top of page
WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 27.07.2023

עיקרי הדברים

1. SEC פרסם הנחיות חדשות בענין חובות הדיווח של חברות על אירועי סייבר ומשילות ארגונית: הגברת ההיערכות של חברות מפוקחות
2. קבוצת Lazarus הצפון קוריאנית נקשרה לשוד של 60 מיליון דולר במטבעות קריפטוגרפיים של Alphapo
3. Google Chrome שחררה עדכוני אבטחה לChromeOS
4.  קבוצת ״ריגול״ הסייבר של צפון קוריאה UNC4899  נחשף ב-JumpCloud 
5.  חולשות הסלמת הרשאות משפיעות על כ-40% ממשתמשי Ubuntu
6. *אנו ממליצים לעדכן את המוצרים הבאים: Aura Device Services (בינוני) ; ChromeOS מבית Google; שרתי Citrix (קריטי); מספר עידכונים למוצרי MacOS (גבוה); Ivanti Endpoint Manager Mobile (קריטי); MikroTik RouterOS (קריטי); Ubuntu Linux (גבוהה);  *

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה ל-Avaya Aura Device Services נותן מענה לחולשה ברמת חומרה גבוהה
Google Chrome שחררה עדכוני אבטחה לChromeOS
CISA פרסמה מסמך המכיל טקטיקות ונהלים בכדי להימנע מהחולשה המנוצלת והקריטית בשרתי Citrix
Apple שחררה עדכוני אבטחה חדשים למערכת ההפעלה MacOS Ventura
עדכון אבטחה לIvanti Endpoint Manager Mobile נותן מענה לחולשה קריטית
פגיעות קריטית של MikroTik RouterOS חושפת למעלה מחצי מיליון מכשירים לפריצה
VMware פרסמה עדכון אבטחה הנותן מענה לחולשה קריטית
חולשות הסלמת הרשאות משפיעות על כ-40% ממשתמשי Ubuntu

התקפות ואיומים

GitHub מזהירה מפני קמפיין Social Engneering של קבוצת התקיפה Lazarus
נוזקת Realst ב-macOS גונבת ארנקי קריפטו

סייבר בעולם

בJumpCloud חושפים את קבוצת ״ריגול״ הסייבר של צפון קוריאה - “UNC4899”
קבוצת האקרים Lazarus נקשרו לשוד של 60 מיליון דולר במטבעות קריפטוגרפיים של Alphap

סייבר ופרטיות - רגולציה ותקינה

ISACA Europe Conference 2023: Digital Trust World

כנסים

 
 

הציטוט השבועי

 "נכון לעכשיו, חברות ציבוריות רבות מדווחות למשקיעים על חשיפות סייבר. עם זאת, אני חושב שחברות ומשקיעים כאחד ירוויחו אם הגילוי הזה ייעשה בצורה עקבית יותר, סטנדרטי יותר ושימושית יותר לתהליך קבלת החלטות. [...] הכללים שפורסמו היום יועילו למשקיעים, לחברות ולשווקים המחברים ביניהם, בכך שהם יבטיחו שחברות ישחפו מידע מהותי בנושא הגנת סייבר," 

מר גרי גנסלר, יו"ר US Securities and Exchange Commission , במעמד הפרסום של הנחיות SEC החדשות לדיווח על היערכות סייבר ואירועי סייבר בארגונים, 26.7.23

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה ל-Avaya Aura Device Services נותן מענה לחולשה ברמת חומרה גבוהה 

חברת Avaya שחררה עדכון אבטחה עבור אפליקציית הרשת Aura Device Services לאחר שהתגלתה שם חולשה ברמת חומרה גבוהה, שקיבלה את המזהה CVE-2023-3722 עם ציון CVSS 8.6. חולשה זו מכילה פגיעות הזרקת פקודות OS על ידי העלאת קובץ זדוני המכיל קוד זדוני וניצול מוצלח של חולשה זו עלול לאפשר לתוקף להריץ קוד לא מבוקר מרחוק על המערכת. צוות קונפידס ממליץ למשתמשים באפליקציה לעדכנה בהקדם.

