עדכון שבועי 30.12.2021

עדכון אבטחה לשרתי ה-HTTP של Apache נותן מענה לחולשות קריטיות וברמת חומרה גבוהה
בין החולשות הבולטות שנסגרות בעדכון מצויה חולשה (CVE-2021-44224, CVSS 8.2) בגרסה 2.4.52 של השרת העלולה לאפשר לתוקף לבצע מתקפת Server-side request forgery) SSRF). זאת ועוד, חולשה קריטית (CVE-2021-42013, CVSS 9.8) המצויה בגרסה 2.4.51 של השרת וטופלה אף היא בעדכון, עלולה לאפשר לתוקף להריץ על השרת קוד זדוני מרחוק.

צוות קונפידס ממליץ למשתמשי שרתי ה-HTTP של Apache לעיין בהודעה המלאה שמסרה החברה בנוגע לכל גרסאות המוצר, ולהטמיע את העדכונים בהתאם. 

עדכוני אבטחה חדשים של Apache לחולשות קריטיות ב-Log4j

העדכונים החדשים לספרייה נותנים מענה ל-6 חולשות נוספות שנמצאו, בהן 2 קריטיות, 3 ברמת חומרה בינונית ואחת ברמת חומרה נמוכה. אחת החולשות הקריטיות (CVE-2021-45046, CVSS 9.0) רלוונטית ל-Log4j 2.16.0-Java 8 ול-Log4j 2.12.2-Java 7 ועלולה לאפשר לתוקף להזריק קוד זדוני דרך מנגנון ה-JNDI, להריצו מרחוק ולגנוב מידע. החולשה הקריטית השנייה (CVE-2021-44228, CVSS 10.0) רלוונטית ל-Log4j 2.15.0-Java 8 ועלולה לאפשר לתוקף להשתלט על פרמטרים של הלוגים הנשלחים ממנגנון השליחה או על ההודעות המגיעות מהלוגים, ולהריץ קוד זדוני בשרתי ה-LDAP.

צוות קונפידס ממליץ למשתמשי המוצרים להתעדכן ברשימת החולשות המלאה ולבצע את העדכונים בהתאם. 

Google מודיעה ל-2 מיליארד משתמשי Chrome על תקלה בגרסה עתידית של הדפדפן

החברה חשפה כי הגרסה הבאה של הדפדפן הפופולרי צפויה להיחסם על ידי אתרים ברחבי העולם, זאת בשל מספר הגרסה של התוכנה: בעוד שמספרה של הגרסה הנוכחית של דפדפן Chrome הראשי הינה 96 ושל Chrome Canary (גרסה נסיונית של הדפדפן המיועדת למפתחים) היא 99, כאשר יגיע הדפדפן לגרסתו ה-100 - אתרים רבים לא יוכלו לטעון אותו ולא תתאפשר אליהם גישה באמצעות Chrome. כאשר אתרים בודקים את גרסת הדפדפן מטעמי אבטחה, על מנת למנוע שימוש בגרסאות ישנות של Chrome שאינן נתמכות עוד (גרסה 40 ומטה), הבדיקה מתייחסת לשתי הספרות הראשונות בלבד. לאור כך, Chrome 100 ייקרא על ידי אתרים רבים כ-Chrome 10 - ויחסם. בשעה זו הפתרון שמנסה Google להציע לבעיה הוא שאופן הצגת מספרי גרסאות הדפדפן יכלול תמיד את המספר 99 בתחילתו. טרם התברר אם פתרון זה יעיל, ונכון לעכשיו הוא נחשב לפתרון זמני בלבד.

תוקפים מפיצים בטלגרם נוזקה הגונבת ממשתמשים ארנקי קריפטו
נוזקת Echelon, שהתגלתה על ידי חוקרים מחברת SafeGuard Cyber, הופצה בימים האחרונים בקבוצות למסחר בקריפטו, כשהיא מוסתרת בתור קובץ rar. בשם present, המכיל את הקובץ present.exe שמתקין את הנוזקה. לדברי החוקרים, הנוזקה מנסה לגנוב פרטי התחברות ממגוון שירותי VPN, העברות קבצים ואפליקציות צ׳אט, בהם OpenVPN NordVPN ,Discord וטלגרם. זאת ועוד, הנוזקה מנסה לבצע צילומי מסך במחשבי הקורבנות ולגנוב פרטי התחברות לארנקי קריפטו, כגון Exodus ,Monero ואחרים. למרבה המזל, הנוזקה מוכרת ומתגלה על ידי מרבית תוכנות האנטי-וירוס  הפופולריות.

