דו״ח סייבר שבועי
עדכון שבועי 29.09.2022
עיקרי הדברים
-
ישראל: מפקדי יחידות הסייבר: ״בסייבר, ההגנתי והלא־הגנתי, אנחנו מחזיקים ביכולות הכי מתקדמות שקיימות בעולם״.
-
המלחמה בין רוסיה לאוקראינה: האקרים אוקראינים פרצו לרשתות הטלוויזיה רוסיות ושידרו את נאום זלנסקי.
-
מתקפת הסייבר על רשת המלונות IHG: הפסדים לזכייני מלונות בגובה עשרות אלפי דולרים למלון בעקבות אובדן הזמנות.
-
הבית הלבן יפרסם את "מגן הפרטיות" החדש: הסדרת החוקיות של העברת מידע אישי בין ארה"ב לאיחוד האירופי.
-
*אנו ממליצים לעדכן את המוצרים הבאים: WhatsApp (קריטי); מערכת Sophos Firewall (קריטי); דפדפן Google Chrome (גבוה); החבילה WebKitGTK של Ubuntu (אין ציון חומרה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה ל-WhatsApp נותן מענה לחולשה קריטית ולחולשה ברמת חומרה גבוהה שעלולות לאפשר הרצת קוד מרחוק
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה
עדכון אבטחה למערכת Sophos Firewall נותן מענה לחולשה קריטית
עדכוני אבטחה של Ubuntu נותנים מענה לחולשות בחבילה WebKitGTK
התקפות ואיומים
קמפיין של קבוצת התקיפה Lazarus מתבסס על התחזות להצעות עבודות בתחום הקריפט
השבוע בכופרה
חברת התקשרות השנייה בגודלה באוסטרליה חווה מתקפת סייבר, הדלפת 10,200 רשומות עם מידע רגיש ובקשת כופר בסך מיליון דולר
עלייה בשימוש בכופרת FARGO נגד שרתי MS-SQ
המלחמה במזזרח אירופה
האקרים אוקראינים פרצו לרשתות טלוויזיה רוסיות בחצי האי קרים ושידרו נאום של הנשיא זלנסק
סייבר בעולם
נחשפו 85 אפליקציות המעורבות בהונאה באמצעות מודעות
טכניקת תקיפה חדשה מצריכה תזוזת עכבר בלבד להפעלת שרשרת הדבקה זדונית
חבילות npm נגועות משפיעות על מספר פרויקטים בתחום המטבעות הקריפטוגרפיים
American Airlines: מתקפת פישינג על עובדי החברה הביאה לדליפת מידע רגיש של לקוחותיה
פרסום משותף של ה-CISA וה-NSA בנושא הגנה על מערכות תעשייה
ה-CISA מוסיפה ל״קטלוג החולשות הידועות המנוצלות״ 4 חולשות בשרת ניהול המייל Zimbra וחולשה ב-Firewall של Sopho
סייבר בישראל
מפקדי יחידות הסייבר של 8200 מתראיינים לעיתון ״הארץ״ ומספרים על התפתחותן: ״אנו מחזיקים ביכולות הסייבר המתקדמות בעולם״
סייבר ופרטיות - רגולציה ותקינה
הבית הלבן יפרסם את "מגן הפרטיות" החדש: הסדרת החוקיות של העברת מידע אישי בין ארה"ב לאיחוד האירופי
נפתח כנס המליאה של איגוד הבזק הבינלאומי, בהשתתפות ישראל
ארה״ב: המינהל הלאומי לבטיחות תחבורת כבישים מהירים מפרסם כללי הגנת סייבר לרכבים מודרניים
כנסים
הציטוט השבועי
״לעימות בינינו לבין איראן אין מקביל בסייבר בעולם. איראן תוקפת אותנו ומדברת על השמדתנו. זה מתחבר לפעולות שלהם שזוהו, כמו ניסיונות לחבל בתשתית המים, עד כדי הרעלה. אלה פעולות שאין דומות להן.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה ל-WhatsApp נותן מענה לחולשה קריטית ולחולשה ברמת חומרה גבוהה שעלולות לאפשר הרצת קוד מרחוק
