זוכרים את המתקפה הגדולה ביותר על תשתית נפט
הפגיעות, CVE-2022-0902 (ציון CVSS: 8.1), היא פגיעות של מעבר נתיב במחשבי ABB Totalflow ובבקרים מרוחקים.
"התוקפים נצלו את הפגם הזה כדי לקבל גישה לשורש במחשב תזרים ABB, לקרוא ולכתוב קבצים ולהפעיל קוד מרחוק".
מחשבי זרימה הם מכשירים אלקטרוניים למטרות מיוחדות המשמשות יצרניות פטרוכימיות כדי לפרש נתונים ממדי זרימה ולחשב ולתעד את נפח החומרים כגון גז טבעי, שמנים גולמיים ונוזלי פחמימנים אחרים בנקודת זמן.
מדידות גז אלו הן קריטיות לא רק בכל הנוגע לבטיחות תהליכים, אלא משמשות גם כתשומות כאשר נוזלים או מוצרי גז בתפזורת מחליפים ידיים בין הצדדים, מה מצריך שמדידות הזרימה ייקלטו במדויק.
בקצרה, פגם במעבר נתיב שקיים ביישום של ABB של פרוטוקול Totalflow TCP הקנייני שלה, המשמש כדי להגדיר מרחוק את המחשבים.
הבעיה, נוגעת לתכונה המאפשרת ייבוא וייצוא קובצי התצורה ומאפשרת לתוקף לנצל בעיית עקיפת אימות כדי לעבור את מחסום קוד הסיסמה ולהעלות קבצים שרירותיים, ולבלום את יכולתם לתעד כראוי את קצבי זרימת הנפט והגז.
https://claroty.com/team82/research/an-oil-and-gas-weak-spot-flow-computers
הפגיעות, CVE-2022-0902 (ציון CVSS: 8.1), היא פגיעות של מעבר נתיב במחשבי ABB Totalflow ובבקרים מרוחקים.
"התוקפים נצלו את הפגם הזה כדי לקבל גישה לשורש במחשב תזרים ABB, לקרוא ולכתוב קבצים ולהפעיל קוד מרחוק".
מחשבי זרימה הם מכשירים אלקטרוניים למטרות מיוחדות המשמשות יצרניות פטרוכימיות כדי לפרש נתונים ממדי זרימה ולחשב ולתעד את נפח החומרים כגון גז טבעי, שמנים גולמיים ונוזלי פחמימנים אחרים בנקודת זמן.
מדידות גז אלו הן קריטיות לא רק בכל הנוגע לבטיחות תהליכים, אלא משמשות גם כתשומות כאשר נוזלים או מוצרי גז בתפזורת מחליפים ידיים בין הצדדים, מה מצריך שמדידות הזרימה ייקלטו במדויק.
בקצרה, פגם במעבר נתיב שקיים ביישום של ABB של פרוטוקול Totalflow TCP הקנייני שלה, המשמש כדי להגדיר מרחוק את המחשבים.
הבעיה, נוגעת לתכונה המאפשרת ייבוא וייצוא קובצי התצורה ומאפשרת לתוקף לנצל בעיית עקיפת אימות כדי לעבור את מחסום קוד הסיסמה ולהעלות קבצים שרירותיים, ולבלום את יכולתם לתעד כראוי את קצבי זרימת הנפט והגז.
https://claroty.com/team82/research/an-oil-and-gas-weak-spot-flow-computers
👍2🔥2
חברת Royal Mail, שירות משלוח הדואר המוביל בבריטניה, חווה הפסקות מתמשכות.
שירותי המעקב המקוונים שלה כבר יותר מ-24 שעות גם אתר Track & Trace של רויאל מייל במצב לא מקוון ותושבי בריטניה אינם יכולים לעקוב אחר החבילות, המכתבים ומשלוחי הדואר שלהם.
https://www.bleepingcomputer.com/news/security/royal-mail-down-tracking-unavailable-as-outage-exceeds-24-hours/
שירותי המעקב המקוונים שלה כבר יותר מ-24 שעות גם אתר Track & Trace של רויאל מייל במצב לא מקוון ותושבי בריטניה אינם יכולים לעקוב אחר החבילות, המכתבים ומשלוחי הדואר שלהם.
https://www.bleepingcomputer.com/news/security/royal-mail-down-tracking-unavailable-as-outage-exceeds-24-hours/
👍1
איך תרומה קטנה לקוד פתוח הזניקה לי את הקריירה | גיקטיים
https://www.geektime.co.il/me-and-open-source-contributions/
https://www.geektime.co.il/me-and-open-source-contributions/
גיקטיים
איך תרומה קטנה לקוד פתוח הזניקה לי את הקריירה | גיקטיים
מאת: רן איזנברג ב-2 באוקטובר 2020, ה-Pull Request הראשון שלי אי פעם לפרויקט אופן סורס מורג'ג'. לא ידעתי באותו הזמן שתרומת הקוד הפתוח הזו תוביל לקידום שלי
👍1
חברת Medibank הודיעה בפומבי כי לא תשלם כופר.
ממדיבנק נמסר שההפרה משפיעה על 9.7 מיליון לקוחות בהווה ובעבר. הנתונים כוללים מידע הקשור לתביעות, כולל קודים לאבחונים רפואיים כגון האם אדם מעשן או עשוי להשתמש בסמים לא חוקיים.
ביום חמישי, כנופיית תוכנת הכופר אמרה שהיא רוצה 10 מיליון דולר - 15 מיליון דולר אוסטרלי - כדי לא לפרסם את הנתונים, אך אמרה שזה יירד ל-9.7 מיליון דולר, השווים ל-1 דולר עבור כל לקוח. הוא גם פרסם קובץ רגיש מאוד של רישומים של מבוטחים שהכיל קודים רפואיים הקשורים להפלה.