Google Chrome שחררה עדכוני אבטחה לChromeOS

זוהו פגיעויות מרובות במערכת הפעלה ChromeOS, ושתיים הוגדרו ברמת חומרה גבוהה. תוקף מרוחק עלול לנצל חלק מהפגיעויות, על מנת לגרום למניעת שירות (DoS) וביצוע הרצת קוד על תחנת הקצה של הגורם המותקף. הפגיעויות CVE-2023-3729, CVE-2023-3731 משפיעות על פונקציונליות של "Aura Shell", מנהל החלונות וממשק המשתמש של המערכת עבור Chrome OS. מניפולציה זדונית על הרכיב עלולה לגרום לפגיעות בשם Use-After-Free (תקיפה על גבי הזיכרון של התוכנה). הפגיעות CVE-2023-3732 , הינה אמנם פגיעות ברמה נמוכה, אבל משפיעה על הרכיב Titan C firmware, ועלולה לגרום ל-Out-of-bounds read (כלומר, תוקף יכול לקרוא מידע רגיש מהזיכרון או לגרום לקריסה של התוכנה. הגרסאות הפגיעות הינן: Chrome OS: before 115.0.5790.131. עדכוני האבטחה נמצאים בגסאות הבאות: OS version: 15474.61.0 Browser version: 115.0.5790.131. צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

CISA פרסמה מסמך המכיל טקטיקות ונהלים בכדי להימנע מהחולשה המנוצלת והקריטית בשרתי Citrix

CISA פרסמה אזהרת אבטחה לגבי ניצול הפגיעות של Citrix CVE-2023-3519 . ניצול מוצלח של פגיעות זאת עלול לאפשר לתוקף להריץ קוד זדוני מרחוק (RCE)  - מה שמשפיע על המוצרים הבאים: ( Citrix Application Delivery Controller (ADC ו-gateway. פגיעות זו נוצלה לרעה על ידי תוקפים כפגיעות Zero Day והשתמשו בפגיעות זו כדי להשתיל webshell על מכשירי NetScaler ADC פגיעים בארגוני תשתיות קריטיים. ביוני 2023, ארגון תשתיות אמריקאי נפל קורבן למתקפה זו, מה שאיפשר לתוקפים לחדור ולהפיל את הרשת במוצר-NetScaler ADC שלהם והם הצליחו לאסוף ולחלץ נתוני AD רגישים. נחשף כי למעלה מ-15,000 שרתי Citrix NetScaler ADC ו-Gateway עדיין היו פגיעים להתקפות RCE, מה שמדגיש את הדחיפות לעדכונים בזמן. CISA סיפקה רשימה של טקטיקות, טכניקות ונהלים (TTPs) המשותפים לארגון הקורבן כדי לעזור לאחרים לזהות סימני פשרה. הם קוראים לארגונים לנקוט בפעולה מיידית כדי לאבטח את שרתי ה-Citrix שלהם מפני התקפות מתמשכות. ניתן למצוא את המסמך המלא כאן.

Apple שחררה עדכוני אבטחה חדשים למערכת ההפעלה MacOS Ventura

Apple שחררה עדכון אבטחה למערכת ההפעלה macOS Ventura 13.5. נמצאו  11 פגיעויות שונות בסביבת הKernel , הפגיעויות עלולות לגרום לדברים הבאים: הרצת קוד לא מבוקר ע״י אפליקציה במערכת: CVE-2023-32734 ,CVE-2023-32441 ,CVE-2023-38261 CVE-2023-38424, CVE-2023-38425, CVE-2023-32381, CVE-2023-32433, CVE-2023-35993. הפרצות נגמרות עקב מניפולציה על הזכרון של ה-Kernel. משתמש עלול להעלות הרשאות: CVE-2023-38410.  משתמש עלול לגרום למניעת שירות.CVE-2023-38603. טרם דווחו ציונים לפגיעויות של מוצרי אפל, אך צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

עדכון אבטחה לIvanti Endpoint Manager Mobile נותן מענה לחולשה קריטית 

פגיעות קריטית, CVSS-10.0 CVE-2023-35078, זוהתה ב-(Ivanti Endpoint Manager Mobile (EPMM, הידועה בעבר בשם MobileIron Core. פגיעות זו באה לידי ביטוי בניסיון השגת גישה מרחוק לא מאומתת של API והיא משפיעה על הגרסאות  11.10, 11.9 ו-11.8 ועל גרסאות ישנות יותר. ניצול מוצלח של חולשה זו יכול לאפשר לתוקף מרוחק  לגשת למידע שאפשר לראות רק לאחר זיהוי אישי של המשתמש  ולהשיג שליטה על המערכת של המשתמש ללא צורך באימות. החברה קיבלה דיווחים על ניצול החולשה והיא חוקרת באופן אקטיבי את המצב,  ונדרשת פעולה מיידית כדי להגן מפני פגיעות זו. צוות קונפידס ממליץ לעדכן את כל מוצרי Ivanti שברשותכם לגרסה העדכנית בהקדם אפשרי.

