עדכון שבועי 20.04.2022

עדכוני אבטחה ל-Cloud Director של VMware נותנים מענה לחולשה קריטית 

העדכונים שהפיצה החברה, המספקת תוכנות ויישומים לווירטואליזציה, סוגרים חולשה (CVE-2022-22966, CVSS 9.1) העלולה לאפשר לתוקף בעל הרשאות גבוהות לגשת רשתית למוצר ולהריץ קוד מרחוק על השרת המארח. החברה פרסמה פעולות מיטיגציה להתגוננות מפני החולשה וקוראת להטמיע את את עדכוני האבטחה הבאים:

• גרסה 10.3.x- עדכון לגרסה 10.3.3. 

• גרסה 10.2.x - עדכון לגרסה 10.2.2.3.

• גרסה 10.1.x - עדכון לגרסה 10.1.4.1.        

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה.    

                               

עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-32 חולשות ברמת חומרה בינונית עד קריטית

העדכונים שפרסמה השבוע יצרנית רכיבי התקשורת סוגרים חולשות הקיימות במוצרים מזה מספר שנים, 5 מהן קריטיות (CVE-2021-23017, CVSS 9.4; CVE-2021-31597, CVSS 9.4; CVE-2021-25289, CVSS 9.8; CVE-2021-34552, CVSS 9.8; CVE-2021-26691, CVSS 9.8). החולשות עלולות לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS), לקבל הרשאות גבוהות במערכת או שליטה מלאה בה ולגשת למידע רגיש. העדכונים רלוונטיים למוצרים הבאים:

• Juniper Secure Analytics - גרסאות הקודמות ל-7.3.4 או 7.4.3.

• Contrail Networking - גרסאות הקודמות ל-21.3.

• Junos OS - כל הפלטפורמות.

• Juniper Identity Management Service - JIMS - גרסאות הקודמות ל-1.4.0.

• Paragon Active Assurance Formerly Netrounds - Active Assurance - גרסאות 3.1,3.2 ו-3.3.

• Contrail Service Orchestration 6.0.0 - גרסאות On-prem.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.

​

עדכוני אבטחה למוצרי Siemens נותנים מענה לחולשות ברמות חומרה שונות

תאגיד הענק פרסם השבוע 11 עדכוני אבטחה אשר סוגרים במוצריו חולשות ברמות חומרה שונות, אחת החמורות שבהן היא מסוג הסלמת הרשאות (CVE-2020-8670, CVSS 7.5).

צוות קונפידס ממליץ לבעלי המוצרים הרלוונטיים לעדכנם בהתאם להוראות היצרן, למזער את חשיפתן של מערכות בקרה מרכזיות לאינטרנט, ולמקם מערכות בקרה ומכשירי קצה מאחורי שכבות הגנה, כגון Firewall, ולבודדם מרשתות עסקיות (הכוללות מספר ממשקי עבודה חיצוניים). במידה ונדרשת כניסה מרוחקת למקום העבודה (למשל לצורך עבודה מהבית), יש לוודא הימצאות תחת הרשת הפרטית של החברה.

​

חולשת אבטחה מסוג Zero-day התגלתה בתוכנת דחיסת הקבצים 7Zip; טרם פורסם עדכון אבטחה

החולשה (​​CVE-2022-29072, CVSS 6.1) שאותרה בתוכנת הקוד הפתוח המיועדת למערכות מבוססות Windows מאפשרת לתוקף לבצע העלאת הרשאות. כאשר קובץ בעל סיומת 7z המכיל קוד זדוני נגרר אל חלון העזרה של התוכנה Help > Contents, מתאפשרת קונפיגורציה שגויה של קובץ התוכנה החיוני 7z.dll עקב Heap-overflow - מצב בו נוצר שכתוב של הזיכרון בחלק היחסי שהוקצה לתוכנה. הקובץ הזדוני בעל הסיומת 7z פותח תת-תהליך בתוכנה, משכתב את הזרקת הקוד הזדוני בזיכרון תוך שימוש בהרשאות הקובץ 7z.dll וקורא לשורת הפקודה תחת הרשאות מנהל NT AUTHORITY/SYSTEM. נכון לזמן כתיבת שורות אלה, מומלץ להתגונן מפני החולשה על ידי מחיקת הקובץ 7zip.chm או הגבלת הרשאות התוכנה להרשאות הרצה וקריאה בלבד, ללא הרשאות כתיבה. 