קמפיין פישינג מתחזה לתוצאה חיובית של בדיקת קורונה וגונב פרטי התחברות לשירותי בנקאות באמצעות נוזקת Dridex
הקמפיין, אשר אותר לראשונה על ידי משתמש הטוויטר MalwareHunterTeam, מבוסס על משלוח מיילי ספאם שכותרתם COVID-19 testing result, ואשר בתוכנם נטען כי הנמען נחשף לקולגה שנמצא חיובי לקורונה. לאחר מכן מופנה הקורבן לצרופת Word בה מופיעים, כביכול, פרטים נוספים, אך בעת פתיחתה ולחיצה על Enable Content מופעלת פקודת מאקרו המריצה את התקנת הנוזקה על מחשב הקורבן. נוזקת Dridex מכוונת נגד משתמשי מערכת ההפעלה Windows ומופצת באמצעות קמפייני פישינג במיילים הכוללים קבצי Word ו-Excel. לאחר התקנתה על מחשב הקורבן, Dridex מנסה לגנוב פרטי התחברות לחשבונות בנק מקוונים ולהפיץ עצמה למחשבים אחרים, ולעתים אף מאפשרת לתוקפים לבצע מתקפת כופרה על ידי שליטה מרחוק במחשב הקורבן.

נוזקה חדשה שחתומה כקובץ לגיטימי מצליחה לחדור מערכות אבטחה של Windows

על פי צוות המחקר של Elastic, מריץ הנוזקה, המכונה BLISTER, מהווה חלק מקמפיין החדירה ומצליח לחמוק מתחת לרדאר מערכות אבטחת המידע על ידי שימוש בקובץ החתום ב-Valid code signing certificate. נכון לשעה זו לא זוהו התוקפים, וקטור ההדבקה או מטרות הקמפיין. תוקפים עושים שימוש בקבצים חתומים המוסווים תחת מעטה של קבצים לגיטימיים, שכן תוכנות אבטחה מבצעות על קבצים חתומים בדיקות נוקשות פחות ביחס לאלה שהן מבצעות על קבצים שאינם חתומים. לראיה, באתרי בדיקות קבצים כמו VirusTotal קבצים חתומים מזוהים כחשודים בציון נמוך או שאינם מזוהים ככאלה כלל. לרוב, תוקפים גונבים Certificates, או לחילופין רוכשים אותם או רוכשים ישירות מחברות המספקות אותם או באמצעות חברות קש.

אפליקציות זדוניות נמצאו בחנות האפליקציות של סמסונג

האפליקציות מתחזות לאפליקציות מוכרות כדוגמת ShowBox, המאפשרות למשתמשים לצפות באופן פיראטי בתכנים בידוריים. אלא שרק מעטות מהאפליקציות המזויפות אכן מספקות את הסחורה המובטחת, לצד גישה שהן מקבלות לתכנים שאינם שגרתיים, כגון יומן השיחות של המשתמש, אנשי הקשר והטלפון שלו. חוקר אבטחת המידע LinuxCT גילה כי האפליקציות מסוגלות לבצע הרצת קוד דינאמית, כלומר למרות שהאפליקציה עצמה אינה מכילה נוזקות או קוד זדוני, יש ביכולתה להוריד ולהריץ קוד ממקור אחר, שעלול להיות זדוני. מבחינה משפטית, סמסונג אמורה לחסום אפליקציות מסוג זה עקב התוכן שהן מציעות, אך בפועל החברה בודקת אם מצויים בתוך האפליקציות תוכן או התנהגות זדוניים, שלכאורה אינם קיימים במקרה זה, כך שהפרת זכויות יוצרים אינה תקפה לסוגייה ואינה מהווה עילה למניעת העלאת האפליקציות לחנות.

צוות קונפידס ממליץ למשתמשים שהורידו את אפליקציית ShowBox או דומותיה, כגון MovieBox, למחוק אותן באופן מידי ממכשיריהם, שכן הן עלולות להתקין נוזקות על מכשירי אנדרואיד.

