דו״ח סייבר שבועי
עדכון שבועי 29.06.2022
עיקרי הדברים
1. ישראל: בעקבות תקלה במאגר המידע של פוע״ה הודלפו פרטים אישיים של נשים הרות.
2. מערך הסייבר של ישראל מקדם הקמת פלטפורמה לשיתוף פעולה בין מדינתי בנושא מתקפות כופרה.
3. סייבר ולוגיסטיקה: מתקפות Watering Hall על אתרי חברות ספנות ולוגיסטיקה ישראלים.
4. החולשה ב-MOVEit הובילה לדלף מידע של על-4.75 מיליון לקוחות חברת PBI.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Fortinet (קריטי); מוצר Grafana (קריטי); מוצר Roundcube (קריטי); מוצר Bind 9 (גבוה); מוצר Cisco Duo Authentication (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חברת Fortinet הוציאה עדכון אבטחה לחולשה ברמת חומרה קריטית
עדכון אבטחה ל-Grafana נותנים מענה לחולשה ברמת חומרה קריטית
חולשה ב-Cisco Duo Authentication ברמת חומרה בינונית
נמצאה פגיעות בתוכנת Roundcube ברמת חומרה קריטית
עדכון אבטחה ל BIND 9 נותן מענה לשלוש חולשות ברמת חומרה גבוהה
עדכון אבטחה למוצר Arcserve הנותן מענה לחולשה ברמת חומרה גבוהה מסוג Privilege Escalatio
התקפות ואיומים
החולשה ב-MOVEit הובילה לדלף מידע של על-4.75 מיליון לקוחות חברת PBI
סייבר בעולם
CISA מוסיפה חמישה חולשות חדשות לקטלוג החולשות המנוצלות שלה
סייבר בספנות ולוגיסטיקה
מתקפות Watering Hall על אתרי חברות ספנות ולוגיסטיקה ישראלים
סייבר בישראל
בעקבות תקלה במאגר המידע של פוע״ה הודלפו פרטים אישיים של נשים הרות
ראש מערך הסייבר הלאומי בכנס שבוע הסייבר: "כל מי שמבצע מתקפות סייבר נגד אזרחי ישראל צריך לקחת בחשבון את המחיר שהוא ישלם על כך.
מערך הסייבר של ישראל מקדם הקמת פלטפורמה לשיתוף פעולה בין מדינתי בנושא מתקפות כופרה
כנסים
הציטוט השבועי
_"כל מי שמבצע מתקפות סייבר נגד אזרחי ישראל צריך לקחת בחשבון את המחיר שהוא ישלם על כך"_
- גבי פורטנוי ראש מערך הסייבר הלאומי בכנס שבוע הסייבר באוניברסיטת ת"א
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חברת Fortinet הוציאה עדכון אבטחה לחולשה ברמת חומרה קריטית
Fortinet פרסמה עדכון אבטחה אודות חולשה שהתגלתה במוצר ההגנה-FortiNAC בכל הגרסאות המוצר הנמוכות מ-7.2.1, 9.4.3, 9.2.8 וכל הגרסאות הקודמות מ- 8.x כאשר החמורה (CVSS 9.6) שבה עלולה לאפשר לבצע קוד שרירותי (RCE).
FortiNAC הינה מערכת בקרת גישה לרשת המפקחת ומגנה על כל הנכסים הדיגיטליים המחוברים לרשת ארגונית, ולכן רכיב זה הינו קריטי במיוחד עבור ארגונים המשתמשים בו.
ניצול מוצלח עשוי לאפשר להריץ קוד שרירותי לא מבוקר על המערכת של הקורבן על ידי שליחה של בקשות זדוניות מותאמות דרך השירות שעובר בפורט tcp/1050.
צוות קונפידס ממליץ לצוותי האבטחה לעדכן את גרסת המוצר לגרסה העדכנית כדי למנוע פגיעויות אלו.
