דו״ח סייבר שבועי
עדכון שבועי 09.09.2021
עיקרי הדברים
-
מתקפת הסייבר על אוניברסיטת בר-אילן: לאחר הסירוב לשלם, קבוצת Darkcrypt הדליפה 130,000 משתמשים וסיסמאות.
-
הוועדה לניירות ערך ולבורסות (SEC) של ארה"ב מטילה סנקציות עקב הפרת הוראותיה להגנת סייבר.
-
שובה של קבוצת הכופרה Revil: תקפה שתי ספקיות Voip בבריטניה.
-
מערך הסייבר מבהיר: הפרסום אודות גניבת מידע של כ-7 מיליון ישראלים במתקפת סייבר - שקרי.
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Cisco (קריטי); שרת Atlassian Confluence (קריטי); מוצר Adobe Bridge (קריטי); דפדפני Mozilla (קריטי); Telegram Desktop (נמוך).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי Cisco נותן מענה לחולשות ברמה קריטית ובינונית
עדכון אבטחה קריטי לשרת Atlassian Confluence
חולשה ב-Adobe Bridge עלולה לאפשר הרצת קוד מרחוק
עדכוני אבטחה למוצרי Mozilla
חולשה במסמכי Microsoft Office עשויה לאפשר לתוקף להשתלט על המערכת מרחוק באמצעות קוד
חולשה ב-Telegram Desktop עלולה לאפשר מתקפת DoS
התקפות ואיומים
בריטניה: שתי ספקיות Voip הותקפו, ככל הנראה על ידי REvil
חברות רבות ממשיכות להתקף באמצעות חולשות ProxyShell, למרות העדכון שהתפרסם במאי השנה
ה-Pacific City Bank חווה מתקפת כופרה
השבוע בכופרה
וושינגטון: אוניברסיטת הווארד הושבתה עקב מתקפת כופר
סייבר בישראל
מערך הסייבר מבהיר: הפרסום אודות גניבת מידע של כ-7 מיליון ישראלים במתקפת סייבר - שקרי
נמשכת המתקפה על אוניברסיטת בר אילן
סייבר ופרטיות - רגולציה ותקינה
הוועדה לניירות ערך ולבורסות (SEC) של ארה"ב ממשיכה לקדם מגמה של הטלת סנקציות עקב הפרת הוראותיה להגנת סייבר
ארגון התקינה הבינלאומי (ISO) מפרסם תקן חדש להגנת סייבר בכלי רכב
כנסים
הציטוט השבועי
״אז מרגע זה אנו מזהירים את כל לקוחותינו, אם תשכרו חברת התאוששות כלשהי למשא ומתן או אם תשלחו בקשות למשטרה /FBI / חוקרים, נתייחס לכך ככוונה עוינת ואנו נפרסם את כל הנתונים שברשותינו באופן מיידי״
קבוצת התקיפה Ragnar Locker בפוסט באתר הדארקנט שלה
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה למוצרי Cisco נותן מענה לחולשות ברמה קריטית ובינונית
החולשה הקריטית (CVE-2021-34746, CVSS 9.8) מצויה בגרסה 4.5.1 של המוצר Cisco Enterprise NFVIS ומתבטאת בוולידציה שאינה מספקת לקלט שמכניס המשתמש, דבר העלול לאפשר לתוקף להשתלט על המערכת. החולשות שרמת חומרתן בינונית רלוונטיות למוצרים Cisco Nexus Insights, Cisco FDM On-Box Software, Cisco Prime Infrastructure ו-Cisco Prime Collaboration Provisioning ולתוכנת ה-Cisco ISE.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם דרך האתר הרשמי של Cisco.
עדכון אבטחה קריטי לשרת Atlassian Confluence
העדכון שפרסמה החברה ב-25 באוגוסט נותן מענה לחולשה (CVE-2021-26084) המאפשרת להזריק לשרת קוד OGNL, אשר בתורו מאפשר למשתמש לא מאומת להריץ עליו קוד זדוני. לדברי החברה, החולשה נוצלה על ידי תוקפים בעשרות הזדמנויות, והיא ממליצה למשתמשי השרת לעדכנו באופן מיידי.
צוות קונפידס ממליץ למשתמשים לעדכן את השרת בהקדם לאחת מהגרסאות הבאות: 6.13.23, 7.4.11, 7.11.6 ,7.12.5 ,7.13.0.
חולשה ב-Adobe Bridge עלולה לאפשר הרצת קוד מרחוק
החולשה, הרלוונטית לגרסה 11.1 וגרסאות מוקדמות יותר, עלולה לאפשר לתוקף להריץ קוד מרחוק במערכת המותקפת באמצעות הרשאות הקורבן, ואף לגרום לקריסת התוכנה באמצעות שימוש בקובץ זדוני אותו מריץ הקורבן על מחשבו, ואשר מאפשר לתוקף גישה לזיכרון המחשב.
