דו״ח סייבר שבועי
עדכון שבועי 04.02.2021
עיקרי הדברים
-
2020: עלייה של כ-50% בדיווחים של אזרחים וארגונים למערך הסייבר הלאומי בהשוואה לשנה הקודמת
-
חשד לפריצה למערכת ניהול התיקים של מערכת המשפט האמריקאית
-
NIST מפרסמת הנחיות חדשות בנושא הגנה מפני האקרים מדינתיים
-
השבוע בכופרה: רשות החדשנות והמחקר האנגלי (UKRI) תחת מתקפת כופרה
-
אנו ממליצים לעדכן את המערכות הבאות: גוגל כרום, מוצרי אפל, מערכת QRadar של IBM.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
אפל מתקנת עשרות חולשות במוצריה הניתנות לניצול מרחוק
Google מפרסמת עדכון תוכנה ל-Chrome
חולשת SSRF נתגלתה בגרסאות שונות של מערכת QRadar
חולשה במערכות ההפעלה Linux מאפשרת שימוש בפקודת Sudo
התקפות ואיומים
ClearSky: קבוצת תקיפה של חיזבאללה תקפה חברות תקשורת ברחבי העולם
חשד לפריצה למערכת ניהול התיקים של מערכת המשפט האמריקאית
ארה״ב: מרכז הפיננסים הלאומי (NFC) הותקף על ידי סין באמצעות חולשות ב-SolarWinds
אפליקציית Shopify חושפת מידע אישי ופיננסי של עשרות אלפי משתמשים
שיטות לתקיפת תשתיות ענן והמלצות להתמודדות מוצלחת עמן
וושינגטון: דליפת מידע אישי של 1.6 מיליון מבקשי עבודה
השבוע בכופרה
רשות החדשנות והמחקר האנגלי (UKRI) תחת מתקפת כופרה
מינסוטה: תקרית כופרה ב-Netgain משפיעה על משרדי ממשלה מקומיים
סייבר בישראל
2020: עלייה של כ-50% בדיווחים של אזרחים וארגונים למערך הסייבר הלאומי בהשוואה לשנה הקודמת
סייבר ופרטיות - רגולציה ותקינה
וויקיפדיה מפרסמת Global Code of Conduct בעניין תכנים אסורים
NIST: הנחיות חדשות בנושא הגנה מפני האקרים מדינתיים
מעבדת הפינטק בבאר שבע מגייסת חברות ישראליות
כנסים
הציטוט השבועי
״העלייה במספר מתקפות הסייבר על ישראל דומה למה שקורה בכל העולם, אבל מדובר בפער משמעותי כשזה מגיע למספרן אל מול גודל האוכלוסייה. הנתון הזה בישראל עומד על פי 23 בהשוואה לארצות הברית.״
גיל שויד, מנכ"ל צ'ק פוינט, במסיבת העיתונאים הרבעונית שערכה החברה לרגל פרסום דוחותיה הכספיים.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
אפל מתקנת עשרות חולשות במוצריה הניתנות לניצול מרחוק
בעדכון האבטחה שפרסמה החברה למערכת ההפעלה BigSur 11.2 תוקנו, בין היתר, האפשרות להזרקת קוד בעת טעינת אתר באמצעות הדפדפן Safari 14.0.3 (מזהי חולשות CVE-2021-1788 ו-CVE-2021-1789)ֿ וגישה לפורטים מוקשחים בתחנה בעת טעינת אתר (מזהה חולשה CVE-2021-1799). טרם הוענק לחולשות ציון CVSS, אך מכיוון שניתן לנצלן מרחוק לטובת השתלטות על המערכות- הן יוגדרו ככאלה המעמידות את המערכת בסיכון גבוה.
אנו ממליצים לעדכן את המוצרים הבאים:
iOS ו-iPadOS לגרסה 14.4
לגרסה 11.2 macOS
tvOS לגרסה 14.4
watchOS לגרסה 7.3
Google מפרסמת עדכון תוכנה ל-Chrome
העדכון שפורסם עבור גרסה 88.0.4324.146 של הדפדפן נותן מענה לשש חולשות, בהן אחת קריטית (CVE-2021-21142), ארבע ברמת חומרה גבוהה ואחת ברמת חומרה בינונית. החולשות עלולות לאפשר לתוקף להריץ מרחוק קוד זדוני על דפדפנים שאינם מעודכנים.
