דו״ח סייבר שבועי
עדכון שבועי 15.07.2021
עיקרי הדברים
-
חברת האופנה Guess הותקפה בכופרה על ידי קבוצת Darkside.
-
ספקית הסלולר Mint Mobile מודיעה על דליפת מידע של לקוחות.
-
Kaseya: פורסמו עדכוני אבטחה שטיפלו בחולשות בהן השתמשה כנופיית REvil
-
מדינת קולורדו:המדינה השלישית בארה"ב בהגנת מידע פרטי
-
אנו ממליצים לעדכן את המוצרים הבאים: מערכת הפעלה Windows (קריטי); מוצרי SAP (קריטי); Adobe Dimension (קריטי); ForgeRock (קריטי); Apache Tomcat (קריטי); Mozilla (גבוה); Citrix Virtual Apps and Desktops Security; VMware ESXi and Cloud Foundation (חשוב); WordPress MDTF (נמוך);
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה סוגר מספר חולשות ב-Apache Tomcat
עדכוני אבטחה ל-Citrix Virtual Apps and Desktops Security
עדכון אבטחה לחודש יולי למוצרי Microsoft
עדכון אבטחה לחודש יולי למוצרי SAP
עדכון אבטחה לתוסף WordPress MDTF
עדכוני אבטחה לשני מוצרים של VMware
עדכון אבטחה ל-ForgeRock נותן מענה לחולשה קריטית
עדכוני אבטחה ל-Mozilla סוגרים 15 חולשות ברמת גבוהה גבוהה
עדכון אבטחה ל-Adobe Dimension נותן מענה לחולשה קריטית
התקפות ואיומים
ספקית הסלולר Mint Mobile מודיעה על דליפת מידע של לקוחות
סיסמאות השמורות ב-KPM חשופות להתקפות Brute Force
השבוע בכופרה
חברת האופנה Guess חוותה אירוע כופר, מסתמן כי התוקף הוא DarkSide
סייבר בישראל
מערך הסייבר הלאומי : המלצות להתמודדות והגנה מפני מתקפות כופרה
סייבר בעולם
ה-CISA מפרסמת דוח ובו ממצאי ניתוח סיכונים ופגיעויות בשנה החולפת
Kaseya פרסמה עדכוני אבטחה שטיפלו בחולשות בהן השתמשה כנופיית REvil
ה-FBI מזהיר בעלי מטבעות דיגיטליים מפני התקפות אפשריות
סייבר ופרטיות - רגולציה ותקינה
הצלב האדום הקים ועדה מייעצת חדשה בנושא היבטי סייבר של יישום דיני מלחמה
רוסיה מפרסמת אסטרטגיית בטחון לאומי חדשה: דגשים חדשים בתחום הסייבר
מדינת קולרדו: חוקק חוק להגנת פרטיות המידע
כנסים
הציטוט השבועי
״הבהרתי לו היטב שכאשר פעולה של תוכנת כופר תגיע מארצו, למרות שאינה בחסות המדינה, ארצות הברית מצפה מהם לפעול, אם נספק להם מספיק מידע על יוזם הפעולה.״
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה סוגר מספר חולשות ב-Apache Tomcat
חלק מהחולשות (CVE-2021-30639, CVE-2021-30640, CVE-2021-33037) שנמצאו במוצר עלולות לאפשר מתקפת מניעת שירות (DoS) ומעקף אבטחה (Security Bypass), כאשר לחמורה שבהן הוענק הציון CVSS 7.5.
אנו ממליצים לארגונים המשתמשים במוצרים לבחון את העדכונים הרלוונטיים להם ולהטמיעם על בסיס כל מקרה לגופו, היות וכל אחת מהחולשות משפיעה על גרסאות שונות של Apache Tomcat והפתרון לה שונה.
עדכוני אבטחה ל-Citrix Virtual Apps and Desktops Security
העדכונים נותנים מענה לחולשה (CVE-2021-22928) אשר ניצולה עלול לאפשר לתוקף העלאת הרשאות לרמת System, והם רלוונטיים לגרסאות המוצר הבאות:
- Citrix Virtual Apps and Desktops 2106 ומוקדמות יותר.