​

עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day; עדכון למערכת ההפעלה Chrome OS מתקן באגים וחולשות 

גרסה 100.0.4896.127 של הדפדפן סוגרת חולשת Type Confusion ברמת חומרה גבוהה ( CVE-2022-1364, CVSS 6.3) הנמצאת במנגנון ה-V8 של JavaScript. עדכון זה מתווסף לעדכון האבטחה הקודם של Google  (ראו ״הסייבר״, 31.3.22) שהיה רלוונטי לחולשה מאותו סוג, והוא עדכון האבטחה השלישי של Google הסוגר חולשות Zero-day מאז תחילת 2022 (ראו ״הסייבר״, 17.2.22). כמו כן, Google עדכנה את מערכת ההפעלה Chrome OS לגרסה 100.0.4896.133. עדכון זה, שאמור להתפרסם בימים הקרובים, מתקן באגים ובעיות אבטחה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.

​

עדכון אבטחה נותן מענה לחולשה בתוכנת Zoho Remote Access Plus העלולה לאפשר איסוף נתונים והעלאת הרשאות

חברת ManageEngine פרסמה השבוע עדכון לתוכנה שנועדה לשימוש ארגוני ולצרכי התחברות מרחוק, זאת בעקבות בעקבות חולשה (CVE-2022-26653, CVSS 3.4) שנמצאה בה. העדכון סוגר פרצת אבטחה העלולה לאפשר לתוקף ללא הרשאות (Guest User) לצפות דרך התוכנה במידע רגיש אודות הסביבה הארגונית, אשר עשוי לשמש אותו לאיסוף נתונים פנימיים של הארגון ולביצוע העלאת הרשאות. לדברי ManageEngine, עלה בידה לסגור את הפרצה כך שכעת רק משתמשים מאומתים בעלי הרשאות גבוהות (Admin) יכולים להתחבר אל המערכת ולצפות בה במידע רגיש.

צוות קונפידס ממליץ למשתמשי גרסאות המוצר הקודמות לגרסה 10.1.2137.15 לעדכן את התוכנה בהקדם.

​

עדכון אבטחה חודשי נרחב של Oracle נותן מענה לחולשות קריטיות

עדכוני חודש אפריל של החברה סוגרים כ-520 חולשות במוצריה, בהן החולשות (CVE-2022-23305, CVSS 9.8; CVE-2022-22965, CVSS 9.8) הקריטיות Apache Log4j ו-Spring Framework במוצר MySQL וחולשה  (CVE-2021-40438, CVSS 9.0) קריטית במוצר Oracle VM VirualBox. 

צוות קונפידס ממליץ לכלל משתמשי מערכות החברה לפעול על פי הוראות היצרן ליישום העדכונים. 

​

עדכון אבטחה לתוסף WordPress שכיח נותן מענה לחולשה ברמת חומרה גבוהה

העדכון סוגר חולשה קריטית (CVE-2022-0992, CVSS 9.8) שפורסמה בתחילת חודש מרץ ומצויה במנגנון האימות הדו-שלבי (2FA) של התוסף SiteGround Security בפלטפורמת WordPress, המוטמע בכמעט חצי מיליון אתרים ברחבי העולם. כמו כן, פורסם עדכון לחולשה (CVE-2022-0993, CVSS 8.1) המשלימה את זו הקודמת ומאפשרת ביצוע מעקף של הגדרות האימות הכפול של ממשק הניהול על ידי מתקפת Brute-force (ריבוי ניסיונות התחברות) בניסיון להגריל קודי גיבוי באורך 8 ספרות למשתמש הניהול בפלטפורמה.

