עדכון האבטחה החודשי של מיקרוסופט - ספטמבר 2020
https://www.gov.il/he/departments/publications/reports/microsoftsep20
https://www.gov.il/he/departments/publications/reports/microsoftsep20
שימוש בכופרת Thanos במזרח התיכון
https://www.gov.il/he/departments/publications/reports/thanos
https://www.gov.il/he/departments/publications/reports/thanos
עדכון התרעה דחופה: ZeroLogon - פגיעות חמורה בשרתי Windows עלולה לאפשר השתלטות על ה- Domain
https://www.gov.il/he/departments/publications/reports/zero_logon
https://www.gov.il/he/departments/publications/reports/zero_logon
437 | התרעה - פגיעות ב-SSL VPN Fortinet עלולה לאפשר מתקפת MITM
מגפת הקורונה הפוקדת אותנו מזה חודשים, ומעברן של חברות רבות ברחבי העולם לעבודה מהבית כתוצאה מכך, ממשיכים להוות הזדמנות עבור תוקפים שונים.
חברת SAM פרסמה לאחרונה כי הגדרות ברירת מחדל של ציוד SSL VPN מתוצרת Fortinet, עלולות לאפשר מתקפות מסוג מתקפת אדם בתווך (Man in the Middle).
מבדיקה של החברה, יותר מ-200,000 כתובות IP בעולם חשופות לפגיעות זו.
מגפת הקורונה הפוקדת אותנו מזה חודשים, ומעברן של חברות רבות ברחבי העולם לעבודה מהבית כתוצאה מכך, ממשיכים להוות הזדמנות עבור תוקפים שונים.
חברת SAM פרסמה לאחרונה כי הגדרות ברירת מחדל של ציוד SSL VPN מתוצרת Fortinet, עלולות לאפשר מתקפות מסוג מתקפת אדם בתווך (Man in the Middle).
מבדיקה של החברה, יותר מ-200,000 כתובות IP בעולם חשופות לפגיעות זו.
פגיעויות בתוספים במערכות ניהול תוכן | com 443
מערכות ניהול תוכן (Content Management Systems) הן פלטפורמות לניהול, עריכה ופרסום תכנים באתר אינטרנט. מטרתן היא לאפשר יצירה ותחזוקה של אתרי אינטרנט ללא צורך ביכולות טכניות מורכבות.
פלטפורמות CMS הן יעד תקיפה נפוץ מאחר וישנן מספר טעויות נפוצות בקרב משתמשים המאפשרות זאת, כגון: חוסר הקפדה או מודעות לצורך בהתקנת עדכוני אבטחה המפורסמים על-ידי מפתחי הפלטפורמות, שימוש בהגדרות ברירת מחדל, ושימוש בתוספי צד-שלישי (3rd party plugins) המכילים פגיעויות.
תוספים עבור פלטפורמות CMS מאפשרים הוספה של פונקציה (feature) אחת או יותר לאתר. מאחר וכל אחד יכול ליצור ולפרסם תוסף ולא קיים סטנדרט אבטחה לכך, תוספים רבים (ואף תוספים פופולאריים) מכילים פגיעויות העלולות לחשוף אתרים למתקפות.
מטרת מסמך זה היא לספק רקע אודות תוספי CMS ואודות הסיכונים הנובעים משימוש בהם.
מערכות ניהול תוכן (Content Management Systems) הן פלטפורמות לניהול, עריכה ופרסום תכנים באתר אינטרנט. מטרתן היא לאפשר יצירה ותחזוקה של אתרי אינטרנט ללא צורך ביכולות טכניות מורכבות.
פלטפורמות CMS הן יעד תקיפה נפוץ מאחר וישנן מספר טעויות נפוצות בקרב משתמשים המאפשרות זאת, כגון: חוסר הקפדה או מודעות לצורך בהתקנת עדכוני אבטחה המפורסמים על-ידי מפתחי הפלטפורמות, שימוש בהגדרות ברירת מחדל, ושימוש בתוספי צד-שלישי (3rd party plugins) המכילים פגיעויות.
תוספים עבור פלטפורמות CMS מאפשרים הוספה של פונקציה (feature) אחת או יותר לאתר. מאחר וכל אחד יכול ליצור ולפרסם תוסף ולא קיים סטנדרט אבטחה לכך, תוספים רבים (ואף תוספים פופולאריים) מכילים פגיעויות העלולות לחשוף אתרים למתקפות.
