלוגיקה של בקרי ה-PLC יכול לגרום נזק ממשי למפעלי ייצור ומתקני תשתית קריטית. "הוא יכול לפגוע בפעילות קווי הייצור ובהתקנים הרובוטיים המבוקרים".

החולשות שהתגלו קשורות לשני מרכיבים שונים במערך הבקרה, ההפעלה והתיכנות: חולשת אבטחה אחת פוגעת בבקרים ממשפחת Logix של רוקוול אוטומציה, וקיבלה את דרגת הסיכון 10 (כלומר "מסוכנת ביותר"). החולשה השנייה התגלתה בסביבת הפיתוח (IDE) של רוקוול, Studio 5000 Logix Designer, שהיא התוכנה שהחברה מספקת כדי לתכנת את הבקרים. דרגת הסיכון של החולשה הזאת קיבלה את הציון 7.7 ("חומרה גבוהה").

קלארוטי דיווחה על החולשות לחברת רוקוול אוטומציה, אשר עידכנה את לקוחותיה, ופיתחה כלי ייעודי לניתוח הקוד בבקרים, אשר מאפשר לזהות ניסיונות להריץ בהם קוד נסתר. בנוסף, רוקוול אוטומציה פנתה ללקוחות במזכר מיוחד המפרט כיצד עליהם לפעול בהקדם, לצמצום הסיכון הנשקף מחולשות האבטחה החדשות שחשפו חוקרי Team82 של קלארוטי.

 

לקריאת התיאור של קלארוטי על החולשות שנחשפו:

Hiding Code on Rockwell Automation PLCs

 

עליה דרסטית בגילוי חולשות אבטחה במערכות בקרה תעשייתיות

פורסם בתאריך ע"י Techtime

חוקרי צוות Team82 של חברת קלארוטי (Claroty) הישראלית, מדווחים שבמחצית הראשונה של 2021 חלה עלייה של 41% בהיקף הגילוי של חולשות אבטחה במערכות בקרה תעשייתיות (Industrial Control Systems – ICS) בהשוואה לששת החודשים הקודמים. מדובר בעלייה משמעותית, לאור העובדה שבכל שנת 2020 הן גדלו ב-25% בלבד. מדובר ב-637 נקודות תורפה שנחשפו במערכות בקרה תעשייתיות, שכ-90% מהן הן בעלות מורכבות נמוכה, כלומר קל מאוד לנצל אותן והצלחת התקיפה מאוד ברורה.

חמור יותר הוא נתון הנזק הפוטנציאלי: 71% מהחולשות שהתגלו מסווגות כבעלות דרגת חומרה גבוהה מאוד, עד-כדי קריטית. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-235 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול. מנכ"ל החברה הוא יניב ורדי. מתוך החולשות שהתגלו השנה, 70 התגלו על-ידי קלארוטי.

בחודש מאי 2021 היא דיווחה על גילוי חולשת אבטחה חמורה בבקרי SIMATIC S7 1200/1500 של חברת סימנס, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר ולהעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית. כך למשל, היא מאפשרת לתוקפים להשתיל בבקר התעשייתי וירוס או תולעת אשר משבשים את פעולתו, בשעה שהוא מפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.

קלארוטי חשפה חולשת אבטחה חמורה בבקרי PLC של סימנס

פורסם בתאריך ע"י Techtime

חברת הסייבר התעשייתי התל אביבית קלארוטי (Claroty) חשפה חולשת אבטחה חמורה בסדרת הבקרים העדכנית של סימנס SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת הנחשבת ל"גביע הקדוש" של האקרים, ואשר הושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית.

החברה מעריכה שהחולשה שהתגלתה עשויה להעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, כמו למשל השתלת וירוס/תולעת בבקר אשר ישבש את פעולת הברים אולם יפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות. צוות המחקר של קלארוטי שאיתר את החולשה לא מצא אף מקרה של ניצול החולשה הזו. בתגובה לזיהוי החולשה, עידכנה סימנס את הקושחה של בקרי ה-PLC החשופים והוציאה קריאה לכל המשתמשים לעדכן בהקדם את בקרי ה-PLC שלהם לגרסאות המעודכנות. היא מדווחת על הפרטים החיוניים בקישור הבא: SSA-434534.

טכנולוגיה של יוצאי 8200

חשיפת החולשה התאפשרה הודות לקשר הקרוב בין סימנס וקלארוטי. התיאום בין שתי החברות כולל החלפת פרטים טכניים, מידע על טכניקות התקפה וסיוע שקלארוטי העניקה לסימנס בבניית עדכון האבטחה. במסמך המתאר את העידכון, היא הוסיפה תודה מיוחדת לצוות החוקרים של בראשות קרן טל. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.

בחודש ספטמבר 2020 היא חשפה חולשות אבטחה קריטיות בתוכנת CodeMeter של חברת Wibu-Systems AG, שהיא אחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (ICS). התוכנה מגינה על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליהן מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד. החולשות שהחברהע גילתה מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר, לשנות רישיונות קיימים ואפילו לזייף רישיונות תקפים.

 

חולשות אבטחה מסכנות מאות-אלפי בקרים תעשייתיים בארץ ובעולם

פורסם בתאריך ע"י Techtime

בתמונה למעלה: אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי. צילום:קרן מזור

מחלקת המחקר של חברת קלארוטי (Claroty) הישראלית חשפה חולשות אבטחה קריטיות באחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (Industrial Control Systems- ICS). מדובר בתוכנת CodeMeter של חברת Wibu-Systems AG. התוכנה נועדה להגן על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליו מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד.