זה הוביל לכמה שאלות האם אולי היה שווה לשלם את הכופר והאם לא היה צריך להשתמש בתקרית מדיבנק כדי להצביע על עולם פושעי הסייבר. התשלום, לעומת זאת, יסתור את עצות ממשלת אוסטרליה.
הרתעה נבנית לאורך זמן ולא הולכת להיווצר כתוצאה מתגובה לאירוע אחד. בהתחשב באופי הנתונים, זה בולט. והבחירה לא לשלם עושה גם כן. זה אמנם שולח מסר, אבל כזה שמשפיע בכאב על 9.7 מיליון אנשים.
השרה לענייני פנים ואבטחת סייבר באוסטרליה, אמרה ביום רביעי לפרלמנט: "אני לא יכולה לבטא את הגועל שיש לי מהחללים שנמצאים בלב המעשה הפלילי הזה. אנשים זכאים לשמור על פרטיותם הבריאותית".
"אפילו בקרב תוקפי תוכנות כופר, הרעיון של שחרור מידע רפואי אישי של אנשים אחרים נחשב מעבר לחיוורון. אז אל תטעו בעניין: זו לא סתם קבוצה רגילה של פושעים מלוכלכים. זה הנמוך מבין הנמוכים".
https://www.databreachtoday.com/medibank-says-no-to-paying-hackers-extortion-demand-a-20424
ממדיבנק נמסר שההפרה משפיעה על 9.7 מיליון לקוחות בהווה ובעבר. הנתונים כוללים מידע הקשור לתביעות, כולל קודים לאבחונים רפואיים כגון האם אדם מעשן או עשוי להשתמש בסמים לא חוקיים.
ביום חמישי, כנופיית תוכנת הכופר אמרה שהיא רוצה 10 מיליון דולר - 15 מיליון דולר אוסטרלי - כדי לא לפרסם את הנתונים, אך אמרה שזה יירד ל-9.7 מיליון דולר, השווים ל-1 דולר עבור כל לקוח. הוא גם פרסם קובץ רגיש מאוד של רישומים של מבוטחים שהכיל קודים רפואיים הקשורים להפלה.
זה הוביל לכמה שאלות האם אולי היה שווה לשלם את הכופר והאם לא היה צריך להשתמש בתקרית מדיבנק כדי להצביע על עולם פושעי הסייבר. התשלום, לעומת זאת, יסתור את עצות ממשלת אוסטרליה.
הרתעה נבנית לאורך זמן ולא הולכת להיווצר כתוצאה מתגובה לאירוע אחד. בהתחשב באופי הנתונים, זה בולט. והבחירה לא לשלם עושה גם כן. זה אמנם שולח מסר, אבל כזה שמשפיע בכאב על 9.7 מיליון אנשים.
השרה לענייני פנים ואבטחת סייבר באוסטרליה, אמרה ביום רביעי לפרלמנט: "אני לא יכולה לבטא את הגועל שיש לי מהחללים שנמצאים בלב המעשה הפלילי הזה. אנשים זכאים לשמור על פרטיותם הבריאותית".
"אפילו בקרב תוקפי תוכנות כופר, הרעיון של שחרור מידע רפואי אישי של אנשים אחרים נחשב מעבר לחיוורון. אז אל תטעו בעניין: זו לא סתם קבוצה רגילה של פושעים מלוכלכים. זה הנמוך מבין הנמוכים".
https://www.databreachtoday.com/medibank-says-no-to-paying-hackers-extortion-demand-a-20424
Databreachtoday
Medibank Says No to Paying Hacker's Extortion Demand
Embattled Australian private health insurer Medibank says it won't pay hackers' extortion demand, saying it can't trust cybercriminals to delete personal data. A
👍1🥰1
בחודש שעבר נכנס לתוקף חוק ה"דיסאינפורמציה" של טורקיה שהוצע על ידי מפלגת השלטון של הנשיא ארדואן, AK.
החוק, שזכה לביקורת חריפה, מעניש את משתמשי המדיה החברתית ועיתונאים על הפצת "חדשות מזויפות". מי שיימצא אשם בהפצת מידע כוזב כדי "ליצור פחד ולהפר את הסדר הציבורי" בטורקיה צפוי לעד שלוש שנות מאסר.
"עם החוק החדש הזה... המטרה היא לשלוט במדיה החברתית מכיוון שהמדיה הקונבנציונלית כבר נמצאת בשליטה של ארדואן", אמר העיתונאי הטורקי
בעקבות הפיצוץ הקטלני אתמול בשדרת איסטיקל באיסטנבול, הרשויות בטורקיה החלו להגביל את הגישה לפלטפורמות מדיה חברתית כולל אינסטגרם, פייסבוק, טוויטר, יוטיוב וטלגרם, כאשר איסור שידור כלל ארצי נכנס לתוקף.עם זאת, לא דווח על הפרעה משמעותית על ידי משתמשי WhatsApp.
"מדדי NetBlocks בזמן אמת מראים שפלטפורמות המדיה החברתית ותקשורת טוויטר, אינסטגרם, פייסבוק, יוטיוב וכמה שרתי טלגרם היו מוגבלים מיום ראשון אחר הצהריים", קבע NetBlocks.
https://netblocks.org/reports/social-media-restricted-in-turkey-after-blast-in-taksim-istanbul-7yNnr0yq
החוק, שזכה לביקורת חריפה, מעניש את משתמשי המדיה החברתית ועיתונאים על הפצת "חדשות מזויפות". מי שיימצא אשם בהפצת מידע כוזב כדי "ליצור פחד ולהפר את הסדר הציבורי" בטורקיה צפוי לעד שלוש שנות מאסר.
"עם החוק החדש הזה... המטרה היא לשלוט במדיה החברתית מכיוון שהמדיה הקונבנציונלית כבר נמצאת בשליטה של ארדואן", אמר העיתונאי הטורקי
בעקבות הפיצוץ הקטלני אתמול בשדרת איסטיקל באיסטנבול, הרשויות בטורקיה החלו להגביל את הגישה לפלטפורמות מדיה חברתית כולל אינסטגרם, פייסבוק, טוויטר, יוטיוב וטלגרם, כאשר איסור שידור כלל ארצי נכנס לתוקף.עם זאת, לא דווח על הפרעה משמעותית על ידי משתמשי WhatsApp.
