דו״ח סייבר שבועי
24.08.2023 עדכון שבועי
עיקרי הדברים
1. ישראל: האיראנים מחפשים זוגיות? מתקפת סייבר על 7 אתרי היכרויות ישראלים: חלק מהאתרים הושבתו ומידע אישי דלף.
2. סייבר בבריאות: זינוק בתובענות הייצוגיות נגד ארגוני בריאות כתוצאה מעליה חדה במתקפות הסייבר שגורמות לדלף מידע.
3. מתקפת כופרה על חברת האחסון הדנית CloudNordic גרמה להצפנת כל המידע של החברה ולקוחותיה.
4. מתקפת כופרה על חברת השעונים היפנית Seiko: מידע רגיש של החברה נחשף.
5. *אנו ממליצים לעדכן את המוצרים הבאים: תוכנת Winrar (zero day); דפדפן Microsoft Edge (קריטי); תוכנת Sentry של Ivanti (קריטי); דפדדפן Google Chrome (גבוה); מוצרי Cisco (גבוה); מוצר Apache Batik (בינוני);*
תוכן עניינים
חולשות חדשות
Microsoft פרסמו עדכון אבטחה לדפדפן EDGE מבוסס Chromium הנותן מענה לחולשה קריטית
חולשה קריטית נוספת התגלתה בתוכנת Sentry של חברת Ivanti
פגיעות חדשה בWinRAR מאפשרת הרצת קוד מרחוק
Google Chrome הוציאה עדכון לארבע פגיעויות ברמה גבוהה
Cisco דיווחה על 6 חולשות בשלל מוצריה
חולשות ב-Apache Batik ברמת חומרה בינונית עלולות להוביל לחשיפת מידע רגיש
השבוע בכופרה
Discord מודיעה למשתמשים שלה שנפגעו מגניבת נתונים במתקפה שקרתה בחודש מרץ
סייבר בעולם
דלף מידע מגורם פנימי בטסלה משפיעה על כ-75,000 עובדים
חברת Seiko נופלת קורבן למתקפת כופר על ידי קבוצת הכופרה BlackCat: מידע רגיש של החברה נחשף
מתוך האתר של קבוצת התקיפה BlackCat
סייבר בגופי בריאות
עלייה בכמות התובענות הייצוגיות על דלף מידע בריאותי כתוצאה מזינוק בכמות מתקפות הסייבר
סייבר בישראל
אירוע תקיפה על אתרי היכרויות ישראלים: מידע אישי של משתמשים דלף
כנסים
הציטוט השבועי
עדכון ללקוחות CloudNordic בעקבות מתקפת כופרה שחוו ב 18/8/2023
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה לדפדפן Microsoft EDGE מבוסס Chromium נותן מענה לחולשה קריטית
Microsoft פרסמו עדכון אבטחה הנותן מענה לחולשה קריטית בדפדפן EDGE מבוסס Chromium,
החולשה CVE-2023-36787 מאפשרת לתוקף מרוחק להשיג הרשאות גבוהות יותר במערכות ממוקדות על ידי ניצול פגיעות לא מוגדרת (לא נמסר מידע מ-Microsoft על מקור הפגיעות והגורם לה). הפגיעות הופכת פעילה כאשר משתמשים מבקרים באתר זדוני, ומעניק לתוקף גישה בלתי מורשית להרשאות גבוהות.
צוות קונפידס ממליץ לעדכן את גרסת הדפדפן לגרסה העדכנית ביותר בהקדם האפשרי (ניתן לראות את העדכון כאן ).
חולשה קריטית נוספת התגלתה בתוכנת Sentry של חברת Ivanti
חברת התוכנה האמריקאית Ivanti, דיווחה על חולשה קריטית חדשה CVE-2023-38035 עם ציון CVSS 9.8 במערכת האימות של ה-API בתוכנת ה-Secure mobile gateway בשם Sentry. חולשה זו התגלתה על ידי חוקרים מחברת mnemonic וניצול מוצלח שלה עשוי לאפשר לתוקף לא מאומת לקבל גישה למספר API-ים רגישים המשמשים לניהול המערכת. חולשה ניתנת למימוש באמצעות פורט פתוח (8443) לממשק ניהול המערכת, המשומש על ידי שירות התוכנה (MobileIron Configuration Service) וכתוצעה עוקף את הגדרה לקויה בממשק ה-HTTPD של Apache האחראי על העברת בקשות ה-HTTP. לאחר גישה להגדרות ה–API הרגישות, תוקף יכול לשנות את הגדרות, להריץ פקודות לא מבוקרות על המערכת ולהריץ קבצים על המערכת. חולשה זו תוקנה בגרסה העדכנית ביותר, כך שכל גרסה מתחת לגרסה 9.18 (כולל) חשופה לפגיעות זו. בנוסך לכך, Ivanti דיווחה ללקוחותיה על כך שזיהו כבר מספר ניצולים מוצלחים של חולשה זו. חשוב לציין כי לא ניתן לנצל את החולשה מרחוק במקרה בו פורט 8443 של המערכת אינו חשוף לאינטרנט.
