WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 25.02.2021

עיקרי הדברים

  1. תוקפים מנצלים את Google Alerts להפצת נוזקות.

  2. מיקרוסופט מאשרת: תוקפי SolarWinds השיגו גישה לקטעי קוד מקור.

  3. מתקפת כופרה על ספקית ה-IT הפינית TietoEVRY מובילה להשבתת עשרות חברות.

  4. קבוצת הכופרה Clop עומדת מאחורי מתקפת הסייבר על Accellion.

  5. אנו ממליצים לעדכן את המערכות הבאות: מוצרי VMware (קריטי), מוצר 100 SonicWall SMA (קריטי), IBM Integration Designer (קריטי,  דפדפן Firefox של מוזילה (גבוה), מוצר AnyConnect Secure Mobility Client. 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-AnyConnect Secure Mobility Client
Mozilla מפרסמת עדכוני אבטחה ל-Firefox
חולשה קריטית בסט הכלים של IBM Integration Designer
עדכון אבטחה קריטי ל-100 SonicWall SMA
עדכוני אבטחה קריטיים למוצרי VMware

התקפות ואיומים

דלף מידע מרשת הסופרמרקטים Kroger
באג בדפדפן Brave חשף נתוני גלישה ב-Dark Web
תוקפים מנצלים את Google Alerts להפצת נוזקות
מיקרוסופט מאשרת: תוקפי SolarWinds השיגו גישה לקטעי קוד מקור
פריצה לאפליקציית Video Chat Clubhouse עקב פיתוח צד ג׳

השבוע בכופרה

Underwriters Laboratories חווה כופרת ענק
מתקפת כופרה על ספקית ה-MSP הפינית TietoEVRY מובילה להשבתת עשרות חברות
קבוצת הכופרה Clop עומדת מאחורי מתקפת הסייבר על Accellion

סייבר בעולם

חברת Immunefi משלמת כמיליון דולר ל״האקר לבן״


כנסים

 
 

הציטוט השבועי

״שום דבר לא עצר את המדינה העבריינית ממעשי הנקם שלה ומהשגת כספים לשם תמיכה במשטר.״  

ממלא מקום עורך הדין טרייסי ל׳ ווילקיסון במחוז המרכז בקליפורניה, בכתב האישום נגד האקרים צפון קוריאניים. 

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-AnyConnect Secure Mobility Client

העדכון שפרסמה Cisco למוצר פותר חולשה (CVE-2021-1366, CVSS 7.8) מסוג DLL Hijacking, העלולה לאפשר לתוקף להשתלט על עמדה בה מותקנת גרסה פגיעה.

אנו ממליצים לבעלי המוצר להטמיע את העדכון בהקדם.

Mozilla מפרסמת עדכוני אבטחה ל-Firefox

עדכוני האבטחה לגרסה 86 של הדפדפן נותנים מענה ל-12 חולשות, מתוכן 6 ברמת חומרה גבוהה. ניצול מוצלח של החולשות עלול להוביל להשתלטות מרוחקת, להדלפת מידע מהדפדפן, לביצוע מתקפת XSS ועוד.
אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם בהקדם לגרסתם האחרונה.

חולשה קריטית בסט הכלים של IBM Integration Designer

השבוע פורסם דבר קיומה של החולשה (CVE-2020-27221, CVSS 9.8), אשר התגלתה כבר בדצמבר 2020 במערכת ה-Java Runtime Environment מבית IBM. מערכת זו משמשת בסיס למגוון מוצרים ושירותים אחרים של החברה, ולכן מעמידה בסכנה ממשית מערכות וארגונים רבים. הפגיעות רלוונטית לגרסאות 8.5.7, 19.0.0.2 ו-20.0.0.1-2 של המוצר IBM Integration Designer אשר עושות שימוש בגרסאות 7 או 8 של מערכת ה-Java Runtime Environment.

אנו ממליצים להתעדכן בהנחיות IBM למיטיגציה, שעד לכתיבת שורות אלה טרם פורסמו.


עדכון אבטחה קריטי ל-100 SonicWall SMA 

עדכון האבטחה למוצר, המשמש ארגונים לשם גישה מאובטחת למשאבי הארגון מחוץ לרשת הפנימית, מכסה חולשת Zero-day קריטית. ניצול חולשה זו מוביל להתנהגות שגויה של השרת ביחס לבקשות SQL, באופן המאפשר, בסופו של דבר, גישה מלאה לממשק למשתמש שאינו מאומת.

אנו ממליצים לחברות העושות שימוש במוצר לעדכן בדחיפות את ה-Firmware של המערכת לגרסה 10.2.0.5-d-29sv, ובמקביל להפעיל את ה-MFA במערכת.

