Weekly Magazine 21/8/2020

‫עבור קהילת ‪Think safe cyber‬‬ ‫ריכוז כתבות השבוע בתחום הסייבר | ‪#14 | 21.08.2020‬‬ ‫עיקרי הדברים‪:‬‬ ‫פגיעות אבטחה משמעותית התגלתה במערכת ניהול תוכן המשמשת את צבא ארה\"ב‬ ‫חוקרים ניצלו באג ב־‪ Emotet‬על מנת להפסיק את התפשטות התוכנה הזדונית‬ ‫צי התובלה של גרמניה נפרץ‬ ‫דו\"ח של צבא ארה\"ב חושף כי קיימת מגמת עלייה בהאקרים צפון קוריאנים הפועלים מחו\"ל‬ ‫פורסמו מסירי נוזקה עבור \"‪\"GoldenSpy‬‬ ‫פגיעות אבטחה בפלטפורמת ‪ Jenkins‬עלולה לגרום לדליפת מידע רגיש‬ ‫תולעת כריית קריפטו גונבת פרטי גישה ל־‪AWS‬‬ ‫מפעיל קווי השיט הגדול בעולם נופל קורבן למתקפת כופרה‬ ‫חקירת תוכנות זדוניות המיועדות למערכת ההפעלה לינוקס מגלה כי האקרים משנים את יעדיהם‬ ‫דליפת מידע מכ־‪ 9‬מאגרי ‪ GitHub‬משפיעים על ‪ 200,000‬תושבי ארה\"ב‬ ‫מתקפות וחולשות‪:‬‬ ‫פגיעות אבטחת משמעותית התגלתה במערכת ניהול התוכן ‪CMS‬‬ ‫המשמשת את צבא ארה\"ב‬ ‫‪ Concrete5 CMS‬היא מערכת לניהול תוכן המאפשרת שימוש בחינם והיא ידועה‬ ‫בזכות קלות השימוש בה‪ .‬לכן‪ ,‬היא נמצאה יעילה לארגונים מרכזיים גדולים‪,‬‬ ‫בכללם צבא ארה\"ב‪.‬‬ ‫הפגיעות פשוטה לניצול ומאפשרת למשתמש לקבל גישה מלאה ליישום‪.‬‬ ‫במהלך הערכת התוכנית‪ ,‬אפשר לשנות את תצורת האתר כדי להעלות את קובץ‬ ‫ה־‪ PHP‬ולבצע פקודות במערכת‪ ,‬ולאחר מכן אפשר להעלות את קוד ‪ PHP‬שעלול‬ ‫להזיק ולפגוע במערכת‪ .‬באמצעות מנגנון \"מעטפת הפוכה\"‪,reverse shell ,‬‬ ‫התוקף יכול לקחת שליטה מלאה על שרת האינטרנט‪ ,‬ובנוסף אפשר לבצע‬ ‫פעולות כדי לתקוף שרתים אחרים ברשת הפנימית‪.‬‬ ‫הפגיעות טופלה על‪-‬ידי החברה‪.‬‬ ‫‪972-3-577-5050‬‬ ‫‪972-53-7223433‬‬ ‫‪www.one1.co.il‬‬ ‫‪[email protected]‬‬

‫מתקפות וחולשות‪:‬‬ ‫חוקרים ניצלו באג ב־‪ Emotet‬במטרה להפסיק את‬ ‫התפשטות התוכנה הזדונית‬ ‫‪ , Emotet‬תוכנה זדונית הידועה לשמצה המועברת בדואר אלקטרוני עומדת‬ ‫מאחורי כמה קמפייני דואר המופעלים באמצעות ‪ – botnet‬רשת בוטים‪,‬‬ ‫בכוונה לבצע התקפות כופרה‪ ,‬הכילה פגם שאפשר לחוקרי אבטחת סייבר‬ ‫להפעיל \"‪ \"Kill Switch‬ולמנוע מהתוכנות הזדוניות להדביק מערכות במשך‬ ‫שישה חודשים‪.