אנו ממליצים לבעלי הדפדפן לעדכנו בהקדם לגרסתו האחרונה
חולשת SSRF נתגלתה בגרסאות שונות של מערכת QRadar
חולשת ה-Server Side Request Forgery נמצאה במוצר ה-SIEM הנפוץ של החברה (IBM QRadar), כך על פי הודעתה. החולשה (CVE-2020-4786, CVSS 4.3), שחומרתה בינונית, מאפשרת לתוקף גישה לשירותים פנימיים הנגישים לשרת המארח בלבד ולא למשתמש הקצה, וכן ביצוע שאילתות HTTP שונות מול השירותים הפנימיים, דבר המאפשר אף הוא גישה למידע שאינו נגיש למשתמש בצורה ישירה. החולשה תקפה לגרסאות המוצר הבאות:
7.3.0 - 7.3.3 Patch 5
7.4.0-7.4.1 - Patch 1
7.4.2 GA - 7.4.2 Patch 1
אנו ממליצים לחברות לשדרג את המוצר לגרסאות הבאות:
7.4.2 Patch 2
7.4.1 Patch 2
7.3.3 Patch 7
חולשה במערכות ההפעלה Linux מאפשרת שימוש בפקודת Sudo
הפקודה הידועה מותקנת במערכות מבוססות Linux/Unix רבות, ומאפשרת שימוש בשירותים שונים בהרשאות מנהל מערכת. השבוע פורסם דבר קיומה של חולשה ידועה (CVE-2021-3156, CVSS 7.8) ברמת חומרה גבוהה בפונקציית Sudo, אשר זוהתה לראשונה ביולי 2011 ומאפשרת למשתמש פשוט לבצע העלאת הרשאות לרמת מנהל מערכת. החולשה תקפה לגרסאות Sudo הבאות:
1.8.2 - 1.8.31p2
1.9.0-1.9.5p1
על מנת לבדוק אם החולשה רלוונטית לרשתותיכם, יש לבחון האם קיים בהן קובץ ברירת המחדל Sudoers, שכן הפגיעות ניתנת לניצול רק בנוכחותו.
אנו ממליצים למנהלי מערכות לקחת בחשבון ששירותים שונים בארגון, כגון מערכות הזדהות, כונני רשת, מצלמות, נתבים ועוד, מבוססים על מערכות Linux, ועל כן יש לבדוק באתר היצרן אם הציוד שברשותכם מושפע מהחולשה. במידה וכן, יש לבדוק אם קיים עדכון אבטחה רלוונטי ולהטמיעו.
התקפות ואיומים
ClearSky: קבוצת תקיפה של חיזבאללה תקפה חברות תקשורת ברחבי העולם
בדוח פורנזי מעמיק אודות שיטות התקיפה של קבוצת ה-APT המכונה Lebanese Cedar, חושפת ClearSky כי הכנופייה מתמקדת בעיקר בתעשיות התקשורת וה-IT, בספקי הוסטינג ובחברות אפליקציה, וכי ווקטור התקיפה העיקרי שלה הוא חדירה למערכות הארגון הנתקף דרך שרתי web פגיעים של Atlassian ו-Oracle. הפגיעויות בשרתים הנתקפים נובעות מכך שאלה אינם מעודכנים לגרסאות המערכת האחרונות. לאחר הפריצה הראשונית לשרת הפגיע, קבוצת התקיפה מבצעת תהליך מודיעיני נרחב, באמצעות מספר כלי תקיפה. בעוד שלרוב מקור כלי התקיפה של הכנופייה הוא Open source, התוקפים משתמשים גם בשני כלים שכתבו בעצמם: א. ווריאנט של Web shell המכונה Pillar, להתקנת נוזקות נוספות בשרתי האירגונים שנפרצו. ה-Web shell בו נעשה שימוש בתקיפות נכתב במקור על ידי קבוצת ה-APT האיראנית ITSecTeam. ב. Explosive rat - נוזקה בה נעשה שימוש לאגירת מידע רגיש מסוגים שונים. לאחר ש-ClearSky מיפתה את האינדיקטורים המצביעים על פריצה שבוצעה על ידי Lebanese Cedar, היא המשיכה וסרקה את הרשת העולמית אחר שרתים שנפרצו בפעולה של הקבוצה. הבדיקה העלתה 254 שרתים כאלה, המצויים בישראל ארה״ב, בבריטניה, במצרים, בערב הסעודית, בירדן, באיחוד האמירויות וברשות הפלסטינית.
אנו ממליצים לבעלי שרתי web של Oracle או של Atlassian לשדרגם תדיר לגרסאותיהם האחרונות.