"מדדי NetBlocks בזמן אמת מראים שפלטפורמות המדיה החברתית ותקשורת טוויטר, אינסטגרם, פייסבוק, יוטיוב וכמה שרתי טלגרם היו מוגבלים מיום ראשון אחר הצהריים", קבע NetBlocks.
https://netblocks.org/reports/social-media-restricted-in-turkey-after-blast-in-taksim-istanbul-7yNnr0yq
🤯1
קורא מסמכי PDF הפופולרי Foxit Reader עודכן כדי לתת מענה למספר באגי אבטחה לאחר שניתן לנצל לביצוע קוד שרירותי.
קורא ה-PDF העשיר בתכונות מספק פונקציונליות רחבה למשתמשים, כולל תמיכה במסמכי מולטימדיה ובטפסים דינמיים באמצעות תמיכה ב-JavaScript, מה שמרחיב גם את משטח ההתקפה של האפליקציה.
תוקף המבקש לנצל את הפגיעויות הללו יצטרך להערים על משתמש לפתוח קובץ זדוני. לפי סיסקו, אם התוסף לדפדפן Foxit מופעל, הבאגים יכולים להיות מופעלים כאשר המשתמש מנווט לאתר זדוני.
הבעיות, במעקב כ-CVE-2022-32774, CVE-2022-38097, CVE-2022-37332 ו-CVE-2022-40129, הן בעלות ציון CVSS של 8.8 ומתוארות כנקודות תורפה ללא שימוש.
https://blog.talosintelligence.com/vulnerability-spotlight-use-after-free-vulnerabilities-in-foxit-reader-could-lead-to-arbitrary-code-execution/
קורא ה-PDF העשיר בתכונות מספק פונקציונליות רחבה למשתמשים, כולל תמיכה במסמכי מולטימדיה ובטפסים דינמיים באמצעות תמיכה ב-JavaScript, מה שמרחיב גם את משטח ההתקפה של האפליקציה.
תוקף המבקש לנצל את הפגיעויות הללו יצטרך להערים על משתמש לפתוח קובץ זדוני. לפי סיסקו, אם התוסף לדפדפן Foxit מופעל, הבאגים יכולים להיות מופעלים כאשר המשתמש מנווט לאתר זדוני.
הבעיות, במעקב כ-CVE-2022-32774, CVE-2022-38097, CVE-2022-37332 ו-CVE-2022-40129, הן בעלות ציון CVSS של 8.8 ומתוארות כנקודות תורפה ללא שימוש.
https://blog.talosintelligence.com/vulnerability-spotlight-use-after-free-vulnerabilities-in-foxit-reader-could-lead-to-arbitrary-code-execution/
👍1🥰1
גוגל הסכימה להסדר של 391.5 מיליון דולר עם 40 מדינות כדי לפתור חקירה לגבי האופן שבו החברה עקבה אחר מיקומי המשתמשים, כך הודיע אתמול התובע הכללי של ארה"ב.
החקירה של המדינות נוצרה בעקבות סיפור של Associated Press משנת 2018, שמצא שגוגל המשיכה לעקוב אחר נתוני המיקום של אנשים גם לאחר שהם ביטלו את הסכמתם למעקב כזה על ידי השבתת תכונת "היסטוריית מיקום".
זה מגיע בתקופה של אי נוחות גוברת על פרטיות ומעקב של חברות טכנולוגיה, שגררה זעם הולך וגובר מצד פוליטיקאים וביקורת של הרגולטורים. פסיקת בית המשפט העליון.
https://techcrunch.com/2022/11/14/google-pay-391-5-million-location-tracking-settlement/
החקירה של המדינות נוצרה בעקבות סיפור של Associated Press משנת 2018, שמצא שגוגל המשיכה לעקוב אחר נתוני המיקום של אנשים גם לאחר שהם ביטלו את הסכמתם למעקב כזה על ידי השבתת תכונת "היסטוריית מיקום".
זה מגיע בתקופה של אי נוחות גוברת על פרטיות ומעקב של חברות טכנולוגיה, שגררה זעם הולך וגובר מצד פוליטיקאים וביקורת של הרגולטורים. פסיקת בית המשפט העליון.
https://techcrunch.com/2022/11/14/google-pay-391-5-million-location-tracking-settlement/
👍1
כורי קריפטו בעלייה: מומחי קספרסקי מדווחים על צמיחה של יותר מ-230% במספר תוכניות הכרייה הזדוניות
ברבעון השלישי של 2022, חוקרי קספרסקי ראו עלייה חדה בווריאציות של כורי קריפטו - צמיחה כוללת של למעלה מ-230% בהשוואה לתקופה המקבילה אשתקד. המספר גדול פי שלושה מאשר ברבעון השלישי של 2021 ועולה כעת על 150,000. בעודם מוסתרים במשך חודשים, פושעי סייבר משתמשים בכוח העיבוד של המחשב של הקורבן כדי לכרות מטבעות קריפטוגרפיים, עם הכנסה שמגיעה עד $40.500 (2 BTC) לחודש.
המטבע הקריפטוגרפי Monero בכינוי (XMR) הפופולרי ביותר לכרייה זדונית.
https://www.kaspersky.com/about/press-releases/2022_crypto-miners-on-the-rise-kaspersky-experts-report-more-than-230-growth-in-the-number-of-malicious-mining-programs
ברבעון השלישי של 2022, חוקרי קספרסקי ראו עלייה חדה בווריאציות של כורי קריפטו - צמיחה כוללת של למעלה מ-230% בהשוואה לתקופה המקבילה אשתקד. המספר גדול פי שלושה מאשר ברבעון השלישי של 2021 ועולה כעת על 150,000. בעודם מוסתרים במשך חודשים, פושעי סייבר משתמשים בכוח העיבוד של המחשב של הקורבן כדי לכרות מטבעות קריפטוגרפיים, עם הכנסה שמגיעה עד $40.500 (2 BTC) לחודש.
