עדכון שבועי 23.06.2021

עדכוני אבטחה למערכת ניהול הרשת של Siemens נותנים מענה ל-15 חולשות, חלקן ברמת חומרה גבוהה 

מערכת SINEC היא מערכת הדורשת מעמד מרכזי במערך התקשורת הארגוני, ולכן היא בעלת גישה לנתוני התחברות, למפתחות קריפטוגרפיים ולנתונים סודיים אחרים הנדרשים לניהול המערכת הארגונית. אי לכך, המערכת מהווה נקודת כניסה קריטית לתוקפים. דוח שפרסם כעת צוות המחקר של חברת הסייבר Claroty מרחיב על 15 חולשות שנמצאו במוצר ב-2021, ואשר ניצולן עלול לאפשר לתוקף לבצע, בין היתר, מתקפות מניעת שירות (DDoS), גניבת פרטי הזדהות והעלאת הרשאות, ובניצול משותף של כמה מהן אף להריץ קוד מרחוק (RCE). אחת החולשות החמורות שנסגרו בעדכון היא חולשה (CVE-2021-33723, CVSS 8.8) העלולה לאפשר לתוקף לבצע מתקפת העלאת הרשאות, ובשילוב עם חולשה אחרת (CVE-2021-33722, CVSS 7.2), העלולה לאפשר מתקפת נדידת נתיבים, תיתכן מתקפת RCE. חולשה מסוכנת נוספת (CVE-2021-33729, CVSS 8.8) עלולה לאפשר מתקפת SQL injection. במקביל לעדכונים שפרסמה Siemens, ישנן דרכים נוספות לעקיפת החולשות ללא ביצוע עדכון.

צוות קונפידס ממליץ לארגונים המשתמשים במערכת SINEC לבצע את העדכון בסביבת ניסוי, ולאחר מכן להחיל אותו על הארגון. בארגונים בהם הטמעת העדכון אינה מתאפשרת, יש לעקוב אחר הוראות החברה לפתרון הפגיעות בדרכים אחרות.

​

עדכון אבטחה לדפדפן Safari של Apple נותן מענה לחולשה ברמת חומרה גבוהה המנוצלת מזה 5 שנים 

חוקרי Project Zero מבית Google מצאו כי חולשה (CVE-2022-22620, CVSS 8.8) בת 5 שנים בדפדפן חזרה להיות מנוצלת. ניצול החולשה מתבסס על פגם בקוד המאפשר שימוש בזיכרון שמוקצב לדפדפן לשם הזרקת קוד זדוני (RCE), כל זאת באמצעות הנגשת תוכן אינטרנטי בעל מבנה שעוצב במיוחד לניצול רכיב WebKit המצוי בדפדפן. החולשה, שתוקנה עוד ב-2013, נוצלה מחדש, ככל הנראה, החל מ-2016, אך הפעם בנתיב שונה, לאחר שנתיב הניצול הקודם נסגר. ב-10 בפברואר 2022 פרסמה Apple עדכון אבטחה שנתן לחולשה מענה, בציינה כי היא דווחה על ידי חוקר אנונימי וייתכן שנוצלה באופן פעיל.

צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסתו האחרונה בהקדם האפשרי.

​

עדכון אבטחה ל-Splunk Enterprise נותן מענה לחולשה קריטית

החולשה (CVE-2022-32158, CVSS 9.0), שהתגלתה ב-Splunk Enterprise Deployment Servers, עלולה לאפשר הרצת קוד זדוני. מקור החולשה בשירות ה-Splunk Universal Forwarders, המשמש להעברת נתונים ממכונה לצד מקבל (בדרך כלל Splunk), כאשר תוקף המצליח לפגוע ב-Universal Forwarders יכול לנצל את החולשה להרצת קוד זדוני בכל שאר עמדות ה-Universal Forwarders הרשומות תחת אותם Deployment Servers. בתוך כך, אפליקציית הענן של Splunk Cloud Platform - Splunk - אינה מושפעת מחולשה זו, משום שאינה עושה שימוש ב-Deployment Servers. לדברי חברת Splunk, עד כה לא נצפה ניצול זדוני של החולשה.
צוות קונפידס ממליץ למשתמשי המערכת לשדרג את ה-Splunk Enterprise Deployment Servers לגרסה 9.0 ומעלה.

​

מיקרוסופט מפרסמת עדכון חירום בעקבות בעיות שגרמו עדכוני חודש יוני

הבעיות שהתגלו לאחר שחרור העדכונים החודשיים ל-Windows 10 ו-Windows 11 ב-14 ביוני משפיעות על מכשירים המבוססים על מעבדי Arm בלבד, ועשויות למנוע התחברות באמצעות Azure Active Directory למגוון אפליקציות ושירותים, כמו VPN ,Teams ו-Outlook. בתגובה לבעיות שצצו, ב-20 ביוני פרסמה מיקרוסופט עדכון מחוץ ללוח הזמנים הרגיל, (KB5016139 ל-Windows 10 ו-KB5016138 ל-Windows 11), הכולל שיפורי איכות ברכיב ה-SSU המתקין את עדכוני Windows. זאת ועוד, החברה ממליצה למשתמשים שטרם הטמיעו את העדכונים שפורסמו ב-14 ביוני להטמיע רק את עדכון החירום (OOB), כאשר עבור משתמשים שהורידו את העדכון הקודם, ה-OBB יביא להורדתם והתקנתם של רכיבי העדכון החדשים בלבד. עם זאת, לדברי מיקרוסופט הבעיות הבאות אינן נפתרות בעדכון החירום ויש לתת להן מענה על ידי פעולות מעקף: ברמת מנהלי המערכת, אפליקציות מבוססות NET Framework 3.5. עלולות שלא להפתח, וברמת משתמשי הקצה, יכולות ה-Wi-Fi hotspot לא יעבדו כשורה והמחשב יתנתק מהרשת ברגע שמכשיר אחר יגלוש עליו. אי לכך, יש להימנע משימוש ביכולת זו עד לצאת העדכון הבא. פרטים נוספים ניתן למצוא באתר מיקרוסופט.

צוות קונפידס ממליץ לעקוב אחר הוראותיה של מיקרוסופט ולהטמיע את העדכונים בהתאם.