‬‬ ‫חשוב לזכור שתוכנה זדונית היא תוכנה שיכולים להיות בה פגמים‪.‬‬ ‫כשם שתוקפים יכולים לנצל פגמים בתוכנה לגיטימית כדי לגרום נזק‪ ,‬כך‬ ‫מגנים יכולים להפוך תוכנות זדוניות לאחור כדי לגלות את הפגיעויות שלה‪,‬‬ ‫ואז לנצל את אלה במטרה להביס את תוכנות זדוניות‪.‬‬ ‫מתג ‪ Kill Switch‬פעל בין ה־‪ 6‬בפברואר ‪ 2020‬ל־‪ 6‬באוגוסט ‪ ,2020‬במשך ‪182‬‬ ‫יום‪ ,‬לפני שמחברי התוכנה הזדונית תיקנו את הפגם בתוכנות הזדוניות שלהם‬ ‫וסגרו את הבאג‪.‬‬ ‫צי התובלה של גרמניה נפרץ‬ ‫לממשל הגרמני ולפרלמנטרים הפדרליים נמסר ביום שישי שהאקרים לא‬ ‫ידועים חדרו לצי התחבורה‪.‬‬ ‫משרד הביטחון הגרמני הוסיף בשבת כי \"בשבוע שעבר אירעה תקיפה‬ ‫חיצונית שטרם זוהתה על רשת ה־‪ IT‬של החברה‪.‬‬ ‫צי התובלה מנוהל בידי צבא הבונדסווהר הגרמני‪ ,‬אשר ממוקם במטה‬ ‫טרויסדורף בסמוך לבון‪ ,‬וכולל ‪ 33,500‬כלי רכב‪ ,‬בכללם משאיות‪.‬‬ ‫מערכת טכנולוגיית המידע של הפרלמנט עצמה נפרצה בשנת ‪.2015‬‬ ‫במאי האחרון‪ ,‬אמרה הקנצלרית אנגלה מרקל לבונדסטאג שקיימות‬ ‫\"עדויות קשות\" לכך שהמודיעין הרוסי עמד מאחורי ההסתננות‪.‬‬ ‫דו\"ח של צבא ארה\"ב חושף כי ישנה מגמת עלייה בהאקרים‬ ‫צפון קוריאנים הפועלים מחו\"ל‬ ‫בצפון קוריאה יש לפחות ‪ 6,000‬האקרים ומומחי לוחמה אלקטרונית‬ ‫העובדים בשורותיה‪ ,‬ורבים מהם פועלים בחו\"ל במדינות כמו בלארוס‪ ,‬סין‪,‬‬ ‫הודו‪ ,‬מלזיה ורוסיה‪ .‬כך הודיע צבא ארה\"ב בדו\"ח שפורסם בחודש שעבר‪.‬‬ ‫הכינוי נקרא \"הטקטיקה הצפון־קוריאנית\"‪ ,‬והדו\"ח הוא מדריך טקטי שבו‬ ‫משתמש צבא ארה\"ב לצורך הכשרת כוחות ומנהיגים צבאיים‪ ,‬והוא הוצג‬ ‫לראשונה לציבור בחודש שעבר‪.‬‬ ‫הדו\"ח בן ‪ 332‬העמודים מכיל אוצר של מידע על צבא העם הקוריאני‪,KPA ,‬‬ ‫כגון טקטיקות צבאיות‪ ,‬ארסנל נשק‪ ,‬מבנה מנהיגות‪ ,‬סוגי כוחות‪,‬‬ ‫לוגיסטיקה ויכולות לוחמה אלקטרונית‪.‬‬ ‫‪972-3-577-5050‬‬ ‫‪972-53-7223433‬‬ ‫‪www.one1.co.il‬‬ ‫‪[email protected]‬‬

