דו״ח סייבר שבועי
עדכון שבועי 11.02.2021
עיקרי הדברים
-
מדיניות הסייבר של ממשל ביידן - תוכנית מיידית לחיזוק הגנת הסייבר של מערכות פדרליות.
-
קבוצת APT איראנית שבה אל הזירה
-
משרד המשפטים מפיץ טיוטת הסדרת השימוש ברכבים אוטונומיים, כולל סייבר.
-
רשות השירותים הפיננסיים של מדינת ניו יורק קובעת מסגרת לניהול סיכוני סייבר בפוליסות ביטוח .
-
אנו ממליצים לעדכן את המערכות הבאות: מוצרי מיקרוסופט (קריטי), מוצרי Adobe (קריטי), מוצרי Fortinet FortiWeb (קריטי) ו-FortiProxy SSL VP, תוסף Wordpress NextGen (קריטי), דפדפן -Mozilla Firefox ול-Firefox ESR (קריטי).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Fortinet מפרסמת עדכוני אבטחה מהם אחד בחומרה קריטית
Microsoft מפרסמת 56 עדכונים לחודש פברואר מהם 9 בחומרה קריטית
עדכוני אבטחה קריטיים ל-Mozilla Firefox ול-Firefox ESR
שתי חולשות קריטיות התגלו בתוסף NextGEN Gallery של WordPress המונה יותר מ-800 אלף הורדות
Adobe מפרסמת עדכוני אבטחה הסוגרים חולשות קריטיות מתחום 19 בחומרה קריטית
חולשת SUDO השפיעה גם על מערכת ההפעלה macOS
התקפות ואיומים
מתקפת פישינג ייחודית משתמשת בקידוד מורס לעקיפת מנגנוני הגנה המותקנים במיילים
האקרים ניסו לזהם מתקני מים בפלורידה
ניצול ייחודי של חולשות בספריות Open-source אפשר תקיפת עשרות חברות גדולות
סייבר בעולם
קבוצת APT איראנית שבה אל הזירה
סייבר ופרטיות - רגולציה ותקינה
מדיניות הסייבר של ממשל ביידן
מדינות האיחוד האירופי סיכמו את נוסח רגולציית ה-ePrivacy
משרד המשפטים פרסם טיוטת מסמך לקראת הסדרת השימוש ברכבים אוטונומיים, כולל סוגיות של מתקפות סייבר ופרטיות המידע
רשות השירותים הפיננסיים של מדינת ניו יורק קובעת מסגרת לניהול סיכוני סייבר בפוליסות ביטוח
Huawei תובעת את ה-FCC בניסיון לפסול את הקביעה שהחברה מהווה איום ביטחוני על ארה"ב
כנסים
הציטוט השבועי
״I do not like to work in the U.S. because getting paid is harder there, the EU pays better and more.”
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Fortinet מפרסמת עדכוני אבטחה מהם אחד בחומרה קריטית
עדכוני חודש פברואר של החברה רלוונטיים למוצרים FortiWeb ו-FortiProxy SSL VP. בין החולשות הנסגרות בעדכון מצויה אחת ברמת חומרה קריטית (CVE-2020-2901, CVSS 9.8), אשר מקורה ברכיב ה-FortiWeb וניצולה עלול לאפשר תקיפת SQLi מוצלחת. אנו ממליצים לעדכן את המוצרים הרלוונטיים בהקדם.
Microsoft מפרסמת 56 עדכונים לחודש פברואר מהם 9 בחומרה קריטית
עדכון האבטחה החודשי של החברה נותן מענה ל-56 חולשות, בהן 9 בדרגת חומרה קריטית. אחת מהחולשות הקריטיות (CVE-2021-24078, CVSS 9.8) מתייחסת לפגיעות בשרתי DNS, העלולה לאפשר לתוקף להוריד אל השרת תוכנות מרחוק. אנו ממליצים לבעלי המוצרים הרלוונטיים לעדכנם בהקדם.
עדכוני אבטחה קריטיים ל-Mozilla Firefox ול-Firefox ESR
העדכונים שפרסמה חברת Mozilla נותנים מענה לשתי חולשות קריטיות שהתגלו בדפדפנים במערכת ההפעלה Windows. ניצול החולשות במערכת שאינה מעודכנת עלול לאפשר לתוקף להריץ עליה קוד זדוני.
