התראות סייבר
5.17K subscribers
1.03K files
535 links
התראות ממערך הסייבר הלאומי
הערוץ הזה אינו ערוץ רשמי ‼️

וואטסאפ https://shortlnk.net/WhatsApp
טלגרם https://shortlnk.net/Telegram
Download Telegram
פגיעות ישנה במוצרי WD מנוצלת למחיקת המידע או להתקנת פוגען | Com7229

לאחרונה פרסמה חברת Western Digital כי פגיעות ישנה ב-2 מוצרי NAS מתוצרתה, My Book Live ו-My Book Live Duo, מנוצלת לתקיפתם באמצעות הרצת פקודות מרחוק.

התוקפים מנצלים הפגיעות במקרים מסוימים לצורך התקנת פוגען, ובמקרים אחרים למחיקת הגישה למידע המאוחסן בכונן, באמצעות ביצוע Factory Reset (חזרה להגדרות היצרן).

מדובר במוצרים ישנים שקיבלו את העדכון האחרון מהיצרן בשנת 2015.

הפגיעות הרלוונטית מזוהה כ-CVE-2018-18472. ציון CVSS 9.8.

החברה ממליצה בשלב זה למשתמשים במוצר לנתקם מהרשת, הן במקרים בהם מתאפשרת גישה ישירה למוצר מרשת האינטרנט, והן במקרים בהם מוגדר Port Forwarding על הנתב, ידנית או באמצעות פרוטוקול UPnP.

מומלץ לא לאפשר גישה מרשת האינטרנט למוצרי NAS. אם נדרשת גישה כזו משיקולים עסקיים, מומלץ לממשה באמצעות שירות כגון VPN עם הזדהות והצפנה מתאימים.

מקורות:
https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo

https://community.wd.com/t/action-required-on-my-book-live-and-my-book-live-duo/268147
התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Com7351 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים.
[עדכון] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה COM7460 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון] טרם פורסם עדכון אבטחה לפגיעות. עד לפרסום עדכון אבטחה, מומלץ מאד לנטרל שירות זה בכל העמדות והשרתים הרגישים בארגון, ובפרט בשרתי Domain Controller או בעמדות של מנהלנים, או להשתמש באחד מהמעקפים האחרים שפירטה החברה.
[עדכון2] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה Windows|Com7351

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.
הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.
[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ לבוחנו ולהתקינו בהקדם האפשרי.
[עדכון2] תשומת לב כי מפרסומים שונים ברשת עולה כי העדכון אינו מטפל במקרים מסוימים שבהם מופעל על העמדה מנגנון Point & Print.
[עדכון3] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלהSubCom3153 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ מאד לבוחנו ולהתקינו בהקדם האפשרי.

[עדכון3] החברה הוציאה גרסה עדכנית להודעת העדכון ובה מובהר מהן ההגדרות החייבות להיות מופעלות בשרתים ובעמדות על מנת שהעדכון יהיה אפקטיבי.

[עדכון3] עדכון זה כולל קבצי עדכון גם למערכות ההפעלה 2012, 2016, Windows 10 version 1607, שנעדרו מהפרסום הקודם.
[עדכון4] התרעה דחופה: פגיעות קריטית ב-Print Spooler Service של מערכת הפעלה SubCom3175 | Windows

לאחרונה עדכנה חברת מיקרוסופט את המידע לגבי פגיעות בשירות ההדפסה של מערכת ההפעלה Windows מתוצרתה.

הפגיעות עלולה לאפשר לתוקף מרוחק ומזוהה (Authenticated) בעל נגישות רשתית לעמדה או שרת, העלאת הרשאות והרצת פקודות ברמת System על העמדה המותקפת.

[עדכון2] פורסם עדכון אבטחה לפגיעות. מומלץ מאד לבוחנו ולהתקינו בהקדם האפשרי.

[עדכון3] החברה הוציאה גרסה עדכנית להודעת העדכון ובה מובהר מהן ההגדרות החייבות להיות מופעלות בשרתים ובעמדות על מנת שהעדכון יהיה אפקטיבי.

[עדכון4] החברה עדכנה הגדרות אלו.
Com7717 | פגיעות בתוכנת Serv-U של חברת Solarwinds

לאחרונה פורסם כי זוהתה פגיעות Zero Day בתוכנת Serv-U של חברת Solarwinds, המשמשת להעברת קבצים.

ע"פ הדיווחים, הפגיעות מנוצלת בפועל ע"י תוקפים בעולם.

הפגיעות מזוהה כ-CVE-2021-35211. ציון CVSS 9.8.

הפגיעות ניתנת לניצול על ידי תוקף להרצת קוד מרחוק ללא צורך בהזדהות.

הפגיעות קיימת רק אם שירות ה-SSH של Serv-U מופעל בשרת.

דרכי התמודדות:
החברה פרסמה גרסה עדכנית לתוכנה, הכוללת מענה לפגיעות.

המוצרים הפגיעים הם Serv-U Managed File Transfer ו-Serv-U Secure FTP, גרסה 15.2.3 HF1 וכל הגרסאות הקודמות לה.

מומלץ לבחון ולעדכן בהקדם לגרסה העדכנית ביותר – 15.2.3 HF2.

