עדכון שבועי 27.07.2023

עדכון אבטחה ל-Avaya Aura Device Services נותן מענה לחולשה ברמת חומרה גבוהה 

חברת Avaya שחררה עדכון אבטחה עבור אפליקציית הרשת Aura Device Services לאחר שהתגלתה שם חולשה ברמת חומרה גבוהה, שקיבלה את המזהה CVE-2023-3722 עם ציון CVSS 8.6. חולשה זו מכילה פגיעות הזרקת פקודות OS על ידי העלאת קובץ זדוני המכיל קוד זדוני וניצול מוצלח של חולשה זו עלול לאפשר לתוקף להריץ קוד לא מבוקר מרחוק על המערכת. צוות קונפידס ממליץ למשתמשים באפליקציה לעדכנה בהקדם.

​

Google Chrome שחררה עדכוני אבטחה לChromeOS

זוהו פגיעויות מרובות במערכת הפעלה ChromeOS, ושתיים הוגדרו ברמת חומרה גבוהה. תוקף מרוחק עלול לנצל חלק מהפגיעויות, על מנת לגרום למניעת שירות (DoS) וביצוע הרצת קוד על תחנת הקצה של הגורם המותקף. הפגיעויות CVE-2023-3729, CVE-2023-3731 משפיעות על פונקציונליות של "Aura Shell", מנהל החלונות וממשק המשתמש של המערכת עבור Chrome OS. מניפולציה זדונית על הרכיב עלולה לגרום לפגיעות בשם Use-After-Free (תקיפה על גבי הזיכרון של התוכנה). הפגיעות CVE-2023-3732 , הינה אמנם פגיעות ברמה נמוכה, אבל משפיעה על הרכיב Titan C firmware, ועלולה לגרום ל-Out-of-bounds read (כלומר, תוקף יכול לקרוא מידע רגיש מהזיכרון או לגרום לקריסה של התוכנה. הגרסאות הפגיעות הינן: Chrome OS: before 115.0.5790.131. עדכוני האבטחה נמצאים בגסאות הבאות: OS version: 15474.61.0 Browser version: 115.0.5790.131. צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

​

CISA פרסמה מסמך המכיל טקטיקות ונהלים בכדי להימנע מהחולשה המנוצלת והקריטית בשרתי Citrix

CISA פרסמה אזהרת אבטחה לגבי ניצול הפגיעות של Citrix CVE-2023-3519 . ניצול מוצלח של פגיעות זאת עלול לאפשר לתוקף להריץ קוד זדוני מרחוק (RCE)  - מה שמשפיע על המוצרים הבאים: ( Citrix Application Delivery Controller (ADC ו-gateway. פגיעות זו נוצלה לרעה על ידי תוקפים כפגיעות Zero Day והשתמשו בפגיעות זו כדי להשתיל webshell על מכשירי NetScaler ADC פגיעים בארגוני תשתיות קריטיים. ביוני 2023, ארגון תשתיות אמריקאי נפל קורבן למתקפה זו, מה שאיפשר לתוקפים לחדור ולהפיל את הרשת במוצר-NetScaler ADC שלהם והם הצליחו לאסוף ולחלץ נתוני AD רגישים. נחשף כי למעלה מ-15,000 שרתי Citrix NetScaler ADC ו-Gateway עדיין היו פגיעים להתקפות RCE, מה שמדגיש את הדחיפות לעדכונים בזמן. CISA סיפקה רשימה של טקטיקות, טכניקות ונהלים (TTPs) המשותפים לארגון הקורבן כדי לעזור לאחרים לזהות סימני פשרה. הם קוראים לארגונים לנקוט בפעולה מיידית כדי לאבטח את שרתי ה-Citrix שלהם מפני התקפות מתמשכות. ניתן למצוא את המסמך המלא כאן.

​

Apple שחררה עדכוני אבטחה חדשים למערכת ההפעלה MacOS Ventura

Apple שחררה עדכון אבטחה למערכת ההפעלה macOS Ventura 13.5. נמצאו  11 פגיעויות שונות בסביבת הKernel , הפגיעויות עלולות לגרום לדברים הבאים: הרצת קוד לא מבוקר ע״י אפליקציה במערכת: CVE-2023-32734 ,CVE-2023-32441 ,CVE-2023-38261 CVE-2023-38424, CVE-2023-38425, CVE-2023-32381, CVE-2023-32433, CVE-2023-35993. הפרצות נגמרות עקב מניפולציה על הזכרון של ה-Kernel. משתמש עלול להעלות הרשאות: CVE-2023-38410.  משתמש עלול לגרום למניעת שירות.CVE-2023-38603. טרם דווחו ציונים לפגיעויות של מוצרי אפל, אך צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

​

עדכון אבטחה לIvanti Endpoint Manager Mobile נותן מענה לחולשה קריטית 

פגיעות קריטית, CVSS-10.0 CVE-2023-35078, זוהתה ב-(Ivanti Endpoint Manager Mobile (EPMM, הידועה בעבר בשם MobileIron Core. פגיעות זו באה לידי ביטוי בניסיון השגת גישה מרחוק לא מאומתת של API והיא משפיעה על הגרסאות  11.10, 11.9 ו-11.8 ועל גרסאות ישנות יותר. ניצול מוצלח של חולשה זו יכול לאפשר לתוקף מרוחק  לגשת למידע שאפשר לראות רק לאחר זיהוי אישי של המשתמש  ולהשיג שליטה על המערכת של המשתמש ללא צורך באימות. החברה קיבלה דיווחים על ניצול החולשה והיא חוקרת באופן אקטיבי את המצב,  ונדרשת פעולה מיידית כדי להגן מפני פגיעות זו. צוות קונפידס ממליץ לעדכן את כל מוצרי Ivanti שברשותכם לגרסה העדכנית בהקדם אפשרי.