- Citrix Virtual Apps and Desktops 1912 LTSR CU3 וגרסאות מוקדמות יותר של 1912 LTSR.
- Citrix XenApp/XenDesktop 7.15 LTSR ומוקדמות יותר.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסתם האחרונה.
עדכון אבטחה לחודש יולי למוצרי Microsoft
העדכון נותן מענה ל-117 חולשות שאותרו במוצרים ובפיצ׳רים של החברה, בהם Windows 7/10, Windows Exchange Server 2013/2016/2019, Windows Server 2008/2012, ועשרות פיצ׳רים במערכות ההפעלה של מיקרוסופט, לרבות Windows Defender ,Windows SMB ,Power BI ,Microsoft Windows DNS ואחרים. החולשה (CVE 2021-34527) בשירות ההדפסות של מיקרוסופט אשר התפרסמה בשם PrintNightmare ומאפשרת הרצת קוד מרחוק והעלאת הרשאות לוקאלית - טופלה אף היא בעדכון. לחצו כאן לרשימה המלאה של החולשות שנסגרו.
אנו ממליצים לבעלי המוצרים הרלוונטיים לשדרגם לגרסאותיהם האחרונות.
עדכון אבטחה לחודש יולי למוצרי SAP
העדכון פותר 15 חולשות בדרגות חומרה שונות במוצרים SAP NetWeaver, SAP CRM, SAP Web Dispatcher ואחרים, החמורה שבהן, אשר קיבלה את הציון CVSS 10, רלוונטית למוצר SAP Business Client.
אנו ממליצים לארגונים העושים שימוש במוצרים לבחון את האפשרות לשדרג את גרסאותיהם בהתאם להמלצות היצרן.
עדכון אבטחה לתוסף WordPress MDTF
העדכון לתוסף ה-WordPress Meta Data & Taxonomies Filter פותר חולשת אבטחה (CVE-2021-20781) אשר מאפשרת לתוקף לבצע (Cross-site request forgery (CSRF. החולשה, שקיבלה את ציון ה-CVSS הזמני 4.3, משפיעה על גרסאות הקודמות ל-1.2.8 ול-2.2.8.
אנו ממליצים לארגונים העושים שימוש בתוסף לבצע את העדכון בהקדם.
עדכוני אבטחה לשני מוצרים של VMware
העדכונים רלוונטיים למוצרים ESXi ו-Cloud Foundation והם נותנים מענה לחולשה ברמת חומרה חשובה (CVE-2021-21995) ולחולשה ברמת חומרה בינונית (CVE-2021-21994). ניצול מוצלח של חולשות אלה עלול להוביל להרצת קוד זדוני ולמתקפת מניעת שירות (DoS) על רכיבים פגיעים.
אנו ממליצים למשתמשי המוצרים לעדכנם בהקדם לגרסתם האחרונה.
עדכון אבטחה ל-ForgeRock נותן מענה לחולשה קריטית
החולשה (CVE-2021-35464) שנסגרת בעדכון שפורסם לתוכנת ניהול הזהות והגישה מאפשרת לתוקף להריץ קוד מרחוק בהרשאות של משתמש המחובר למערכת סימולטנית. החולשה רלוונטית לגרסאות 6.0.0 ומעלה, 6.5.0 ומעלה, 6.5.1, 6.5.2 ומעלה, 6.5.3 וגרסאות ישנות יותר שכבר אינן נתמכות.
אנו ממליצים למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכוני אבטחה ל-Mozilla סוגרים 15 חולשות ברמת גבוהה גבוהה
בסך הכל פורסמו 19 עדכונים (ה-4 הנותרים ברמת חומרה בינונית) למוצרים Thunderbird 78.12, ESR 78.12 ו-Firefox 90. ניצול החולשות עלול להוביל, למשל, לקריסת הדפדפן, להרצת קוד זדוני ולהפעלת מנגנון הזנת סיסמה אוטומטי של הדפדפן ללא התערבות משתמש.