צוות קונפידס ממליץ למשתמשי התוסף לעדכנו לגרסתו האחרונה, ​1.2.6.

​

עדכון קושחה של יצרנית המחשבים Lenovo נותן מענה לחולשות ב-UEFI 

החולשות (CVE-2021-3972, CVE-2021-3970, CVE-2021-3971), שטרם קיבלו ציון CVSS, אותרו על ידי צוות של חברת אבטחת המידע ESET ומצויות ביותר ממאה דגמים של היצרנית. ניצולן של החולשות מחייב גישה פיזית למחשב הנתקף, והן עלולות לאפשר לתוקף להשתמש בהגדרה לקויה במערכת ההפעלה של לוח האם לקבלת אחיזה בתחנה. לאחר ניצול החולשה אין תועלת בפרמוט המחשב (איפוס חזק) או בהחלפת הכונן הקשיח, מכיוון שהנוזקה מנצלת חולשה ברמת מערכת ההפעלה של לוח האם (UEFI) ולא של המחשב. 

צוות קונפידס ממליץ לבעלי המוצרים הרלוונטיים להטמיע את העדכון בהקדם.

האקרים השיגו אסימוני גישה שהונפקו לחברות צד ג׳ Heroku ו-Travis CI והצליחו לשים ידיהם על נתונים פרטיים של GitHub ולקוחותיה

תקן האינטרנט OAuth מאפשר לשירות מורשה לגשת למשאבים המצויים בשרת אחר בשם בעל המשאבים. ב-12 באפריל פתחו החברות GitHub ,Travis CI ו-Heroku בחקירה, לאחר שנתגלה שתוקפים ניצלו אסימוני גישה גנובים של OAuth שהונפקו כחלק מאינטגרציה ביניהן, על מנת לגשת ולהוריד נתונים ו-Repositories פרטיים השייכים לארגונים ולמשתמשים רבים, בהם npm, השייך ל-GitHub. האפליקציות Heroku ו-Travis CI משמשות מפתחים לבנייה, בחינה, שמירה ושינוי פרויקטי פיתוח, תוך יצירת אינטגרציה אפשרית עם GitHub לטובת שיתוף מידע עם הפלטפורמה. בשעה זו, GitHub סבורה שהתוקף לא השיג את אסימוני הגישה באמצעות חולשה הקיימת בפלטפורמה, משום שהם אינם מאוחסנים על ידי GitHub בפורמט שתוקף יכול לנצל, אך ייתכן שהתוקף ישתמש בתכנים הפרטיים שהורדו ממאגרי הקורבנות אליהם הייתה לאסימון OAuth גישה כדי לגשת לתשתית אחרת. GitHub פרסמה הודעות ללקוחותיה שהושפעו מגניבת אסימון ה-OAuth וממשיכה לעדכן באתרה אודות ממצאי החקירה. בתוך כך, Travis CI ו-Heroku ביטלו והנפיקו מחדש את מפתחות האישור והאסימונים של משתמשים שביצעו אינטגרציה עם GitHub, תוך המלצה לנתק את חשבונותיהם מהאינטגרציה. עם זאת, החברות הדגישו שאמנם לתוקף עשויות להיות הרשאות קריאה וכתיבה ל-Repositories ב-Github, אך לא גישה לחשבונות עצמם. חברת Heroku אף פרסמה הנחיות למשתמשים שמבקשים לבדוק אם נגנבו מהם Repositories. רשימת היישומים הקשורים לאסימוני OAuth מצויה באתר GitHub.

​

חברת אבטחת המידע Mandiant: זמן הגילוי הממוצע של תוקף ברשת ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021

הדוח מציג ממצאים ומסקנות אודות השינויים וההתפתחויות באיומי הסייבר, בהם הנתונים הבאים:

1. זמן השהייה הממוצע של תוקף בסביבת הקורבן עד לגילויו ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021.

