WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 20.04.2022

עיקרי הדברים

  1. המלחמה בין רוסיה לאוקראינה: קבוצת ההאקרים הרוסית Sandworm ניסתה לשבש את אספקת החשמל במדינה כדי לתמוך במבצע הצבאי. 

  2. הצפון קוריאנים ממשיכים לשדוד: גנבו 620 מיליון דולר מחברת משחקי המחשב Axie Infinity בפלטפורמת Ethereum.

  3. דוח של הסוכנות להגנת סייבר של האיחוד האירופי: דרושים שינויי חקיקה בחוק הפלילי על מנת להגן על אזרחים שמדווחים על חולשות. 

  4. חברת אבטחת המידע Mandiant: זמן הגילוי הממוצע של תוקף ברשת ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021. וקטור ההדבקה העיקרי נותר ניצול חולשות.

  5. אנו ממליצים לעדכן את המוצרים הבאים: Google Chrome (חולשת Zero-day); המוצר 7Zip (חולשת Zero-day); מוצרי Oracle (קריטי); המוצר Cloud Director של VMware (קריטי); מוצרי Juniper Networks (קריטי); התוסף SiteGround Security של WordPress (קריטי); מוצרי Siemens (גבוה); המוצר Zoho Remote Access (בינוני); עדכון קושחה של יצרנית המחשבים Lenovo.

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכוני אבטחה ל-Cloud Director של VMware נותנים מענה לחולשה קריטית
עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-32 חולשות ברמת חומרה בינונית עד קריטית
עדכוני אבטחה למוצרי Siemens נותנים מענה לחולשות ברמות חומרה שונות
חולשת אבטחה מסוג Zero-day התגלתה בתוכנת דחיסת הקבצים 7Zip; טרם פורסם עדכון אבטחה
עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day; עדכון למערכת ההפעלה Chrome OS מתקן באגים וחולשות
עדכון אבטחה נותן מענה לחולשה בתוכנת Zoho Remote Access Plus העלולה לאפשר איסוף נתונים והעלאת הרשאות
עדכון אבטחה חודשי נרחב של Oracle נותן מענה לחולשות קריטיות
עדכון אבטחה לתוסף WordPress שכיח נותן מענה לחולשה ברמת חומרה גבוהה
עדכון קושחה של יצרנית המחשבים Lenovo נותן מענה לחולשות ב-UEFI

התקפות ואיומים

האקרים השיגו אסימוני גישה שהונפקו לחברות צד ג׳ Heroku ו-Travis CI והצליחו לשים ידיהם על נתונים פרטיים של GitHub ולקוחותיה
חברת אבטחת המידע Mandiant: זמן הגילוי הממוצע של תוקף ברשת ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021
שדרוג לא רשמי של Windows 11 מתקין נוזקות לגניבת מידע ומטבעות קריפטוגרפיים

השבוע בכופרה

קבוצת התקיפה Quantum שבה לפעילות ומדווחת על קורבנות חדשים

המלחמה במזרח אירופה

אוקראינה: קבוצת ההאקרים הרוסית Sandworm ניסתה לשבש את אספקת החשמל במדינה לתמיכה במבצע הצבאי

סייבר בעולם

קבוצות האקרים צפון קוריאניות אחראיות לגניבת 620 מיליון דולר מחברת משחקי המחשב Axie Infinity בפלטפורמת Ethereum
עדכונים נוספים של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״
שנוי במחלוקת: משרד המשפטים האמריקאי אישר ל-FBI לגשת למאות שרתי Exchange פרטיים שאינם מעודכנים ולהסיר מהם תוכנות זדוניות

סייבר ופרטיות - רגולציה ותקינה

הסוכנות להגנת סייבר של האיחוד האירופאי: דו"ח חדש על על מדיניות החשיפה של חולשות במדינות האיחוד
יו"ר נציבות הסחר הפדרלי של ארה"ב: פרטיות המידע האישי
עדכון מסגרת ה-NIST לפיתוח כוח אדם בתחום הסייבר בארה״ב: העמקת הדרישות לידע וכישורים מקצועיים

כנסים

 
 

הציטוט השבועי

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכוני אבטחה ל-Cloud Director של VMware נותנים מענה לחולשה קריטית 

העדכונים שהפיצה החברה, המספקת תוכנות ויישומים לווירטואליזציה, סוגרים חולשה (CVE-2022-22966, CVSS 9.1) העלולה לאפשר לתוקף בעל הרשאות גבוהות לגשת רשתית למוצר ולהריץ קוד מרחוק על השרת המארח. החברה פרסמה פעולות מיטיגציה להתגוננות מפני החולשה וקוראת להטמיע את את עדכוני האבטחה הבאים:

  • גרסה 10.3.x- עדכון לגרסה 10.3.3

  • גרסה 10.2.x - עדכון לגרסה 10.2.2.3.

