דו״ח סייבר שבועי
עדכון שבועי 22.04.2021
עיקרי הדברים
-
קבוצת התקיפה REvil מנסה לסחוט את Apple, מבקשת 100 מיליון דולר מספק חומרה של החברה.
-
מערך הסייבר מציג: תוכנית ״תו תקן״ לחברות אחסון אתרים.
-
הרשות להגנת הפרטיות מפרסמת המלצות בנוגע להגברת הפרטיות של מידע אישי ביישומונים להעברת תשלומים ולתשלום בבתי עסק.
-
נוזקה המתחזה לעדכון ערכת נושא של WhatsApp מופצת ברשתות.
-
אנו ממליצים לעדכן את המוצרים הבאים: פלטפורמת -WordPress; במערכת ההפעלה Junos OS של Juniper (קריטי); במוצר NSX-T של VMware; דפדפן Mozilla; 390 עדכוני אבטחה (חלקם קריטיים) במוצרי Oracle. דפדפן Google בעקבות גילוי חולשת Zero-day; עדכוני אבטחה ל-3 חולשות Zero-day במוצר של SonicWall.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-WordPress
עדכון אבטחה לחולשה קריטית במערכת ההפעלה Junos OS של Juniper
עדכון חשוב לחולשה במוצר NSX-T של VMware
עדכוני אבטחה לאפליקציות של Mozilla
390 עדכוני אבטחה (חלקם קריטיים) במוצרי Oracle
Google מפרסמת עדכוני אבטחה ל-Chrome בעקבות גילוי חולשת Zero-day
עדכוני אבטחה ל-3 חולשות Zero-day במוצר של SonicWall
ה-CISA מפרסמת אזהרה מפני ניצול חולשות במוצר Pulse Connect Secure
התקפות ואיומים
מידע של 21 מיליון משתמשים של אפליקציית ParkMobile הוצע למכירה ברשת האפלה
ענקית שרשרת אספקה הודית השאירה יותר מחצי טרה של מידע חשוף
נוזקה המתחזה לעדכון ערכת נושא של WhatsApp מופצת ברשתות
מידע של מבוטחים בחברת ביטוח הרכב Geico דולף לרשת
השבוע בכופרה
אוניברסיטת הרטפורדשייר חוותה אירוע סייבר
בנק בפלורידה הותקף בנוזקת הכופרה Ragnar Locker, מידע דלף לדארקנט
קבוצת התקיפה REvil מנסה לסחוט את Apple, מבקשת 100 מיליון דולר מספק חומרה של החברה
סייבר בישראל
מערך הסייבר מציג: תוכנית ״תו תקן״ לחברות אחסון אתרים
סייבר בעולם
שירות ביון החוץ של רוסיה תוקף רשתות של ארה"ב ובנות בריתה
סייבר ופרטיות - רגולציה ותקינה
החלטת האיחוד האירופי בעניין רמת הגנת המידע האישי בבריטניה: מגמה חיובית
הרשות להגנת הפרטיות מפרסמת המלצות בנוגע להגברת הפרטיות של מידע אישי ביישומונים להעברת תשלומים ולתשלום בבתי עסק
הפורום הכלכלי העולמי: הרגולציה בתחום הגנת הסייבר - סוגיית ליבה שעדיין מתפתחת, לציות יש משמעות שונה במדינות שונות
כנסים
הציטוט השבועי
״נראה שלהאקרים ברשת היה איש קשר בתוך בורסת מטבעות קריפטו שהתמחתה באנונימיזציה של כסף, שיעזור לנו להוציא (ואולי אפילו להלבין) את תשלומי הכופר העתידיים שלנו״
חוקר של אתר CyberNews בראיון עבודה אצל שותף בקבוצות התקיפה Ragnar Locker ו-REvil
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
העדכון רלוונטי לגרסאות 4.7-5.7 של התוכנה, עליה מבוססים אתרי אינטרנט רבים. החולשות שלהן נותן העדכון מענה עלולות לאפשר לתוקף להשתלט על אתר פגיע, בהן חולשת XXE המשפיעה על ספריית ה-PHP 8 שבתוכנה וחולשה ב-REST API החושפת מידע רגיש באתרים. טרם הוקצו לחולשות מספרי CVE.
אנו ממליצים לעדכן בהקדם את גרסת ה-WordPress שברשותכם לזו אחרונה, 5.7.1.
