דו״ח סייבר שבועי
עדכון שבועי 14.01.2021
עיקרי הדברים
-
חברות תוכנה - היזהרו מדפוס הפעולה ששימש בתקיפות ה-SolarWinds.
-
ביידן ימנה את אן נויברגר ליועצת בכירה לענייני סייבר בשאיפה להקשיח את גישת הממשל בתחום הגנת הסייבר
-
ה-CISA מזהירה מפני מתקפות נגד סביבות ענן של Microsoft
-
אנו ממליצים לעדכן את המערכות הבאות: דפדפני Chrome, Firefox, Edge; מוצרי Adobeֿ; מוצרי מיקרוסופט; מערכת Sysaid.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Google מפרסמת עדכון אבטחה ל-Chrome
עדכוני אבטחה של Mozilla ל-Firefox
Microsoft פרסמה עדכון אבטחה לדפדפן Edge מבוסס Chromium
עדכוני אבטחה למוצרי Adobe
Microsoft מפרסמת עדכוני תוכנה לחודש ינואר עם יותר מ 80 עדכונים
פורסמו שתי פגיעויות במערכת SysAid
התקפות ואיומים
מידע רגיש מוצע למכירה בדארקנט של סטארטאפים הודים
בעקבות הגדרות שגויות נחשף קוד המקור של Nissan
נמצאה דרך פיזית לניצול 2FA פיזי של Google לשם חדירה לחשבונות משתמשים
נחשפו יותר מ-100 אלף רשומות של עובדי UNEP
ענקית התקשורת Ubiquiti מדווחת על חשד לאירוע סייבר
מומחים מזהירים חברות תוכנה מדפוס הפעולה ששימש בתקיפות ה-SolarWinds
סייבר בעולם
ה-CISA מזהירה מפני מתקפות נגד סביבות ענן של Microsoft
סייבר ופרטיות - רגולציה ותקינה
ביידן ימנה את אן נויברגר ליועצת בכירה לענייני סייבר בשאיפה להקשיח את גישת הממשל בתחום הגנת הסייבר
מנהלת הסייבר של ה-NSA: סיכום שנת הסייבר 2020
חשבונות מדיה חברתית של הנשיא טראמפ נחסמו לשימוש עקב המהומות בבירת ארה"ב
איגוד האינטרנט הישראלי משיק אתר חדש ומדריך לעיצוב שירותים דיגיטליים בשפה הערבית
הגנת הפרטיות בשימוש ברחפנים: מפה השוואתית גלובלית
כנסים
הציטוט השבועי
״מינהל ביידן-האריס יציב את הגנת הסייבר בראש סדר העדיפויות […] נחדש את המחויבות שלנו לנורמות בינלאומיות ואת העיסוק הפעיל בנושאי סייבר ונרחיב את ההשקעה שלנו בתשתית ובאנשים הדרושים לנו להגנה יעילה על האומה מפני פעילות סייבר זדונית.״
דובר ממשלת המעבר של הנשיא הנכנס ג'ו ביידן וסגנית הנשיא קמלה האריס, פוליטיקו, 6.1.2021
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Google מפרסמת עדכון אבטחה ל-Chrome
גרסה 87.0.4280.141 של הדפדפן, אשר פורסמה ב-6 בינואר, נותנת מענה ל-16 חולשות, מתוכן 12 ברמת חומרה גבוהה, שניצולן עלול לאפשר לתוקף להשתלט על דפדפן פגיע.
אנו ממליצים לעדכן את הדפדפן לגרסתו האחרונה בהקדם האפשרי.
עדכוני אבטחה של Mozilla ל-Firefox
העדכונים שפרסמה החברה רלוונטיים למוצרים Firefox, Firefox Android ו-Firefox ESR, ונותנים מענה לחולשות קריטיות, שניצולן עלול לאפשר לתוקפים להריץ קוד זדוני על מערכת לא מעודכנת.
אנו ממליצים לבעלי התוכנות הללו לעדכנן לגרסאות העדכניות ביותר.
