התרעה - פעילות נכונה וסיכונים בעבודה עם פלטפורמות חקירה מקוונות
בחודשים האחרונים התקבלו ב-CERT הלאומי עשרות אינדיקציות להעלאת קבצים המכילים מידע רגיש לפלטפורמות חקירה מקוונות, כדוגמת VirusTotal, Opswat, HybridAnalysis, ו-JoeSandBox, על-ידי חברות גדולות במשק וארגונים ממשלתיים.
2. בכלל המקרים הקבצים הועלו בשוגג או באופן אוטומטי על-ידי עובדים או מערכות שלא הוגדרו כראוי.
3. מטרת מסמך זה הוא הצגת דוגמאות למקרים של דלף מידע באמצעות פלטפורמות אלו, סקירת השימושים המתקדמים שהן מאפשרות, ומתן המלצות לשימוש בטוח בהן.
בחודשים האחרונים התקבלו ב-CERT הלאומי עשרות אינדיקציות להעלאת קבצים המכילים מידע רגיש לפלטפורמות חקירה מקוונות, כדוגמת VirusTotal, Opswat, HybridAnalysis, ו-JoeSandBox, על-ידי חברות גדולות במשק וארגונים ממשלתיים.
2. בכלל המקרים הקבצים הועלו בשוגג או באופן אוטומטי על-ידי עובדים או מערכות שלא הוגדרו כראוי.
3. מטרת מסמך זה הוא הצגת דוגמאות למקרים של דלף מידע באמצעות פלטפורמות אלו, סקירת השימושים המתקדמים שהן מאפשרות, ומתן המלצות לשימוש בטוח בהן.
התרעה - פגיעות בשרתי Citrix ADC (Citrix/NetScaler Gateway) מאפשרת הרצת קוד מרחוק ללא הזדהות
ב-17 לדצמבר פרסמה חברת סיטריקס כי בשרתים מסוג ADC (Application Delivery Controller) מתוצרתה, אשר מוכרים גם בשם Citrix/NetScaler Gateway, קיימת פגיעות קריטית העלולה לאפשר לתוקף הרצת קוד מרחוק ללא צורך בהזדהות.
תקיפה מסוג זה עלולה לאפשר לתוקף המשך תנועה מתוך שרת הסיטריקס אל משאבים פנימיים ברשת הארגונית, הנגישים לשרת הסיטריקס.
לפגיעות זו טרם פורסם עדכון אבטחה, אולם החברה פרסמה מענה זמני לפגיעות (Mitigation), המאפשר חסימת התקיפה, באמצעות הגדרת חוק מסוים על השרת. מענה זה ישמש להגנה על השרת עד להתקנת עדכון קושחה (Firmware) אשר יפורסם בעתיד על ידי החברה.
אנו ממליצים בתוקף לכל ארגון העושה שימוש בציוד זה, להטמיע ולהפעיל מיידית מענה זה.
ב-17 לדצמבר פרסמה חברת סיטריקס כי בשרתים מסוג ADC (Application Delivery Controller) מתוצרתה, אשר מוכרים גם בשם Citrix/NetScaler Gateway, קיימת פגיעות קריטית העלולה לאפשר לתוקף הרצת קוד מרחוק ללא צורך בהזדהות.
תקיפה מסוג זה עלולה לאפשר לתוקף המשך תנועה מתוך שרת הסיטריקס אל משאבים פנימיים ברשת הארגונית, הנגישים לשרת הסיטריקס.
לפגיעות זו טרם פורסם עדכון אבטחה, אולם החברה פרסמה מענה זמני לפגיעות (Mitigation), המאפשר חסימת התקיפה, באמצעות הגדרת חוק מסוים על השרת. מענה זה ישמש להגנה על השרת עד להתקנת עדכון קושחה (Firmware) אשר יפורסם בעתיד על ידי החברה.
אנו ממליצים בתוקף לכל ארגון העושה שימוש בציוד זה, להטמיע ולהפעיל מיידית מענה זה.
בחודש האחרון פרסמה חברת IBM כי זיהתה גרסה חדשה של נוזקת Wiper שפותחה על-ידי תוקפים הפועלים בחסות מדינתית, ונוצלה לתקיפות נגד חברות אנרגיה במזרח התיכון.
נוזקות Wiper הן נוזקות המשמשות למתקפות CNA (Computer Network Attack), כלומר מתקפות שמטרתן היא גרימת הרס או שיבוש של מערכות מחשוב, בניגוד למתקפות CNE (Computer Network Exploitation), מתקפות שמטרתן היא גניבת מידע (Data) ממערכות או השגת מידע על מערכות ותצורתן.