החולשה הקריטית (CVE-2022-36934, CVSS 9.8) שנסגרה בעדכון היא מסוג Integer overflow ועלולה לאפשר הרצת קוד מרחוק באמצעות פעולה פשוטה של התחלת שיחת וידאו. החולשה רלוונטית לגרסאות WhatsApp ל-Android ול-iPhone הקודמות לגרסה 2.22.16.12. החולשה השנייה (CVE-2022-27492, CVSS 7.8) שנסגרה היא מסוג Integer underflow והיא רלוונטית למצבים בהם תוצאה של פעולה קטנה מדי לאחסון במקום המוגדר במערכת. החולשה יכולה להיות מנוצלת על ידי קבלת קובץ וידאו זדוני, והיא משפיעה על גרסאות WhatsApp ל-Android הקודמות לגרסה 2.22.16.2 ועל גרסאות WhatsApp ל-iPhone הקודמות לגרסה 2.22.15.9. בעוד ש-WhatsApp לא חשפה פרטים נוספים על החולשות, מחברת הגנת הסייבר Malwarebytes נמסר כי הן טמונות בשני רכיבי המערכת Video Call Handler ו-Video File Handler.
צוות קונפידס ממליץ למשתמשי האפליקציה לעדכנה לגרסתה האחרונה.
עדכוני אבטחה לדפדפן Google Chrome נותנים מענה לחולשות ברמת חומרה גבוהה
בגרסאות המוצר 106.0.5249.61 עבור Mac ו-Linux ו-106.0.5249.61/62 עבור Windows טופלו 20 בעיות אבטחה, 5 מהן הינן חולשות ברמת חומרה גבוהה, שעלולות לאפשר לתוקף להריץ קוד שרירותי. החולשות רלוונטיות לכל גרסאות הדפדפן הקודמות לאלה החדשות, שיפורסמו בימים או בשבועות הקרובים.
צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו החדשה עם שחרורה.
עדכון אבטחה למערכת Sophos Firewall נותן מענה לחולשה קריטית
החולשה (CVE-2022-3236, CVSS 9.8) עלולה לאפשר לתוקף להריץ על המערכת קוד מרחוק בהרשאות גבוהות, והיא מצויה במנגנוני ה-Webadmin וה-User Portal. לאחר שחברת אבטח המידע Volexity צפתה בניצול החולשה, היא התווספה ל״קטלוג החולשות הידועות המנוצלות״ של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA).
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאות הבאות:
v18.5 MR5 - 18.5.5
v19.0 MR2 - 19.0.2
v19.5 GA
במקום זאת, ניתן להקשיח את הגדרות המערכת לנגישות מבחוץ באמצעות VPN או Central Remote Access. פעולות הקשחה נוספות מופיעות בשיטות העבודה המומלצות (Best Practices) של היצרנית.
עדכוני אבטחה של Ubuntu נותנים מענה לחולשות בחבילה WebKitGTK
מספר בעיות אבטחה שהתגלו במנוע ה-JavaScript וברשת ה-WebKitGTK עלולות לאפשר לתוקף מרוחק לבצע מקתפות מסוג Cross-site scripting, מניעת שירות (DDoS) והרצת קוד שרירותי נגד משתמשים שנכנסו לאתרים זדוניים. על מנת להתמגן מפני החולשות, יש לעדכן את המוצר לגרסאותיו האחרונות:
Ubuntu 22.04 LTS
Ubuntu 20.04 LTS
לאחר עדכון המערכת יש להפעיל מחדש את כל היישומים המשתמשים בחבילה WebKitGTK (כמו למשל Epiphany).
צוות קונפידס ממליץ למשתמשים המוצר לעדכנו בהקדם, בהתאם להנחיות היצרן.
