עדכון שבועי 30.03.2023

עדכוני אבטחה לחולשות ברמת חומרה גבוהה ב-Rapid7 insightCloudSec

החולשות (CVE-2023-1305, CVSS 8.1), (CVE-2023-1306, CVSS 8.8) ו(CVE-2023-1304, CVSS 8.8) אשר התגלו בRapid7 insightCloudSec מאפשרות  לתוקף  מאומת מרחוק לנצל את פגיעות אלו על מנת להפעיל קוד שרירותי במערכת. אותם פגיעויות מקבלות מענה בעדכון אבטחה האחרון שפורסם על ידי IBM X-Force Exchange.Rapid7 InsightCloudSec הוא פתרון אבטחת ענן המספק זיהוי איומים וניהול אוטומטי עבור סביבות ענן. 

החולשה (CVE-2023-1304) מנצלת את שיטת  getattr()  על מנת להריץ קוד שרירותי במערכת על ידי שליחת בקשה באמצעות תבנית Jinja.  החולשה (CVE-2023-1305) מנצלת את ״box object" , מה שמאפשר לתוקף לעקוף אמצעי אבטחה ולקרוא או לכתוב קבצים שרירותיים מהדיסק עם קובץ yaml או JSON. החולשה (CVE-2023-1306, CVSS 8.8)  יכולה, בניצול מוצלח שלה, לאפשר לתוקף בעל גישה שימוש בפגם  בשיטת הגישה resource.db() על ידי שליחת בקשה באמצעות תבנית Jinja. 

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסה העדכנית (23.3.21) בהתאם להוראות היצרן.

חולשה ב OpenSSL ברמת חומרה נמוכה עלולה לגרום למתקפת מניעת שירות

החולשה (CVE-2023-0464, CVSS 5.3) מקורה בשגיאה באימות מסוג (X.509 (certificate chains , הכוללת אילוצי מדיניות. היא עלולה לאפשר לתוקף מרוחק לבצע מתקפת מניעת שירות במערכות בעלות גרסאות הנתמכות באימות זה. הגרסאות המושפעות: OpenSSL בגרסא 3.1, 3.0, 1.1.1 ו 1.0.2. בשל הציון הנמוך שקיבלה החולשה, openssl,  ישחררו את התיקונים במועד התיקונים הבא שיכלול את הגרסאות הבאות: משתמשי OpenSSL 3.1 צריכים לשדרג לגרסא 3.1.1 כך: 

• משתמשי OpenSSL 3.0 יש לשדרג לגרסא 3.0.9.

• משתמשי OpenSSL 1.1.1 יש לשדרג לגרסא 1.1.1u.

• משתמשי OpenSSL 1.0.2 יש לשדרג לגרסא 1.0.2zh (ללקוחות תמיכת פרימיום בלבד). 

​אנו בקונפידס ממליצים למשתמשים לעקוב אחר העדכונים באתר היצרן ולעדכנם עם שחרורם.

חולשה ב-Apache Tomcat ברמת חומרה גבוהה העלולה להוביל לדלף מידע רגיש

החולשה (CVE-2023-28708) שדווחה בשרתי ה-web של Apache Tomcat נגרמת בעקבות חוסר של תכונת אבטחה (attribute) ברמת הקוד בחלק מההגדרות עבור - JSESSIONID Cookie כאשר מתבצע שימוש במחלקת הגאוו׳ה "RemoteipFilter". חולשה זו יכולה להיות מנוצלת על ידי האזנה לתעבורת הרשת ומשיכה של המידע הרלוונטי של ה-session cookie. לאחר שהתוקף השיג את מידע זה, יש לו יכולת פוטנציאלית לבצע מתקפת המשך. חולשה זו קיבלה ציון של 7.5 מאחר שאופן ניצול החולשה הוא יחסית פשוט, אין צורך בהרשאות מיוחדות והסכנה לדלף מידע גבוה. צוות קונפידס ממליץ לבצע עידכון גרסה לשרתי  Apache Tomcat לגירסה האחרונה כפי שפורסמה על ידם על מנת להימנע מפגיעות לחולשה זו.

Microsoft משחררת תיקון עבור חולשה בשם aCropalypse בכלי צילום מסך עבור 11 ו 10 Windows.

חברת Microsoft מפרסמת את עדכוני האבטחה הנותנים מענה לחולשה המכונה ״aCropalypse״ אשר משפיעה על מערכת ההפעלה שלו. החולשה עלולה לאפשר לתוקף לשחזר חלקים ערוכים של צילומי מסך ולחשוף מידע רגיש. החולשה (CVE-2023-28303, CVSS 3.3) נמצאת בתהליך AcroRd32.exe, המשמש את Adobe Acrobat Reader להצגת קבצי PDF, ניתן לנצל אותו לביצוע קוד שרירותי עם הרשאות המשתמש. זה משפיע גם על אפליקצית Snip & Sketch ב-Windows 10 וגם על Snipping Tool ב-Windows 11.