צוות קונפידס ממליץ לעדכן את גרסת ה-Sentry לעדכנית ביותר כדי להימנע מניצול של חולשה זו.
פגיעות חדשה ב WinRAR מאפשרת הרצת קוד מרחוק
הפגיעות CVE-2023-40477 עם הציון CVSS 7.8 מאפשרת לתוקפים מרוחקים להפעיל קוד שרירותי בהתקנות של RARLAB WinRAR. לצורך ניצול פגיעות, המשתמש חייב לגשת לאתר זדוני או לחילופין להריץ קובץ עם תוכן זדוני. הפגם הספציפי קיים תהליך העיבוד של ה-volume recovery. הבעיה נובעת מתהליך אימות נתונים לקוי אשר סופקו על ידי המשתמש, שעשוי לגרום לגישה לזיכרון מעבר לטווח הזכרון המוקצה לפעולה. גורם זדוני יכול למנף את הפגיעות הזו כדי להריץ קוד עם הרשאות של התהליך הקיים.
צוות קונפידס ממליץ לעדכן את גרסת ה-RARLAB WinRAR לעדכנית ביותר כדי להימנע מניצול של חולשה זו.
Google Chrome הוציאה עדכון לארבע פגיעויות ברמה גבוהה
Google Chrome הוציאה עדכון לארבע פגיעויות ברמה גבוהה. היכולות לאפשר לתוקף מרוחק להריץ קוד שרירותי בתוכנה. הפגיעויות CVE-2023-4429 ו- CVE-2023-4430 הינם חולשות מסוג Use after free ברכיבים Loader ו Vulkan . הפגיעויות CVE-2023-4427 ו- CVE-2023-4428 הינם חולשות מסוג Out of bounds memory access ברכיבים V8 ו CSS. צוות קונפידס ממליץ לעדכן את גרסת ה-Chrome לעדכנית ביותר כדי להימנע מניצול של חולשה זו. (116.0.5845.110 עבור Mac ו-Linux ו-116.0.5845.110/.111 עבור Windows)
Cisco דיווחה על 6 חולשות במוצריה
חברת Cisco פרסמה דיווח על 6 חולשות שהתגלו במספר מוצרי החברה, 3 מהחולשות שהתגלו סווגו כגבוהות. החולשה הראשונה CVE-2023-20168 עם ציון CVSS 7.1 היא בממשקי TACACS+ ו-RADIUS במערכת ההפעלה של Cisco הנקראת NX-OS המשמשת בעיקר מתגים של Cisco. חולשה זו עשויה לאפשר לתוקף מקומי לבצע טעינה מחדש לערכים בעקבות חוסר אימות פקודות בעת ניסיון התחברות. ניצול מוצלח של החולשה עשוי להוביל למניעת שירות בעקבות טעינה חוזרת של פעולות במערכת. חולשה נוספת היא CVE-2023-20169 עם ציון CVSS 7.4 הנמצאת בפרוטוקול IS-IS במערכת ההפעלה NX-OS עבור המתגים בסדרות Nexus 3000 - ו-Nexus 9000. ניצול מוצלח של החולשה עשוי לאפשר לתוקף לא מאומת לאתחל את התהליך של פרוטוקול IS-IS ובעקבות זאת לגרום למערכת לבצע אתחול. חולשה זו נובעת מאימות לקוי בחסר בקבלת מנות מידע של פרוטוקול IS-IS. החולשה השלישית שמסווגת כגבוהה היא CVE-2023-20200 עם ציון CVSS 7.7 נמצאת בשירות SNMP במערכת ההפעלה FXOS של סיסקו עבור ה-Firewall בתוצרתה מסוגים Firepower 4100 Series, Firepower 9300 וגם במערכת UCS 6300 Series Fabric Interconnect. חולשה זו מאפשרת לתוקף מאומת ומרוחק לגרום למניעת שירות על ידי שליחת בקשת SNMP ספציפית שלא מאומתת בצורה נכונה על ידי המערכת. Cisco שחררו עדכוני אבטחה עבור כלל החולשות.