  • גרסה 10.1.x - עדכון לגרסה 10.1.4.1.        

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסתם האחרונה.    

                               

עדכוני אבטחה למוצרי Juniper Networks נותנים מענה ל-32 חולשות ברמת חומרה בינונית עד קריטית

העדכונים שפרסמה השבוע יצרנית רכיבי התקשורת סוגרים חולשות הקיימות במוצרים מזה מספר שנים, 5 מהן קריטיות (CVE-2021-23017, CVSS 9.4; CVE-2021-31597, CVSS 9.4; CVE-2021-25289, CVSS 9.8; CVE-2021-34552, CVSS 9.8; CVE-2021-26691, CVSS 9.8). החולשות עלולות לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS), לקבל הרשאות גבוהות במערכת או שליטה מלאה בה ולגשת למידע רגיש. העדכונים רלוונטיים למוצרים הבאים:

  • Juniper Secure Analytics - גרסאות הקודמות ל-7.3.4 או 7.4.3.

  • Contrail Networking - גרסאות הקודמות ל-21.3.

  • Junos OS - כל הפלטפורמות.

  • Juniper Identity Management Service - JIMS - גרסאות הקודמות ל-1.4.0.

  • Paragon Active Assurance Formerly Netrounds - Active Assurance - גרסאות 3.1,3.2 ו-3.3.

  • Contrail Service Orchestration 6.0.0 - גרסאות On-prem.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.

עדכוני אבטחה למוצרי Siemens נותנים מענה לחולשות ברמות חומרה שונות

תאגיד הענק פרסם השבוע 11 עדכוני אבטחה אשר סוגרים במוצריו חולשות ברמות חומרה שונות, אחת החמורות שבהן היא מסוג הסלמת הרשאות (CVE-2020-8670, CVSS 7.5).

צוות קונפידס ממליץ לבעלי המוצרים הרלוונטיים לעדכנם בהתאם להוראות היצרן, למזער את חשיפתן של מערכות בקרה מרכזיות לאינטרנט, ולמקם מערכות בקרה ומכשירי קצה מאחורי שכבות הגנה, כגון Firewall, ולבודדם מרשתות עסקיות (הכוללות מספר ממשקי עבודה חיצוניים). במידה ונדרשת כניסה מרוחקת למקום העבודה (למשל לצורך עבודה מהבית), יש לוודא הימצאות תחת הרשת הפרטית של החברה.

חולשת אבטחה מסוג Zero-day התגלתה בתוכנת דחיסת הקבצים 7Zip; טרם פורסם עדכון אבטחה

החולשה (​​CVE-2022-29072, CVSS 6.1) שאותרה בתוכנת הקוד הפתוח המיועדת למערכות מבוססות Windows מאפשרת לתוקף לבצע העלאת הרשאות. כאשר קובץ בעל סיומת 7z המכיל קוד זדוני נגרר אל חלון העזרה של התוכנה Help > Contents, מתאפשרת קונפיגורציה שגויה של קובץ התוכנה החיוני 7z.dll עקב Heap-overflow - מצב בו נוצר שכתוב של הזיכרון בחלק היחסי שהוקצה לתוכנה. הקובץ הזדוני בעל הסיומת 7z פותח תת-תהליך בתוכנה, משכתב את הזרקת הקוד הזדוני בזיכרון תוך שימוש בהרשאות הקובץ 7z.dll וקורא לשורת הפקודה תחת הרשאות מנהל NT AUTHORITY/SYSTEM. נכון לזמן כתיבת שורות אלה, מומלץ להתגונן מפני החולשה על ידי מחיקת הקובץ 7zip.chm או הגבלת הרשאות התוכנה להרשאות הרצה וקריאה בלבד, ללא הרשאות כתיבה. 