אנו ממליצים למשתמשים לעדכן את מערכותיהם לגרסאות העדכניות ביותר של התוכנות: Firefox 85.0 ו-Firefox ESR 78.7.1.
שתי חולשות קריטיות התגלו בתוסף NextGEN Gallery של WordPress המונה יותר מ-800 אלף הורדות
החולשות שנתגלו בתוסף, המאפשר יצירת גלריית תמונות באתרי WordPress, הן מסוג (Cross-Site Request Forgery (CSRF, ומאפשרות לתוקף ליצור Backdoor ודרכו להשתלט על אתר העושה שימוש בתוסף פגיע. צוות הפיתוח של NextGEN Gallery דיווח כי החולשות, אשר טרם הוקצה להן ציון CVSS, תוקנו בגרסה החדשה של התוסף, אך עדיין מצויים ברשת מאות אלפי אתרים המשתמשים בגרסה לא מעודכנת שלו.
אנו ממליצים למי שמשתמש בתוסף לעדכנו בהקדם לגרסתו האחרונה.
Adobe מפרסמת עדכוני אבטחה הסוגרים חולשות קריטיות מתחום 19 בחומרה קריטית
הפרסום האחרון מטעם החברה מונה 50 עדכוני אבטחה, מתוכם 19 בדרגת חומרה קריטית, והוא רלוונטי לשבעה ממוצריה: Adobe Reader ,Adobe Acrobat, Magento, Photoshop, Animate, Illustrator ו-Dreamweaver. ניצול מוצלח של החולשות עלול להוביל להשתלטות מרוחקת והרצת קוד זדוני על עמדת קצה. למשל, החולשהCVE-2021-21017, הרלוונטית למוצר ה-Adobe Acrobat, מאפשרת גלישת חוצץ (Buffer Overflow) העלולה להוביל להזרקת קוד זדוני לעמדת קצה.
אנו ממליצים לעדכן את מוצרי Adobe שברשותכם בהקדם האפשרי.
חולשת SUDO השפיעה גם על מערכת ההפעלה macOS
לפני כחודש ימים פרסם צוות חוקרי אבטחה של חברת Qualys את תגליתו בדבר חולשה בעלת ציון חומרה CVSS 7.8, המאפשרת הרצה של פקודת SUDO במערכות ההפעלה Linux ללא צורך באימות. לאחרונה גילה חוקר האבטחה מת׳יו היקי, הידוע בכינויו Hacker Fantastic, כי החולשה בפקודת SUDO, המעניקה הרשאות אדמין, תקפה גם למחשבים המבוססים על מערכת ההפעלה macOS בגרסתה העדכנית ביותר. בעקבות התגלית, ב-9 בפברואר שחררה חברת Apple עדכון אבטחה בו נסגרת החולשה.
אנו ממליצים למשתמשי מערכת ההפעלה macOS לעדכנה בהקדם.
התקפות ואיומים
מתקפת פישינג ייחודית משתמשת בקידוד מורס לעקיפת מנגנוני הגנה המותקנים במיילים
הקמפיין המתוחכם והיחיד מסוגו מצליח להחדיר לתיבות הנתקפים מיילים המכילים צרופות מסוג HTML, אך עם סיומות הכוללות גם את הצירוף ״xlsx״, על מנת לשטות במשתמשי הקצה לחשוב שמדובר בקבצי Excel. בפועל, הקמפיין מדמה כניסה ל-Office365, במטרה לגנוב פרטי הזדהות הנשלחים לשרת C&C מרוחק.
אנו ממליצים להפעיל את האפשרות לראות את סיומות הקבצים (File Extensions) בתיקיות המייל השונות.