אנו ממליצים למשתמשי המוצרים לעדכנם בהקדם לגרסתם האחרונה.
עדכון אבטחה ל-Adobe Dimension נותן מענה לחולשה קריטית
החולשה (CVE-2021-28595) שנסגרת בעדכון שפורסם לתוכנת העיצוב הרב-מימדית מאפשרת לתוקף להריץ קוד זדוני מרחוק בהרשאותיו של משתמש המחובר סימולטנית למערכת. העדכון רלוונטי לגרסאות המוצר הקודמות לגרסה 3.4 ולמערכות ההפעלה Windows ו-macOS.
אנו ממליצים למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
התקפות ואיומים
ספקית הסלולר Mint Mobile מודיעה על דליפת מידע של לקוחות
בהודעה ששלחה החברה האמריקאית ללקוחות שנפגעו במסגרת התקיפה, נכתב כי בתאריכים 8-10 ביוני גורמים זדוניים השיגו גישה בלתי מורשית לכמה ממנוייה והעבירו אותם לספק סלולר אחר, ללא אישור. בנוסף לכך, התוקפים שמו את ידיהם על שמות, כתובות, סיסמאות ופירוטי השיחות של המנויים שנפגעו. על אף שטרם פורסם כיצד בוצעה הגישה, ההנחה היא שעלה בידי התוקפים לחדור לאפליקציית שירות הלקוחות בה עושים שימוש סוכני החברה.
סיסמאות השמורות ב-KPM חשופות להתקפות Brute Force
על פי חוקר אבטחת מידע ב-Ledger, סיסמאות השמורות במערכת ה-Kaspersky Password Manager אשר נוצרו על ידי מנגנון ייצור הסיסמאות שלה לפני אוקטובר 2019 - עלולות להיפרץ בקלות בשל אלגוריתם חלש. לחולשה (CVE-2020-27020), שזוהתה זה מכבר על ידי קספרסקי, פורסם עדכון ב-2019, ובאפריל 2021 אף שוחרר מסמך הדורש ממשתמשי המערכת לשנות סיסמאות שנוצרו לפני פרסום העדכון ב-2019.
אנו ממליצים למשתמשי KPM לוודא שלא קיימות במערכותיהם סיסמאות אשר יוצרו על ידי המערכת לפני אוקטובר 2019, ולעדכנה לגרסתה האחרונה.
השבוע בכופרה
חברת האופנה Guess חוותה אירוע כופר, מסתמן כי התוקף הוא DarkSide
החברה האמריקאית פרסמה כי החלה בשליחת מיילים ללקוחותיה בנוגע לתקיפה שאירעה בפברואר 2021, זאת לאחר שבסוף חודש מאי אימת צוות חקירה מטעמה כי מידע אישי של לקוחות נחשף לגוף בלתי מורשה. המידע שדלף כולל רשיונות נהיגה, מספרי דרכונים ואף פרטי חשבונות בנק. על אף שהחברה לא אישרה כי האחראית למתקפה היא כנופיית DarkSide, במגזין BleepingComputer פורסם כי בחודש אפריל קבוצת התקיפה ציינה את Guess כאחת החברות שממנה גנבה מידע.
סייבר בישראל
מערך הסייבר הלאומי : המלצות להתמודדות והגנה מפני מתקפות כופרה
במדריך קצר שפרסם לאחרונה מסביר המערך מהי דרישת כופרה, מה עושים בהתרחש תקיפה וכיצד ניתן להגן על הקבצים ועל המידע הדיגיטלי מבעוד מועד. להלן תמצית ההמלצות:
-
לגבות את כל המכשירים האלקטרוניים, רצוי בהתקן אחסון חיצוני ובענן, במקביל. בסיום הגיבוי חשוב לבצע התנתקות ולהטמיע אימות דו-שלבי (MFA).
-
להתקין תוכנות אנטי וירוס וחומת אש אשר תהיינה מטויבות ובפריסה מלאה, ותכלולנה עדכונים אוטומטיים. כמו כן, יש לבצע את עדכוני מערכת ההפעלה.