​

עדכון אבטחה ל-Citrix ADM נותן מענה לשתי חולשות במוצר, אחת מהן ברמת חומרה גבוהה

העדכון שפרסמה החברה סוגר במוצר חולשה (CVE-2022-27511, CVSS  8.1) העלולה לאפשר לתוקף מרוחק ולא מאומת להשתלט על המערכת ולאתחל את סיסמת המנהלן ללא צורך בהזדהות. חולשה נוספת (CVE-2022-27512, CVSS 5.3) שנסגרה בעדכון  גורמת להפרעה זמנית בשירותי הרישיונות של ה-ADM. 

צוות קונפידס ממליץ למשתמשי Citrix ADM לעדכנו בהקדם האפשרי לגרסאותיו האחרונות (13.1–21.53 ו-13.0-85.19). 

עדכון אבטחה עתידי לדפדפן Chrome של Google יתן מענה ל-14 חולשות, בהן אחת קריטית

ב-21 ביוני הודיעה Google כי בימים או בשבועות הקרובים תופץ גרסה 103.0.5060.53 של הדפדפן, אשר בין היתר תסגור את החולשה הקריטית (CVE-2022-2156) ושתי חולשות (CVE-2022-2157, CVE-2022-2158) בדרגת חומרה גבוהה שהתגלו במוצר. עוד מסרה החברה כי העדכון יכלול גם שיפורים לא-אבטחתיים, וכי הגישה לפרטי החולשות עשויה להישאר מוגבלת עד שרוב המשתמשים יעודכנו בתיקון. סיבה נוספת לחיסיון היא העובדה שייתכן ויהיה צורך בתיקון רלוונטי גם בספרייה צד ג' שפרויקטים תלויים בה.

צוות קונפינדס ממליץ למשתמשי המוצר לעקוב אחר פרסומי החברה ולהטמיע את העדכון לכשיפורסם.

זוהתה תוכנת ריגול לטלפונים ניידים שהיתה בשימוש ממשלות קזחסטן, סוריה ואיטליה 

חוקרים ב-Lookout Threat Lab זיהו לאחרונה רוגלה בשם Hermit, אשר ככל הנראה פותחה באיטליה על ידי שתי חברות, RCS Lab, חברה ותיקה וחוקית, לכאורה, המספקת תוכנות ריגול ללקוחות, שעל פי טענתה הם ארגוני ממשל ואכיפת חוק שמשתמשים בהן לצרכים לגיטימיים, ו-Tykelab, המספקת פתרונות תקשורת. לגבי האחרונה, חוקרי Lookout חושדים שהיא משמשת חברת פרונט (חברה הפועלת בחסות חברה אחרת במטרה להסתיר פעילויות מסוימות של החברה החוסה), זאת לאחר שמצאו מספר ראיות הקושרות אותה ל-RCS Lab, לרבות שימוש באותן תעודות SSL.

Hermit הינה רוגלה המיועדת לטלפונים ניידים והיא בעלת יכולות מתקדמות הניתנות להגדרה, בהן הקלטת אודיו, ביצוע והפניית שיחות טלפון ואיסוף נתונים כמו יומני שיחות, אנשי קשר, תמונות, מיקום והודעות SMS. התוכנה מסתירה את יכולותיה הזדוניות בתוך חבילות המורדות אל המכשיר הנגוע בשלב מאוחר יותר, מתחזה ליישומים לגיטימיים של חברות תקשורת או יצרני סמארטפונים ומופצת, ככל הנראה, באמצעות הודעות SMS הנראות לגיטימיות. להסוואת פעילותה הזדונית, הרוגלה מציגה למשתמשים את אתרו המקורי של המותג אליו היא מתחזה, תוך שהיא מבצעת פעילות זדונית ברקע. בשלב הראשון, המתרחש לאחר הורדת התוכנה, מתבצע פענוח של קובץ תצורה בעל ערכים שישמשו בהמשך לחיבור עם שרת C2. בשלב השני מתבצעת בדיקה הבוחנת אם המכשיר ניתן לניצול, ובמידה והתשובה לכך חיובית - מתבצע חיבור לשרת המרוחק. לאחר המתממשקות התוכנה הזדונית עם שרת ה-C2, היא מקבלת הוראות בדבר המודולים שעליה להוריד, בהתאם לנדרש לניצול המכשיר הספציפי, כאשר לכל מודול יש יכולת שונה (לפי חוקרי Lookout, קיימים לפחות 25 מודולים).

באפריל השנה זוהה קמפיין אשר היה מבוסס על רוגלת Hermit וכוון נגד מכשירי Android. מאחורי הקמפיין עמדה ממשלת קזחסטן, תוך התחזות ליצרנית האלקטרוניקה הסינית Oppo והפנייה לאתר הרשמי של החברה, בשפה הקזחית. קמפיינים אחרים שזוהו אשר התמקדו בקזחסטן כללו התחזות לחברות Samsung ו-Vivo. עוד שימשה תוכנת הריגול גורמים ממשלתיים במדינות נוספות, כאשר ב-2021 פרסמה לשכת הנבחרים של איטליה מסמך בו נטען שרשויות המדינה השתמשו בה בה כחלק מצעדים בהם נקטה ב-2019 נגד שחיתות. במסמך זה מקושרות RCS Lab ו-Tykelab זו לזו ולרוגלה, ומצוין גם כי קיימת גרסה של התוכנה למערכת ההפעלה iOS. עוד זיהו חוקרי Lookout שימוש בתוכנה בסוריה במסגרת מספר משברים פוליטיים. את הניתוח המלא של Hermit ורשימת IOCs להזנה במערכות ההגנה של ארגונים ניתן למצוא כאן.

צוות קונפידס ממליץ להקפיד על התקנת עדכוני מערכת ואפליקציות ולהימנע מהורדת אפליקציות ממקורות שאינם  ידועים. כמו כן, אנו מציעים שירות של חברת Check Point להגנה על מכשירים ניידים.

