IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

آسیب پذیری

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

5G در ایران، شناسایی آسیب پذیری جدید و مخاطرات پیش روی کاربر

 

با توجه به راه اندازی نسل جدید ارتباطات همراه در برخی مناطق پایتخت کشور و ارتقای شبکه، ایران اکنون در زمره کشورهای دارای فناوری نسل پنجم ارتباطات یا 5G قرار گرفته است. حال محققین در ساختار این نسل جدید آسیب پذیری جدی ای را کشف کرده اند که میبایست مورد توجه مسئولین و کاربران نیز قرار گیرد.

به طور خلاصه، آسیب پذیری شناسایی شده 5G، امکان استخراج داده ها و حملات DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند و مشتریان شرکت ها را در معرض حملات سایبری مخرب قرار می دهد.

محققان امنیت فناوری اطلاعات در ادپتیوموبایل یک آسیب پذیری بزرگ را در ساختار اسلایس شبکه 5G و توابع شبکه مجازی آن شناسایی کرده اند که در پی آن مشخص شده است این آسیب پذیری امکان دسترسی به داده ها و حملات Denial of Service یا DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند که باعث می شود مشتریان آن مجموعه در معرض حملات سایبری مخرب قرار گیرند.

 

5G چیست؟

5G شبکه تلفن همراه نسل 5 ، بعد از شبکه های 1G، 2G ، 3G و 4G که قبلاً معرفی شده بود، استاندارد جهانی ارتباط بی سیم جدید است. جای این نسل شبکه اهمیت پیدا میکند که بدانیم این نوع و نسل جدید شبکه، امکان اتصال تقریبا و همه و تمامی دستگاه ها و وسایل را از جمله ماشین آلات، اشیاء، دستگاه ها و غیره را فراهم می آورد.

فناوری 5G برای ارائه حداکثر سرعت داده های چند گیگابیت بر ثانیه، تأخیر بسیار کم، قابلیت اطمینان بیشتر، ظرفیت گسترده شبکه، افزایش در دسترس بودن و تجربه کاربری یکنواخت تر به بیشتر کاربران ارائه شده است.

 

اسلایس شبکه5G چیست؟

اسلایس شبکه در اصل به اپراتور تلفن همراه اجازه می دهد شبکه اصلی و رادیویی خود را به چندین بلوک مجازی مجزا تقسیم کند که منابع مختلفی را برای انواع مختلف ترافیک فراهم می نماید.

یک مزیت بزرگ اسلایس شبکه 5G برای اپراتورهای این شبکه، توانایی استفاده از توابع لازم برای پشتیبانی از مشتریان خاص و بخش های خاصی از بازار مانند خودروها، مراقبت های بهداشتی، زیرساخت های مهم و همچنین سرگرمی های آنلاین خواهد بود.

برخی از کشورهای پیشرو که از 5G استفاده می کنند نیز از جمله کره جنوبی، انگلستان، آلمان و ایالات متحده، بیشتر تحت تأثیر این آسیب پذیری قرار دارند زیرا شرکت های مختلفی در این کشورها شبکه مستقر کرده و دستگاه های سازگار با این نسل شبکه را می فروشند.

 

آسیب پذیری و سناریوهای حمله

طبق گزارشی که ادپتیوموبایل منتشر کرده است، سه سناریوی حمله خاص ممکن است به دلیل این نقص رخ دهد که با توجه به فناوری مشخص شده امروز، نمی توان سطح و حجم آن را کاهش داد. استخراج داده های کاربر؛ به ویژه ردیابی مکان، DoS در برابر عملکردهای دیگر شبکه و دسترسی به عملکرد شبکه و دسترسی سِری به اطلاعات مربوط به مشتری های دیگر.

علاوه بر این، اپراتور و مشتریان آنها نیز در معرض خطر هستند و داده های حساس موقعیت مکانی را از لو و نشت می دهند؛ که این امر باعث می شود اطلاعات مربوط به شارژ و حتی احتمال قطع شدن عملکرد اسلایس ها و عملکردهای شبکه، از دست برود.

دکتر سیلک هولتمنس، رئیس تحقیقات امنیت 5G در ادپتیوموبایل سکیوریتی پیشنهاد کرده است که:

"وقتی نوبت به امنیت 5G می رسد، صنعت مخابرات باید از یک رویکرد جامع و مشترک برای ایجاد امنیت شبکه ها در ارگان های استاندارد، گروه های کاری، اپراتورها و فروشندگان این خدمات استفاده کند".

"هرچه تعداد بیشتری از شبکه های اصلی به سمت ساختار ابری و معماری مبتنی بر فناوری اطلاعات حرکت می کنند، ابزارهای هک مناسب تری برای هکرها در دسترس قرار می گیرد".

"در حال حاضر، در عمل و حالت عرضه انبوه این نسل، تأثیر حملات به اسلایس های شبکه فقط به تعداد اسلایس های موجود در شبکه های 5G در سطح جهان محدود می شود. اگر این نقص اساسی در طراحی استانداردهای 5G کشف نشده و بدون اصلاح باقی بماند، خطرات قابل توجهی را در پی خواهد داشت".

"ما این موضوع را از طریق مجامع و فرآیندهای متناسب به اطلاع افراد و صنایع رسانیده ایم و خوشحالیم که با اپراتورهای شبکه تلفن همراه و جوامع بررسی استاندارد در جهت برجسته سازی این آسیب پذیری ها و بهبود اقدامات جهت رفع این آسیب پذیری ها در حال کار همکاری هستیم".

 

نتیجه گیری

حال نظر به اینکه نسل پنجم ارتباطات همراه یا 5G به تازگی در کشور عزیزمان ایران راه اندازی شده است، انتظار میرود که مسئولین امر نسبت به حل این مشکلات و پیشگیری از هرگونه آسیب پذیری در آینده به کاربران، جلوگیری به عمل آورده تا شاهد آسیب به زیرساخت های ارتباطی و کاهش سطح اعتماد کاربران نباشیم.

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

آسیب پذیری خطرناک نشت آیپی کاربر در تلگرام

دیروز تلگرام نسخه جدید خود را با شماره 1.4 برای دسکتاپ منتشر کرد که قابلیت های جدید به ان اضافه شده است. اما یکی از مهمترین ضعف هایی که در این نسخه Patch شده است، امکان نشت اطلاعات مرتبط با IP کاربر ود که جزو یکی از باگ های خطرناک به شمار میرفت.Takian.ir telegram ip leak1
به گزارش ZDNet، تلگرام باگی را  که منجر به نشت اطلاعات آی پی آدرس ها،از طریق  کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد و به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.

این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.Takian.ir telegram ip leak2

در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.Takian.ir Telegram Bug Bounty

انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به  اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.

این باگ جزو یکی از باگ های خطرناک محسوب می‌شود بخصوص برای افراد مهمی همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.
البته ایرانی ها نباید خیلی بابت این باگ نگرانی داشته باشند، زیرا با توجه به فیلتر بودن تلگرام، آدرس IP سرورهای VPN و فیلترشکن ها ثبت خواهد شد. اما به هر حال برای رفع نگرانی، فعلا در قسمت Voice Calls، گزینه Peer-to-Peer را بر روی Nobady قرار دهید.Takian.ir telegram ip leak Peer to Peer

------------------------------------

اخبار تکمیلی: موسس تلگرام آقای پاول دورف در کانال رسمی خود در این مورد توشیحاتی را ارائه داده است:Takian.ir telegram ip leak response

Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.
The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.
During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default. 
However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address. 
That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default. 
Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.
However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards. 
Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.

آسیب پذیری عظیم گزارش شده در Pulse Connect Secure VPN

takian.ir pulse secure vpn vulnerability 1

شرکت Ivanti که مسئول دستگاه های VPN Pulse Secure است، راهنمایی امنیتی برای آسیب پذیری بسیار جدی را منتشر کرده که ممکن است به مهاجم تایید شده از راه دور اجازه دهد که کد دلخواه خود را با اختیارات سطح دسترسی بالا اجرا نماید.

این شرکت در هشدار منتشر شده در تاریخ 14 ماه می، اعلام کرده است: "سرریز بافر در پروفایل های منبع فایل ویندوز درX.9 به کاربر تأیید شده از راه دور با اختیار دسترسی به فهرست اشتراک گذاری SMB اجازه می دهد تا کد دلخواه را به عنوان کاربر اصلی اجرا کند. از سویی، از نسخه 9.1 R3، این امکان به طور پیش فرض فعال نشده است".

