אבטחה ורשתות

אבטחת מידע למשרדי עורכי דין: איך מצאתי פירצה ב-VPN

סיפור גילוי פירצה חמורה בתשתית VPN, המייל ששלחתי, תגובת החברה ותיקון תוך 24 שעות

15 פברואר 2026 זמן קריאה: 6 דקות

במגזר המקצועי, המידע של הלקוחות שלכם הוא הנכס היקר ביותר. המאמר הבא יעזור לכם לוודא שהתשתית שלכם עומדת בסטנדרטים הנדרשים.

🔒

במסגרת עבודה שוטפת על תשתית VPN של תוכנה המיועדת למשרדי עורכי דין, זיהיתי כשל ארכיטקטוני מהותי. כשהתחברתי ל-VPN (דרך Sophos) וקיבלתי כתובת IP בטווח 10.81.X.X, הרצתי סורק רשת וגיליתי שאני רואה לא רק את המכונות שלי, אלא גם endpoints של לקוחות אחרים המחוברים לאותה תשתית.

🔍 מה בדיוק גיליתי

זו לא תיאוריה. אחרי שזיהיתי תחנות ברשת, ביצעתי PING לחלק מהכתובות והתקבלה תגובה. לחלק מהמחשבים אף זיהיתי שירות RDP פתוח וניסיתי חיבור, והחיבור היה אפשרי מהצד הטכני.

תוצאות סריקת רשת (IP Scanner), זיהוי תחנות בטווח 10.81.0.X במסגרת ה-VPN
תוצאות סריקת רשת: תחנות קצה שזוהו באותו מרחב כתובות (10.81.0.X), עדות להעדר סגמנטציה

במילים פשוטות: כל משתמש המחובר ל-VPN יכול היה, בפעולות בסיסיות, לנסות לגשת למידע רגיש של משרדי עורכי דין אחרים, לבצע מתקפות Brute Force על RDP או לנצל חולשות בתחנות הקצה.

הסיבה הטכנית

העדר סגמנטציה (Flat Network): כל הלקוחות יושבים על אותו מרחב כתובות ללא בידוד לוגי ביניהם. אין חומת אש או כללי מדיניות שמפרידים בין משרד למשרד. תנועה רוחבית (Lateral Movement) בין לקוחות היא לפיכך אפשרית.

במסגרת גילוי אחראי, פניתי לצוות אבטחת המידע ולהנהלת הטכנולוגיות של החברה. להלן המייל ששלחתי.


📧 המייל ששלחתי

לכבוד: צוות אבטחת המידע / הנהלת טכנולוגיות, החברה

שלום רב,

שמי איתן, מנהל חברת SouliTEK ומומחה אבטחת מידע. פנייה זו נעשית במסגרת גילוי אחראי בעקבות ממצאים חמורים שנתגלו במהלך עבודה שוטפת על תשתית ה-VPN שלכם (דרך Sophos).

בבדיקת נתיבי התקשורת בתוך ה-VPN, זוהה כשל ארכיטקטוני מהותי המאפשר חשיפה וגישה ללקוחות אחרים של חברתכם.

פירוט הממצאים:

  • העדר סגמנטציה (Flat Network): לאחר התחברות ל-VPN וקבלת כתובת בטווח 10.81.X.X, ניתן לבצע סריקת רשת (Network Scan) ולזהות endpoints של לקוחות אחרים המחוברים לשירות.
  • תנועה רוחבית (Lateral Movement): זוהתה אפשרות ליצירת קשר ישיר (Direct Connectivity) מול מחשבי קצה של לקוחות אחרים, כולל זיהוי שירותי RDP זמינים ופתוחים.
  • משמעות: כל משתמש המחובר ל-VPN שלכם יכול, בפעולה פשוטה, לנסות לגשת למידע רגיש של משרדי עורכי דין אחרים, לבצע התקפות Brute Force או לנצל חולשות בתחנות הקצה.

מדובר באירוע אבטחה חמור עם השלכות ישירות על פרטיות המידע (GDPR/חוק הגנת הפרטיות) של כלל לקוחותיכם.

אני מצפה לקבל אישור על קבלת המייל הזה ולוח זמנים משוער לתיקון הליקוי. כאיש מקצוע בתחום ה-MSP, אשמח לסייע במידע נוסף ככל שיידרש כדי להבטיח את הגנת המידע של המשתמשים.

בברכה,
איתן


💬 תגובת החברה

לאחר זמן קצר קיבלתי תגובה רשמית. להלן תשובת החברה (במקור).

ראשית, אנחנו מעריכים מאוד את הפניית תשומת הלב שלנו לממצאים, תוך דאגה ללקוחות המשותפים.

חומת האש מסוג Sophos XG שבה אנחנו עושים שימוש, נכנסה לפעילות בחודש מאי האחרון. חומת אש זו החליפה את Sophos Utm-9 שבה עשינו שימוש קודם לכן, ובה ה-Isolation היה מלא כברירת מחדל. במסגרת החלפת חומת האש, השירות עובר בשבועות האחרונים מבדקי חדירה בלתי-תלויים.

אכן, חשיפה לתנועה רוחבית היא חולשה, ובעלת פוטנציאל גדול למימוש אירוע אבטחה, בהיתכנות גבוהה ובהשפעה גבוהה. בתוך כך נזכיר שחכירת הכתובות משתנה בכל Handshake בין תחנות הקצה לחומת האש, והיכולת לזהותן תלויה בחיבור ל-VPN ברגע הסריקה.

הממצא הזה כמובן קיבל את מלוא ההתייחסות, ועל כן תוקן מיידית יחד עם שרשרת האספקה. בהתאם לסטנדרטים המקובלים, האירוע מתוחקר, מתועד פנימית, והתקבלו בגינו צעדים מידיים וכן פעולות מתקנות להמשך.


התיקון: תוך 24 שעות

החברה לא רק הכירה בממצא, היא פעלה במהירות. תוך פחות מ-24 שעות מהגילוי, הליקוי תוקן. סגמנטציה או כללי בידוד הופעלו כך שמשתמשי VPN לא יכולים עוד לראות או לגשת לתחנות של לקוחות אחרים באותה תשתית.

זה בדיוק האופן שבו גילוי אחראי אמור לעבוד: דיווח מקצועי, הכרה בסיכון, ותיקון מיידי מבלי לנצל את הפגיעות.

האם משרדכם עומד בתקני האבטחה?

המומחים שלנו ב-SouliTEK ישמחו לבצע סקירה מקצועית ולהתאים עבורכם תוכנית פעולה.


📝 לסיכום

פירצות בתשתית VPN של ספקי שירות למשרדי עורכי דין הן סיכון אמיתי לחסיון ולפרטיות. העדר סגמנטציה מאפשר תנועה רוחבית וסריקת רשת בין לקוחות, עד כדי PING ו-RDP.

במקרה הזה, פנייה מסודרת גרמה לתיקון תוך 24 שעות ומדגימה את החשיבות של גילוי אחראי ושל תגובה מהירה מצד ספקים.

📚 מאמרים קשורים