עדכון אבטחה ל-Google Chrome נותן מענה לחולשת Zero-day; עדכון למערכת ההפעלה Chrome OS מתקן באגים וחולשות 

גרסה 100.0.4896.127 של הדפדפן סוגרת חולשת Type Confusion ברמת חומרה גבוהה ( CVE-2022-1364, CVSS 6.3) הנמצאת במנגנון ה-V8 של JavaScript. עדכון זה מתווסף לעדכון האבטחה הקודם של Google  (ראו ״הסייבר״, 31.3.22) שהיה רלוונטי לחולשה מאותו סוג, והוא עדכון האבטחה השלישי של Google הסוגר חולשות Zero-day מאז תחילת 2022 (ראו ״הסייבר״, 17.2.22). כמו כן, Google עדכנה את מערכת ההפעלה Chrome OS לגרסה 100.0.4896.133. עדכון זה, שאמור להתפרסם בימים הקרובים, מתקן באגים ובעיות אבטחה.

צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות בהקדם האפשרי.

עדכון אבטחה נותן מענה לחולשה בתוכנת Zoho Remote Access Plus העלולה לאפשר איסוף נתונים והעלאת הרשאות

חברת ManageEngine פרסמה השבוע עדכון לתוכנה שנועדה לשימוש ארגוני ולצרכי התחברות מרחוק, זאת בעקבות בעקבות חולשה (CVE-2022-26653, CVSS 3.4) שנמצאה בה. העדכון סוגר פרצת אבטחה העלולה לאפשר לתוקף ללא הרשאות (Guest User) לצפות דרך התוכנה במידע רגיש אודות הסביבה הארגונית, אשר עשוי לשמש אותו לאיסוף נתונים פנימיים של הארגון ולביצוע העלאת הרשאות. לדברי ManageEngine, עלה בידה לסגור את הפרצה כך שכעת רק משתמשים מאומתים בעלי הרשאות גבוהות (Admin) יכולים להתחבר אל המערכת ולצפות בה במידע רגיש.

צוות קונפידס ממליץ למשתמשי גרסאות המוצר הקודמות לגרסה 10.1.2137.15 לעדכן את התוכנה בהקדם.

עדכון אבטחה חודשי נרחב של Oracle נותן מענה לחולשות קריטיות

עדכוני חודש אפריל של החברה סוגרים כ-520 חולשות במוצריה, בהן החולשות (CVE-2022-23305, CVSS 9.8; CVE-2022-22965, CVSS 9.8) הקריטיות Apache Log4j ו-Spring Framework במוצר MySQL וחולשה  (CVE-2021-40438, CVSS 9.0) קריטית במוצר Oracle VM VirualBox. 

צוות קונפידס ממליץ לכלל משתמשי מערכות החברה לפעול על פי הוראות היצרן ליישום העדכונים

עדכון אבטחה לתוסף WordPress שכיח נותן מענה לחולשה ברמת חומרה גבוהה

העדכון סוגר חולשה קריטית (CVE-2022-0992, CVSS 9.8) שפורסמה בתחילת חודש מרץ ומצויה במנגנון האימות הדו-שלבי (2FA) של התוסף SiteGround Security בפלטפורמת WordPress, המוטמע בכמעט חצי מיליון אתרים ברחבי העולם. כמו כן, פורסם עדכון לחולשה (CVE-2022-0993, CVSS 8.1) המשלימה את זו הקודמת ומאפשרת ביצוע מעקף של הגדרות האימות הכפול של ממשק הניהול על ידי מתקפת Brute-force (ריבוי ניסיונות התחברות) בניסיון להגריל קודי גיבוי באורך 8 ספרות למשתמש הניהול בפלטפורמה.

צוות קונפידס ממליץ למשתמשי התוסף לעדכנו לגרסתו האחרונה, ​1.2.6.

עדכון קושחה של יצרנית המחשבים Lenovo נותן מענה לחולשות ב-UEFI 

החולשות (CVE-2021-3972, CVE-2021-3970, CVE-2021-3971), שטרם קיבלו ציון CVSS, אותרו על ידי צוות של חברת אבטחת המידע ESET ומצויות ביותר ממאה דגמים של היצרנית. ניצולן של החולשות מחייב גישה פיזית למחשב הנתקף, והן עלולות לאפשר לתוקף להשתמש בהגדרה לקויה במערכת ההפעלה של לוח האם לקבלת אחיזה בתחנה. לאחר ניצול החולשה אין תועלת בפרמוט המחשב (איפוס חזק) או בהחלפת הכונן הקשיח, מכיוון שהנוזקה מנצלת חולשה ברמת מערכת ההפעלה של לוח האם (UEFI) ולא של המחשב. 