עדכון אבטחה לחולשה קריטית במערכת ההפעלה Junos OS של Juniper
החברה פרסמה התראת אבטחה קריטית הרלוונטית לכמה ממוצריה המבוססים על מערכת ההפעלה, זאת בעקבות גילויה של חולשה (9.8 CVE-2010-0254, CVSS) העלולה לאפשר לתוקף לשלוח פאקטות ספציפיות לפורט 4789 בציוד שאינו מעודכן, ובכך להריץ קוד מרוחק או לבצע מתקפת מניעת שירות.
אנו ממליצים למשתמשי המוצרים הרלוונטיים לעדכן את מערכותיהם לגרסה האחרונה שפורסמה עבור מערכת ההפעלה.
עדכון חשוב לחולשה במוצר NSX-T של VMware
החולשה (CVE-2021-21981, CVSSv3 7.5) רלוונטית רק לגרסה 3.1.1 של המוצר, המספק שירותי Data Center בענן לפיתוח אפליקציות. החולשה, שדורגה ברמת חומרה ״חשובה״, מאפשרת לתוקף להעלות הרשאות למשתמש שהוא אורח מקומי ועלולה לאפשר את ניצול ההרשאות הגבוהות לפגיעה במערכות.
אנו ממליצים למשתמשי גרסה 3.1.1 של המוצר להתקין במערכותיהם את העדכון שפורסם.
עדכוני אבטחה לאפליקציות של Mozilla
החברה פרסמה עדכונים למוצרים Firefox ESR ,Firefox ו-Thunder, אשר כל אחד מהם פותר 3-5 חולשות בדרגת חומרה גבוהה ומספר חולשות בדרגת חומרה בינונית או נמוכה.
אנו ממליצים לבעלי המוצרים לעדכנם לגרסתם האחרונה, על אף שלא פורט על ידי החברה אילו מתקפות ניצול החולשות עלול למנף.
390 עדכוני אבטחה (חלקם קריטיים) במוצרי Oracle
בעדכון האבטחה החודשי שפרסמה החברה ניתן מענה ל-390 חולשות חדשות. העדכונים לחודש אפריל רלוונטיים למוצרים רבים, בהם MySQL, Oracle Database Server, Java SE, VirtualBox ואחרים.
אנו ממליצים לכלל המשתמשים במוצרי Oracle לעדכנם לגרסאותיהם האחרונות, בהתאם לרשימה זו.
Google מפרסמת עדכוני אבטחה ל-Chrome בעקבות גילוי חולשת Zero-day
גרסה 90.0.4430.85 של הדפדפן למערכות ההפעלה Windows, macOS ו-Linux נותנת מענה ל-7 חולשות, אחת מהן (CVE-2021-21224, CVSS 7.7) היא חולשת Zero-day המנוצלת על ידי תוקפים ברחבי הרשת להרצת קוד זדוני מרחוק במערכות פגיעות.
אנו ממליצים למשתמשי הדפדפן להיכנס להגדרות הדפדפן ולוודא כי המוצר מעודכן לגרסתו האחרונה.
עדכוני אבטחה ל-3 חולשות Zero-day ב-SonicWall
העדכונים רלוונטיים למוצר ה-Email Security ונותנים מענה לחולשות הבאות:
CVE-2021-20021, CVSS 9.8
CVE-2021-20022, CVSS 7.2
CVE-2021-20023, CVSS N/A
ניצול חולשות אלה עלול לאפשר יצירת חשבון מנהלן והעלאת וקריאת קבצים זדוניים.
אנו ממליצים לכלל המשתמשים במוצר לעדכנו לגרסתו האחרונה.
ה-CISA מפרסמת אזהרה מפני ניצול חולשות במוצר Pulse Connect Secure
אזהרת הסוכנות האמריקאית לאבטחת סייבר ותשתיות מגיעה לאחר שזיהתה כי קבוצות תקיפה מנצלות חולשות הקיימות בגרסאות ישנות של המוצר. הסוכנות קוראת לגופים ממשלתיים ופרטיים להישמר מפני המתקפות, העלולות לגרום לפגיעה משמעותית בתשתיות, וממליצה להשתמש בכלי Pulse Connect Secure Integrity Tool ולוודא כי המוצר מעודכן לגרסתו האחרונה.