התקפות ואיומים
קמפיין של קבוצת התקיפה Lazarus מתבסס על התחזות להצעות עבודות בתחום הקריפטו
מחקר של חברת SentinelOne מתאר כיצד הקבוצה הצפון קוריאנית מנסה להפיל בפח קורבנות באמצעות זיוף הצעות עבודה אטרקטיביות הנשלחות דרך הלינקדאין או פלטפורמות אחרות. המודעות מתחזות להצעות עבודה לחברת Crypto.com, אך בפועל מהוות רק שלב בשרשרת הדבקה שסיומה בתקשורת עם שרת C2. קמפיין דומה נחשף בחודש אוגוסט על ידי חברת ESET, אז יוחס ל-Lazarus ניסיון להונאה דומה, שהתבססה על משרות, כביכול, בפלטפורמת הקריפטו Coinbase. בשונה מקמפיינים אחרים, המכוונים בעיקר נגד משתמשי מערכת ההפעלה Windows, הקבוצה הצפון קוריאנית תוקפת מחשבים מבוססי macOS.
השבוע בכופרה
ב-22 בספטמבר נתקפו שרתיה של Optus האוסטרלית, המונה כ-10.5 מיליון לקוחות, כאשר התוקפים הצליחו לדלות מידע רגיש על כ-9.8 מיליון מהם, לרבות שמות, תאריכי לידה, מספרי טלפון, כתובות מייל, כתובות מגורים, מסמכי זהות ופרטי רישיונות נהיגה. החברה הודיעה לציבור על הפריצה והבהירה כי לא נחשפו סיסמאות, פרטי כרטיסי אשראי, הודעות טקסט או הודעות קוליות של לקוחות. עוד נמסר כי ניתן להשתמש במערכי האינטרנט והטלפון של החברה, שכן לא נמצא שהם פגיעים. טרם פורסם כיצד עלה בידי התוקפים לחדור למאגרי החברה, אך לפי רשות השידור האוסטרלית, בכיר ב-Optus משער שמקור הפירצה בממשק API למאגר מידע על לקוחות, אשר היה פתוח לרשת לצורך בדיקות פנימית ונמצא כי פורסם כבר במהלך ינואר 2019. על מנת ללחוץ על החברה לשלם דמי כופר, התוקפים פרסמו רשומות של 10,200 מלקוחותיה. לדברי Optus, היא יצרה קשר עם כלל הלקוחות הרלוונטיים והיא עובדת בשיתוף פעולה עם המשטרה האוסטרלית למיגור וחקירת המתקפה. עוד פרסמה החברה המלצות לחידוד הערנות לפעולות שאינן שגרתיות בחשבונותיהם של לקוחות Optus ולזיהוי הודעות SMS ומייל זדוניות.
עלייה בשימוש בכופרת FARGO נגד שרתי MS-SQL
חוקרים ממרכז החירום והתגובה של AhnLab זיהו את מגמת העלייה בשימוש בכופרה, המצפינה את השרתים ממניע כספי. גישתם הראשונה של התוקפים אל השרת מתבצעת באמצעות מתקפת Brute-force על משתמשיו, שפעמים רבות יהיו בעלי סיסמה חלשה, או באמצעות ניצול חולשה במערכת ההפעלה, שלעתים קרובים לא תהיה מעודכנת. לדברי החוקרים, פעולת הנוזקה מתבססת על הורדה אל השרת של קובץ הבנוי ב-״NET.״ באמצעות cmd.exe ו-powershell.exe. הקובץ מוריד קבצי נוזקה נוספים, עד שלבסוף נוצר קובץ BAT שסוגר תהליכים ושירותים מסוימים, כך שתתאפשר הצפנת מערכת ההפעלה. תהליך ההצפנה מתחיל על ידי הזרקה לתהליך AppLaunch.exe (תהליך לגיטימי של Windows), שמוחקת Registry keys וקבצי VSS, אשר מאפשרים את החלמת המערכת במקרי חירום. קבצי הנוזקה מחריגים מקומות מסוימים במערכת ההפעלה הדרושים לפעילותה התקינה, וכן קבצי הרחבות מסוימות, בהם כאלה שהוצפנו על ידי גרסאות ישנות יותר של הנוזקה. לאחר הצפנת המערכת, נוצר בצד הימני העליון של המסך קובץ טקסט ובו הוראות תשלום לתוקפים.
