דו״ח סייבר שבועי
עדכון שבועי 20.07.2023
עיקרי הדברים
1. קבוצות הכופרה LockBit תקפה את החברה הישראלית Energym.
2. סייבר ובריאות: דלף מידע של מוסד רפואי במדינת אלבמה, ארה"ב, לאחר תקיפה של AlphV.
3. קבוצת התקיפה הסינית Storm-0558 פרצה לכ-25 חשבונות דוא״ל של מספר ממשלות, כולל ממשלת ארה"ב.
4. קבוצת התקיפה הרוסית Turla תקפה את כוחות ההגנה באוקראינה.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצרי Cisco (קריטי) , Rockwell Automation (קריטי) , תוסף בWordPress (קריטי) , מוצרי Oracle (קריטי) , מוצרי Google Chrome (קריטי) , המוצר Adobe ColdFusion (קריטי).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
Cisco שחררה עדכון אבטחה עבור חולשה קריטית ב-API של SD-WAN vManage
Rockwell Automation שחררה תיקון עבור חולשה קריטית במערכת ControlLogix
WordPress שחררה עדכון עבור חולשה קריטית בתוסף WooCommerce Payments
Oracle שחררה עדכוני אבטחה עבור חולשות קריטיות
Google Chrome שחררה עדכוני אבטחה קריטיים לדפדפן
עדכוני אבטחה קריטיים פורסמו עבור Adobe ColdFusio
התקפות ואיומים
כקבוצת התקיפה הסינית Storm-0558 פרצה לכ-25 חשבונות דוא״ל של ממשלת ארה"ב
השבוע בכופרה
קבוצות הכופרה LockBit תקפה את החברה הישראלית Energym
סייבר בעולם
הוכחת היתכנות מזויפת לחולשה בלינוקס משמשת להפצת תוכנה זדונית שגונבת מידע רגיש
CISA פרסמה מסמך המלצות על כלי אבטחה לשימוש במעבר לסביבת ענן
CISA הוסיפה לקטלוג החולשות שלה חולשה קריטית ב-Microsoft
התגלה דלף מידע רגיש על לקוחות ב-VirusTota
קבוצת התקיפה Turla המשתייכת עם ארגון המודיעין הרוסי תקפה את כוחות ההגנה באוקראינה
סייבר בגופי בריאות
ארה״ב: דלף מידע של מוסד רפואי באלבמה לאחר תקיפה של AlphV
סייבר בספנות ולוגיסטיקה
השקת מסד נתוני התקפות סייבר ימיות
כנסים
הציטוט השבועי
"תוכנית היישום היא מסמך חי ….היא תתפתח בתגובה לתרחישי האיומים המשתנים, ובהתאם להשלמות יזומות מצדנו - כולל פעולות בהן נחליט לנקוט."
– מנהלת סייבר לאומי בפועל של ארה"ב, גב' קמבה וולדן, 13.7.2023, בנושא הפרסום של תוכנית היישום של אסטרטגיית הסייבר של ארצות הברית.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
Cisco שחררה עדכון אבטחה עבור חולשה קריטית ב-API של SD-WAN vManage
התגלתה חולשה (CVE-2023-20214 CVSS 9.1) בבקשת API של ממשק SD-WAN vManage של CISCO, העלולה לאפשר לגורם לא מאושר או תוקף פוטנציאלי להשיג הרשאות read וחלק מהרשאות write לקונפיגורציה של המכונה ב-vManage , בעקבות חוסר וידוא מספק בתהליך האימות של בקשת ה-API. התוקף יכול לשלוח בקשת API זדונית, ולאחר ניצול מוצלח - לגשת למידע ממודר ולבצע שינויים מסוימים בהגדרות הממשק. עקב כך, התוקף יכול לגרום לשיבושים במכונה או ברשת עליה המערכת יושבת. כדי להימנע מניצול של חולשה זו, CISCO מציעה ללקוחותיה להגדיר ACL בשביל לגשת למכונות. בנוסף לכך, החברה שחררה עדכון גרסה המתקן את החולשה. צוות קונפידס ממליץ לעדכן את ממשק SD-WAN vManage לעדכני ביותר כדי להימנע מניצול של חולשה זו.