2. השיפור בצורת ההתגוננות של ארגונים והעלייה במספר מתקפות הכופרה הם שגרמו לירידה בזמן השהייה כאמור.

3. רוב הפריצות שאירעו ב-2021 באזורי EMEA ו-APAC זוהו על ידי צד ג׳, לעומת נתונים הפוכים ב-2020, למעט ביחס ליבשת אמריקה, שם לא נצפה שינוי במדד זה, ומרבית הפריצות זוהו ב-2021 על ידי גורם פנימי בארגון.

4. וקטור ההדבקה העיקרי נותר, מזה השנה השנייה ברציפות, ניצול חולשות.

5. נצפתה קפיצה משמעותית בשימוש במתקפות שרשרת אספקה וירידה בוקטור העושה שימוש במתקפות פישינג, מה שככל הנראה מעיד על מאמצים רבים שעושים ארגונים להעלאת המודעות לנושא.

​לדברי Mandiant, בשל התגברות בפעולות הריגול של סין, בעיקר נגד ארצות הברית ומדינות אסיאתיות, החברה ממשיכה לחתור להרחבת הידע הרלוונטי על ידי איסוף וניתוח מידע באופן רציף ומעקב אחר קבוצות תקיפה. עוד נמסר כי החברה מחויבת לעזור לארגונים להתגונן מפני איומי הסייבר, וכי היא מספקת ותספק עצות שונות להפחתת הסיכונים.

שדרוג לא רשמי של Windows 11 מתקין נוזקות לגניבת מידע ומטבעות קריפטוגרפיים

האקרים יצאו בקמפיין חדש שמטרתו לפתות משתמשים להתקין את השדרוג המזויף, הכולל תוכנות זדוניות. הקמפיין מתבסס על הרעלת תוצאות החיפוש והצגת אתר המתחזה לזה של מיקרוסופט, לרבות הלוגו הרשמי של החברה וסמלים וכפתור "הורד עכשיו" המחקים את אלה של האתר המקורי. מדוח שפורסם על ידי חוקרי חברת CloudSEK עולה שההאקרים משתמשים בנוזקה חדשה אותה הם מכנים Inno Stealer, שמסוגלת לאסוף קובצי עוגיות מדפדפנים רבים, בהם Chrome ,Brave ו-Edge, אמצעי הזדהות המאוחסנים בדפדפנים, נתונים אודות ארנקי מטבעות קריפטוגרפיים ונתונים ממערכת הקבצים.

צוות קונפידס ממליץ להימנע מהורדת קובצי ISO ממקורות שאינם ידועים ולבצע עדכוני מערכת רק דרך המקור הרשמי או לוח הבקרה המקומי במחשב.

קבוצת התקיפה Quantum שבה לפעילות ומדווחת על קורבנות חדשים

השבוע שבה לפעילות הקבוצה שלדברי מומחה המודיעין עידו כהן פעילותה נפגעה בחודש מרץ עקב המלחמה בין רוסיה לאוקראינה, כפי שעולה משיחות שפורסמו מתוך צ׳ט התמיכה שלה. לטענת הקבוצה, על קורבנותיה האחרונים נמנים חברת התעופה האוסטרלית Jetstar,ֿ  חברת ההיי-טק HoneyComb, משווקת המזון האמריקאית Broadleaf Game  וחברות נוספות.