צוות קונפידס ממליץ למשתמשי MS-SQL לוודא שמספר המשתמשים במערכת מוגבל ושסיסמאות ההתחברות אליהם חזקות. עוד מומלץ לעדכן את מערכת ההפעלה באופן תכוף.
המלחמה במזרח אירופה
האקרים אוקראינים פרצו לרשתות טלוויזיה רוסיות בחצי האי קרים ושידרו נאום של הנשיא זלנסקי
בציוץ שפורסם בטוויטר דווח כי ההאקרים פרצו לרשתות טלוויזיה באזור קרים, הנמצא תחת שליטה רוסית, ושידרו את נאום בו פנה הנשיא לתושבי רוסיה בשפה הרוסית. מהסרטון המופיע בדיווח ניתן להסיק כי הפריצה התבצעה כנגד שירות IPTV, אך נכון לשעה זו אין ידיעות נוספות על האירוע ממקורות אחרים. הדיווח מצטרף לשלל דיווחים שפורסמו מאז תחילת המלחמה בנוגע לפריצות שבוצעו נגד שירותי טלוויזיה אינטרנטיים בשני צדי המתרס.
סייבר בעולם
נחשפו 85 אפליקציות המעורבות בהונאה באמצעות מודעות75 אפליקציות בחנות האפליקציות Google Play ו-10 אפליקציות ב-App Store, שביחד רשמו יותר מ-13 מיליון הורדות, התגלו כמעורבות בקמפיין הונאות מתמשך באמצעות הודעות, שראשיתו ב-2019. גרסתו האחרונה של הקמפיין כונתה בשם Scylla על ידי חברת מניעת ההונאות HUMAN Security, שעקבה אחר אופני תקיפה דומים המבוססים על הונאות - האחד, מאוגוסט 2019, מכונה Poseidon, והשני, שהתרחש ב-2020, מכונה Charybdis. הקמפיין Poseidon הדביק יותר מ-40 אפליקציות Android והתבסס על הצגת מודעות שהוסתרו מהמשתמש, ואילו Charybdis המשופר השתמש בטקטיקת Code obfuscation להתמקדות בפלטפורמות פרסום. הקמפיין הנוכחי, Scylla, מרחיב את פעילותם של הקמפיינים שקדמו לו למערכות של Apple המבוססות iOS, ומוסיף למתקפה שכבה נוספת: שימוש בכלי Allatori להסתרת הקוד. עם התקנתה של אפליקציה הנגועה ב-Scylla, היא מבצעת כמה סוגים של הונאות המבוססות על מודעות, לרבות Spoofing לאפליקציות מוכרות, על מנת לגרום ל-Advertising SDKs להטמיע באפליקציה מודעות, ועל מנת להציג מודעות מוסתרות על ידי שימוש ב-Off-screen WebViews ולייצר לחיצות על מודעות כדי למקסם רווחים.
צוות קונפידס ממליץ לבחון אפליקציות חדשות לפני הורדתן והתקנתן ולהימנע מהתקנת אפליקציות צד שלישי דרך האינטרנט, שכן הן עלולות להיות זדוניות או להכיל קוד זדוני.
