דו״ח סייבר שבועי
עדכון שבועי 29.07.2021
עיקרי הדברים
-
ישראל כמטרה חמה למתקפות סייבר: פי 2.5 מתקפות על ישראל ביחס לממוצע העולמי.
-
ניתוח הפרסום של Sky של מסמכי המודיעין האיראני על תקיפת סייבר של אוניות סוחר.
-
צו נשיאותי חדש מהבית הלבן: הגברת ההגנה על תשתיות לאומיות קריטיות מפני מתקפות סייבר.
-
חסינות של דוחות פורנזיים: פסק דין נוסף מסיר את חסינות העו"ד-לקוח.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Adobe (קריטי); Pulse Secure; Drupal Core (קריטי); מוצרי Cisco (קריטי); מוצרי SAP (קריטי); Kubernetes Aego Flow; עדכוני קריטיים בשירות ההדפסות של מיקרוסופט ; Active Directory Certificate Services.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכוני אבטחה קריטיים למוצרי Adobe
ה-CISA מזהירה מפני נוזקות המנצלות מכשירי Pulse Secure
עדכון אבטחה קריטי ל-Drupal Core
עדכון תוכנה של Cisco לעשרות חולשות בשירות ה-Intersight Virtual Appliance
עדכון האבטחה החודשי ל-SAP נותן מענה ל-2 חולשות קריטיות
מיסקונפיגורציה ב-Argo Workflows מאפשרת הרצת קוד וכריית מטבעות קריפטוגרפיים בסביבת Kubernetes
מיקרוסופט פרסמה עדכון חירום לתיקון בעיה במדפסות וסורקים
מיקרוסופט מפרסמת פעולות מיטיגציה לחולשה שהתגלתה ב-Active Directory Certificate Services
התקפות ואיומים
זוהתה חולשה במחשבי macOS המנוצלת לגניבת פרטים מטלגרם ומ-Google Chrome
ניתוח הפרסום של Sky של מסמכי המודיעין האיראני על תקיפת סייבר של אוניות סוחר
קליפורניה: מוסד בריאות מוביל מפרסם כי חווה דלף מידע בעקבות מתקפת פישינג
השבוע בכופרה
עדכון לנוזקת LockBit מאפשר להצפין שרתי Windows באמצעות שינוי ה-Group Policies
סייבר בישראל
ישראל כמטרה חמה למתקפות סייבר: פי 2.5 מתקפות על ישראל ביחס לממוצע העולמי
סייבר ופרטיות - רגולציה ותקינה
צו נשיאותי חדש מהבית הלבן: הגברת ההגנה על תשתיות לאומיות קריטיות מפני מתקפות סייבר
חסינות של דוחות פורנזיים: פסק דין נוסף מסיר את חסינות העו"ד-לקוח
חוק הגנת פרטיות פדרלי בארה"ב: הצעה חדשה הוגשה לבית הנבחרים
כנסים
הציטוט השבועי
״ראינו כיצד איומי סייבר, כולל מתקפות כופרה, מגבירים את יכולתם לגרום לנזק ולשיבוש בעולם האמיתי.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכוני אבטחה קריטיים למוצרי Adobe
העדכונים נותנים מענה למספר חולשות, בהן 11 ברמת חומרה קריטית, והן רלוונטיות למוצרים הבאים:
Adobe Photoshop
Adobe Audition
Adobe Character Animator
Adobe Prelude
Adobe Premiere Pro
Adobe After Effects
Adobe Media Encoder
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
ה-CISA מזהירה מפני נוזקות המנצלות מכשירי Pulse Secure
בהמשך לפרסום בנושא מחודש אפריל, הסוכנות האמריקאית לאבטחת סייבר ותשתיות פרסמה כעת 13 דגימות של נוזקות המנצלות חולשות במכשירים.
אנו ממליצים לארגונים העושים שימוש במכשירי Pulse Secure לעבור על ניתוח הנוזקות, להזין את מזהיהן בכלי ההגנה של הארגון ולבצע את הצעדים הרלוונטיים לסגירת החולשות.