עדכון אבטחה ל-Grafana נותנים מענה לחולשה ברמת חומרה קריטית
Grafana היא אפליקציית קוד פתוח מרובת-פלטפורמות לניתוח ו-ויזואליזציה אינטראקטיביים. היא מספקת תרשימים, גרפים והתראות בממשק אינטרנטי, ומתחברת למקורות נתונים נתמכים. העדכון שפורסם עבור המוצר נותן מענה לחולשה (CVE: 2023-3128) ברמת חומרה קריטית (CVSS 9.4) אשר עלולה לאפשר למשתמש שאינו מאומת לבצע שאילתות על נקודת קצה ב-Grafana ומאפשר שליטה מלאה על חשבון המשתמש, כולל גישה לנתוני הלקוחות ומידע רגיש. ב-Azure AD, שדה האימייל של הפרופיל אינו ייחודי בין משתמשי Azure AD, מה שמאפשר השתלטות על חשבון Grafana ועקיפה של אימות.
כל משתמשי Grafana עם Azure AD OAuth מוגדר ללא הגדרת allow_groups מושפעים ויכולים להיפגע במידה ולא יעדכנו את הגרסה בהקדם.
העדכון רלוונטי עבור גרסאות נמוכות מ-6.7.0. צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
חולשה ב-Cisco Duo Authentication ברמת חומרה בינונית
במהלך בדיקות אבטחה פנימיות בחברת Cisco, התגלתה חולשה (CVE-2023-20123 CVSS 6.3) בפיצ׳ר של תוכנת Cisco Duo ב-WIndows ו-MacOS. תוכנה זו מרכזת קודים לאימות דו שלבי. הפיצ׳ר בו נמצאה החולשה מאפשר לאמת חיבורים למערכות MacOS ו-Windows גם כאשר אין חיבור לאינטרנט. החולשה נובעת מכך שקודי אימות ההתחברות לא פגי תוקף בצורה נכונה ובעקבות כך נוצר מצב שתוקף יכול לאמת חיבור על ידי קוד שכבר פג תוקף ודבר זה מוביל להתחברות לא מורשית. על פי סיסקו אין דרך התמודדות עם חולשה זו פרט לעדכון גרסת Cisco Duo לעדכנית ביותר ששוחררה זמן קצר לאחר גילוי החולשה.
צוות קונפידס ממליץ לעדכן את גרסת Cisco Duo Authentication לעדכנית ביותר כדי להימנע מניצול חולשה זו.
נמצאה פגיעות בתוכנת Roundcube ברמת חומרה קריטית
דווחו 3 חולשות בתוכנת הדואר האלקטרוני החינמית בשם Roundcube. תוכנה זו מותקנת כברירת מחדל כחלק מתוכנות המשמשות לניהול שרתי WEB כמו cPanel ו-WHM. ה-CISA פרסם כי חולשות אלו נוצלו על ידי תוקפים והוסיפה את חולשות אלו לקטלוג הפגיעויות המנוצלות בפועל כרגע בעולם נכון לעכשיו.
שלושת החולשות הן:
צוות קונפידס ממליץ לעדכן את גרסת תוכנת Roundcube לעדכנית ביותר כדי להימנע מניצול חולשות אלו.
עדכון אבטחה ל BIND 9 נותן מענה לשלוש חולשות ברמת חומרה גבוהה
ארגון ISC פירסם עידכון אבטחה הנתון מענה לשלושה חולשות ברמת חומרה גבוהה בתוכנה BIND 9 שהיא תוכנת קוד פתוח הנותנת שירותי domain name system. החולשות שהתגלו הם: CVE-2023-2828, CVE-2023-2829 ו CVE-2023-2911 שלושת החולשות קיבלו דירוג חומרה קריטי וניתן לבצע ניצול שלהם מרחוק, תוקף בניצול מוצלח של חולשות אלו יכול לגרום למערכת להיכנס למצב של denial-of-service.