טכניקת תקיפה חדשה מצריכה תזוזת עכבר בלבד להפעלת שרשרת הדבקה זדונית
על בסיס השוואה עם נוזקות מהעבר, חוקרים מקבוצת המחקר Cluster25 קישרו בין גורמים מ-APT28 (המכונה Fancy Bear ומיוחסת ל-GRU, מנהלת המודיעין הראשית של רוסיה) לבין הטכניקה החדשה להרצת קוד, המשתמשת בקבצי מצגת Microsoft PowerPoint: באמצעות ריחוף עם העכבר על גבי קישור במצגת, הקורבן מפעיל סקריפט PowerShell שגורם לפעולת שרשרת שמתחילה בהורדת קבצי DLL ומטרתה הסופית להוריד אל העמדה נוזקה בשם Graphite. נוזקה זו משתמשת ב-Microsoft Graph API וב-OneDrive על מנת לתקשר עם השרת המרוחק של התוקפים ומאפשרת להם להוריד נוזקות נוספות לזיכרון המערכת של הקורבן, כל זאת ללא שימוש בקוד מאקרו זדוני. קובץ ה-PowerPoint הזדוני נשלח לעובדים במגזרי הממשל וההגנה במדינות באיחוד האירופי ובמזרח אירופה, במסווה של קובץ הנשלח מטעם ה-OECD (הארגון לשיתוף פעולה ולפיתוח כלכלי). מכאן שמטרות הקמפיין הן, ככל הנראה, ריגול ומחקר.
צוות קונפידס ממליץ להימנע מפתיחת מיילים, קישורים וקבצים מגורמים וכתובות שאינם מוכרים או שאינם צפויים.
חבילות npm נגועות משפיעות על מספר פרויקטים בתחום המטבעות הקריפטוגרפייםהחוקר מאצ׳יי מנספלד חשף את החבילות, שפורסמו דרך חשבון של חבר בצוות פלטפורמת המסחר בקריפטו dYdX, אשר נפח המסחר היומי הממוצע שלה עומד על כמיליארד דולר. לפחות 44 פרויקטי קריפטו משתמשים בחבילות האמורות, אשר עם הורדתן גונבות מהמערכת הפגועה פרטים כגון פרטי AWS IAM, מפתחות SSH, פרטי GitHub ועוד. החבילות הנגועות הן dydxprotocol/solo בגרסאות 0.41.1 ו-0.41.2 ו-dydxprotocol/perpetual בגרסאות 1.2.2 ו-1.2.3. חבילה נוספת שנפגעה היא dydxprotocol/node-service-base-dev, אך היא והחבילה perpetual הורדו מהאתר, בניגוד לחבילה solo, שנכון לכתיבת שורות אלה גרסתה הפגועה עדיין זמינה להורדה. בעת הורדת החבילה, הסקריפט יוריד קובץ JavaScript בשם ci.js מאתר שנרשם ב-14 בספטמבר, כאשר נראה שהתוקפים מנסים לחקות קובץ לגיטימי המורד מפלטפורמת הפיתוח המוכרת CircleCI. לאחר מכן, כפי שהתגלה על ידי חוקרי BleepingComputer, מורד קובץ המכיל סקריפט בשפת Python, שמסייע לתוקפים להעלות לאתרם את המידע הגנוב. dYdX אישרה את דבר הפגיעה בחבילות, אך הבטיחה שהאתרים, האפליקציות, החוזים החכמים והכספים לא נפגעו, ואמרה כי תפרסם בהמשך דוח חקירה בנושא.
American Airlines: מתקפת פישינג על עובדי החברה הביאה לדליפת מידע רגיש של לקוחותיה
ב-16 בספטמבר הודיעה חברת התעופה האמריקאית שב-5 ביולי חוותה אירוע סייבר, כאשר מבדיקה קצרה שנערכה לאחר שעובדים התלוננו על קבלת מיילים חשודים מעמיתיהם, התברר שמספר לא רב של מיילים של עובדי החברה נפרצו ושימשו תוקפים למשלוח מיילים זדוניים ולהרחבת נוכחותם. לדברי American Airlines, התוקפים הצליחו להשיג מידע רגיש על לקוחות בהיקף מצומצם, לרבות שמות מלאים, כתובות מגורים, מיילים, מספרי טלפון, מספרי דרכונים, פרטי רשיונות נהיגה ומידע רפואי אישי. החברה הודיעה כי פעלה למיגור המתקפה ולחקירתה, והציעה לקורבנות שנפגעו ממנה חברות בחינם במסלול IdentityWorks של חברת Experian למשך שנתיים. עד כה, לא נצפה שימוש לרעה במידע שנגנב.