​

חולשה חדשה ב"טסלה" מאפשרת לגנבים לשכפל את כרטיס המפתח של הרכב

עדכון שנעשה למכוניות ה״טסלה״ הוליד ברכבים חולשה המאפשרת לנהגים להניען עם כרטיס ה-NFC מיד לאחר הפתיחה, ומבלי להניחו בקונסולה האמצעית של הרכב, כפי שנדרשו לעשות בטרם העדכון. חוקר האבטחה מרטין הרפורט, שגילה את החולשה, הבחין כי קיים חלון זמן של 130 שניות, במסגרתו מרגע פתיחת הרכב עם כרטיס המפתח ניתן לא רק להניע את הרכב ולנסוע בו מבלי להניח את הכרטיס בקונסולה, אלא אף לרשום כרטיס מפתח חדש ללא שום אימות או אינדיקציה בתצוגה המובנית של הרכב. שכפול כרטיס המפתח נעשה באמצעות אפליקציה שכתב הרפורט, המכונה Teslakee, ואשר מסוגלת לתקשר עם הרכב ב-VCSec, השפה בה מתקשרת עם הרכבים האפליקציה הרשמית של ״טסלה״. כל שנדרש על מנת לנצל את החולשה הוא להימצא בקרבת רכב שנפתח באמצעות כרטיס המפתח שאותו חלון זמן של 130 שניות, וכשהנהג נכנס לרכב לאחר פתיחתו - להשתמש ב-Teslakee כדי לתקשר עם הרכב ולרשום כרטיס מפתח חדש. מאותו רגע יוכל התוקף להשתמש בכרטיס על מנת לפתוח, לנעול ולהניע את הרכב. על מנת למנוע גניבת רכבים, ניתן להשתמש בהגדרת Pin2Drive, הדורש הכנסת קוד לפני הנהיגה. ואולם, פעולה זו לא תמנע מתוקף שהצליח לרשום כרטיס חדש מלפתוח או לנעול את הרכב.

​

קמפיין פישינג חדש מדביק מכשירים ב-Cobalt Strike

לדברי החוקרים, במסגרת הקמפיין נעשה שימוש בווירוס המכונה Matanbuchus להדבקת מחשבים בתוכנת Cobalt Strike, שהינה כלי לבדיקות חדירה ולתנועה רוחבית. Matanbuchus היא יוזמה המציעה תוכנות זדוניות כשירות (Malware-as-a-Service), אשר זוהתה במקור ברשת האפלה בפברואר 2021 ככלי הטוען קבצי הפעלה ישירות לזיכרון המערכת ונמכר בעלות של 2,500 דולר. מניתוח הנוזקה עולה כי שיטת ההדבקה מתחילה בשליחת מייל אליו מצורף קובץ ZIP המכיל קובץ HTML שיוצר ארכיון ZIP חדש, ובסופו של דבר מחלץ חבילת MSI, שהפעלתה יוזמת, כביכול, עדכון קטלוג גופנים של Adobe Acrobat. העדכון מסתיים בהודעת שגיאה, שמטרתה להסיח את דעתו של הקורבן ממה שהתרחש ברקע: הורדתם של שני קבצי DLL של הנוזקה לשני מיקומים שונים, יצירת משימה מתוזמנת לשימור האחיזה במערכת במהלך אתחולה מחדש, וכן ביסוס תקשורת עם שרת הפיקוד והבקרה (C2). לבסוף, Matanbuchus טוענת את Cobalt Strike משרת הפיקוד והבקרה, ופותחת את הדרך לניצול רחב יותר של המערכת על ידי התוקף. רשימת מזהים (IOCs) הקשורים לקמפיין, להזנה במערכות הארגון, ניתן למצוא כאן.  שרשרת ההדבקה מתוארת בתרשים הבא:

​

​

​

​

​

​

​

​

​

                                                                   (מקור: SANS ISC, 17.6.22)
 

חולשה חדשה מאפשרת לתוקפים להשתלט על דומיינים ב-Windows
חוקר האבטחה פיליפ דרגוביץ׳ צייץ בטוויטר על פרצה חדשה מסוג NTLM Relay המכונה DFSCoerce (על שם הפרוטוקול MS-DFSNM אותו היא מנצלת), ואשר מאפשרת לתוקפים להסוות עצמם ככל משתמש Active Directory וכ-Domain Admin, ובכך לקבל שליטה על כלל הדומיין. לאורך השנים, תוקפים מצאו מספר פרוטוקולים פגיעים לחולשות, בהן PetitPotam, אשר באמצעותם ניתן היה לבצע מתקפות NTLM Relay, כגון הפרוטוקולים MS-RPRN (המאפיין ואחראי על ההתקשרות בין משתמש לשרת הדפסה/מדפסת) ו-MS-ESFR (האחראי על תחזוקה וניהול של מידע מוצפן הנמצא במקור נפרד ברשת). החולשה החדשה התגלתה בפרוטוקול MS-DFSNM, המאפשר לאגד תיקיות שיתוף במקומות שונים ברשת ל״תיקיה אחת״ לנוחות המשתמש. מכיוון שלא ניתן לדעת אילו פרוטוקולים ומרכיבי מערכת נוספים פגיעים למתקפות מסוג זה, מומלץ להפסיק את השימוש בפרוטוקול NTLM ב-Domain Controller ולהפעיל מנגנוני אבטחה נוספים, כפי שהמליצה מיקרוסופט ביולי 2021 במקרה של PetitPotam.

​

העדכון החודשי של מיקרוסופט גורם לתקלות בחיבורי RDP ,RRAS ו-VPN בשרתים

הדבר רלוונטי לעדכונים הבאים:

KB5014746 לשרתי Windows Server 2019 2012 R2

KB5014692 לשרתי Windows Server 2019

KB5014699 לשרתי Windows Server 20H2

KB5014678 לשרתי Windows Server 2022

עם פרסומם והטמעתם של עדכונים אלה,  מנהלי רשתות רבים דיווחו על תקלות בשרתים, בהן ״קפיאה״ למשך מספר דקות בעת חיבור לשרת Routing and Remote Access Service) RRAS) באמצעות SSTP, וכן אובדן קישוריות בהתחברות מרחוק ובחיבורי VPN בשרתים המשתמשים ב-RRAS. נכון לשעה זו מיקרוסופט אינה מכירה בבעיות אלה, והדרך היחידה לתקנן היא להסיר לגמרי את העדכונים שהותקנו. עם זאת, יש לקחת בחשבון שהחברה מאגדת את כל עדכוני האבטחה שלך בתוך עדכון יחיד, והסרת העדכון הספציפי תסיר את כל עדכוני האבטחה עבור החולשות שטופלו בעדכון האחרון שפרסמה.
צוות קונפידס ממליץ לוודא שהסרת העדכון הכרחית בטרם ביצועה, ושהחשיבות שב״החייאת״ קישוריות ה-RDP או ה-VPN בשרתים עולה על סיכוני האבטחה המוגברים.

