פגיעות קריטית ב-Apache MINA
קרן התוכנה של Apache (ASF) חשפה פגיעות אבטחה קריטית ביישומי הרשת Java MINA, המזוהה כ-CVE-2024-52046. הפגיעות, בעלת ציון CVSS של 10.0, משפיעה על גרסאות 2.0.x, 2.1.x, ו-2.2.x של המסגרת.
פגיעות ב-Apache Tomcat
ASF פרסמה עדכון אבטחה חשוב לשרת Tomcat, עקב פגיעות חמורה המזוהה כ-CVE-2024-56337. הפגיעות עלולה לאפשר הרצת קוד מרחוק (RCE) בתנאים מסוימים
Palo Alto Networks מזהירה מפני פגיעות DoS
Palo Alto Networks הזהירה מפני ניצול פעיל של פגיעות מניעת שירות (DoS), המסומנת כ-CVE-2024-3393, המאפשרת להשבית הגנות חומת אש. הפגיעות משפיעה על תכונת ‘אבטחת DNS’ בתוכנת PAN-OS כאשר הרישום מופעל.
פגיעות ב-Nuclei מאפשרת עקיפת אימות חתימות
פגיעות בסורק הפגיעויות בקוד פתוח Nuclei (CVE-2024-43405) אפשרה לתוקפים לעקוף את אימות החתימות, מה שמאפשר הזרקת קוד זדוני לתבניות. הפגיעות תוקנה בגרסת Nuclei 3.3.2.
חדשות סייבר בעולם:
- קבוצת Atlas Cloud תוקפת את רוסיה עם נוזקת VBCloud.
- Cisco מאשרת אותנטיות של נתונים שהודלפו ממערכת DevHub.
- מיקרוסופט מעבירה דומיינים של .NET למניעת שיבושי שירות.
- Volkswagen חושפת נתוני לקוחות בתצורה שגויה בענן.
- מתקפת פישינג נרחבת פוגעת בתוספי Chrome.
- תוקפים משתמשים ב-ScreenConnect לפריסת נוזקות AsyncRAT ו-SectopRAT.
- התקפת “DoubleClickjacking” חדשה עוקפת הגנות מפני Clickjacking.
- פריצת נתונים ב-ZAGG חושפת מידע כרטיסי אשראי של לקוחות.
חדשות סייבר בישראל:תוקפים פגעו בקבוצות הוואטסאפ של עיריית נס ציונה ביום שבת, 4 בינואר 2025
.המלצות:
- עדכנו באופן קבוע את כל התוכנות והמערכות לגרסאות האחרונות.
- השתמשו בסיסמאות חזקות ואימות דו-שלבי.
- היו זהירים בפתיחת הודעות דוא”ל וקבצים מצורפים ממקורות לא מוכרים.
- בצעו ביקורות אבטחה וניטור מערכות באופן סדיר.
- הדריכו את העובדים בנושאי אבטחת מידע בסיסית.
- השתמשו בתוכנות אנטי-וירוס וחומות אש.
- גבו באופן קבוע מידע חשוב.
- הגבילו גישה למערכות ומידע קריטיים.
- עקבו אחר עדכוני אבטחה ואיומים חדשים בתעשייה שלכם.
- פתחו ובדקו באופן סדיר תוכנית תגובה לאירועי אבטחה.