این نقص که با نام CVE-2021-22908 شناخته می شود، دارای نمرهCVSS  هشت و نیم از حداکثر 10 است و بر نسخه های Pulse Connect Secure 9.0Rx و 9.1Rx تأثیر می گذارد. در گزارش جزئیات این آسیب پذیری، مرکز هماهنگی CERT گفته است که این مسئله از توانایی گیت وی برای اتصال به اشتراک گذاری فایل های ویندوز از طریق تعدادی از نقاط انتهایی CGI است که می تواند برای انجام حمله استفاده شود، نشات میگیرد.

مرکز هماهنگی CERT به طور دقیق در راهنمایی امنیتی آسیب پذیری که روز دوشنبه منتشر شد، اضافه کرد که با هدف قرار دادن اسکریپت CGI '/dana/fb/smb/wnf.cgi' قادر به ایجاد کد آسیب پذیر است: "در صورت تعیین یک نام طولانی سرور برای برخی از عملگرهای SMB، ممکن است برنامه" smbclt "به دلیل سرریز شدن بافر استک یا سرریز بافر heap، بسته به مدت زمان مشخص شدن نام یک سرور، کرش کند".

به کاربران Pulse Secure توصیه می شود که نسخه PCS Server 9.1R.11.5 را در مورد استفاده قرار دهند. در این میان، Ivanti یک فایل برای حل این مشکل ('Workaround-2105.xml') منتشر کرده است که می تواند با افزودن نقاط انتهایی URL آسیب پذیر به لیست مسدود شده ها، برای غیرفعال کردن ویژگی Windows File Share Browser استفاده شود و بنابراین برای محافظت در برابر این آسیب پذیری، اقدامات کاهنده لازم را فعال کند.

takian.ir pulse secure vpn vulnerability 2

 

این نکته حاکی از آن است که کاربرانی که از نسخه های سیستمی 9.1R11.3 یا پایینتر استفاده می کنند، باید فایل دیگری را با نام "Workaround-2104.xml" دریافت و اعمال کنند که این امر مستلزم آن است سیستم نسخه 9.1R11.4 را قبل از اعمال محافظت در "Workaround-2105.xml" اجرا کند.

در حالی که Ivanti توصیه به خاموش کردن جستجوگر فایل ویندوز در اینترفیس کاربری ادمین با غیرفعال کردن گزینه "Files, Windows [sic]" برای رول های کاربر مشخصی کرده است، مرکز هماهنگی CERT مشخص کرده است که در هنگام آزمایش برای محافظت در برابر نقص، انجام این مراحل کافی نیستند.

"نقاط نهایی آسیب پذیری CGI هنوز هم صرف نظر از اینکه نقش کاربر" Files، Windows "فعال باشد یا خیر، از طریق روش هایی قابل دسترسی هستند که باعث کرش کردن برنامه smbclt می شود".

"مهاجم برای دستیابی موفق به کد آسیب پذیر در سرور PCS که دارای پالیسی باز دسترسی به فایل ویندوز است، به یک مقدار معتبر DSID و xsauth از یک کاربر تأیید شده، نیاز دارد".

فاش شدن این نقص جدید هفته ها پس از آن صورت گرفت که شرکت نرم افزاری فناوری اطلاعات مستقر در یوتا، چندین آسیب پذیری امنیتی مهم در محصولات Pulse Connect Secure از جمله CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900 را اصلاح کرد، که برای اولین مورد مشخص گردید، حداقل در دو عامل تهدید متفاوت از یکدیگر در فضای سایبری مورد بهره برداری قرار گرفته است.

آلوده شدن سیستم کاربر با آسیب پذیری های نرم افزارهای محبوب که تنها با یک کلیک ایجاد میشوند

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

 

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

 

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

  • Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
  • تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
  • VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
  • OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
  • LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
  • Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
  • Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
  • Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
  • Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
  • Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
  • WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

 

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی

به گزارش مرکز ماهر، در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:Takian.ir smart install client Cisco

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید. تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان منتشر خواهد شد.

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

انتشار فهرست خطرناک ترین آسیب پذیری های سایبری و کسب رتبه نخست توسط Office

اداره امنیت سایبری و امنیت زیرساخت های امنیت داخلی آمریکا (DHS CISA) و دفتر تحقیقات فدرال FBI آمریکا، یک فهرست مشترک از خطرناک‌ترین آسیب پذیری‌های امنیتی که موجب تهدید کاربران فضای مجازی شده است را منتشر کرده اند که شامل ده آسیب پذیری برتر فضای مجازی از سال ۲۰۱۶ تا ۲۰۱۹ می باشد.

این آسیب پذیری ها بیشترین خسارت را به نهادهای بخش دولتی و خصوصی در آمریکا تحمیل کرده‌اند و به کاربران هشدار داده شده که باید فایل‌های به‌روزرسانی را برای جلوگیری از تداوم مشکلات ناشی از وجود این حفره‌های امنیتی نصب کنند. گزارش تهیه شده در این زمینه نشان می‌دهد هکرهای دولتی و مستقل به طور گسترده از آسیب پذیری‌های مذکور برای حملات سایبری استفاده کرده‌اند.

top 10 most exploited vulnerabilities

مشاهدات مربوط به هشدار امنیتی مشترک CISA و FBI عبارتند از:

- متداول ترین مورد حمله  OLE یا همان Object Linking and Embedding مایکروسافت بود. این فناوری گنجاندن محتواهای سایر برنامه‌های کاربردی اعم از عکس و ویدئو و غیره را در نرم افزار آفیس ممکن می‌کند. آسیب پذیریهای OLE مانند CVE-2017-11882 ، CVE-2017-0199 و CVE-2012-0158 بیشترین آسیب پذیری های مورد استفاده گروههای تحت حمایت دولت ملی کشورهایی از جمله چین ، ایران ، کره شمالی و روسیه بودند.
- رتبه دوم این لیست به فناوری Apache Struts اختصاص دارد که یک برنامه متن باز اینترنتی برای توسعه برنامه‌های جاوای تحت وب است.
- همچنین بیشترین آسیب پذیری مورد استفاده در سال 2020 به شماره CVE-2019-19781 (اشکال در وسایل Citrix VPN) و CVE-2019-11510 (اشکال در سرورهای Pulse Secure VPN) بود.
در حین شیوع کروناویروس ، بسیاری از سازمانهایی که از محل کار منزل به کار خود مشغول کار هستند ، از سوء استفاده مستقر در دفتر 365 پیکربندی شده اند.
- همچنین در حین شیوع کروناویروس ، بسیاری از سازمانهایی که ارتباط کارمندان خود را بصورت دورکاری فعال نموده اند، به دلایل مختلف پیکربندی امن و کاملی را برای Office 365 انجام نداده اند و براحتی مورد سوء استفاده قرار گرفته اند.

لیست 10 آسیب پذیری برتر نیز شامل موارد زیر میباشد که براحتی با جستجو در سایت nist.gov امکان مطالعه و بررسی دقیق آنها را دارید:


CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158, CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600.

 

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

به خطر افتادن بیش از 60 هزار سایت در پی آسیب پذیری XSS وردپرس

 

takian.ir wordpress XSS vulnerability

به گزارش لیتست هکینگ نیوز، یک آسیب پذیری جدی XSS در افزونه جستجوی وردپرس Ivory مشاهده شده است. سوء استفاده از این آسیب پذیری، به یک مهاجم سایبری می تواند امکان و اجازه اجرای کدهای مخرب در وب سایت هدف را بدهد. با توجه به تعداد نصب های فعال این افزونه، آسیب پذیری ذکر شده به صورت بالقوه بیش از 60،000 وب سایت را به خطر انداخته است.

 آسیب پذیری پلاگین جستجویIvory وردپرس

 محققان تیم آستارا سکیوریتی اینتلیجنس، آسیب پذیری اشاره شده را در XSS یا Cross-site Scripting، در پلاگین جستجوی Ivory وردپرس کشف کرده اند.

آسیب پذیری های XSS کشف شده بر روی برنامه های تحت وب تأثیر مخرب می گذارد و به مهاجم اجازه می دهند تا کدهای مخرب را در پروفایل ها و شناسه های کاربرها اجرا کند. به عنوان مثال، هنگام بازدید کاربر از صفحه وب آلوده، ممکن است یک کد دستوری مخرب اجرا شود.