‫מתקפות וחולשות‪:‬‬ ‫פורסמו מסירי תוכנה עבור נוזקת \"‪ \"GoldenSpy‬המקושרת לסין‬ ‫חוקרי האבטחה של ‪ Trustwave‬זיהו חמישה כלי הסרת תוכנה‬ ‫שנועדו להסיר את דלת האחורית אשר מייצרת ‪GoldenSpy‬‬ ‫במחשבים הנגועים‪.‬‬ ‫התוכנה הזדונית של ‪ GoldenSpy‬התגלתה בתחילה בסוף יוני‪ ,‬והיא‬ ‫ככל הנראה פרוסה מאז אפריל ‪ ,2020‬באמצעות תוכנת מס רשמי‬ ‫שחברות זרות העושות עסקים בסין נדרשות להתקין‪.‬‬ ‫בסוף יוני‪ ,‬פרסם ה־‪ FBI‬התראה לארגוני בריאות‪ ,‬כימיה ומימון‬ ‫בארצות־הברית‪.‬‬ ‫פגיעות אבטחה בפלטפורמת אוטומציית השרתים של ‪Jenkins‬‬ ‫עלולה לגרום לדליפת מידע רגיש‬ ‫‪ ,Jenkins‬תוכנה פופולרית בעלת קוד פתוח המסייעת לאוטומציה‬ ‫לשרתים‪ ,‬פרסמה אתמול פגיעות קריטית בשרת האינטרנט שלה‬ ‫שעלולה לגרום להשחתה בזיכרון ולגרום לחשיפת מידע סודי‪.‬‬ ‫הפגיעות סומנה כ־‪ ,CVE-2019-17638‬ובדירוג ‪ CVSS‬של ‪, 9.4‬‬ ‫והיא משפיעה על שרתי ‪ Java HTTP‬וקונטיינרים בגרסת‬ ‫‪Eclipse Jetty 9.4.27‬‬ ‫תולעת כריית קריפטו גונבת פרטי גישה ל־‪AWS‬‬ ‫חוקרי אבטחה גילו את מה שנראה כפעולה ראשונה לכרייה של קריפטו‬ ‫המכיל פונקציונליות לגניבת פרטי גישה ל־‪ AWS‬משרתים נגועים‪.‬‬ ‫תכונה זו של גניבת נתונים חדשה אותרה בתוכנה זדונית המשמשת‬ ‫את ‪ ,TeamTNT‬קבוצת תקיפה שמתמקדת ב‪.Dockers -‬‬ ‫הקבוצה פעילה מאז אפריל‪ ,‬כך עולה ממחקר שפורסם מוקדם יותר‬ ‫השנה על־ידי חברת האבטחה ‪.Trend Micro‬‬ ‫על־פי הדו\"ח‪ TeamTNT ,‬פועלים באמצעות סריקת האינטרנט אחר‬ ‫מערכות שהוגדרו באופן שגוי והותירו את ממשק ה־‪ API‬חשוף לניהולן‪.‬‬ ‫‪972-3-577-5050‬‬ ‫‪972-53-7223433‬‬ ‫‪www.one1.co.il‬‬ ‫‪[email protected]‬‬

‫מתקפות וחולשות‪:‬‬ ‫מפעיל קווי השיט הגדול בעולם נפל קורבן למתקפת כופרה‬ ‫חברת קרניבל‪ ,‬מפעילת ספינות התענוגות הגדולה בעולם‪ ,‬חשפה היום פרצת‬ ‫אבטחה והודתה בכך שהיא סבלה ממתקפת כופרה במהלך סוף השבוע‪.‬‬ ‫החברה דיווחה כי התוקפים ניגשו להצפנה של חלק ממערכות טכנולוגיית‬ ‫המידע של מותג אחד‪ ,‬וכי הפורצים הורידו קבצים מרשת החברה‪.‬‬ ‫מפעילת קו השיט אמרה כי היא כבר החלה בחקירה‪ ,‬הודיעה לרשויות אכיפת‬ ‫החוק והתנהלה באמצעות יועצים משפטיים‪.‬‬ ‫בהתבסס על הערכה ראשונית של האירוע‪ ,‬קרניבל אמרה שהיא צופה כי‬ ‫התוקפים כבר קיבלו לידיהם גישה לנתונים האישיים של אורחים ועובדים‪.