פגיעות קריטית של MikroTik RouterOS חושפת למעלה מחצי מיליון מכשירים לפריצה

פגיעות חמורה של העלאת הרשאות המשפיעה על MikroTik RouterOS עלולה להיות משומשת ע״י תוקפים מרוחקים, התוקפים יכולים לתפוס שליטה מלאה על מכשירים פגיעים. הפגיעות מזוהות כ- CVE-2023-30799  (שהן בעלות CVSS score: 9.1), צפויה להעמיד כ-500,000 ו-900,000 מערכות RouterOS בסכנת ניצול דרך ממשק האינטרנט של המערכת. הפגיעות אכן דורשת אימות, ולמעשה, הפגיעות עצמה היא הסלמה פשוטה של ​​הרשאות מ-admin ל-"סופר-admin". בכך היא מביאה לגישה לקריאת פונקציה שרירותית. ההזדהות מאוד קלה להשגה מאחר ואין מנגנון המונע התקפת Brute-force. מאחר והחברה לא אוכפת פוליסת סיסמא חזקה, סיסמת ברירת המחדל של "אדמין" היא מחרוזת ריקה  או מאוד פשוטה בחלק גדול מהמקרים. עדכון הגרסה העדכני ביותר הינו (6.49.8 או 7.x). צוות קונפידס ממליץ לעדכן את שלל המוצרים הרלוונטים בהקדם האפשרי כדי להימנע מניצול חולשות אלו.

VMware פרסמה עדכון אבטחה הנותן מענה לחולשה קריטית

VMware פרסמה עדכון אבטחה לחולשה ב(Tanzu Application Service for VMs (TAS for VMs ו-Isolation Segment. הפגיעות CVE-2023-20891, עלולה לאפשר לתוקף מרוחק עם הרשאות נמוכות לגשת לאישורי הניהול של Cloud Foundry API, ללא אינטראקציה עם המשתמש. ניצול מוצלח של חולשה זאת יכולה לאפשר לתוקף לדחוף גרסאות זדוניות של יישומים רנדומלים. עם זאת, VMware מייעצת לכל משתמשי ה-TAS המושפעים ועבור משתמשי ה-VM לבטל את אישורי הניהול שלהם ב-Cloud Foundry API,  כדי למנוע גישה לא מורשית (עד לעדכון הגרסה). VMware מזהירה ששינוי סיסמת המשתמש של המנהל UAA אינו נתמך רשמית, אך מספקת הנחיות מפורטות למי שרוצה לעשות זאת (ניתן לראות הנחיות מפורטות כאן). ההנחיות מגיעות לאחר המאמצים האחרונים של VMware לטפל בפרצות אבטחה אחרות בחומרה גבוהה במוצרים שלה. צוות קונפידס ממליץ להחיל את עדכון האבטחה בהקדם האפשרי כדי להגן על המערכות והנתונים שלכם.

חולשות הסלמת הרשאות משפיעות על כ-40% ממשתמשי Ubuntu

חוקרים מחברת Wiz מצאו שתי חולשות ברכיב Overlay FS שאחראי על ניהול ויישום משאבי המערכת ונמצא ב-kernel של הפצת Ubuntu ב-Linux שעלולות לאפשר למשתמש לוקאלי ללא הרשאות להסלים את הרשאותיו לאחר ניצול החולשה. חולשה CVE-2023-2640 (שקיבלה ציון CVSS 7.8, המגדיר אותה גבוהה), מאפשרת למשתמש להסלים הרשאות על ידי ניצול ליקוי בתהליך בדיקת הרשאות. חולשה CVE-2023-32629 (שקיבלה ציון CVSS 7.8 , המגדיר אותה גבוהה גם כן), מאפשר למשתמש לוקאלי להריץ קוד לא מבוקר על ידי ניצול תהליך לקוי במערכת ניהול הזיכרון ב-kernel. לפי הדיווח של Wiz, כ-40% ממשתמשי Ubuntu חשופים לפגיעות זו, ו- Ubuntu שחררה עדכון אבטחה המתקן את פגיעויות אלו. צוות קונפידס ממליץ לעדכן את גרסת ה-Ubuntu לעדכנית ביותר כדי להימנע מניצול פוטנציאלי של חולשה זו.

