Date : 2/24/2017 8:00:15 AM
From : "National Cyber Situation Room"
Subject : עדכון חדשות סייבר יומי 23/02/2017
Attachment : 45098_image001.png;45098_image002.png;


‏23 פברואר 2017

‏כ"ז שבט תשע"ז

 

עדכון חדשות סייבר יומי

 

בארץ

1.       מחשבי הרבנות הראשית נפגעו מפוגען כופר אשר השבית מספר תחנות עבודה. ברבנות הראשית הבהירו כי המחשבים שנפגעו אינם מכילים מידע רגיש. (bhol)

2.       חוקרי סייבר מאוניברסיטת בן גוריון הדגימו דלף מידע מתחנות עבודה מנותקות, באמצעות שילוב של פוגען ייעודי ואיתות נורות ה- LED של הכונן הקשיח. (pcworld)

 

בעולם

3.      IoT Alliance Australia ((IoTAA פרסמה מסמך המכיל קווים מנחים עבור אבטחת מוצרי "האינטרנט של הדברים".  (המסמך המלא, ZDNet)

4.       בסיס נתונים של כמעט מיליון גולשי אשר נרשמו באתר פסטיבל המוסיקה coachella מוצע למכירה ברשת. (edmchicago)

 

טכנולוגיה

5.        מומחה אבטחה הדגים כיצד ניתן לעקוף בקלות את מנגנון ההתחברות לחשבון הבנק באמצעות OTP (one time password, שליחת הסיסמה למכשיר הסלולר), באתר של אחד מהבנקים הגדולים בהודו (SBI). (ehackingnews)

6.       חולשה בנתבי DGN2200 מתוצרת Netgear בגרסת קושחה 10.0.0.50 ומטה עלולה לאפשר לתוקף מרוחק הרצת פקודות במערכת ההפעלה או שליטה מרחוק בציוד. (nist)

7.       שתי חולשות קריטיות במוצרי Websmart מבית D-link בדגמים DGS-1510-28XMP, DGS-1510-28X, DGS-1510-52X, DGS-1510-52, DGS-1510-28P, DGS-1510-28, ו- DGS-1510-20 עלולות לאפשר הרצת פקודות או עקיפת הרשאות גישה. (vuldb, nist, vuldb)

8.       חולשת הרצת קוד בתוסף DCCP ב- Linux Kernelמשפיעה על כל מערכות ההפעלה מבוססות Linux מגרסא 2.6.14 ומעלה. (securityweek)

9.       קמפיין תקיפה חדש למול משתמשי הדפדפן google chrome מציג למשתמשים תקלה לכאורה שמקורה בפונט חסר מסוג HoeflerText, ומציע לגולשים "לעדכן" את הדפדפן. הקשה על כפתור העדכון יתקין פוגען במחשב. (1reddrop)

10.   חברת קספרסקי מצביעה על עלייה חדה בכמות ניסיונות הדיוג והסוסים הטרוייאניים הבנקאיים במגזר הפיננסי. (infosecurity)

11.   נטפליקס מציגה את אפליקציית הווב Stethoscope, כלי אבטחה מבוסס קוד פתוח המיועד לאבחון רמת ההגנה של המכשיר הסלולרי או המחשב, המצביע על חולשות אבטחה במכשיר ומציע הצעות לשיפור רמת האבטחה. (theregister)

12.   חוקרים מחברת Google ומכון CWI באמסטרדם, הצליחו להדגים מתקפת התנגשות של SHA-1, אותה הם מכנים SHAttered. החוקרים הוכיחו כי אותו hash יכול להיות מיוצר עבור שני קבצים שונים, שיכולים לשמש לזיוף חתימות דיגיטליות ולשבירה של תקשורת המקודדת עם האלגוריתם SHA-1. (thehackernews, infoworld)

13.   סקאדה- חולשתstack overflow  בבקרי WinPLC7 מתוצרת VIPA Controls מגרסא 5.0.45.5921 ומטה עלולה לאפשר לתוקף מרוחק הרצת קוד או השבתת הציוד. (us-cert)

14.   סקאדה- חולשת מפתחות הצפנה מקודדים בקושחת מתגים תעשייתיים מסוג sixnet ו- STRIDE מתוצרת Red Lion Controls עלולות לאפשר לתוקף מרוחק שליטה בציוד. (us-cert)

15.   סקאדה- חולשת resource exhaustion בבקרי Modicon M340 PLC מתוצרת Schneider Electric עלולה לאפשר השבתת או איתחול הציוד. (us-cert)

 

כותבי העדכון: גילי, דנה והדס.

 

עדכון זה ניתן כשירות למשרדי הממשלה ומבוסס על לקט של פרסומים גלויים. הפרסומים מובאים בשם אומרם ואינם משקפים את עמדת הרשות ו/או את פעולותיה.

 

 

 

 

 

logo heb