דו״ח סייבר שבועי
עדכון שבועי 24.12.2020
עיקרי הדברים
-
קלירסקיי: איראן עומדת מאחורי גל תקיפות Pay2Key נגד חברות ישראליות
-
חב׳ F5: ישראל במקום הראשון בעולם כיעד לתקיפות סייבר
-
אסטרטגיית סייבר חדשה של האיחוד האירופי
-
חולשות אבטחת מידע במערכת הנהלת חשבונות Priority.
-
אנו ממליצים לעדכן את המערכות הבאות: מערכת Priority, מוצרי QNAP BIG-IP של חב׳ F5, מוצרי מיקרוסופט: Microsoft Windows, Microsoft Edge (EdgeHTML-based), Microsoft Edge for Android, Microsoft Office and Microsoft Office Services and Web Apps, Microsoft Exchange Server, Azure DevOps, Microsoft Dynamics, Visual Studio, Azure SDK Azure Sphere.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חברת F5 מפרסת עדכון אבטחה ל-BIG-IP
פגיעות במערכת Priority מצריכה עדכון ספק
מיקרוסופט פרסמה תיקון לעדכון אבטחה ברמת חומרה קריטית
חולשת XSS & Path Traversal חמורה במוצרי QNAP
התקפות ואיומים
כחולשה במוצרי SolarWinds מובילה למתקפות ענק על FireEye ועשרות אלפי ארגונים בעולם
הזהרו מחיקויים! אפליקציית Cyberpunk 2077 מזויפת מפיצה כופרה במכשירי Android
באג בפייסבוק חשף מידע אישי של משתמשי אינסטגרם
מתקפה חדשה מאפשרת להפוך כרטיסי RAM לכרטיסי WiFi
מתקפת סייבר על אתר בית המשפט לזכויות אדם
מתקפת שרשרת אספקה כנגד רשות האישורים הווייטנאמית (VGCA)
השבוע בכופרה
חברת פיתוח הבשמים Symrise נתקפת בכופרת Clop: כ-1000 רכיבים הוצפנו ו-500GB של מידע נגנבו
ענקית הובלות אמריקאית תחת מתקפת כופר
סייבר בישראל
אירוע דלף מידע בהיקף גדול בעיריית ירושלים בשל טעות של מפתח
קלירסקיי: איראן עומדת מאחורי גל תקיפות Pay2Key נגד חברות ישראליות
סייבר בעולם
2020: ישראל במקום הראשון בעולם כיעד לתקיפות סייבר
עקב התגברות מתקפות APT: ה-CISA מפרסמת באתרה עמוד המנגיש לציבור מידע רלוונטי
סייבר ופרטיות - רגולציה ותקינה
פורסם תזכיר חוק ביצוע פעולות באמצעים דיגיטליים, התשפ"א-2020
אסטרטגיית סייבר חדשה של האיחוד האירופי
ה-NIST מסכם את שנת 2020
פורסמה אסטרטגיית ה-EDPB ל-2023-2021
כנסים
הציטוט השבועי
״This assault happened on Donald Trump’s watch, when he wasn’t watching…."The truth is this: the Trump administration failed to prioritize cybersecurity.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חברת F5 מפרסת עדכון אבטחה ל-BIG-IP
העדכון סוגר חולשה קריטית (CVE-2020-5948, CVSS 9.6) העלולה לאפשר תקיפה מסוג Reflected XSS בממשק הניהול, ובעקבות כך השתלטות מלאה של התוקף על ציוד הרשת.
הגרסאות הפגיעות הן:
15.0.0-15.1.0
14.1.0-14.1.2
13.1.0-13.1.3
12.1.0-12.1.5
11.6.1-11.6.5
16.0.0
אנו ממליצים לעדכן בהקדם את מוצרי F5 שברשותכם.