צוות קונפידס ממליץ למשתמשי מוצר זה לבצע עידכון גרסה לגרסה האחרונה כפי שפורסמה על ידי חברת ISC על מנת להימנע מפגיעות לחולשות אלו.
עדכון אבטחה למוצר Arcserve הנותן מענה לחולשה ברמת חומרה גבוהה מסוג Privilege Escalation
חברת פתרונות גיבוי ואבטחת המידע הוציאה עדכון אבטחה לחולשה (CVE-2023-26258) הקשורה לUnified Data Protection) UDP) העלולה לאפשר לתוקף לא מאומת גישה מלאה לניהול המכשיר כאדמין.
UDP הוא פתרון כולל אשר מגן על המידע הארגוני ממתקפות כופר, אסונות טבע, כשלי חומרה ובעיות תפעוליות. המוצר מציע יכולות קריטיות לתמיכה בהתאוששות ממגוון אסונות והמשכיות עסקית. המוצר כולל, בין היתר, עמידות מלאה מול מתקפות כופר, קונסולת ניהול מאוחדת ומבוססת-ענן, יישום והגנת מידע הטרוגניים, הגנה אופטימלית על מידע, יכולות ענן ואינטגרציה עמוקה, ויכולות נוחות לניהול ודיווח.
צוות קונפידס ממליץ לכל משתמשי Arcserve לעדכן לגרסאות העדכניות בהקדם האפשרי.
התקפות ואיומים
החולשה ב-MOVEit הובילה לדלף מידע של על-4.75 מיליון לקוחות חברת PBI
חברת PBI שמתעסקת בניהול שירותי מידע על אוכלוסיות גדולות מדווחת על דלף מידע רגיש על-4.75 מילון אנשים הכולל שמות, תאריכי לידה, מספרי social security, כתובות ועוד. קבוצת התקיפה האחראית על דלף המידע היא Cl0P והמתקפה הצליחה בעזרת ניצול חולשת ה-zero day בתוכנת moveit. עד כה שלושה מלקוחות החברה: Genworth, Wilton ו-CalPERS דיווחו על הדלף שמרכיב את את המידע על 4.75 מיליון אנשים. נכון לעכשיו, חברת PBI לא מופיעה באתר ההדלפות של קבוצת התקיפה CL0P, כך שלא ברור עדיין אם הם מנסים לסחוט את הקורבנות ברגע זה. בנוסף, PBI עובדת מול הלקוחות הנפגעים כדי ליידע אותם על דלף המידע ומול גורמי אכיפת חוק לחקירת האירוע.
סייבר בעולם
CISA מוסיפה חמישה חולשות חדשות לקטלוג החולשות המנוצלות שלה
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה השבוע ל״קטלוג החולשות הידועות״ שהיא מתחזקת חמישה חולשות חדשות.
שלושה מהחולשות שהתווספו לקטלוג הם החולשות במוצרי Apple (ראה הסייבר 22.06) החולשות הם CVE-2023-32434 בניצול מוצלח של חולשה זו אפליקצייה יכולה לבצע הרצת קוד ברמת הרשאות kernel במערכת.
CVE-2023-32435 ו CVE-2023-32439 בחולשות אלו תוקף יכול לבצע שימוש בדף אינטרנט זדוני על מנת לבצע הרצת קוד במערכת.
שתי החולשות הנוספות שהתווספו לקטלוג הם CVE-2023-20867 חולשה מסוג authentication bypass ב VMware, ניצול מוצלח של חולשה זו דורש מהתוקף לקבל הרשאות Root ל ESXi. והחולשה השנייה הינה CVE-2023-27992 חולשה בכונני רשת מבית חברת Zyxel, בניצול מוצלח של חולשה זו תוקף לא מאומת יכול לבצע הרצה של פקודות מערכת הפעלה מרחוק על ידי שליחת בקשת HTTP זדונית.
צוות קונפידס ממליץ למשתמשי מוצרים אלו לבצע עידכון גרסה בהתאם לגרסה האחרונה ששוחררה על ידי Apple, VMware ו Zyxel על מנת להימנע מפגיעות לחולשה זו.