עדכון אבטחה קריטי ל-Drupal Core
החולשה (CVE-2021-32610) שנסגרת בעדכון של Drupal, פלטפורמת ה-Open-source המאפשרת למתכנתים ליצור חווית משתמש דיגיטלית, התגלתה בספריית ה-Archive_Tar, המהווה חלק מספריית הקוד, והיא עלולה לאפשר לתוקף להשתמש בקבצים דחוסים עם סיומות כגון tar, .tar.gz, .bz2, .tlz. המכילים תוכן זדוני ולהחדירם לספרייה. לאחר שהוחדרו, הקוד הזדוני ירוץ במערכת הנתקפת.
אנו ממליצים למשתמשי המוצר לעדכנו לגרסתו האחרונה:
משתמשי גרסה 9.2 - יש לעדכן לגרסה 9.2.2
משתמשי גרסה 9.1 - יש לעדכן לגרסה 9.1.11
משתמשי גרסה 8.9 - יש לעדכן לגרסה 8.9.17
משתמשי גרסה 7 - יש לעדכן לגרסה 7.82
עדכון תוכנה של Cisco לעשרות חולשות בשירות ה-Intersight Virtual Appliance
בעדכון ניתן מענה לעשרות חולשות, החמורה שבהן (CVE-2021-1600, CVE-2021-1601, CVSS 8.3) מאפשרת לתוקף מרוחק לבצע פעולות על שירותים פנימיים ללא צורך בהזדהות.
עדכון האבטחה החודשי ל-SAP נותן מענה ל-2 חולשות קריטיות
בין התוכנות והמערכות עבורן העדכון רלוונטי מצויות:
NetWeaver
SAP Business Client
SAP Process Integration
SAP Web Dispatcher and Internet Communication Manager
SAP Business Objects Web Intelligence
SAP 3D Visual Enterprise Viewer
נוסף על שתי החולשות הקריטיות, העדכונים נותנים מענה גם ל-2 חולשות בדרגת חומרה גבוהה ולאחרות בדרגות חומרה נמוכות יותר. החולשות עלולות לאפשר הזרקת קוד, דלף מידע, השחתת זיכרון, הזדהות שגויה, ניצול של אי-בדיקת הרשאות, ניצול של וידוא קלט שגוי, מניעת שירות, ניצול של פגיעות ב-XXE, מתקפת XSS ועוד.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
מיסקונפיגורציה ב-Argo Workflows מאפשרת הרצת קוד וכריית מטבעות קריפטוגרפיים בסביבת Kubernetes
וקטור התקיפה החדש נגד Kubernetes, פלטפורמה לניהול יישומים על גבי קונטיינרים, זוהה על ידי חברת Intezer, כאשר החולשה שאותרה בפלטפורמת Argo Workflows, העובדת יחד עם Kubernetes, מאפשרת למשתמשים לנהל ולשלוט בעבודות המתרחשות בו-זמנית בפלטפורמה. החולשה נעוצה בהגדרה לא נכונה בהרשאות ה-Argo Workflows, המאפשרת גישה של גורמים לא מורשים לסביבה, ובכך פותחת פתח להרצת קוד על סביבת הקורבן או להעלאת משימות על יד התוקפים. באחד המקרים האקטואליים של ניצול החולשה, גורם עוין שקיבל גישה ל-Argo Workflows העלה למערכת קונטיינר הכורה מטבעות קריפטוגרפיים. על מנת לבדוק אם סביבת עבודה חשופה לחולשה, יש לגשת לשולחן העבודה של Argo בדפדפן לא מאושר ובמצב Incognito, מחוץ לרשת הארגון.
מיקרוסופט פרסמה עדכון חירום לתיקון בעיה במדפסות וסורקים
לאחר שהחברה תיקנה חולשת אבטחה בשירות ההדפסה שאפשרה לתוקפים להריץ פקודות עם הרשאות מערכת, היא יצרה בעיה חדשה, אשר גרמה למדפסות וסורקים שלא לעבוד כראוי. עדכון החירום (KB5005394) שפורסם כעת פותר את הבעיה.