נוזקות אלו משמשות להשבתת מערכות מחשוב באמצעות השמדת מידע המאוחסן בהן. השבתה של מערכות קריטיות או מספר רב של מערכות בארגון, עלולה לגרום להשבתתו.
מסטטיסטיקות של ה-CERT הלאומי עולה כי מתקפות CNA המערבות נוזקות Wiper אינן רווחות במשק הישראלי, שכן הן משמשות לפגיעה בארגונים אך לא מסייעות לתוקפים להשיג מידע או רווח כלכלי. עם זאת, מתקפות סייבר משמעותיות שאירעו בעולם בשנים האחרונות מבהירות את הנזק הרב שנוזקות אלו עלולות לגרום ואת הצורך בהתגוננות מפניהן.
האמור מציף מגמה של חיבור ואף סנכרון של כלים ומטרות בין קבוצות התקיפה השונות (Cybercrime | APT), עובדה שמקשה פעמים רבות לזהות את התוקף ולהבין את מטרותיו.
נוזקות Wiper הן נוזקות המשמשות למתקפות CNA (Computer Network Attack), כלומר מתקפות שמטרתן היא גרימת הרס או שיבוש של מערכות מחשוב, בניגוד למתקפות CNE (Computer Network Exploitation), מתקפות שמטרתן היא גניבת מידע (Data) ממערכות או השגת מידע על מערכות ותצורתן.
נוזקות אלו משמשות להשבתת מערכות מחשוב באמצעות השמדת מידע המאוחסן בהן. השבתה של מערכות קריטיות או מספר רב של מערכות בארגון, עלולה לגרום להשבתתו.
מסטטיסטיקות של ה-CERT הלאומי עולה כי מתקפות CNA המערבות נוזקות Wiper אינן רווחות במשק הישראלי, שכן הן משמשות לפגיעה בארגונים אך לא מסייעות לתוקפים להשיג מידע או רווח כלכלי. עם זאת, מתקפות סייבר משמעותיות שאירעו בעולם בשנים האחרונות מבהירות את הנזק הרב שנוזקות אלו עלולות לגרום ואת הצורך בהתגוננות מפניהן.
האמור מציף מגמה של חיבור ואף סנכרון של כלים ומטרות בין קבוצות התקיפה השונות (Cybercrime | APT), עובדה שמקשה פעמים רבות לזהות את התוקף ולהבין את מטרותיו.
חברת Check Point חשפה לאחרונה מתקפת BEC בעלת מתווה ייחודי, העושה שימוש בשיטת Lookalike Domains.
מטרת פרסום זה היא חשיפת שיטת הפעולה של התוקפים, לטובת זיהוי ומניעה בגופים נוספים במשק.
בהקשר זה, מופצת בשנית התרעה העוסקת בהרחבה במתקפות BEC, ובייחוד בדרך של התחזות קולית.
שיטת הפעולה של התוקפים, כפי שנחשף על-ידי חברת Check Point היא כלהלן:
שליחת הודעות דיוג (Phishing) לעובדים בארגון היעד להשגת גישה למערכות הארגון.
ביצוע תנועה רוחבית בארגון לחיפוש ערוצים פיננסיים.
רכישת שמות מתחם (Domains) דומים לאלו של הארגון ושל הגורמים הפיננסיים העובדים מולו (ספקים, לקוחות וכו') וניהול תקשורת מול כל אחד מהצדדים.
הגדרת חוקים (Rules) בדוא"ל לחסימה או הסטה של הודעות דוא"ל, בהתאם לצרכיהם.
ציון חשבונות בנק חלופיים בתכתובות, להסטת ההעברות הבנקאיות לחשבונם.
במקרה של זיהוי מתווה דומה או חשד לכך, ניתן לפנות ל-CERT הלאומי במספר 119.
מטרת פרסום זה היא חשיפת שיטת הפעולה של התוקפים, לטובת זיהוי ומניעה בגופים נוספים במשק.
בהקשר זה, מופצת בשנית התרעה העוסקת בהרחבה במתקפות BEC, ובייחוד בדרך של התחזות קולית.
שיטת הפעולה של התוקפים, כפי שנחשף על-ידי חברת Check Point היא כלהלן:
שליחת הודעות דיוג (Phishing) לעובדים בארגון היעד להשגת גישה למערכות הארגון.
ביצוע תנועה רוחבית בארגון לחיפוש ערוצים פיננסיים.