חשד לפריצה למערכת ניהול התיקים של מערכת המשפט האמריקאית
לאחר שעלו סימנים לכך שהאקרים הצליחו לגשת למידע רגיש המאוחסן ברשת מערכת המשפט בארה״ב, לרבות תיקים משפטיים חסויים, דיווח הגוף הממלכתי כי נפתחה חקירה בנושא. מערכת ניהול התיקים משמשת לשיתוף מסמכים, עדויות והוכחות בין בתי משפט, תובעים ופרקליטים ברבי המדינה. עד כה לא נמסר אילו מסמכים דלפו על פי החשד ומי עוד מאחורי התקיפה.
ארה״ב: מרכז הפיננסים הלאומי (NFC) הותקף על ידי סין באמצעות חולשות ב-SolarWinds
הפריצה למוסד, האחראי על תחום משאבי האנוש והשכר של יותר מ-170 סוכנויות ממשלתיות ויותר מ-650 אלף עובדי מדינה, נחשפה השבוע על ידי ה-FBI. בביצוע הפריצה, אשר הביאה לדליפת מידע, חשודה קבוצת תקיפה סינית. מטה ה-FBI הוציא הודעה אישית ללקוחות מרכז הפיננסים שפרטיהם הודלפו.
אפליקציית Shopify חושפת מידע אישי ופיננסי של עשרות אלפי משתמשים
ב-21 בנובמבר אשתקד זיהה צוות המחקר של חברת vpnMentor דליפת פרטי משתמשים מהפלטפורמה, וחשף כי מקור הפרצה הוא אפליקציה צד ג׳ המכונה Topdser. בדליפה, שדווחה על ידי מגליה ל-Shopify, נחשף מסד נתונים הכולל כ-17.5 מיליון רשומות, בהן שמות מלאים וכתובות של צרכנים, מספרי מעקב של משלוחים, ארבע ספרות אחרונות של כרטיסי אשראי, אמצעי תשלום, חשבוניות ועוד.
שיטות לתקיפת תשתיות ענן והמלצות להתמודדות מוצלחת עמן
פרסום המשותף למחלקה לביטחון המולדת של ארה"ב (DHS), לסוכנות לביטחון לאומי של ארה"ב (NSA), לחברת FireEye ול-Microsoft מתמקד בתקיפות של תשתיות הענן M365, Azure ו-O365, כדוגמת אלה שבוצעו בחודשים האחרונים המהלך אירוע SolarWinds ואירועים אחרים. המסמך כולל המלצות להתגוננות מפני תקיפות מסוג זה, בהן המלצת ה-DHS לשימוש בשלושה כלים ייעודיים - Sparrow, אשר פותח על ידי ה-DHS עצמה, Hawk, שהינו כלי Open source, ו-CRT מבית CrowdStrike. כלי נוסף וחינמי המומלץ לשימוש הוא Azure AD Investigator auditing script, אותו פיתחה FireEye. עוד מידע בנושא ניתן למצוא בפרסום מטעם מערך הסייבר הלאומי.
וושינגטון: דליפת מידע אישי של 1.6 מיליון מבקשי עבודה
ב-1 בפברואר דיווחה לשכת מבקר המדינה של וושינגטון (SAO) כי היא חוקרת תקרית אבטחת מידע אשר במהלכה דלפו הפרטים. נכון לשעה זו, נראה שהדליפה התאפשרה בשל חולשת אבטחה בתוכנת (File Transfer Appliance (FTA של חברת Accellion. המידע שדלף כולל שמות מלאים, מספרי זהות (Social Security Numbers), רישיונות נהיגה, מספרי זיהוי מדיניים, חשבונות בנק ומקומות עבודה אחרונים.
השבוע בכופרה
רשות החדשנות והמחקר האנגלי (UKRI) תחת מתקפת כופרה
לפי דיווח הגוף הציבורי הבריטי האמון על פיתוח חדשנות ומחקר, המתקפה על מערכות הרשות, עמה היא מתמודדת בימים האחרונים השביתה שירותים ממוקדים של הארגון, ואולם לא זוהו פגיעה בפרטים אישיים או גניבת מידע מהמטה. עם זאת, במערכות הארגון רשומים יותר מ-13 אלף משתמשים, וייתכן שפרטים אישיים שאינם רגישים נפגעו כתוצאה מהמתקפה. במידה ויוכח כי אכן התרחשה פגיעה בפרטי אזרחים, המטה ידווח על כך באופן אינדיבידואלי לנפגעים.
