בשבוע שעבר Cisco פרסמו עדכון אבטחה חירומי ל-Cisco Secure Workload (שנקרא בעבר Tetration) – הפלטפורמה לאכיפת zero-trust ומיקרו-סגמנטציה בארגונים. הפגיעות, CVE-2026-20223, קיבלה ציון CVSS 10/10 – הציון הגרוע ביותר האפשרי. אין כזה מספר שמעורר חרדה גדולה יותר אצל אנשי IT.
למה דווקא 10/10 חריג
פגיעות מקבלת CVSS 10 רק כשמתקיימים ביחד מספר תנאים: היא ניתנת לניצול דרך הרשת בלי גישה פיזית, היא לא דורשת הזדהות כלשהי, היא לא דורשת אינטראקציה מהמשתמש, והיא מאפשרת השפעה מלאה על סודיות, שלמות וזמינות. במקרה הזה – תוקף שולח בקשת API מעוצבת ל-REST API פנימי של Secure Workload, ומקבל הרשאות Site Admin על המערכת.
אם הבעיה הזו נשמעת מסובכת, חשוב להבין מה זה אומר באמת: Secure Workload היא המערכת שאתם בונים סביבה את האסטרטגיה של אבטחה ארגונית. היא מנהלת כללי תקשורת בין שרתים, היא קובעת מי יכול לדבר עם מי, היא מנטרת זרימת תעבורה. אם מישהו הופך לאדמין בה, הוא לא רק נכנס לנכס אחד – הוא משנה את כללי המשחק של כל הסביבה.
מי מושפע
הפגיעות משפיעה על:
- Cisco Secure Workload Cluster Software – גם בענן SaaS וגם בהתקנות on-prem
- כל הגרסאות לפני 3.10.8.3 (לסדרת 3.x)
- כל הגרסאות לפני 4.0.3.17 (לסדרת 4.x)
חשוב: הפגיעות נמצאת ב-REST APIs פנימיים, לא בממשק הניהול דרך הדפדפן. גם אם הממשק נחסם מהאינטרנט, ה-API הפנימי עדיין יכול להיות חשוף מהרשת הפנימית – מה שאומר שהפגיעות נגישה גם לתוקף שכבר הצליח להיכנס לרשת בשלב מוקדם.
מה לעשות מיד
אם יש לכם Cisco Secure Workload, התהליך פשוט: עברו לגרסה 3.10.8.3 או 4.0.3.17 בהקדם. סיסקו לא מאשרת ניצול אקטיבי בשטח כרגע, אבל עם CVSS 10 ופירוט פומבי – זה רק עניין של ימים עד שכלי ניצול ציבוריים יופיעו.
אם אתם לא בטוחים אם יש לכם Secure Workload בכלל – שווה לבדוק. הוא נמכר בעיקר לארגונים גדולים יותר (מעל 500 עובדים), אבל מתחיל להופיע גם בארגונים בינוניים שעוברים תהליכי הסמכת ISO 27001 או שעובדים עם לקוחות שמחייבים zero-trust.
נקודה שלא מספיק מדברים עליה
זה לא רק על המוצר הספציפי. הסיפור הרחב כאן הוא שמערכות אבטחה מורכבות (zero-trust, micro-segmentation, וכו') הן כלים חזקים אבל גם משטח התקפה חדש. ככל שהארגון תלוי יותר ב"מערכת ניהול אבטחה אחת", כך נכשל יותר חמור כשהמערכת הזו נפרצת.
הלקח: לא להתעצל בעדכונים אבטחה של כלי האבטחה עצמם. ולא להניח שאם הטמעתם zero-trust אתם מוגנים. zero-trust הוא רעיון, לא מוצר אחד שמפעילים ושוכחים.
אם אתם רוצים סקירת אבטחה לתשתית הרשת והאבטחה שלכם – לא רק מבט על מוצרים, אלא על איך הם מחוברים ומה קורה כשאחד מהם נופל – צרו קשר עם M-Challenge. אנחנו עורכים סקירות כאלה לארגונים בינוניים פעם בשנה, וכל פעם מוצאים שניים-שלושה דברים ששווה לטפל בהם לפני שהם הופכים לבעיה.