התקפות ואיומים
מידע של 21 מיליון משתמשים של אפליקציית ParkMobile הוצע למכירה ברשת האפלה
הדליפה שחוותה האפליקציה, המשמשת למציאת חניות פנויות באטלנטה ובוושינגטון ולתשלום עבורן, כוללת גם מידע על אישים מוכרים, בהם דונלד טראמפ, הילרי קלינטון ומומחה הסייבר בריאן קרבס. בהודעה שפרסמה החברה למשתמשיה נמסר כי הצליחה לזהות את הפגיעה בזמן ולבלום את התקיפה לפני שנגרם נזק גדול. עוד נמסר כי לא הודלפו מספרי כרטיסי אשראי של משתמשי האפליקציה. מנגד, חוקר סייבר מהמגזין Gemini טוען כי מסד הנתונים שנגנב בפריצה הוצע למכירה במספר פורומים של האקרים בדארקנט בעבור 125,000 דולר, והוא כולל כתובות מייל, מספרי טלפון, מספרי רישוי של רכבים וסיסמאות מגובבות. בתוך כך, החברה המותקפת לא ביצעה כל ניסיון לעדכן את משתמשיה על דליפת המידע, למרות שהדבר חושף אותם לניסיונות פישינג והנדסה חברתית.
ענקית שרשרת אספקה הודית השאירה יותר מחצי טרה של מידע חשוף
על לקוחותיה של חברת Bizongo, המספקת פתרונות אריזה ושילוח למוסדות ברחבי הודו, נמנות רשתות גדולות רבות, בהן Burger King ,Zara ,Amazon ועוד. חוקרי אבטחת מידע מ-Website Planet גילו כי בשל הגדרות שגויות ב-S3 Bucket כ-643 ג׳יגה בייט של מידע נחשפו לעולם, בהם 2,532,610 קבצים שהכילו שמות מלאים, מספרי טלפון, כתובות מגורים לחיוב, כתובות למשלוח, מספרי מעקב ופרטי תשלום של לקוחות. החוקרים דיווחו ל-Bizongo על הממצאים אך החברה לא התייחסה לדיווח. עם זאת, כעבור כמה ימים ביצעו החוקרים בדיקה נוספת וגילו כי הדליפה נסגרה.
נוזקה המתחזה לעדכון ערכת נושא של WhatsApp מופצת ברשתות
הנוזקה מופצת באמצעות לינק בקבוצות WhatsApp ומוסוות כעדכון רשמי של החברה, המבטיח שינוי של צבע האפליקציה לוורוד והוספת פיצ׳רים אחרים. בפועל, הנוזקה עלולה לסכן את המכשיר ולגנוב פרטים אישיים של המשתמש, כגון תמונות, הודעות SMS, אנשי קשר ועוד. מהחברה נמסר כי לינקים מסוג זה עשויים להישלח גם באופנים נוספים, לרבות אימייל, וכי על המשתמשים לגלות ערנות ולהיות מודעים למקורם של הקישורים עליהם הם לוחצים. החברה מעודדת דיווח או חסימה של משתמשים המפיצים לינקים זדוניים, וממליצה להשתמש בכלים שהאפליקציה מספקת להתמודדות עם נוזקות.
מידע של מבוטחים בחברת ביטוח הרכב Geico דולף לרשת
חברת הביטוח השנייה בגודלה בארה״ב, אשר מחזיקה בכ-17 מיליון פוליסות ביטוח ומבטחת יותר מ-28 מיליון כלי רכב, הודיעה כי במשך חודש ימים גורמים עוינים השתמשו באתר המכירות שלה והצליחו להשיג מספרי רישיונות נהיגה של מבוטחים. על מנת לעקוף את מערכת המכירות של האתר ולהשיג גישה לנתונים, התוקפים עשו שימוש במידע שמצאו אודות המבוטחים במקומות אחרים. מ-Geico לא נמסר איזה מידע אפשר את המעקף, אך היא סוברת כי המידע שנגנב מנוצל על ידי התוקפים לביצוע מעשי מרמה ולהגשת בקשות לקבלת דמי אבטלה בשם בעלי הפוליסות שמספר הרישיון שלהם נגנב. החברה מבקשת ממבוטחים המקבלים מיילים מלשכת התעסוקה מבלי שהגישו כל בקשה, לדווח על כך ללשכה, ובמקביל לדווח לרשויות החוק על הונאה. בנוסף לכך, החברה מציעה ללקוחות שנפגעו מהדליפה שימוש חינמי בשירות הגנת הזהות שלה למשך שנה.
השבוע בכופרה
אוניברסיטת הרטפורדשייר חוותה אירוע סייבר
ב-14 באפריל התפרסמה באתר האוניברסיטה הבריטית, המונה כ-28 אלף עובדים ותלמידים, מודעה המצהירה על פגיעת מערכות המחשוב של המוסד כתוצאה ממתקפת סייבר. בעקבות כך בוטלו הלימודים שהיו אמורים להתקיים למחרת והאוניברסיטה פתחה בחקירת האירוע. נכון לשעה זו טרם נמסר מידע מפורט אודות המתקפה, אך ישנן השערות לפיהן מדובר במתקפת כופרה. ב-19 באפריל עדכנה האוניברסיטה כי מרבית מערכותיה שבו לפעולה וכי מתאפשרת למידה אונליין. המוסד אף פרסם קישור מיוחד דרכו ניתן לעקוב אחר מצב המערכות.