המטבע הקריפטוגרפי Monero בכינוי (XMR) הפופולרי ביותר לכרייה זדונית.
https://www.kaspersky.com/about/press-releases/2022_crypto-miners-on-the-rise-kaspersky-experts-report-more-than-230-growth-in-the-number-of-malicious-mining-programs
www.kaspersky.com
Crypto miners on the rise: Kaspersky experts report more than 230% growth in the number of malicious mining programs
In Q3 2022, Kaspersky researchers saw a sharp increase in crypto miner variants – an overall growth of over 230% compared to the same period last year. The number is three times more than in the third quarter of 2021 and now exceeds 150,000. Remaining hidden…
👍1
גביע העולם בקטאר מתחיל בעוד פחות משבוע, שמחה לחובבי כדורגל, סיוט לאבטחת הנתונים שלהם.
על כל אוהד להוריד שתי אפליקציות רשמיות כדי להשתתף בחגיגות המונדיאל.
הראשונה, Ehteraz, היא מערכת מעקב COVID-19, ואילו השניה Hayya אפליקציה שמאפשרת - או לא - לאוהדים כניסה לאצטדיונים, צפייה בלוח זמנים ותחבורה ציבורית בחינם.
מרצה ברווארד וחבר מועצת המנהלים של עמותת Electronic Frontier Foundation, כתב לאחרונה ש"כל מי שמבקר בקטאר למונדיאל צריך להתקין תוכנות ריגול בטלפון שלו".
כיצד ייתכן? ובכן, Ehteraz, שנמצא בשימוש כבר בקטאר, מבקש מהמשתמשים לאפשר גישה מרחוק לתמונות וסרטונים, לבצע שיחות ללא הנחיה ולקרוא או לשנות את נתוני המכשיר.
בנוסף, ההרשאות של Hayya כוללות גישה מלאה לרשת וגישה בלתי מוגבלת לנתונים אישיים. זה גם מונע מהמכשיר להיכנס למצב שינה ומציג את חיבורי הרשת של הטלפון.
שניהם עוקבים אחר מיקומי המשתמשים
[הצעה שלנו להגיע עם מכשיר חלופי]
https://www.nrk.no/sport/everyone-going-to-the-world-cup-must-have-this-app---experts-are-now-sounding-the-alarm-1.16139267
על כל אוהד להוריד שתי אפליקציות רשמיות כדי להשתתף בחגיגות המונדיאל.
הראשונה, Ehteraz, היא מערכת מעקב COVID-19, ואילו השניה Hayya אפליקציה שמאפשרת - או לא - לאוהדים כניסה לאצטדיונים, צפייה בלוח זמנים ותחבורה ציבורית בחינם.
מרצה ברווארד וחבר מועצת המנהלים של עמותת Electronic Frontier Foundation, כתב לאחרונה ש"כל מי שמבקר בקטאר למונדיאל צריך להתקין תוכנות ריגול בטלפון שלו".
כיצד ייתכן? ובכן, Ehteraz, שנמצא בשימוש כבר בקטאר, מבקש מהמשתמשים לאפשר גישה מרחוק לתמונות וסרטונים, לבצע שיחות ללא הנחיה ולקרוא או לשנות את נתוני המכשיר.
בנוסף, ההרשאות של Hayya כוללות גישה מלאה לרשת וגישה בלתי מוגבלת לנתונים אישיים. זה גם מונע מהמכשיר להיכנס למצב שינה ומציג את חיבורי הרשת של הטלפון.
שניהם עוקבים אחר מיקומי המשתמשים
[הצעה שלנו להגיע עם מכשיר חלופי]
https://www.nrk.no/sport/everyone-going-to-the-world-cup-must-have-this-app---experts-are-now-sounding-the-alarm-1.16139267
👍2
פרויקט חדש בבריטניה שמבצע מיפויי לכתובות ip של הממלכה ומדווח להם על פגיעויות, כאשר נחשפת פגיעות תוכנה, לעתים קרובות קל יותר למצוא קוד שמונע לנצל אותה, מאשר למצוא כלים שיעזרו להגן עליה.
https://www.ncsc.gov.uk/information/ncsc-scanning-information
https://www.ncsc.gov.uk/information/ncsc-scanning-information
👍1
'צבא ה-IT' של אוקראינה עצר 1,300 מתקפות סייבר ב-8 חודשי מלחמה
נשיא אוקראינה דיבר השבוע בפאנל "טרנספורמציה דיגיטלית" של פסגת ה-G20, והציע את היתרונות של חוויית הגנת הסייבר של ארצו למדינות בעלות הברית של ה-G20.
זלנסקי ציין כי "צבא ה-IT" של אוקראינה, המורכב מכישרונות שנאספו מחברות ברחבי המדינה.
הניסיון הזה, לדבריו, מעניק לקחים להגנה על אוכלוסיות אזרחיות מפני סוגי התקפות סייבר אכזריות שהופעלו נגד ארצו כחלק מהפלישה של רוסיה.
לדוגמה, לאחר שרוסיה הרסה מרכז נתונים מרכזי במדינה, אוקראינה עברה לענן, מה שאיפשר לה לבנות רישומים ציבוריים ולשלם תשלומים לאזרחים שנגרמו כתוצאה מהמלחמה. אתר המדינה פועל ומסוגל לספק 100 שירותים ציבוריים ללא מגע, כולל מתן דרכונים דיגיטליים, קבלת תשלומי מס ועוד, אמר זלנסקי במהלך נאומו בפני ה-G20.
https://odessa-journal.com/volodymyr-zelensky-take-the-ukrainian-defense-experience-to-guarantee-the-security-of-your-people/
נשיא אוקראינה דיבר השבוע בפאנל "טרנספורמציה דיגיטלית" של פסגת ה-G20, והציע את היתרונות של חוויית הגנת הסייבר של ארצו למדינות בעלות הברית של ה-G20.
