‏04 מאי 2017‏

‏ח' אייר תשע"ז

 

עדכון חדשות סייבר יומי

בעולם

1.       ביקורת כלפי סוכנות ה-NSA בארה"ב בעקבות איסוף רשומות הטלפוניה של מעל 151 מיליוני אזרחים במהלך 2016, פרט אשר פורסם בדו"ח הפומבי השנתי של הסוכנות, על אף חקיקה מ-2014 האוסרת על "איסוף גורף" של מידע אישי. (NakedSecurity)

2.       חוקרי Palo Alto חשפו כלי תקיפה חדש בשם Kazuar המיוחס למערך התקיפה הרוסי Turla. הכלי, סוס טרויאני מתוחכם הכתוב ב- .net, מכיל יכולות ריגול מתקדמות, בהן API לשרת Web מובנה למטרת הרצת הפקודות המפעילות את הכלי. רמזים בקוד מעידים שקיימת גרסא נוספת של הפוגען עבור מערכות הפעלה מבוססות לינוקס ו-MAC. (PaloAltoNetworks)

 

טכנולוגיה

3.       חולשת אימות חמורה באפליקציית הבנקאות Think Mutual Bank עבור מכשירי אייפון עד גרסא 3.1.5 עלולה לאפשר יישום מתקפת MITM ("אדם באמצע"). (kb)

4.       חולשה בציוד האבטחה ההיקפית Digital Video Recorders and IP Cameras מתוצרת Dahua Technology Co., Ltd משלל גרסאות עלולה לחשוף סיסמאות לעיני תוקף מרוחק. (US-CERT)

5.       חולשת סיסמאות קריטית במצלמות מדגמים שונים מתוצרת Hikvision עלולה לאפשר לתוקף מרוחק גישה לסיסמאות והעלאות הרשאות. החברה הפיצה עדכון קושחה לטיפול בחולשה. (US-CERT)

6.       חולשה CVE-2017-8295 המוגדרת קריטית בפלטפורמת WordPress על שלל גרסאותיה, כולל הגרסא העדכנית 4.7.4, עלולה לאפשר לתוקף מרוחק לשחזר סיסמת Admin. (TheHackerNews)

7.       סקאדה - חולשה ב- ControlLogix 5580 and CompactLogix 5380 מתוצרת Rockwell Automation בגרסאות שונות עלולה לאפשר לתוקף מרוחק להביא לקריסת הציוד. (US-CERT)

8.       סקאדה - חולשת Path Traversal ב- WebAccess מתוצרת Advantech עד גרסא 8.1 עלולה לאפשר לתוקף מרוחק גישה למידע רגיש או השבתת הציוד. (US-CERT)