דו״ח סייבר שבועי
עדכון שבועי 21.01.2021
עיקרי הדברים
-
סוכנות הרפואה האירופית (EMA) מדווחת על אירוע סייבר והדלפה של קבצים בנושא נגיף הקורונה.
-
מערך הסייבר מזהיר: איום הסייבר על מוסדות אקדמיים בישראל עלול להוביל לשבתתם.
-
האינטרפול מזהיר מפני הונאות באפליקציות דייטינג.
-
ה-EDPB מפרסם דוגמאות של הודעות על פריצות למידע אישי, המחייבות דיווח רגולטורי.
-
אנו ממליצים לעדכן את המערכות הבאות: דפדפן Chrome, שרתי Apache Tomcat, מוצרי Juniper, מוצרי Cisco, מוצרי SAP ומוצרי Oracle.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשה ב-Apache Tomcat מאפשרת חשיפת מידע רגיש על מערכת שאינה מעודכנת
41 חולשות שונות במוצרי Juniper
עדכוני אבטחה למוצרי Cisco
עדכון אבטחה לדפדפן Chrome
עדכוני אבטחה למוצרי SAP
עדכון אבטחה רבעוני למוצרי Oracle
התקפות ואיומים
סוכנות הרפואה האירופית מדווחת על אירוע סייבר
פורומים של IObit נפרצו ונוצלו להפצת כופרת DeroHE
האינטרפול מזהיר מפני הונאות באפליקציות דייטינג
תוקף גנב מידע של משתמשים מפורום OpenWRT
Apple העניקה 50 אלף דולר לשני חוקרי חולשות אפליקטיביות
סייבר בישראל
מערך הסייבר הלאומי קורא להרשמה לקבוצות עבודה ייעודיות
סייבר בעולם
מערך הסייבר האמריקאי מפרסם סקירה על פרוטוקול DoH ותומך בהטמעתו בארגונים
הכנופייה העומדת מאחורי מתקפת ה-SolarWinds הצליחה לעקוף את מנגנון האימות הדו-שלבי של Duo
סייבר ופרטיות - רגולציה ותקינה
משרד התקשורת יוזם תהליך שנוי במחלוקת שמטרתו לקבל מספקי שירותי תקשורת "מידע על מאפייני צריכת השירותים" של מנויים פרטיים
הרשות המוניטרית של סינגפור קובעת הנחיות חדשות לניהול סיכוני סייבר
הודו מפרסמת דוח נוסף בנוגע להסדרת השימוש במידע שאינו אישי
דוגמאות של פריצות למידע אישי המחייבות דיווח רגולטורי בהתאם ל-GDPR: טיוטת הנחייה מטעם ה-EDPB
סעיפי חוזה סטנדרטיים מומלצים: הרגולטורים של ה-GDPR מפרסמים חוות דעת משותפת
כנסים
הציטוט השבועי
״לאור התראות ואירועי סייבר חוזרים במגזר האקדמי, איום הסייבר הנשקף מעמיד את המוסדות בפני תרחיש סביר של פגיעה ממשית במערכות התפעוליות השונות – עד כדי השבתה של פעילות המוסד, ונזקים נוספים לנכסי המידע ואף למוניטין המוסדות״
יגאל אונא, במכתב לוועד ראשי האוניברסיטאות (ור"ה).
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
חולשה ב-Apache Tomcat מאפשרת חשיפת מידע רגיש על מערכת שאינה מעודכנת
החולשה, שפורסמה על ידי Apache Software Foundation, היא ברמת חומרה גבוהה, והיא רלוונטית למערכות Linux המתבססות על מערכת הקבצים NFTS, עליה מותקן רכיב ה-Tomcat.
אנו ממליצים לבעלי המערכת לוודא שאינה נמנית על הגרסאות החשופות לחולשה, ובמידה וכן - לעדכנה לגרסתה האחרונה.
