התראות סייבר
5.17K subscribers
1.03K files
535 links
התראות ממערך הסייבר הלאומי
הערוץ הזה אינו ערוץ רשמי ‼️

וואטסאפ https://shortlnk.net/WhatsApp
טלגרם https://shortlnk.net/Telegram
Download Telegram
עדכוני אבטחה למוצרי SAP - יוני 2021 | Com6968

חברת SAP פרסמה עדכוני אבטחה למוצריה.

העדכונים כוללים 17 עדכוני אבטחה חדשים ו-2 עדכונים לפרסומים קודמים.

2 מהעדכונים הם קריטיים ו-4 נוספים מוגדרים בסיווג גבוה.

הפגיעויות עלולות לאפשר הרצת קוד מרחוק, הזרקת פקודות, דלף מידע, השחתת זיכרון, הזדהות שגויה, ניצול של חוסר בבדיקת הרשאות, ניצול של חוסר בוידוא של XML, מתקפת XSS ועוד.

מומלץ לבחון האם העדכונים רלוונטיים למוצרים בשימוש ארגונכם, לבוחנם ולהתקינם בהקדם האפשרי.

מקורות:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
עדכוני אבטחה למערכת הפעלה ישנה של אפל | Com6990

חברת אפל פרסמה 3 עדכוני אבטחה עבור גרסאות ישנות של מערכת הפעלה iOS (עבור iPhones/iPads) מתוצרתה.

הפגיעויות עלולות לאפשר לתוקף הרצת קוד.

2 מהן מנוצלות בפועל על ידי תוקפים בעולם.

מומלץ מאד לבחון העדכונים ולהתקינם בהקדם האפשרי.

iOS 12.5.4

iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (6th generation)

14 Jun 2021

https://support.apple.com/en-il/HT201222

https://support.apple.com/en-us/HT212548
[עדכון] לאחרונה דווח למערך הסייבר הלאומי על מספר אירועי כופרה, בארגונים שונים.

המכנה המשותף לכל האירועים הוא שימוש בכופרה בשם Cuba.

להלן מספר קישורים לדוחות שפורסמו על תקיפות קודמות באמצעות כופרה זו. דוחות אלו כוללים מזהים שונים וחוקי YARA.

https://shared-public-reports.s3-eu-west-1.amazonaws.com/Cuba+Ransomware+Group+-+on+a+roll.pdf

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-cuba-ransomware.pdf

https://digital.nhs.uk/cyber-alerts/2021/cc-3855#indicators-of-compromise

https://blogs.blackberry.com/en/2021/04/threat-thursday-blackberry-protect-vs-cuba-ransomware

[עדכון] מצורף קובץ מזהים. מומלץ לנטרם במערכות הארגוניות.
גרסה עדכנית לדפדפן כרום | COM7081

גוגל פרסמה גרסה עדכנית לדפדפן כרום.

העדכון כולל טיפול ב-4 פגיעויות, כולן בדירוג גבוה.

אחת הפגיעויות מנוצלת בפועל לתקיפות בעולם.

גרסאות עדכניות:
Windows, Linux, Mac - 91.0.4472.114
Android - 91.0.4472.114
iOS - 91.0.4472.80

מומלץ לבחון ולעדכן בהקדם האפשרי.

https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

https://chromereleases.googleblog.com/2021/06/chrome-for-android-update_01260921706.html

https://chromereleases.googleblog.com/2021/06/chrome-for-ios-update.html

https://chromereleases.googleblog.com/
פגיעויות במוצרי סיסקו | Com7089

חברת סיסקו פרסמה לאחרונה מידע לגבי פגיעויות שונות במוצריה.

חלק מהפגיעויות מסווגות בדירוג גבוה, ועלולות לאפשר לתוקף להשתלט על הציוד.