​

חברת Proofpoint חשפה פוטנציאל למתקפת כופרה על לקוחות Microsoft Office 365

לדברי חברת אבטחת המידע, האיום רלוונטי למאגרי אחסון קבצים בפלטפורמת 365 תחת האפליקציות  SharePoint ו-OneDrive, והיא אף הדגימה כיצד ניתן להצפין קבצים המאוחסנים בהן באופן שלא יאפשר לשחזרם ללא גיבויים או מפתח פענוח מהתוקף, בדומה למתקפת כופרה על תשתית מקומית. בשלב הראשון, התוקף משיג גישה לחשבון אחד או יותר של האפליקציות באמצעות פישינג, Brute-force או הטעיית המשתמש לאשר יישום OAuth של צד שלישי לשם גישה לאפליקציה של Office 365 (באמצעות OAuth מתאפשרת גישה של אתר או אפליקציה למשאבים המתארחים באפליקציות אינטרנט אחרות בשם משתמש הקצה). דרך נוספת לקבלת גישה לאפליקציות Office היא באמצעות ״חטיפת״ Sessions או אסימון API בו נעשה שימוש בזמן אמת על ידי משתמש המתחבר לאחת מהן.
בשלב השני, לתוקף יש גישה למידע שבבעלות המשתמש אליו פרץ, ואילו בשלב השלישי של המתקפה התוקף ישנה את הגדרות מגבלת הגרסאות למספר נמוך מאוד, לדוגמה 1, ולאחר מכן יצפין את הקובץ מספר פעמים גדול יותר ממגבלת ניהול הגרסאות שזה עתה הוגדרה, למשל פעמיים. שלב זה ניתן לביצוע בשתי דרכים, האחת היא לצמצם את מספר הגרסאות ולעבור אותו, כך שרק הגרסה העדכנית והמוצפנת נשמרת והגרסה המקורית נמחקת, והשנייה היא לעבור את מספר הגרסאות המוגדר כברירת המחדל. למשל, המספר הדיפולטיבי של OneDrive עומד על 500, כך שניתן לבצע את המתקפה על ידי עריכת או הצפנת הקובץ 501 פעמים, מה שיביא למחיקת הגרסה המקורית.
בשלב הרביעי כל הגרסאות המקוריות נחשבות ישנות, ולכן נמחקות באופן שאינו מאפשר את שחזורן גם כאשר מעלים את מגבלת הגרסאות, וכל שנותר הוא הגרסאות המוצפנות. בשלב זה התוקף מבקש כופר מהארגון.
דרכי ההתגוננות מפני מתקפה זו הן הגדרת המערכת כך שתתריע במקרה של שינויים קיצוניים בתצורת הקבצים, הגנה גבוהה על משתמשים בסיכון, מדיניות של שימוש בסיסמאות מורכבות, הטמעת אימות דו-שלבי (MFA), יישום גיבוי ושחזור חיצוניים באופן תדיר והגבלת הורדת קבצים רגישים/בכמות גבוהה. לדברי מיקרוסופט, גרסאות ישנות של קבצים יכולות להיות משוחזרות עד 14 יום אחורה בתמיכת החברה.

כופרת eCh0raix ממשיכה לפגוע במוצרי QNAP

לאחר אירועי מאי 2021 ודצמבר 2021, השבוע החל גל נוסף של תקיפות כופרה נגד מוצרי NAS של החברה, כך דיווח מגזין אבטחת המידע BleepingComputer על סמך ניתוח שביצע אתר הכופרות ID Ransomware ועלייה בדיווחים בנושא בפורום האתר. בשעה זו, QNAP הטיוואנית טרם התייחסה לגל הנוכחי, אך בעבר פרסמה המלצות אבטחה להתגוננות מפני eCh0raix, בהן עדכון מוצרי החברה לגרסאותיהם האחרונות, הקשחת סיסמאות של משתמשי אדמין בממשקי הניהול של המוצרים, הפעלת האופציה להגנה על ה-IP מפני מתקפות Brute-force והימנעות משימוש בפורטים הדיפולטיביים 443 ו-8080. המלצות נוספות ניתן למצוא במסמך שהוציאה החברה בזמן מתקפות הכופרה שהתרחשו במאי אשתקד. 

סייבר בעולם

פעילותו של בוטנט רוסי שובשה במבצע אכיפה בינלאומי

משרד המשפטים האמריקאי ולשכת החקירות הפדרלית (FBI), בשיתוף עם גורמי אכיפה בגרמניה, בהולנד ובבריטניה, פירקו את תשתית רשת הבוטים הרוסית RSOCKS, שפרצה למיליוני מחשבים ומכשירים אלקטרוניים אחרים ברחבי העולם. על פי כתב האישום שהוגש נגד מפעילי הרשת, החשודים פרצו למיליוני כתובות IP השייכות לאנשים פרטיים ולארגונים שונים, בהם יצרניות אלקטרוניקה, מלונות, אוניברסיטאות ואולפני טלוויזיה. את הכתובות שנפרצו הציעו התוקפים למכירה ברשת לגורמים שביקשו לבצע פעולות זדוניות באמצעות כתובות לגיטימיות, על מנת להסתיר את זהותם. עלות הגישה למאגר כתובות הפרוקסי של RSOCKS נעה בין 30 דולר ליום (גישה ל-2,000 כתובות) ל-200 דולר ליום (גישה ל-90,000 כתובות). עוד עולה מכתב האישום שסוכני FBI ביצעו רכישות סמויות ברשת של RSOCKS על מנת לדלות פרטים נוספים על העומדים מאחוריה. ברכישתם הראשונה, שבוצעה ב-2017, נחשפו הסוכנים לכ-325,000 מכשירים ברחבי העולם שנפגעו ועמדו לרשות התוקפים.