מינסוטה: תקרית כופרה ב-Netgain משפיעה על משרדי ממשלה מקומיים
אירוע סייבר שחוותה ספקית ה-IT האמריקאית בסוף 2020 התברר כבעל השפעה על לקוחותיה, בהם משרדי ממשלה. כעת יוצאות הרשויות במחוז רמזי שבמינסוטה בהודעה רשמית ללקוחות המחלקה המקומית לבריאות המשפחה, לפיה ייתכן ומידע אישי אודותיהם הגיע לידי האקרים. עוד נמסר כי ככל הנראה דליפת המידע רלוונטית לאלפי לקוחות, וכוללת פרטים כגון כתובות, תאריכי לידה, תאריכי קבלת שירותים, מספרי טלפון, מספרי חשבונות, מידע ביטוחי, מידע רפואי, ובחלק מהמקרים אף מספרי זהות (Social Security Numbers).
סייבר בישראל
2020: עלייה של כ-50% בדיווחים של אזרחים וארגונים למערך הסייבר הלאומי בהשוואה לשנה הקודמת
מסקירה של ראש המכלול האופרטיבי של המערך הישראלי, פאול מוסקוביץ׳, עולה כי בשנת 2020 טיפל המערך בכ-1,400 דיווחים אודות אירועי סייבר ונתן מענה לכ-14,000 פניות, אינדיקציות ובקשות לסיוע שהגיעו מאזרחים. מתוך הדיווחים שאכן התבררו כאירוע סייבר, כ-60% עסקו בפריצה לרשתות החברתיות (5,500), 14% בניסיונות דיוג (פישינג) ו-14% בגניבת מידע. שאר הדיווחים נגעו לחולשות במערכות מחשוב (3%), בחדירות למערכות מחשוב (3%), בתוכנות זדוניות, כגון כופרה (3%), בפגיעות ברציפות תפקודית (2%) ובמעקפים של מנגנוני הזדהות (1%).
סייבר ופרטיות - רגולציה ותקינה
וויקיפדיה מפרסמת Global Code of Conduct בעניין תכנים אסורים
בסיום תהליך שארך כחצי שנה, השבוע פרסמה וויקיפדיה קוד התנהגות גלובלי חדש עבור משתמשי הפלטפורמה. היוזמה נועדה לטפל בתכנים שיש בהם משום דברי שטנה, השמצות, סטריאוטיפים, התקפות המבוססות על מאפיינים אישיים ואיומים באלימות פיזית או ב"צידוד דיגיטלי" (Digital Stalking) של אנשים פרטיים דרך עריכה של מאמרים בפלטפורמה. הקוד החדש אף אוסר על הכנסת מידע כוזב או מוטה לתוכן של מאמרים באופן מכוון. יוזמי הקוד מצויים כעת בעיצומו של תהליך גיבוש הדרכים לאכיפתו.
NIST: הנחיות חדשות בנושא הגנה מפני האקרים מדינתיים
מדינות רבות מבצעות כיום פעילות עוינת במרחב הסייבר לשם פגיעה במערכותיהן הדיגיטליות של מדינות אחרות. בין היתר, הפעולות הזדוניות עלולות להביא לפגיעה משמעותית במידע המעובד והמאוחסן במערכות של ממשלות, של גורמי תעשייה ושל גופים אקדמיים. למרות שמדובר במידע שאינו בהכרח מסווג, הוא עדיין בגדר מידע רגיש החשוף לפעילות מדינתית עוינת במרחב. הנחיות חדשות שפרסם השבוע המכון הלאומי לתקנים וטכנולוגיה של ארה״ב במסמך המכונה SP 800-172, עוסקות בהגנה על "מידע בלתי מסווג מבוקר" מסוג זה, ומציעות אוסף של כלים להתמודדות עם מאמציהם של האקרים הפועלים בחסות מדינות יריבות.
מעבדת הפינטק בבאר שבע מגייסת חברות ישראליות
מעבדת הפינטק לחדשנות (FinSec Innovation Lab), שנפתחה בבירת הנגב במסגרת יוזמה משותפת של רשות החדשנות הישראלית, מערך הסייבר הלאומי ומשרד האוצר, מזמינה כעת חברות ישראליות בתחומי הסייבר והפינטק להצטרף לפעילותה. המעבדה, שהוקמה במאי 2020 על מנת לפתח פתרונות ארגוניים בתחום הגנת הסייבר בכל הנוגע לביצוע תשלומים, כמו גם בעולם האנרגיה, מתמקדת כעת בפרויקטים של הגנת סייבר, בפלטפורמות פינטק, באבטחת מידע של טרנזקציות פיננסיות, בזהות ואימות משתמשים, באבטחה דיגיטלית ובהכללה (Inclusion) של אוכלוסיות שאינן מחוברות לעולם הדיגיטלי.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.