בין המוצרים שפורסמו עבורם עדכוני אבטחה לפגיעויות שונות:

Cisco Email Security Appliance and Cisco Web Security Appliance Certificate Validation Vulnerability
Cisco DNA Center Certificate Validation Vulnerability
Cisco Small Business 220 Series Smart Switches Vulnerabilities
Cisco AnyConnect Secure Mobility Client for Windows with VPN Posture (HostScan) Module DLL Hijacking Vulnerability
Cisco Meeting Server API Denial of Service Vulnerability
Cisco Jabber Desktop and Mobile Client Software Vulnerabilities
Cisco Unified Intelligence Center Reflected Cross-Site Scripting Vulnerability
Cisco AnyConnect Secure Mobility Client for Windows Denial of Service Vulnerability
Cisco Jabber and Webex Client Software Shared File Manipulation Vulnerability

מידע נוסף על פגיעויות אלו ופגיעויות נוספות במוצרי סיסקו, ניתן למצוא בקישור https://tools.cisco.com/security/center/publicationListing.x.

מומלץ לבחון עדכוני האבטחה הרלוונטיים למוצרים בשימוש ארגונכם, ולהתקינם בהקדם האפשרי.
עדכוני אבטחה למספר מוצרים של חברת Com7184 | VMware

חברת VMware פרסמה לאחרונה עדכוני אבטחה למספר מוצרים.

המוצרים הם:
VMware Carbon Black App Control (AppC)
VMware Tools for Windows
VMware Remote Console for Windows (VMRC for Windows)
VMware App Volumes

הפגיעות החמורה ביותר היא במוצר VMware Carbon Black App Control, ועלולה לאפשר לתוקף בעל גישה רשתית לשרת הניהול של המוצר, מעקף של מנגנון ההזדהות והשגת גישה כמנהלן (Administrator).

הפגיעות מוגדרת כקריטית ונקבע לה ציון CVSS של 9.4.

הפגיעויות הנוספות עלולות לאפשר העלאת הרשאות לתוקף מקומי, או מתקפת מניעת שירות מקומית.

מומלץ לבחון ולהתקין את הגרסאות העדכניות בהקדם האפשרי.

מקורות:
https://www.vmware.com/security/advisories/VMSA-2021-0012.html

https://www.vmware.com/security/advisories/VMSA-2021-0013.html

https://www.vmware.com/security/advisories/VMSA-2021-0011.html
עדכון אבטחה לפגיעות במוצר Com7187 | Palo Alto Cortex XSOAR

לאחרונה פרסמה חברת פאלו אלטו עדכון אבטחה לפגיעות במוצר Palo Alto Cortex XSOAR.

הפגיעות עלולה לאפשר לתוקף מרוחק ובלתי מזוהה (unauthenticated) בעל גישה רשתית לשרת, לבצע פעולות בלתי מורשות באמצעות מנגנון ה-REST API של המוצר.

הפגיעות מוגדרת קריטית ונקבע לה ציון CVSS 9.8.

הגרסאות הפגיעות הן:
Cortex XSOAR 6.1.0 builds later than 1016923 and earlier than 1271064

Cortex XSOAR 6.2.0 builds earlier than 1271065

הפגיעות אינה קיימת בגרסאות קודמות של המוצר (5.5.0, 6.0.0, 6.0.1, 6.0.2).

מומלץ לבחון ולעדכן המוצר לגרסה עדכנית בהקדם האפשרי.

לפרטים נוספים ומעקפים זמניים עד להתקנת העדכון, ראו סעיף "מקורות" להלן.

מקורות:
https://security.paloaltonetworks.com/CVE-2021-3044
פוגענים עם חתימה דיגיטלית של מיקרוסופט | Com7216

לאחרונה פרסמה חברת מיקרוסופט מידע לגבי תקיפה במסגרתה הועברו בהצלחה קבצי Drivers לחתימה במסגרת תכנית Windows Hardware Compatibility Program.

הפוגען מתקשר עם כתובות 2C.

לדברי החברה, התוקף מתרכז בתקיפת מגזר ה-Gaming בסין.

להתרעה זו מצורף קובץ מזהים. מומלץ לנטרם בכל המערכות הארגוניות הרלוונטיות.

בכל מקרה של הופעת המזהים במערכותיכם, מומלץ לפנות למערך הסייבר הלאומי.