آنطور که آنها در مطلب خود توضیح داده اند، تیم تحت هدایت جینسون وارگش یک مورد بررسی اعتبار نامناسب در این افزونه پیدا کردند. وارگش در توضیح این مشکل می افزاید:

"یک جز مولفه خاص در صفحه تنظیمات افزونه جستجوی Ivory وردپرس به درستی تأیید نشده است که به متعاقب آن، امکان اجرای کد مخرب جاوا اسکریپت را امکان پذیر می نماید".

محققان آن را یک اشکال با سطح خطر متوسط ​اعلام و تعیین کرده اند که به مهاجم اجازه می دهد "اقدامات مخرب" را در وب سایت هدف انجام دهد.

بروزرسانی اعمال شده

تیم آسترا سکیوریتی، در 28 ماه مارس سال 2021 این آسیب پذیری که بر پلاگین جستجوی Ivory وردپرس نسخه 4.6.0 به پایین تأثیر گذاشته است را کشف کرده اند. متعاقبا این تیم با توسعه دهندگان پلاگین ارتباط گرفته تا اشکال را در همان روز گزارش کنند.

در پاسخ نیز تیم پلاگین به سرعت برای رفع این آسیب پذیری اقدام کردند و در تاریخ 30 ماه مارس سال 2021، یک بروزرسانی را جهت رفع این اشکال در نسخه 4.6.1 منتشر کردند. آنها همچنین رفع اشکال موجود در لاگ تغییرات در صفحه پلاگین را تأیید کرده اند.

نسخه فعلی افزونه جستجوی Ivory ، نسخه 4.6.2 است. بنابراین همه کاربران این افزونه باید از بروزرسانی وب سایت های خود با نسخه 4.6.1 به بالا اطمینان حاصل کنند تا از هرگونه آسیب و به خطر افتادن سایت های خود و تبعات آن، ایمن بمانند.

به تازگی نیز چندین آسیب پذیری XSS که بر پلاگین Elementor تأثیر می گذارند نیز مورد توجه قرار گرفته اند. این اشکالات با توجه به طیف گسترده میزان نصب در سطح جهان (بیش از 7 میلیون) ، تأثیر شدیدتر و مخرب تری نیز خواهد داشت. از این رو، بدینوسیله شرکت توسعه امن کیان (تاکیان) به همه کاربران وردپرس یادآوری می کند که هنگام بروزرسانی وب سایت های خود، حتما از رفع این مشکل نیز اطمینان حاصل کنند. همچنین لازم است که کاربران به طور ویژه نسبت به بروزرسانی ماژول Elementor و Elementor Plus نیز اقدام نمایند.

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

پژوهشگران از یک آسیب پذیری Zero-Day پرده برداشتند که همه نسخ ویندوز آلوده آن هستند

به گزارش سایت دهکرنیوز، یک محقق امنیتی یک آسیب پذیری روزصفر (Zero-Day) را بصورت عمومی منتشر کرد که تمامی نسخه ای سیستم عامل ویندوز (حتی نسخه ای سرور) به آن آلوده هستند.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows

این افشاگری پس از اتمام مهلت 120 روزه به شرکت مایکروسافت برای افشاء این آسیب پذیری و قبول مسئولیت انجام شد.

این بآسیب پذیری که توسط Lucas Leong از تیم تحقیقاتی Trend Micro Security کشف شده است، یک آسیب پذیری روزصفر است که در موتور پایگاه داده مایکروسافت جت (Microsoft Jet Database Engine) قرار دارد و به مهاجم اجازه میدهد که کد مخرب را از راه دور بر روی هر سیستم دارای سیستم عامل ویندوز اجرا نماید.

موتور پایگاه داده مایکروسافت جت یا به زبان سادهJET (Joint Engine Technology)، موتور پایگاه داده یکپارچه در چندین محصول مایکروسافت است، از جمله Microsoft Access و Visual Basic.

با توجه به توصیه های منتشر شده توسط Zero Day Initiative (ZDI)، این آسیب پذیری ناشی از مشکلی در مدیریت شاخص ها (indexes) در موتور پایگاه داده جت است که اگر با موفقیت مورد سوء استفاده قرار گیرد، می تواند موجب نوشتن بر روی حافظه خارجی (out-out-bounds memory) گردیده و درنتیجه کد از راه دور اجرا گردد.

روش کار به این صورت است که مهاجم باید کاربر (هدف) را به باز کردن یک فایل پایگاه داده ویژه JET متقاعد کند تا مهاجم بتواند با استفاده از این آسیب پذیری، کدهای مخرب را از راه دور بر روی سیستم کاربر(هدف) اجرا نماید.

به گفته محققان ZDI، این آسیب پذیری در همه نسخه های ویندوز پشتیبانی شده از جمله ویندوز 10، ویندوز 8.1، ویندوز 7 و ویندوز سرور نسخه 2008 تا 2016 وجود دارد.

تیم ZDI این آسیب پذیری را در تاریخ 8 مه به مایکروسافت گزارش کرد و غول تکنولوژی این خطا را در 14 مه تایید کرد اما موفق به پاکسازی این آسیب پذیری نشد و قرارشد در یک مهلت 120 روز (4 ماه) به روز رسانی را منتشر کند و پس از این مدت تیم ZDI این آسیب پذیری را با جزییات منتشر کرد.
کدهای Exploit بهره برداری از این آسیب پذیری نیز توسط صفحه GitHub تیم Trend Micro منتشر شده است.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows exploit

مایکروسافت در حال کار بر روی یک پچ برای رفع این آسیب پذیری است و از آنجایی که در پچ های ماه سپتامبر عرضه نشده است، باید منتظر باشیم تا مایکروسافت در ماه اکتبر (یعنی اواسط مهرماه) این پچ را ارئه نماید.

تیم Trend Micro به همه کاربران آسیب دیده توصیه می کند تا زمان ارائه پچ توسط مایکروسافت، محدودیت هایی را بر روی برنامه هایی که با JET در تعامل هستند، اعمال نمایند .

چگونگی محافظت از SOC در مقابل حملات مهندسی اجتماعی

تعداد حملات سایبری از نظر کمی و میزان پیچیدگی، در چند سال اخیر به سرعت افزایش یافته است. پاندمی و گسترش ویروس کرونا فضای کاری را به شکل به محسوسی به سمت کار از خانه سوق داده است که منتج به افزایش قابل توجه حملات سایبری شده است. در کنار راه حل های امنیتی که برای نهادها و سازمانها در نظر گرفته شده است، تقریبا تمامی نهادها در هر ابعاد و هر زمینه کاری که فعال هستند، قربانی این دست حملات شده اند. این نوع تهدید، نهادها را مجبور به سرمایه گذاری در زمینه دفاع سایبری کرده است و داشتن قابلیت SOC به عنوان یک ضرورت مهم برای پاسخ به تهدیدات جاری و پیش رو مطرح شده است.

یک مرکز عملیاتی امنیتی (SOC)، تیمی است که مسئول نظارت مداوم و ارزیابی ساختار دفاعی یک سازمان یا نهاد و افزون بر آن، مقابله با نشت و درز اطلاعات و ارائه راهکار و پیشنهاد برای اقدام متقابل جهت کاهش تهدیدهای فعلی و آینده میباشد. یک SOC میتواند درون سازمانی بوده یا خارج از مجموعه و توسط یک مجموعه تامین کننده امنیت (MSSP) فراهم شود.

در ادامه به چگونگی محافظت از تیم SOC در برابر حملات مهندسی اجتماعی اشاره شده است. مانند گروه های ATP، مجرمان اینترنتی خبره، قبل از اجرای حمله اصلی، اقدام به گردآوری اطلاعات نسبت به هدف خود مینمایند. فرض کنیم که مهاجمین موفق شده اند با ترفندهای مهندسی اجتماعی، اطلاعات را از طریق یکی از اعضای اصلی SOC بدست بیاورند. این حالت میتواند باعث ایجاد یک حفره امنیتی در سیستم دفاعی سازمان و نهاد آن شخص هدف ایجاد نماید که منتج به بروز مشکلات امنیتی برای آن نهاد و نشت و درز اطلاعات گردد.