צוות קונפידס ממליץ לבעלי המוצרים הרלוונטיים להטמיע את העדכון בהקדם.

התקפות ואיומים

האקרים השיגו אסימוני גישה שהונפקו לחברות צד ג׳ Heroku ו-Travis CI והצליחו לשים ידיהם על נתונים פרטיים של GitHub ולקוחותיה

תקן האינטרנט OAuth מאפשר לשירות מורשה לגשת למשאבים המצויים בשרת אחר בשם בעל המשאבים. ב-12 באפריל פתחו החברות GitHub ,Travis CI ו-Heroku בחקירה, לאחר שנתגלה שתוקפים ניצלו אסימוני גישה גנובים של OAuth שהונפקו כחלק מאינטגרציה ביניהן, על מנת לגשת ולהוריד נתונים ו-Repositories פרטיים השייכים לארגונים ולמשתמשים רבים, בהם npm, השייך ל-GitHub. האפליקציות Heroku ו-Travis CI משמשות מפתחים לבנייה, בחינה, שמירה ושינוי פרויקטי פיתוח, תוך יצירת אינטגרציה אפשרית עם GitHub לטובת שיתוף מידע עם הפלטפורמה. בשעה זו, GitHub סבורה שהתוקף לא השיג את אסימוני הגישה באמצעות חולשה הקיימת בפלטפורמה, משום שהם אינם מאוחסנים על ידי GitHub בפורמט שתוקף יכול לנצל, אך ייתכן שהתוקף ישתמש בתכנים הפרטיים שהורדו ממאגרי הקורבנות אליהם הייתה לאסימון OAuth גישה כדי לגשת לתשתית אחרת. GitHub פרסמה הודעות ללקוחותיה שהושפעו מגניבת אסימון ה-OAuth וממשיכה לעדכן באתרה אודות ממצאי החקירה. בתוך כך, Travis CI ו-Heroku ביטלו והנפיקו מחדש את מפתחות האישור והאסימונים של משתמשים שביצעו אינטגרציה עם GitHub, תוך המלצה לנתק את חשבונותיהם מהאינטגרציה. עם זאת, החברות הדגישו שאמנם לתוקף עשויות להיות הרשאות קריאה וכתיבה ל-Repositories ב-Github, אך לא גישה לחשבונות עצמם. חברת Heroku אף פרסמה הנחיות למשתמשים שמבקשים לבדוק אם נגנבו מהם Repositories. רשימת היישומים הקשורים לאסימוני OAuth מצויה באתר GitHub.

חברת אבטחת המידע Mandiant: זמן הגילוי הממוצע של תוקף ברשת ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021

הדוח מציג ממצאים ומסקנות אודות השינויים וההתפתחויות באיומי הסייבר, בהם הנתונים הבאים:

  1. זמן השהייה הממוצע של תוקף בסביבת הקורבן עד לגילויו ירד מ-24 יום בשנת 2020 ל-21 יום במהלך 2021.

  2. השיפור בצורת ההתגוננות של ארגונים והעלייה במספר מתקפות הכופרה הם שגרמו לירידה בזמן השהייה כאמור.

  3. רוב הפריצות שאירעו ב-2021 באזורי EMEA ו-APAC זוהו על ידי צד ג׳, לעומת נתונים הפוכים ב-2020, למעט ביחס ליבשת אמריקה, שם לא נצפה שינוי במדד זה, ומרבית הפריצות זוהו ב-2021 על ידי גורם פנימי בארגון.

  4. וקטור ההדבקה העיקרי נותר, מזה השנה השנייה ברציפות, ניצול חולשות.

  5. נצפתה קפיצה משמעותית בשימוש במתקפות שרשרת אספקה וירידה בוקטור העושה שימוש במתקפות פישינג, מה שככל הנראה מעיד על מאמצים רבים שעושים ארגונים להעלאת המודעות לנושא.

​לדברי Mandiant, בשל התגברות בפעולות הריגול של סין, בעיקר נגד ארצות הברית ומדינות אסיאתיות, החברה ממשיכה לחתור להרחבת הידע הרלוונטי על ידי איסוף וניתוח מידע באופן רציף ומעקב אחר קבוצות תקיפה. עוד נמסר כי החברה מחויבת לעזור לארגונים להתגונן מפני איומי הסייבר, וכי היא מספקת ותספק עצות שונות להפחתת הסיכונים.