זלנסקי ציין כי "צבא ה-IT" של אוקראינה, המורכב מכישרונות שנאספו מחברות ברחבי המדינה.
הניסיון הזה, לדבריו, מעניק לקחים להגנה על אוכלוסיות אזרחיות מפני סוגי התקפות סייבר אכזריות שהופעלו נגד ארצו כחלק מהפלישה של רוסיה.
לדוגמה, לאחר שרוסיה הרסה מרכז נתונים מרכזי במדינה, אוקראינה עברה לענן, מה שאיפשר לה לבנות רישומים ציבוריים ולשלם תשלומים לאזרחים שנגרמו כתוצאה מהמלחמה. אתר המדינה פועל ומסוגל לספק 100 שירותים ציבוריים ללא מגע, כולל מתן דרכונים דיגיטליים, קבלת תשלומי מס ועוד, אמר זלנסקי במהלך נאומו בפני ה-G20.
https://odessa-journal.com/volodymyr-zelensky-take-the-ukrainian-defense-experience-to-guarantee-the-security-of-your-people/
odessa-journal.com
Volodymyr Zelensky: the Ukrainian defense experience is a guarantee of the security of your people | odessa-journal.com
Speech by the President of Ukraine during the participation in the "Digital Transformation" panel within the G20 summit Yesterday at our summit, everyone
👍3
מוזילה הכריזה על Firefox 107.
הגרסה העדכנית ביותר של הדפדפן מתקנת מספר לא מבוטל של נקודות תורפה.
כמות של 19 מזהי CVE הוקצו לפרקי האבטחה שתוקנו על ידי Firefox 107, ו-9 מהם קיבלו דירוג 'השפעה גבוהה'.
הפגעויות בעלי ההשפעה הגבוהה כוללים בעיות שעלולות להוביל לחשיפת מידע, עקיפת הודעות במסך מלא שיכולים לשמש עבור התקפות זיוף, וקריסות או ביצוע קוד שרירותי כתוצאה מבאגים.
בעיות בעלות השפעה מתונה שתוקנו עם שחרורו של Firefox 107 עלולות להוביל לעקיפת אבטחה, מעקב בין אתרים, ביצוע קוד, פשרה באמצעות הורדות קבצים, דליפת הקשות והתקפות זיוף.
בעיות בעלות השפעה נמוכה שתוקנו בFirefox קשורות לחריגות אבטחה ולזיוף.
דפדפן Firefox אינו ממוקד על ידי תוקפים כמו כרום, אך הפופולריות שלו עדיין הופכת אותו למטרה מפתה.
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
הגרסה העדכנית ביותר של הדפדפן מתקנת מספר לא מבוטל של נקודות תורפה.
כמות של 19 מזהי CVE הוקצו לפרקי האבטחה שתוקנו על ידי Firefox 107, ו-9 מהם קיבלו דירוג 'השפעה גבוהה'.
הפגעויות בעלי ההשפעה הגבוהה כוללים בעיות שעלולות להוביל לחשיפת מידע, עקיפת הודעות במסך מלא שיכולים לשמש עבור התקפות זיוף, וקריסות או ביצוע קוד שרירותי כתוצאה מבאגים.
בעיות בעלות השפעה מתונה שתוקנו עם שחרורו של Firefox 107 עלולות להוביל לעקיפת אבטחה, מעקב בין אתרים, ביצוע קוד, פשרה באמצעות הורדות קבצים, דליפת הקשות והתקפות זיוף.
בעיות בעלות השפעה נמוכה שתוקנו בFirefox קשורות לחריגות אבטחה ולזיוף.
דפדפן Firefox אינו ממוקד על ידי תוקפים כמו כרום, אך הפופולריות שלו עדיין הופכת אותו למטרה מפתה.
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
👍5
פגם Backstage של Spotify הותיר שרתים פתוחים להתקפות RCE
צוות המחקר של Oxeye הצליח להשיג ביצוע קוד מרחוק בפרויקט הקוד הפתוח של Spotify, Backstage, על ידי ניצול של ארגז חול VM דרך ספריית הצד השלישי vm2. דיווחנו על פגיעות RCE זו דרך תוכנית הבאגים של Spotify, וצוות Backstage הגיב במהירות על ידי תיקון שלה בגרסה 1.5.1, ודירוג הפגיעות עם ציון CVSS של 9.8.
השפעה פוטנציאלית על פגיעות - תוקף לא מאומת יכול לבצע פקודות מערכת ביישום Backstage על ידי ניצול escape vm2 של ארגז חול בתוסף הליבה Scaffolder.
https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage
צוות המחקר של Oxeye הצליח להשיג ביצוע קוד מרחוק בפרויקט הקוד הפתוח של Spotify, Backstage, על ידי ניצול של ארגז חול VM דרך ספריית הצד השלישי vm2. דיווחנו על פגיעות RCE זו דרך תוכנית הבאגים של Spotify, וצוות Backstage הגיב במהירות על ידי תיקון שלה בגרסה 1.5.1, ודירוג הפגיעות עם ציון CVSS של 9.8.
השפעה פוטנציאלית על פגיעות - תוקף לא מאומת יכול לבצע פקודות מערכת ביישום Backstage על ידי ניצול escape vm2 של ארגז חול בתוסף הליבה Scaffolder.
https://www.oxeye.io/blog/remote-code-execution-in-spotifys-backstage
about.gitlab.com
The most-comprehensive AI-powered DevSecOps platform
From planning to production, bring teams together in one application. Ship secure code more efficiently to deliver value faster.
הסוכנות לאבטחת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) ומשרד מנהל המודיעין הלאומי (ODNI) של ארה"ב, פרסמו השבוע הדרכה משותפת לאבטחת שרשרת אספקת התוכנה.