استراتژی های لازم برای جلوگیری از حملات مهندسی اجتماعی:

حملات مهندسی اجتماعی (SE) بخصوص ایمیل های فیشینگ در بالاترین رده تهدیدات پیش روی نهادها قرار میگیرند. به گزارش وب سایت سکیوریتی بولوارد، 95% از کل حملات، که شبکه سازمان ها را هدف قرار میدهند، توسط حملات فیشینگ به وقوع میپیوندند و 30% ایمیل های فیشینگ ارسالی توسط کاربری که هدف حمله واقع شده باز میشوند؛ در حالی که 12% این کاربران بر روی یک آدرس اینترنتی آلوده که در داخل ایمیل درج شده کلیک میکنند.

در ادامه یکسری از نکات ضروری امنیت سایبری که با اجرای آنها میتوان از وقوع حملات مهندسی اجتماعی جلوگیری کرد، ارائه شده است:

  1. از انتشار آنلاین اطلاعات حساسی که میتواند بر علیه اعضای SOC استفاده شود، بپرهیزید. به طور مثال، OSINT میتواند به نوعی تجهیز شود که محتوای حساس نشر یافته آنلاین در مورد هر ماهیتی را پیدا کند. بعد از پیدا کردن این اطلاعات حساس، یک سازمان میتواند آنها را پیش از آنکه عوامل تهدید کننده از آن بهره برداری کنند، حذف نمایند.
  2. افرادی که برای امنیت سایبری آموزش دیده اند، بهترین لایه دفاعی در مقابل این دست حملات هستند. افراد، ضعیفترین پیوند در این زنجیره دیجیتال فرض میشوند و بهره برداری از تمایل آنها به جلب اعتماد، همچنان موثرترین روش استفاده شده توسط مجرمان سایبری برای ورود به شبکه سازمانی هدف است. برای نمونه، با وجود استفاده از راه حل های امنیتی همچون ضد نرم افزارها و نرم افزار تشخیص و جلوگیری از نفوذ، اگر یک فرد ناآگاه بر روی یک لینک آلوده در محتوای یک ایمیل کلیک نماید، این عمل میتواند کلیه فضای شبکه آی تی آن مجموعه را به خطر بی اندازد.
  3. نفرات باید با دقت نسبت به بررسی آدرس ایمیل ارسال کننده اقدام نمایند تا هرگونه تلاش پنهانی موجود را کشف نمایند. به طور مثال فیشرها ممکن است از دامنه (@gooogle.com) به جای (Google.com) در زمان ارسال ایمیل استفاده نمایند تا با وانمود کردن به اصالت مشابه با Google، مخاطب را در راستای جلب اعتماد به ارسال کننده ایمیل ترغیب نمایند.
  4. برای ارسال یا دریافت ایمیل ها از رمزگذاری ایمیل استفاده کنید تا از هرگونه اطلاعات حساس مانند اطلاعات شخصی، اطلاعات فنی درباره سیستم دفاعی امنیتی سازمان و مکاتبات داخلی محافظت نمایید. رمزگذاری همچنین این اطمینان را میدهد که داده های رد و بدل شده از طریق ایمیل، در فرایند جابجایی، دستخوش تغییر نمیشوند.
  5. مضاف بر کلیه نرم افزارهای نصب شده، سیستم های عملیاتی تجهیزات رایانه ای همه اعضای تیم SOC و همچنین موارد امنیتی نصب شده برای آنها (مانند آنتی ویروس و غیره) باید به روز باشند.
  6. از یک DNS امن برای جلوگیری از هرگونه بدافزار و حملات آلوده اینترنتی استفاده نمایید. به مثال، یک سرویس DNS امن در صورت مشاهده سایت فیشینگ توسط کاربر، میتواند ارتباط را قطع نماید. از موارد سرویسهای DNS امن میتوان به Comodo Secure DNS و Dyn Internet Guide اشاره نمود.
  7. از SPF یا Sender Policy Framework استفاده نمایید. SPF یک تکنیک شناسایی ایمیل است که جلوی هر عامل آلوده ای که با نام دامنه شما اقدام به ارسال پیام کند، ممانعت به عمل می آورد. از پروتکل های مشابه میتوان به DMARC و DKIM اشاره نمود.
  8. از راهکارهای ضد هرزنامه بهره ببرید. راهکارهای ضد هرزنامه به آن سازمان و نهاد کمک میکنند که محل ذخیره ایمیل اعضای مجموعه را از هرگونه اسپم و سایر ایمیل های آلوده دور نگاه دارد. از معروفترین نرم افزارهای ضد هرزنامه میتوان به مواردی همچون SolarWinds MSP Mail Assure، SpamTitan و Mailwasher اشاره کرد.
  9. از فناوری های مختلف دفاع سایبری همچون فایروال ها، آنتی ویروس، مدیریت patch و پروتکل های مدیریت دسترسی بهره ببرید.
  10. فایل هایی را که نمیشناسید، دانلود نکنید. اگر ایمیل دارای پیوستی به دستتان رسید، قبل از دانلود فایل پیوست و ذخیره آن در سیستم خود، آدرس ایمیل فرستنده را به دقت بررسی نمایید.
  11. اطلاعات محرمانه را از طریق ایمیل و یا پیامرسان های فضای مجازی ارسال ننمایید. اگر لازم است که فایل یا اطلاعات حساسی را از طریق ایمیل ارسال کنید، حتما نسبت به رمزنگاری آن با نرم افزارهای ویژه رمزنگاری اقدام نمایید.

در مجموع حملات مهندسی اجتماعی، بخصوص در زمان پاندمی بیماری کرونا افزایش یافته اند. به همین علت ضروری است که کلیه اعضای تیم SOC موارد ایمنی و ملاحظات ذکر شده در این مقاله را جهت حفظ ایمنی نهاد و مجموعه متبوع، به کار ببندند.

خطر حمله به سیستم‎های سازمانی در آسیب‌پذیری‌های Gemalto

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Takian - gemalto to implement new identification security system in cameroon

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Gemalto Sentinel LDK یک نرم‌افزار امنیتی است که ارگان‌های بسیاری در سراسر جهان چه سازمان‌ها و چه ICSها (سیستم‌های کنترل صنعتی) از آن استفاده می‌کنند. این راهکار علاوه بر اجزای نرم‌افزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم می‌کند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.
به گزارش کسپرسکی آنلاین، محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب می‌شوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرم‌افزارهای شخص ثالث ارائه می‌گردد و پورت 1947 به لیست استثناها در فایروال ویندوز اضافه می‌شود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم می‌گردد.
کارشناسان در مجموع 14 آسیب‌پذیری را در اجزای Sentinel یافته اند که این آسیب پذیری‌ها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان می‌دهد. از آنجا که پورت 1947 اجازه دسترسی به سیستم را می‌دهد این آسیب‌پذیری و نقوص می‌تواند توسط یک مجرم از راه دور اکسپلویت شود.
کسپرسکی پس از این موضوع تصمیم به آنالیز نرم‌افزار گرفت. تحقیقات نشان داد که مجرمان می‌توانند شبکه را برای پورت 1947 شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند می‌توانند دستگاه‌ها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) می‌توانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه‌ خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه می‌دهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.
یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال 2016 و اوایل سال 2017 کشف شد و سه مورد دیگر آنها در ماه ژوئن سال 2017 یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه 7.6 خود را منتشر ساخت. در اواخر ژوئن سال 2017 تعدادی از آسیب پذیری‌ها پچ شد اما این در حالی بود که Gemalto  از میزان خطرات این آسیب پذیری‌ها و آپدیت‌های لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرم‌افزاری که از این لایسنس‌ها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخه‌های دارای مشکل هستند.
علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه می‌کند که پورت 1947 خود را در صورتی که برای فعالیت‌های خاصی از آن استفاده نمی‌کنند، ببندند.
در حالی که تعداد دقیق دستگاه‌های مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال 2011 Frost و Sullivan نشان می‌دهد که SafeNet Sentinel 40 درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و 60 درصد در اروپا دارد.
آسیب‌پذیری نرم‌افزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرم‌افزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص می‌تواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.
Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرم‌افزار آسیب‌پذیر Gemalto در افزونه‌های SIMATIC WinCC که در سال 2015 و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.
Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT  لابراتوار کسپرسکی هشدار داد که "با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکن‌ها نه تنها در محیط‌های سازمان‌ها بلکه در مکان‌های حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکه‌های بحرانی و حیاتی می‌توانند به راحتی توسط این آسیب‌پذیری دچار آلودگی و در معرض خطر قرار گیرند.