מטרת מסמך זה היא לספק רקע אודות תוספי CMS ואודות הסיכונים הנובעים משימוש בהם.
472 | [עדכון 2] התרעה דחופה: ZeroLogon - פגיעות חמורה בשרתי Windows עלולה לאפשר השתלטות על ה-Domain
בחודש אוגוסט פרסמה מיקרוסופט עדכון אבטחה לשירות NetLogon.
הפגיעות בשירות עלולה לאפשר לתוקף לא מזוהה (Unauthenticated), העלאת הרשאות לרמת Domain Admin.
המשמעות היא שתקיפה מוצלחת כנגד כל עובד או עמדה בארגון, בכל שיטה שהיא, החל מדיוג ועד התקן זיכרון נגוע, עלולה לאפשר לתוקף מימוש פגיעות זו והשתלטות מלאה על ה-Domain והרשת הארגונית כולה.
מערך הסייבר הלאומי המליץ באוגוסט לתעדף הטיפול בפגיעות זו. לאחרונה פורסמו POC לניצול הפגיעות ברשת.
[עדכון] קיימים דיווחים על ניצול פגיעות זו לתקיפות בעולם.
[עדכון] מיקרוסופט פרסמה כי קבוצת תקיפה מדינתית מנצלת פגיעות זו.
מומלץ מאד לבחון ולהתקין העדכון בהקדם האפשרי.
בחודש אוגוסט פרסמה מיקרוסופט עדכון אבטחה לשירות NetLogon.
הפגיעות בשירות עלולה לאפשר לתוקף לא מזוהה (Unauthenticated), העלאת הרשאות לרמת Domain Admin.
המשמעות היא שתקיפה מוצלחת כנגד כל עובד או עמדה בארגון, בכל שיטה שהיא, החל מדיוג ועד התקן זיכרון נגוע, עלולה לאפשר לתוקף מימוש פגיעות זו והשתלטות מלאה על ה-Domain והרשת הארגונית כולה.
מערך הסייבר הלאומי המליץ באוגוסט לתעדף הטיפול בפגיעות זו. לאחרונה פורסמו POC לניצול הפגיעות ברשת.
[עדכון] קיימים דיווחים על ניצול פגיעות זו לתקיפות בעולם.
[עדכון] מיקרוסופט פרסמה כי קבוצת תקיפה מדינתית מנצלת פגיעות זו.
מומלץ מאד לבחון ולהתקין העדכון בהקדם האפשרי.
496 | פגיעויות במנהל ההתקנים של HP עלולות לאפשר השתלטות על מערכות Windows
חברת HP פרסמה התרעת אבטחה לאחר שהתגלו שלוש פגיעויות קריטיות המשפיעות על מנהל ההתקנים (Device Manager) של החברה, ואשר ניצולן עלול לאפשר השתלטות של תוקפים על שרת מנהל ההתקנים.
חברת HP טרם פרסמה עדכוני אבטחה להתמודדות עם שתי הפגיעויות הראשונות, בעוד הפגיעות השלישית תוקנה עם שחרור גרסה 5.0.4 של מנהל ההתקנים של HP. החברה פרסמה מעקפים זמניים לפגיעויות עבורן אין עדיין עדכון.
חברת HP פרסמה התרעת אבטחה לאחר שהתגלו שלוש פגיעויות קריטיות המשפיעות על מנהל ההתקנים (Device Manager) של החברה, ואשר ניצולן עלול לאפשר השתלטות של תוקפים על שרת מנהל ההתקנים.
חברת HP טרם פרסמה עדכוני אבטחה להתמודדות עם שתי הפגיעויות הראשונות, בעוד הפגיעות השלישית תוקנה עם שחרור גרסה 5.0.4 של מנהל ההתקנים של HP. החברה פרסמה מעקפים זמניים לפגיעויות עבורן אין עדיין עדכון.
זוהה שימוש ב- UEFI Bootkit לתקיפה | Com610
לאחרונה נחשף כי זוהה מימוש בפועל של פוגען בזיכרון ה-UEFI (הגרסה המודרנית של ה- BIOS למחשב) לצורך שימור אחיזה בעמדה מותקפת.