Rockwell Automation שחררה תיקון עבור חולשה קריטית במערכת ControlLogix
חברת Rockwell Automation הזהירה את לקוחותיה מפני חולשה קריטית במערכת שליטה ובקרה של ControlLogix. החולשה, שקיבלה את המזהה CVE-2023-3595 עם ציון CVSS 9.8 המגדיר אותה כקריטית, עלולה לאפשר שליטה מרחוק על המערכת המנוצלת. תופעה זו נובעת מחולשה בהקצאת זיכרון של המערכת, וניתן לנצלה על ידי שליחת הודעות CIP זדוניות, ולאחר מכן, ניתן לקבל אפשרות להרצת קוד מרחוק ואז למחוק את זיכרון המערכת, לשבש את התעבורה בה, ולחזק את שליטתו. Rockwell שחררה עדכוני אבטחה לטיפול בחולשה זו, וממליצים ללקוחות לבצע עדכון בהקדם האפשרי. צוות קונפידס ממליץ לבצע את עדכונים אלו בהקדם האפשרי כדי להימנע מניצול פוטנציאלי של חולשה זו.
WordPress שחררה עדכון עבור חולשה קריטית בתוסף WooCommerce Payments
החולשה שנמצאה ב-WordPress מאפשרת לתוקף מרוחק לשלוח בקשות לתוסף, ללא צורך בהזדהות, ולבצע התחזות למשתמש בעל הרשאות גבוהות. הפגיעות קיימת בגרסאות 5.6.1 וקודמות לה של התוסף. והפגיעות מזוהה כ-CVE-2023-28121. ציון CVSS 9.8. הפגיעות מנוצלת ע״י קבוצות תקיפה שונות ברחבי העולם. יש לעדכן את הגרסה של התוסף לגרסה 6.1.1. צוות קונפידס ממליץ לבצע את עדכונים אלו בהקדם האפשרי כדי להימנע מניצול פוטנציאלי של חולשה זו.
Oracle שחררה עדכוני אבטחה עבור חולשות קריטיות
במסגרת עדכוני חברת Oracle לחודש יולי, החברה שחררה 508 עדכוני אבטחה (211 מהן קריטיות) עבור כלל מוצריה. התיקונים כוללים, למשל, עדכונים בקוד לקוי מבחינה אבטחתית בתוכנות Oracle וברכיבי צד שלישי הכלולים במוצריה. חולשות שמוגדרות כקריטיות נמצאו במוצרים הבאים: Oracle Database, Oracle Fusion Middleware, Oracle Application Server ,Oracle E-Business Suite, Oracle Identity and Security Management, Oracle Enterprise Manager, Oracle Solaris, Oracle Linux, Oracle Java SE. ניצול מוצלח של חלק מחולשות אלו עלול להוביל ליכולת הרצת קוד לא מבוקר, ויכולות שליטה על העמדה. חברת Oracle דיווחה על ניסיונות ניצול חולשות אלו ובחלק מהמקרים ניסיונות אלו צלחו. צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.
Google Chrome שחררה עדכוני אבטחה קריטיים לדפדפן
זוהו פגיעויות מרובות בדפדפן Google Chrome, וארבע מהפגיעוית הוגדרו ברמת חומרה גבוהה. תוקף מרוחק עלול לנצל חלק מהפגיעויות, על מנת לגרום למניעת שירות (DoS) וביצוע הרצת קוד על תחנת הקצה של הגורם המותקף. הפגיעויות CVE-2023-3727, CVE-2023-3728 משפיעות על פונקציונליות של הרכיב WebRTC, ומניפולציה זדונית על הרכיב עלולה לגרום לפגיעות בשם Use-After-Free (תקיפה על גבי הזיכרון של התוכנה). הפגיעות מסוג CVE-2023-3730 זהה לפגיעויות לפניה, אך הפעם על רכיב אחר בשם Tab Group. הפגיעות CVE-2023-3732 משפיעה על הרכיב Mojo, ועלולה לגרום ל-Out-of-bounds Read (תוקף יכול לקרוא מידע רגיש מהזיכרון או לגרום לקריסה של התוכנה. עדכוני האבטחה נמצאים בגסאות הבאות: (Chrome 115.0.5790.98 (Linux and Mac), 115.0.5790.98/99 (Windows.
צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.