מקורות:
https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/
פגיעות ישנה במוצרי WD מנוצלת למחיקת המידע או להתקנת פוגען | Com7229

לאחרונה פרסמה חברת Western Digital כי פגיעות ישנה ב-2 מוצרי NAS מתוצרתה, My Book Live ו-My Book Live Duo, מנוצלת לתקיפתם באמצעות הרצת פקודות מרחוק.

התוקפים מנצלים הפגיעות במקרים מסוימים לצורך התקנת פוגען, ובמקרים אחרים למחיקת הגישה למידע המאוחסן בכונן, באמצעות ביצוע Factory Reset (חזרה להגדרות היצרן).

מדובר במוצרים ישנים שקיבלו את העדכון האחרון מהיצרן בשנת 2015.

הפגיעות הרלוונטית מזוהה כ-CVE-2018-18472. ציון CVSS 9.8.

החברה ממליצה בשלב זה למשתמשים במוצר לנתקם מהרשת, הן במקרים בהם מתאפשרת גישה ישירה למוצר מרשת האינטרנט, והן במקרים בהם מוגדר Port Forwarding על הנתב, ידנית או באמצעות פרוטוקול UPnP.

מומלץ לא לאפשר גישה מרשת האינטרנט למוצרי NAS. אם נדרשת גישה כזו משיקולים עסקיים, מומלץ לממשה באמצעות שירות כגון VPN עם הזדהות והצפנה מתאימים.

מקורות:
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo

https://community.wd.com/t/action-required-on-my-book-live-and-my-book-live-duo/268147
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Com7351 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים.
[עדכון] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה COM7460 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון] טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים, או להשתמש באחד מהמעקפים האחרים שפירטה החברה.
[עדכון2] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows|Com7351

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ לבוחנו ולהתקינו בהקדם האפשרי.
[עדכון2] תשומת לב כי מפרסומים שונים ברשת עולה כי העדכון אינו מטפל במקרים מסוימים שבהם מופעל על העמדה מנגנון Point & Print.
[עדכון3] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלהSubCom3153 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ מאד לבוחנו ולהתקינו בהקדם האפשרי.

[עדכון3] החברה הוציאה גרסה עדכנית להודעת העדכון ובה מובהר מהן ההגדרות החייבות להיות מופעלות בשרתים ובעמדות על מנת שהעדכון יהיה אפקטיבי.

[עדכון3] עדכון זה כולל קבצי עדכון גם למערכות ההפעלה 2012, 2016, Windows 10 version 1607, שנעדרו מהפרסום הקודם.
[עדכון4] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה SubCom3175 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ מאד לבוחנו ולהתקינו בהקדם האפשרי.

[עדכון3] החברה הוציאה גרסה עדכנית להודעת העדכון ובה מובהר מהן ההגדרות החייבות להיות מופעלות בשרתים ובעמדות על מנת שהעדכון יהיה אפקטיבי.

[עדכון4] החברה עדכנה הגדרות אלו.
Com7717 | פגיעות בתוכנת Serv-U של חברת Solarwinds

לאחרונה פורסם כי זוהתה פגיעות Zero Day בתוכנת Serv-U של חברת Solarwinds, המשמשת להעברת קבצים.

ע"פ הדיווחים, הפגיעות מנוצלת בפועל ע"י תוקפים בעולם.

הפגיעות מזוהה כ-CVE-2021-35211. ציון CVSS 9.8.

הפגיעות ניתנת לניצול על ידי תוקף להרצת קוד מרחוק ללא צורך בהזדהות.

הפגיעות קיימת רק אם שירות ה-SSH של Serv-U מופעל בשרת.

דרכי התמודדות:
החברה פרסמה גרסה עדכנית לתוכנה, הכוללת מענה לפגיעות.

המוצרים הפגיעים הם Serv-U Managed File Transfer ו-Serv-U Secure FTP, גרסה 15.2.3 HF1 וכל הגרסאות הקודמות לה.

מומלץ לבחון ולעדכן בהקדם לגרסה העדכנית ביותר – 15.2.3 HF2.

כמעקף זמני עד להתקנת העדכון, ניתן לנטרל את שירות ה-SSH בשרת.

פרטים על כתובות IP שדווחו כסורקות לניצול פגיעות זו, ניתן למצוא בקישור להלן.

מקורות:
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211