הורדתם טורנט של הסרט החדש של ספיידרמן? קבלתם כורה קריפטו

חוקרי אבטחת מידע גילו התפשטות של כורה המטבעות הקריפטוגרפיים  Monero, אשר לדבריהם מקורה בטורנט של אתר רוסי. אתרי טורנט מספקים קישורים להורדות לא חוקיות של אפליקציות ומוצרים נוספים. למרות שתוכנות לכריית קיפרטו אינן גונבות מידע אישי, הן צורכות CPU, דבר שניכר בצריכת החשמל, ולעתים אף GPU, דבר המתבטא בשחיקת כרטיס המסך של המחשב.

צוות קונפידס ממליץ לרכוש תוכנות מהיצרן המקורי ולהימנע מהורדת קבצים דרך אתרי טורנט, זאת על מנת להישמר מפני הורדת נוזקות למחשבים.

פרצה בתחנות טעינה של EVlink מאפשרת לתוקפים להשתלט עליהן מרחוק

תחנות הטעינה של החברה המיועדות לרכבים חשמליים חשופות לחולשות אותן עלולים תוקפים לנצל לביצוע מתקפת מניעת שירות (DoS), כך עולה מדוח שפרסמה Schneider Electric, חברת האם של EVlink. הדגמים הפגיעים, 6 במספר, חשופים ל-7 חולשות, אחת מהן קריטית (CVE-2021-22821, CVSS v3.1 9.3) ו-3 נוספות ברמת חומרה גבוהה. עוד מאפשרות החולשות לתוקפים לבצע מתקפות SSRF ו-XSS על תחנות בעלות ממשק לדפדפן, להשתלט מרחוק על עמדות, לבצע בהן שימוש שאינו מאושר, לבטל שליחת נתונים לגופים המפקחים ואף להשבית את עמדות הטעינה. 

משתמשי LastPass קיבלו התראה על שימוש בסיסמאות המאסטר שלהם על ידי מקור שאינו ידוע; החברה: ניסיון ל-Credential Stuffing

משתמשים רבים של האפליקציה דיווחו כי קיבלו התראה מהחברה על ניסיונות ההתחברות, שנעשו ממיקומים שאינם מוכרים ונחסמו על ידי LastPass. לטענת החברה, מחקירה שערכה עולה שמדובר בפעולות שנעשו על ידי מספר רב של בוטים, שהשתמשו בכתובות מייל ובסיסמאות שהודלפו משירותי צד ג׳, בדרך פעולה של Credential Stuffing. מנגד, המשתמשים טוענים שקיבלו את ההתראות משום שסיסמת המאסטר שלהם ייחודית לשירות LastPass בלבד. טרם התקבלה תגובת החברה לטענה זו. בהקשר זה, חוקר האבטחה בוב דיאצ׳נקו פרסם לאחרונה כי איתר אלפי פרטי התחברות של משתמשי LastPass בקובץ הדלפות שמקורו ב-RedLine Stealer, נוזקה שמטרתה לגנוב פרטי התחברות לשירותים שונים ממערכות Windows. ואולם משתמשי LastPass שקיבלו את ההתראה ציינו כי כתובת המייל והסיסמה שלהם אינן מופיעות בקובץ. לכן, השאלה מאין הגיעו פרטי ההתחברות ששימשו את מבצעי ניסיונות ההתחברות נותרת בעינה, כאשר החברה עומדת על כך שלא מצאה עדות לפריצה לשירותיה או לקצירת סיסמאות משתמשים.

צוות קונפידס ממליץ למשתמשי האפליקציה להפעיל אימות דו-שלבי (2FA) בחשבון ה-LastPass שלהם, כמו גם בחשבונותיהם בכל שירות אחר, זאת על על מנת להגן עליהם במקרה שהסיסמה תיגנב או שיעשה בה שימוש שאינו כשר.

