IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

CVE

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

کشف بدافزار جدید ماینینگ ارز دیجیتالی با قدرت بسیار بالا بنام ZombieBoy

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.Takian.ir ZombieBoy Malware Threatens The Security of Cryptocurrency Worldwide
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.Takian.ir ZombieBoy
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.