רכישת שמות מתחם (Domains) דומים לאלו של הארגון ושל הגורמים הפיננסיים העובדים מולו (ספקים, לקוחות וכו') וניהול תקשורת מול כל אחד מהצדדים.
הגדרת חוקים (Rules) בדוא"ל לחסימה או הסטה של הודעות דוא"ל, בהתאם לצרכיהם.
ציון חשבונות בנק חלופיים בתכתובות, להסטת ההעברות הבנקאיות לחשבונם.
במקרה של זיהוי מתווה דומה או חשד לכך, ניתן לפנות ל-CERT הלאומי במספר 119.
התרעה דחופה: פגיעות במערכות ההפעלה Windows10, Windows Server 2016,2019,Server Core
1. בעדכון האבטחה החודשי של חברת מיקרוסופט, שהתפרסם היום, 14/1/2020, פורסמה פגיעות הניתנת לניצול על ידי תוקף, להטעיית המשתמש ומערכת ההפעלה באמצעות תעודה דיגיטלית מזויפת.
2. מומלץ מאד להתקין את עדכון האבטחה הרלוונטי, בכל המחשבים בארגונכם, ולתעדף את סדר העדכונים על פי המפורט בסעיף "דרכי התמודדות" להלן.
1. בעדכון האבטחה החודשי של חברת מיקרוסופט, שהתפרסם היום, 14/1/2020, פורסמה פגיעות הניתנת לניצול על ידי תוקף, להטעיית המשתמש ומערכת ההפעלה באמצעות תעודה דיגיטלית מזויפת.
2. מומלץ מאד להתקין את עדכון האבטחה הרלוונטי, בכל המחשבים בארגונכם, ולתעדף את סדר העדכונים על פי המפורט בסעיף "דרכי התמודדות" להלן.
התרעה: אורקל פרסמה עדכון אבטחה רבעוני – ינואר 2020
חברת אורקל פרסמה לאחרונה עדכון אבטחה רבעוני מקיף למוצריה.
פורסמו עדכוני אבטחה ל- 334 פגיעויות שונות.
192 מתוך הפגיעויות מאפשרות מימוש על ידי תוקף מרוחק ללא הזדהות.
חברת אורקל פרסמה לאחרונה עדכון אבטחה רבעוני מקיף למוצריה.
פורסמו עדכוני אבטחה ל- 334 פגיעויות שונות.
192 מתוך הפגיעויות מאפשרות מימוש על ידי תוקף מרוחק ללא הזדהות.
עדכון להתרעה ב-ס-1015 בנוגע לשרתי CITRIX ו NETSCALER פגיעים
בתאריך 25/12/2019 פרסם מערך הסייבר הלאומי התרעה דחופה בנוגע לפגיעות בציוד זה.
ראו בקישור https://www.gov.il/he/departments/publications/reports/citrix-urgent-alert
לאחר שהחברה סיימה לפרסם עדכוני אבטחה לכל הגרסאות הפגיעות, אנו מעדכנים פרסום זה,
וממליצים לכל ארגון המפעיל ציוד זה לבחון ולעדכן הציוד בהקדם, גם אם הותקן החוק המונע ניצול הפגיעות על הציוד, כפי שהומלץ בפרסום הנ"ל.
בתאריך 25/12/2019 פרסם מערך הסייבר הלאומי התרעה דחופה בנוגע לפגיעות בציוד זה.
ראו בקישור https://www.gov.il/he/departments/publications/reports/citrix-urgent-alert
לאחר שהחברה סיימה לפרסם עדכוני אבטחה לכל הגרסאות הפגיעות, אנו מעדכנים פרסום זה,
וממליצים לכל ארגון המפעיל ציוד זה לבחון ולעדכן הציוד בהקדם, גם אם הותקן החוק המונע ניצול הפגיעות על הציוד, כפי שהומלץ בפרסום הנ"ל.
GOV.IL
התרעה דחופה: פגיעות בשרתי Citrix ADC - Citrix/NetScaler Gateway מאפשרת הרצת קוד מרחוק ללא הזדהות
בשרתים מסוג ADC (Application Delivery Controller) Citrix, אשר מוכרים גם בשם Citrix/NetScaler Gateway, קיימת פגיעות קריטית העלולה לאפשר לתוקף הרצת קוד מרחוק ללא צורך בהזדהות.