​

חברת משלוחים בריטית חווה שיבושים עקב מתקפת סייבר; חשד למתקפת כופרה 

חברת Yodel חשפה כי נפלה קורבן למתקפת סייבר, לאחר שלקוחות שהמתינו במהלך סוף השבוע לקבלת חבילות גילו כי שירות המעקב אחר המשלוחים ושירות הלקוחות של החברה אינם זמינים. מאוחר יותר אישרה Yodel באתר האינטרנט שלה שההפרעה בשירות נבעה ממתקפת סייבר, מבלי לחשוף מתי התרחש האירוע, והודיעה שייתכן וחבילות יגיעו ליעדן מאוחר מהצפוי. בפוסט מורחב על התקרית המליצה החברה ללקוחותיה להימנע מלמסור מידע אישי ולהישמר מפני הפניות לעמודי אינטרנט הדורשים פרטים מסוג זה. בתוך כך, חוקר אבטחת הסייבר קווין בומונט צייץ בחשבון הטוויטר שלו כי ישנן שמועות על כך ש-Yodel נפגעה ממתקפת כופרה, תיאוריה סבירה מאוד בהתחשב בכך ששחקני איום מסוג זה נמנעים, בדרך כלל, מלהצפין מחשבי קורבנות בימי חול, במהלכם קיימת סבירות גבוהה יותר לחשיפת הפעולות הזדוניות. מן החברה נמסר שהיא פועלת להשבת מערכותיה לאינטרנט בעזרת גורם חיצוני מוסמך. 

​

דוח של IBM: עלייה בעלותן של מתקפות סייבר לארגונים המותקפים - מ-3.68 מיליון דולר ל-4.24 מיליון דולר

על פי הדוח, הסוקר את הנזקים הכספיים, המוניטיניים והאנושיים של מתקפות סייבר ודלף מידע בשנת 2021, העלות הממוצעת הנוכחית של מתקפת סייבר היא הגבוהה ביותר ב-17 השנים האחרונות בהן נכתב הדוח. בתוך כך, דוח חדש של המחלקה הבריטית לתרבות, מדיה וספורט (DCMS) חושף שמתקפות סייבר הפכו יקרות יותר עבור עסקים בינוניים וגדולים בבריטניה, ושב-2021 חברות בינוניות וגדולות הפסידו בממוצע 19,400 ליש"ט עקב מתקפות מסוג זה, לעומת 13,400 ליש"ט ב-2020.

מדי שנה, דוחות רבים מספקים תובנות בנוגע לעלויות ההולכות וגדלות שגוררות מתקפות סייבר. בהיבטי הפגיעה במוניטין, תקיפות סייבר עשויות לדרוש מארגונים לקיים שיחות מורכבות עם לקוחות, עובדים וכלי תקשורת, לעתים עוד לפני שברור כיצד התקיפה בוצעה. מחקרים מראים שבמקרים בהם הארגון מתקשר את האירועים בפתיחות וביושרה, ישנו סיכוי גדול שרבים מהלקוחות, הספקים והעובדים יהיו סלחניים ולא יעזבו אותו, אך אין בכך ודאות. למשל, ב-2013 נפגעה הקמעונאית האמריקאית Target במתקפת סייבר שהשפיעה על 41 מיליון מלקוחותיה. החברה זיהתה את המתקפה תוך 16 ימים וחשפה אותה לציבור רק 20 יום לאחר הגילוי, מה שהביא לאי-שביעות רצון בקרב לקוחות רבים. בהתייחס לפיצויים ולקנסות, תקיפות סייבר ודלף מידע עלולות להוביל לתביעות פיצויים ואף להטלת סנקציות וקנסות.

בהיבטי ההשפעה על הגורם האנושי, מתקפת סייבר על ארגון מחייבת ריבוי פעולות שמטרתן לעמוד על שאירע ולהחליט באילו צעדים לנקוט. במהלך שלב השיבה לפעילות, מופעל לחץ על המעורבים בתהליך להיות נוכחים באופן מלא על מנת להבטיח התאוששות מהירה ככל הניתן, כשהמיקוד הוא בהישרדות הארגון. אי לכך, הדבר מביא לביטול חופשות בחגים ולהתעלמות מהתחייבויות אישיות, כמו טיפול בילדים או בקרובי משפחה. השפעה זו היא, לרוב, הקשה ביותר לאומדן ולמדידה, ועובדים בארגון עשויים להתחיל לחפש תפקיד אחר ברגע שבית העסק מתחיל להתאושש, מבלי שיזכירו את המתקפה כזרז לעזיבתם.

לסיכום, על ארגונים לקחת בחשבון את כלל ההיבטים של מתקפות סייבר כדי להבין טוב יותר את העלויות הכרוכות בכך בפועל. משמעות הדבר היא לשקול את ההשפעה על מוניטין הארגון ועל הפרודוקטיביות שלו, את הגידול בעלויות התפעול, את הפיצויים והקנסות האפשריים, ולבסוף גם את ההשפעה על אנשים בארגון. בעוד שהעלות הכספית הטהורה של המתקפה יכולה להתבטא ב״שורה בגיליון אלקטרוני״, עלותה האמיתית עמוקה בהרבה.

​

חוקרי Forescout מצאו 56 חולשות המשפיעות על מכשירים בתחום הטכנולוגיות התפעוליות (OT)

בדוח שפרסמו חוקרי חברת הסייבר מחולקות החולשות לארבע קטגוריות עיקריות: 

1. פרוטוקולי הנדסה שאינם מאובטחים.
   לדברי החוקרים, המכשירים שעשויים להיות פגיעים לחולשות נפוצים מאוד בשוק (למשל מוצרים של החברות Motorola ,Siemens ו-Bentley) ובמקרים רבים משמשים עבור תשתיות קריטיות, כגון חשמל, נפט, גז, כימיקלים, מים, כרייה ובנייה. בתגובה, הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) פירסמה באתרה עדכון לפיו היא מודעת לממצאי הדוח ולחולשות, שמקורן בעיצוב מוצר בצורה שאינה מאובטחת. ה-CISA ממליצה למשתמשים ולמנהלי מערכות לעיין בדוח של Forescout ובקישורים הבאים, הנוגעים למערכות בקרה תעשייתיות, כל זאת על מנת לנסות ולהפחית את הסיכונים הגלומים בחולשות:

2. קריפטוגרפיה חלשה או מנגנוני אימות שאינם שלמים.