داستان تکراری هک سایت های داخلی این بار با 140 سایت

به نقل از سایت ماهر، چندی پیش هم‌زمان با فرارسیدن سالروز پیروزی انقلاب اسلامی خبری مبنی بر حمله سایبری به تعدادی از پورتال‌ها و سایت های خبری نظیر روزنامه‌های قانون، آرمان و ستاره صبح رسانه‌ای شد که بنا بر گزارش مرکز ماهر، ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) گزارش شد.Takian.ir Hacking 140 internal sites

حال با گذشت کمتر از 15 روز از انتشار این گزارش و این حمله سایبری، بار دیگر 140 سایت داخلی مورد هجوم نفوذگران اینترنتی قرار گرفته است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با بیان اینکه در پی هک بیش از 140 وب‌سایت داخلی در روز جمعه مورخ 1396/12/04 این مرکز موضوع را سریعاً مورد بررسی قرار داد، اعلام کرده است: اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام دادیم.

براساس این اطلاعیه، سایت های مورد حمله همگی بر روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل بارگزاری یک فایل متنی بوده است.

وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب‌ناپذیر اما لازم است که تولید‌کنندگان نرم‌افزار و مدیران راهبر سیستم ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر بگیرند.

سهل انگاری یک گروه هکری ایرانی و افشای چهل گیگابایت ویدئوهای آموزش هکینگ

به گزارش سایت هکرنیوز، طی یک اشتباه امنیت عملیاتی (OPSEC) توسط یک عامل تهدید ایران، روش‌های پشت‌پرده عملکرد داخلی این گروه هکری آشکار  شده است.

takian.ir hacking videos training

خدمات اطلاعاتی واکنش  IBM X-Force با نام IRIS، نزدیک به پنج ساعت ضبط ویدئویی گروه حامی مالی که آن را ITG18 (یا بچه گربه جذاب، یا فسفر و یا APT35)می‌نامد، را در اختیار دارد که برای آموزش اپراتورها از آن استفاده می‌کند.

طبق اطلاعات ارائه شده توسط این ویدئو، اطلاعات برخی از قربانیان شامل حساب‌های شخصی پرسنل نیروی دریایی آمریکایی و یونانی و همچنین تلاش‌های ناموفق فیشینگ در برابر مقامات وزارت امور خارجه ایالات‌متحده و یک فرد نیکوکار ایرانی - آمریکایی بوده است.

محققان گفتند: " برخی از این ویدیوها نشان‌دهنده مدیریت اکانت های ایجاد شده توسط اپراتور بودند در حالی که سایر ویدئوها دسترسی اپراتور برای تست داده‌های موجود از حساب‌های ثبت‌شده قبلی را نشان میدهند."

محققان آی بی ام گفتند که این ویدیوها را بر روی یک سرور مجازی خصوصی پیدا کرده‌اند که در معرض خطر تنظیمات امنیتی قرار گرفته‌است. این سرور در اوایل امسال میزبان چندین دامین مرتبط با ITG18 نیز بوده است که بیش از ۴۰ گیگابایت اطلاعات را نگهداری میکند.

فایل‌های ویدئویی کشف‌شده نشان می‌دهند که ITG18 با استفاده از آدرس‌های ایمیل و نام کاربری و رمزعبور رسانه‌های اجتماعی که از طریق فیشینگ (phishing) به دست آمده است برای ورود به حساب‌ قربانیان استفاده نموده و اقدام به حذف اطلاعات مهم انها شامل تماس های تلفنی، عکس ها، اسناد گوگل درایو و... غیره نموده است.

محققین خاطرنشان کردند: "اپراتورهای این گروه، به سرویس Google Takeout قربانیان دسترسی پیدا کرده و اطلاعات مهمی همچون تاریخچه مکان‌یابی، اطلاعات مرورگر کروم، و دستگاه‌های آندروید مرتبط و... را بازیابی نموده اند."

takian.ir hacking videos training2

علاوه بر این، ویدیوهای ضبط‌ شده با استفاده از ابزار ضبط صفحه نمایش Bandicam نشان می‌دهند که بازیگران پشت این عملیات حساب اینترنتی قربانیان را به نرم‌افزار ایمیل Zimbra متصل کرده و قصد دارند حساب‌های پست الکترونیکی را کنترل و مدیریت کنند.

takian.ir hacking videos training3

جدا از دسترسی به حساب‌های Email، محققان گفته‌اند که مهاجمان در حال استفاده از یک فهرست طولانی از نام کاربری و رمزهای عبور برای لاگین کرده به حداقل ۷۵ وب سایت مختلف از بانک‌ها گرفته تا ویدیو و پخش موسیقی و حتی سفارش پیتزا و محصولات مرتبطز با نوزادان هستند.

سایر کلیپ های ویدئویی نشان میدهد که در حساب های کاربری ساختگی یاهو، از شماره تلفن های ایرانی با کد (+98) برای ارسال اطلاعات فیشینگ استفاده کرده اند که حاکی از این است که ایمیل ها قطعا به صندوق پستی قربانی نرسیده است.

محققان گفتند: "در طی ویدئوهایی که در آن اپراتور اعتبار قربانی را تایید می‌کند، اگر اپراتور با موفقیت بتواند به سایت هایی دسترسی یابد که از MFA یا احراز هویت چند عاملی استفاده کرده اند، اقدام به متوقف نمودن MFA و تغییر روش های احراز هویت نموده است تادر مراحل بعدی براحتی بتواند مجدداً به این حساب ها دسترسی داشته باشد."

گروه ITG18 سابقه‌ای طولانی در مورد هدف قرار دادن ارتش آمریکایی مستقر در خاورمیانه، دیپلماتیک و دولت برای جمع‌آوری اطلاعات و جاسوسی برای خدمت به منافع ژئوپلتیک ایران دارد.

خدمات اطلاعاتی واکنش IBM X-Force به این نتیجه رسیدند: " مصالحه و سازش پرونده‌های شخصی اعضای نیروی دریایی یونان و ایالات‌متحده می‌تواند در حمایت از عملیات جاسوسی مربوط به اقدامات متعدد در خلیج عمان و خلیج‌فارس باشد و این گروه علی‌رغم افشا شدن اطلاعات عمومی خود و گزارش گسترده فعالیت آنها، مقاومت نشان داده‌است و باز هم در حال ایجاد سازگاری با زیرساخت جدید است.

 

سوء استفاده هکرها از تلگرام جهت استخراج ارز دیجیتال

به گزارش سایت رویترز، شرکت روسی کسپرسکی به تازگی از وجود یک آسیب پذیری روز صفرم در تلگرام دسکتاپ خبر داد که نوعی درب پشتی است که از مارس 2017 برای استخراج بیت کوین به کار میرفت.

Takian.ir Telegram bug

 شایان ذکر است این روزها، استخراج بیت کوین از طریق بدافزارها، بسیار رونق گرفته است. کسپرسکی افزود شرکت تلگرام را از وجود این آسیب پذیری مطلع کرده است.

محققان کسپرسکی می گویند در این آسیب پذیری از متد راست به چپ(مخصوص زبان هایی که از راست به چپ مانند عربی و عبری نوشته می شوند) استفاده شده است.

هکرها از آسیب پذیری مذکور، برای ارسال بدافزار استخراج بیت کوین استفاده کردند که این امکان را برای آنان فراهم کرد که بتوانند از دستگاه قربانی ماینینگ بیت کوین یا ارزهای دیجیتال دیگر انجام دهند.

سناریوی بعدی هکرها، استفاده از درب پشتی روی سیستم قربانی برای دسترسی از راه دور بود. کسپرسکی مدعی شد مجرمان سایبری که از این آسیب پذیری استفاده می کرند، روسی بودند.

کشف آسیب‌پذیری‌ روز صفر در محصولات Manage Engine

به گزارش سایت Digital Defense ،طبق بررسی‌های اخیر در رابطه با شناسایی آسیب‌پذیری‌های موجود این را نشان می‌دهد که این آسیب‌ها توسط یک مهاجم قابل می‌تواند مورد سوءاستفاده قرار بگیرد. ازجمله محصولات و سرویس‌های تحت تأثیر می‌توان به ServiceDesk Plus، Service Plus MSP، OpManager، مدیریت تنظیمات شبکه، OpUtils و بررسی NetFlow اشاره کرد.