41 חולשות שונות במוצרי Juniper
השבוע פורסם כי חולשה שנתגלתה במערכות ההפעלה של החברה משפיעה באופן גורף על עשרות מוצרים ושירותים שלה. מתוך 41 חולשות ברמות חומרה שונות שאותרו במוצרי החברה, המסוכנת ביותר קיבלה את ציון החומרה CVSS 8.5 .
אנו ממליצים לבעלי מוצרי Juniper לעדכן את מערכת ההפעלה שלהם, על מנת להתחסן מהפגיעויות שנתגלו.
ניצול מוצלח של החולשות שהתגלו במוצרים עלול לאפשר לתוקף להשתלט עליהם מרחוק, אחת מהן (CVE-2021-1164), הרלוונטית לגרסאות RV110W, RV130, RV130W ו-RV215W של המוצר Cisco Small Business, קיבלה את ציון החומרה CVSS 9.8, ועלולה לאפשר לתוקף לא מאומת להריץ קוד מרוחק על הרכיבים הפגיעים ולשבש פעולתם. שאר עדכוני התוכנה שפורסמו רלוונטיים למוצרים הבאים:
AnyConnect Secure Mobility Client for Windows
אנו ממליצים לבעלי מוצרים אלה לעדכן את המערכות הרלוונטיות בהקדם.
העדכון, שפורסם על ידי Google ב-19 בינואר, פותר 36 חולשות בדרגות חומרה שונות, החמורה שבהן (CVE-2021-21117) קריטית. פרטי החולשות המלאים טרם פורסמו, מאחר והחברה ממתינה לכך שמרבית משתמשי הדפדפן יעדכנו אותו לגרסה האחרונה, 88.0.4324.96.
אנו ממליצים למשתמשי הדפדפן לעדכנו לגרסה זו.
עדכוני אבטחה למוצרי SAP
בעדכון האבטחה החודשי שפרסמה החברה בינואר מופיעים עשרה עדכונים לחולשות במוצריה, חמישה מהם ברמת חומרה קריטית. העדכונים רלוונטיים למוצרים הבאים:
SAP Business Client
SAP Business Warehouse
SAP BW/4HANA
(SAP Business Warehouse (Master Data Management
SAP NetWeaver Application Server for Java
אנו ממליצים לבעלי המוצרים לבצע את עדכוני התוכנה בהקדם.
עדכון אבטחה רבעוני למוצרי Oracle
העדכון שפרסמה החברה כולל מענה ל-329 בעיות אבטחה וחולשות שנתגלו ב-113 ממוצריה, 45 מתוך הפגיעויות הן קריטיות ודירוג ה-CVSS שלהן עומד על 9.8 (מתוך 10, הציון המקסימלי).
אנו ממליצים לבעלי מוצרים רלוונטיים לבחון ולהתקין את עדכוני האבטחה בהקדם האפשרי.
התקפות ואיומים
סוכנות הרפואה האירופית מדווחת על אירוע סייבר
בדיווח שוטף שפרסמה ה-EMA נמסר כי חקירה פורנזית מעמיקה חשפה גישה לא מורשית והדלפה של קבצים בנושא נגיף הקורונה (תרופות וחיסונים), השייכים לצד ג׳. הסוכנות, המפרסמת דיווחים על בסיס שוטף, ממשיכה בניתוח ובחקירת עומק של האירוע ותעדכן בממצאים נוספים בהמשך.
פורומים של IObit נפרצו ונוצלו להפצת כופרת DeroHE
הכופרה הופצה ללקוחות חברת מוצרי התוכנה (בהם מוצר ההגנה למחשבים Advanced SystemCare), אשר היו פעילים בפורומים שנפרצו. התוקפים, שהתחזו לחברת IObit, שלחו לכל משתמשי הפורומים מיילים בהם נטען כי הם מעניקים בחינם רישיון למוצרי החברה למשך שנה. אל המיילים צורף לינק שהוביל את הלקוחות להורדת הקובץ free-iobit-license-promo.zip, אשר הכיל את הכופרה.