עדכוני אבטחה קריטיים פורסמו עבור Adobe ColdFusion
חברת Adobe פרסמה עדכוני אבטחה עבור ColdFusion גרסאות 2023, 2021 ו-2018 , כדי לטפל בפגיעויות קריטיות בגירסאות האמורות. פגיעויות אלו עלולות להוביל לביצוע קוד לא מבוקר ולעקיפת תכונות אבטחה. החולשה הקריטית ביותר היא CVE-2023-38205 CVSS 9.8, שכבר נוצלה בעבר בהתקפות שכוונו ל-Adobe ColdFusion.הגרסאות המושפעות:
ColdFusion 2023 (עדכון 2 וגרסאות קודמות) -צריך לעדכן לגרסה מס׳ 3
ColdFusion 2021 (עדכון 8 וגרסאות קודמות) - צריך לעדכן לגרסה מס׳ 9
ColdFusion 2018 (עדכון 18 וגרסאות קודמות) - צריך לעדכן לגרסה מס׳ 19
צוות קונפידס ממליץ למשתמשים ולארגונים המשתמשים ב-ColdFusion להחיל את העדכונים המומלצים בהקדם האפשרי.
התקפות ואיומים
קבוצת התקיפה הסינית Storm-0558 פרצה לכ-25 חשבונות דוא״ל של ממשלת ארה"ב
חברת Microsoft חשפה לאחרונה קמפיין שנערך על ידי קבוצת תקיפה סינית שזוהתה כ-Storm-0558. התוקפים פרצו בהצלחה את חשבונות האימייל של ארגונים רבים ברחבי העולם, כולל סוכנויות ממשלתיות בארה"ב ובמערב אירופה. הקבוצה השתמשה במפתחות גנובים של חשבון Microsoft כדי לזייף tokens, והם השתמשו במפתחות MSA (מפתחות MSA [צרכן] ומפתחות Azure AD [ארגוני] המונפקים והמנוהלים ממערכות נפרדות - ואמורים להיות תקפים רק עבור המערכות המתאימות שלהם). בכך, העניקו גישה לא מורשית לחשבונות Outlook Web Access ו-Outlook.com, בקרב כ-25 ארגונים, כולל ארגוני מפתח בארה"ב, למרות ש-Microsoft לא פרסמה את שמות הארגונים. החקירה של מיקרוסופט החלה ב-16 ביוני 2023, לאחר שלקוחות דיווחו על פעילות דואר חשודה של Office 365. בתהליך מזעור הסיכונים שהובילה הברה, ממשלת ארה"ב מילאה תפקיד מכריע בזיהוי החדירה. חברת Microsoft חשפה איום סייבר נוסף, הכולל את קבוצת הכופרה הרוסית RomCom, שניצלה פגיעות Office Zero Day ללא תיקון כדי ליזום מתקפות פישינג במהלך פסגת נאט"ו בליטא.
השבוע בכופרה
קבוצות הכופרה LockBit תקפה את החברה הישראלית Energym
קבוצת LockBit מפרסמת כי תקפה את Energym, חברה מובילה בארץ לשיווק מוצרי כושר וספורט לפרטיים ומוסדיים. קבוצת התקיפה LockBit פועלת מ-2019, ומשתמשת במודל עסקי של מתקפות כופרה כשירות (RaaS) . הקבוצה מטרגת מגזרים בעלי פרופיל גבוה, ביניהם מגזר שירותי הבריאות. בגרסה החדשה שלה, LockBit 3.0, היא אף משתמשת בטכניקת "סחיטה משולשת", ומאיימת ישירות על הקורבן המושפע - ברמת היחיד - שהמידע האישי שלו יודלף אם יסרב לשלם. ל-LockBit 3.0, הידוע גם בשם LockBit Black, יש ארכיטקטורה מתקדמת יותר מהגרסאות הקודמות שלה, ומאפשרת לשנות את התנהגות הנוזקה לאחר פריסתה במערכות הארגון המותקף, ובכך מקשה על יכולות צוותי ההגנה להתחקות אחריה. Lockbit לא פרסמה כמה ואיזה מידע יש ברשותה, אך לפי האתר יש לקורבן לשלם את הכופר עד 28 Jul, 2023 01:17:41 UTC על מנת שהמידע שלו לא תפרסם (ראו ציור להלן).