Takian.ir ManageEngineIT360ProductOverview

ManageEngine دارای بیش از 40000 کاربر در سراسر دنیا است که به دنبال فراهم کردن راه حل‌های کامل برای مدیریت فناوری اطلاعات در این زمینه است.

بررسی‌ها نشان می‌دهد که یکی از آسیب‌پذیری‌ها روی نرم‌افزار Help Desk ManageEngine ServiceDesk Plus شناسایی‌شده است که مهاجمان با استفاده از بارگذاری فایل‌های مخرب روی پوسته جاوا اسکریپت فعالیت مخرب خود را اجرا کرده‌اند؛ و از آن برای اجرای دستورات دلخواه استفاده کنند. در ادامه کارشناسان در بررسی‌های خود چندین آسیب‌پذیری دیگر را شناسایی کردند که شامل اجرای کدهای SQL توسط مهاجم غیرقابل‌اعتماد است که باعث کنترل کامل یک برنامه می‌شود.

این محصولات توسط گروه تحقیقاتی شرکت نام‌برده شناسایی‌شده است که توسط این تجهیزات آلوده اطلاعات شخصی کاربر که شامل نام کاربری، شماره تلفن و آدرس ایمیل توسط مهاجم مورد سوءاستفاده قرارگرفته شده است.

امروزه آسیب‌پذیری‌های لایه‌های نرم‌افزار به عنوان یکی از اصلی‌ترین نقاط آسیب‌پذیر در نرم‌افزارها و تجهیزات به شمار می‌روند.

ManageEngine بلافاصله به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های کشف‌شده توسط محققان در گزارش دفاعی خود منتشر کرد.

کشف درب پشتی در محصول فورتی گیت، موجی از نگرانی ها را برانگیخت

طی روزهای گذشته، یک محقق امنیتی در حوزه سایبر بنام کوین باومونت، در توییتر خود اعلام کرد که محصولات فورتی گیت در قابلیت SSL VPN خود دارای یک آسیب پذیری خطرناک در قالب Backdoor هستند. پارامتری که در فرم ها بنام "magic" وجود دارد این امکان را فراهم میسازد که هرکسی بصورت ریموت بتواند رمزعبور کاربران را ریست کند.

takian.ir fortigate ssl vpn bug

روال کار را در gif زیر مشاهده نمایید:

takian.ir fortigate ssl vpn bug

کشف مشکل فوق، موجی از آسیب پذیری ها را در بین محققان امنیتی برانگیخته است. آقای کوین باومونت در اظهار نظر خود اعلام کرد که "این هم از فروشندگان امنیتی ما".

takian.ir fortigate ssl vpn bug kevin teitter

همچنین این آسیب پذیری خطرناک دیشب Exploytedشد و اسکنرها سریعا در حال سوء استفاده از آن هستند. برای کسب اطلاعات بیشتر میتوانید به اینجامراجعه نمایید.

کشف یک آسیب پذیری Zero day خطرناک در ویندوز

دیروز (1397/03/08) متخصصین کمپانی TelSPACE مستقر در ژوهانسبورگ آفریقای جنوبی، یک آسیب پذیری خطرناک را ثبت کردند که به مهاجمان اجاز میدهد کد خود را از راه دور در سیستم عامل ویندوز اجرا نمایند.Takian.ir zero day in jscript windows

این آسیب پذیری که با رتبه 6.8 و بنام (0Day) Microsoft Windows JScript Error Object Use-After-Free Remote Code Execution Vulnerability در اینجابه ثبت رسیده است به مهاجمان اجازه میدهد که از راه دور، کد دلخواه خود را در ویندوز های آسیب پذیر مایکروسافت اجرا نمایند.

البته این آسیب پذیری به تنهایی عمل نکرده و نیازمند تعال با کاربر است بگونه ای که کاربر حتما باید صفحه آلوده شده را مشاهده نموده یا یک فایل آلوده را باز نماید.این نقص خاص در Error Object از JScript وجود دارد و مهاجم با انجام اقداماتی در اسکریپت میتواند پس از آزاد شدن یک Pointer ، مجددا آنرا بکار گرفته و برای اجرای کد خود از ان استفاده کند.این آسیب پذیری به طور عمومی و بدون Patch مطابق با مهلت 120 روزه افشا شده است.

01/23/2018 - ZDI sent the vulnerability report to the vendor
01/23/2018 - The vendor acknowledged and provided a case number
04/23/2018 - The vendor replied that they were having difficulty reproducing the issue report without POC
04/24/2018 - ZDI confirmed the POC was sent with the original and sent it again
05/01/2018 - The vendor acknowledged receipt of the POC
05/08/2018 - The vendor requested an extension
05/18/2018 - ZDI replied "We have verified that we sent the POC with the original. The report will 0-day on May 29."

در حال حاضر، با توجه به ماهیت آسیب پذیری ، تنها راهبرد برای کاهش قابل توجه آسیب های این آسیب پذیری، این است که تنها فایل های قابل اعتماد را استفاده نموده و از کار کردن با وبسایت ها و برنامه های غیرمطمئن خودداری گردد.

نشت اطلاعات سه میلیارد و دویست میلیون شناسه آنلاین

بزرگترین مجموعه نشت اطلاعات کاربران با نشت سه میلیارد و دویست میلیون شناسه آنلاین

به گزارش سایبرنیوز، بزرگترین نشت اطلاعات کلیه ادوار تاریخ با نام COMB (Compilation of Many Breaches) شامل بیش از سه میلیارد و دویست میلیون اطلاعات منحصربفرد ایمیل و پسورد آنها نشت پیدا کرده است. در حالی که در گذشته اطلاعات زیادی در اینترنت نشر و نشت پیدا کرده است، اما این مورد از نظر ابعاد و گستردگی منحصر و متفاوت از بقیه موارد گذشته است. به عبارتی دیگر، کل جمعیت کره زمین به حدود 7 میلیارد و هشتصد میلیون نفر میرسد و اطلاعات 40% این جمعیت شامل این نشت اطلاعاتی میگردد.

با این حال، با در نظر گرفتن 4 میلیارد و هفتصد میلیون نفر کاربر آنلاین اینترنت، COMB شامل 70% کاربران جهانی اینترنت میشود (با فرض منحصر بفرد بودن هر شناسه). به همین خاطر به کاربران توصیه میشود تا در اسرع وقت نسبت به بررسی وجود اطلاعاتشان در فایلهای نشت یافته اقدام نمایند. با کلیک بر روی این لینک میتوانید نسبت به این بررسی اقدام نمایید.

تا زمان انتشار این خبر، بیش از یک میلیون کاربر نسبت به بررسی اطلاعات خود اقدام نموده اند.

اما نشت COMB چگونه اتفاق افتاده است؟

در تاریخ دوم فوریه 2021، COMB در یک فروم معروف هک منتشر شده است. این دیتابیس شامل اطلاعات مدارک میلیاردها کاربر که قبلا از نتفیلیکس، لینکدین، بیتکوین و غیره نشت پیدا کرده است را شامل میشود. این نشت اطلاعاتی با درز اطلاعات گردآوری شده در سال 2017 که در پی آن مدارک یک میلیارد و چهارصد میلیون کاربر نشت پیدا کرد، قابل مقایسه است.

با این حال این درز اطلاعات که با نام COMB شناخته میشود، شامل دو برابر اطلاعاتی است که قبلتر منتشر شده بوده است. اما اکنون داده­ های انتشار یافته به صورت رمزنگاری، آرشیو شده و از آنها مراقب میشود.

comb leak 3.8billions users 1

این نشت اطلاعاتی شامل اسکریپتی با نام count_total.sh می­باشد، که در نشت اطلاعاتی سال 2017 نیز موجود بوده است. این نشر اطلاعات همچنین شامل دو اسکریپت دیگر میشود: query.sh برای ردیابی ایمیلها و sorter.sh برای مرتب کرده داده­ها.