סייבר בעולם

קבוצות האקרים צפון קוריאניות אחראיות לגניבת 620 מיליון דולר מחברת משחקי המחשב Axie Infinity בפלטפורמת Ethereum 

בהמשך לפריצה שדווחה ב-29 במרץ (ראו ״הסייבר״, 31.3.22), ממשלת ארצות הברית פרסמה כי קבוצות ההאקרים הידועות Lazarus ו-APT38 הן האחראיות לגניבת הכספים הקריפטוגרפיים תוך ניצול משחק הווידאו Axie Infinity באמצעות פירצה ב-Ronin Bridge, הפלטפורמה דרכה מועברים כספי ה-Ethereum לחברת המשחקים. התוקפים, אשר שהו בשרתי Ronin כשישה ימים, השתמשו במפתחות הצפנה פרוצים, שבאמצעותם השיגו גישה לחמישה מתוך תשעה שלבי אישור הנדרשים ברשת, כמות המספיקה לאימות עסקה. עוד הצליחו הפורצים לגשת לחברת משחקי הווידאו Axie דרך אחד משרתי Ronin באמצעות דלת אחורית שמצאו, RPC - Remote Procedure Call.

​

עדכונים נוספים של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״  

בהמשך לדיווחה של הסוכנות האמריקאית להגנת סייבר ותשתיות בתחילת החודש על הוספת 4 חולשות לקטלוג החולשות הידועות המנוצלות שהיא מתחזקת (ראו ״הסייבר״, 07.4.22), ב-15 באפריל התעדכן המאגר ב-9 חולשות נוספות, לאחר זיהוי ודאי של שימוש בהן על ידי קבוצות תקיפה. החולשות שנוספו הן חולשה (CVE-2022-22960) ב-VMware, חולשה (CVE-2022-1364) ב-Google Chromium V8, חולשה (CVE-2019-3929, CVSS 9.8) במוצרי Crestron, חולשה (CVE-2019-16057, CVSS 9.8) בנתבי D-Link, חולשה (CVE-2018-7841, CVSS 9.8) ב-Schneider Electric, חולשה (CVE-2016-4523, CVSS 7.5) ב-Trihedral, חולשה (CVE-2014-0780) ב-InduSoft Web Studio, חולשה (CVE-2010-5330, CVSS 9.8) ב-Ubiquiti AirOS וחולשה (CVE-2007-3010) ב-Alcatel OmniPCX Enterprise. זאת ועוד, ב-19 באפריל נוספו לקטלוג 3 חולשות חדשות: חולשה (CVE-2018-6882, CVSS 6.1) ב-Zimbra, חולשה (CVE-2019-3568, CVSS 9.8) ב-Meta Platforms וחולשה (CVE-2022-22718, CVSS 7.8) במוצרי מיקרוסופט.

​

שנוי במחלוקת: משרד המשפטים האמריקאי אישר ל-FBI לגשת למאות שרתי Exchange פרטיים שאינם מעודכנים ולהסיר מהם תוכנות זדוניות

ב-9 באפריל הוציא בית המשפט בוושינגטון צו אשר נתן ללשכת החקירות הפדרלית את הסמכות לגשת לשרתים המצוים בבעלות פרטית ללא ידיעת או הסכמת בעליהם ולמחוק מהם תוכנות. הצו מגיע על רקע מאמץ ממשלתי להתמודד עם ההתקפות המתמשכות על רשתות ארגוניות באמצעות ניצול חולשות בשרתי Microsoft Exchange שאינם מעודכנים. ואולם, נראה שהצו מורה על פעולה המהווה חדירה לפרטיות ומעורר שאלות סביב הסוגיה עד כמה רחוק מותר לממשלה ללכת בכדי להגן על המדינה מפני תקיפות סייבר. לדברי עוזר התובע הכללי ג'ון דמרס, הפעולה מדגימה את מחויבות משרד המשפטים לשימוש בכל הכלים המשפטיים העומדים לרשותו לצרכי הגנה מיטבית. בתוך כך, המשרד מפציר במנהלי רשתות לעדכן את השרתים שתחת אחריותם, למניעת חשיפתם לאיומים מצד תוקפים. 