צוות קונפידס ממליץ לעדכן את המוצרים הרלוונטים לגרסה העדכנית ביותר כדי להימנע מניצול מוצלח של חולשות אלו.
חולשות ב-Apache Batik ברמת חומרה בינונית עלולות להוביל לחשיפת מידע רגיש
החולשות (CVE-2022-44729, CVE-2022-44730) שדווחו בשרתי האינטרנט של Apache הינם חולשות מסוג-Side Server Request Forgery אשר בניצול מוצלח עשויות לאפשר לתוקף לגשת למידע רגיש ב- Apache Batik.
Apache Batik היא ערכת כלים מבוססת Java המשמשת לעיבוד, יצירה וניהול של גרפיקות SVG. פורמט הקבצים SVG הוא כלי פופולרי להצגה של גרפיקות, תרשימים ואיורים דו ממדיים באתרי אינטרנט. הפגיעות הנ"ל יכולות להיות מנוצלות על ידי תוקף באמצעות קובץ SVG זדוני, המסוגל לבנות פרמטר המכיל את הנתונים הרגישים מהשרת ולבצע שליחה ישירות דרך כתובת ה-URL המוגרת מראש.
בתגובה לחשיפה זו, חברת Apache פרסמה עדכון שמטרתו לחסום משאבים חיצוניים כברירת מחדל וליצור החרגות (Whitelist) במנוע Rhino JS המהווה חלק ב-Apache Batik.
צוות קונפידס ממליץ למשתמשי המוצר לבצע עדכון לגרסה האחרונה 1.17 על מנת למנוע אפשרויות לניצול הפגיעויות הללו.
השבוע בכופרה
מתקפת כופרה על חברת אחסון CloudNordic גרמה להצפנת כל השרתים והגיבויים
ביום שישי 18-8-2023 בשעה 04:00 הותקפה חברת האחסון הדנית CloudNordic במתקפת כופרה. על פי החברה, התקיפה שיתקה את CloudNordic לחלוטין, ופגעה קשות בלקוחות ומערכות החברה לרבות: אתרי אינטרנט, מערכות דואר אלקטרוני, מערכות לקוחות, אתרי לקוחות וכו׳.
החברה סירבה לשלם את הכופר והעדיפה לשקם מחדש את מערכותיה. במהלך השיקום התגלה שחלק משמעותי של הנתונים אינו ניתן לשחזור.
התקיפה אירעה ככל הנראה כאשר הועברו שרתים ממרכז נתונים אחד לאחר. ככל הנראה השרתים במרכז הנתונים המקורי היה מזוהם והשרתים הגיעו לסביבה החדשה מודבקים. הדבר אפשר לתוקפים לקבל גישה למערכות ניהול מרכזיות ולמערכות הגיבוי. התוקפים הצליחו להצפין את כל הדיסקים של השרתים, ואת מערכת הגיבוי הראשונית והמשנית. החברה מציינת שלא נראה שהיה דלף מידע.
Discord מודיעה למשתמשים שלה שנפגעו מדלף מידע בחודש מרץ
Discord - רשת חברתית פופולרית , עם 150 מיליון משתמשים חודשיים פעילים, החלה להודיע למשתמשים שנפגעו מגניבת נתונים שקרו כתוצאה מתקיפה שהתרחשה השנה. הפרצה, שמקורה מספק שירות צד שלישי אשר התרחשה ב-29 במרץ, כללה גישה לא מורשית לחשבון של נציג תמיכת לקוחות. תקרית זו התגלתה ב-12 במאי באמצעות מיילים שנשלחו למשתמשים של הפלטפורמה. התוקפים הצליחו להשיג גישה לבקשות תמיכה שנמצאות בטיפול של נציג השירות, כתובות אימייל של משתמשים, התכתבויות שנעשו עם נציגי תמיכה אחרים וקבצים שצורפו לבקשות תמיכה על ידי המשתמשים. בתגובה, Discord השביתה במהירות את חשבון נציג התמיכה שנפרץ. לאחר חקירה פנימית של Discord עלה כי נחשף מידע אישי רגיש של 180 משתמשים בלבד. החברה הודיעה מיידית למשרד התובע הכללי על גניבת המידע, תוך פירוט ממצאיה למתן את הבעיה. גניבת המידע הוביל לחשיפת שמות משתמשים,מספרי רישיונות נהיגה ומספרי זהות.