بعد از اجرای اسکریپت count_total.sh که یک اسکریپت ساده bash برای محاسبه کلیه خطوط فایلهایی­ست که اضافه شده و ادغام آنها با یکدیگر، به سه میلیارد و دویست و هفتاد میلیون جفت ایمیل و پسورد میرسیم.

comb leak 3.8billions users 2

به نظر نمیرسد که این درز اطلاعات شامل موارد جدیدی بشود اما بزرگترین مجموعه گردآوری شده اطلاعات میباشد. تقریبا همانند نشت اطلاعاتی سال 2017، اطلاعات COMB بر اساس حروف الفبا مرتب شده و بصورت درختی شکل یافته­اند که شامل اسکریپ­های یکسانی برای ایمیلها و پسوردها میشود. در تصویر زیر میتوان اطلاعات منتشر شده و ساختار انتشار آن را مشاهده نمود که توسط سایبرنیوز محو شده است.

comb leak 3.8billions users 3

در حال حاضر مشخص نیست که اطلاعات نشت یافته گذشته به طور کامل در این مجموعه گردآوری شده است یا خیر اما نمونه­ های بررسی شده توسط سایبرنیوز نشان از این دارد که این مجموعه شامل ایمیل و پسورد از دامنه­ های مختلفی از سراسر دنیا می­شود.

اطلاعات ورودی نتفیلیکس، جیمیل و هات­میل نیز در COMB رویت شده است.

به علت سریع، قابل جست و جو و دسته بندی شده بودن COMB در قیاس با اطلاعات نشت یافته گذشته، به طبع شامل اطلاعات گذشته نیز می­باشد. این مجموعه شامل نشت اطلاعات از سرویس دهنده های معروفی مانند نتفیلیکس، جیمیل، هات­میل، یاهو و غیره می­شود.

بنابر آنالیز سایت سایبرنیوز، حدود 200 میلیون آدرس جیمیل و 450 میلیون آدرس ایمیل یاهو در مجموعه COMB مشاهده می­شود.

جیمیل همانند نتفیلیکس هیچ موقع به نشت اطلاعات اذعان نکرده است. اما این اطلاعات منتشر شده بیشتر مربوط به افرادیست که آدرس جیمیل آنها در سایتهای مورد حمله واقع شده استفاده است.

از سوی دیگر مایکروسافت تایید کرده است که در ماه ژانویه و مارس سال 2019، هکرها موفق شده­اند که به شناسه­های تعدادی از کاربران اوت­لوک، هات­میل و MSN دست یافته­اند.

اما احتمالا بیشترین مجموعه نشت یافته، سهم  یاهو می­باشد که در سال 2014 اطلاعات همه سه میلیارد کاربر آن را تحت تاثیر قرار داده است. از دیگر سو به نظر میرسد که مجموعه COMB از داده­های مرده و سوخته پاکسازی شده است و این مورد، اهمیت بررسی لو رفتن داده ­های کاربران را نشان می­دهد.

 

نشت اطلاعات و فروش اطلاعات کاربران موبایل با یک حفره امنیتی

به گزارش سایت هکرید، بر اساس اعلام یک دانشجوی علوم کامپیوتر، اطلاعات مربوط به مکان جغرافیایی کاربران گوشی‌های هوشمند تحت تاثیر یک حفره امنیتی موجود در وب سایت شرکت LocationSmart افشا شده است.

Takian.ir LocationSmart vulnerability leaking tracking data

این روزها که بازار آسیب‌پذیری و ضعف‌های رایانه‌ای به شدت رونق گرفته و اطلاعات شخصی کاربران را تهدید می‌کند، شرکت‌های توسعه‌دهنده و غول‌های تکنولوژی بسیاری نیز به دنبال برطرف کردن این موانع و مشکلات سایبری هستند و در  این راستا نسخه‌های به‌روزرسانی جدیدی را منتشر می‌کنند. شرکت LocationSmart مستقر در شهر سان دیاگو، با استفاده از یک آسیب پذیری و ضعف امنیتی موجود بر روی وب سایت خود توانسته است به لوکیشن یا مکان جغرافیایی کاربران گوشی‌های هوشمندی که از اپراتورهای آمریکایی ورایزن، تی – موبایل، اسپرینت و AT&T و اپراتورهای کانادیی Rogers، Bell و Telus تهیه و خریداری شده بودند، دسترسی پیدا کند.

این دانشجوی فعال در زمینه امنیت سایبری و علوم کامپیوتر که رابرت شیائو نام دارد، مدعی شده که وب سایت شرکت مذکور با آسیب پذیری و حفره امنیتی که داشته است، توانسته حریم شخصی کاربران گوشی‌های هوشمند را نقض کرده و به اطلاعات خصوصی آن‌ها دسترسی یابد. به گفته وی، این اطلاعات مربوط به مکان جغرافیایی تا مسافت چندین کیلومتری کاربران قابل دسترسی، مشاهده و ردیابی بوده است.

سوالی که ممکن است برای بسیاری از مردم در اینجا پیش بیاید آن است که دلیل  سوءاستفاده برخی شرکت‌ها نظیر LocationSmart از اطلاعات مردم چیست؟

در پاسخ به این سوال باید گفت که کارشناسان فعال در این حوزه بر این باورند یکی از این دلایل می تواند فروش مکان جغرافیایی کاربران به شرکت ها و سازمان هایی باشد که می خواهند آنها را ردیابی کنند. که این امر بیشتر به نظر می رسد به درد نهادهای امنیتی و اطلاعاتی بخورد که به دنبال افراد می گردند.

یکی دیگر از این دلایل می تواند فروش اطلاعات کاربران نظیر مکان جغرافیایی‌شان به شرکت‌های تبلیغاتی برای ارسال پیامک و ایمیل‌های مرتبط با محل زندگی و کار آنها باشد که این احتمال نیز بسیار قوی بوده و موجب درآمدزایی و سودآوری بسیار زیادی برای این شرکت می شود.

مدت‌هاست که ضعف‌ها و حفره‌های امنیتی اسپکتر و ملت داون کشف شده در پردازنده‌های ساخته شده توسط شرکت اینتل که از سال ۱۹۹۵ به بعد وجود داشته و باعث شده هکرها به اطلاعات ذخیره شده برروی حافظه رایانه‌ها دسترسی پیدا کنند، مورد بحث‌های فراوانی قرار گرفته است.

این ضعف‌ها به هکرها اجازه می‌داد علاوه بر سرقت کلمات و رمز عبور کاربران، تمامی اطلاعات ذخیره شده موجود بر حافظه، پردازنده رایانه و گوشی‌های همراه را به سرقت برده و از آن سوءاستفاده کنند و این سطح از دسترسی موجب می‌شد به تراشه‌های دیگری همچون ای ام دی و ای آر ام نیز دسترسی یابند.

نقاط ضعف شبکه 5G و هشدار جدی آژانس های اطلاعاتی ایالات متحده

takian.ir usa agencies warn 5g weaknesses 1

اجرای ضعیف و ناکافی استانداردهای مخابراتی، تهدیدات زنجیره تأمین و ضعف در ساختار سیستم ها را می توان به عنوان خطرات عمده در زمینه امنیت سایبری شبکه های 5G برشمرد که به طور بالقوه این شبکه را به یک هدف سودآور برای مجرمان سایبری و دشمنان دولت ها و ملت ها تبدیل می کند تا از آن برای بهره برداری و سوءاستفاده از اطلاعات ارزشمند استفاده کنند.

به نقل از هکرنیوز، این تجزیه و تحلیل، با هدف شناسایی و ارزیابی خطرات و آسیب پذیری های موجود در 5G، در روز دوشنبه توسط آژانس امنیت ملی ایالات متحده (NSA)، با مشارکت دفتر مدیریت اطلاعات ملی (ODNI) و دپارتمان امنیت میهن (DHS) آژانس امنیت سایبری و امنیت زیرساخت (CISA) منتشر گردیده است.

در این گزارش آمده است: "با انتشار سیاست ها و استانداردهای جدید 5G، احتمال تهدیداتی که کاربر نهایی را تحت تأثیر قرار می دهد همچنان وجود دارد. به عنوان مثال، ممكن است حکومت ها سعی كنند تأثیر اندکی بر استانداردهایی وارد كنند كه به نفع فناوری های اختصاصی آنها باشد و انتخاب مشتریان را برای استفاده از سایر تجهیزات یا نرم افزار محدود كند".

 در این گزارش بخصوص به نفوذ بی مورد ملت های متخاصم در ایجاد استانداردهای فنی اشاره شده است که ممکن است زمینه را برای استفاده از فناوری ها و تجهیزات اختصاصی غیرقابل اعتماد که بروزرسانی، تعمیر و جایگزینی آنها دشوار است فراهم کند. در این گزارش موارد نگران کننده دیگری نیز وجود دارد. کنترل های امنیتی اختیاری که در پروتکل های ارتباط از راه دور نهفته است، که اگر توسط اپراتورهای شبکه اجرا نشود، میتوانند فضا را برای حملات مخرب آزاد بگذارند.