פרסום משותף של ה-CISA וה-NSA בנושא הגנה על מערכות תעשייה
הפרסום של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) והסוכנות האמריקאית לביטחון לאומי (NSA) נועד להעניק למנהלי ובעלי מערכות תעשייה מידע בנוגע לטקטיקות של פושעי סייבר לתקיפת המערכות, לצד כלים להתמודדות עם סכנות אלה. על פי הפרסום, קבוצות אשר יהיו להן המניעים והמשאבים לביצוע תקיפות מסוג זה יהיו לרוב קבוצות מדינתיות, והן יפעלו מתוך אינטרסים שונים, בהם ריגול, מניע כספי (מתקפות כופרה) וגרימת נזק פיזי למערכות. בפרסום מודגש שמידע נרחב מאוד אודות המערכות הללו פתוח לציבור, למשל במודעות דרושים ובמידע שיווקי שנועד ללקוחות פוטנציאליים. זאת ועוד, מכיוון שמהמערכות נדרשת זמינות גבוהה, יש דרכים רבות להתחבר אליהן מרחוק, מה שמגביר את הסבירות לביצוע גישה ראשונית על ידי קבוצות תקיפה. בפרסום מפורטים שלבים לתקיפת המערכות: 1. בחירת ההשפעה הרצויה והמערכת שתאפשר את השגתה. 2. איסוף מודיעין על המערכת. 3. יצירת טכניקות וכלים לתקיפתה. 4. השגת גישה ראשונית למערכת. 5. הפעלת הכלים להשגת ההשפעה הרצויה. בין ההשפעות הרצויות האפשרויות מצויות הקרסת המערכת (על ידי מילוי יתר של מאגרים, סיבוב מוגבר של טורבינות ועוד), ביטול פעולתן של מערכות אזעקה קריטיות, ריגול ויצירת עותק של המערכת התעשייתית, שינוי התצוגה הוויזואלית למפעיליה ועוד. הפרסום של ה-CISA וה-NSA כולל את כללי האצבע הבאים להתמגנות מפני המתקפות: א. הגבלת פרסום המידע אודותן, לרבות מידע רגיש על רכיביהן. ב. שליטה מלאה בשיטות גישה מרחוק למערכת, ובמי שניתנת לו גישה כזו. ג. הטמעת שכבות הגנה, כגון חומת אש, VPN, פוליסות לגישה מרחוק, הצפנת מידע בתנועה ועוד. ד. הגבלת הכלים והסקריפטים שיש להם גישה למערכות לכלים וסקריפטים מוכרים בלבד, ובקרה של פעולותיהם. ה. ביצוע סקרי אבטחת מידע באופן תכוף לזיהוי, תיעוד ותיקון חולשות במערכת. ו. הקפדה על סביבת רשת דינמית, לרבות עדכון המערכות, הקמת חומות אש וראוטרים של ספקים שונים, עדכון כתובות IP מעת לעת ועוד.
ה-CISA מוסיפה ל״קטלוג החולשות הידועות המנוצלות״ 4 חולשות בשרת ניהול המייל Zimbra וחולשה ב-Firewall של Sophos
רמת החומרה של החולשות ב-Zimbra שהסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה לקטלוג ב-27 בספטמבר נעה מבינונית לקריטית, והן עלולות לאפשר לתוקף שאינו מאומת לגנוב אישורי כניסה לחשבונות ב-Zimbra Collaboration. החולשות נוספו לקטלוג בהתבסס על עדויות לניצולן האקטיבי, ואלה פרטיהן:
-
חולשה (CVE-2022-27924, CVSS 7.5) העלולה לאפשר לתוקף שאינו מאומת להציף את זיכרון המערכת (Memcached) על ידי הזרקת פקודות שרירותיות, ובכך ולגנוב את האישורים הנחוצים לכניסה למייל הקורבן (בהנחה שהקורבן אינו משתמש באימות רב-שלבי [MFA]). לאחר התחברות מוצלחת לחשבון יוכל התוקף לבצע מתקפות פישינג ״לגיטימיות״ נגד עובדי החברה, ואף לגרום לנזק רב יותר בהתאם להרשאות המשתמש אליו חדר.