Microsoft פרסמה עדכון אבטחה לדפדפן Edge מבוסס Chromium
העדכון, שפורסם ב-7 בינואר, פותר 13 פגיעויות, 7 מתוכן ברמת חומרה קריטית (CVSS 9.6) ועלולות לאפשר לתוקף גישה למערכת.
אנו ממליצים למשתמשי הדפדפן (Edge (Chromium-Based לוודא כי הוא מעודכן לגירסתו האחרונה, 87.0.664.75.
העדכונים, שפורסמו ב-12 בינואר, פותרים פגיעויות ב-7 מוצרים, חלקן עלולות לאפשר לתוקף השתלטות על עמדה פגיעה. העדכונים רלוונטים למוצרים Photoshop, Illustrator, Animate, Campaign Classic, InCopy, Captivateו- Bridge.
אנו ממליצים לבעלי המוצרים לבצע את העדכונים הרלוונטיים להם בהקדם.
Microsoft מפרסמת עדכוני תוכנה לחודש ינואר עם יותר מ 80 עדכונים
העדכון החודשי, שפורסם ב-12 בינואר, נותן מענה ליותר מ-80 חולשות אבטחה במערכת ההפעלה, כמה מתוכן ברמת חומרה קריטית. על פי KrebsOnSecurity, החולשה המדאיגה ביותר הנסגרת בעדכון היא CVE-2021-1647, שדרגת חומרתה CVSS 7.8 ומקורה ב-Windows Defender, מנגנון האנטי-וירוס של Microsoft. חולשה משמעותית נוספת שניתן לה מענה בעדכון היא CVE-2020-1660, שדרגת חומרתה CVSS 8.8 וניצולה מאפשר השתלטות מרוחקת על מרבית מחשבים המבוססים על מערכת ההפעלה Windows.
אנו ממליצים לבעלי מערכת ההפעלה להטמיע את העדכון בהקדם.
פורסמו שתי פגיעויות במערכת SysAid
הפגיעויות, שזוהו במהלך 2020, הן:
CVE-2020-10569 (ציון חומרה CVSS 9.8) - חולשה משמעותית שהתגלתה בחודש אפריל האחרון ונובעת מהשימוש שעושה המוצר בתוכנת Tomcat, בה נמצאה פגיעות בפרוטוקול AJP.
CVE-2020-13168, (ציון חומרה CVSS 6.1) - פגיעות מסוג Reflected XSS, העלולה להתממש באמצעות משלוח קישור למשתמש SysAid, ובפרט למנהלן של היישום.
לאחרונה זיהה מערך הסייבר הלאומי אינדיקציות לשימוש שעושים תוקפים משמעותיים בפלטפורמת SysAid, לשם השגת ושימור נגישות לארגונים במרחב הישראלי.
אנו ממליצים לבעלי המוצר לעדכנו לגרסת התוכנה העדכנית ביותר, 20.3.64.
התקפות ואיומים
מידע רגיש מוצע למכירה בדארקנט של סטארטאפים הודים
בין פריטי המידע העומדים למכירה מצוי מסד הנתונים של חברת Juspay, לצד מסדי נתונים של חברות רבות אחרות, כפי שחשף לאחרונה בטוויטר חוקר אבטחת המידע Rajshekhar Rajaharia. חברת Juspay מנהלת תשלומים עבור מספר אתרי רכישה, בהם Amazon. המסדים הגנובים שהתגלו בחקירה מכילים 35 מיליון רשומות, כאשר חלק מהמידע הרגיש מופיע בתצורת טקסט קריא וכולל שמות מלאים, כתובות מייל, פרטי חשבונות בנק, מספרי טלפון ואפילו נתונים על עסקאות. המחדל הגדול בפרשה הוא שהפריצה שבמהלכה נגנבו החומרים התגלתה על ידי Juspay עוד בחודש אוגוסט, אך היא היא דיווחה על כך רק לשותפיה העסקיים. הודעה פומבית לציבור נמסרה מהחברה רק לאחרונה, עת חשף חוקר האבטחה את ממצאיו.
