IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Github

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

هک سایت گیت هاب و دسترسی به بخش جنتو لینوکس Gentoo Linux

طبق اعلام رسمی سایت «Github» در 28 ژوئن 2018 این سایت هدف یورش سایبری قرارگرفته است. در این تهاجم به بخش «Gentoo Linux» این وبگاه نفوذ شده است.Takian.ir gentoo linux hack

جنتو لینوکس «Gentoo Linux» یک توزیع کننده لینوکس است که نامش از (پنگوئن جنتو) گرفته شده‌است. این توزیع کننده با استفاده از سامانه مدیریت بسته خود به نام (پورتیج) به کاربر این امکان را می‌ دهد که تقریباً تمام برنامه ‌ها را آن طور که می ‌خواهد کامپایل و بنابر نیاز خود آن‌ها را بهینه ‌سازی کنید. به همین دلیل جنتو یکی از سریع‌ترین توزیع‌ کننده های لینوکس است.

شرکت یاد شده تا لحظه انتشار این خبر میزان دقیق حمله و نفوذ صورت گرفته را اعلام نکرده است. اما تلاش ها برای بازیابی کامل منابع در جریان است.

در این تهاجم جنتو هایی که در حافظه ابری برای پشتیبانی قرار گرفته بودند نیز با مشکل روبه رو شده و از دسترس خارج شدند.

منابع اطلاعاتی سایت «Github»، اظهار کردند که اگر شما کاربر جنتو هستید، منتظر اطلاعیه های بعدی ما باشید، لذا از منابع خبری شما را در جریان اتفاقات تازه می گذاریم.

بالاخره دلیل اصلی بزرگترین نشت اطلاعاتی سولارویندز مشخص شد!

 

در حالی که محققان امنیت سایبری به حمله گسترده علیه زنجیره تامین SolarWinds ادامه میدهند، مدیران ارشد شرکت خدمات نرم افزاری مستقر در تگزاس، یک کارآموز را مقصر آسیب رمز عبور مهمی میدانند که برای سال ها مورد توجه قرار نگرفته بود.

takian.ir solarwinds blames intern for weak password that led to biggest attack in 2020

در ابتدا اعتقاد بر این بوده است که رمز عبور "SolarWinds123" از 17 ژوئن سال 2018 و قبل از پیکربندی ناصحیح در 22 نوامبر 2019 از طریق داده های Github در دسترس عموم بوده است.

اما در جلسه استماع که در روز جمعه و در برابر کمیته های نظارت، اصلاحات و امنیت داخلی مجلس در SolarWinds برگزار شد، مدیرعامل مجموعه (سوداکار راماکریشنا) شهادت داد که رمز عبور از اوایل سال 2017 مورد استفاده قرار گرفته است.

در حالی که تحقیقات مقدماتی در مورد این حمله نشان داد اپراتورهایی که عامل جاسوسی بوده اند موفق شده اند از اوایل اکتبر 2019 با ایجاد نرم افزار و همچنین ایجاد زیرساخت امضای کد از پلت فرم SolarWinds Orion برای تحویل بسته به Sunburst Backdoor بهره ببرند، حال آنکه تلاش های Crowdstrike برای پاسخگویی با استناد به یک جدول زمان بندی تجدید نظر شده نشان میدهد که اولین نقص شبکه SolarWinds در 4 سپتامبر 2019 ایجاد شده است.

تا به امروز دستکم 9 سازمان دولتی و 100 شرکت خصوصی به عنوان یکی از پیچیده ترین و برنامه ریزی شده ترین عملیات شامل نفوذ و رسوخ عامل مخرب به سیستم عامل نرم افزار Orion با هدف به خطر انداخت مشتریانشان، تخلف کرده و تحت حمله قرار گرفته اند.

اشتباهی که یک کارآموز مرتکب شد

کتی پورتر ، نماینده کالیفرنیا ، گفت: "من رمز عبور قوی تری نسبت به "solarwinds123" دارم تا بچه هایم را از تماشای YouTube بیش از حد در iPad خود بر حذر دارم"؛ "شما و شرکت شما قرار بود مانع خواندن ایمیل های وزارت دفاع توسط روس ها شوید".

راماکریشنا در پاسخ به پورتر گفت: "به زعم بنده، این رمز عبوری بوده است که یک کارآموز در سال 2017 در یکی از سرورهای وی استفاده شده که به تیم امنیتی ما گزارش شد و بلافاصله برداشته و حذف شده است".

مدیر عامل سابق مجموعه، کوین تامپسون اظهارات راماکریشنا را در هنگام شهادت تکرار کرد و گفت: "این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد. آنها خط مشی و اصول رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند". وی افزود: "به محض اینکه شناسایی این مورد شد و به اطلاع تیم امنیتی من رسید، آنها این نقص قانون را حل و فصل کرده و از این آسیب جلوگیری کردند".

محقق امنیتی، وینوت کومار در ماه دسامبر افشا کرد که وی به شرکتی به داده های GitHub دسترسی عمومی دارد، اطلاع داده است به وضوح اعتبارنامه های FTP اطلاعات وب سایت دانلود شرکت نشت پیدا کرده است و افزون بر آن، یک هکر می تواند از اعتبارنامه برای بارگذاری یک دستور و کد اجرایی مخرب استفاده کند و متعاقبا آن را در بروزرسانی های SolarWinds بارگذاری کند.