‬‬ ‫עם זאת‪ ,‬החברה אמרה שהיא לא מצפה כי לאירוע תהיה השפעה מהותית‬ ‫על \"העסק‪ ,‬התפעול או המאזנים הכספיים שלה‪\".‬‬ ‫קרניבל לא חשפה כל פרט על האירוע עצמו‪ ,‬כמו שמה של תוכנת הכופרה‬ ‫המשמשת להצפנת הרשת שלה‪ ,‬או אילו מבין הרשתות או המותגים‬ ‫הפנימיים הרבים שלה הושפעו מהאירוע‪.‬‬ ‫דליפות מידע‪:‬‬ ‫חקירת תוכנות זדוניות המיועדות למערכת ההפעלה לינוקס‬ ‫מגלה כי האקרים משנים את יעדיהם‬ ‫הגילוי האחרון של ה־ ‪ FBI‬והסוכנות לביטחון לאומי בדבר כך שהמודיעין הצבאי‬ ‫הרוסי בונה תוכנות זדוניות כדי להתמקד במערכות לינוקס‪ ,‬הוא הטוויסט‬ ‫הדרמטי האחרון בקרב ביטחון הסייבר הבלתי פוסק‪ .‬הסוכנויות חשפו כי‬ ‫האקרים רוסים משתמשים בתוכנה זדונית שלא נחשפה בעבר למערכות‬ ‫לינוקס‪ ,‬כחלק מפעולות ריגול הסייבר שלהם‪ .‬התוכנה הזדונית מאפשרת‬ ‫להאקרים לגנוב קבצים ולהשתלט על מכשירים‪ .‬בשנה שעברה‪ ,‬מיקרוסופט‬ ‫הזהירה מפני תוכנות זדוניות שתוקפות מכשירי ‪)Internet of Things) IoT‬‬ ‫הייתה זו‪ ,‬ככל הנראה‪ ,‬עבודתם של האקרים רוסיים מגובים בידי המדינה‪.‬‬ ‫בנוסף‪ ,‬קיימות עדויות לפיהן ההאקרים מכוונים גם ל־‪.Linux‬‬ ‫דליפות מידע מכ־‪ 9‬מאגרי ‪ GitHub‬משפיעים על ‪ 200,000‬תושבי ארה\"ב‬ ‫ג'ל אורם‪ ,‬האקר אתי מהולנד נתקל לאחרונה בתשע תקריות של דליפת‬ ‫נתונים‪ ,‬שכללו רישומים רפואיים של ‪ 200,000‬מטופלים‪ ,‬כתוצאה מתקלות‬ ‫במאגרי ‪ GitHub.‬הרישומים שדלפו כללו נתונים מספקי בריאות שונים וכן‬ ‫חברות צד ג' המשרתות את המגזר הרפואי‪.‬‬ ‫אורם‪ ,‬פרסם את הדו\"ח המפרט תשעה אירועי דליפת נתונים שזוהו על ידו‬ ‫בשיתוף פעולה עם ‪ .DataBreachers net‬טרם פרסום הדו\"ח העביר אורם‬ ‫דיווח מפורט לגורמים שנפגעו‪.‬‬ ‫‪972-3-577-5050‬‬ ‫‪972-53-7223433‬‬ ‫‪www.one1.co.il‬‬ ‫‪[email protected]‬‬

‫הטיפ השבועי‪:‬‬ ‫הקפידו על היגיינת אבטחת סייבר!‬ ‫כולנו שוטפים ידיים ושומרים על ההיגיינה בקפדנות‪.‬‬ ‫הפעולות נכונות גם לבריאות הדיגיטלית שלנו!‬ ‫היגיינת אבטחת סייבר בסיסית נסובה סביב סיסמאות‪.‬‬ ‫השתמשו בסיסמאות חזקות‪ ,‬השתמשו בביטויי סיסמה מעל ‪ 15‬תווים במקום‬ ‫בשמונה הרגילות‪.‬‬ ‫לדוגמה‪ ,‬השתמש ב‪Iw1shIhadanewC@R! :‬‬ ‫במקום‪.Ah $ Y9z & Z :‬‬ ‫לצפיה במגזינים קודמים >‬