בעקבות הגדרות שגויות נחשף קוד המקור של Nissan
מפתח התוכנה השוויצרי טילי קוטמן גילה כי הודלפו לרשת קודי המקור של אפליקציה למובייל, של כלי מחקר שוק ושל כלי אבחון של ענקית הרכב. חשיפת המידע, שגודלו הכולל עומד על כ-20GB, התאפשרה בשל העובדה ששרת Git של החברה היה בעצמו חשוף לעיני כל, לאחר שנותר עם שם המשתמש והסיסמה (Admin/Admin) המוגדרים בו כברירת מחדל בעת התקנתו. התוקפים פרסמו את המידע בטלגרם ובפלטפורמות נוספות. החברה, שאישרה את התרחשות הדליפה, החליטה לנתק את השרת והחלה בחקירה.
נמצאה דרך פיזית לניצול 2FA פיזי של Google לשם חדירה לחשבונות משתמשים
הפירצה רלוונטית לתוקפים בעלי גישה למפתח הפיזי ויכולת לפרק את תכולתו ולהעתיק את תוכן השבבים המצויים בו, לצורך אימות על ידי הזדהות כמשתמש לו שייך המפתח. פעולה זו אפשרית רק במידה ובידי התוקף מצויים פרטי הגישה של המשתמש, המפתח הפיזי וכלים בשווי של כ-12,000$.
נחשפו יותר מ-100 אלף רשומות של עובדי UNEP
צוות חוקרי אבטחת המידע והחולשות Sakura Samurai פרסם פוסט בבלוג, בו הוא מתאר כיצד איתר פירצה המאפשרת גישה למאגר המידע של התוכנית הסביבתית של האו״ם. הצוות זיהה עמדה מתוך הארגון שפרטי הגישה לחשבון ה-Git שלה היו חשופים, דבר אשר איפשר התחברות ל-Git והורדת מאגר הנתונים, המכיל מידע אישי של עובדי הארגון. בתהליך החקירה זוהה גם קובץ git. חשוף נוסף, אשר אפשר לצוות להשתלט על מסד הנתונים הראשי (MySQL)
ענקית התקשורת Ubiquiti מדווחת על חשד לאירוע סייבר
יצרנית רכיבי התקשורת החלה לשלוח ללקוחותיה מיילים בדרישה לשנות סיסמאות ולהטמיע אימות דו-שלבי בחשבונותיהם, מתוך חשש שבאירוע נחשפו פרטי לקוחות. עוד פרסמה החברה באתרה עדכון בנוגע לזמינות שירותיה, בו נמסר כי ב-10-12 בינואר אירעו מספר תקריות, אך ללא קשירתן לאירוע הסייבר המתרחש.
מומחים מזהירים חברות תוכנה מדפוס הפעולה ששימש בתקיפות ה-SolarWinds
מחקר חדש על הנוזקה שהופצה בפריצה ל-SolarWinds מצביע על כך שהתוקפים שהו במערכת החברה משך חודשים רבים, בהם עבדו בקדחתנות להסוואת הנוזקות ולתכנותן כך שיתפשטו באופן מיטבי בעת הפצת העידכון הנגוע ללקוחות SolarWinds. עוד מצביע המחקר על כך שבאותן שיטות בהן השתמשו התוקפים כדי לחתור תחת פיתוח התוכנה של SolarWinds עלול להיעשות שימוש גם כנגד חברות תוכנה אחרות בשוק. בתוך כך ציין מנכ״ל SolarWinds כי ״החומרה ומורכבות ההתקפה מלמדות שכדי להילחם במתקפות מסוג זה בעתיד, יידרש שיתוף פעולה רוחבי בין המגזר העסקי והפרטי, למינוף מיומנויות, ידע ומשאבים של כלל המשתתפים במאמץ.״
סייבר בעולם
ה-CISA מזהירה מפני מתקפות נגד סביבות ענן של Microsoft
ב-8 בינואר דיווחה הסוכנות האמריקאית להגנת סייבר ותשתיות על תקיפות שהתרחשו בסביבות הענן Microsoft 365 ו-Azure על ידי קבוצות תקיפה APT. על פי הדיווח, במתקפות נעשה שימוש ב-APIs חשופים ובאפליקציות פגיעות בהן משתמש הקורבן בסביבת הענן שלו. קבוצות התקיפה מתמקדות בארגונים במגזר הפרטי, ובעוד שה-CISA כבר הזהירה מפניהן בעבר, כעת היא מפרסמת כלים המאפשרים זיהוי תקיפות מסוג זה, על מנת לסייע לארגונים להגן על סביבות הענן בהן הם פועלים.