צילום מסך של המייל הזדוני
האינטרפול מזהיר מפני הונאות באפליקציות דייטינג
האזהרה פורסמה כ״אזהרה סגולה״ (אזהרה המספקת מידע אודות כלים בהם פושעים עושים שימוש), זאת לאחר שמיחידת הפשע הפיננסי של הארגון התקבלה אינפורמציה אודות מספר רב של אנשים אשר נפלו קורבן להונאות באפליקציות הללו. שיטות ההונאה נעות מאפליקציות מזויפות המשכנעות משתמשים תמימים לרכוש מנויים בתשלום לצורך קבלת תוצאות מהירות יותר, ועד לשחקנים זדוניים באפליקציות מוכרות המנצלים משתמשים אחרים לצורך הונאות כלכליות.
תוקף גנב מידע של משתמשים מפורום OpenWRT
פורום OpenWRT, המשמש חובבי Open-source בתחום הראוטרים לדיונים ולפיתוחים בנושא, חווה פריצה למידע השייך למשתמשיו (מיליים ושמות משתמשים), לאחר שתוקף הצליח לחדור לחשבון Admin של הפורום, שהיה מוגן בסיסמה חזקה אך נעדר אימות דו-שלבי. למרות שנראה כי סיסמאות משתמשי הפורום לא נחשפו, מנהליו החליטו לבצע איפוס סיסמה לכלל החברים בו, וביקשו מהם להגביר ערנות נוכח מתקפות פישינג העלולות לעשות שימוש במיילים שנחשפו בתקיפה.
אנו ממליצים להפעיל אימות דו-שלבי בכל אפליקציה וממשק אינטרנטי שבהם ניתן לעשות זאת. הפעלה של מנגנון זה מפחיתה באופן משמעותי את הסיכוי שהחשבון ייפרץ.
Apple העניקה 50 אלף דולר לשני חוקרי חולשות אפליקטיביות
צמד חוקרי אבטחת המידע, המתמחים באפליקציות, ביצעו מחקר אודות שרתי Apple מסוג Lucee, המריצים מערכות ניהול תוכן (CMS). החוקרים גילו ששרתים מסוימים היו פתוחים לדף גישה ל-Lucee המיועד לאדמיניסטרטורים, ובחקירה מעמיקה יותר אף נוכחו לדעת שיש להם גישה לקבצים ולנתיבים בתוך השרת. עוד עלה בידיהם של השניים להעלות לשרתים Web shell מבלי ששכבות ההגנה של Apple יאתרו את הפעילות. ממצאים אלה זיכו את החוקרים במענק מטעם החברה.
אנו ממליצים לבעלי חברות המפתחות אפליקציה לבצע בדיקת חדיקות אפליקטיבית על מוצריהן, על מנת להפחית את הסיכון להתרחשות פריצה מוצלחת לנכסי האירגון.
סייבר בישראל
מערך הסייבר הלאומי קורא להרשמה לקבוצות עבודה ייעודיות
הקבוצות, שהוקמו על ידי המערך מתוך הבנת החשיבות הרבה שיש לשיתוף ידע ולחיבור בין גופים וגורמי מקצוע רלוונטיים, הפועלים בנושאים הנוגעים למרחב הסייבר, יעסקו בין היתר, בתהליכי פיתוח מאובטח, בניהול שרשראות אספקה, ביישום תורת ההגנה, בכופרה ועוד.
סייבר בעולם
מערך הסייבר האמריקאי מפרסם סקירה על פרוטוקול DoH ותומך בהטמעתו בארגונים
בעוד שכולנו משתמשים כסטנדרט בפרוטוקול DNS, המשמש אותנו כ״ספר טלפונים״ ומנתב את המשתמש לאתר המבוקש תוך הקשת כתובתו המילולית בלבד, מערך הסייבר האמריקאי ממליץ לארגוני Enterprise להכיר את הפרוטוקול החדש, המאפשר שימוש ב DNS על גבי HTTPS. בכך הפרוטוקול מגביר את השמירה על פרטיות משתמש הקצה, כאשר הן בקשת המשתמש והן תשובת השרת מתבצעות בצורה מוצפנת מקצה לקצה, בניגוד לאופן בו מתבצעות כיום שאילתות כ-Plain text.