در هفته های پس از افشای اطلاعات ، SolarWinds در ژانویه 2021 با یک دادخواست طبقاتی روبرو شد که ادعا می کند این شرکت نتوانسته است اعلام کند که "از اواسط سال 2020، محصولات نظارت بر SolarWinds Orion دارای آسیب پذیری ای بوده اند  که به هکرها اجازه داده است تا سرور مورد نظر خود را به خطر بیاندازند و بروزرسانی های سرور SolarWinds دارای پسوردی بسیار ساده بوده اند (solarwinds123) که به متعاقب آن هدف تحت آسیب بسیار جدی قرار گفته است.

ناسا و سازمان هواپیمایی فدرال نیز هدف قرار گرفته اند

اعتقاد بر این است که حداکثر 18000 مشتری از SolarWinds به روزرسانی تروجان Orion را دریافت کرده اند، اگرچه عامل اجرایی و تهدید کننده این عملیات، با دقت اهداف خود را انتخاب کرده و تصمیم گرفته بوده است تنها در موارد با ضریب آسیب پذیری بالا با استفاده از بدافزار Teardrop مبتنی بر اینتل در هنگام شناسایی اولیه ، حملات را فقط در چند مورد در محیط هدف برای حساب های با ارزش بالا اقدام کند.

به گزارش واشنگتن پست، علاوه بر نفوذ به شبکه های مایکروسافت، CrowdStrike، Malwarebytes، FireEye و Mimecast، گفته میشود که مهاجمان از SolarWinds به عنوان سکوی پرشی برای نفوذ به اداره ملی هوا و فضا (NASA) و سازمان هواپیمایی فدرال (FFA) استفاده کرده اند.

هفت سازمان متخلف دیگر نیز شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و موسسات ملی بهداشت هستند.

ریاست مایکروسافت، برد اسمیت در جلسه استماع گفت: "علاوه بر این برآورد، ما قربانیان دیگری در دولت و بخش خصوصی در کشورهای دیگر شناسایی کرده ایم و معتقد هستیم که به احتمال زیاد قربانیان دیگری که هنوز شناسایی نشده اند، از قلم افتاده اند. شاید علی الخصوص در مناطقی که مهاجرت ابری به اندازه کشور آمریکا پیشرفته نیست این موارد بیشتر نیز باشد".

ادعا میشود که گروه مهاجم روس تبار باشند با استفاده از مانیکرهای مختلف شامل UNC2452 (FireEye)، SolarStorm (Palo Alto Unit 42)، StellarParticle (CrowdStrike)، و Dark Halo (Volexity)  تحت تعقیب و ردیابی قرار گرفته اند.

آن نیوبرگر، معاون مشاور امنیت ملی ماه گذشته در جلسه توجیهی کاخ سفید گفت: هکرها این نفوذ هک را از داخل ایالات متحده آغاز کرده اند، که این امر امکان نظارت بر کار آنها را برای دولت آمریکا دشوارتر کرده است". همچنین وی افزود: "این یک عملیات پیچیده است که آنها تمام تلاش خود را برای پنهان کردن مسیرهای اقدامات خود به کار بسته اند. ما معتقدیم که برنامه ریزی و اجرای این عملیات، ماه ها طول کشیده است".

اتخاذ رویکرد "امنیت در طراحی"

اسمیت حمله سایبری SolarWinds را به "یک سری حملات نفوذی خانگی" تشبیه کرده است و خواستار تقویت زنجیره های تامین نرم افزار و سخت افزار بخش فناوری و همچنین ترویج به اشتراک گذاری گسترده تر اطلاعات تهدید و نفوذ برای انجام پاسخ های بی درنگ به هنگام چنین حوادثی، شده است.

بدین منظور، مایکروسافت پرسش های متن باز CodeQL را برای جستجوی فعالیت Solorigate مورد استفاده قرار داده است، که به گفته آن میتواند توسط سازمان های دیگر برای تجزیه و تحلیل کد منابع در مقیاس خود و بررسی شاخص های سازش یا IoCs و الگوهای رمزگذاری مرتبط با جمله مورد استفاده قرار گیرد.

در یک طرح توسعه مرتبط نیز، محققان امنیت با سایبری وال استریت ژورنال صحبت کرده و فاش کردند که هکرهای روسی مظنون، از مراکز داده رایانش ابری آمازون برای ایجاد و اتصال قسمت اصلی این کمپین استفاده کرده اند و بدین ترتیب حملات و تاکتیک هایی که توسط مهاجمین استفاده شده را تا حدودی برملا و مشخص کرده اند. هر چند که این غول تکنولوژی تا کنون اطلاعات بیشتری در مورد فعالیت هکرها علنی نکرده است.

در انتها SolarWinds به نوبه خود گفته است که دانش به دست آمده از این حادثه را برای تبدیل شدن به یک شرکت "Secure by Design" یا امنیت در طراحی به کار گرفته و از این نرم افزار برای حفاظت از دیگر تهدیدات و همچنین شناسایی و حذف تهدیدها در تمام نقاط شبکه خود شامل اقدامات برای حفاظت از محیط توسعه خود، به کار میگیرد.

شبکه تحویل محتوای گوگل (CDN) میزبان تصاویر آلوده به بدافزارها شد

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.Takian.ir googleusercontent cdn hosting images infected with malware 1
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.Takian.ir googleusercontent cdn hosting images infected with malware 2
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."