כמעקף זמני עד להתקנת העדכון, ניתן לנטרל את שירות ה-SSH בשרת.

פרטים על כתובות IP שדווחו כסורקות לניצול פגיעות זו, ניתן למצוא בקישור להלן.

מקורות:
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
עדכון האבטחה החודשי של מיקרוסופט - יולי 2021 | Com7752

ב-13 לחודש פרסמה מיקרוסופט כ-117 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 13 פגיעויות מסווגות כקריטיות. 44 פגיעויות ניתנות לניצול על ידי תוקף מרוחק להרצת קוד (RCE).

4 פגיעויות מנוצלות בפועל על ידי תוקפים בעולם (Zero Day), כולל הפגיעות המכונה PrintNightmare (CVE-2021-34527). פרטיהן של 5 פגיעויות נוספות פורסמו, אך לא ידוע על ניצול שלהם בפועל.

מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
Com7859 | Schneider Electric פגיעויות במוצרי

לאחרונה פרסמה חברת שניידר אלקטריק עדכון אבטחה למספר פגיעויות במוצריה.

המוצרים הפגיעים הם:
EcoStruxure Control Expert – גרסה V15.0 SP1 וכל הגרסאות הקודמות לה

EcoStruxure Process Expert – כל הגרסאות

SCADAPack RemoteConnect for x70 – כל הגרסאות

אחת הפגיעויות (CVE-2021-22779) רלוונטית גם לשתי סדרות בקרים מתוצרת החברה:

Modicon M580 CPU (part numbers BMEP* and BMEH*), all versions

Modicon M340 CPU (part numbers BMXP34*), all versions

לפגיעות זו ציון CVSS 9.8, והיא עלולה לאפשר לתוקף מעקף של מנגנון ההזדהות בבקרים,

באופן שיאפשר גישה בלתי מורשית אליהם לקריאה וכתיבה, באמצעות זיוף (Spoofing) של תעבורת פרוטוקול Modbus

בין הבקר לעמדת ההנדסה (Engineering Workstation).

דרכי התמודדות:
מומלץ לבחון ולהטמיע את המלצות האבטחה שפרסמה החברה.
ראו פרסום החברה בקישור https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01
Com7861 |פגיעויות במוצרי סימנס

לאחרונה פרסמה חברת סימנס עדכוני אבטחה למוצרים שונים.

הפגיעויות החמורות ביותר הן ב-Client של פרוטוקול DHCP עבור מוצרים מבוססי מערכת ההפעלה VxWorks,

ובספריה צד ג' המממשת את פרוטוקול Link Layer Discovery Protocol (LLDP) במוצרים שונים.

לפגיעויות אלו ציון CVSS 9.8.

מומלץ לבחון את המלצות החברה, וליישמן בהקדם האפשרי.
ראו https://new.siemens.com/global/en/products/services/cert.html#SecurityPublications
Com7910 | פגיעות בהגנה על קבצי מערכת רגישים עלולה לאפשר העלאת הרשאות לרמת SYSTEM

לאחרונה פרסמה חברת מיקרוסופט התרעה בנוגע לפגיעות הקיימת במערכות הפעלה מתוצרתה.

הפגיעות עלולה לאפשר לתוקף העלאת הרשאות לרמת SYSTEM.

מקור הפגיעות בהרשאות רחבות מדי שניתנו לקבצים רגישים, כולל הקבצים המכילים את ה-Security Accounts Manager (SAM).

הפגיעות קיבלה את המזהה CVE-2021-36934.

ניתן לנצל את הפגיעות אם התוקף יכול להריץ קוד על העמדה המותקפת.

גרסאות פגיעות:
נכון לתאריך התרעה זו ידוע כי כל מערכות ההפעלה החל מ-Windows 10 version 1809 (כולל), פגיעות.

החברה עדיין בודקת פגיעותן של מערכות הפעלה ישנות יותר.

דרכי התמודדות:
כמעקף בלבד, עד לפרסום עדכון, ממליצה החברה להגביל גישה לתוכן של הספריה %windir%\system32\config, באמצעות הפקודה:

icacls %windir%\system32\config\*.* /inheritance:e

יש להריץ את הפקודה תחת הרשאות מנהלן (Administrator).

בנוסף, המעקף מחייב מחיקת ה-Volume Shadow Copy Service (VSS) shadow copies, באמצעות מחיקה של כל ה- System Restore pointsוה- Shadow volumes שהיו קיימים בעמדה/שרת טרם הגבלת הגישה לספריה הנ"ל.

לאחר המחיקה ניתן ליצור System Restore point חדש.

נדרש לבצע את 2 הפעולות על מנת שההגנה של המעקף מפני פגיעות זו תהיה מלאה.

תשומת לב כי פעולת המחיקה עלולה לשבש פעולות שחזור, כולל שחזור באמצעות תוכנות צד ג', עד ליצירת System Restore Point עדכני.

מקורות:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
Com7924 | [עדכון] פגיעות בהגנה על קבצי מערכת רגישים עלולה לאפשר העלאת הרשאות לרמת SYSTEM

לאחרונה פרסמה חברת מיקרוסופט התרעה בנוגע לפגיעות הקיימת במערכות הפעלה מתוצרתה.

הפגיעות עלולה לאפשר לתוקף העלאת הרשאות לרמת SYSTEM.