(מתוך האתר של Lockbit)
סייבר בעולם
הוכחת היתכנות מזויפת לחולשה בלינוקס משמשת להפצת תוכנה זדונית שגונבת מידע רגיש
דו״ח שנערך לאחרונה חושף איום סייבר חדש, שבו פרסום הוכחת היתכנות מזוייפת לפגיעות במערכת ההפעלה לינוקס שימש להפצת תוכנות זדוניות לגניבת נתונים. על פי מחקר של Uptycs התגלה ב-GitHub מאגר מזויף המדגים כיצד מנוצלת הפגיעות כביכול, אך במקום זאת הייתה דלת אחורית לגניבת נתונים. תוקפים מנצלים את אמון המשתמשים בעדכוני תוכנה, על ידי ניצול חולשה קיימת שאמורה לתקן באג במערכות Linux. לאחר שמשתמשים מורידים ומתקינים את עדכון זה, מערכותיהם נדבקות בתוכנה זדונית שגונבת מידע רגיש ואישי מההתקנות שנפגעו. המידע שניתן לגנוב כולל אישורי כניסה, מידע פיננסי, ונתונים אחרים בעלי ערך כמו סיסמאות. אנליסטים של Uptycs גילו את החשיפות במהלך סריקות שגרתיות, כאשר התריעו על חריגות ברשת כגון חיבורי רשת בלתי-צפויים וניסיונות גישה לא מורשים למערכת. כדי להימנע מסוג זה של התקפה, מומלץ למשתמשים לעדכן תוכנות רק מאתר הורדות אמין וממקור רשמי. בנוסף, שמירה על תוכנת אנטי-וירוס מעודכנת, עדכון סיסמאות באופן קבוע והימנעות מקישוריים או הורדות חשודות על מנת להפחית סיכונים להיפגע מהונאות כאלה.
CISA פרסמה מסמך המלצות על כלי אבטחה לשימוש במעבר לסביבת ענן
CISA פרסמה מסמך המיועד לסייע לארגונים שעוברים לסביבת ענן. מדובר ב-5 כלים וטכניקות שפותחו על ידי CISA או בעזרתו. הכלים מומלצים עבור בדיקה ובקרה של אבטחת סביבת הענן, והנכסים והמידע בתוכו. בנוסף, הם מספקים מידע ויכולות פעולה עבור הגנת רשת, זיהוי וטיפול באירועי אבטחה, סריקת חולשות והנתהגויות חריגות בסביבת הענן. מסמך מציין את הכלים הבאים: CSET - כלי המאפשר לארגונים לקבל תמונת הערכת מצב על סטטוס האבטחה שלהם בסביבת הענן; SCuBAGear M365 - כלי הבודק את הגדרות האבטחה ב-Microsoft 365; Decider - כלי העוזר בהבנת התנהגויות חשודות ברשת ומניעתן; JPCERT/CC - כלי שחוקר memory dumps ועוזר לזהות פעולות חשודות בסביבת הענן; Untitled Goose - כלי המאפשר לנהל, לייצא ולחקור Audit logs בסביבות Microsoft Azure, AAD, M365. בעזרת הכלים האמורים, ארגונים יכולים לשפר את יישום האבטחה בזמן מעבר לענן.
CISA הוסיפה לקטלוג החולשות שלה חולשה קריטית ב-Microsoft
CISA הוסיפה השבוע לקטלוג החולשות המנוצלות שהיא מתחזקת, חולשה חדשה ברמת חומרה קריטית. החולשה CVE-2023-36884 היא פגיעות בביצוע קוד מרחוק של Microsoft Office ו-Windows HTML, שנוצלה בפעם האחרונה ע״י קבוצת התקיפה הרוסית Storm-0978. לפי הפרסום של מיקרוספט, לקוחות המשתמשים ב-Microsoft Defender עבור Office 365 מוגנים מפני קבצים מצורפים המנסים לנצל את CVE-2023-36884.
בנוסף, לקוחות המשתמשים באפליקציות Microsoft 365 (גירסאות 2302 ואילך) מוגנים מפני ניצול הפגיעות באמצעות Office. ארגונים שאינם יכולים לנצל את ההגנות הללו יכולים להגדיר את ה Registry Key הבא - FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION כדי למנוע ניצול.
התגלה דלף מידע רגיש על לקוחות ב-VirusTotal
דווח דלף מידע בפלטפורמת סריקת הנוזקות הפופולרית VirusTotal, לאחר שנמצא שהעלו בטעות מסד נתונים עם מידע על 5600 לקוחות הפלטפורמה. המידע שהודלף כולל את שמות הלקוחות, כתובות מייל, אם הלקוח קשור לגופי ממשל אמריקאים כמו ה-FBI, או NSA, או גופי בטחון ממשלתיים במדינות גרמניה, הולנד, אנגליה וטאיוואן. גוגל, שרכשה את VirusTotal בשנת 2012 , אישרה ואימתה את הדלפה זו ונקטה בצעדים מיידיים להסרת המידע מגישה ציבורית בפלטפורמה, בנוסף לכך, גוגל עורכת חקירה של האירוע ומחפשת דרכים לשפר את תהליכי העברת המידע ב-VirusTotal כדי להימנע ממקרה חוזר בעתיד. בשנה שעברה, המשרד לאבטחת מידע של ממשלת גרמניה הזהיר לגבי העלאת קבצים אוטומטית ל-VirusTotal בגלל פוטנציאליות לחשיפת מידע רגיש שעלול להיחשף מהקבצים העולים לסריקה. אירוע זה מזכיר לנו את החשיבות של לשים תשומת לב מרובה למידע שאנחנו מעלים לפלטפורמות ואתרים ברחבי האינטרנט.
