חדשות הסייבר לשבוע האחרון
"אם כל הדליפות" 26 מיליארד רשומות נחשפו
הדליפה הסופר- מאסיבית מכילה נתונים ממספר רב של פריצות קודמות, הכוללות 12 טרה-בייט של מידע, המשתרעים על פני למעלה מ-26 מיליארד רשומות. הדליפה, שמכילה נתונים מאתרים כגון: לינקדאין, טוויטר, Weibo Tencent ופלטפורמות אחרות, והיא לכאורה הדליפה הגדולה ביותר שנחשפה עד כה.
פגיעות קריטית בתוכנת ג'נקינס
פגיעות קריטית בתוכנת ג'נקינס חושפת שרתים להתקפות RCE – יש לתקן בהקדם האפשרי! המתחזקים של תוכנת האוטומציה לאינטגרציה רציפה בקוד פתוח Jenkins תיקנו 9 ליקויי אבטחה, כולל באג קריטי שניצולה מאפשר הרצת קוד מרחוק (RCE). הבעיה, שקיבלה את המזהה CVE CVE-2024-23897, מאפשרת קריאת קבצי באמצעות ממשק שורת הפקודה המובנה (CLI).
גורם יכול לנצל את החולשה כדי לקרוא קבצים במערכת הקבצים של הבקר של ג'נקינס באמצעות קידוד התווים המוגדר כברירת מחדל של תהליך הבקר של ג'נקינס. החיסרון עלול לפתוח דלת להתקפות שונות כגון:
- ביצוע קוד מרחוק באמצעות כתובות אתרים של שורש משאבים, או באמצעות קובץ Cookie "זכור אותי", או באמצעות התקפות מאוחסנות בין-אתרים (XSS) באמצעות יומני בנייה, או באמצעות עקיפת הגנה של CSRF,
- פענוח סודות המאוחסנים בג'נקינס
- מחק כל פריט בג'נקינס
- הורד ערימת Java dump.
כפתרון לטווח קצר עד שניתן להחיל את התיקון, מומלץ לבטל את הגישה ל-CLI.
פריצה לרשת בתי הקולנוע בישראל
האקרים פרצו למסכים של רשת בתי קולנוע בארץ והציגו תמונות מ-7 באוקטובר, שם נכתב:
"לא ניתן לכם שלום, אפילו לא בבתי הקולנוע, עד שיסתיימו מעשי הטבח", נכתב על מסכים בכל סניפי רשת בתי הקולנוע לב. קבוצת ההאקרים הטורקית הקרינה לצד המסרים המאיימים תמונות מהשבת השחורה מרשת בתי הקולנוע "לב" נמסר כי המסכים כובו באופן מיידי והאירוע טופל.
עדכון אבטחה בסיסקו
סיסקו פרסמה עדכון אבטחה הנודע לטפל בחולשות קריטיות במוצרי Unified Communications ו-Contact Center Solutions העלולים לאפשר לתוקף לא מאומת מרוחק להריץ קוד זדוני על המכשירים הפגיעים. החולשה, עם המזהה CVE-2024-20253 קיבלה ציון CVSS בעל רמה קריטית של 9.9 מתוך 10, הבעיה נובעת מעיבוד לא תקין של נתונים המסופקים על ידי המשתמש שגורם זדוני עלול לנצל לרעה מאמצעות שליחת הודעה מסוימת לפורט הרלוונטי של המכשיר הפגיע. "ניצול מוצלח יכול לאפשר לתוקף להריץ פקודות על מערכת ההפעלה עצמה עם ההרשאות משתמש", אמרה סיסקו בייעוץ. "עם גישה למערכת ההפעלה, התוקף יכול גם להסלים הרשאות ולקבל גישת ניהול (root) על המכשיר המותקף".
החברה שיחררה עדכון גירסה המטפלת בבעיה וממליצה ללקוחות לעדכן גירסאות למרות שאין פתרון ישיר לבעייה, יצרנית ציוד הרשת קורא למשתמשים להגדיר רשימות בקרת גישה כדי להגביל את הגישה לפורטים הרלוונטיים כאשר החלת העדכונים אינה אפשרית באופן מיידי.
"יש ליצור ACL המפריד את הקלאסטר של Cisco Unified Communications או Cisco Contact Center Solutions משאר הרשת על מנת לצמצם גישה לפורטים שבשימוש בלבד", אמרה החברה.
התרעה דחופה ממערך הסייבר: פגיעויות קריטיות במוצרי Ivanti
לאחרונה פרסמה חברת Ivanti מידע על פגיעויות קריטיות במוצריה. הפגיעויות במוצרי VPN מסוג Ivanti Connect/Policy Secure ניתנות לשרשור, באופן המאפשר השתלטות מרחוק על הציוד ללא צורך בהזדהות. פגיעויות אלה הן Zero Day ומנוצלות בפועל על ידי תוקפים בעולם בגל תקיפות נרחב מאד. פורסמו רשימות של כתובות IP רבות הסורקות את רשת האינטרנט בניסיון לזהות ציוד פגיע. מומלץ מאד לבחון ולהתקין את המעקף הזמני שפרסמה החברה בהקדם האפשרי.
לאחר התקנת המעקף, אין לבצע עדכון קונפיגורציה לציוד, מאחר והדבר עלול לפגוע ביעילות פעולת מעקף ההגנה. בנוסף להתקנת המעקף הזמני, יש להריץ את כלי הבדיקה (ICT – Integrity Check Tool) החיצוני של היצרן, על מנת לנסות ולבחון האם הציוד הותקף טרם התקנת מעקף ההגנה.