3. עדכוני קושחה שאינם מאובטחים.

4. הפעלת קוד מרחוק באמצעות שימוש בגישה מרוחקת.

• ICSA-22-172-02 - JTEKT TOYOPUC

• ICSA-22-172-03 - Phoenix Contact Classic Line Controllers

• ICSA-22-172-04 - Phoenix Contact ProConOS and MULTIPROG

• ICSA-22-172-05 - Phoenix Contact Classic Line Industrial Controllers

• ICSA-22-172-06 - Siemens WinCC OA

​

ה-CISA מפרסמת אמצעי אבטחה ל-PowerShell

PowerShell הינה שפת סקריפטים הקיימת מזה שנים רבות במערכות הפעלה מסוג Windows, ומטרתה להריץ פקודות בודדות או מרובות על ממשק מסוג ״חלון פקודות״, לשם ביצוע מספר רב של פעולות על מערכת ההפעלה. זאת ועוד, במקרים מסוימים ניתן להשתמש ב-PowerShell לניהול סביבת ה-Active Directory בארגון. יכולות מתקדמות אלה נוצרו עבור מנהלי רשתות ואנשי IT לצורך ייעול פעולות בסיסיות ומורכבות כאחד. ואולם, האקרים רבים ממנפים את יכולות שפת התכנות לצרכים זדוניים, כאשר באמצעות שימוש ב-PowerShell הם מסוגלים לבצע כמעט כל פעולה רגילה הניתנת לביצוע דרך ממשק ה-GUI. זאת ועוד, האקרים רבים יודעים להתנהל אך ורק דרך ממשק מסוג ״חלון פקודות״ בעת השגת אחיזה מרחוק על עמדת הקורבן. במסמך שפרסמה כעת הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) מופיעות הנחיות לשימוש בטוח ב-PowerShell בסביבה ארגונית, והוא דן הן באמצעי אבטחה והן באמצעים שמטרתם לאפשר לאנשי הגנת סייבר לבצע חקירות ופעולות על המערכת באופן יעיל. למשל, הפעלת Logging על תהליך ה-PowerShell, אפשרות שהינה אקטואלית מאז שחרורו של Windows 7, יכולה להקל גם על אנשי פורנזיקה וגם על ניטור המערכת. המסמך המלא מצוי כאן.

סייבר בישראל

משרד התחבורה החל בהיערכות לאפשרות של תקיפות סייבר על רכבים בישראל

ב-9 ביוני פורסם בעיתון ״כלכליסט״ כי המשרד מתכוון לדרוש את הכשרתם עובדי מכוני רישוי בקורסים הנוגעים לאיתור פריצות למחשבי רכבים. לאחרונה גוברות העדויות לפיתוחן של יכולות השתלטות מרחוק על מערכות רכבים על ידי האקרים.

לפני כשנתיים בוצע בישראל ״ריקול״ לרכבים מתוצרת ״ג׳יפ״ שנרכשו ביבוא אישי, מחשש להימצאותה של פירצה במערכת המולטימדיה שלהם, המאפשרת השתלטות של האקרים. מלבד זאת, תועדו מספר מקרים של השתלטות על מכוניות מתוצרת ״טסלה״, שאפשרו את פתיחתם של הרכבים מרחוק. 

באירופה קיים תקן מחייב להגנת סייבר על מכוניות, אך הוא תקף רק החל מהשנה הנוכחית ורק למכוניות ששנת יצורן 2022 ואילך. אי לכך, נדרשת יכולת לאבחן ניסיונות השתלטות או פגיעה במכוניות שיוצרו בשנת 2021, כמו גם במכוניות שיוצרו החל מ-2022 ושהאקרים הצליחו לפרוץ אליהן למרות ההגנות הקיימות. 

בישראל, הדרך היחידה כיום לאבחון מרבית ניסיונות פריצת הסייבר לרכבים היא באמצעות שקע האבחון של הרכב, ורק מעטים מהרכבים -״וולוו״ מדגם C40 ו״טסלה״ - ניתנים לאבחון מרחוק. כל שאר דגמי המכוניות דורשים בדיקת פריצה במוסכים או במכוני הרישוי באמצעות שקע האבחון. 

הנזקים החמורים ביותר שעלולים להיגרם כתוצאה מפריצת סייבר לרכבים הינם השבתה של ציי רכב חיוניים, חסימה ממשית של כבישים, וכן פצועים והרוגים. אי לכך, על פי מסמכי משרד התחבורה, עובדי מכוני הרישוי יצטרכו לעבור קורסים להשתלמות בנושאי סייבר, קישוריות והגנה על תאגיד. במסגרת הקורסים יעבור הדרג הניהולי קורס בנושאי הגנה, ואילו דרג בוחני הרישוי, המבצעים את בדיקות הרכבים בפועל, יעבור יום עיון מיוחד בנושא בדיקת הגנות הרכב ומניעת תקיפות סייבר. בקרוב צפויים 60 מכוני הרישוי הפעילים בישראל לבצע לרכבים בדיקות הגנת סייבר על בסיס קבוע.

​

בנק ישראל משתף פעולה עם הבנק המרכזי של הונג קונג בניסוי במטבע דיגיטלי 

בנק ישראל הודיע על שיתוף הפעולה עם ה-HKMA במסגרת יוזמה חדשה, ״פרויקט סלע״, לבחינת מטבע דיגיטלי מטעם הבנק המרכזי (CBDC), כל זאת על פי מודל דו-שכבתי של הגנת סייבר. המטבע יונפק על ידי הבנק המרכזי ולאחר מכן יופץ על ידי מתווכים פיננסיים, בהם בנקים אחרים, כדי שאלה יוכלו לבחון אותו ללא סיכון ללקוחותיהם ולהעריך אם הוא פגיע פחות למתקפות סייבר. ״פרויקט סלע״, שעתיד לצאת לדרך ברבעון השלישי של 2022, מגיע לאחר שבחינה קודמת בנושא, שהתקיימה ב-2018, נגנזה. על אף שהמחקר על מטבעות דיגיטליים עדיין בחיתוליו, כ-100 מדינות כבר הפעילו CBDCs או שוקלות לעשות זאת, הבולטת שבהן היא סין, שהיואן הדיגיטלי שלה כבר נבדק על ידי כ-140 מיליון משתמשים, לרבות אוהדים באולימפיאדת החורף האחרונה שהתקיימה בבייג'ינג. להלן מפה הממחישה אילו בנקים מרכזיים ברחבי העולם משתמשים ב-CBDC או עומלים על פיתוחו. 