-
שתי חולשות (CVE-2022-27925, CVSS 7.2; CVE-2022-37042, CVSS 9.8) העלולות לאפשר לתוקף לנצל את רכיב ה-mboximport בגרסאות 8.8.15 ו-9.0 של המוצר כדי לגרום לקורבן לחלץ קבצי ZIP מתיבת הדואר שלו. הסכנה שבחולשות נובעת מכך שמשתמש מאומת יכול לא רק להעלות קבצים שרירותיים למערכת ולהעבירם לתיקיות השונות, אלא גם לאפשר גישה אליהן למשתמש שאינו מאומת.
-
חולשה (CVE-2022-30333, CVSS 7.5) ב-UnRAR מבית RARLAB, שהינה תוכנה ל-Linux המאפשרת חילוץ קבצים מכווצים. החולשה עלולה לאפשר לתוקף לבצע מעבר בין ספריות, ובכך לכתוב בקבצים במהלך פעולת החילוץ.
-
חולשה (CVE-2022-24682, CVSS 6.1) העלולה לאפשר גניבת ״אסימוני זיהוי״ ממכשיר הקורבן.
מוקדם יותר, ב-23 בספטמבר, ה-CISA הוסיפה לקטלוג חולשה קריטית (CVE-2022-3236, CVSS 9.8) המצויה ב-User Portal וב-Webadmin של חומת האש של Sophos, בכל גרסה הקודמת ל-19.0.1. ניצולה המוצלח עלול לאפשר לתוקף להזריק קוד זדוני.
על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
סייבר בישראל
ראיון מיוחד שערך העיתון עם שני קצינים מיחידת 8200, אלוף־משנה אורי סתו, סגן מפקד 8200, ואלוף־משנה עומר גרוסמן, ששימש בתפקידו האחרון כ"מפקד מרכז עליונות בסייבר", התמקד בהפיכתה של איראן ליריבה העיקרית של מדינת ישראל במרחב הסייבר, ובגדילת היחידה בשנים האחרונות מבחינת כמות המשרתים בה ויכולותיה. הופעתם בתקשורת של הקצינים הבכירים אינה דבר שבשגרה, והיא נובעת מהשינויים המתחוללים בעולם, המאלצים גם את היחידה המובחרת ״להיפתח״ ולהעביר מסרים המכוונים אל התודעה הציבורית הישראלית והעולמית. בכתבה המלאה ישנו מידע מרתק אודות יכולות היחידה בתחום המודיעין, ההאזנות והצפנים, וכן בתחומי ההגנה והתקיפה, אשר בהם, לטענת המרואיינים, נמצאת ישראל בראש רשימת המדינות מבחינת יכולות הסייבר.
סייבר ופרטיות - רגולציה ותקינה
הבית הלבן יפרסם את "מגן הפרטיות" החדש: הסדרת החוקיות של העברת מידע אישי בין ארה"ב לאיחוד האירופי
הבית הלבן מתכנן לפרסם בזמן הקרוב צו נשיאותי חדש בנושא, שיהווה עדכון להסדר "מגן הפרטיות" (Privacy Shield) שאינו נותן מענה מלא לדרישות הדין של האיחוד האירופי, ובכך מסכן את החוקיות של העברת מידע אישי בין חברות המצויות משני צדי האוקיינוס האטלנטי, לרבות כאלה הפועלות במישור הגלובלי. בעקבות פס"ד של בית המשפט האירופי לצדק מחודש יולי 2020, הצו הנשיאותי צפוי להתפרסם בתחילת אוקטובר ולהתייחס לסוגיית הפרשנות של המושג "הכרחי ומידתי" בתיאור פעולות הניטור המותרות לביצוע על ידי סוכנויות הביון והביטחון של ארצות הברית בכל הנוגע לגישתן למידע אישי של תושבי אירופה ומדינות אחרות. לאחר פרסום הצו יחל תהליך אשרור בן כמה חודשים מצד האיחוד האירופי, ולאחר מכן, ככל הנראה באביב 2023, יתגבש הסכם פורמלי בין הצדדים. ההסדר החדש עלול להיות חשוף לתביעות בדומה לאלה שהכשילו את ה-Privacy Shield בעבר.