נוזקת RedLine Stealer גונבת פרטי חשבונות שנשמרים בדפדפן ומשמשים לחיבור אוטומטי

מניתוח שביצעה קבוצת המחקר של חברת AhnLab ASEC בעקבות אירוע בו לקחה חלק, עולה כי וקטור הכניסה לארגון שנתקף היה חשבון VPN ששימש את אחד מעובדיו לעבודה מרחוק. פרטי חשבון ה-VPN נשמרו על ידי העובד בדפדפן, על מנת לאפשר חיבור אוטומטי ל-VPN ללא צורך בהזנת הפרטים בכל פעם מחדש. בחקירה נמצא כי המחשב שימש את כל בני ביתו של העובד והיו מותקנות עליו מספר נוזקות, למרות נוכחותו של אנטי-וירוס. בין הנוזקות שנמצאו הייתה גם RedLine Stealer, אשר אספה את פרטי חשבון ה-VPN מהדפדפן וניצלה את המידע לפגיעה בארגון שלם.

חברת אבטחת מידע איראנית חושפת חולשה במחשבי HP iLO המנוצלת בשטח להתקנת Rootkit שאינו ניתן לזיהוי או להסרה בכלים קונבנציונליים
בדוח שפרסמה השבוע חברת האבטחה Amnpardaz היא מנתחת את ה-Rootkit (אוסף של תוכנות זדוניות, המאפשרות גישה למחשב או לתוכנה שלו ללא הרשאות) המכונה iLOBleed ומנצל חולשה במכשירי (iLO (Integrated Lights-Out. מכשירים אלה הינם מכשירי חומרה המהווים תוסף לשרתים ולתחנות עבודה, והם בעלי מעבד, כרטיס זיכרון ורכיבי רשת משלהם. תפקידם של מוצרי iLO הוא לאפשר למנהלי מערכות להתחבר מרחוק למכשירים גם אם הם כבויים, ולבצע דרכם עדכוני חומרה וקושחה. מכשירי iLO מהווים קרקע פוריה לתוקפים ולקבוצות תקיפה, משום שהם בעלי הרשאות מערכת גבוהות והם אינם נראים על ידי מנהלי מערכות וכלי אבטחה. Amnpardaz הבחינה במספר מקרים בהם נמצא Rootkit שהוסתר בתוך מכשירי iLO וביסס אחיזה בתוך רשתות, על אף ניסיונות להתקין מחדש מערכת הפעלה במכשירים השונים. מהדוח עולה כי התוקפים הסוו את ה-Rootkit כקושחה של iLO, ויצרו הודעה מזויפת בדבר עדכון תוכנה של המערכת, שהוצגה למנהלי המערכת כאשר ניסו לעדכן את הקושחה. עוד עולה מהדוח כי גם אם התבצע עדכון ל-iLO, ניתן לשנמך את הרכיב שעודכן לגרסה קודמת שלו, כך שיהיה אפשר להדביק מערכת מעודכנת (אלא אם כן מדובר ברכיב מסדרת Gen10 והתאפשרה הגדרת Non-default, דבר המונע את פעולתו של מנגנון השנמוך). כמו כן, ה-Rootkit מאפשר גישה לחומרה של שרת אליו הוא מחובר, מה שמאפשר למחוק באופן מוחלט כוננים של שרתים, כפי שאירע כאשר צוות המחקר האיראני גילה את הנוזקה והתוקפים החלו לבצע מחיקה מלאה של כונני השרתים ולהעלים את עקבותיהם.

T-Mobile מאשרת כי דליפת מידע הובילה למתקפות SIM swap על חלק מלקוחותיה

בהצהרה שמסרה חברת הטלקום ל-BleepingComputer אמרה כי על פי החשד מדובר בגניבת מספרי הטלפון של כמות קטנה של לקוחות ובצפייה בפרטי החשבון שלהם על ידי הגנבים. עוד טענה T-Mobile כי מתקפות המאופיינות בגניבת מספרי טלפון הן נפוצות מאוד, וכי החברה טיפלה בתקלה במהרה, על ידי פריסת כלים נוספים להגנה על רשתותיה ולקוחותיה. לדברי T-Mobile היא הודיעה על המתקפה ללקוחות הרלוונטיים, אך סירבה למסור אינפורמציה נוספת על היקף המידע שדלף או על מספרם המדויק של הלקוחות שנפגעו.