סייבר בספנות ולוגיסטיקה
מתקפות Watering Hall על אתרי חברות ספנות ולוגיסטיקה ישראלים
חברת הסייבר Clearsky פרסמה דו״ח הסוקר את המתקפה על שמונה אתרים ישראלים שנפגעו. האתרים שנפגעו פתחו בחקירה ואיסוף מידע ראשוני על התוקפים באמצעות ה Script בו השתמשו. כל שמונת האתרים שזוהו על ידי אנליסטים של ClearSky נדבקו בשימוש באותו סקריפט Javascript זדוני.
מתקפות Watering Hall הן מתקפות שבהן התוקף משתלט על אתר שעושים בו שימוש קבוצת גולשים ספציפית, כמו נציגי ממשלה, עיתונאים או מנהלים בכירים בארגונים. לאחר ההשתלטות, התוקף יכול להחדיר לאתר קוד זדוני שיפגע במשתמשים. נכון לעכשיו נראה כי המתקפה שמה לייעד חברות שילוח ולוגיסטיקה, בדומה להתמקדות האיראנית במגזר זה בשלוש השנים האחרונות.
ייחוס המתקפה לגורמים איראנים מתבסס על הממצאים הבאים:
Domain המיוחס ל Tortoseshell, קבוצת תקיפה המזוהה עם השלטון האיראני ופעילה החל מ 2018; מתקפות Watering Hall מהוות שיטה בה קבוצות איראניות עושות שימוש להשגת גישה ראשונית במהלך פריצות ומתקפות החל מ 2017; גורמי איום איראנים שמו להם ליעד אתרי אינטרנט ישראליים ועושים מאמצים רבים לאיסוף מידע על חברות לוגיסטיקה שעובדות בשיתוף עם חברות ספנות ומגזר הבריאות; נעשה שימוש בכלים המשמשים לבדיקות חדירה בקוד פתוח המתמקדים בדפדפני אינטרנט. בכלים מסוג זה עשו שימוש גורמים איראנים בתקיפה ב- 2017. בנוסף, קרבן במתקפה אישר לאיש צוות של חברת Clearsky, שה JavaScript בו נעשה שימוש לא היה מוכר להם, מה שמדגיש את היותו זדוני. החברה מייחסת בסבירות נמוfה את המתקפה לקבוצת Tortoiseshell / TA456 /Imperial Kitten.
סייבר בישראל
בעקבות תקלה במאגר המידע של פוע״ה הודלפו פרטים אישיים של נשים הרות
פרטיהם האישיים של כ-20 נשים הרות שפנו לייעוץ במכון פוע״ה המתמחה בייעוץ בעינייני פוריות דלפו לרשת. דליפת המידע האישי הרגיש התרחשה בעקבות תקלה במאגר המידע של המכון וגרמה לחשיפה של פרטים אישיים והליכים רפואים שהנשים מבצעות במכון. ככל הנראה, התקלה התרחשה בעקבות מעבר בין אתרים שהתבצע בארגון. במסגרת התקלה, פרטיהן של הנשים היו חשופים לכל מי שהקליד כתובת מסויימת בשורת החיפוש בדפדפן. בין הפרטים שנחשפו ניתן למצוא שמות מלאים, מספרי תעודת זהות, הסיבה לפנייה של האישה למכון, ורקע רפואי של המטופלות. ממכון פוע״ה נמסר בתגובה כי "במסגרת שדרוג אתר האינטרנט של מכון פוע"ה, התאפשרה גישה לזמן קצר של מסמכים בודדים, שנמחקו מיד לאחר היודע הדבר. מכון פוע"ה שומר בקפדנות ומשקיע את כל הנדרש כדי לשמור על חסיון המידע הנמצא ברשותו״.