ההדרכה מספקת המלצות על שיטות עבודה מומלצות לאבטחת שרשרת אספקת התוכנה למפתחים, ספקים וארגונים.
המסמך (מצורף בלינק) מפרט שיטות עבודה מומלצות שלקוחות צריכים ליישם בעת רכישה, פריסה ושימוש בתוכנה, ומספק דוגמאות לתרחישי תקיפה והפחתות.
לגבי רכש תוכנה, שלושת הסוכנויות ממליצות לשים לב לדרישות הארגון, לרבות פעילויות אבטחה וניהול סיכונים בשרשרת אספקה (SCRM - supply chain risk management), ביצוע הערכת מוצרים, לרבות הערכת רשימות חומרי תוכנה (SBOM-software bill of materials), והערכת ספקים לפני חתימת חוזים.
זה אמור להפחית סיכונים הקשורים לרכישת מוצרים שאינם עומדים בדרישות או שסובלים מפגיעות או שטופלו בהם, כמו גם התקשרות עם ספקים בשליטה זרה או שיש להם היגיינת אבטחה לקויה.
בכל הנוגע לפריסת תוכנה, מומלץ ללקוחות לבחון היטב מוצרים עם קבלתם, לבצע בדיקות פונקציונליות ולאמת את המוצר מנקודת מבט אבטחה, להקים לוח בקרת תצורה ( CCB - configuration control board ) האחראי על מחזור חיי המוצר, לוודא שהמוצר משתלב עם הסביבה הקיימת, ולקבל ניטור למערכת SIEM.
בקרות הפריסה הללו מבטלות סיכונים כגון מוצרים מוחלפים או לא שלמים, שינויים בלתי צפויים בפונקציונליות, שימוש ברכיבים לא מאומתים, נוכחות של תוכנות זדוניות רדומות או פונקציונליות זדונית, דליפות נתונים, פגיעה בתשתית, דוחות מוצרים לא שלמים, בעיות תמיכה, הערכות אינטגרציה לא שלמות או שגויות. ועדכונים שעלולים להיות זדוניים או שנפגעו.
כמו כן, מומלץ לארגונים לטפל כראוי במוצרים שהגיעו לסוף החיים (EoL) או אשר נמצאים בביטול, ולוודא כי מיושמת תוכנית הכשרה יעילה עבור מוצרים חדשים.
יתרה מזאת, ללקוחות תוכנה מומלץ לשים לב לאופן הפעלת המוצר, על מנת להבטיח זיהוי נקודות תורפה ושינויי פונקציונליות, כי העדכונים מיושמים בזמן, וכי תוכנות זדוניות מסולקות לפני פגיעה בארגון.
ההדרכה מספקת המלצות על שיטות עבודה מומלצות לאבטחת שרשרת אספקת התוכנה למפתחים, ספקים וארגונים.
המסמך (מצורף בלינק) מפרט שיטות עבודה מומלצות שלקוחות צריכים ליישם בעת רכישה, פריסה ושימוש בתוכנה, ומספק דוגמאות לתרחישי תקיפה והפחתות.
לגבי רכש תוכנה, שלושת הסוכנויות ממליצות לשים לב לדרישות הארגון, לרבות פעילויות אבטחה וניהול סיכונים בשרשרת אספקה (SCRM - supply chain risk management), ביצוע הערכת מוצרים, לרבות הערכת רשימות חומרי תוכנה (SBOM-software bill of materials), והערכת ספקים לפני חתימת חוזים.
זה אמור להפחית סיכונים הקשורים לרכישת מוצרים שאינם עומדים בדרישות או שסובלים מפגיעות או שטופלו בהם, כמו גם התקשרות עם ספקים בשליטה זרה או שיש להם היגיינת אבטחה לקויה.
בכל הנוגע לפריסת תוכנה, מומלץ ללקוחות לבחון היטב מוצרים עם קבלתם, לבצע בדיקות פונקציונליות ולאמת את המוצר מנקודת מבט אבטחה, להקים לוח בקרת תצורה ( CCB - configuration control board ) האחראי על מחזור חיי המוצר, לוודא שהמוצר משתלב עם הסביבה הקיימת, ולקבל ניטור למערכת SIEM.
בקרות הפריסה הללו מבטלות סיכונים כגון מוצרים מוחלפים או לא שלמים, שינויים בלתי צפויים בפונקציונליות, שימוש ברכיבים לא מאומתים, נוכחות של תוכנות זדוניות רדומות או פונקציונליות זדונית, דליפות נתונים, פגיעה בתשתית, דוחות מוצרים לא שלמים, בעיות תמיכה, הערכות אינטגרציה לא שלמות או שגויות. ועדכונים שעלולים להיות זדוניים או שנפגעו.
כמו כן, מומלץ לארגונים לטפל כראוי במוצרים שהגיעו לסוף החיים (EoL) או אשר נמצאים בביטול, ולוודא כי מיושמת תוכנית הכשרה יעילה עבור מוצרים חדשים.
יתרה מזאת, ללקוחות תוכנה מומלץ לשים לב לאופן הפעלת המוצר, על מנת להבטיח זיהוי נקודות תורפה ושינויי פונקציונליות, כי העדכונים מיושמים בזמן, וכי תוכנות זדוניות מסולקות לפני פגיעה בארגון.
👍2👏1
כמה אתם מרוצים מהתכנים בערוץ ?
Anonymous Poll
67%
במידה רבה - גם המלצתי לחברים
28%
במידה בינונית - תכנים נחמדים
5%
במידה נמוכה - יש עוד ערוצים
👍1
חוקרי אבטחה מצאו נקודות תורפה במנגנון ההצפנה של תוכנת הכופר Zeppelin וניצלו אותן כדי ליצור מפענח עובד.
המוטיבציה לפצח לאחר שראו שהתוקפים פוגעים בארגוני צדקה, עמותות ואפילו מקלטים לחסרי בית.
החוקרים שמו לב ש-Zeppelin השתמש במפתח RSA-512 חולף כדי להצפין את מפתח AES שנעל גישה לנתונים מוצפנים.
