תכנה לניתוח טכני

פורומים

חיסכון בעמלות מסחר

מניות מומלצות

אודות טלנירי

צור קשר

שלום אורח, לחץ כאן לכניסה למערכת

מבצעים

מסחר בישראל

0.09% עמלה בלבד! מערכת מסחר מתקדמת וחדשנית, וחבילת הטבות טלנירי הכוללת את שירות האיתותים+תוכנת ביזטרייד+קורס ניתוח טכני

חדש בטלנירי! אזור אישי לכל גולש

נהל תיקי מעקב, קבל התראות מוגדרות מראש, השתתף בתחרויות ונהל בלוג אישי, הכל מהאיזור האישי שלך באתר טלנירי

הצטרפות לשרות החזרי המס של טלנירי

בואו לבדוק האם מגיע לכם החזר מס? אנשים רבים משלמים מס הכנסה גדול ממה שהם אמורים, תן לנו לבדוק עבורך האם אתה זכאי להחזר כספי מהמדינה!

(6/5, 13:16) - google add:
r

google

העמלות שלנו

חדשות

גידול של כמעט פי 3 בגניבת רכבים חדשים מודל 2023

מערכת טלנירי | 28/9, 20:19

פוינטר מסכמת את רבעון 3 בגניבות רכב בישראל

אינטל וטאואר מודיעות על הסכם חדש להרחבת כושר ייצור

מערכת טלנירי | 5/9, 21:04

טאואר תרחיב את כושר הייצור שלה בטכנולוגיית 300 מ"מ באמצעות רכישת מכונות שיותקנו במפעל אינטל בניו מקסיקו, כמענה לביקושים גדלים של לקוחות החברה

צ'קמרקס: חולשת אבטחה קריטית בפלטפורמה לתמיכה מרחוק‎

ארז ילון (צילום: גיא יחיאלי)

חברת צ'קמרקס (Checkmarx) הישראלית חושפת חולשות אבטחה קריטיות שמצאה בפלטפורמת helpdesk של חברת דסק-פרו (DeskPro).

מערכת טלנירי | 12/2/21, 09:25
בואו לדבר על זה בפורום בורסה ושוק ההון

הפלטפורמה מסייעת לאלפי ארגונים לתקשר עם מיליוני לקוחותיהם ברחבי העולם ולספק להם שירותי תמיכה באמצעות דוא"ל, צ'אט (live chat), שיחות קוליות, מדיה חברתית ועוד. בין לקוחותיה, חברות ענק גלובליות. עם המעבר לעבודה מרחוק בזמן הקורונה, התרחב השימוש בפלטפורמות מסוג זה, שבאופן טבעי נחשפות למידע רגיש.

צוות החוקרים של צ'קמרקס גילה חולשה מסוג Stored XSS שמאפשרת לתוקפים להזריק קוד זדוני לאתר עצמו, ומשפיעה לא רק על המשתמש שלחץ על אותו לינק אלא על כל המשתמשים שנחשפים לאותו דף באתר (דאשבורד), גם מבלי שפתחו את הלינק. ניצול מוצלח של חולשות האבטחה עלול היה לאפשר לתוקפים לגנוב את הרשאות הניהול של הפלטפורמה וכך להשתלט לחלוטין על חשבונות של נציגי השירות ((agents ב-DeskPro ובארגונים שהם לקוחותיה.

בשלב הראשון, באמצעות גישה לחשבונות של נציג השירות (Agent) יכלו התוקפים להחליף בין היתר את כתובת האימייל של הנציג, ואז, דרך המנגנון הפשוט של "שכחתי סיסמא", לקבל סיסמא חדשה לאימייל, ולהשתלט על חשבון הנציג. חשבון כזה מכיל בין היתר את כל היסטוריות המקרים בהן טיפל. כך נפתח עבור התוקפים חלון הזדמנויות להשתלטות על חשבונות של עובדי דסק-פרו (DeskPro) ושל כל הארגונים שהחברה תומכת בהם.

בשלב שני, החולשה שחשפו בצ'קמרקס איפשרה לתוקפים להשתלט על מנהל המערכת (admin) ולגנוב session token – שמאפשר להתחבר ולהישאר מחובר לפרק זמן ספציפי בלי להחליף כל רגע את הסיסמה.

ברגע שתוקף מחזיק בטוקן, כמות המידע שהוא יכול לאסוף בזמן הזה בתור אדמין היא אדירה, כולל שינוי מידע, מחיקתו, העלמת כל הדאטה בייס של היסטוריית פניות השירות שבוצעו אי פעם בארגון הלקוח, ואף השבתה מחלקת תמיכה שלמה.

"תוקף שהיה מנצל את הפרצה הזו יכול היה לגרום נזק חמור", מסביר ארז ילון, ראש המחקר במעבדות צ'קמרקס, "חולשות מסוג XSS ו-Stored XSS ממשיכות להיות אחת הבעיות הרציניות ביותר באבטחה, למרות שמדובר בחולשות מוכרות ומתועדות מאוד. סוג זה של פעילות הוא חלק מהמאמצים השוטפים שלנו להניע את השינויים הנחוצים בשיטות אבטחת התוכנה בקרב ארגונים ברחבי העולם".

עוד הוסיף, כי פתרון אפשרי בנושא החלפת האימייל של נציג השירות הוא לבקש שוב הזדהות או אימות על ידי סיסמא לפני ביצוע כל פעולה שמוגדרת כרגישה במערכת, כגון החלפת אימייל. זאת, בנוסף להמלצה הקבועה לארגונים, לעדכן כל פאץ' שמגיע מספק התוכנה במהירות האפשרית על מנת למנוע פרצות.

בצ'קמרקס מציינים כי מרגע שהודיעו לדסק-פרו (DeskPro) על הממצאים שחשפו, DeskPro גילתה מקצועיות וזריזות בתיקון הפרצות.

טלנירי מציעה לך את מגוון השירותים תחת קורת גג אחת!

פתיחת חשבון למסחר בארץ ובארה"ב, שירותי איתותים לישראל, ארה"ב והמעו"ף, שירות החזרי מס, תוכנת ניתוח טכני ועוד... השאר את פרטיך ונחזור אליך בהקדם

כתבות נוספות

מידרוג קובעת דירוג מותנה Baa2 עם אופק יציב לחברת אנקור לגיוס של עד 265 מיליון שקל‎