בנק בפלורידה הותקף בנוזקת הכופרה Ragnar Locker, מידע דלף לדארקנט
על פי ציוץ של התוקפים בטוויטר, עלה בידיהם לפרוץ את מערך ההגנה של ה-First National Bank Northwest Florida ולגנוב מידע רגיש משרתיו. לטענתם, לבנק היה די זמן לגלות את התקיפה וליצור עמם קשר על מנת לנהל משא ומתן בניסיון להגן על המידע של לקוחותיו שנגנב, אך הבנק בחר להתעלם מהודעות ההאקרים. בתוך כך, התוקפים העלו לרשת הוכחות לכך שאכן יש בידיהם מידע, בתקווה שהדבר יפעיל על הבנק לחץ להיענות לפניותיהם, והזהירו שאם לא יצרו עמם קשר - הם יפרסמו את כל המידע לציבור הרחב. לטענתם, בין המידע שהשיגו מצויים כתובות מגורים, מספרי ביטוח לאומי, מספרי טלפון אישיים, תאריכי לידה, חוזים עם לקוחות, תיקיות רגישות ומידע בנקאי של לקוחות רבים. עד ל פרסום ידיעה זו לא התקבלו מצד הבנק תגובה לציוץ בטוויטר או התייחסות רשמית לתקיפה.
קבוצת התקיפה REvil מנסה לסחוט את Apple, מבקשת 100 מיליון דולר מספק חומרה שלה
רגע לפני אירוע האביב השנתי המסורתי שלה קיבלה Apple פנייה מקבוצת התקיפה REvil, בה דורשת הכנופייה תשלום דמי כופר עד ל-1 במאי בעבור אי-פרסום תרשימי בנייה של מוצרי החברה' כגון Apple Watch, Macbook Air, ו-Macbook Pro. לטענת ההאקרים, התרשימים נגנבו מחברת Quanta, המייצרת מוצרים עבור חברות רבות, בהן גם Apple. פנייה זו מגיעה לאחר שקבוצת התקיפה פנתה ל-Quanta בדרישה להעברת 50 מיליון דולר לידיה עד ל-27 באפריל, אך לא קיבלה מענה. כעת דורשת הקבוצה סכום של 100 מיליון דולר עבור הסרת התרשימים מאתרה.
סייבר בישראל
מערך הסייבר מציג: תוכנית ״תו תקן״ לחברות אחסון אתרים
לאחר שבחודש מאי אשתקד נפגעו אלפי אתרים במתקפה אנטי-ישראלית, מערך הסייבר בדק ומצא כי התקיפה בוצעה דרך חברת אחסון אחת, דרכה הצליחו התוקפים להשחית אלפי אתרים שאוחסנו בשרתיה. על מנת להימנע מתקיפות דומות יזם המערך את התכנית, המייצרת סטנדרט אחיד לחברות אחסון האתרים. במסגרת התכנית יוענק לחברות אחסון תו חוסן בעל הכרה לאומית ברמת פלטינה, זהב או כסף, בהתאם לביקורת אבטחה שתוגדר על ידי המערך ותדרוש מהספקים להוכיח עמידה בבקרות שיבוצעו בתחומים שונים, כגון הגנה על עמדות קצה ושרתים, הגנה היקפית, ניטור ובקרה, פיתוח מאובטח ועוד. ממיטל אריק, ראש אגף הכוונה ואסדרה במערך הסייבר, נמסר כי ״התכנית החדשה של המערך מספקת מענה לצורך הגובר באספקת שירותים מוגנים בסייבר, לצד יצירת מוטיבציה כלכלית עבור הספקים״. לדבריה של אריק, מטרת התכנית כפולה: להעלות את רמת ההגנה של הספקים ולהעניק ללקוחות יכולת בחירה ביניהם.