פגיעות במערכת Priority מצריכה עדכון ספק
הפגיעות, שנמצאה במהלך מבדקי חדירות שביצעה החברה, דורשת הטמעת קובץ לתיקון החולשה.
למרות שטרם תועד ניצול של הפגיעות, אנו ממליצים לפנות למיישם השירות בארגונכם, על מנת לבצע את העדכון הנדרש.
מיקרוסופט פרסמה תיקון לעדכון אבטחה ברמת חומרה קריטית
כחלק מעדכון האבטחה החודשי של החברה, אשר פורסם ב-8 בדצמבר, פורסם עדכון הנותן מענה לחולשה קריטית (16875-2020-CVE) שנמצאה ב-Exchange ועודכנה בחודש ספטמבר. לאחר שנתגלו דרכים לעקיפתה של החולשה, פורסם לה כעת עדכון חדש (17132-2020-CVE).
אנו ממליצים לוודא כי עדכוני התוכנה של חודש דצמבר הוטמעו בכלל רכיבי הארגון הרלוונטיים.
חולשת XSS & Path Traversal חמורה במוצרי QNAP
חולשה זו, המאפשרת ביצוע RCE בגרסאות פגיעות של שלושה ממוצרי החברה, היא החמורה מבין מספר חולשות Web בדרגות חומרה שונות שנתגלו במוצרים במסגרת מחקר משותף של כמה חוקרי סייבר. המוצרים הפגיעים הם QES, QTS ו-QuTS, ואלה גרסאותיהן החדשות:
QES 2.1.1 build 20201006
QTS 4.5.1.1495 build 20201123
QuTS hero h4.5.1.1491 build 20201119
אנו ממליצים לבעלי המוצרים הללו לעדכנם בהקדם לגרסתם האחרונה.
התקפות ואיומים
חולשה במוצרי SolarWinds מובילה למתקפות ענק על FireEye ועשרות אלפי ארגונים בעולם
ב-13 בדצמבר פרסמה חברת אבטחת המידע FireEye דיווח אודות התקיפה, אשר כללה פריצה לרשתות הארגון והדלפת מידע על ידי מקור לא ידוע. עוד נמסר כי המתקפה התבססה על ניצול חולשה הקיימת בתוכנת Orion של SolarWinds לשם הפצת נוזקה המכונה SUNBURST. מתקפה זו היא חלק מקמפיין נרחב המנצל את החולשה הקיימת ב-SolarWinds, ואשר במסגרתו נפגעו כמה רשתות ממשלתיות בארצות הברית, בהן רשתות של משרד האוצר, משרד הביטחון, המנהל הלאומי לביטחון גרעיני (NNSA) ועוד. על פי החשד, מקורו של הקמפיין הוא בקבוצת התקיפה הרוסית APT29. בעקבות האירועים פרסם משרד הביטחון האמריקאי דירקטיבה המורה על הפעולות שיש לנקוט בנוגע לרשתות אשר יש חשש כי ייתקפו.
הזהרו מחיקויים! אפליקציית Cyberpunk 2077 מזויפת מפיצה כופרה במכשירי Android
אפליקציית Cyberpunk 2077, ממשחקי המחשב הנפוצים ב-2020, מאפשרת לשחקנים להשתמש בה דרך קונסולות משחק, מחשבים וטלפונים חכמים. ואולם, רמת הפופולריות של המשחק נוצלה על ידי תוקפים, אשר הפיצו גרסה מזויפת שלו למכשירי אנדרואיד, הקרויה (Cyberpunk Mobile (Beta, ואשר מחדירה כופרה למכשיר הקורבן, תוך ניצול העובדה שאין בנמצא אפליקציה רשמית של המשחק המיועדת למכשירי אנדרואיד. כיום, משתמש אנדרואיד המבקש להשתתף במשחק נדרש להחזיק במנוי ל-Stadia. את הכופרה גילתה חוקרת האבטחה טטיאנה שישקובה מחברת Kaspersky, אשר פרסמה את דבר התגלית בחשבון הטוויטר שלה. בציוץ שהעלתה, שישקובה טוענת כי מדובר בכופרה CoderWare, אשר הצפנתה ניתנת לפתיחה גם ללא תשלום דמי הכופר.