שדרוג לא רשמי של Windows 11 מתקין נוזקות לגניבת מידע ומטבעות קריפטוגרפיים

האקרים יצאו בקמפיין חדש שמטרתו לפתות משתמשים להתקין את השדרוג המזויף, הכולל תוכנות זדוניות. הקמפיין מתבסס על הרעלת תוצאות החיפוש והצגת אתר המתחזה לזה של מיקרוסופט, לרבות הלוגו הרשמי של החברה וסמלים וכפתור "הורד עכשיו" המחקים את אלה של האתר המקורי. מדוח שפורסם על ידי חוקרי חברת CloudSEK עולה שההאקרים משתמשים בנוזקה חדשה אותה הם מכנים Inno Stealer, שמסוגלת לאסוף קובצי עוגיות מדפדפנים רבים, בהם Chrome ,Brave ו-Edge, אמצעי הזדהות המאוחסנים בדפדפנים, נתונים אודות ארנקי מטבעות קריפטוגרפיים ונתונים ממערכת הקבצים.

צוות קונפידס ממליץ להימנע מהורדת קובצי ISO ממקורות שאינם ידועים ולבצע עדכוני מערכת רק דרך המקור הרשמי או לוח הבקרה המקומי במחשב.

השבוע בכופרה

קבוצת התקיפה Quantum שבה לפעילות ומדווחת על קורבנות חדשים

השבוע שבה לפעילות הקבוצה שלדברי מומחה המודיעין עידו כהן פעילותה נפגעה בחודש מרץ עקב המלחמה בין רוסיה לאוקראינה, כפי שעולה משיחות שפורסמו מתוך צ׳ט התמיכה שלה. לטענת הקבוצה, על קורבנותיה האחרונים נמנים חברת התעופה האוסטרלית Jetstar,ֿ  חברת ההיי-טק HoneyComb, משווקת המזון האמריקאית Broadleaf Game  וחברות נוספות.

המלחמה במזרח אירופה

אוקראינה: קבוצת ההאקרים הרוסית Sandworm ניסתה לשבש את אספקת החשמל במדינה לתמיכה במבצע הצבאי

ב-5 באפריל אישרו צוות החירום האוקראיני לטיפול באירועי מחשב (CERT-UA) ויועצים מטעם חברת האבטחה הסלובקית ESET כי Sandworm, המשתייכת ל-Unit 74455 של המנהל הראשי של המטה הכללי הרוסי (GRU, סוכנות הביון המרכזית של רוסיה), ניסתה לתקוף תחנות חשמל באוקראינה תוך שימוש ב-Industroyer 2, וריאנט של הנוזקה Industroyer, באמצעותה נתקפה רשת החשמל במדינה ב-2015 וב-2016. שתי תקיפות אלה הן תקיפות הסייבר המאומתות היחידות עד כה שגרמו להפסקה באספקת חשמל. בעוד שעל פי ה-CERT-UA המתקפה הנוכחית זוהתה בזמן ונבלמה לפני שגרמה שיבושים, ולדברי ויקטור זורה, בכיר בסוכנות האוקראינית להגנת סייבר (SSSCIP), ״ניסיון תקיפת הסייבר לא פגע באספקת החשמל והמתקפה זוהתה וטופלה״, על פי דיווח של ה-MIT Technology Review, מסמך פנימי של ה-CERT-UA חושף כי אספקת החשמל נותקה באופן זמני ב-9 תחנות. על פי חוקרי ה-CERT-UA, לא ברור כיצד חדרו ההאקרים למערכת החשמל, דבר שאירע לכל היאוחר בחודש פברואר. לדבריהם, התוקפים החדירו למערכת את נוזקת ה-Industroyer 2 ימים ספורים לפני שהושבתה חברת אנרגיה אזורית באוקראינה. לטענת ה-ESET וזורה, ביכולתה של Industroyer 2 לשלוח פקודות ישירות לציוד חשמלי ולשלוט בזרם החשמל, תוך פגיעה בממסרי ההגנה האמונים על ניתוק החשמל במקרה של זיהוי פעילות חשודה. הדמיון בין יכולות נוזקה זו לאלה של הנוזקה המקורית של Sandworm איששו את השערת החוקרים לפיה מדובר באותה קבוצת תקיפה. זאת ועוד, נוסף ל-Industroyer 2 הוחדרו למערכות הנתקפות תוכנות זדוניות מסוג Wiper המיועדות להשמדת מידע, לרבות הנוזקה CaddyWiper, שנמצאה בשבועות האחרונים במערכותיהם של בנקים אוקראינים. ואולם גם במקרים אלה טוען ה-CERT-UA שההתקנות הזדוניות התגלו בטרם נגרם נזק.

