אובונטו לינוקס ספגה אש עקב נקודות תורפה שהתגלו על ידי מומחים שקיימות מאז יצירת כלי השירות needrestart בשנת 2014. נקודות תורפה אלו מאפשרות לתוקפים להשיג הרשאות שורש ללא התערבות משתמש אם יש להם גישה מקומית למערכת.
מומחים מקווליס זוהו חמש נקודות תורפה, רשום בתור CVE-2024-48990 CVE-2024-48991 CVE-2024-48992 CVE-2024-10224 ו CVE-2024-11003. כל הנושאים מלבד הלפני אחרון דורגו 7.8 בסולם CVSS, בעוד ש-CVE-2024-10224 דורג 5.3. כל הפגיעויות משויכות לכלי השירות needrestart, שבודק את הצורך להפעיל מחדש שירותים לאחר עדכונים או שינויים בקבצי ספריית המערכת.
השירות, שהוצג לראשונה בשנת 2014, שימושי למדי להחלת עדכוני מערכת ללא צורך באתחול מלא, מה שעוזר לשמור על אבטחת מערכת ההפעלה מבלי להקריב זמן ויציבות. עם זאת, התברר כי needrestart היה פגיע מאז גרסה 0.8 הכלולה עם אובונטו 21.04. הגרסה הראשונה, נטולת הפגיעויות, 3.8, הפכה לזמינה רק השבוע.
מהות הפגיעות היא האפשרות של ביצוע קוד שרירותי על המערכת המותקפת. לשם כך, התוקף בהחלט זקוק לגישה מקומית, אשר, עם זאת, ניתן להשיג באמצעות תוכנות זדוניות או חשבונות שנפגעו.
בעוד שמצב זה מגביל במידת מה את משטח ההתקפה, מומחים מציינים שפגיעויות דומות של לינוקס נוצלו בהצלחה להסלמה של הרשאות בעבר. מומחים מייעצים למנהלי אובונטו לעדכן מיד את כלי השירות needrestart לגרסה 3.8 כדי לחסל את האיום ולמנוע התקפות אפשריות.
בעולם שבו אחריות אבטחת סייבר הופכת דחופה יותר מדי יום, חברות רבות מספקות כיסוי ביטוחי למנהלים בכירים כמו מנכ"לים או חברי דירקטוריון. עם זאת, קציני אבטחת מידע (CISOs) נותרים לרוב מחוץ להגנה כזו.
חברת הביטוח האמריקאית Crum & Forster, שבסיסה בניו ג'רזי, הציג מוצר חדש, שנועד למלא את החסר הזה. כעת CISOs יוכלו להגן על עצמם מפני סיכונים פיננסיים הקשורים לאחריות מקצועית.
ניק אקונומידיס, סגן נשיא eRisk ב-Crum & Forster, הסביר שאנשי אבטחת מידע אינם נמנים על נושאי המשרה התאגידים המוגנים על ידי מדיניות האחריות הסטנדרטית של דירקטורים ונושאי משרה (D&O).
"CISOs נמצאים במצב מפסיד", אמר אקונומידיס. – אם הכל עובד ללא כשלים, זה מובן מאליו. אבל ברגע שמתרחש כישלון, הם הופכים להיות האשמים העיקריים, דבר הטומן בחובו סיכונים כלכליים חמורים".
הפוליסה החדשה מכסה מגוון רחב של פעילויות CISO, לרבות ייעוץ לחברה ולחברות הבנות שלה, כמו גם פרויקטים של צד שלישי כגון עבודה התנדבותית באבטחת IT.
תשומת לב מיוחדת מוקדשת להגנה מפני סיכונים רגולטוריים. לדוגמה, המדיניות מתייחסת לדרישות הגילוי של איומי סייבר של רשות ניירות ערך בארה"ב (SEC). זה עוזר ל-CISO למזער אחריות משפטית, כולל עניינים אזרחיים ופליליים.
עלות הביטוח נעה בין 3,000$ ל-5,000$ לשנה למבוטח ותלויה ברמת הכיסוי, סוג החברה (פרטית או ציבורית) ובניסיון הארגון.
תכונות הפוליסה כוללות אפס השתתפות עצמית עבור הוצאות משפטיות, המאפשרת לך להתחיל במהירות בהגנה במקרה של תביעות, כמו גם הגנה בהליכים פליליים.
דוגמה לצורך בפתרונות כאלה הייתה התיק האחרון נגד SolarWinds, שבו ה-CISO שלה היה ממוקד על ידי ה-SEC עקב פערים באבטחת הסייבר. ולמרות שרוב האישומים נדחו, התיק מדגים את הלחץ הגובר על אנשי מקצוע האבטחה.
יוזמת Crum & Forster יכולה להיות צעד חשוב לקראת שיפור האבטחה של CISOs, שתפקידם הופך חשוב יותר ויותר על רקע האיומים הרבים במרחב הסייבר.
1 תגובה
Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me? https://www.binance.com/pl/register?ref=YY80CKRN