התקפות ואיומים

GitHub מזהירה מפני קמפיין Social Engineering של קבוצת התקיפה Lazarus
בGitHub פרסמו אזהרה מפני קמפיין Social Engineering שנעשה ע״ קבוצת התקיפה הצפון קוראינית Lazarus,  הידועה גם בשם Jade Sleet ו-TraderTraitor. הקמפיין מכוון למפתחים במגזרים הקשורים לבלוקצ'יין, מטבעות קריפטוגרפיים, הימורים מקוונים ועוד. התוקפים יוצרים פרופילים מזוייפים ב-GitHub ובמדיה חברתית, כדי ליזום שיחות עם המטרות שלהם. לאחר מכן, הם מזמינים את היעדים לשתף פעולה במאגרי GitHub, המכילים פרויקטים הקשורים לנגני מדיה ולכלי קריפטוגרפיה. הם מתחילים לעשות זאת בעזרת שכנוע הקורבן להוריד תוכנה זדונית (קבצים, פרוקייטים מסויימים). GitHub השעתה את החשבונות המושפעים והמדווחים ופרסמה רשימה של אינדיקטורים לזיהוי. מומלץ למשתמשים להיות זהירים לגבי הזמנות פתאומיות ולא מוכרות, לשתף פעולה במאגרי המידע והפרוייקטים ולהיות עירניים תמיד. 

 

נוזקת Realst ב-macOS גונבת ארנקי קריפטו

נוזקה חדשה ב-macOS הנקראת ״Realst״ משומשת בקמפיין רחב עבור מחשבי אפל, ומטרתה העיקרית היא לגנוב ארנקי קריפטו. הנוזקה מופצת על ידי משחקי blockchain מזוייפים, שגונבים מידע מדפדפני הקורבנות ולאחר מכן מתבצעת גם גניבת מידע מאפלקיציות של ארנקי קריפטו. הנוזקה אובחנה ונותחה על ידי SentinelOne ונמצא שיש 16 וריאנטים שונים עבורה, חלקן בעלות קוד חתום על ידי Apple developer ID , המאפשר מעקף מגילוי של תוכנות אבטחה רבות. מפתחי הנוזקת "Realst" מעדכנים אותה באופן שוטף, וחלק מהגרסאות החדשות תומכות ב-macOS 14 שטרם שוחררה ועדיין בפיתוח. משתמשי macOS מתבקשים להזהר עם משחקי blockchain אשר מופצים דרך Discord ו-Twitter. צוות קונפידס ממליץ להזין את מזהי התקיפה במערכות ההגנה בארגון.

סייבר בעולם

בJumpCloud חושפים את קבוצת ״ריגול״ הסייבר של צפון קוריאה - “UNC4899” 

תוקפים מצפון קוריאה הקשורים ללשכה הכללית המדינית (RGB) נחשפו בפריצת JumpCloud עקב שגיאת אבטחה תפעולית (OPSEC) שחשפה את כתובת ה-IP האמיתית שלהם. כך הבינו שלקבוצת התקיפה, המכונה UNC4899, יש קישורים לקבוצות אחרות המכוונות למגזרי בלוקצ'יין ומטבעות קריפטוגרפיים. ההתקפה התרחשה באמצעות קמפיין פישניג מתוחכם שניצל מתקפת Chain, והשפיע על כמה לקוחות ומערכות. התוקפים השתמשו בתוכנות זדוניות מותאמות אישית כמו: FULLHOUSE.DOORED, STRATOFEAR ו-TIEDYE, כדי לקבל גישה ולבצע משימות שונות במערכות שנפרצו. המתקפה מדגישה את העניין המתמשך של צפון קוריאה בשוד מטבעות קריפטוגרפיים וב״ריגול״ סייבר. קבוצה צפון קוריאנית אחרת בשם Kimsuky נמצאה גם היא משתמשת ב-Chrome Remote Desktop בהתקפות פישניג נגד משתמשים קוריאנים. קבוצת Lazarus שהיא גם קבוצת תקיפה צפון קוריאנית שהפגינה יכולת הסתגלות והסתתרות בהתקפותיה. תקריות אלו רק מדגישות את הצורך בערנות באבטחה מפני איומי סייבר מצפון קוריאה. התרשים להלן של Mandiant מציג את דרכי הפעולה של קבוצת UNC-4899. 