צוות קונפידס ממליץ למשתמשי התוכנה לעדכנה בהקדם לגרסתה האחרונה, 11.1.1.
העדכונים שפרסמה החברה רלוונטיים ל-Firefox, Firefox ESR ו-Thunderbird במערכות ההפעלה Windows ו-Linux, ונותנים מענה למספר חולשות המאפשרות השתלטות על המערכת.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות: Firefox 92, Firefox ESR 78.14 ו- Thunderbird 78.14.
חולשה במסמכי Microsoft Office עשויה לאפשר לתוקף להשתלט על המערכת מרחוק באמצעות קוד
ממיקרוסופט נמסר כי ניתן למנוע את ניצול החולשה על ידי פתיחת מסמכי Office באופן מוגן ועדכון מוצרי Microsoft Defender Antivirus ו-Microsoft Defender לגרסתם האחרונה. עוד פרסמה החברה מספר דרכים לתיקון החולשה באופן ידני, עד שיתפרסם מטעמה עדכון רשמי.
חולשה ב-Telegram Desktop עלולה לאפשר מתקפת DoS
החולשה, שרמת חומרתה נמוכה (CVSS 5.3), רלוונטית לגרסה 2.9.2 של המוצר ועלולה להוביל לקריסתו באמצעות כמה צעדים פשוטים, הכוללים הרצת סקריפט פשוט והזנת מידע לחלל הטקסט של האפליקציה. מענה לחולשה ניתן בעדכון מערכת מספר 3.0.1 או מאוחר יותר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
התקפות ואיומים
בריטניה: שתי ספקיות Voip הותקפו, ככל הנראה על ידי REvil
הקבוצה הרוסית, האחראית למספר מתקפות נרחבות שתועדו בחודשים האחרונים, היא החשודה בגרימת מתקפת DDoS שהביאה לשיבושים בשירותיהן של VU, אשר דווחה שלמרות ששירותיה חזרו לפעול היא עדיין תחת מתקפה, ושל Voipfone, שעד ל-4 בספטמבר הייתה נתונה במתקפה מתמשכת שהשפיעה על שירותי השיחות והודעות הטקסט שלה, אך לאחר מכן חזרה לשגרה.
חברות רבות ממשיכות להתקף באמצעות חולשות ProxyShell, למרות העדכון שהתפרסם במאי השנה
בשבוע שעבר תקפה כנופיית הכופרה Conti את חברת האבטחה הבריטית Sophos תוך שימוש בחולשות ProxyShell, מונח המתייחס לשלוש חולשות בשרתי Microsoft Exchange, המאפשרות הרצת קוד מרחוק על שרתים פגיעים. למרות שמיקרוסופט תקנה את החולשות לפני כארבעה חודשים, בהמשך פורסמו הפרטים הטכניים הדרושים לביצוע המתקפה - ותוקפים החלו להשתמש בווקטור התקיפה עבור שרתים שאינם מעודכנים, כמו במקרה של תקיפת Sophos. לאחר שהתוקפים נכנסו לרשת החברה, הם הניחו Web shell שאפשר להם להוציא פקודות על השרת, וכך הורידו תוכנות נוספות והמשיכו לבסס את אחיזתם ברשת, תוך קבלת גישה למשתמשים בעלי הרשאות גבוהות, גניבת מידע והצפנת מחשבי החברה. תקיפה זו הינה יוצאת דופן מבחינת הדיוק והזריזות שהפגינו התוקפים, אשר הצליחו הצליחו לגנוב מידע בהיקף של 1TB תוך 48 שעות ולהצפין את כל מחשבי החברה תוך 5 ימים. ניתן להתמגן מפני התקיפה על ידי עדכון שרת ה-Exchange, אך הדבר ידרוש את השבתתו למשך פרק זמן מסוים.
ה-Pacific City Bank חווה מתקפת כופרה
השבוע נחשף כי הבנק הקוריאני-אמריקאי השלישי בגודלו בעולם, המספק שירותי בנקאות מסחרית בעיקר לקהילה האמריקאית-קוריאנית וממוקם בקליפורניה, היה קורבן למתקפת סייבר אשר במהלכה, לדברי התוקפים, הושגה גישה לנתונים רגישים במערכות הבנק. כנופיית AVOS Locker, אשר לקחה אחריות על האירוע, פרסמה הודעה בה היא לועגת לאבטחת המידע של הבנק, ומאיימת כי אם לא יתקיים עמה משא ומתן - המידע שהשיגה יפורסם. עוד פרסמה הקבוצה תמונה הנראית ככזו הלקוחה ממערכות הבנק, זאת על מנת להוכיח כי אכן הצליחה לחדור אליהן. טרם התקבלה תגובת הבנק לאירוע, אשר הוא עשוי להמשיך ולהתפתח.
