לקחים מהמעשה של קליאו: ראיות מדגישות מדוע Secure MFT קריטי 

בדצמבר 2024, חוקרי אבטחת סייבר חשפו פגיעות מדאיגה של ביצוע קוד מרחוק (RCE) במוצרי העברת קבצים מנוהלים של Cleo, כפי שדווח לראשונה על ידי CSO Online .

תוקפים ניצלו באופן פעיל את הפגם הזה, ועקפו אפילו את התיקונים שפורסמו לאחרונה. למרות עדכוני האבטחה הראשוניים של Cleo, גורמי האיום הצליחו להמשיך לפגוע במערכות מעודכנות, וחשפו חולשות עמוקות בטיפול בסיסי בקבצים, אימות קלט וחוסן הפלטפורמה.

התקרית האחרונה היא חלק ממגמה מטרידה: פתרונות העברת קבצים מנוהלים הפכו למטרות עיקריות להתקפות סייבר מתוחכמות . פלטפורמות אלו, האחראיות על העברת קבצים מאובטחת של נתונים רגישים ביותר על פני ערוצים מהימנים, מהוות נקודת כניסה אטרקטיבית עבור תוקפים.

פרצה בסביבת MFT (העברת קבצים מנוהלת) עלולה לגרום לתוצאות קטסטרופליות, החל מדליפת נתונים מערכתית והפרות רגולטוריות ועד לשיבושים תפעוליים במגזרי תשתית קריטיים, שכולם עלולים לגרום נזק תדמיתי חמור.

Secure MFT כבר אינו אופציונלי בסביבות תשתית קריטיות. ארגונים חייבים להתקדם מעבר לטלאים ריאקטיביים ופתרונות אנטי-וירוס בודדים. במקום זאת, ארגונים חייבים לאמץ ארכיטקטורות אבטחה פרואקטיביות, רב-שכבתיות ומתקדמות שתוכננו במיוחד כדי להגן MFT מבצעים נגד נופי איומים מודרניים.

כיום, הדברים הבאים אינם עוד שיטות עבודה מומלצות, אלא צרכים תפעוליים:

בסוף שנת 2024, חוקרי אבטחה זיהו ניצול פעיל של פגיעות קריטית של ביצוע קוד מרחוק בזמן אמת במוצרי העברת קבצים מנוהלים של Cleo. הפתרונות שנפגעו כללו את Cleo LexiCom, Cleo VLTrader ו-Cleo Harmony, הנמצאים בשימוש נרחב בסביבות ארגוניות.

Cleo LexiCom הוא תוכנה מבוססת מחשב שולחני MFT לקוח לחיבור עם רשתות מסחר מרכזיות. Cleo VLTrader מספק שירות ברמת השרת MFT יכולות עבור ארגונים בינוניים, בעוד ש-Cleo Harmony נועדה לענות על צרכי האינטגרציה והעברת הקבצים המאובטחת של ארגונים גדולים.

אפילו לאחר שפורסם תיקון אבטחה ראשוני באוקטובר 2024, התוקפים המשיכו לפגוע במערכות Cleo בהצלחה, תוך ניצול חולשות שלא טופלו במלואן, כפי שדווח על ידי Darktrace בדצמבר 2024.

צוותי אבטחה קראו לארגונים לנתק באופן מיידי את השרתים שנפגעו מהאינטרנט וליישם אמצעי הפחתה זמניים עד להמתנה לתיקון מלא יותר.

1. ניצול פגיעות בהעלאת קבצים כדי להשיג כתיבה לא מורשית של קבצים
2. שחרור קבצים זדוניים לתיקיית "Autorun", מה שמפעיל הפעלה אוטומטית
3. מינוף תכונת ההפעלה האוטומטית לפריסת שרשרת מטען הכוללת ארכיוני ZIP, קבצי תצורה של XML ופקודות PowerShell זדוניות

חקירות המעקב חשפו סימנים לטקטיקות תוקף מתקדמות, כגון סיור ב-Active Directory, מחיקת קבצים חשאית ופריסת דלת אחורית מותאמת אישית לג'אווה המכונה קליאופטרה.

פריצת Cleo אינה מקרה בודד. במהלך השנים האחרונות, מערכות מנוהלות להעברת קבצים הפכו למטרות עיקריות עבור גורמי איום מתוחכמים. קבצים רגישים המועברים דרך פלטפורמות אלו קשורים לעתים קרובות באופן הדוק לפעילות עסקית, נתוני לקוחות או מידע מוסדר, מה שהופך את התגמול על פריצה מוצלחת לגבוה ביותר. 