​

​

​

​

​

​

​

​

​

​

​

​

                                                                       (מקור: Bloomberg, 16.6.22)

​

חשד למתקפת סייבר על מערכות כריזה בירושלים ובאילת

ב-20 ביוני מערך הסייבר הלאומי פרסם בעמוד הפייסבוק שלו את ההודעה הבאה: ״אמש הנחנו את הרשויות המקומיות לנקוט אמצעי הגנה מהירים על מערכות כריזה מקומיות. זאת, לאור חשד לאירוע סייבר בממשק של מערכת כריזה לעיריות אשר הביא להפעלת הכריזה במספר קטן של נקודות בערים אילת וירושלים, לא מדובר במערכות ההתרעה של פיקוד העורף״. גם מפיקוד העורף נמסר כי מדובר במערכות אזרחיות ולא במערכות ההתרעה של הפיקוד. עוד פרסם המערך פעולות הגנה לביצוע על מערכות אלו, בהן שינוי סיסמאות ברירת המחדל, הגדרת סיסמאות ארוכות ומורכבות והחלפתן לעיתים תכופות, הטמעת אימות דו-שלבי (2FA), הגבלת הרשאות גישה לממשק הניהול ולהתחברות מרחוק רק למשתמשים ספציפיים, ואף לפי כתובות IP, במידת הניתן. על פי החשד, קורבן המתקפה הינו חברה המספקת מערכות כריזה לרשויות מקומיות.

​

מערך הסייבר הלאומי מפרסם מסמך הכולל דגשי אבטחה לשימוש בקוד פתוח

עם העלייה בשימוש בקוד פתוח (Open-source) במערכות מחשוב בארץ ובעולם, ישנה עלייה בתקיפות הסייבר המכוונות נגד ספריות קוד פתוח, דבר היוצר פגיעות רוחבית במוצרי מדף ובארגונים רבים. אי לכך, מערך הסייבר הלאומי פרסם טיוטת מסמך המלצות לארגונים במשק לשימוש מאובטח יותר בקוד הפתוח. בין ההמלצות העיקריות:

1. להגדיר קריטריונים ותבחינים מאושרים על ידי הנהלת הארגון, היועץ המשפטי והמנחה המקצועי לבחירת ספריית קוד פתוח, כגון מוניטין הפרויקט ואורך חייו, קיום עדכונים שוטפים לפרויקט, מספר ההורדות שלו ועוד.

2. לבצע מיפוי עדכני של ספריות קוד פתוח בהן עושה הארגון שימוש, לרבות גרסאות שהופצו ללקוחות, תוך התייחסות לתצורות העבודה המקובלות ולעמידה בדרישות התקן ISO/IEC 5230:2020 - OpenChain Specification.

3. לוודא את קיומם של מסמך מדיניות לשימוש בקוד פתוח ונוהל עבודה סדור ועדכני, שמפתחי הארגון הודרכו בשנה האחרונה בהתאם לתוכנם.

4. לוודא את קיומם של כלי ניתוח קוד סטאטי וכיוצא באלה, המסוגלים להתמודדות עם וקטורי תקיפה בקוד פתוח, לרבות הטמנות.

צוות קונפידס ממליץ לארגונים המשתמשים בקוד פתוח לקרוא את המסמך וליישם את ההמלצות המופיעות בו במלואן.

​

אפליקציית כושר חושפת פרטים מסווגים של אנשי ביטחון

חוקרי אבטחת מידע מטעם הארגון ״פייק ריפורטר״ חושפים כי משתמש בשם Ez Shl ניצל מיסקונפיגורציה באפליקציית הכושר הפופולרית Strava לחשיפת מידע רגיש ביותר. לדברי ״פייק ריפורטר״, המשתמש העלה לאפליקציה מיקומי GPS מזויפים דרך פיצ׳ר המכונה Segment (באמצעותו מקיימים משתמשים תחרויות בין רצים במסלול זהה, בהסתמך על מיקום הנקלט באפליקציה על ידי ה-GPS). הדבר אפשר ל-Ez Shl לחשוף את זהותם של משרתים במתקנים של חילות האוויר והמודיעין ושל משרד הביטחון, כמו גם מידע אודות דפוסי האימונים שלהם, פרופילים ברשתות חברתיות ומקומות מגורים של משתמשים, מיקומם של בסיסים ברחבי הארץ ואינפורמציה נוספת. דליפת המידע האישי התאפשרה גם עבור משתמשים שהגדירו את פרופיליהם כפרטיים. ב-2017 התרחש מקרה דומה, כאשר משתמשים ב-Strava פרסמו Heatmap - אזורים מודגשים המסמנים את מיקום פעילותם, ובכך הביאו לחשיפת מיקומם של בסיסים אמריקאיים סודיים ופרטים אישיים רגישים של משתמשים, גם כאשר הפרופילים הוגדרו כפרטיים.

e-Ukraine: ממשלת אוקראינה מעבירה מידע קריטי אל מחוץ לגבולותיה

הממשל האוקראיני החל לאחסן מידע בעל חשיבות קריטית לתפקוד המדינה מחוץ לגבולותיה הפיזיים, ביוזמה המהווה מהלך הגנתי מפני מתקפות ואיומי סייבר רוסיים על נכסים דיגיטליים אלה, לרבות נזקים של טילים רוסיים למרכזי אחסון פיזיים, חשש שעלה כבר בימי הלחימה הראשונים במזרח אירופה בפברואר השנה. מאז תחילת המלחמה הועברו כ-150 מאגרי מידע ממשרדי ממשלה באוקראינה לפולין, וכעת מתנהל משא ומתן עם אסטוניה וצרפת על העברת מידע גם אליהן, כך לדברי ג'ורג' דובינסקי, סגן השר האוקראיני לטרנספורמציה דיגיטלית. המשא ומתן שמתנהל מתמקד הן בהיבטים הטכניים של אחסון מאגרי מידע בהיקף כה גדול והן בהיבטים המשפטיים והרגולטוריים של העברת מידע אישי אל מחוץ לגבולות המדינה. לאסטוניה, אגב, כבר יש הסדר דומה עם לוקסמבורג לאחסון מידע ממשלתי קריטי, בעקבות מתקפה רוסית על מאגרים אלה באביב 2007. 