חברת ה-IT הבינלאומית Inetum חווה מתקפה כופרה

החברה הצרפתית, הפעילה ביותר מ-26 מדינות ברחבי העולם, הצהירה כי ב-19 בדצמבר חוותה מתקפה שהשפיעה באופן מצומצם על פעילותה בתחומי צרפת בלבד. לדברי Inetum, צוות התגובה שלה פעל במהרה להגנה על מידע רגיש שהדלפתו עלולה לפגוע בלקוחותיה, ולאחר מכן בודד את השרתים הנגועים בכופרה וסיים את כל חיבורי הלקוחות ל-VPN, בכדי לנתק את התוקפים  מהרשת, במידה שנותרו מחוברים. בחקירת התקרית נשללה ההשערה לפיה התקיפה התאפשרה עקב ניצול של חולשת Log4j. החברה הודיעה לרשויות על התקיפה ושכרה את שירותיה של חברה חיצונית לשם התאוששות מהאירוע. בשעה זו, מרבית שירותיה של Inetum רושמים תפקוד רגיל ולא ניכרת הפרעה בשירות המסופק ללקוחותיה.

שירותי האתר Shutterfly שובשו על ידי Conti

חברת הצילום, המעניקה שירותים בעיקר למוסדות חינוך ולארגונים, חוותה לפני כשבועיים מתקפת כופרה, כאשר לטענת קבוצת התקיפה הידועה לשמצה Conti - עלה בידיה להצפין יותר מ-4,000 התקנים וכ-120 שרתים מסוגים שונים השייכים ל-Shutterfly. נכון לשעה זו, החברה מצויה בתהליך של משא ומתן עם התוקפים, הדורשים מיליוני דולרים בעבור הסרת ההצפנה. זאת ועוד, התוקפים נוקטים בטקטיקה של ״סחיטה כפולה״, זאת באמצעות אתר ייעודי שיצרו, המכיל דף נחיתה עם מידע מודלף בדמותם של צילומי מסך של קבצים אשר נגנבו, לכאורה, במהלך האירוע. קבוצת Conti מאיימת להפוך את דף הנחיתה לציבורי במידה ו-Shutterfly לא תשלם את סכום הכופר הנדרש. עוד טענה קבוצת התקיפה כי ברשותה קוד המקור לחנות החברה, אך עד כה לא ברור אם כוונתה לאתר החברה Shutterfly.com או לאתר אחר השייך לה. על פי מגזין אבטחת המידע BleepingComputer, צילומי המסך המופיעים בעמוד הנחיתה כוללים הסכמים משפטיים, נתונים אודות חשבונות בנק וסוחרים, נתוני כניסה לשירותים הארגוניים של החברה, קבצי אקסל ופרטי לקוחות, בהם ארבע ספרות אחרונות של כרטיסי אשראי. מ-Shutterfly נמסר כי אכן חוותה לאחרונה אירוע כופרה על חלקים מרשתותיה, אך לא נמצא כי האירוע השפיע על אתרים אחרים המקושרים אליה, בהם Snapfish ,Tiny Prints ו-Spoonflower. עם זאת, החברה אישרה כי אותרו שיבושים ברשתות Lifetouch, BorrowLenses ו-Groovebook שבבעלותה, וכי שכרה את שירותיה של חברת סייבר חיצונית, יידעה את הרשויות אודות האירוע ו״עובדת מסביב לשעון לפתרונו״. עוד נאמר כי החברה אינה מאחסנת פרטי כרטיס אשראי, פרטי חשבונות פיננסיים או מספרי ביטוח לאומי של לקוחותיה, ועל כן עד כה לא נמצא שמידע רגיש כלשהו הושפע מהתקרית.

AvosLocker תקפה בשוגג רשות ממשלתית בארה״ב וסיפקה מפענח הצפנה בחינם

בהצהרה שמסר אחד מחברי קבוצת התקיפה ל-BleepingComputer נאמר כי למרות שלקבוצה אין מדיניות מסוימת בנוגע לזהות קורבנותיה, היא נמנעת מלתקוף בתי חולים ומוסדות ממשלתיים. לכן, משהבינו חבריה שתקפו רשות ממשלתית אמריקאית, סופק מפתח ההצפנה בחינם, לצד התנצלות על הפעולה. עם זאת, המקור סירב למסור פרטים על קבצים שנגנבו באירוע או על וקטור הכניסה לרשת הרשות.

​

​

​

​

​

​

​

​

​

 

                         (התנצלות הקבוצה. קרדיט תמונה: משתמש הטוויטר панкейк @pancak3lullz)

​

​