מקרים קודמים שזכו לפרופיל גבוה, כגון פרצות MOVEit Transfer, Accellion File Transfer Appliance ו-Forta GoAnywhere, מראים דפוס עקבי: גורמי איום מתמקדים בטכנולוגיות העברת קבצים כנקודת כניסה אסטרטגית לרשתות ארגוניות.  

תקרית קליאו מחזקת את העובדה שגם ארגונים עם מערכות מתוקנות ומעודכנות נמצאים בסיכון אם MFT פתרונות אינם מתוכננים עם עקרונות אבטחה מובנים ורב-שכבתיים.

הניצול של קליאו מדגיש את הצורך ב MFT פתרונות שאינם מסתמכים רק על תיקונים אלא נבנים מהיסוד עם בקרות אבטחה רב-שכבתיות. MetaDefender Managed File Transfer ( MFT ) מיועד לסביבות אבטחה תחילה, בהן בקרת העברה מבוססת מדיניות, מניעת איומים רב שכבתית, ממשל מרכזי ובידוד אזורי קפדני הם חיוניים.

אבטחת נקודות המגע הראשונות היא קריטית. MetaDefender Managed File Transfer ( MFT ) מחזק את בקרות הגישה כדי לחסום כניסה בלתי מורשית לפני שתוקפים יוכלו להעלות קבצים זדוניים או להשיג דריסת רגל ברשת.

• בקרת גישה Secure : מגביל MetaDefender Managed File Transfer ( MFT ) גישה לרשתות פנימיות או רשתות מאובטחות באמצעות VPN מהימנות. זה מונע חשיפה ישירה לתוקפים חיצוניים המנסים להעלות מטענים זדוניים.
• אימות רב-גורמי (MFA): אוכף שכבה נוספת של אימות משתמש. גם אם נגנבים אישורים, תוקפים אינם יכולים לקבל גישה לא מורשית בקלות.
• בקרות גישה מבוססות תפקידים עם אישורי מנהל: החלת הרשאות מפורטות על משתמשים וזרימות עבודה. אפילו משתמשים מאומתים חייבים לקבל אישור פיקוח לפעולות העלאה והורדה קריטיות.

עצירת קבצים זדוניים בשער מונעת התקפות מלהתקדם בתוך המערכת. MetaDefender Managed File Transfer ( MFT ) מנתח ביסודיות נתונים נכנסים לפני שניתן להפעיל תוכן זדוני כלשהו. 

• צינור בדיקת קבצים עמוקה: מזהה וחוסם קבצים המוסוות תחת סיומות שגויות. ארכיוני ZIP או קבצי XML זדוניים מזוהים בנקודת ההעלאה.  
• זיהוי מדינת מוצא: סינון קבצים נכנסים לפי מיקום גיאוגרפי. ניתן לחסום אוטומטית קבצים שמקורם באזורים מוגבלים או בסיכון גבוה. 
• חילוץ ארכיון וסריקת תוכן: פורק קבצים דחוסים במלואם לפני העברה. פעולה זו חושפת תוכנות זדוניות נסתרות בתוך ארכיונים מקוננים, כגון ניצול PowerShell. למידע נוסף על קבצים מאוחסנים והאיום שהם מהווים כאן . 

מעבר לסריקה סטטית נחוצה כדי להתגונן מפני איומים מתקדמים ולא ידועים. MetaDefender Managed File Transfer ( MFT ) מיישמת סריקה מרובת מנועים ומנטרלת סיכונים ברמת התוכן. 

• Multiscanning של Metascan™ עם יותר מ-30 מנועים: סורק בו זמנית כל קובץ באמצעות מנועי אנטי-וירוס וזיהוי איומים מרובים. קבצים זדוניים וקבצים דמויי Webshell נחסמים לפני הביצוע. למידע נוסף על Multiscanning כאן . 
• Deep CDR™ (Content Disarm & Reconstruction): בונה מחדש קבצים על ידי הסרת אלמנטים פעילים או ניתנים להרצה. גרסאות נקיות ובטוחות של קבצים מועברות תוך נטרול איומים נסתרים. למדו כיצד Deep CDR יוצר מחדש קבצים כאן . 
• File-Based Vulnerability Assessment : מנתחת קבצים לאיתור פגיעויות ידועות שעלולות להיות מנוצלות מאוחר יותר. גישה זו לוכדת סוגי מסמכים שהותקנו כנשק לפני זמן הריצה.