צוות קונפידס ממליץ למשתמשים לעדכן את המוצרים בהתאם להוראות היצרן.

חברת Apple פרסמה עדכון אבטחה לכל מוצריה, כולל תיקון לחולשת Zero-Day למשתמשי IOS 15

חברת Apple פרסמה את העדכון החודשי שלה אשר נותן מענה למספר חולשות במערכות iOS, iPadOS, tvOS ו-watchOS יחד עם שלושת הגסראות של מערכת ההפעלה macOS. בנוסף נראה כי ישנה חולשה בקושחה של Studio Monitor שעדכון של מערכת ההפעלה macOS Ventura בלבד לא פותר באופן מלא ועלול לאפשר לתוקפים בכל זאת על ידי ניצול מוצלח של החולשה להריץ קוד שרירותי ברמת הרשאות גבוה, כל זאת באמצעות תוכנה שרצה על מערכת ההפעלה של מכשיר ה-macOS המחובר אל המסך החיצוני. העדכון החודשי האחרון נותן מענה לחולשת Zero-Day אחת בלבד, במערכת ההפעלה iOS 15. משתמשים בעלי מכשירי iPhone שאינם תומכים iOS 16 קיבלו עדכון בנפרד למערכת ההפעלה iOS 15. למרות כי ישנה חולשת Zero-Day אחת בלבד, העדכון החודש נותן מענה למספר רב של חולשות שיכולות לאפשר לתוקפים לבצע מספר רב של פעולות, וביניהן:

הרצת קוד מרוחק ברמת הרשאות גבוה

גניבת מידע

גישה למידע שמועבר בחיבור Bluetooth

הורדת קבצים ללא מנגנון ההגנה של Apple העונה לשם SmartScreen (זהה בהתנהגותו ל-Mark of the web של Microsoft)

גישה בלתי מאושרת לאלבום התמונות המוסתרות של הקורבנות

מעקב אחר קורבנות

יש לעדכן את כל המוצרים הרלוונטים שברשותכם לגרסא העדכנית ביותר על פי הוראות היצרן כפי שמפורט כאן.

נוזקת Emotet מופצת כחלק מקמפיין המתחזה לרשות המיסים של ארה״ב

חברת אבטחת המידע MalwareBytes מתריעה על קמפיין חדש להפצת נוזקת Emotet המתחזה לרשות המיסים של ארה״ב (ה-IRS). מקור התקיפה הוא, ככל הנראה, באימייל פישינג שמתחזה ל-IRS ונשלח לאזרחים עם דרישה לתשלום מיסים. הנוזקה מופצת במידה מוגברת בתקופה זאת של תחילת השנה משום שרשות המיסים האמריקנית נוהגת לגבות בה מדי שנה מיסים שלא שולמו בשנה הקודמת. צוות המחקר של MalwareBytes זיהה קמפיין אשר מפיץ טפסי W-9 של ה-IRS, טופס הדורש מילוי הפרטים האישיים והפיננסיים של משלם המיסים. בקמפיין המדובר, טופס ה-W-9 נועד לפתות קורבנות לפתיחת מייל שמכיל קובץ ZIP ובתוכו קובץ Word זדוני. הקובץ Word הזדוני שוקל כ-550 MB וזאת על מנת לנסות להטעות ולהערים על מערכות הגנה בעת שהן סורקות ומנסות לנתח את הקובץ (יצוין שקבצי Word ששוקלים כ-500 MB הם בדרך כלל סימן מסגיר לקובץ Word המוריד את נוזקת Emotet). לאחר ההורדה של קובץ ה-Word הזדוני, רץ קוד VBScript שמוריד את קובץ ה-DLL המכיל את הנוזקה Emotet ומריץ אותה באמצעות regsvr32.exe, שכן זהו קובץ לגיטימי במערכת ההפעלה Windows.

