ניתוח אירוע: מתקפת SolarWinds — כשהעדכון עצמו היה הנשק
צוות CyberHub · לפני 20 ימים · 1 דק׳ קריאה
TL;DR · בקצרה
בשנת 2020 תוקפים מתוחכמים השתילו דלת אחורית בעדכון רשמי של תוכנת SolarWinds Orion. ~18,000 ארגונים התקינו את ה'עדכון' — כולל סוכנויות ממשל.
💼 למי שעובד במקצוע
צוותי הגנה: אמצו עקרונות Zero Trust — גם תוכנה 'מהימנה' צריכה להיות מנוטרת. נטרו התנהגות חריגה (יוצאת) של שרתים פנימיים, לא רק חתימות. חתימת קוד והקשחת צינור ה-CI/CD הם קריטיים.
מתקפת SolarWinds (שכונתה SUNBURST) נחשבת לאחת ממתקפות שרשרת האספקה המתוחכמות בהיסטוריה.
מה קרה?
תוקפים (מיוחסים לקבוצה מדינתית) חדרו לצינור הבנייה (build pipeline) של חברת SolarWinds והשתילו דלת אחורית בתוך עדכון חתום ורשמי של מוצר הניטור Orion. כש-~18,000 לקוחות התקינו את העדכון — הם התקינו בעצמם את הנוזקה.
הערמומיות
- העדכון היה חתום דיגיטלית ונראה לגיטימי לחלוטין.
- הנוזקה "ישנה" שבועיים לפני שהתעוררה, והתחזתה לתעבורה רגילה של Orion.
- היא בחרה מטרות בקפידה — לא תקפה את כולם.
🔍 תובנות / מה למדנו
- "מהימן" זו לא ערובה. אם תוכנה מאושרת יכולה להיות נשק — צריך לנטר גם אותה. זה בדיוק הרעיון של Zero Trust.
- צינור ה-CI/CD הוא נכס קריטי. מי ששולט בבנייה שולט במוצר. הקשחת ה-pipeline = הקשחת המוצר.
- זיהוי לפי התנהגות > חתימות. חתימת קוד תקינה לא עצרה את זה; מה שתפס היה התנהגות רשת חריגה.
- פגיעה אחת, אלפי קורבנות. זו הסיבה שתוקפים אוהבים שרשרת אספקה — אפקט מכפיל.
הלקח: בעולם מודרני, אתם בוטחים בעשרות ספקים. כל אחד מהם הוא דלת — שמישהו צריך לשמור.
📚 מקורות והפניות
💬 תגובות (0)
התחברו כדי להגיב.
אין עדיין תגובות. היו הראשונים! 🙂
📰 עוד חדשות
ShinyHunters ניצלו חולשה ב-Oracle PeopleSoft — אוניברסיטאות נפגעו במיוחד
קבוצת הסחיטה ShinyHunters ניצלה חולשה לא-מתוקנת ב-Oracle PeopleSoft כדי לחדור לארגונים ולגנוב מידע. הפעילות תוארכה ל-27 במאי עד 9 ביוני 2026, כשמוסדות אקדמיים ספגו את עיקר הפגיעה.
כ-30,000 חומות אש של Fortinet נמצאו חשופות לפריצה
חברת SOCRadar זיהתה כ-30,000 התקני חומת אש של Fortinet שחשופים לאינטרנט ומסכנים את הרשתות שמאחוריהם. תזכורת חדה: גם מכשירי ההגנה עצמם הם יעד.
חולשה קריטית ב-Palo Alto PAN-OS מנוצלת באופן פעיל (CVE-2026-0257)
Palo Alto Networks חשפה ניצול פעיל של CVE-2026-0257 — חולשת עקיפת-אימות ב-PAN-OS שמאפשרת גישה לא-מורשית לפורטלי GlobalProtect. CISA הוסיפה אותה לקטלוג ה-KEV.