עדכוני אבטחה קריטיים למוצרי VMware

העדכונים שפורסמו רלוונטיים למוצרים הבאים:
VMware ESXi
(VMware vCenter Server (vCenter Server
(VMware Cloud Foundation (Cloud Foundation

זאת ועוד, במוצר vSphere נמצאה חולשה קריטית (CVE-2021-21972, CVSS 9.8) העלולה לאפשר לתוקף בעל גישה לפורט 443 להריץ פקודות מרוחקות על שרת vCenter.

אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם בהקדם לגרסתם האחרונה.

התקפות ואיומים

דלף מידע מרשת הסופרמרקטים Kroger

Kroger, המונה יותר מ-2,800 סניפים וכחצי מיליון עובדים ב-35 מדינות, היא אחת מרשתות הצריכה הגדולות בארה״ב. מתקפת הסייבר הגיעה לידיעתה ב-23 בינואר, לאחר שפריצה למערכותיה של חברת Accellion, שבמוצרי התוכנה שלה משתמשת רשת הסופרמרקטים, הביאה לדלף מידע הנוגע לעובדי Kroger ולשירותי הפארמה שהיא מספקת. עד כה לא דווח אילו פרטים דלפו, אך מטעם החברה נמסר כי היא ניתקה את שרתיה מהרשת ברגע שהגיע לידיה דבר הפריצה, ונקטה בצעדים מידיים למניעת דליפה של מידע נוסף.

באג בדפדפן Brave חשף נתוני גלישה ב-Dark Web

נתוני הגלישה לכתובות של אתרי Tor onion, הנמצאים ברשת השחורה, דלפו לספק ה-DNS המוגדר על מחשבי המשתמשים, זאת למרות שבדפדפן Brave, המבוסס Chromium, נערכו שינויים שמטרתם לאפשר למשתמשים ליהנות מפרטיות בגלישה. בין השינויים הללו מצויים חוסם מודעות מובנה, הגדרות נרחבות לשליטה על המידע הנחשף על ידי המשתמש ודפדפן Tor מובנה, המאפשר גישה ל-Dark Web ופועל כ-Proxy השולח את בקשת ה-DNS לרשת ה-Tor ומחזיר ממנה את ה-HTML. פיצ׳ר אחרון זה הוא האלמנט בו אותר הבאג, אשר בעטיו כל בקשות ה-DNS נשלחות הן ל-Proxy והן לספק ה-DNS המוגדר על המחשב. הבאג, שכבר היה ידוע לצוות הפיתוח של Brave, תוקן בגרסת הבטא האחרונה של הדפדפן, אך לפי הודעת החברה התיקון יופץ רק במסגרת גרסת המוצר היציבה הבאה שתתפרסם.

תוקפים מנצלים את Google Alerts להפצת נוזקות

על פי מגזין אבטחת המידע BleepingComputer, התוקפים מפרסמים כתבות וסיפורים מזויפים המכילים מילות מפתח פופולריות, על מנת שמי שיחפש את המילים הללו ב-Google Alerts, יקבל התראה שבעקבותיה יבצע גישה לאתרי התוקפים. בקמפיין שזוהה ״קופצת״ התראה בדפדפן המשתמש, אשר קוראת לביצוע עדכון אבטחה ל-Adobe Flash Player, תוך ניצול העובדה שרבים אינם מודעים לכך שהתוכנה כבר אינה נתמכת על ידי דפדפני הגלישה. בעת לחיצה על כפתור ההורדה, מורדת למחשב תוכנה בשם One Update. למרות שעד לרגע זה לא נצפתה הפצת נוזקה על ידי התוכנה, אופן הפעולה מזכיר מקרים רבים מן העבר, בהם הוביל הדבר להורדת כורי מטבעות קריפטוגרפיים וסוסים טרויאניים גונבי סיסמאות.
אנו ממליצים להתייחס במשנה זהירות ובחשדנות להודעות הקופצות על מסך המחשב בעת גלישה באינטרנט, שכן רובן ככולן מהוות חלק מתרמית.

מיקרוסופט מאשרת: תוקפי SolarWinds השיגו גישה לקטעי קוד מקור

מדיווח החברה עולה כי בחודש דצמבר זיהתה פעילות חשודה בשרתיה, ואילו בינואר איתרה ניסיונות גישה למערכותיה. בחקירת התקריות התברר כי אכן בוצעו גישה והורדה של קטעי קוד מקור של Azure, Intune ו-Exchange, אך בשל מדיניות החברה, האוסרת על הטמעת פרטים מסווגים בתוך קטעי קוד, לא נמצאו מידע ״חי״ או פרטי גישה לסביבות פיתוח בקטעי הקוד שהודלפו.