התרעה - מגמת עלייה במתקפות העושות שימוש ב-SIM SWAPPING
לאחרונה נרשמה מגמת עלייה במתקפות SIM swapping (מכונות גם SIM porting, port out fraud, phone porting ו-SIM hijacking) לעקיפת מנגנון האימות הדו-שלבי של חשבונות חברתיים ופיננסיים לצורך השגת נגישות לחשבון המשתמש, ובאמצעות כך לפרסום בשם הקורבן או גניבת שם המשתמש שלו במדיה החברתית, אך בעיקר לביצוע פעולות פיננסיות והשתלטות על ארנקים קריפטוגרפיים המכילים מטבעות וירטואליים.
2. מטרת מסמך זה היא סקירת התופעה, ומתן המלצות בנושא.
לאחרונה נרשמה מגמת עלייה במתקפות SIM swapping (מכונות גם SIM porting, port out fraud, phone porting ו-SIM hijacking) לעקיפת מנגנון האימות הדו-שלבי של חשבונות חברתיים ופיננסיים לצורך השגת נגישות לחשבון המשתמש, ובאמצעות כך לפרסום בשם הקורבן או גניבת שם המשתמש שלו במדיה החברתית, אך בעיקר לביצוע פעולות פיננסיות והשתלטות על ארנקים קריפטוגרפיים המכילים מטבעות וירטואליים.
2. מטרת מסמך זה היא סקירת התופעה, ומתן המלצות בנושא.
התרעה- מכשירי ATM כשער גישה לרשת הבנקאית
להלן התרעה שפורסמה על-ידי ה-CERT הלאומי בחודש אפריל 2019 עבור המגזר הפיננסי, וכעת מופצת לכלל המשק.
2. התרעה זו הופצה לראשונה לאחר שקבוצת חוקרי אבטחת מידע בשם NightSt0rm חשפה פגיעות קריטית המאפשרת הרצת קוד מרחוק (RCE) במכשירי ATM מסוג Opteva של חברת Diebold Nixdorf.
כיום הרוב המוחלט של מכשירי ה-ATM בישראל אינו מחובר לרשת האינטרנט, ולכן תקיפתם כרוכה בגישה פיזית.
4. מטרת מסמך זה היא פירוט הסיכונים והפגיעויות העלולים להיווצר כתוצאה מהגדרה לא נכונה של מכשירי ATM, ומתן המלצות להימנעות מניצולם על-ידי גורמים עוינים.
להלן התרעה שפורסמה על-ידי ה-CERT הלאומי בחודש אפריל 2019 עבור המגזר הפיננסי, וכעת מופצת לכלל המשק.
2. התרעה זו הופצה לראשונה לאחר שקבוצת חוקרי אבטחת מידע בשם NightSt0rm חשפה פגיעות קריטית המאפשרת הרצת קוד מרחוק (RCE) במכשירי ATM מסוג Opteva של חברת Diebold Nixdorf.
כיום הרוב המוחלט של מכשירי ה-ATM בישראל אינו מחובר לרשת האינטרנט, ולכן תקיפתם כרוכה בגישה פיזית.
4. מטרת מסמך זה היא פירוט הסיכונים והפגיעויות העלולים להיווצר כתוצאה מהגדרה לא נכונה של מכשירי ATM, ומתן המלצות להימנעות מניצולם על-ידי גורמים עוינים.
פגיעויות בציוד של חברת סיסקו עלולות לאפשר לתוקף הרצת קוד.
חברת סיסקו פרסמה מספר עדכוני אבטחה, המטפלים בפגיעויות שלא היו מוכרות.
משפחת פגיעויות זו מכונה CDPwn.
הפגיעויות עלולות לאפשר לתוקף, המצוי בקרבה רשתית (Layer 2 adjacent) לציוד המותקף,
הרצת קוד ללא הזדהות (בחלק מהמקרים בהרשאות Root/מנהלן), ולחילופין מימוש מתקפת מניעת שירות.
מומלץ לבחון את עדכוני התוכנה הרלוונטיים שפרסמה החברה, ולהתקינם על ציוד פגיע בהקדם האפשרי.
חברת סיסקו פרסמה מספר עדכוני אבטחה, המטפלים בפגיעויות שלא היו מוכרות.
משפחת פגיעויות זו מכונה CDPwn.
הפגיעויות עלולות לאפשר לתוקף, המצוי בקרבה רשתית (Layer 2 adjacent) לציוד המותקף,
הרצת קוד ללא הזדהות (בחלק מהמקרים בהרשאות Root/מנהלן), ולחילופין מימוש מתקפת מניעת שירות.
מומלץ לבחון את עדכוני התוכנה הרלוונטיים שפרסמה החברה, ולהתקינם על ציוד פגיע בהקדם האפשרי.