מיקרוסופט מפרסמת פעולות מיטיגציה לחולשה שהתגלתה ב-Active Directory Certificate Services
בפרסום רשמי של החברה היא מכירה בקיומה של חולשת PetitPotam, המאפשרת לתוקף לבצע מתקפת NTLM Relay על ה-AD CS. מכיוון שטרם פורסם עדכון תוכנה הנותן מענה לחולשה, מיקרוסופט מציעה מספר פעולות מיטיגציה שניתן לבצע לשם התגוננות מפניה: 1. האופציה הפשוטה ביותר העומדת בפני מנהלי רשתות היא לבטל את אפשרות ה-NTLM Authentication ב-Domain Controller (הוראות לביצועה של הפעולה ניתן למצוא בקישור זה). 2. מי שאין באפשרותו לבחור באופציה הקודמת מפאת בעיות תאימות, יכול לנטרל את ה-NTLM בכל שרתי ה-AD CS (הוראות לביצועה של הפעולה ניתן למצוא בקישור זה), ונוסף על כך לנטרל את ה-NTLM על שרת ה-IIS ב-AD CS. ביצוען של פעולות אלה יבטיח הגנה מפני החולשה. באתר מיקרוסופט ניתן למצוא את מפרט ההוראות המלא.
התקפות ואיומים
זוהתה חולשה במחשבי macOS המנוצלת לגניבת פרטים מטלגרם ומ-Google Chrome
קמפיין התקיפה, שזוהה על ידי צוות המחקר של Trend Micro, כוון נגד מחשבי macOS המעודכנים לגרסתם האחרונה (11) ומתבסס על נוזקת גניבת מידע שאוספת אינפורמציה מאפליקציות שונות על מחשב הקורבן ומעבירה אותו לשרת ניהול ושליטה (C2). טלגרם היא אחת מהאפליקציות הנתקפות ביותר במסגרת הקמפיין, ממנה מושכים התוקפים את כל השיחות של הקורבנות, כאשר ביחס לדפדפן ה-Chrome הם מתרכזים בגניבת סיסמאות.
אנו ממליצים למשתמשי המוצרים לעדכן את מערכותיהם במזהים שבקישור זה.
ניתוח הפרסום של Sky של מסמכי המודיעין האיראני על תקיפת סייבר של אוניות סוחר
השבוע פורסם ע״י Sky News כי מסמכים שדלפו, לכאורה, מיחידת סייבר התקפית איראנית מתארים, בין היתר, מחקר לפיתוח יכולות לפגיעת סייבר באוניות סוחר באמצעות השתלטות ושיבוש מערכת מי הנטל (Ballast).. רונן מרוז, מנכ״ל חברת CyberStar, מסביר כי מערכת מי הנטל היא ״מערך מיכלים ומשאבות שמשתמש במי ים כדי לאזן את האונייה במהלך ההפלגה לאור תנאי הים, פיזור משקל המטען וצריכת הדלק השוטפת שמשנה ללא הרף את ׳מאזן הנוזלים׳ באונייה״. עוד הסביר מרוז כי ״מומחי ספנות ששוחחנו עימם בנושא מעריכים שהסיכון מפגיעה כזו, נכון להיום, נמוך עד נמוך מאוד, ממספר סיבות. ראשית, במידה וגורם חיצוני ישתלט על המחשב שמנהל את מערכת מי הנטל ויפעיל את המשאבות באופן שייצר נטייה לאונייה, מדובר בתהליך ארוך יחסית (כ-10-15 דקות כדי להתחיל לייצר הטיה כלשהי), שבמהלכו המערכת מייצרת רעשים משמעותיים (עקב הפעלת הגנרטורים והמשאבות), וכן אינדיקציות על הגשר, אשר ימשכו את תשומת לב הצוות. מעבר לכך, צוות הגשר, ובראשו הקצין התורן, מיומנים היטב בתחומים אלו ומשגיחים כל העת על מצב האונייה. אפילו הטיה קטנה של 1–2 מעלות כבר תספיק כדי למשוך את תשומת לבם לכך שאירוע בלתי תקין מתרחש ודורש התייחסות מיידית״. הסיבה השנייה שמונה מרוז לכך שהסיכון לפגיעה כזו הוא נמוך עד נמוך מאוד היא יכולת תיקון והתאוששות מהירים: ״בניגוד לאירוע סייבר שבו משתלטים על מערכת, נועלים או הורסים אותה, באוניות יש מעקפים ידניים לכל מערכת קריטית, ובוודאי שגם ספציפית עבור מי הנטל. כל שנדרש מהצוות לאחר זיהוי הבעיה הוא להמיר את השליטה על המערכת לידנית, לעצור אותה, ולתפעל את האירוע. מדובר בעניין של דקות ספורות בלבד״.