באג בפייסבוק חשף מידע אישי של משתמשי אינסטגרם
הבאג, שזוהה על ידי חוקר אבטחת המידע הנפאלי סוגאט פוקרל במסגרת תכנית Bug Bounty (המציעה תשלום בעבור גילוי חולשות על ידי האקרים ״לבנים״, כלומר כאלה שאינם מבצעים פעולות עוינות), מאפשר חשיפת מידע אישי של משתמש אפליקציית האינסטגרם, הכולל מייל ותאריך לידה. לאחר שחברת פייסבוק אישרה ותיקנה את הבאג, פוקרל פרסם את הדבר בחשבון הטוויטר שלו.
מתקפה חדשה מאפשרת להפוך כרטיסי RAM לכרטיסי WiFi
המתקפה, שנתגלתה על ידי חוקרים מאוניברסיטת בן גוריון וכונתה AIR-FI, מאפשרת להפוך כרטיסי RAM לכרטיסי רשת אלחוטיים, במחשבים בהם אין בנמצא כרטיסי רשת מסוג זה. כאשר המתקפה צולחת, היא מאפשרת קליטת אות WiFi ב-Bus של רכיבי ה-DDR וה-SDRAM בתדר 2.4GHz. מרדכי גורי, ראש תחום המחקר והפיתוח במעבדות הסייבר של אוניברסיטת בן גוריון, אמר: ״הראנו שמכשירים המצויים בקרבת מקום והם בעלי יכולות WiFi (טלפונים חכמים, מחשבים ניידים, מוצרי IoT וכן הלאה) מסוגלים ליירט את האותות, לפענחם ולשלוח אותם לתוקפים באמצעות האינטרנט״. לדבריו של גורי, באופן זה מתאפשרת שליפת מידע גם מציוד שאינו מחובר לרשת. עוד הוסיף כי למרות שהמתקפה אינה דורשת חומרה מיוחדת, היא קשה ליישום אפילו בקרב מומחים, שכן היא מצריכה הימצאות במרחק שאינו עולה על 7 מטרים מהמטרה, וכן שימוש בתוכנה שביחס אליה המערכת פגיעה.
מתקפת סייבר על אתר בית המשפט לזכויות אדם
המתקפה, שהתרחשבה ב-22 בדצמבר, מנעה ממשתמשים את הגישה אל אתר בית המשפט האירופי. מגורמים בארגון נמסר כי הם מצרים על המקרה החמור, וכי בוצעו מירב המאמצים על מנת לתקן את המצב ולהחזיר את האתר לפעילות.
מתקפת שרשרת אספקה כנגד רשות האישורים הווייטנאמית (VGCA)
במתקפה, שנחשפה על ידי חברת אבטחת המידע ESET, החליפו התוקפים גרסאות התקנה לגיטימיות של תוכנה המאוחסנת באתר הרשות בגרסאות זדוניות בהן משולב כלי רוגלה המכונה PhantomNet, אשר מופעל ברגע ההתקנה ומתחזה לשמות תהליכים (processes) הקיימים בתוכנה המקורית. משתמשי האתר, אשר שמו מבטחם בפלטפורמה הממשלתית, הורידו את התוכנה והתקינו אותה במחשביהם. בעוד שבשלב זה מטרת התוקפים אינה ברורה, עד כה אפשרה להם התוכנה לאסוף מידע על התחנות הנגועות, ואף להתחבר אליהן מרחוק.
.png)
השבוע בכופרה
חברת פיתוח הבשמים Symrise נתקפת בכופרת Clop: כ-1000 רכיבים הוצפנו ו-500GB של מידע נגנבו
החברה הודיעה על השהיה זמנית של הייצור ועל סגירת מפעליה, עד לתום חקירת התקיפה. טרם נמצאו הוכחות חותכות להדלפת המידע שנגנב.