-
לגלות עירנות להודעות דיוג (פישינג) ולמתחזים. במקרה של ספק, יש ליצור קשר ישירות עם השולח באמצעי תקשורת אחר. יש לשים לב גם לקבצים המצורפים במייל. במידה והיישום או מערכת ההפעלה מתריעים על חשד לשימוש לא ראוי בצרופות, אין לאשר את פתיחת הקובץ, ובמיוחד אם הוא מכיל את אחת הסיומות הבאות: EXE, .VBS, .SCR. כמו כן, יש לגלות משנה זהירות במקרים של סיומות כפולות, כגון AVI.EXE או DOC.SCR, באמצעותן מנסים תוקפים להסוות קבצים זדוניים.
-
להכין מבעוד מועד נוהל התאוששות מאסון, על מנת לצמצם נזקי משבר עתידי ולנהלו נכונה. על הנוהל לכלול, ביו היתר, פרטי התקשרות עם חברת IR שתאפשר את זיהוי נתיב התקיפה וניקוי רשת המחשוב או התשתיות שהודבקו בנוזקות, זאת באמצעות גיבויים.
סייבר בעולם
ה-CISA מפרסמת דוח ובו ממצאי ניתוח סיכונים ופגיעויות בשנה החולפת
מהערכת הסיכונים והפגיעויות שביצעה הסוכנות האמריקאית להגנת סייבר ותשתיות במסגרת ה-MITRE ATT&CK® עולה תמונה מפורטת של דרכי הפעולה בהן נקטו ב-2020 תוקפים אשר חדרו לרשתות ארגונים, ושל הטקטיקות בהן השתמשו על מנת להערים על עובדים בחברות ולהביאם ללחוץ על קישורים במיילי פישינג ודומיהם. לדוח מצורפות המלצות והנחיות לארגונים ולמנהלי רשתות בכל הנוגע לאסטרטגיות הגנה על מערכותיהם. ה-CISA ממליצה לכל קוראי הדוח ליישם ברשתותיהם את ההמלצות ולהטמיע את ההגנות הרלוונטיות להם. ניתן למצוא את הדוח המלא בקישור זה.
Kaseya פרסמה עדכוני אבטחה שטיפלו בחולשות בהן השתמשה כנופיית REvil
עדכוני האבטחה שפרסמה במהלך השבוע האחרון חברת שירותי ה-IT מגיעים על רקע חדירתה של כנופיית הכופרה למערוכותיהן של חברות רבות דרך שירותי MSP שסופקו להן על ידי מוצר ה-VSA של Kaseya. בעוד שהחולשות שאפשרו את המתקפה התגלו כבר בחודש אפריל והחברה פרסמה עדכונים רלוונטיים לגרסאות הענן של המוצר, גרסאות ה-On-prem נותרו חשופות, ולרוע המזל נתקפו כשבוע לאחר פרסום המצאותן של החולשות, לפני ששוחרר העדכון הרלוונטי עבורן. Kaseya מעודדת כעת את לקוחותיה המשתמשים בגרסאת ה-On-prem לעקוב אחר הוראות שפרסמה בעקבות התקיפה, ורק לאחר מכן לבצע עידכון של שרת ה-VSA לגרסתו האחרונה.
ה-FBI מזהיר בעלי מטבעות דיגיטליים מפני התקפות אפשריות
השבוע פרסם הארגון עדכון בסיווג TLP:GREEN (שיתוף מוגבל עם הקהילה הרלוונטית) אודות שיטות תקיפה מגוונות כנגד ארנקי מטבעות דיגיטליים, בהן SIM Swap (הונאת התחזות לבעל קו סלולר), הונאות ״הנדסה חברתית״ ומעקף של אימות דו-שלבי (MFA). על מנת להתמודד עם האיומים, ה-FBI ממליץ לארגונים ולמחזיקים בארנקים דיגיטליים החשופים לאיומים לאכוף אמצעי זיהוי כפול בחשבונות הפלטפורמות השונות, למנוע אפשרות להורדת תוכנות השתלטות מרחוק, ליצור התקשרויות בדרכים רשמיות (טלפון או מייל רשמיים של בתי עסק), לנטר התחזויות למייל החברה, ללקוחותיה או לספקיה ולעקוב אחר חשבונות חדשים שנוצרו בדומיין.