קליפורניה: מוסד בריאות מוביל מפרסם כי חווה דלף מידע בעקבות מתקפת פישינג
לפי דיווח של מרכז הבריאות UC שבעיר סן דייגו, המדורג כאחד ממרכזי הבריאות הטובים בארה״ב, המוסד חווה אירוע דלף מידע. הדליפה אירעה ב-8 באפריל וכללה מידע פרטי של עובדים, של סטודנטים מתמחים ברפואה ושל מטופלים. בין המידע האישי שדלף מצויים פרטים אישיים כמו שמות מלאים, תאריכי לידה, כתובות מגורים, כתובות אימייל, מידע רפואי (לרבות תוצאות בדיקות, תורים עתידיים ואבחנות רפואיות שהתקבלו), מספרי ביטוח לאומי, מספרי זהות, שמות משתמשים, סיסמאות התחברות ועוד. מקור התקיפה הוא, ככל הנראה, באימייל פישינג שנשלח לעובדים, אשר דרכו הצליחו התוקפים לחדור לרשת ולהחזיק בגישה אליה במשך כ-4 חודשים, עד לגילוי התקיפה. עם זאת, מבית החולים נמסר כי מבדיקה שביצע עולה שלא נמצאו ראיות לכך שהמידע שדלף פורסם בפלטפורמה כלשהי ברשת. בשעה זו מתנהלת חקירה משותפת של רשויות החוק וחברת אבטחת מידע חיצונית, אשר עתידה להסתיים בספטמבר, אז יפורסמו הממצאים בפני כל מי שמידע אישי אודותיו נחשף בתקיפה. בתוך כך, המוסד הרפואי הנחה את קורבנות המתקפה לגלות ערנות לניסיונות להשתמש בכרטיסי האשראי שלהם או בזהותם, וכחלק מאמצעי ההגנה הנוספים שנקט לאחר התקיפה שונו סיסמאותיהם של כלל המשתמשים ברשת הארגונית, התווסף תהליך הזדהות דו-שלבי בהתחברות אליה ונוספו לה שכבות הגנה, כל זאת על מנת למנוע מתקפות עתידיות.
השבוע בכופרה
עדכון לנוזקת LockBit מאפשר להצפין שרתי Windows באמצעות שינוי ה-Group Policies
על פי מגזין אבטחת המידע BleepingComputer, העדכון מאפשר לכופרה לבצע את הפעולה הזדונית ב- Domain Controller, ועל ידי כך להפיץ עצמה במערכת ביתר קלות. עד כה, כאשר תוקפים נכנסו לרשת של ארגון והשיגו גישה ל-Domain Controller, היה עליהם להשתמש בתוכנת צד ג׳ להפעלת סקריפט שישבית את האנטי-וירוס במחשב הנתקף, לפני שיוכלו להשתמש בנוזקה. בעדכון החדש, הגדרת המדיניויות ב-Domain Controller על ידי התוקפים משפיעה ישירות על שאר השרתים בארגון וגורמת להשבתת ה-Windows Defender, ההתראות, שליחת דוחות האבטחה למיקרוסופט והגדרות ברירת המחדל הנוגעות לאיתור קבצים זדוניים. מדיניות נוספת שנוצרת בתהליך היא משימה מתוזמנת במכשירי Windows להוציא לפועל את הנוזקה. לאחר שבוטלו כל שכבות ההגנה, התוקפים יכולים להשתמש בנוזקה במערכת הנתקפת.
סייבר בישראל
ישראל כמטרה חמה למתקפות סייבר: פי 2.5 מתקפות על ישראל ביחס לממוצע העולמי
על פי נתונים שמסרה חברת צ׳ק פוינט, השנה חלה עלייה של 93% במתקפות הכופרה ברחבי העולם, כאשר ארגונים בישראל חוו כ-1000 מתקפות סייבר בשבוע, מתוכן 300 מתקפות כופרה. לדברי גיל שויד, מנכ״ל החברה, "חלק מאותן מתקפות מבוצעות על ידי פושעי סייבר וחלק מהן – על ידי גורמים איראניים ואחרים, עם מוטיבציה שהיא לא רק כלכלית. עוד ציין כי ״אנחנו מאמינים שארגונים יכולים לעצור את מגפת הסייבר הבאה על ידי אימוץ גישה של מניעה לפני הכול (Prevention first), כדי להשיג ביטחון לאורך הרשת, הענן והמשתמשים מרחוק".