הכנופייה העומדת מאחורי מתקפת ה-SolarWinds הצליחה לעקוף את מנגנון האימות הדו-שלבי של Duo
חברת Volexity, אשר חקרה את המתקפה, זיהתה כי עקיפת המנגנון עליו מבוסס מוצר האימות מבית Cisco אפשרה לתוקפים גישה לתיבות מייל שאובטחו באמצעותו. עוד אימתה החברה כי אין מדובר בגניבת Session, וכי התוקפים אכן הזינו שם משתמש וסיסמה באופן בו השרת זיהה ביצוע אימות דו-שלבי, מבלי שהתוקף יגש לאפליקציית Duo המותקנת על מכשירי המשתמשים. פעולה זו התאפשרה לאחר שהתוקפים הצליחו להשיג גישה למפתח הסודי (akey) של אינטגרציית Dou דרך שרת ה-OWA. מפתח זה, בתורו, אפשר לתוקפים להציג Cookie בשם duo-sid, אשר הוכן מבעוד מועד וכלל את פרטי הגישה הנכונים למערכת. בכך גרמו התוקפים לשרת ה-OWA לאמת את הגישה. מאחר והתוקפים השתמשו בהרשאות Admin מלאות על השרת, הם נהנו מגישה מוחלטת למפתחות ולמידע השמור בשרת, לרבות פרטי ההזדהות של משתמשיו. מחברת Duo נמסר כי בדוקומנטציה של המוצר היא ממליצה להתייחס ל-akey כסיסמה לכל דבר, ועל כן על מנהלי ומטמיעי המערכות לשמור על המפתחות היטב, עם גישה מוגבלת אליהם.
סייבר ופרטיות - רגולציה ותקינה
משרד התקשורת יוזם תהליך שנוי במחלוקת שמטרתו לקבל מספקי שירותי תקשורת "מידע על מאפייני צריכת השירותים" של מנויים פרטיים
ב-17 בינואר פרסם משרד התקשורת שלושה מסמכים במסגרת שימוע שעורך המשרד בעניין הפעלת סמכויותיו לדרוש מחברות תקשורת ("בעלי רשיון") מידע אודות התנהגותם של צרכנים, על מנת לבצע "...ניתוחים אודות דפוסי צריכת המנויים, וזיהוי מגמות ושינויים, לרבות מהלכים אנטי-תחרותיים הדורשים את מעורבות המשרד." בכך מסתמך משרד התקשורת על סמכותו על פי סעיף 4ג1 של חוק התקשורת (בזק ושידורים)-התשמ"ב-1982, המאפשר איסוף נתונים מספקים של שירותי תקשורת בישראל. הנושא שנוי במחלוקת ומעורר התנגדות מצד גורמים שונים, בין היתר בשל ההיקף הרחב של המידע האישי הנדרש אודות צרכני תקשורת סלולרית, זאת למרות שהמשרד קובע כי המידע שיתקבל יהיה מוצפן ומאובטח, "...ללא כל יכולת להתחקות אחר המידע המקורי שנמסר על המנוי". הציבור רשאי להעיר על יוזמת משרד התקשורת עד ל-18 בפברואר.