​

סין מאשימה: ארה"ב בונה "ציר גניבות סייבר"

דובר משרד החוץ הסיני וואנג וונבין אמר ב-15 ביוני כי ארצות הברית הפכה לאיום המדינתי העיקרי במרחב הסייבר וכי היא בונה "ציר גניבות סייבר". הדובר, אשר קרא לארצות הברית לחדול באופן מידי מפעילות סייבר זדונית, ביסס את טענותיו על דוח שפרסמה לאחרונה חברת Anzer, לפיו צבא ארצות הברית וסוכנויות פדרליות אמריקאיות גנבו מרחוק "יותר מ-97 מיליארד נתונים […] ו-124 מיליארד רשומות טלפון ב-30 הימים האחרונים". מידע זה מהווה מקור מודיעיני חשוב עבור ארצות הברית ושאר ארבע מדינות "חמש העיניים" (קנדה, אוסטרליה, ניו זילנד ובריטניה), כאשר הדוח של Anzer מדגיש במיוחד את פעילות ה-(Tailored Access Operations (TAO, שנוסד ב-1998 כגוף של הסוכנות האמריקאית לביטחון לאומי (NSA). בין היתר, הדוח מצביע על הפעילות הנרחבת של כלי ה-Boundless Informant שבשימוש ה-TAO, האוסף מידע על ידי כרייתו ברמה הגלובלית. 

​

שיתוף פעולה מעמיק בין האיחוד האירופי לארה"ב במטרה להילחם במתקפות כופרה

בשבוע השני של יוני 2022, התכנסו בהאג שבהולנד משרד המשפטים של האמריקאי וארגון ה-Eurojust (הסוכנות של האיחוד האירופי לשיתופי פעולה בתחום אכיפת החוק) לסדנה ראשונה מסוגה, במטרה לחלוק שיטות עבודה מומלצות ולשפר את שיתוף הפעולה בהתמודדות עם מתקפות כופרה. בסדנה השתתפו יותר מ-100 מומחים למשפט מארצות הברית ומהאיחוד האירופי, לרבות עורכי דין מהמדור לפשעי מחשב וקניין רוחני של משרד המשפטים האמריקאי, ונציגים של לשכת החקירות הפדרלית (FBI), השירות החשאי של ארצות הברית, גוף החקירות של המחלקה האמריקאית לביטחון המולדת (HSI), הרשת המשפטית האירופית לפשעי סייבר, צוות פשעי הסייבר של ה-Eurojust ומרכז פשעי הסייבר האירופי של היורופול. כל אלה שיתפו בסדנה חוויות מתחומי פעילותם וחלקו שיטות עבודה מומלצות, טקטיקות של תוקפים וטכניקות חקירה עדכניות. עוד דנו המשתתפים בשינויים הנדרשים בחקיקה בתחום, לרבות סוגיות של ראיות אלקטרוניות, דרכי הפללה אפשריות ושיקולים חוצי גבולות בעבודתם.

​

משרד המשפטים מפרסם את תזכיר "חוק הבוטים", שיחייב סימון של תכנים המופצים באמצעות בוטים ממומנים

התזכיר, שפורסם ב-15 ביוני, מחייב מפרסמים ברשתות חברתיות גדולות לסמן תכנים המופצים באופן אוטומטי, למשל באמצעות בוטים, כך שהמשתמשים האנושיים יוכלו להבחין בין אינפורמציה וידיעות המופצים באינטרנט בצורה אותנטית לבין מידע שמופץ באמצעות בוטים על ידי פקודות אוטומטיות. מטרת התזכיר היא להגביר את השקיפות של פעילות אינטרנטית ולמגר את השימוש בבוטים לשם הפצת פייק ניוז, והוא מהווה תיקון לסעיף 30 לחוק התקשורת (בזק ושידורים), תשמ"ב-1982, הקובע איסור על שליחת הודעה ובה "דבר פרסומת" לנמען שלא הסכים לכך. מעתה, אדם שיעשה שימוש בבוט לפרסום ולא יסמן זאת, יהיה חשוף להליך משפטי, במסגרתו משתמשי הפלטפורמה יוכלו לדרוש פיצוי, אפילו מבלי להוכיח נזק. בהתייחסו לתזכיר אמר שר התקשורת יועז הנדל כי "זכותו של כל אדם לדעת אם הוא מנהל שיח ברשת עם אדם אמיתי או עם בוט שמופעל על ידי גורם מסוים". 

​

בית הדין האירופי לצדק קובע הגבלות על חברות תעופה שאוספות מידע אישי כחלק מה-Passenger Name Record: רק מידע "נחוץ בהחלט"

ב-21 ביוני קבע ה-ה-CJEU כי על חברות תעופה ומפעילי תחבורה נוספים שמשתמשים במידע אישי של נוסעים במעברי גבול לצמצם את פעילותם הנוגעות למידע זה אך ורק לצרכים מוגדרים ושקופים לנושאי המידע, ובהתאם למה ש"נחוץ בהחלט" בלבד. לדברי הארגון העותר, הליגה הבלגית לזכויות אדם, חברות תחבורה אוספות מידע אישי מיותר שמועבר לגופים ממלכתיים לצורך ניטור, מעבר לצרכי בטיחות התחבורה שלשמם הוא נאסף (בהתאם להסדרת הנושא בדירקטיבת ה-PNR משנת 2016). ״מידע אישי נחוץ״ כולל, למשל, שם, לאום, תאריך לידה, קוד מזהה של כלי התחבורה (טיסה, אוניה וכן הלאה), נקודת היציאה ממדינת המקור, נקודת הכניסה למדינת היעד ועוד. על פי פסק הדין, העברה, עיבוד ושמירת מידע הכלול ב-(Passenger Name Record (PNR "עשויים להיחשב כמוגבלים למה שנחוץ בהחלט למטרות לחימה בעבירות טרור ובפשיעה חמורה".