מפתח AES נשמר בכותרת התחתונה של כל קובץ מוצפן, כך שאם מפתח ה-RSA-512 נפצח, ניתן היה לפענח את הקבצים מבלי לשלם לתוקף.
חברת Unit221b גילתה שהמפתח הציבורי הזה נשאר ברישום של המערכת הנגועה במשך כחמש דקות לאחר השלמת הצפנת הנתונים.
שליפת המפתח הייתה אפשרית על ידי ביצוע בדיקה על מערכת הקבצים, מהזיכרון registry.exe, וישר על ה-NTUSER.Dat בספריית
"/User/[user_account]/".
הנתונים המתקבלים עם RC4, ל-Unit221b נותרה שכבה אחת של הצפנת RSA-2048.
כדי להתגבר על מכשול אחרון, Unit221b השתמשה בסך הכל ב-800 CPUs ב-20 שרתים, כל אחד עם 40 מעבדים, שכללו חלקים קטנים יותר מהמפתח, לאחר שש שעות, המפתח פוצח, ה-AES מכותרת התחתונה של הקובץ.
https://blog.unit221b.com/dont-read-this-blog/0xdead-zeppelin
המוטיבציה לפצח לאחר שראו שהתוקפים פוגעים בארגוני צדקה, עמותות ואפילו מקלטים לחסרי בית.
החוקרים שמו לב ש-Zeppelin השתמש במפתח RSA-512 חולף כדי להצפין את מפתח AES שנעל גישה לנתונים מוצפנים.
מפתח AES נשמר בכותרת התחתונה של כל קובץ מוצפן, כך שאם מפתח ה-RSA-512 נפצח, ניתן היה לפענח את הקבצים מבלי לשלם לתוקף.
חברת Unit221b גילתה שהמפתח הציבורי הזה נשאר ברישום של המערכת הנגועה במשך כחמש דקות לאחר השלמת הצפנת הנתונים.
שליפת המפתח הייתה אפשרית על ידי ביצוע בדיקה על מערכת הקבצים, מהזיכרון registry.exe, וישר על ה-NTUSER.Dat בספריית
"/User/[user_account]/".
הנתונים המתקבלים עם RC4, ל-Unit221b נותרה שכבה אחת של הצפנת RSA-2048.
כדי להתגבר על מכשול אחרון, Unit221b השתמשה בסך הכל ב-800 CPUs ב-20 שרתים, כל אחד עם 40 מעבדים, שכללו חלקים קטנים יותר מהמפתח, לאחר שש שעות, המפתח פוצח, ה-AES מכותרת התחתונה של הקובץ.
https://blog.unit221b.com/dont-read-this-blog/0xdead-zeppelin
👍4🔥1
מחוז Tehama, קליפורניה, החל להודיע לעובדים, למקבלי שירותים ולשותפים הקשורים לכך שייתכן שהמידע האישי שלהם נפגע.
החקירה העלתה שלצד שלישי בלתי מורשה הייתה גישה למערכות המחוז בין ה-18 בנובמבר 2021 ל-9 באפריל 2022, וכי ניגשו לקבצים במערכות המחלקה לשירותים חברתיים במחוז.
"מחוז טהמה מציע שירותי ניטור אשראי וגניבת זהות חינם לאנשים שמספרי הביטוח הלאומי או מספרי רישיון הנהיגה שלהם היו מעורבים", אומרים במחוז.
המחוז לא שיתף פרטים על סוג התקפת הסייבר שנפל קורבן לה, אבל, עוד ביוני, מפעילי תוכנת הכופר Quantum פרסמו באתר ההדלפות שלהם בערך 32 גיגה-בייט של נתונים שנגנבו לכאורה ממערכות המחוז.
הנתונים הגנובים כוללים על פי הדיווחים פרטים פיננסיים, תעודות זהות, תעודות לידה, דוחות אירועים, מידע רפואי, מידע ביטוחי, מסמכי רישום פלילי ומסמכים סודיים אחרים.
https://oag.ca.gov/system/files/Tehama%20-%20California%20Notification.pdf
החקירה העלתה שלצד שלישי בלתי מורשה הייתה גישה למערכות המחוז בין ה-18 בנובמבר 2021 ל-9 באפריל 2022, וכי ניגשו לקבצים במערכות המחלקה לשירותים חברתיים במחוז.
"מחוז טהמה מציע שירותי ניטור אשראי וגניבת זהות חינם לאנשים שמספרי הביטוח הלאומי או מספרי רישיון הנהיגה שלהם היו מעורבים", אומרים במחוז.
המחוז לא שיתף פרטים על סוג התקפת הסייבר שנפל קורבן לה, אבל, עוד ביוני, מפעילי תוכנת הכופר Quantum פרסמו באתר ההדלפות שלהם בערך 32 גיגה-בייט של נתונים שנגנבו לכאורה ממערכות המחוז.
הנתונים הגנובים כוללים על פי הדיווחים פרטים פיננסיים, תעודות זהות, תעודות לידה, דוחות אירועים, מידע רפואי, מידע ביטוחי, מסמכי רישום פלילי ומסמכים סודיים אחרים.
https://oag.ca.gov/system/files/Tehama%20-%20California%20Notification.pdf
👍1
מיקרוסופט פרסמה עדכון מיוחד לאחר שנודע לו שתיקון אבטחה אחרון של Windows התחיל לגרום לבעיות אימות Kerberos.
עדכוני ה-Patch Tuesday שפורסמו ב-8 בנובמבר התייחסו ל-CVE-2022-37966, פגיעות הסלמה של הרשאות המשפיעה על Windows Server. פגיעות שיכולה לאפשר לתוקף לאסוף מידע על המערכת הממוקדת לקבל הרשאות מנהל.
"תוקף לא מאומת יכול לבצע מתקפה שיכולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." לדברי מיקרוסופט
עם זאת, מספר ימים לאחר שחרורו של התיקון, משתמשים החלו להתלונן על בעיות הקשורות לאימות Kerberos.