​

פגיעות קריטית של MikroTik RouterOS חושפת למעלה מחצי מיליון מכשירים לפריצה

פגיעות חמורה של העלאת הרשאות המשפיעה על MikroTik RouterOS עלולה להיות משומשת ע״י תוקפים מרוחקים, התוקפים יכולים לתפוס שליטה מלאה על מכשירים פגיעים. הפגיעות מזוהות כ- CVE-2023-30799  (שהן בעלות CVSS score: 9.1), צפויה להעמיד כ-500,000 ו-900,000 מערכות RouterOS בסכנת ניצול דרך ממשק האינטרנט של המערכת. הפגיעות אכן דורשת אימות, ולמעשה, הפגיעות עצמה היא הסלמה פשוטה של ​​הרשאות מ-admin ל-"סופר-admin". בכך היא מביאה לגישה לקריאת פונקציה שרירותית. ההזדהות מאוד קלה להשגה מאחר ואין מנגנון המונע התקפת Brute-force. מאחר והחברה לא אוכפת פוליסת סיסמא חזקה, סיסמת ברירת המחדל של "אדמין" היא מחרוזת ריקה  או מאוד פשוטה בחלק גדול מהמקרים. עדכון הגרסה העדכני ביותר הינו (6.49.8 או 7.x). צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

​

VMware פרסמה עדכון אבטחה הנותן מענה לחולשה קריטית

VMware פרסמה עדכון אבטחה לחולשה ב(Tanzu Application Service for VMs (TAS for VMs ו-Isolation Segment. הפגיעות CVE-2023-20891, עלולה לאפשר לתוקף מרוחק עם הרשאות נמוכות לגשת לאישורי הניהול של Cloud Foundry API, ללא אינטראקציה עם המשתמש. ניצול מוצלח של חולשה זאת יכולה לאפשר לתוקף לדחוף גרסאות זדוניות של יישומים רנדומלים. עם זאת, VMware מייעצת לכל משתמשי ה-TAS המושפעים ועבור משתמשי ה-VM לבטל את אישורי הניהול שלהם ב-Cloud Foundry API,  כדי למנוע גישה לא מורשית (עד לעדכון הגרסה). VMware מזהירה ששינוי סיסמת המשתמש של המנהל UAA אינו נתמך רשמית, אך מספקת הנחיות מפורטות למי שרוצה לעשות זאת (ניתן לראות הנחיות מפורטות כאן). ההנחיות מגיעות לאחר המאמצים האחרונים של VMware לטפל בפרצות אבטחה אחרות בחומרה גבוהה במוצרים שלה. צוות קונפידס ממליץ להחיל את עדכון האבטחה בהקדם האפשרי כדי להגן על המערכות והנתונים שלכם.

​

חולשות הסלמת הרשאות משפיעות על כ-40% ממשתמשי Ubuntu

חוקרים מחברת Wiz מצאו שתי חולשות ברכיב Overlay FS שאחראי על ניהול ויישום משאבי המערכת ונמצא ב-kernel של הפצת Ubuntu ב-Linux שעלולות לאפשר למשתמש לוקאלי ללא הרשאות להסלים את הרשאותיו לאחר ניצול החולשה. חולשה CVE-2023-2640 (שקיבלה ציון CVSS 7.8, המגדיר אותה גבוהה), מאפשרת למשתמש להסלים הרשאות על ידי ניצול ליקוי בתהליך בדיקת הרשאות. חולשה CVE-2023-32629 (שקיבלה ציון CVSS 7.8 , המגדיר אותה גבוהה גם כן), מאפשר למשתמש לוקאלי להריץ קוד לא מבוקר על ידי ניצול תהליך לקוי במערכת ניהול הזיכרון ב-kernel. לפי הדיווח של Wiz, כ-40% ממשתמשי Ubuntu חשופים לפגיעות זו, ו- Ubuntu שחררה עדכון אבטחה המתקן את פגיעויות אלו. צוות קונפידס ממליץ לעדכן את גרסת ה-Ubuntu לעדכנית ביותר כדי להימנע מניצול פוטנציאלי של חולשה זו.