הפוגען הוא חלק מערכת תקיפה המכונה MosaicRegressor.
ככל הידוע, זוהי הפעם השנייה בלבד שבה מזוהה שימוש מסוג זה לתקיפות בפועל, מחוץ למעבדות מחקר.
לאחרונה נחשף כי זוהה מימוש בפועל של פוגען בזיכרון ה-UEFI (הגרסה המודרנית של ה- BIOS למחשב) לצורך שימור אחיזה בעמדה מותקפת.
הפוגען הוא חלק מערכת תקיפה המכונה MosaicRegressor.
ככל הידוע, זוהי הפעם השנייה בלבד שבה מזוהה שימוש מסוג זה לתקיפות בפועל, מחוץ למעבדות מחקר.
עדכון האבטחה החודשי של מיקרוסופט - אוקטובר 2020 | Com641
ב-13 לחודש פרסמה מיקרוסופט כ-87 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 12 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
ב- TCP/IP Stack של Windows 10, Server 2019, Server Core קיימת פגיעות המאפשרת הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
ב-13 לחודש פרסמה מיקרוסופט כ-87 עדכוני אבטחה לפגיעויות בתוכנות נתמכות. 12 פגיעויות מסווגות כקריטיות.
הפגיעויות החמורות ביותר עלולות לאפשר לתוקפים הפעלת קוד מרחוק (RCE).
בתוכנת Sharepoint קיימות מספר פגיעויות המאפשרות הרצת קוד מרחוק.
ב- TCP/IP Stack של Windows 10, Server 2019, Server Core קיימת פגיעות המאפשרת הרצת קוד מרחוק.
מומלץ מאד לבחון העדכונים בסביבת ניסוי, ולהתקינם בהקדם האפשרי.
עדכון האבטחה החודשי של SAP - אוקטובר 2020 | Com643
1. במסגרת עדכון האבטחה החודשי שלה (SAP Security Patch Day), חברת SAP פרסמה 15 התרעות אבטחה, ו-6 עדכונים להתרעות אבטחה שפורסמו בעבר.
2. התרעת אבטחה בדירוג גבוה (CVSS 10) פורסמה עבור פגיעות הזרקת פקודות למערכת ההפעלה (OS command injection) המשפיעה על הרכיב CA Introscope Enterprise Manager הכלול במוצרים SAP Solution Manager, SAP Focused Run של החברה.
3. ניצול של הפגיעות עלול לאפשר לתוקף הרצה מרחוק של פקודות מערכת הפעלה על הציוד ללא צורך בהזדהות.
1. במסגרת עדכון האבטחה החודשי שלה (SAP Security Patch Day), חברת SAP פרסמה 15 התרעות אבטחה, ו-6 עדכונים להתרעות אבטחה שפורסמו בעבר.
2. התרעת אבטחה בדירוג גבוה (CVSS 10) פורסמה עבור פגיעות הזרקת פקודות למערכת ההפעלה (OS command injection) המשפיעה על הרכיב CA Introscope Enterprise Manager הכלול במוצרים SAP Solution Manager, SAP Focused Run של החברה.
3. ניצול של הפגיעות עלול לאפשר לתוקף הרצה מרחוק של פקודות מערכת הפעלה על הציוד ללא צורך בהזדהות.
פגיעות ב-XG Firewall של Sophos | Com753
בחודש יולי 2020 דיווחה חברת Sophos על פגיעות מסוג SQL injection (CVE-2020-15504) במוצר XG Firewall, העלולה לאפשר לתוקף הרצת קוד מרחוק, זאת לאחר שדווח על פגיעות דומה בחודש אפריל (CVE-2020-12271).
מומלץ לבחון ולהתקין בהקדם האפשרי גרסה עדכנית.
בחודש יולי 2020 דיווחה חברת Sophos על פגיעות מסוג SQL injection (CVE-2020-15504) במוצר XG Firewall, העלולה לאפשר לתוקף הרצת קוד מרחוק, זאת לאחר שדווח על פגיעות דומה בחודש אפריל (CVE-2020-12271).
מומלץ לבחון ולהתקין בהקדם האפשרי גרסה עדכנית.