ענקית הובלות אמריקאית תחת מתקפת כופר
חברת ההובלות Forward Air פרסמה לציבור הודעה לפיה בעקבות מתקפת כופר על מערכות ה-IT שלה הושבתו שרתיה באופן יזום וזאת על מנת למנוע את התפשטות הכופרה. עוד נמסר כי אנשי ה-IT של החברה פועלים במרץ ביחד עם מומחים חיצוניים מתחום אבטחת המידע, בכדי להשיב את החברה לפעילות בהקדם. תוכנת הכופרה בה נעשה שימוש במתקפה, Hades, הינה חדשה יחסית, אך אופן הפעולה של התוקפים דמה לזה המאפיין מתקפות כופרה אחרות, והתבסס על קובץ נגוע ש״קפץ״ על מסך המחשב והנחה את הקורבן ליצור קשר עם התוקפים דרך רשת ה-Tor.
אנו ממליצים לבעלי עסקים לפעול לפריסת אמצעי הגנה בארגון, ולחדד את מודעות העובדים לנושאי הורדת קבצים ולחיצה על לינקים חשודים.
סייבר בישראל
אירוע דלף מידע בהיקף גדול בעיריית ירושלים בשל טעות של מפתח
חזקיהו רפול, אזרח תמים שקיבל דוח תנועה וגלש לאתר העירייה בכדי לצפות בתיעוד העבירה, ניסה להוריד למחשבו את התמונה הרלוונטית, כשלפתע הבחין כי הכתובת המלאה בה התמונה מאוחסנת גלויה בכתובת האתר, כאשר לתמונה מצורף שם חד-ערכי, עם מספרים רצים. בהתאם לכך, רפול הבחין כי בעת שינוי מספר מזהה התמונה כלפי מטה או מעלה, נחשפים בפניו דוחות של אזרחים אחרים, וכי בשינוי נתיב הבקשה ניתן אף להגיע לערעורים, לבקשות ארנונה ולמסמכים נוספים.
קלירסקיי: איראן עומדת מאחורי גל תקיפות Pay2Key נגד חברות ישראליות
דוח שפורסם לאחרונה על ידי חברת ClearSky מציג ניתוח נרחב של גל התקיפות, אשר על פי ההערכות מקורו בקבוצה האיראנית המכונה Fox Kitten, המטרגטת חברות ישראליות מאז חודש אוגוסט. הקורבן האחרון של הקבוצה הוא חברת ״אלתא״ של התעשייה האווירית, שמסמך אשר נגנב ממנה בתקיפה, הכולל רשימה של כלל משתמשי הדומיין, פורסם בעמוד הטוויטר של Fox Kitten ובספריית ההדלפות בדארקנט. הפרסום הוסר על ידי טוויטר.
סייבר בעולם
2020: ישראל במקום הראשון בעולם כיעד לתקיפות סייבר
חברת F5 פרסמה דוח המתייחס לטרנדים של תקיפות סייבר במהלך השנה האחרונה, בהתבססו על מידע שנאסף באמצעות מלכודות דבש (Honeypots), שפוזרו ברחבי העולם וקיבצו מידע אודות טראפיק זדוני עמו באו במגע. מיקומה של ישראל עומד בפער משמעותי מהמקום השני, אותו ״קטפה״ ארצות הברית, במדד כמות הטראפיק הזדוני המכוון למחוזות שתי המדינת. טראפיק זדוני זה מטרגט בייחוד אתרי אינטרנט ישראלים העושים שימוש ב-CMS המכונה Wordpress. עוד עלה מתוצאות המחקר כי תוקפים מתמקדים במוצרי IoT ובמערכות CMS נוספות מבוססות PHP, כדוגמת Wordpress.