סייבר ופרטיות - רגולציה ותקינה
ביידן ימנה את אן נויברגר ליועצת בכירה לענייני סייבר בשאיפה להקשיח את גישת הממשל בתחום הגנת הסייבר
נויברגר, אשר הצטרפה ל-NSA (הסוכנות לביטחון לאומי של ארה״ב) לפני כעשור כאחראית על הגנת הסייבר בארגון, מונתה בתחילת החודש על ידי הנשיא הנכנס לתפקיד חדש בממשל האמריקאי - סגנית יועץ לביטחון לאומי בתחום הגנת הסייבר. התפקיד החדש שיצר כעת ביידן נועד לרענן ולשדרג את גישת הממשל האמריקאי בתחום הגנת הסייבר, בעקבות מתקפת ה-SolarWinds הנרחבת המיוחסת לרוסיה, שפקדה בחודש דצמבר ארגונים וגורמי ממשל בארה"ב. בין שלל תפקידיה תהיה נויברגר אחראית על תיאום מאמצי הגנת הסייבר של הממשל הפדרלי ועל שיתופי הפעולה שיידרשו בפועל בין הרשויות השונות. בנוגע למדיניות החדשה של ממשל ביידן בתחום הפעילות העוינת במרחב, אמר דובר ממשלת המעבר של ג׳ו ביידן וסגנית הנשיא קמלה האריס כי "מינהל ביידן-האריס יציב את הגנת הסייבר בראש סדר העדיפויות, ויקבע אותה כחובה העומדת בפני הממשלה מיומה הראשון. אנו נחזק את השותפויות שלנו עם המגזר הפרטי, עם האקדמיה ועם החברה האזרחית, נחדש את המחויבות שלנו לנורמות בינלאומיות ואת העיסוק הפעיל בנושאי סייבר ונרחיב את ההשקעה שלנו בתשתית ובאנשים הדרושים לנו להגנה יעילה על האומה מפני פעילות סייבר זדונית."
מנהלת הסייבר של ה-NSA: סיכום שנת הסייבר 2020
בדוח שפורסם השבוע על ידי המנהלה האמריקאית, המסכם את עבודתה במהלך שנת 2020, זכו לטיפול סוגיות רבות, בהן שדרוג השימוש בהצפנות במערכות פדרליות, כגון משרד ההגנה (DoD), פרסום שוטף של התראות אודות חשיפות, הגנה על מערכת הבחירות לנשיאות ארה"ב, התמודדות עם אתגרי ה-COVID-19 במרחב הסייבר (כולל ניהול עבודה מרחוק), חיזוק שיתוף הפעולה עם המגזר הפרטי והכשרת כוח אדם בתחום הגנת הסייבר. סוגייה נוספת שהמנהלת שמה לעצמה יעד לעסוק בה ב-2021 היא חיזוק הגנת הסייבר הן בקרב חברות פרטיות שעובדות עם מערכת הבטחון של ארה"ב והן בקרב גופי הביטחון הלאומי של ארה"ב. בפרק המסכם את הדוח מצוינות שלוש מדינות יריבות בהקשר הסייברי: סין (כעוסקת בריגול תעשייתי ובגניבת IP), רוסיה (כעוסקת בהפצת דיסאינפורמציה) ואיראן (כפוגעת בתשתיות קריטיות באזור).