קבוצת התקיפה Turla המשתייכת עם ארגון המודיעין הרוסי תקפה את כוחות ההגנה באוקראינה
קבוצת התקיפה Turla תקפה את כוחות ההגנה באוקראינה באמצעות נוזקה חדשה בשם DeliveryCheck. המתקפה מתחילה במייל דיוג ("פישינג") המכיל קבצים מצורפים של Excel XLSM עם פקודות מאקרו זדוניות. כאשר מופעלים, פקודות מאקרו אלו מבצעות פקודת PowerShell, ויוצרות משימה מתוזמנת המתחזה לעדכון דפדפן Firefox. משימה זו מורידה את ה-Backdoor בשם DeliveryCheck (הידועה גם בשם CapiBar ו- GAMEDAY) ומשיקה אותה בזכרון, שם היא מתחברת לשרת Command & Control של התוקף כדי לקבל פקודות ולבצע פעולות זדוניות. באמצעות השרת שנפרץ, התוקפים שולחים מיילים עם קבצים זדוניים מצורפים, כאשר הקבצים הללו נפתחים הם מפעילים פקודת PowerShell , הגורמת למשתמש קצה להדבק בתוכנת ריגול בשם Kazuar, המאפשרת לתוקף לגנוב מידע רגיש כגון: קבצים, סיסמאות למגוון רחב של תוכנות, קבצי Cookie, לקוחות FTP, תוכנות VPN, KeePass, Azure, AWS ו-Outlook. צוות המחקר המודיעיני של מיקרוסופט (Microsoft Threat Intelligence team) צייץ בטוויטר: "התוקף שואף לייצא קבצים המכילים הודעות מאפליקציית ההודעות הפופולרית Signal Desktop, שתאפשר לתוקף לקרוא שיחות Signal פרטיות, כמו גם מסמכים, תמונות וקבצי ארכיון במערכות שהותקפו."
סייבר בגופי בריאות
ארה״ב: דלף מידע של מוסד רפואי באלבמה לאחר תקיפה של AlphV
קבוצת התקיפה AlphV (המכונה BlackCat) טוענת שהצליחה לגנוב 1.8 טרה-בייט של נתונים ממרכז קהילתי לגמילה מסמים ולתשושי נפש (Highland Health Systems) באלבמה. הקבוצה הצהירה שחבריה מתכוונים לסחוט באיומים את המטופלים ואנשי הצוות של המוסד הרפואי. כהוכחת יכולת לטענות, הקבוצה העלתה לאתר האינטרנט שלה מספר קבצים עם נתונים או מידע של עובדים ומטופלים, כולל חלק מטופס קבלה פסיכיאטרי משנת 2008 וקבצים אחרים עדכניים יותר.
סייבר בספנות ולוגיסטיקה
השקת מסד נתוני התקפות סייבר ימיות
חוקרים ב NHL Stenden University of Applied Sciences השיקו מסד נתונים על מנת למפות מתקפות סייבר ימיות ברחבי העולם. מסד הנתונים מדגים את פגיעות התעשייה הימית של ימינו ומפרט יותר מ-160 אירועים מתקפות סייבר במגזר הימי, המשפיעים על ספינות, נמלים ומתקנים ימיים אחרים מרחבי העולם. החוקרים צופים כי מסד הנתונים יסייע בהעלאת המודעות לאבטחת הסייבר בתעשייה ויספק נתונים לסימולציות מדויקות ומחקר נוסף בתחום קריטי זה. פיטר מאלדר, מנהל טכנולוגיות מידע ותקשורת ב -NHL Stenden מספר כי "בסיס הנתונים נועד ליצור עולם בטוח יותר שבו מערכת התחבורה הימית העולמית מסוגלת להגיב לאיומים שרק יגדלו במספרם ובהשפעתם״. אחד מיישומי המאגר כולל את האפשרות לפתח סימולציות אירועי סייבר מציאותיות ורלוונטיות, כדי שחברות, ארגונים ונמלים יוכלו להיערך להתקפות. להלן דוגמה של הצגת הנתונים במסד החדש.
מקור: NHL Stenden Maritime Cyber Attack Database, יולי 2023
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.