מיקרוסופט פעלה במהירות וב-17 בנובמבר, היא הוציא עדכון מיוחד שאמור לטפל בבעיה.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
עדכוני ה-Patch Tuesday שפורסמו ב-8 בנובמבר התייחסו ל-CVE-2022-37966, פגיעות הסלמה של הרשאות המשפיעה על Windows Server. פגיעות שיכולה לאפשר לתוקף לאסוף מידע על המערכת הממוקדת לקבל הרשאות מנהל.
"תוקף לא מאומת יכול לבצע מתקפה שיכולה למנף פגיעויות של פרוטוקול קריפטוגרפי ב-RFC 4757 (סוג הצפנה Kerberos RC4-HMAC-MD5) ו-MS-PAC (מפרט מבנה נתונים של תעודת תעודת הרשאות) כדי לעקוף תכונות אבטחה בסביבת Windows AD." לדברי מיקרוסופט
עם זאת, מספר ימים לאחר שחרורו של התיקון, משתמשים החלו להתלונן על בעיות הקשורות לאימות Kerberos.
מיקרוסופט פעלה במהירות וב-17 בנובמבר, היא הוציא עדכון מיוחד שאמור לטפל בבעיה.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37966
👍1
מפתח השאיר את השם משתמש וסיסמא לשרת פנימי של AstraZeneca באתר GitHub
ענקית התרופות AstraZeneca האשימה את "טעות המשתמש" בהשארת רשימת אישורים מקוונת במשך יותר משנה שחשפה גישה לנתוני חולים רגישים.
האישורים שנשכחו אפשרו גישה לסביבת ענן של Salesforce, אבל סביבת הבדיקות הכילה כמה נתוני מטופלים.
חלק מהנתונים קשורים ליישומי AZ&ME, המציעים הנחות למטופלים הזקוקים לתרופות.
דובר AstraZeneca, אמר : "ההגנה על נתונים אישיים חשובה לנו ביותר ואנו שואפים לסטנדרטים הגבוהים ביותר ולעמידה בכל הכללים והחוקים החלים. עקב שגיאת משתמש [sic], חלק מרשומות הנתונים היו זמינות זמנית בפלטפורמת מפתחים. הפסקנו את הגישה לנתונים האלה מיד לאחר שהודיעו לנו. אנו חוקרים את הסיבה השורשית וכן מעריכים את החובות הרגולטוריות שלנו".
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/?guccounter=1
ענקית התרופות AstraZeneca האשימה את "טעות המשתמש" בהשארת רשימת אישורים מקוונת במשך יותר משנה שחשפה גישה לנתוני חולים רגישים.
האישורים שנשכחו אפשרו גישה לסביבת ענן של Salesforce, אבל סביבת הבדיקות הכילה כמה נתוני מטופלים.
חלק מהנתונים קשורים ליישומי AZ&ME, המציעים הנחות למטופלים הזקוקים לתרופות.
דובר AstraZeneca, אמר : "ההגנה על נתונים אישיים חשובה לנו ביותר ואנו שואפים לסטנדרטים הגבוהים ביותר ולעמידה בכל הכללים והחוקים החלים. עקב שגיאת משתמש [sic], חלק מרשומות הנתונים היו זמינות זמנית בפלטפורמת מפתחים. הפסקנו את הגישה לנתונים האלה מיד לאחר שהודיעו לנו. אנו חוקרים את הסיבה השורשית וכן מעריכים את החובות הרגולטוריות שלנו".
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/?guccounter=1
👍1
חודשים להוצאת תיקון הפגיעויות של גוגל, יצרני מכשירי אנדרואיד עדיין לא הגיבו.
"פער תיקון" (patch gap) מתאר את הזמן שלוקח לתקן פגיעות ידועה מספק התוכנה ליצרנים.
הנפגעים האחרונים הם מיליוני מותגי Pixel, Samsung, Xiaomi ושאר מותגי אנדרואיד
לפי Project Zero של גוגל, לאחר שהצוות גילה חמישה באגים נפרדים במנהל ההתקן של ARM Mali GPU, ARM הוציאה "מייד" תיקון ביולי ואוגוסט. עם זאת, Project Zero דיווח שכל מכשיר שהם בחנו השבוע נשאר פגיע.
https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html?m=1
"פער תיקון" (patch gap) מתאר את הזמן שלוקח לתקן פגיעות ידועה מספק התוכנה ליצרנים.
הנפגעים האחרונים הם מיליוני מותגי Pixel, Samsung, Xiaomi ושאר מותגי אנדרואיד
לפי Project Zero של גוגל, לאחר שהצוות גילה חמישה באגים נפרדים במנהל ההתקן של ARM Mali GPU, ARM הוציאה "מייד" תיקון ביולי ואוגוסט. עם זאת, Project Zero דיווח שכל מכשיר שהם בחנו השבוע נשאר פגיע.
https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html?m=1
👍3
כאיש צוות IR, שעזר לארגוני בריאות לחזור לשיגרה, אני מרגיש מחוייבות לפרסם את ההדרכה האחרונה שהFDA, בנושא אבטחת סייבר של מכשירים רפואיים עם מטופלים.
טיפים אלו מתמקדים בתקשורת עם מטופלים ומטרתם להגביר את הנוחות של הרופא בגישה לנושא זה.
https://www.youtube.com/watch?v=oxLbTPdtsLI
טיפים אלו מתמקדים בתקשורת עם מטופלים ומטרתם להגביר את הנוחות של הרופא בגישה לנושא זה.
https://www.youtube.com/watch?v=oxLbTPdtsLI
YouTube
Tips for Clinicians - Keeping Your Patients’ Connected Medical Devices Safe
The FDA provides tips to help clinicians discuss cybersecurity in connected medical devices with patients. These tips focus on communicating with patients and is aimed to increase clinician comfort in approaching this topic. For additional details on protecting…
🔥2