חולשה קריטית ב Apache Log4j2

חולשה קריטית ב- Apache Log4j2 (גרסאות 2 עד 2.17). ממה שאני מבין הקריטיות של החולשה תלויה בהגדרות ספיציפיות. מדובר על רכיב תוכנה שמספק שירותי לוגים לתוכנות מבוססות ג'אווה. באתר הפרויקט יש הוראות למניעה.

רשימה של מוצרים שכוללים את החולשה. רשימה של משאבים. הרשימות עדיין מתעדכנות.

שבוע שעבר יצאה חולשה נוספת ובעקבותיה עדכון לגרסה 2.16. לפני כמה ימים התגלתה עוד חולשה והגרסה התעדכנה ל- 2.17. סיכום של האירועים אפשר למצוא כאן.

ב-28.12 נמצאה עוד חולשה. הפעם יש גם חולשה ב log4j 1.2.

פותחו כמה כלים למציאת שרתים שמכילים את log4j2:

17.11.21 אבטחת מידע

חולשה חמורה במעבדי אינטל למשתמשי קצה ומערכות משובצות מחשב. החולשה מאפשרת לתוקף לגשת לקרוא קבצים מוצפנים.

תוקפים מצפון קוריאה מפיצים גרסה זדונית של IDA Pro (תוכנה להנדסה לאחור של תוכנות). הגרסה המופצת מכילה סוס טרוייאני.

11.11.21 אבטחת מידע

מדריך להתמודדות עם Trojan Source. כלומר איך להציג תווי bidi בקוד.

עוד שתי חבילות Node.js נפרצו: coa ו- rc. הן מצטרפות ל- ua-parser-js משבוע שעבר. אלו מתקפות על שרשרת האספקה.

7.11.2021 אבטחת מידע

חולשת Trojan Source: מאפשרת להסתיר קוד זדוני מתוכנות לסריקה סטטית של הקוד על ידי שימוש בתווי bidi. אלו תווים שמיועדים לשילוב של טקסט בכיווניות שונה מסמך. כלומר תווים של כיווניות מימין לשמאל ושמאל לימין. עד כה החולשה אומתה בשפות הבאות: #C, ‏++C, ‏C, Go, Java, JavaScript, Python ו- Rust אבל כנראה קיימת בשפות נוספות. קישור למאגר קוד הוכחת היתכנות (POC). בעורכי הקוד הבאים לא ניתן להבדיל בין טקסט עם תווי bidi לטקסט בלעדיה: VS Code, Atom, SublimeText, Notepad, vim, emacs, GitHub ו- BitBucket.

ספק של משרד ההגנה האמריקאי נפרץ. עד כה לא ברור מה היקף המידע שנגנב.

ארצות הברית מציעה פרס של 10 מיליון דולר למי שימסור מידע על כנופיית הכופר DarkSide.

ארצות הברית מטילה סנקציות כלכליות על חברת NSO.

CISA פרסמה רשימה של כ- 300 חולשות שנמצאות בשימוש על ידי תוקפים. לכל אחת מהחולשות ברשימה יש כבר עדכון שסוגר. CISA הוציאה הוראה שמחייבת רשויות בארה"ב לעדכן את המערכות שלהן (לכל חולשה ברשימה יש תאריך משלה).

גוגל מציעה פרס של עד 50 אלף דולר על חולשות בליבה של לינוקס.

לפי ה- FBI, כנופיות כופרה מנצלות אירועים פיננסיים כדי לאיים על חברות לשלם כופר.

סין עקפה את רוסיה בהפצת נוזקות ווירוסים. מזל טוב!

1.11.21 אבטחת מידע

מישהו פרץ למערכת אספקת הדלק של איראן. מה שאומר שאין דלק בתחנות הדלק.

גיליון חדש ל- DigitalWhisper.

רשימת החולשות הנפוצות ביותר בחומרה לשנת 2021.

שימוש גובר בהרעלת קידום אתרים (SEO Poisoning) להפצת וירוסים. כלומר פורצים לאתר כלשהו, מכניסים וירוס ומקדמים אותו בגוגל עם מילות חיפוש נפוצות. המטרה היא להגיע לעובדים שעובדים מהבית.

ארה"ב תמנע מ- China Telecom לפעול בשטחה מסיבות של אבטחת מידע.

25.10.21 אבטחת מידע

עוד רוטקיט קיבל סרטיפיקציה של דרייבר מאושר ממיקרוסופט. זו התקרית השנייה. הרוטקיט הנוכחי תוקף בעיקר בסין.

מיקרוסופט פרסמה הכשרות חינמיות לאבטחת ארגונים ללא מטרות רווח. מגלישה שטחית למדי נראה לי שזה רלוונטי בעיקר למשתמשי Office365.

ארצות הברית תטיל הגבלות על ייצוא כלי סייבר לרוסיה וסין.

חולשות במעבדים: אחת אצל אינטל ואחת אצל AMD. זו של אינטל חמורה יותר.

10.10.21 אבטחת מידע

גיליון חדש של DigitalWhisper.

עלייה של 40% בתקיפות סייבר נגד ארגונים מאז מרץ 2020 לפי נתונים של Check Point. עלייה של 93% בשימוש בכופרות. עלייה משמעותית בתקיפות נגד בתי חולים, מרפאות ומוסדות חינוך. כאן אפשר לראות את הנתונים עצמם.

גוגל תחיל הזדהות דו שלבית על 150 מיליון משתמשים. השירות היחידי שצויין בפרסום הוא יוצרי תוכן ביוטיוב. לא ברור אם שירותים נוספים יכללו.

CISA פרסמה מדריך לאבטחת חיבורים מרוחקים לגופים ציבוריים.

29.9.21

תוכנת ריגול שנמצאת בשימוש על ידי מדינות וגופי אכיפת חוק מצאה דרך חדשה להסוות את עצמה: בתוך קבצי ה- UEFI של חלונות.

סוכנות הסייבר של לטביה מזהירה מפני בעיות אבטחה וריגול בטלפונים סיניים. מדובר על חולשות במערכת ההפעלה שמותקנת על המכשיר. אצל שיאומי נמצאה גם תוכנת צנזורה שלא מאפשרת לשלוח ביטויים מסויימים. ממה שאני מבין מדובר על מערכת ההפעלה בלבד כך שאם אתם מתקינים הפצה אחרת (נניח lineageos), לא אמורה להיות בעייה.

OWASP עדכנו את רשימת עשרת החולשת שלהם (OWASP Top 10).

למעלה
דילוג לתוכן