האקרים ניסו לזהם מתקני מים בפלורידה
התוקפים, אשר הצליחו להשתלט על מתקנים האחראיים על הספקת מים לכ-15 אלף תושבים באזור טמפה, העלו את רמת הנתרן ההידרוקסידי במים לכמות הגדולה פי 111 מהמותר. בשימוש ״רגיל״, נתרן הידרוקסידי משמש לייצור חומרי ניקוי ולפתיחת סתימות בביוב, ונשמר במיכלי פלסטיק מיוחדים, העמידים בפני חומרים מאכלים. התקיפה התאפשרה לאחר שההאקרים הצליחו להשתלט מרחוק על עמדה של עובד במתקן באמצעות תוכנת TeamViewer, ממנה המשיכו, ככל הנראה, למחשבים נוספים ולמערכות אחרות. האירוע התגלה לאחר שבקרות מזהות שהוקמו במערכות ההגנה של מתקני המים הפעילו התראות בדבר זיהום במים.
ניצול ייחודי של חולשות בספריות Open-source אפשר תקיפת עשרות חברות גדולות
חוקר אבטחת המידע אלכס בירסאן פרסם השבוע בחשבון ה-Medium שלו תיאור טכני של האופן בו הצליח לתקוף עשרות חברות Enterprise באמצעות ניצול חולשות במאגרי ה-Open-source המוכרים PyPI, npm ו-RubyGems. שפות תכנות רבות מגיעות עם אפשרויות מובנות ליבוא מתודות ופונקציות חיצוניות מספריות פתוחות. בירסאן מצדו הבחין כי אף בקרה אינה מבצעת בדיקה מלאה של הימצאות נוזקות בכל הקבצים המועלים לספריות הציבוריות. אי לכך, חוקר האבטחה החליט לבדוק מה יקרה אם יעלה לספריות כאלה קטעי קוד המכילים נוזקות, למרות ששמותיהם לגיטימיים. ואכן, בעת ביצוע התקיפה עלה בידיו של בירסאן להגיע למערכות של חברות מובילות, בהן Apple, Microsoft, PayPal, Tesla, Shopify, Uber ורבות אחרות. גילוי החולשה (CVE-2021-24105) זיכה את החוקר ב״צ׳ופרים״ מהחברות הרלוונטיות, שהסתכמו בכ-130 אלף דולר.
סייבר בעולם
קבוצת APT איראנית שבה אל הזירה
צוות מחקר משותף של Check Point ו-SafeBreach Labs זיהה גרסה חדשה של מתקפה מבית היוצר של כנופייתInfy, אשר הופצה במחצית הראשונה של 2020 עם מספר שינויים. מתקפה זו מאופיינת בקמפייני פישינג המבוססים על הרצת קבצים באמצעות הפעלת פקודות מאקרו. הקמפיין שמפעילה הקבוצה, אשר ככל הנראה נהנית מגיבוי ממשלתי איראני, מטרגטת בעיקר יעדים באירופה, בארה״ב ובמזרח התיכון.
סייבר ופרטיות - רגולציה ותקינה
מדיניות הסייבר של ממשל ביידן
ממשל ביידן, שנכנס אל הבית הלבן לפני מספר שבועות, יוזם תוכנית לחיזוק הגנת הסייבר של מערכות פדרליות, שחלקן נפלו קורבן למתקפות ה-SolarWinds. היוזמה כלולה במסגרת ה-American Rescue Plan, שנועדה לטפל בנושאים העומדים על סדר היום המיידי של הממשל החדש, בהם המאבק בקורונה ושיפור הכלכלה האמריקאית. את נושא חיזוק הגנת הסייבר הלאומית מתקצבת התכנית בכ-9 מיליארד דולר, אשר נועדו לתמיכה בתשתיות פדרליות ושדרוג יכולות התגובה שלהן לאירועי סייבר עוינים, לפיתוח כוח אדם בתחום הסייבר ולהשקעה במחקר ופיתוח טכנולוגיים. היוזמה מגיעה בשעה בה ניצבת ארה״ב בפני אתגרים רבים לתפיסות וליכולות הגנת הסייבר שלה במישור הלאומי.