דוח של ה-ENISA: דרושים שינויים בדין הפלילי על מנת להגן על אזרחים שמדווחים על חולשות 

ב-13 באפריל פרסמה הסוכנות לאבטחת סייבר של האיחוד האירופי  מיפוי של מדיניותן של 27 המדינות החברות באיחוד בעניין חשיפת חולשות, כל זאת במסגרת מסמך ה-"Coordinated Vulnerability Disclosure (CVD) Policies in the EU", המרכז מידע רגולטורי ופרקטי, למען שיתוף פעולה בין מדינות וארגונים להתמודדות עם איומים במרחב. לדברי ה-ENISA בהסבר המלווה מסמך המיפוי, "חשיפת חולשות הפכה למוקד תשומת הלב של מומחי הגנת סייבר העוסקים בחיזוק החוסן […] של האיחוד האירופי. המקור לדאגה [בנושא זה] הוא איומי הסייבר המסתמנים מאחורי נקודות תורפה, כפי שהוכח נוכח השפעת חולשת ה-Log4Shell". עוד פרסמה הסוכנות המלצות לרגולטורים לקידום הסוגיה, לרבות הגדרות בנושא "האקרים מוסריים" והמלצות להגברת התיאום בין המדינות החברות באיחוד בנוגע ליישום מדיניות ה-CVD. להלן מצב יישום ה-CVD בכל מדינה:

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

(מקור: Coordinated Vulnerability Disclosure (CVD) Policies in the EU, אפריל 2022, עמ' 14)

​

יו"ר נציבות הסחר הפדרלי של ארה"ב מצהירה על שינוי פרדיגמה בארגון להגברת ההגנה על פרטיות המידע האישי של צרכנים

בנאומה הראשון מאז מינויה כיושבת ראש ה-Federal Trade Commission ביוני 2021, בכנס של הארגון הבינלאומי של אנשי מקצוע בתחום הפרטיות (IAPP) הדגישה לינה חאן את השינויים שמתבצעים כעת ב-FTC להגברת פיקוח הארגון על אבטחת המידע ועל ההגנה על מידע פרטי בקרב הגופים עליהם הוא מפקח. חאן אמרה כי ה-FTC "שוקל ליזום קביעת כללים לטיפול במעקב מסחרי ובנהלי אבטחת מידע רופפים", וכי עליו "לבחון מחדש את המסגרות שבהן הוא משתמש כיום, כדי להעריך התנהגות בלתי-חוקית". ה-FTC הוא ארגון פדרלי שבעבר לא עסק מפורשות בנושאי הגנת פרטיות ואבטחת מידע, אך כיום עניינים אלה מצויים על סדר היום שלו כסוגיות ליבה בנושא ההגנה על צרכנים בארצות הברית, שהיא משימתו העיקרית. על כן, חאן מכנה את השינויים המתוכננים כ"שינוי פרדיגמה" שישען, בין היתר, על מגמות הקונגרס האמריקאי להגברת הגנת הפרטיות של מידע אישי.

​

עדכון מסגרת ה-NIST לפיתוח כוח אדם בתחום הסייבר בארה״ב: העמקת הדרישות לידע וכישורים מקצועיים

ב-19 באפריל המכון הלאומי לתקנים וטכנולוגיה פרסם להערות הציבור גרסה מעודכנת של ה-Workforce Framework for Cybersecurity, שפורסמה לראשונה באוגוסט 2017 ועודכנה בנובמבר 2020. הגרסה הבאה תתאים את דרישות הידע המקצועי והכישורים נוכח אתגרי הגנת הסייבר בתקופה הנוכחית, ותבטל דרישות שאינן רלוונטיות עוד. דוגמה לדרישות מעודכנות שכוללת המסגרת היא העמקת וחידוד הידע בתחומי הגנת הפרטיות של מידע אישי, ההצפנות והטיפול בראיות דיגיטליות. בשנים שחלפו מאז פרסומה הראשון של המסגרת היא אומצה על ידי ארגונים רבים בארצות הברית במגזר הממשלתי והפרטי, במערכות הכשרה של כוח אדם, ואף במדינות אחרות, בהן אוסטרליה ויפן. הציבור מוזמן להגיש את הערותיו על המסמך עד ל-3.6.2022.