סייבר בעולם
מתקפת כופר על חברת Seiko: מידע רגיש של החברה נחשף
חברת Seiko עדכנה ב-10 לאוגוסט תוקפים חדרו לחלק מתשתיות ה-IT של החברה וגנבו מידע. על פי ההודעה ב-28 ליולי השנה, זוהתה גישה לא מורשית ללפחות אחד משרתיה. בעקבות חקירה שבוצעה נמצאו עדויות לגישה למידע של החברה וחברות הבת אשר אוחסן בשרתי Seiko שנפרצו. ב-21 לאוגוסט קבוצת הכופרה BlackCat הודיעה כי הם אלו שאחראים למתקפה ואף פירסמו מידע, שלטענתם נגנב במהלך המתקפה המידע כולל תוכניות ייצור, סריקות דרכונים של עובדים, תוכניות להשקת דגמים חדשים. קבוצת התקיפה פרסמה לטענתם מידע טכני ותרשימים חסוים של שעוני החברה. חוקרים מחברת Curated Intel מצאו כי ב-27 ליולי יום אחד לפני הפריצה, פורסם בפורמים של האקרים למכירה מידע אודות הדרך להשגת גישה ניהולית מקומית בשרתי יצרנית יפנית, למרות שבפירסום לא צויין כי מדובר על חברת Seiko כן צויין כי לחברה הכנסה של 1.8 מיליארד דולר שזו ההכנסה של Seiko.
מתוך האתר של קבוצת התקיפה BlackCat
סייבר בגופי בריאות
זינוק בתובענות הייצוגיות נגד ארגוני בריאות כתוצאה מעליה חדה במתקפות הסייבר שגורמות לדלף מידע
ניתוח של בלומברג בנושא אירועי דלף מידע כתוצאה ממתקפות כופרה על בתי חולים וחברות ביטוחי בריאות מעמיד את החברות אל מול הליכים משפטיים יקרים. הממוצע החודשי של תובענות ייצוגיות חדשות שהוגשו על דלף מידע בריאותי עד כה השנה הוא כמעט כפול מהשיעור משנת 2022, על פי ניתוח בלומברג של 557 תלונות שהוגשו נגד חברות בבתי משפט פדרליים בחמש השנים האחרונות.
בתביעות קיימת דרישה לקבלת פיצוי של מיליוני דולרים והן הוגשו על ידי קבוצות גדולות של אנשים שהושפעו מדלף מידע כתוצאה ממתקפות סייבר על חברות בריאות. כידוע, תעשיית הבריאות היא אחת המטרות הנפוצות ביותר בקרב תוקפי סייבר, ובשנה האחרונה היא חוותה העלייה הגדולה ביותר בכופר הממוצע ששולם במקרה של מתקפות כופר (יותר מ-1.5 מיליון דולר) על פי דו"ח אבטחת סייבר שנתי שפורסם על ידי Baker & Hostetler LLP באפריל.
סייבר בישראל
שבעה אתרי היכרות ישראלים הושבתו ונגנב מהם מידע כתוצאה ממתקפת סייבר, ביניהם: ריצ'דייט אתר הכרויות לעשירים; shedate פלטפורמת הכרויות לנשים; KosherDate אתר הכרויות לאנשים ממגזר הדתי; Zivug4u "זיגוטה", ""ו-xydate. התקיפה התבצעה ככל הנראה על ידי גורמים איראניים.
על פי המידע שהותר לפרסום מדובר באירוע שככל הנראה נובע מפריצה לשרתי החברות המפעילות את שירותי ההיכרויות. בשלב הנוכחי חלק מהאתרים הורדו ואינם זמינים.
מערך הסייבר הלאומי עדכן ביום שני (22/8/2023) כי זיהה אינדיקציות לכך שמידע רגיש דלף ממספר האתרים. על מנת לצמצם את הפגיעה בפרטיות, הוצא צו איסור פרסום על התוכן שדלף וצו להסרת התוכן שדלף, מערך הסייבר הלאומי פעל כדי לסייע לצמצום אפשרויות הפרסום התוכן שדלף ואף נמסר כי יעדכן בצורה שוטפת על עדכונים נוספים לפעילות אלו.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.