פריצה לאפליקציית Video Chat Clubhouse עקב פיתוח צד ג׳

בעוד שאחד ממאפייניה העיקריים של האפליקציה הוא האפשרות להיכנס ל״חדרי משתמשים״ רק באמצעות קישורים ספציפיים המצויים בידי ״בעל החדר״, פרצה שהתגלתה ביישומון אפשרה למשתמש שאינו מאומת להאזין לקבצי אודיו של שלל משתמשים מ״חדרים״ רבים ולהעלותם לאתר צד ג׳. הפרצה התאפשרה באמצעות תוכנה שפיתח מפתח צד ג׳ לשם תמיכה ב-Video Chat Clubhouse במכשירי אנדרואיד, שכן במקור האפליקציה מיועדת רק לבעלי מכשירים מבוססי iOS. התגלית מצביעה גם על כך שכל השיחות המתקיימות דרך האפליקציה מוקלטות, דבר המעלה סוגיות כבדת משקל בנושאי הפרת פרטיות.

השבוע בכופרה

Underwriters Laboratories חווה כופרת ענק

החברה הגדולה והוותיקה בארה״ב בתחום אישורי הבטיחות, המונה כ-14,000 עובדים ומשרדים ב-40 מדינות, ספגה מתקפת כופרה רחבת היקף, אשר התרחשה ב-13 בפברואר והובילה את החברה להשבתת שירותיה, בהם גם פורטל הלקוחות שלה, myUL. על לקוחותיה של Underwriters Laboratories נמנות מרבית החברות המשווקות בארה״ב מוצרים חדשים הדורשים אישורי בטיחות, אותם מעניקה חברת הענק. אי לכך, הלוגו של Underwriters Laboratories מופיע על אינספור מכשירים המשווקים בארה״ב, בהם שלטי טלוויזיה, מחשבים ניידים, נורות תאורה ומטענים מתוצרתApple. על פי דיווח החברה, היא חוקרת כעת את האירוע ופועלת נמרצות לחזרה מלאה לשגרה. טרם ידוע איזו כופרה הייתה מעורבת במתקפה.

מתקפת כופרה על ספקית ה-MSP הפינית TietoEVRY מובילה להשבתת עשרות חברות

דבר התקיפה התברר לאחר שבמשרדי חברת ה-IT הסקנדינבית, המשרתת מאות חברות בפריסה עולמית, התקבלו תלונות מעשרות לקוחות אשר טענו כי שירותים מסוימים אינם זמינים ברשתותיהם. בהודעה לעיתונות מסרה TietoEVRY כי הפעילה מומחים העומלים במרץ לתיקון התקלות, וכי היא מעדכנת באופן שוטף את הלקוחות שנפגעו כתוצאה מהתקיפה. עוד הודיעו נציגים מטעם החברה כי המתקפה התפשטה אל הלקוחות דרך תשתית ושירותים שהיו נגועים בכופרה, אך טרם ידוע כיצד התבצעה הגישה הראשונית למערכות החברה.

קבוצת הכופרה Clop עומדת מאחורי מתקפת הסייבר על Accellion

בהמשך לידיעה הקודמת, כנופיית הכופרה הידועה זוהתה על ידי חטיבת מחקר של חברת FireEye כמקור המתקפה על ענקית מוצרי התקשורת Accellion. במהלך התקיפה עלה בידי קבוצת התקיפה להשיג גישה למוצר ה-File Transfer Appliance של Accellion, המשמש 300 לקוחות בלבד. על פי הממצאים, כ-100 משתמשים נפגעו מהפריצה, פחות מ-25 מהם באורח קשה.

הצהרה משותפת שפורסמה על ידי CISA בשיתוף עם סמכויות סייבר ב: אוסטרליה, ניו-זילנד, סינגפור, אנגליה וארה״ב מזהירה מפני תקיפה זו.

מבין לקוחות החברה שנפגעו: חברת Bombardier יצרנית רכיבי תעופה קנדית, רשת הסופרמרקטים Kroger (מצויין בפסקה לעיל), הבורסה המרכזית של ניו זילנד ועוד.

אנו ממליצים ללקוחות Accellion FTA להטמיע את הבקרות במסמך הנ״ל ולהקפיד על עדכון תוכנות באופן רציף.

25.2.21-2.png
25.2.21-1.png

סייבר בעולם

 

חברת Immunefi משלמת כמיליון דולר ל״האקר לבן״

החברה, העוסקת בפיתוח חוזים חכמים, שילמה לאלכסנדר שלינדוויין סכום של מיליון Armor Tokens (השווה, נכון לרגע זה, ל-976 אלף דולר) עבור מציאת פירצת אבטחה ב״חוזה חכם״ של חברת AmorFi. החולשה קוטלגה כקריטית, כיוון שניצולה עלול לאפשר לתוקף לבצע מניפולציה על הנתונים המוזנים בזמן מימוש חוזה ולמשוך סכומים הגבוהים עד פי 18^10 מאלה המצויים בחשבונו. כאילו שאין די בתשלום הנדיב, ה-CTO של ArmorFi נענה לבקשתו של ההאקר לקעקע את שמו על גופו!

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.