התוכנה נמצאת במכונות ייצור ובמערכות בקרה קריטיות, שבהן היא מותקנת כרכיב צד שלישי בתוך התוכנה של היצרן המקורי. החוקרים שרון בריזינוב וטל קרן מצוות המחקר של קלארוטי, גילו את החולשות והעריכו שעשרות חברות ישראליות נחשפו לחולשות אבטחה האלה, מאחר והן עושות שימוש במערכות ICS שבהן מותקן CodeMeter. החולשות שהתגלו מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר ולשנות רישיונות קיימים או לזייף רישיונות תקפים.

איטיות מחרידה

רישיונות מזויפים אלה יכולים לשמש לביצוע תקיפות נוספות: משתילים אותם באתר הנמצא בשליטת התוקף ומפתים קורבנות להיכנס אליו באמצעות הנדסה חברתית. על-ידי כך "מזהמים" את המחשב שלהם, והוא מעביר את הזיהום הלאה, אל מתקן הייצור או הבקרה שמולו הוא עובד. כדי לסייע ללקוחות לדעת האם הם חשופים לפגיעות, קלארוטי העלתה לרשת כלי מקוון המספק חיווי מיידי אם ה-CodeMeter ברשות המשתמשים אכן פגיע. לביצוע הבדיקה הקליקו כאן: CodeMeter Vulnerability Tester.

כמקובל בתחום האבטחת הסייבר, הממצאים הועברו מיד לחברת Wibu-Systems, אולם שלא כמקובל בתעשייה, התגובה של יצרנית התוכנה היתה איטית להחריד: היא קיבלה את המידע בחודש פברואר 2019, ורק באוגוסט 2020 היא שחררה גרסת תוכנה (CodeMeter v7.10) הכוללת את כל התיקונים הנחוצים. גם בחברת קלארוטי הרימו גבות בתדהמה לנוכח האיטיות הזאת.

צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter
צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter

בראיון ל-Techtime הסביר סמנכ"ל המחקר של קלארוטי, אמיר פרמינגר, שרמת האבטחה של בקרים תעשייתיים היא ירודה ביותר, עד-כדי לא קיימת במקרים רבים. פרמינגר: "המצב בתעשייה רע מאוד. אנחנו מבצעים מחקרים רבים לאיתור חולשות, אבל במקרים רבים מתאר התקיפה כלל לא זקוק לזיהוי של חולשה, מכיוון שהבקרים פשוט לא מאובטחים". הבעיה, הוא מסביר, נובעת משתי סיבות מרכזיות: ההיסטוריה של תחום הבקרים התעשייתיים והמודעות הנמוכה של המשתמשים בתעשיית הייצור והבקרה.

הבקרים לא תוכננו לאינטרנט, אבל התחברו אליה

"הבקרים המיתכנתים התפתחו כמערכות פשוטות שהיו מקושרות אל המכונות או אל מרכזי פיקוד מקומיים בערוצים ייעודיים, כמו למשל ערוץ התקשורת הטורית RS-232 או בערוצים קנייניים של היצרנים. מכיוון שאלה מערכות סגורות שאינן מתחברות לרשת, ומכיוון שחלק גדול מהן מבוסס על מיקרו-בקרים פשוטים, לא הותקנו בהן אמצעי הגנה בסיסיים ביותר כמו למשל דרישת ססמא או הצפנת מידע. בשנים האחרונות התעשייה מאמצת את פרוטוקול האינטרנט (IP) כערוץ התקשורת המרכזי לכל היישומים, וכאן נוצרה בעיה חדשה: מערכות שאין להן תשתיות הגנה הולמות המקושרות אל תשתית האינטרנט".

לכך יש להוסיף מרכיבים נוספים: בקרים רבים מופיעים כשהם כבר משולבים בתוך המערכות ולכן המשתמשים לא תמיד מודעים לקיומם, לאופן שבו יש יש לטפל בהם ולעתים אפילו לעצם העובדה שהם מקושרים. "רוב הבקרים מהדור החדש מחוברים לרשת IP, אולם או שאין בהם אפילו דרישה להתקנת ססמא או שהמפעילים לא מודעים לצורך בהתקנת ססמא. קל מאוד לחדור אליהם, להפעיל את תוכנת הבקרה הנדסית ולהשיג שליטה בבקר המותקף".

כיצד אתם מספקים פתרון לבעיה הזו?

"אחד מהפתרונות שלנו, Continuous Threat Detection למשל, מבוסס על כך שאנחנו מקבלים מהלקוח את כל הנתונים העוברים במתג שלו. אנחנו מנתחים אותם ומזהים את כל הפרוטוקולים של ספקי הציוד השונים. המערכת מבצעת מיפוי מלא של כל רשתות הבקרה, כולל זיהוי הרכיבים ואיזה גרסאות תוכנה מותקנות בהן. בשלב הבא אנחנו משווים את הממצאים אל בסיס הנתונים שלנו ומזהים מה הן החולשות של כל אחד מהרכיבים וממליצים על אמצעי ההגנה הדרוש.

"לאחר מכן אנחנו מבצעים מעקב אחר התנועה ברשת של הלקוח, מנתחים אותה ומזהים פעילות לא שגרתית או לא צפויה של הבקר (Anomaly Detection), אשר מלמדת על פגיעה בו". חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-180 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.