פורסמה נוזקה חדשה שמשמשת האקרים​​ לגניבת מידע ממערכות הפעלה של MacOS

הנוזקה, שקיבלה את השם MacStealer, עושה שימוש באפליקציית המסרים טלגרם כפלטפורמת ה-Command & Control של הנוזקה לטובת גניבת מידע. הנוזקה MacStealer מתמקדת בעיקר במערכות הפעלה מסוג macOS Catalina וגירסאות מאוחרת יותר הפועלות על שבבי ה-M1 ו-M2 החדשים של חברת Apple. על פי הדיווח הנוזקה מיועדת לגנוב מסמכים, עוגיות מדפדפנים, שמות משתמש וסיסמאות, מידע iCloud Keychain, גניבת מסמכי Office, תמונות, סקריפטים של פייתון ועוד. הנוזקה מפורסמת בפורומים של האקרים ומוצעת למכירה ב-100 דולר. כותב הנוזקה הצהיר כי הוא מתכוון להרחיב את יכולות גניבת המידע של האפליקצייה ולהוסיף גם גניבת מידע מדפדפני ספארי ואפליקציית Notes של Apple. הדרך בה הנוזקה מגיעה למחשבים אינה ידועה כרגע, אך היא מוצגת כקובץ DMG בשם weed.dmg. בעת הפעלתו, הקובץ פותח חלון הקשת סיסמה מזוייף של קבלת הרשאות, שבאמצעותו נעשית גניבת הסיסמה של המשתמש. צוות קונפידס ממליץ למשתמשי מערכות ההפעלה שצויינו מעלה להזין את המזהים הבאים במערכות ההגנה של הארגון.

סייבר בעולם

ארה״ב: ה-FBI מדווח על הפסדים של 10.3 מיליארד דולר בשנת 2022 כתוצאה מפשע מקוון
הבולשת הפדרלית לחקירה (FBI) ומרכז התלונות שלה על פשעי אינטרנט (ה-IC3) פרסמו דו"ח בנושא פשע מקוון בארה"ב בשנת 2022. הדו"ח מפרט על סוגי מתקפות הסייבר השכיחות ביותר, כשבראשם הונאת השקעות (Investment scams) והונאת Business Email Compromise) BEC), שגרמו לנזקים של 3.3 מיליארד דולר ו-2.7 מיליארד דולר, בהתאמה. הונאת השקעות הן הונאות המועברות בעיקר באמצעות SMS, במטרה להניע אנשים להשקיע במטבעות קריפטו מזויפים. הונאות BEC הן הונאות המבוצעות בשיטת הנדסה חברתית באמצעות דואר אלקטרוני כנגד ארגונים מסחריים וממשלתיים, במטרה לגרום לעובדים לבצע פעולות לטובת התוקף. שיטת הדיוג היא הפופולרית ביותר לביצוע פשעי סייבר, כאשר אחריה מנוצלות פרצות אבטחת מידע (Data breach). לפי הדו״ח, תוכנות הכופר המובילות שהשפיעו על תשתית קריטית ב-2022 היו LockBit, ALPHV/BlackCat ו-Hive. כל שלוש הקבוצות נקשרו בעבר למתקפות של תוכנות כופר רפואיות, אם כי האחרונה (Hive) נסגרה מאז על ידי משרד המשפטים (DOJ).

​

​

​

​

​

​

​

​

​

​

​

​

(מקור: 2022 INTERNET CRIME REPORT)

התרשים כולל נתונים שנתיים ומצטברים עבור תלונות והפסדים לאורך השנים 2018 עד 2022. במהלך תקופה זו, ה-IC3 קיבל 3.26 מיליון תלונות, המדווחות על הפסד של 27.6 מיליארד דולר.

בדו"ח, ה-IC3 מראה שהנזקים כתוצאה מפשיעת סייבר עלו משמעותית בשנתיים האחרונות: מ-6.9 מיליארד דולר ב-2021 ל-10.3 מיליארד דולר ב-2022. לעומת זאת, סך התלונות על מתקפות סייבר גדל בקצב איטי יותר, ועדיין עומד על ממוצע של 652,000 תלונות בשנה בחמש השנים האחרונות. מטעם ה-FBI נמסר כי "למרות שמספר אירועי הכופר המדווחים ירד, אנו יודעים שלא כל מי שחווה תקרית כופר דיווח ל-IC3".

​

​

​

​

​

​

​

​

​

​

​

​

(מקור: 2022 INTERNET CRIME REPORT )

התרשים כולל נתונים שנתיים ומצטברים על מספר תלונות כופר לפי תעשייה. מגזר הבריאות דיווח על הכי הרבה מתקפות של תוכנות כופר ל-IC3 בשנת 2022 בהשוואה לכל תשתית קריטית אחרת, והיווה 210 מתוך 870 התלונות הקשורות לתשתית קריטית. במהלך תקופה זו, ה-IC3 קיבל 3.26 מיליון תלונות, המדווחות על הפסד של 27.6 מיליארד דולר.