סייבר בעולם

 
 

קבוצות האקרים צפון קוריאניות אחראיות לגניבת 620 מיליון דולר מחברת משחקי המחשב Axie Infinity בפלטפורמת Ethereum 

בהמשך לפריצה שדווחה ב-29 במרץ (ראו ״הסייבר״, 31.3.22), ממשלת ארצות הברית פרסמה כי קבוצות ההאקרים הידועות Lazarus ו-APT38 הן האחראיות לגניבת הכספים הקריפטוגרפיים תוך ניצול משחק הווידאו Axie Infinity באמצעות פירצה ב-Ronin Bridge, הפלטפורמה דרכה מועברים כספי ה-Ethereum לחברת המשחקים. התוקפים, אשר שהו בשרתי Ronin כשישה ימים, השתמשו במפתחות הצפנה פרוצים, שבאמצעותם השיגו גישה לחמישה מתוך תשעה שלבי אישור הנדרשים ברשת, כמות המספיקה לאימות עסקה. עוד הצליחו הפורצים לגשת לחברת משחקי הווידאו Axie דרך אחד משרתי Ronin באמצעות דלת אחורית שמצאו, RPC - Remote Procedure Call.

עדכונים נוספים של ה-CISA ל״קטלוג החולשות המנוצלות הידועות״  

בהמשך לדיווחה של הסוכנות האמריקאית להגנת סייבר ותשתיות בתחילת החודש על הוספת 4 חולשות לקטלוג החולשות הידועות המנוצלות שהיא מתחזקת (ראו ״הסייבר״, 07.4.22), ב-15 באפריל התעדכן המאגר ב-9 חולשות נוספות, לאחר זיהוי ודאי של שימוש בהן על ידי קבוצות תקיפה. החולשות שנוספו הן חולשה (CVE-2022-22960) ב-VMware, חולשה (CVE-2022-1364) ב-Google Chromium V8, חולשה (CVE-2019-3929, CVSS 9.8) במוצרי Crestron, חולשה (CVE-2019-16057, CVSS 9.8) בנתבי D-Link, חולשה (CVE-2018-7841, CVSS 9.8) ב-Schneider Electric, חולשה (CVE-2016-4523, CVSS 7.5) ב-Trihedral, חולשה (CVE-2014-0780) ב-InduSoft Web Studio, חולשה (CVE-2010-5330, CVSS 9.8) ב-Ubiquiti AirOS וחולשה (CVE-2007-3010) ב-Alcatel OmniPCX Enterprise. זאת ועוד, ב-19 באפריל נוספו לקטלוג 3 חולשות חדשות: חולשה (CVE-2018-6882, CVSS 6.1) ב-Zimbra, חולשה (CVE-2019-3568, CVSS 9.8) ב-Meta Platforms וחולשה (CVE-2022-22718, CVSS 7.8) במוצרי מיקרוסופט.

שנוי במחלוקת: משרד המשפטים האמריקאי אישר ל-FBI לגשת למאות שרתי Exchange פרטיים שאינם מעודכנים ולהסיר מהם תוכנות זדוניות

ב-9 באפריל הוציא בית המשפט בוושינגטון צו אשר נתן ללשכת החקירות הפדרלית את הסמכות לגשת לשרתים המצוים בבעלות פרטית ללא ידיעת או הסכמת בעליהם ולמחוק מהם תוכנות. הצו מגיע על רקע מאמץ ממשלתי להתמודד עם ההתקפות המתמשכות על רשתות ארגוניות באמצעות ניצול חולשות בשרתי Microsoft Exchange שאינם מעודכנים. ואולם, נראה שהצו מורה על פעולה המהווה חדירה לפרטיות ומעורר שאלות סביב הסוגיה עד כמה רחוק מותר לממשלה ללכת בכדי להגן על המדינה מפני תקיפות סייבר. לדברי עוזר התובע הכללי ג'ון דמרס, הפעולה מדגימה את מחויבות משרד המשפטים לשימוש בכל הכלים המשפטיים העומדים לרשותו לצרכי הגנה מיטבית. בתוך כך, המשרד מפציר במנהלי רשתות לעדכן את השרתים שתחת אחריותם, למניעת חשיפתם לאיומים מצד תוקפים. 