אנחנו ממליצים לבעלי אתרים מבוססי Wordpress לוודא כי גרסת ה-CMS בה הם עושים שימוש וה-Extentions המותקנים עליה מעודכנים כולם.
עקב התגברות מתקפות APT: ה-CISA מפרסמת באתרה עמוד המנגיש לציבור מידע רלוונטי
העמוד, המהווה חלק מה-CISA Insights, מתאר את האיומים והסיכונים הגלומים במתקפות APT, ומציע דרכי פעולה להתמודדות עמן בשלב מוקדם.
סייבר ופרטיות - רגולציה ותקינה
פורסם תזכיר חוק ביצוע פעולות באמצעים דיגיטליים, התשפ"א-2020
תזכיר החוק נועד לסייע ולהכווין גופים ציבוריים בבואם להעביר אל המרחב הדיגיטלי שירותים שהם מספקים. מדגשיו העיקריים: "...להקל על המעבר לדיגיטל ולהעניק ודאות משפטית בנוגע לפרשנות מונחים בדין ולהקל על חששות שהמעבר עשוי להעלות." התזכיר קובע גם פרשנות חדשה ומותאמת למרחב הדיגיטלי של החקיקה הקיימת, המסדירה את פעילותם של הגופים הללו. התזכיר הופץ להערות הציבור, שיתקבלו עד לתאריך ה-31.12.2020.
אסטרטגיית סייבר חדשה של האיחוד האירופי
האסטרטגיה החדשה להגנת סייבר, שפורסמה על ידי האיחוד ב- 16 בדצמבר, מציבה יעדים משותפים ל-27 המדינות החברות בנושא הגנת פעילותן של מדינות וארגונים במרחב הסייבר. האסטרטגיה החדשה מקדמת יוזמות בתחומי הרגולציה, ההשקעה והמדיניות, בשלושה תחומים עיקריים: (1) עמידות (Resilience), "ריבונות טכנולוגית" ומנהיגות; (2) בניית יכולות אופראטיביות להגנת סייבר; (3) הגברת שיתופי הפעולה בתוך האיחוד ומחוצה לו, לקידון מרחב סייבר פתוח וגלובאלי.
המכון הלאומי לתקנים וטכנולוגיה של ארה"ב פרסם השבוע מסמך המרכז את הדגשים שהנחו את עבודתו במהלך 2020, בהם כאלה שהיו בעלי השפעה רגולטורית, כדוגמת פרסום המסגרת לשמירת הפרטיות (Privacy Framework) ופרסום המערכת לניטור דיגיטלי של חשיפות אנשים לנגיף ה-COVID-19, לצמצום התפשטות המגיפה (Contact Tracing 2.0).
פורסמה אסטרטגיית ה-EDPB ל-2023-2021
כגוף הכלל-אירופי המפקח על יישום ה-GDPR, פרסום האסטרטגיה של המועצה האירופית להגנת מידע לשנתיים הבאות מאפשר בחינה של סדרי העדיפויות הרגולטוריים בטווח הקצר, בנוגע לרגולציה זו. במסמך האסטרטגיה, שפורסם ב-21 בדצמבר, נקבעים יעדי ה-EDPB במסגרת ארבעה "עמודי תווך" ליישום ואכיפת ה-GDPR: הראשון הוא קידום ההרמוניזציה בין מדינות האיחוד, השני הוא הגברת שיתוף הפעולה בין רשויות האכיפה של כל מדינות האיחוד, השלישי הוא הנחיה בנוגע להטמעת טכנולוגיות חדשות מבחינת הציות ל-GDPR והרביעי הוא פיתוח האפשרות של העברת מידע אישי בין מדינות העולם בהתאם לסטנדרטים שקובע ה-GDPR. כל אחד מ"עמודי התווך" הללו נתמך בפעולות ספציפיות של ה-EDPB ושל המדינות החברות באיחוד.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.