בטכנולוגיה, לעתים קרובות ניתן לחלק את התעשייה בין מומחים טכניים האחראים על פיתוח הפתרונות בפועל, לבין אנשי מקצוע עסקיים המסייעים באסטרטגיית היציאה לשוק בפועל של המוצר.
כמנהל הנדסה ראשי של סקאי (לשעבר קנשו), ניר פלדמן צריך לאזן את שני הכובעים, להבין מה הלקוחות צריכים למוצר טוב יותר ולתרגם את זה למאפיינים טכניים ממשיים.
לאחר שעבר בין העולם הארגוני ב-HP לעולם הסטארטאפים, ניר מעריך את האופי הדינמי של הסטארטאפים, המאפשר לו לקחת תפקיד מוביל יותר בעיצוב מסלול הצמיחה של החברה.
כמובן שהוא צריך את האנשים הנכונים כדי להגשים את החזון, ולכן מציאת הכישרון שיכול להוות בסיס לתהליכי מו"פ, שהוא קריטי לכל חברת תוכנה, הוא המפתח להצלחת החברה.
הרבה חומר כבר נכתב ברשתות החברתיות. Log4j זה לא החולשה עצמה,
Log4j היא שמה של ספריית קוד פתוח שפותחה ב-Java (היא נכתבה גם בשפות אחרות כמו Ruby, C, C++, Python וכו') על ידי Apache Software Foundation .
הודות לו, מפתחי תוכנה יכולים ליישם הודעות LOG בזמן ריצה.
La החולשה CVE-2021-44228 ששוחרר לאחרונה, משפיעה על Apache Log4j 2.x. הפגיעות נקראה Log4Shell או LogJam, והיא התגלתה ב-9 בדצמבר על ידי מהנדס אבטחת סייבר שקורא לעצמו p0rz9 ברשת.
חולשת אבטחה זו של Log4j מאפשרת לנצל אימות קלט שגוי ל-LDAP, מה שמאפשר ביצוע קוד מרחוק (RCE), ופגיעה בשרת (סודיות, שלמות הנתונים וזמינות המערכת). בנוסף, הבעיה או החשיבות של פגיעות זו נעוצה במספר האפליקציות והשרתים שמשתמשים בה, לרבות תוכנות עסקיות ושירותי ענן כגון Apple iCloud, Steam, או משחקי וידאו פופולריים כגון Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, ו-long וכו'.
בגלל השכיחות של הסיפריה והמערכות הקריטיות שמשתמשות בה, פושעי סייבר רבים עשויים לנצל אותה כדי להפיץ את תוכנת הכופר שלהם. בעוד שאחרים מנסים להמציא פתרונות, כמו פלוריאן רוט מ-Nextron Systems, ששיתף כמה חוקי YARA כדי לזהות ניסיונות לנצל את הפגיעות Log4j.
Apache Foundation גם מיהרה לתקן את זה, ושחררה תיקון לפגיעות זו. לכן, זה חיוני וחשוב לעדכן לגרסה 4 של Log2.15.0j כעת, אם יש לך שרת או מערכת מושפעים.
למידע נוסף על איך לעשות את זה, לחץ כאן קישור להורדה ועם מידע על כך.
החבילה שלך ממתינה למשלוח. אשר את התשלום (3.99 ILS) בקישור הבא האימות המקוון חייב להיעשות ב-14 הימים הבאים לפני שיפוג תוקפו..
מחיר
3.99 ILS
תַאֲרִיך
19/11/2021
דואר ישראל מכיר באפוטרופוסים המסורתיים של הקרקע שבה אנו פועלים, לחיות ולהתאסף כשכירים, ולהכיר בקשר המתמשך שלהם לאדמה, מים וקהילה. אנו נותנים כבוד לזקנים בעבר, בהווה ובצצים..
לאחרונה פרסמה חברת PaloAlto מידע לגבי 8 פגיעויות במערכת ההפעלה PAN-OS מתוצרתה. הפגיעות החמורה ביותר מוגדרת קריטית, ועלולה לאפשר לתוקף מרוחק בעל נגישות רשתית לציוד, הרצת קוד בהרשאות Root ללא צורך בהזדהות. מומלץ לבחון את גרסאות התוכנה העדכניות ביותר ולהתקינן בציוד הרלוונטי בהקדם האפשרי.