​

ה-FBI מזהיר חברות בארצות הברית מפני תקיפות (business email compromise) BEC 

בהמשך לדו"ח השנתי שפרסם ה-FBI בענין הפשע המקוון, גוף זה פירסם אזהרה לחברות בארצות הברית מפני תוקפים שמבצעים שימוש בטכניקות של Business Email Compromise. מדובר במתקפות שבהן נעשה שימוש בתיבות מייל שנפרצו בדרכים שונות, כגון Spoofing, פישינג, ניצול חולשות אצל ספק המייל ועוד, כדי להשיג פרטי גישה לתיבות מייל עסקיות. לאחר שהתוקף השיג גישה לתיבת מייל עסקית פנים-ארגונית, הוא עושה בה שימוש להשגת מידע או לביצוע תשלומים; וזאת באמצעות התכתבות והפעלת מניפולציות על ארגונים שעמם מתקיימים קשרים עסקיים דרך תיבת המייל הפרוצה. באזהרה שפורסמה על ידי ה-FBI נאמר כי התוקפים משתמשים במיילים מזויפים עם דומיין שמתחזה לספקים וארגונים מוכרים בארצות הברית, על מנת לבצע הזמנה של סחורות מחברות שונות במשק האמריקאי. תוקפים המשתמשים בשיטה זו משתמשים בשמות של עובדים אמיתיים בעסקים שאליהם הם מתחזים, במטרה להונות את הצד השני ולהעלות את הסיכויים לאישור ההזמנה שנעשתה על ידי התוקפים. עוד בפרסום של ה FBI נאמר, כי בין המוצרים המובילים שהתוקפים מתמקדים בהם במתקפות אלו ניתן למצוא חומרי בנייה, מוצרים חקלאיים, רכיבי מחשב ומוצרי אנרגיה סולארית. מעבר לכך, התקופים מפגינים רמת מיומנות גבוהה בעסקים, ונוהגים להגיש טפסים ותעודות מזויפים כדי להציג מצג של עסק אמיתי ולגיטימי.

​

בריטניה: הממשלה פרסמה אסטרטגייה להגנת סייבר על מערכת הבריאות הציבורית

ממשלת בריטניה פרסמה אסטרטגיית הגנת סייבר במערכת הבריאות עד שנת 2030, המתווה חמש דרכים מרכזיות להגנה על שירותי הבריאות, כחלק מהמחויבות של הממשלה לבנות מערכת בריאות חזקה ובת קיימא. האסטרטגייה מדגישה יישום של חמש נקודות מרכזיות לשיפור ההגנה בסייבר, והיא נועדה להגן על ארגוני הבריאות המרכזיים במדינה, שהם: משרד הבריאות והרווחה (DHSC), וארגוני בריאות לאומיים (NHS), רשויות מקומיות, וספקי בריאות פרטיים במדינה. חמש הנקודות כפי שפורטו באסטרטגיה הן:

1. איתור המערכות הרגישות ביותר לפגיעת סייבר - זיהוי התהליכים שבהם שיבוש סייבר יגרום לנזק הרב ביותר למטופלים, בין אם בעקבות פרצת אבטחה או על ידי השבתת שירותים.

2. איחוד של כלל הגורמים במגזר הבריאות בשל היתרונות של אסדרה בתחום הגנת הסייבר: היכרות טובה יותר של האיומים, הפקת תועלת מיכולות סייבר קיימות ומשיתוף פעולה מבצעי וטכנולוגי עם גורמים לאומיים, תגובה מהירה יותר לאירועי סייבר ומזעור ההפרעות. 

3. שיפור הנחות היסוד והידע הקיים בקרב מוסדות בריאות על הגנת סייבר, קיום הכשרות וגיוס מומחי אבטחת מידע וסייבר לשיפור המוכנות של המוסד למתקפת סייבר.

4. התמודדות עם הפוטנציאל הטכנולוגי הגבוה במערכת הבריאות ואימוץ של נורמות ונהלים להטמעת הגנת סייבר רלוונטית במציאות של טכנולוגיה מתפתחת. 

5. תמיכה במוסדות בריאות שחווים מתקפת סייבר כדי למזער את נזקי המתקפה ולקצר את זמן ההתאוששות.

סייבר בישראל

עשרות חברות נפגעו כתוצאה מפריצת מערכת הקבצים GoAnyWhere

ביום 23 למרץ התפרסם כי קבוצת Clop ניצלה חולשה (CVE-2023-0669, CVSS 7.2) במערכת GoAnyWhere, שהיא מערכת להעברת קבצים. מדובר בחולשת zero day - שבאמצעותה הצליחה הקבוצה לפרוץ לקרוב ל-130 חברות, לטענתה. עד, נראה כי כ-70 ארגונים נפגעו מהתקיפה בפועל, וביניהם: עיריית טורנוטו, פלטפורמת החינוך האמריקאית Pluralsight, מותג היוקרה Saks Fifth Avenue, חברות קרנות פנסיה בבריטניה, Paybox ועוד. חברות רבות שנפגעו מניצול החולשה אישרו שנעשה אצלן נזק ממשי כתוצאה מהתקיפה של קבוצת Clop. חברות אחרות שיתפו שקבוצת Clop יצרה איתן קשר ישיר כדי להודיע על גניבת מידע ממערכותיהן.