גבי פורטנוי, ראש מערך הסייבר הלאומי, נאם השבוע בכנס שבוע הסייבר (CyberWeek) והתייחס בנאומו לפעילות הסייבר ההתקפית של איראן ושל חיזבאללה כנגד ישראל. פורטנוי ציין כי ״כל מי שמבצע מתקפות סייבר נגד אזרחי ישראל צריך לקחת בחשבון את המחיר שהוא ישלם על כך״. בנוסף, הוא התייחס למתקפה על הטכניון שבוצעה לפני מספר חודשים, עליה לקחו אחריות קבוצת התקיפה MuddyWater , קבוצה המשוייכת למשרד המודיעין והבטחון של איראן. פורטנוי גם נתן תמיכה לפעילות של ארה״ב כנגד איראן וכנגד אנשי מפתח במשרד המודיעין האיראני, ביניהם פרזין כרימי ומג׳תבא מצטפוי שייסדו את "אקדמיית ראווין" המאמנת האקרים למטרות זדוניות.הוסיף ואמר פורטנוי כי אותה הקבוצה ניסתה בשנה האחרונה לתקוף גופים נוספים בישראל, רובם ללא הצלחה, וכי ״קהילת הסייבר הישראלית מכירה את פעולות הסייבר של האיראנים מבפנים ומבחוץ, ועובדת לשבש אותה בדרכים שונות״. הנאום גם תיאר את פעילות העלאת החוסן והגנת הסייבר בישראל שבוצעה בשנה האחרונה, שכולל, בין היתר, את הפרוייקטים הבאים : "כיפת הסייבר הישראלית", מרכז בקרה לאומי על בסיס טכנולוגיית ענן של גוגל, פורטל שירותי סייבר לארגונים ושירות PDNS לארגונים קריטיים.
מערך הסייבר של ישראל מקדם הקמת פלטפורמה לשיתוף פעולה בין מדינתי בנושא מתקפות כופרה
ראשי מערך הסייבר הישראלי ואיחוד האמירויות יחד עם ראשי מערכי סייבר של 40 מדינות ואירגונים מקדמים פלטפורמה עולמית לשיתוף מידע במאבק כנגד האקרים ומתקפות כופרה. המערכת מוקמת בימים אלו בשיתוף פעולה עם מייקרוסופט ישראל במסגרת International Counter Ransomware Initiative שהיא יוזמה עולמית בהובלת הבית הלבן ומטרתה להתמודד עם מתקפות כופרה בכול העולם והחלה לפעול בסוף שנת 2022. המערכת שקיבלה את השם Crystal Ball הוצגה במהלך קבינט הסייבר העולמי שהובילו מייקרוסופט ישראל ומערך הסייבר הלאומי והינה פלטפורמה עננית שמטרתה לאפשר ניתוח ושיתוף מידע באופן אינטרקטיבי, מהיר בטוח וקל בין מדינות בנושאי הגנת הסייבר החל מניתוח תקיפות סייבר ועד לבנייה וגיבוש מדיניות סייבר בין לאומית. לדברי גבי פורטנוי ראש מערך הסייבר הלאומי ״אנחנו מתמודדים עם אתגרים משותפים בסייבר. משטח התקיפה מתרחב יחד עם טכנולוגיות חדשות ומוטיבציה גוברת של תוקפים. אנחנו צריכים להתמודד בשותפות עם האתגרים ולהשתמש בידע שנצבר ובטכנולוגיות חדשות לטובת הגנה טובה ומהירה יותר״ בנוסף אלון חיימוביץ מנכ״ל מייקרוסופט ישראל התייחס למערכת שהוקמה ואמר כי ״בעידן של מתקפות מתוחכמות, נדרש מענה משולב ומתוחכם ונדרש לייצר קואליציות. המערכת שהוצגה היום לראשי מערכי הסייבר תעניק למדינות את הכוח, היכולות והידע להילחם במתקפות כופרה ב-Real Time תוך שיתוף פעולה רציף, נוח ואיכותי״.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, רוני עזורי, יובל אוחנה, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ואורי יוסף.