סייבר ופרטיות - רגולציה ותקינה
הצלב האדום הקים ועדה מייעצת חדשה בנושא היבטי סייבר של יישום דיני מלחמה
נשיא הצלב האדום (ה-International Committee of the Red Cross או ICRC), שהינו הגוף הבינלאומי המקדם את פרשנותם של דיני מלחמה לאור התפתחויות טכנולוגיות ואחרות, הכריז על הקמת ועדה מייעצת חדשה. מטרת הוועדה היא לזהות דרכים קונקרטיות להגנה על אוכלוסיות מפני איומי סייבר וסיכונים דיגיטליים אחרים הקשורים למלחמות ולעימותים מזוינים בני זמננו. הוועדה הרב-תחומית תורכב ממומחים בתחומי המשפט, הצבא, המדיניות ציבורית והטכנולוגיה. בעשור האחרון, פעולות סייבר המבוצעות בשעת מלחמה או בזמן עימות מזוין מהוות סכנה ממשית הולכת וגדלה ליכולת ההספקה של שירותים חיוניים לאוכלוסיות אזרחיות, לרבות שירותי רפואה, חשמל, מים ותברואה, והן עלולות לסכן בני אדם באופן ממשי. הוועדה תידרש לבירור סוגיות המהוות איומי סייבר, לרבות השימוש באוטומטיזציה ובבינה מלאכותית בהפעלת נשקים, סיכונים הומניטריים חדשים הקשורים ל״אינטרנט של הדברים״ (IoT) וריבוי שחקני האיום במרחב הדיגיטלי. ראו כאן ניתוח של תהליך הערכת הסיכונים הנובעים מפעולות סייבר שעלולים לגרום נזק לאוכלוסיות אזרחיות.
רוסיה מפרסמת אסטרטגיית בטחון לאומי חדשה: דגשים חדשים בתחום הסייבר
בתחילת יולי חתם הנשיא הרוסי פוטין על אסטרטגיית בטחון לאומי חדשה, בה קיימת התייחסות לתפיסות רוסיות המותאמות לאתגרים לאומיים בני זמננו, כולל אתגרים במרחב הסייבר. המסמך קובע, למשל, את החשיבות של ״מרחב מידע בטוח" לתושבי רוסיה כאינטרס לאומי, בהתייחס לאינטרנט הלאומי RuNet. הנושא של "בטחון המידע" מוגדר לראשונה כסדר עדיפות לאומי, בכך שהאסטרטגיה מגדירה כאיום אפשרי את השימוש באינטרנט לארגון אירועים ומחאות גדולים. פרסום האסטרטגיה החדשה של רוסיה מתרחש תוך כדי דיונים רבים בינה לבין ארה"ב ומדינות אחרות על פעילות בין-מדינתית עוינת במרחב הסייבר.
מדינת קולרדו: חוקק חוק להגנת פרטיות המידע
קולורדו היא המדינה השלישית בארה"ב, אחרי קליפורניה ו-וירג'יניה, המחוקקת חוק להגנת פרטיות המידע האישי. ה-Colorado Privacy Act נחקק ב-7 ביולי 2021, וייכנס לתוקף ביולי 2023. בין היתר, הוא מעניק לתושבי המדינה את הזכות לדרוש מחברות שלא למכור לגורמים שלישיים את המידע האישי שלהם, ומאפשר לתושבים גישה לכל המידע האישי שחברות אספו אודותם. במישור הלאומי, נעשו בעבר מספר נסיונות לקדם חוק להגנת פרטיות המידע, אך נכון להיום ישנו חוסר ודאות בנוגע ליוזמות הלאומיות הללו.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רחל נועה ביניאשוילי, רז ראש, רם לוי, דבּ האוסן-כוריאל,אלמה תורג'מן, אלי זילברמן-כספי, שלומית רודין, רוני עזורי, עמית מוזס וגיא פינקלשטיין.