נפתח כנס המליאה של איגוד הבזק הבינלאומי, בהשתתפות ישראל
השבוע נפתח בבוקרשט, בירת רומניה, כנס המליאה של ה-ITU, הסוכנות המיוחדת של האו"ם האחראית על הסדרה גלובלית של משאבי תקשורת, לרבות תדרי הספקטרום האלקטרומגנטי, מסלולי לוויינים ותשתיות תקשורת פיזיות. חשיבות הכנס היא בקביעת סטנדרטים של תקשורת שיהיו מקובלים על כל מדינות העולם. ישראל, המשתתפת בכנס המליאה, חתומה ביחד עם עשרות מדינה נוספות על הצעה המבקשת לקדם "גישה המבוססת על זכויות אדם לכל מחזור החיים של טכנולוגיות טלקומוניקציה/ICT - כולל תכנון, פיתוח, פריסה, שימוש וסילוק - כחלק מחזון טרנספורמציה דיגיטלית הממוקד באדם, לרבות בנוגע לתהליכי קביעת סטנדרטים בינלאומיים". בתוך כך, נעמה הניג, נציגת משרד התקשורת הישראלי, הציגה במעמד פתיחת הכנס ב-28 בספטמבר את הצהרת המדיניות של ישראל, שהדגישה את הישגי המדינה בתחומים שונים, לרבות פריסת מערכות תקשורת מסוג 5G ומערכת לאומית של סיבים אופטיים. כנס ה-ITU יימשך מספר שבועות וייחתם ב-14 באוקטובר.
ארה״ב: המינהל הלאומי לבטיחות תחבורת כבישים מהירים מפרסם כללי הגנת סייבר לרכבים מודרניים
ב-9 בספטמבר פרסם ה-(National Highway Traffic Safety Administration (NHTSA מסמך המלצות בתחום הגנת הסייבר של כלי רכב בני-זמננו, לרבות שיטות העבודה הטובות (Best Prctices) והמלצות בנוגע לקידום הגנת הסייבר של רכבים. מסמך ההמלצות מיועד ליצרני רכבים, למתכנתים של מערכות אלקטרוניות לרכבים, ולספקים נוספים. המלצות ה-NHTSA אינן מחייבות ארגונים פרטיים, אך הן בגדר שיטות העבודה המומלצות מטעם ה-NHTSA, שהינו גוף הפיקוח הבכיר בארצות הברית בנושא בטיחות בדרכים. בין ההמלצות מצויים צעדים בהם ניתן לנקוט לאור סיכוני הסייבר ההולכים ומתפתחים, לרבות יצירה ופיתוח של רכבים בהתאם לתהליכי ייצור של רכיבים טכנולוגיים, ויישום תהליכים לקידום הגנת סייבר כחלק מייצור הרכב, שיתוף מידע בין יצרנים, יצירת תוכנית לדיווח על חשיפות סייבר ברכבים ותהליך מובנה של טיפול באירועי סייבר ברכבים, עריכת ביקורות והעברת הדרכות בנושא. עם פרסום המסמך אמר סטיבן קליף, מנהל ה-NHTSA, כי "ככל שמתפתחות הטכנולוגיה והקישוריות של רכבים, על הגנת הסייבר להיות בראש סדר העדיפויות של כל יצרן רכב, מפתח ומפעיל [...] ה-NHTSA מחויב לבטיחות כלי הרכב בכבישי מדינתנו, ושיטות העבודה המומלצות המעודכנות הללו יספקו לתעשייה כלים חשובים להגנה על האמריקאים מפני סיכוני [סייבר]".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.