מדינות האיחוד האירופי סיכמו את נוסח רגולציית ה-ePrivacy
רגולציית ה-ePrivacy, שנוסחה נקבע אתמול, תחליף את הדירקטיבה בנושא משנת 2002. הנוסח הנוכחי ישמש בסיס לדיונים בין הנציבות האירופית לפרלמנט, לקראת גיבוש צורתה הסופי של הרגולציה, ככל הנראה לקראת סוף 2021. ההסדר החדש יטפל בהיבטים של פרטיות בתכני תקשורת אלקטרונית ציבורית, כמו גם בתכני מטא-דאטה הנוגעים לתקשורת זאת, כגון מידע על מיקומים (Geolocation), זמני תקשורת ושימוש בעוגיות - נתונים העלולים להיות רגישים או לכלול תוכן רגיש. על מנת להבטיח הגנה נאותה על פרטיות המידע של יחידים, רגולציית ה-ePrivacy תכסה גם את נושא נתוני ה״ממכונה-למכונה״, המועברים ברשתות ציבוריות. יישום הרגולציה החדשה ישתלב ביישום ה-GDPR, רגולציה של האיחוד האירופי משנת 2016, המסדירה את ההגנות הניתנות בתחום עיבוד המידע האישי של תושבי האיחוד.
משרד המשפטים פרסם טיוטת מסמך לקראת הסדרת השימוש ברכבים אוטונומיים, כולל סוגיות של מתקפות סייבר ופרטיות המידע
המסמך לקבלת עמדת הציבור בתחום דיני הנזיקין והביטוח בעניין הסדרת השימוש ברכבים אוטונומיים בדין הישראלי, שפורסם ב-11 בפברואר, מבקש את התייחסות הציבור בשאלות מרכזיות הדורשות הכרעה, בהן סוגיות של הגנה מפני תקיפות סייבר על רכבים אוטונומיים ושמירת פרטיות המידע האישי הנאסף כחלק מפעילות הרכבים. הציבור מוזמן להגיש את התייחסותו עד ל-28.2.2021.
רשות השירותים הפיננסיים של מדינת ניו יורק קובעת מסגרת לניהול סיכוני סייבר בפוליסות ביטוח
בתחילת חודש פברואר שיגרה ה-New York Department of Financial Services מכתב מנחה לכל המבטחים המורשים בתחום הרכוש ופגיעות הגוף, במאמץ רגולטורי לטפל בסיכוני הסייבר ההולכים וגוברים בקרב ארגוני הביטוח ולקוחותיהם. ב"מסגרת לסיכוני ביטוח סייבר" (Cyber Insurance Risk Framework) שקבעה הרשות, מתוארת מתודולוגיה מומלצת לניהול סיכוני ביטוח סייבר, המבוססת על התייעצויות שנערכו עם מומחים מהתעשייה, מומחים להגנת סייבר ובעלי עניין נוספים. הרשות מחילה את המסגרת על כל מבטחי הרכוש ופגיעות הגוף המעניקים ביטוחי סייבר, כאשר מבטחים אשר בוחרים להשאיר כיסוי של נזקי סייבר כ-Silent Coverage, מחויבים בכל זאת להעריך את חשיפתם לסיכוני סייבר ולנקוט בצעדים מתאימים להפחתת החשיפה להם. בתוך כך, הרשות מזהירה מפני כיסוי ביטוחי של תשלומי כופר להאקרים ומקדמת הגשת תלונה לרשויות האכיפה.
Huawei תובעת את ה-FCC בניסיון לפסול את הקביעה שהחברה מהווה איום ביטחוני על ארה"ב
בהמשך לחוסר-הוודאות הרגולטורי בארה"ב בנוגע לפעילותה של חברת התקשורת Hauwei, החברה הסינית הגישה השבוע תביעה לבית המשפט בוושינגטון נגד רשות התקשורת הפדרלית (ה-Federal Communications Commission). בתביעה מערערת החברה נגד קביעתה של ה-FCC מדצמבר 2020, לפיה Huawei מהווה איום על ביטחונה הלאומי של ארה"ב, בכך שתוצריה מאפשרים ריגול וגניבת סודות מסחריים של חברות בארה"ב המשתמשות בהם, זאת באמצעות Backdoors המספקים מידע לממשלת סין ולגופים אחרים. החברה מתכחשת לטענות ה-FCC, ומבססת את תביעתה הנוכחית על העמדה לפיה ההחלטה חורגת מסמכות הרשות והיא "שרירותית, גחמנית, מהווה ניצול לרעה של שיקול דעת ואינה נתמכת בראיות מהותיות".
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.