סייבר בעולם
שירות ביון החוץ של רוסיה תוקף רשתות של ארה"ב ובעלי בריתה
בהודעה משותפת שפרסמו ב-15 באפריל הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) וה-FBI נמסר כי גורמי איום השייכים ל-SVR הרוסי, הידועים גם בכינויים APT29, Cozy Bear ו-The Dukes, מנצלים בתדירות גבוהה חולשות ידועות וסורקים אחר מערכות פגיעות בניסיון לקבל גישה מעמיקה יותר למשאבים, ובעיקר לרשתות של מערכות ממשלה וביטחון של המדינות שעל הכוונת. אירועי הפגיעה בעדכוני ה- SolarWinds Orion וטירגוט מכוני מחקר של נגיף הקורונה באמצעות נוזקת ה-WellMess הם דוגמה לחלק מפעילות הקבוצה בעבר. נכון להיום, ה-SVR ממשיך לנצל פגיעויות במוצרי Fortinet, Zimbra, Citrix, VMware ו-Pulse Secure.
אנו ממליצים לעבור על מסמך זה, המכיל פרטים אודות החולשות הרלוונטיות ודרכים למיגור הסיכונים הגלומים בהן.
סייבר ופרטיות - רגולציה ותקינה
החלטת האיחוד האירופי בעניין רמת הגנת המידע האישי בבריטניה: מגמה חיובית
בהחלטה שהתפרסמה ב-14 באפריל על ידי מועצת הגנת המידע האישי של האיחוד האירופי (EDPB) נקבע שישנם "...אזורים מרכזיים של התאמה חזקה בין משטרי הגנת המידע באיחוד האירופי ובבריטניה". (את נוסח ההחלטה המלא ניתן למצוא כאן). התחומים בהם נמצא תיאום בין שני הגופים כוללים, למשל, את העילות החוקיות לעיבוד מידע אישי, את הגבלת מטרתו של עיבוד מידע אישי ואת אבטחת המידע וסודיותו. החלטה זו של ה-EDPB אינה מחייבת, אך היא בעלת השפעה מובהקת על קבלת ההחלטה הסופית מטעם נציבות האיחוד לגבי התאמתה של בריטניה לכללים שקובע ה-GDPR בסעיף 45(3). המדינה, שנמצאת בתהליך פרישה מהאיחוד, אימצה בעבר את ה-GDPR בחוק הגנת המידע הלאומי שלה באמצעות ה-Data Protection Act 2018. החלטה סופית בנושא צפויה בסיום תהליך ה"ברקזיט".
הרשות להגנת הפרטיות מפרסמת המלצות בנוגע להגברת הפרטיות של מידע אישי ביישומונים להעברת תשלומים ולתשלום בבתי עסק
ב-22 באפריל פרסמה הרשות מסמך הבוחן את סוגיית השמירה על פרטיותו של מידע אישי במסגרת השימוש ביישומונים מסוג זה, שכמה מהם פועלים כיום בישראל. המסמך מתייחס להיבטים שונים של שמירת פרטיות המידע האישי המועבר באמצעות האפליקציות, וממליץ על דרכים לשיפורה. עמדת הרשות בנוגע למצב הקיים היא "...כי יש לשים דגש מיוחד על הליך קבלת ההסכמה [מצד העסקים המספקים את שירותי ההעברה] לרישום ולשימוש באמצעי תשלום מתקדמים, על כל היבטיו, וזאת בכדי לאפשר למשתמשים לשלוט על פרטיותם ועל מידע הנוגע אליהם באופן מיטבי, ועל מנת להבטיח כי השימוש במידע ייעשה בידיעתם ובהתאם להסכמתם המלאה."
הפורום הכלכלי העולמי: הרגולציה בתחום הגנת הסייבר - סוגיית ליבה שעדיין מתפתחת, לציות יש משמעות שונה במדינות שונות
כך על פי דוח חדש שפרסם השבוע ה-World Economic Forum בנושא הגנת סייבר. לפי הסיווג שנקבע ב-United Nations Conference on Trade and Development, אותו מאמץ הפורום, רגולציית סייבר מחולקת לארבע קטגוריות: הגנת מידע אישי/פרטיות, חקיקה בנוגע לסחר אלקטרוני, חקיקה המתייחסת לפשע מקוון ורגולציה להגנת הצרכן במרחב הסייבר. במרבית מדינות העולם קיימת רגולציה בארבעת התחומים. המתקדמים שביניהם ממשיכים ליישם דרישות דיווח על אירועי סייבר שהן משמעותיות וחזקות, לדרוש יכולות איתור משופרות מארגונים, ולחייב את אלה בכללי אבטחת מידע וסילוק ומניעת פשיעת סייבר. בתוך כך, הפורום הכלכלי העולמי מזמין את הציבור להשתתף בסקר בנושא זה ובנושאים נוספים.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רז גלילי, רחל נועה ביניאשוילי וגיא פינקלשטיין.