השבוע בכופרה
וושינגטון: אוניברסיטת הווארד הושבתה עקב מתקפת כופרדוברי האוניברסיטה מסרו הצהרה לפיה ב-3 בספטמבר זיהה צוות ה-IT של מוסד הלימוד פעילות חריגה ברשת, אשר בעקבותיה הופעל פרוטוקול להתנהלות באירוע סייבר. עוד נמסר כי האוניברסיטה השביתה את הרשת והחלה בחקירה. עד לכתיבת שורות אלה אין אינדיקציה לדלף מידע של סטודנטים.
סייבר בישראל
מערך הסייבר מבהיר: הפרסום אודות גניבת מידע של כ-7 מיליון ישראלים במתקפת סייבר - שקרי
במהלך החג פרסם האקר המכונה SANGKANCIL, ככל הנראה ממוצא מלזי, כי עלה בידיו לפרוץ למאגרי מידע של רשויות עירוניות שונות, כאשר בסבירות גבוהה הפריצה נעשתה דרך האתר City4U. המידע הרגיש הוצע למכירה בדארקנט ובעמוד הטלגרם של הפורץ, לרבות צילומי תעודות זהות, רישיונות רכב ומסמכי תשלום עירוניים. בעמוד של SANGKANCIL אף מופיע קובץ שלדברי התוקף מכיל חלק מהרשומות הגנובות, זאת לשם הוכחה כי המידע אכן מצוי בידיו. שיטת פעולה זו דומה לתקיפת חברת הביטוח ״שירביט״ בחודש דצמבר האחרון, שכן התוקף לא נקב בסכום אותו הוא דורש עבור המידע. ואולם, מבדיקת האירוע על ידי צוותים של מערך הסייבר הלאומי, נראה כי אין אמת בדבריו של ההאקר, ובשלב זה ידוע כי מצוי בידיו מידע לא עדכני על תושבי עיר אחת, בהיקף מצומצם שאינו מתקרב למיליוני רשומות. עם זאת, המקור לדלף ממשיך להיחקר.
נמשכת המתקפה על אוניברסיטת בר אילן
בהמשך לדיווח בשבוע שעבר על הדלפת המידע המסיבית מהמוסד האקדמי, היום פורסם בערוץ הטלגרם של התוקפים קובץ חדש המכיל כ-130 אלף מיילים וסיסמאות של חשבונות בבר אילן,לצד המיילים הפרטיים של אותם משתמשים.
סייבר ופרטיות - רגולציה ותקינה
בתחילת החודש הטילה ה-Securities and Exchange Commission סנקציות כלכליות על עוד שמונה חברות, כולן במגזר הפיננסי, אשר לא קיימו רמה מספקת של הגנת הסייבר. כתוצאה מכשלים בנהלי אבטחת הסייבר של כל אחת מהן, עלה בידיהם של גורמים עוינים להשתלט על חשבונות המייל של אלפי לקוחות בכל חברה ולחשוף מידע אישי שלהם. הקנסות שהטילה ה-SEC על החברות נעים בין $200,000 ל-$300,000, והם מצטרפים למגמת האכיפה הפעילה בעת האחרונה. פעילות אכיפה זו כוללת גם סנקציות בגובה מיליון דולר שהוטלו על חברת Pearson, המפרסמת חומרי לימוד, לאחר שמסרה ל-SEC מידע כוזב אודות פריצת סייבר שבעקבותיה נחשף מידע אישי של מיליוני סטודנטים. ה-SEC מתכננת להמשיך באכיפה מוגברת סביב הגנת הסייבר של ארגונים, כאשר יו"ר הוועדה גארי גנסלר הצהיר במספר נאומים ועדויות בקונגרס כי הנושא נמצא בראש סדר העדיפויות של הסוכנות.
ארגון התקינה הבינלאומי (ISO) מפרסם תקן חדש להגנת סייבר בכלי רכב
התקן החדש, ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering, קובע מסגרת להגנת סייבר בכלי רכב, לאחר שפותח ביחד עם ה-SAE, ארגון בינלאומי בו חברים מהנדסים בתחום התחבורה, בהשתתפות של יותר מ-100 אנשי מקצוע מ-14 מדינות שונות. תקן זה הינו תקדימי מבחינה זו שהוא מספק למגיני סייבר ולמפתחים של כלי רכב גישה פרגמטית לקביעת בסיס איתן לשילוב רכיבים של הגנת סייבר בתוך כל שלבי מחזור החיים של פיתוח כלי רכב, מתחילת פרויקט הייצור ועד להוצאת הרכב מכלל שימוש. תהליך ההכשרה וההסמכה של אנשי מקצוע לשיפור רמת מומחיותם בתחום בהתאם לתקן כבר החל.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן, לאוניה חלדייב, אמיר אברהמי, רוני עזורי, עמית מוזס וגיא פינקלשטיין.