دومین زمینه نگرانی که توسط NSA، ODNI و CISA به شکل برجسته اشاره شده، زنجیره تأمین است. اجزای خریداری شده از تأمین کنندگان، فروشندگان و ارائه دهندگان خدمات شخص ثالث می توانند تقلبی بوده یا در معرض خطر قرار گیرند و با نقص امنیتی و بدافزاری که در مراحل اولیه توسعه وارد میشوند، عاملان تهدید را قادر می سازد تا در مراحل بعدی از آسیب پذیری ها سوءاستفاده کنند.

بر اساس این آنالیز، اجزای تقلبی به خطر افتاده می تواند عامل مخرب را قادر سازد که بر محرمانه بودن، یکپارچگی یا در دسترس بودن اطلاعاتی که از طریق دستگاه ها رد و بدل میشود، تأثیر بگذارد و به صورت جانبی به سایر قسمتهای حساس شبکه منتقل شود.

این فاکتور همچنین می تواند به شکل حمله زنجیره تامین نرم افزار باشد که در آن کد مخرب به شکلی هدفمند به ماژولی که به سمت کاربر هدف روانه میشود، با آلوده کردن مرکز کد منبع یا ربودن کانال توزیع، اضافه میگردد. که بدین طریق به کاربران آگاه و قربانی اجازه می دهد تا مولفه های خطرآفرین را در شبکه هایشان اجرا کنند.

در آخر، نقاط ضعف موجود در شاکله 5G می تواند به عنوان نقطه پرشی برای اجرای انواع حملات مورد استفاده قرار گیرد. در این میان نیاز به پشتیبانی از زیرساخت ارتباطی قدیمی 4G وجود دارد که همراه با مجموعه ای از کاستی ها را بصورت ذاتی در خود دارد که می تواند توسط عاملان حملات مخرب مورد سوءاستفاده قرار گیرد. مورد دیگر، مسئله مدیریت نادرست اسلایس ها است که می تواند به دشمنان اجازه دهد داده ها را از اسلایس های مختلف بدست آورند و حتی دسترسی مشترکان را نیز مختل نمایند.

در یک مطالعه که توسط ادپتیو موبایل در مارس 2021 منتشر شد، نشان داد که نقص های امنیتی در مدل اسلایس که می تواند برای دسترسی به داده ها و انجام حملات DoS بین برش های مختلف شبکه، در ساختار شبکه 5G اپراتور تلفن همراه ، دوباره استفاده شود.

در این گزارش مفصل آمده است: "سیستم های 5G برای رسیدن به پتانسیلشان، به مکمل فرکانس های طیف مختلف (پایین، متوسط ​​و بالا) نیاز دارند، زیرا هر نوع فرکانس مزایا و چالش های منحصر به فردی را ارائه می دهد. با افزایش تعداد دستگاه هایی که برای دستیابی به همان طیف رقابت می کنند، اشتراک گذاری این طیف فرکانس ها در حال رواج یافتن است. به اشتراک گذاری طیف ممکن است فرصت هایی را برای عاملان حملات مخرب فراهم کند تا در مسیرهای ارتباطی غیرقابل کنترل تداخل ایجاد کرده و مداخله کنند، که این امر بر شبکه های مهم ارتباطاتی تأثیر  بسزایی می گذارد".

در بررسی و شناسایی سیاست ها و استانداردها، زنجیره تأمین و شاکله سیستم های 5G به عنوان سه عامل اصلی تهدید بالقوه، هدف ارزیابی خطرات ناشی از انتقال به فناوری بی سیم جدید و همچنین اطمینان از استقرار زیرساخت های 5G ایمن و مطمئن است.

آژانس ها امنیتی اعلام کرده اند: "این تهدیدها و آسیب پذیری ها می تواند توسط عوامل تهدیدات مخرب برای تأثیر منفی بر سازمانها و کاربران استفاده شود. بدون تمرکز مداوم بر روی الگوها، جهتگیری ها و ساختارهای تهدید و مخاطرات شبکه 5G و شناسایی زود هنگام نقاط ضعف در ساختار سیستم، آسیب پذیری های جدید، تأثیر حوادث سایبری را به شکل قابل ملاحظه ای افزایش می دهند".

ویروس ADB.minner دستگاه های اندرویدی را هدف گرفته است

به گزارش سایت scmagazine ، ارزش ارزهای دیجیتالی رمزگذاری شده، به تازگی با نوسان‌های شدیدی همراه بوده و حالا روندی تا حدودی صعودی به خود گرفته است. در این بین اما به نظر می‌رسد مجرمان سایبری از اینکه می‌توانند با استفاده از سخت‌افزارهای مختلف قربانیان به استخراج این ارزها دست بزنند راضی و خشنود به نظر می‌رسند. این امر معمولاً در قالب وجود پلاگین‌های ماینینگ این ارزها که روی وب‌سایت‌های مختلف قرار گرفته‌اند عملی می‌شود. این در حالی است که به تازگی بدافزار اندرویدی جدیدی در حال گسترش است که از سخت‌افزار گوشی هوشمند شما برای استخراج این ارزها استفاده می‌کند.Takian.ir androidmalware ADBminer

این بدافزار که با عنوان ADB.Miner شناخته می‌شود اولین‌بار توسط شرکت امنیتی چینی Qihoo 360 Netlab رصد شد. محققان گزارش کرده‌اند این بدافزار، توانایی انتقال به دستگاه‌های دیگر را از طریق شبکه وای‌فای داراست. پیشوند ADB در نام این بدافزار در واقع به روشی که برای انتشار این کد مخرب استفاده شده یعنی Android Debug Bridge اشاره دارد. این کد مخرب در واقع ابزاری برای توسعه‌دهندگان است که در اندروید ادغام شده و امکان برقراری ارتباط با یک دستگاه را از طریق رابط کاربری خط فرمان فراهم می‌کند. در این مورد خاص، توسعه‌دهندگان بدافزار یادشده از این ابزار، علیه کاربران استفاده کرده‌اند.

ADB.Miner از طریق اپلیکیشن‌های آلوده یا همان فایل‌های APK که در فروشگاه‌های نرم‌افزاری غیررسمی شاهد هستیم منتشر می‌شود. Qihoo 360 Netlab مدعی شده این بدافزار در تعدادی از نرم‌افزارهایی مخفی شده که مدعی هستند کاربر را در مقابل ویروس‌ها محافظت می‌کنند. در صورت آلودگی دستگاه اندرویدی شما به این بدافزار، ADB.Miner از توان پردازشی دستگاه شما برای استخراج ارز دیجیتالی رمزگذاری شده Monero و انتقال آن به کیف پول دیجیتالی توسعه دهنده این بدافزار استفاده می‌کند. امری که به ایجاد وقفه‌های پی در پی در عملکرد گوشی هوشمند شما و همچنین خالی شدن سریع باتری منجر خواهد شد.

فاز بعدی حمله، چشمگیرتر خواهد بود. در این بخش، ADB.Miner از کد بدافزار Mirai IOT که در سال گذشته میلادی شاهد گسترش آن بودیم استفاده می‌کند. به این ترتیب، بدافزار به اسکن شبکه‌های وای‌فای پرداخته تا با استفاده از حفره‌های امنیتی موجود در دستگاه‌ها، فرایند آلوده‌سازی را از طریق ADB انجام دهد. این در حالی است که ADB به طور پیش‌فرض روی تمامی دستگاه‌های اندرویدی غیرفعال شده است و به فرایندی چند مرحله‌ای برای فعال‌سازی آن نیاز خواهد بود. دستگاه‌ قربانی باید به نحوی پیکربندی شوند که ADB روی پورت ۵۵۵۵ برای آن‌ها فعال شده باشد. امری که به فرایند پیکربندی جداگانه‌ای پس از فعال‌سازی ADB نیاز خواهد داشت. با آلوده کردن دستگاه قربانی مورد نظر، توسعه‌دهندگان بدافزار می‌توانند مجموعه‌ای از دستگاه‌های دیگر را هم برای تولید ارزهای دیجیتالی رمزگذاری شده از طریق فرایند ماینینگ، آلوده کنند.

Qihoo 360 Netlab مدعی شده تعداد دستگاه‌های اندرویدی که تا کنون آلوده شده‌اند به هزاران مورد می‌رسد که اکثر آن‌ها متعلق به کاربران چین و کره جنوبی است.