פרטים:
גרסאות מערכת ההפעלה הפגיעות (הגרסאות שיש לעדכן על מנת לתקן את כלל הפגיעויות) הן:
Version
גרסאות פגיעות
PAN-OS 8.1
< 8.1.17
PAN-OS 9.0
< 9.0.14
PAN-OS 9.1
< 9.1.9
PAN-OS 10.0
< 10.0.1
PAN-OS 10.1
< 10.1.3
Prisma Access 2.1
Preferred, Innovation
תשומת לב כי גרסאות PAN-OS 8.0 וקודמותיה אינן נתמכות עוד (EOL). למשתמשים בגרסאות אלו מומלץ לעדכנן בהקדם האפשרי לגרסה נתמכת.
לפגיעות החמורה ביותר נקבע ציון CVSS של 9.8. פגיעות זו קיימת בגרסה 8.1.x בלבד.
ההערכה היא כי היעדים העיקריים לביצוע תקיפות יהיו שרתי ה-VPN (Global Protect), מאחר ולהם באופן טבעי ממשק חשוף לרשת האינטרנט.
להזכירכם, פגיעות המאפשרת RCE במוצרי ה-VPN של החברה, שדווחה באוגוסט 2019 (CVE-2019-1579), גררה תקיפת שרתים אלו מצד גורמים שונים בעולם.
דרכי התמודדות:
מומלץ לבחון ולהתקין בהקדם האפשרי את הגרסאות העדכניות ביותר.
שיתוף מידע עם ה-CERT הלאומי אינו מחליף חובת דיווח לגוף מנחה כלשהו, ככל שחלה על הגוף חובה כזו. המידע נמסר כפי שהוא (as is), השימוש בו הוא באחריות המשתמש ומומלץ להיעזר באיש מקצוע בעל הכשרה מתאימה לצורך הטמעתו.
אנחנו בונים תוכנית עבודה לכל חברה שתלויה בצורכיה ולא מתנהלים כבית ספר להרצאות תוכן מה שיוצר הזדמנויות לשיתופי פעולה יחודיים וליווי טכנולוגי מותאם. ההשתתפות לא עולה כלום אך יכולה להביא ערך אמיתי ולתרום לגידול ולצמיחה. חברות הביטוח השותפות מחפשות פתרונות בתחומים מגוונים, כגון Data & AI, Fintech, Insurtech, Cyber, Healthcare and Customer Engagement גם לצורך בחינת פיילוטים וגם לצורך השקעה.
אז נצלו את ההזדמנות ותנו לנו לעזור לכם!! ההרשמה כאן: www.ibmalphazone.com (כל הפרטים מתוך דף ההרשמה מועברים ל7 חברות ביטוח)
פרצת אבטחה קריטית התגלתה ב-Azure, בתשתית הענן ובהייפרווייזור שלה.
חוקרים הצליחו למצוא פרצת אבטחה קריטית ב-Azure, תשתית הענן של מיקרוסופט, ובהייפרווייזור שלה.
הפירצה, CVE-2021-28476, אפשרה לתוקף בעל מכונה וירטואלית יחידה, להשתלט על שרת הווירטואליזציה, אשר מאחסן מכונות וירטואליות נוספות של לקוחות אחרים המשתמשים בתשתית של אז'ור – ואף לגנוב להם מידע ולהשבית אותם (Guest-to-Host).
את הפירצה איתרו פלג הדר, חוקר בכיר בסייפבריץ' (SafeBreach), המפתחת פלטפורמה לסימולציות של תקיפה וחדירות סייבר לארגונים, יחד עם אופיר הרפז, חוקרת אבטחה בכירה בגארדיקור (Guardicore). השניים עבדו בשיתוף פעולה עם אנשי הגנת הסייבר של מיקרוסופט, ואלה סגרו את פרצת האבטחה.