מקור: The Hacker News, 25.7.23

קבוצת האקרים Lazarus נקשרה לשוד של 60 מיליון דולר במטבעות קריפטוגרפיים של Alphapo

אנליסטים של הבלוקצ'יין מאשימים את קבוצת התקיפה ל-Lazarus הצפון קוריאנית במתקפה האחרונה על פלטפורמת עיבוד התשלומים Alphapo שבה התוקפים גנבו כמעט 60 מיליון דולר בקריפטו. גניבה זו כללה סכום שמסתכם בלמעלה מ-23 מליון דולר במטבעות שונים, כולם הוחזקו  בארנקים חמים. הפריצה התאפשרה, ככל הנראה, בגלל דליפה של מפתחות פרטיים. חוקר רשתות הקריפטו הידוע "ZackXBT" הזהיר אתמול כי התוקפים רוקנו גם 37 מיליון דולר נוספים של TRON ו-BTC, כפי שניתן לראות בנתוני Dune Analytics, מה שהעלה את הסכום הכולל שנגנב מAlphapo ל-60,000,000 דולר.

סייבר ופרטיות - רגולציה ותקינה

 

SEC פרסם הנחיות חדשות בענין חובות הדיווח של חברות על אירועי סייבר ומשילות ארגונית: הגברת ההיערכות של ארגונים מפוקחיים 

ביום 26.7.23 Securities and Exchange Commission של ארה"ב אימץ הנחיות חדשות בנושא ניהול סיכוני סייבר, אסטרטגיה, משילות ופרסום אירועי סייבר על ידי חברות פרטיות מפוקחות. ההנחיות, שיתפרסמו בהמשך ב-Federal Register וייכנסו לתוקף 30 ימים לאחר מכן, מהווה התפתחות רגולטורית חשובה. הפרסום של ההנחיות מסייים תהליך של התיעצות מקיפה של ה-SEC עם גורמי ממשל וחברות פרטיות במגזרים רבים. הן מחייבות גופים מפוקחים לחשוף אירועי סייבר "מהותיים" ("material") שהם חווים, ולחשוף בדוחות השנתיים מידע בנוגע לניהול סיכוני הסייבר בארגון, כמו גם האסטרטגיה והמשילות (governance) בהקשר זה. בנוסף, ה-SEC אימץ כללים המחייבים חברות פרטיות זרות מפוקחות למסור גילויים ודיווחים דומים. הדרישות החדשות יחייבו, למשל,  הגשת "פריט 1.05" החדש במסגרת טופס 8-K המוכר, על כל אירוע סייבר שנקבע כ-"מהותי", כדי לתאר את ההיבטים המהותיים של אופי האירוע, היקפו ותזמונו, כמו גם השפעתו המהותית על הארגון. ההנחיות החדשים מוסיפות דרישה לתאר התהליכים שננקטים לזיהוי וניהול סיכוני סייבר מהותיים, וההשפעות המהותיות האפשריות של סיכונים אלה. בנוסף, נדרש דיווח על דרכי הפיקוח של הדירקטוריון על הסיכונים. מר גרי גנסלר, יו"ר ה-SEC, אמר כי "נכון לעכשיו, חברות ציבוריות רבות מדווחות למשקיעים על חשיפות סייבר. עם זאת, אני חושב שחברות ומשקיעים כאחד ירוויחו אם הגילוי הזה ייעשה בצורה עקבית יותר, סטנדרטי יותר ושימושית יותר לתהליך קבלת החלטות. [...] הכללים שפורסמו היום יועילו למשקיעים, לחברות ולשווקים המחברים ביניהם, בכך שהם יבטיחו שחברות ישחפו מידע מהותי בנושא הגנת סייבר," 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.

 
bottom of page