סייבר ופרטיות - רגולציה ותקינה

 

דוח של ה-ENISA: דרושים שינויים בדין הפלילי על מנת להגן על אזרחים שמדווחים על חולשות 

ב-13 באפריל פרסמה הסוכנות לאבטחת סייבר של האיחוד האירופי  מיפוי של מדיניותן של 27 המדינות החברות באיחוד בעניין חשיפת חולשות, כל זאת במסגרת מסמך ה-"Coordinated Vulnerability Disclosure (CVD) Policies in the EU", המרכז מידע רגולטורי ופרקטי, למען שיתוף פעולה בין מדינות וארגונים להתמודדות עם איומים במרחב. לדברי ה-ENISA בהסבר המלווה מסמך המיפוי, "חשיפת חולשות הפכה למוקד תשומת הלב של מומחי הגנת סייבר העוסקים בחיזוק החוסן […] של האיחוד האירופי. המקור לדאגה [בנושא זה] הוא איומי הסייבר המסתמנים מאחורי נקודות תורפה, כפי שהוכח נוכח השפעת חולשת ה-Log4Shell". עוד פרסמה הסוכנות המלצות לרגולטורים לקידום הסוגיה, לרבות הגדרות בנושא "האקרים מוסריים" והמלצות להגברת התיאום בין המדינות החברות באיחוד בנוגע ליישום מדיניות ה-CVD. להלן מצב יישום ה-CVD בכל מדינה:

(מקור: Coordinated Vulnerability Disclosure (CVD) Policies in the EU, אפריל 2022, עמ' 14)

יו"ר נציבות הסחר הפדרלי של ארה"ב מצהירה על שינוי פרדיגמה בארגון להגברת ההגנה על פרטיות המידע האישי של צרכנים

בנאומה הראשון מאז מינויה כיושבת ראש ה-Federal Trade Commission ביוני 2021, בכנס של הארגון הבינלאומי של אנשי מקצוע בתחום הפרטיות (IAPP) הדגישה לינה חאן את השינויים שמתבצעים כעת ב-FTC להגברת פיקוח הארגון על אבטחת המידע ועל ההגנה על מידע פרטי בקרב הגופים עליהם הוא מפקח. חאן אמרה כי ה-FTC "שוקל ליזום קביעת כללים לטיפול במעקב מסחרי ובנהלי אבטחת מידע רופפים", וכי עליו "לבחון מחדש את המסגרות שבהן הוא משתמש כיום, כדי להעריך התנהגות בלתי-חוקית". ה-FTC הוא ארגון פדרלי שבעבר לא עסק מפורשות בנושאי הגנת פרטיות ואבטחת מידע, אך כיום עניינים אלה מצויים על סדר היום שלו כסוגיות ליבה בנושא ההגנה על צרכנים בארצות הברית, שהיא משימתו העיקרית. על כן, חאן מכנה את השינויים המתוכננים כ"שינוי פרדיגמה" שישען, בין היתר, על מגמות הקונגרס האמריקאי להגברת הגנת הפרטיות של מידע אישי.

עדכון מסגרת ה-NIST לפיתוח כוח אדם בתחום הסייבר בארה״ב: העמקת הדרישות לידע וכישורים מקצועיים

ב-19 באפריל המכון הלאומי לתקנים וטכנולוגיה פרסם להערות הציבור גרסה מעודכנת של ה-Workforce Framework for Cybersecurity, שפורסמה לראשונה באוגוסט 2017 ועודכנה בנובמבר 2020. הגרסה הבאה תתאים את דרישות הידע המקצועי והכישורים נוכח אתגרי הגנת הסייבר בתקופה הנוכחית, ותבטל דרישות שאינן רלוונטיות עוד. דוגמה לדרישות מעודכנות שכוללת המסגרת היא העמקת וחידוד הידע בתחומי הגנת הפרטיות של מידע אישי, ההצפנות והטיפול בראיות דיגיטליות. בשנים שחלפו מאז פרסומה הראשון של המסגרת היא אומצה על ידי ארגונים רבים בארצות הברית במגזר הממשלתי והפרטי, במערכות הכשרה של כוח אדם, ואף במדינות אחרות, בהן אוסטרליה ויפן. הציבור מוזמן להגיש את הערותיו על המסמך עד ל-3.6.2022. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.