סייבר ופרטיות - רגולציה ותקינה
צו נשיאותי חדש מהבית הלבן: הגברת ההגנה על תשתיות לאומיות קריטיות מפני מתקפות סייבר
ה-National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems, אותו פרסם הבית הלבן ב-28 ביולי, קובע שורה של צעדים התנדבותיים שבהם על חברות לעמוד, כגון תקני אבטחת מידע, הצפנות ודרישה לאימות דו-שלבי (2FA) לכל משתמשי מערכות החברה. עוד קובע הצו יעדים לרמות של הגנת סייבר, בהם על ארגונים לעמוד עד ל-22 בספטמבר השנה. השגת היעדים תחייב שיתוף פעולה באופן שוטף בין חברות פרטיות לגורמי ממשל. פיילוט של המסגרת הנקבעת בצו זה כבר בוצע בארה״ב במגזר החשמל, וכתוצאה ממנו יותר מ-150 חברות חשמל, המייצגות כמעט 90 מיליון לקוחות, הסכימו לפרוס טכנולוגיות אבטחת מידע ומערכת בקרה ברשתותיהם. פיילוטים דומים לצינורות גז טבעי, אספקת מים, שפכים וכימיקלים יתבצעו בהמשך השנה.
חסינות של דוחות פורנזיים: פסק דין נוסף מסיר את חסינות העו"ד-לקוח
ב-22 ביולי פסק בית משפט מחוזי במדינת פנסילבניה שבארה״ב בסוגיה המתפתחת של חסינותם של דוחות פורנזיים המנתחים אירועי סייבר ומשמשים בסיס להבנה פורנזית של האירוע. פסה"ד האמור חייב את רשת החנויות Rutter's, שחוותה מתקפת סייבר בשנים 2018-2019, לחשוף את הדוח, ובכך פסל בית המשפט את הטענה שהדוח הינו תוצר עבודה מוגן (Protected Work Product) או מסמך המוגן על ידי יחסי עו"ד-לקוח, זאת על סמך העובדה שהדוח הוזמן על ידי משרד עורכי הדין BakerHostetler, שמונה על ידי Rutter's לטפל באירוע. שני השיקולים של בית המשפט בקביעתו שהדוח אינו חסין: 1. בהזמנת הדוח לא הייתה כוונה מפורשת דיה שישמש במסגרת הייעוץ המשפטי שניתן ל-Rutter's כחלק מ"תוצר עבודה" של משרד עורכי הדין. 2. העדר כוונה מפורשת שהדוח ישמש בסיס לטיעוני החברה בהליכים משפטיים. סוגיה משפטית זו זוכה כיום לבחינה הולכת וגוברת בבתי משפט במספר מדינות בארה"ב.
חוק הגנת פרטיות פדרלי בארה"ב: הצעה חדשה הוגשה לבית הנבחרים
עוד יוזמה חקיקתית לגיבוש חוק פרטיות פדרלי בארה"ב, הפעם כזו שתוגש על ידי הסנאטורים רוג'ר וויקר, רפובליקני ממדינת מיסיסיפי, ומרשה בלקבורן, רפובליקנית ממדינת טנסי. ההצעה, American Framework to Ensure Data Access, Transparency, and Accountability Act, מתבססת על יוזמה דומה משנת 2019 ומיועדת לספק לאזרחי ארה"ב יותר אפשרויות שליטה בנתונים האישיים שלהם בכל אינטראקציה שיקיימו עם ארגונים, לחייב עסקים להיות שקופים ואחראיים יותר בנוגע לניהול מידע אישי של לקוחות ומשתמשים ולחזק את סמכויות האכיפה של ה-Federal Trade Commission בנושא.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל נועה ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, רוני עזורי, עמית מוזס וגיא פינקלשטיין.