GitHub מזהירה מפני קמפיין Social Engineering של קבוצת התקיפה Lazarus
בGitHub פרסמו אזהרה מפני קמפיין Social Engineering שנעשה ע״ קבוצת התקיפה הצפון קוראינית Lazarus,  הידועה גם בשם Jade Sleet ו-TraderTraitor. הקמפיין מכוון למפתחים במגזרים הקשורים לבלוקצ'יין, מטבעות קריפטוגרפיים, הימורים מקוונים ועוד. התוקפים יוצרים פרופילים מזוייפים ב-GitHub ובמדיה חברתית, כדי ליזום שיחות עם המטרות שלהם. לאחר מכן, הם מזמינים את היעדים לשתף פעולה במאגרי GitHub, המכילים פרויקטים הקשורים לנגני מדיה ולכלי קריפטוגרפיה. הם מתחילים לעשות זאת בעזרת שכנוע הקורבן להוריד תוכנה זדונית (קבצים, פרוקייטים מסויימים). GitHub השעתה את החשבונות המושפעים והמדווחים ופרסמה רשימה של אינדיקטורים לזיהוי. מומלץ למשתמשים להיות זהירים לגבי הזמנות פתאומיות ולא מוכרות, לשתף פעולה במאגרי המידע והפרוייקטים ולהיות עירניים תמיד. 
 

נוזקת Realst ב-macOS גונבת ארנקי קריפטו

נוזקה חדשה ב-macOS הנקראת ״Realst״ משומשת בקמפיין רחב עבור מחשבי אפל, ומטרתה העיקרית היא לגנוב ארנקי קריפטו. הנוזקה מופצת על ידי משחקי blockchain מזוייפים, שגונבים מידע מדפדפני הקורבנות ולאחר מכן מתבצעת גם גניבת מידע מאפלקיציות של ארנקי קריפטו. הנוזקה אובחנה ונותחה על ידי SentinelOne ונמצא שיש 16 וריאנטים שונים עבורה, חלקן בעלות קוד חתום על ידי Apple developer ID , המאפשר מעקף מגילוי של תוכנות אבטחה רבות. מפתחי הנוזקת "Realst" מעדכנים אותה באופן שוטף, וחלק מהגרסאות החדשות תומכות ב-macOS 14 שטרם שוחררה ועדיין בפיתוח. משתמשי macOS מתבקשים להזהר עם משחקי blockchain אשר מופצים דרך Discord ו-Twitter. צוות קונפידס ממליץ להזין את מזהי התקיפה במערכות ההגנה בארגון.

סייבר בעולם

בJumpCloud חושפים את קבוצת ״ריגול״ הסייבר של צפון קוריאה - “UNC4899” 

תוקפים מצפון קוריאה הקשורים ללשכה הכללית המדינית (RGB) נחשפו בפריצת JumpCloud עקב שגיאת אבטחה תפעולית (OPSEC) שחשפה את כתובת ה-IP האמיתית שלהם. כך הבינו שלקבוצת התקיפה, המכונה UNC4899, יש קישורים לקבוצות אחרות המכוונות למגזרי בלוקצ'יין ומטבעות קריפטוגרפיים. ההתקפה התרחשה באמצעות קמפיין פישניג מתוחכם שניצל מתקפת Chain, והשפיע על כמה לקוחות ומערכות. התוקפים השתמשו בתוכנות זדוניות מותאמות אישית כמו: FULLHOUSE.DOORED, STRATOFEAR ו-TIEDYE, כדי לקבל גישה ולבצע משימות שונות במערכות שנפרצו. המתקפה מדגישה את העניין המתמשך של צפון קוריאה בשוד מטבעות קריפטוגרפיים וב״ריגול״ סייבר. קבוצה צפון קוריאנית אחרת בשם Kimsuky נמצאה גם היא משתמשת ב-Chrome Remote Desktop בהתקפות פישניג נגד משתמשים קוריאנים. קבוצת Lazarus שהיא גם קבוצת תקיפה צפון קוריאנית שהפגינה יכולת הסתגלות והסתתרות בהתקפותיה. תקריות אלו רק מדגישות את הצורך בערנות באבטחה מפני איומי סייבר מצפון קוריאה. התרשים להלן של Mandiant מציג את דרכי הפעולה של קבוצת UNC-4899. 

​

​

​

​

​

​

​

​

​

​

​

​

​

מקור: The Hacker News, 25.7.23

​

​

קבוצת האקרים Lazarus נקשרה לשוד של 60 מיליון דולר במטבעות קריפטוגרפיים של Alphapo

אנליסטים של הבלוקצ'יין מאשימים את קבוצת התקיפה ל-Lazarus הצפון קוריאנית במתקפה האחרונה על פלטפורמת עיבוד התשלומים Alphapo שבה התוקפים גנבו כמעט 60 מיליון דולר בקריפטו. גניבה זו כללה סכום שמסתכם בלמעלה מ-23 מליון דולר במטבעות שונים, כולם הוחזקו  בארנקים חמים. הפריצה התאפשרה, ככל הנראה, בגלל דליפה של מפתחות פרטיים. חוקר רשתות הקריפטו הידוע "ZackXBT" הזהיר אתמול כי התוקפים רוקנו גם 37 מיליון דולר נוספים של TRON ו-BTC, כפי שניתן לראות בנתוני Dune Analytics, מה שהעלה את הסכום הכולל שנגנב מAlphapo ל-60,000,000 דולר.