הרשות המוניטרית של סינגפור קובעת הנחיות חדשות לניהול סיכוני סייבר
ההנחיות שפרסמה החודש ה-Monetary Authority of Singapore מגיעות על רקע העלייה החדה שנרשמה לאחרונה במתקפות סייבר על חברות סינגפוריות. הנחיות אלה מעדכנות הנחיות קיימות, ודורשות מארגונים במגזר הפיננסי להגביר את יישומם של אמצעים וכלים לאבטחת מידע והגנת סייבר, לרבות שיתוף מידע עם ארגונים אחרים במגזר, עריכת תרגילים וסימולציות וניהול שרשראות אספקה. על פי הרגולטור, ההנחיות המעודכנות מדגישות ומחזקות את החשיבות של ניהול סיכוני סייבר ושילוב בקרות של אבטחת מידע כחלק מפעילותם השוטפת של ארגוני המגזר ומפריסת טכנולוגיות מתפתחות. כל ארגון אחראי ליישם את ההנחיות בהתאם לצרכיו ולסיכונים הקיימים בפעילותו העסקית, זאת לצד הציות לחקיקה המגזרית הרלוונטית.
הודו מפרסמת דוח נוסף בנוגע להסדרת השימוש במידע שאינו אישי
במסגרת הסדרת השימוש בסוגים שונים של מידע בהודו, התפרסם השבוע הדוח, שנכתב על ידי ועדת המומחים במשרד האלקטרוניקה וטכנולוגיית המידע של הודו (MEITY). הדוח מרכז את תגובות הציבור לחוק המוצע, שיחול על עיבוד מידע שאינו מוגדר כמידע אישי. החוק, המכונה Non-Personal Data Governance Framework, או NPDF, נועד לקבוע מסגרת שתמנף את הערך הכלכלי, החברתי והציבורי של השימוש במידע שאינו אישי, בעוד שהשימוש במידע אישי יוסדר בחוק נפרד, ה-Personal Data Protection Law, המצוי כעת בגדר הצעת חוק. ה-NPDF נועד גם להסדיר תמריצים לחדשנות בשירותים ובמוצרים המפותחים בהודו, לקבוע חובות בנוגע לשיתוף מידע בין ארגונים ולהגדיר "עסק מידע" (Data Business).
דוגמאות של פריצות למידע אישי המחייבות דיווח רגולטורי בהתאם ל-GDPR: טיוטת הנחייה מטעם ה-EDPB
מועצת הגנת המידע של האיחוד האירופי (EDPB) פרסמה השבוע את טיוטת ההנחיות לארגונים, המשלימה באמצעות דוגמאות ספציפיות פרסום בנושא מחודש פברואר 2018. מטרת הפרסום הנוכחי היא לסייע לחברות לקבל החלטות בנוגע לטיפול בפריצות למידע אישי, ולפרט את הקריטריונים שיש לקחת בחשבון לקראת דיווח על הפרה לרשויות הפיקוח הרלוונטיות ולנושאי מידע. הציבור מוזמן להעיר הערות על המסמך עד ל-2 במרץ.
סעיפי חוזה סטנדרטיים מומלצים: הרגולטורים של ה-GDPR מפרסמים חוות דעת משותפת
בהמשך לפס"ד שרמס 2 מחודש יולי 2020, בו בית הדין האירופי לצדק (CJEU) פסל לאלתר את הסדר ה- Privacy Shield להעברת מידע אישי ממדינות האיחוד האירופי לארצות הברית, עולה החשיבות של הסדרת ההגנות הנדרשות על מידע אישי במסגרת חוזים בין ארגונים המעבירים ביניהם מידע כזה, בין אם ה-GDPR מגדיר אותם כ-Controllers ובין אם כ-Processors. רגולציית ה-GDPR מאפשרת הגנות חוזיות על העברת מידע אישי מחוץ למדינות האיחוד באמצעות Standard Contractual Clauses, או SCCs (ראו, למשל, סעיף 28 של ה-GDPR). ב-15 בינואר אמצו שני גופים רגולטוריים באיחוד - המועצה להגנת המידע (EDPB) ונציב הגנת המידע של האיחוד (EDPS) - חוות דעת משותפת בנושא סעיפי החוזה הרלוונטיים המומלצים. חוות הדעת בעניין ה-SCCs בתוך האזור האירופי מצויה כאן; חוות הדעת בעניין ה-SCCs מחוץ לאירופה מצויה כאן.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.