חשבונות מדיה חברתית של הנשיא טראמפ נחסמו לשימוש עקב המהומות בבירת ארה"ב
בהמשך למהומות האלימות בבניין הקפיטול בוושינגטון די.סי. שהתרחשו ב-6 בינואר ולשימוש בחשבונות המדיה החברתית שבאמצעותם תמך, לכאורה, הנשיא במפגינים, לפחות 5 חברות ביטלו או הגבילו את השימוש בחשבונות אלה: טוויטר הורידה 3 מסרים של הנשיא מהרשת ונעלה את חשבונו ל-12 שעות, פייסבוק וטוויץ' השהו את חשבונו עד להודעה חדשה, יוטיוב הורידה את הסרטון של נאום הנשיא, שעבר על כללי החברה משום שכלל דיסאינפורמציה אודות הבחירות לנשיאות, וסנאפצ'ט נעלה את חשבונו. בתוך כך, נמתחת ביקורת אודות צבירת הכוח הציבורי של הפלטפורמות האמורות והשפעתן על תהליכים דמוקרטיים. זאת ועוד, נוסף על היבטי השימוש שעשו טראמפ והמפגינים במדיה חברתית בשעת המהומות, מספר מומחים התייחסו לחשיפות אפשריות בתחום הגנת הסייבר, בטווח הזמן המיידי והארוך, הנובעות מכך שבזמן הפלישה לבניין הממשל בזזו המפגינים מחשבים ניידים וציוד נוסף השייך לנציגים ולעובדי הקפיטול.
איגוד האינטרנט הישראלי משיק אתר חדש ומדריך לעיצוב שירותים דיגיטליים בשפה הערבית
לאחרונה החל האיגוד לקדם פלטפורמה תלת-לשונית, משנוסף לאתרים הקיימים בעברית ובאנגלית אתר בשפה הערבית. עוד פורסם מדריך הכולל מידע וכלים ליישום לשם הגברת השימוש במרחב הדיגיטלי של האוכלוסייה דוברת הערבית בישראל. לדברי איגוד האינטרנט הישראלי, "הפעולות לגיבוש המדריך לעיצוב מידע ושירותים דיגיטליים בערבית והפיכתו של אתר האיגוד לתלת לשוני, קיבלו משנה תוקף על רקע ההתמודדות עם נגיף הקורונה בשנה החולפת, אשר חידד את תפקיד האינטרנט כתשתית קריטית לתפקוד יעיל של המשק בשגרה ובחירום. זאת, לצד ההבנה שהרחבת הנגישות לאינטרנט ושיפור המיומנויות הדיגיטליות של החברה הערבית יהוו מנוף רב עוצמה לצמצום פערים חברתיים וכלכליים ולקידום חברה שוויונית יותר."
הגנת הפרטיות בשימוש ברחפנים: מפה השוואתית גלובלית
האתר Visual Capitalist פרסם השבוע מפה עולמית השוואתית של דיני הפרטיות החלים על רחפנים. במפה מצוין כי מדינת ישראל היא בין המדינות המובילות בעולם ביצוא רחפני לדרום אמריקה. להלן גרסה מוגדלת של המפה. תעשיית הרחפנים האזרחית צפויה להכפיל את עצמה עד 2025, ולאור השימוש הגובר בהם עולה לסדר היום סוגיית ההסדרה של היבטי פרטיות המידע הנאסף על ידם. חברת Surfshark דירגה עשרות מדינות במדד הסדרת הנושא בחקיקה, כשהיא מאפיינת אותן על פי מנעד הנע בין איסור מוחלט על שימוש ברחפנים (קובה, עיראק, איראן וכוויית) ועד לשימוש מוסדר אך לא מוגבל (ונצואלה, ארגנטינה, צ'אד ושוודיה). ישראל מאפשרת שימוש ברחפנים רק בכפוף למגבלה של קיום קו ראייה ישיר ממיקום השימוש. הרשות להגנת הפרטיות פרסמה במרץ 2020 הנחייה המתייחסת להיבטי פרטיות בשימוש ברחפנים.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.