IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Patch

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آسیب پذیری اجرای کد از راه دور در سیستم عامل Junos شرکت Juniper Networks

 

یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 takian.ir juniper networks

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

سوءاستفاده از نرم افزار Exchange Server برای اجرای باج افزار DearCry

 

در حال حاضر، بیش از 80،000 سرور در معرض باج افزار DearCry قرار دارند. مایکروسافت نیز از مشتریان خود خواسته است تا وصله های صادر شده در هفته گذشته را نصب کنند.

هفته گذشته مایکروسافت فاش کرد که سرور Exchange Email این شرکت توسط هکرهای چینی هدف قرار گرفته است و پس از آن 30000 سازمان در سراسر جهان را در معرض خطر قرار داده است. این سازمان ها شامل سازمان بانکی اروپا (EBA) است که قبلاً تایید کرده است که هکرها در سیستم ایمیل آن نفوذ کرده بودند.

اکنون مایکروسافت عوامل تهاجمی جدیدی را شناسایی کرده است که باج افزار DearCry را بر روی سیستم هایی که به آخرین نسخه به روز نمی شوند، اجرا می کنند؛ به این معنی که سرور Exchange Email آنها هنوز بروزرسانی نشده و همچنان در معرض حمله است.

هشدارهای مایکروسافت درباره شاخه های دیگری از باج افزارDearCry

مایکروسافت هشداری را منتشر کرده است تا به کاربران Exchange در مورد آسیب های جدید باج افزار با نام DearCry هشدار دهد. براساس توئیتی که از طرف تیم امنیتی اطلاعاتی مایکروسافت منتشر شده است، هکرها برای قرار دادن باج افزار DearCry در سیستمها، سرورهای Exchange بروزرسانی ندشه موجود را هدف قرار داده اند.

به گفته مایکروسافت، هکرها به طور خاص سرورهایی را هدف قرار می دهند که هنوز در معرض چهار آسیب پذیری هستند که هکرهای حمایت شده از دولت چین از آنها سو استفاده کرده اند. توییت ذکر شده، به شرح زیر میباشد:

"ما خانواده جدیدی از باج افزارها را که پس از به خطر افتادن اولیه سرورهای Exchange بروزرسانی نشده و استفاده می شوند را شناسایی کرده و در حال حاضر آنها را مسدود کرده ایم. مایکروسافت در برابر این تهدید معروف به Ransom: Win32 / DoejoCrypt.A و همچنین DearCry محافظت می نماید".

هک سرور هافنیوم که قبلاً شناسایی شده بود، انگیزه جاسوسی داشتند. اما بالعکس، کمپانی ESET گزارش داده است که حداقل ده گروه هک تحت حمایت دولت در تلاشند تا از نقص های بروزرسانی نشده سرور Exchange سوءاستفاده کنند.

آنها شامل گروه Winniti ، Tick ، ​​Calypso ، LuckyMouse (APT27) است که قصد دارتد سرورهای Exchange را به خطر بیاندازد. در مقابل، حملات و تهاجم های تازه کشف شده به وضوح در راستای مقاصد مجرمانه پیش می روند.

کاربران سرورExchange، بروزرسانی ها را اعمال کنند

مایکروسافت همچنین با انتشار توییتی، از کاربران خواسته است تا بروزرسانی های اضطراری هفته گذشته خود را که بر سرورهای ایمیل داخلی Exchange تأثیر می گذارند، اعمال نمایند.

فیلیپ میسنر، از محققین مایکروسافت در توئیتر خود نوشت که مجرمان اینترنتی در تلاشند تا از نقایص سرور ProxyLogon Exchange  که به شدت مورد سوءاستفاده قرار گرفته است، برای نصب باج افزار DearCry استفاده کنند.

میسنر در توئیت خود نوشت: "حملات باج افزارهای که توسط کاربران انسانی و نه ربات مدیریت میشوند، از نقاط آسیب پذیر مایکروسافت Exchange برای سوءاستفاده از مشتریان بهره برداری می کنند".

این شرکت توییت کرد که کاربران مایکروسافت Defender که بروزرسانی خودکار را فعال کرده اند نیازی به اقدام ویژه ای ندارند، اما کاربران Exchange Server باید بلافاصله بروزرسانی های امنیتی را نصب نمایند.

توییت مایکروسافت

مشتریان Microsoft Defender که از بروزرسانی های خودکار استفاده می کنند برای دریافت این بروزرسانی های امنیتی، نیازی به اقدامات اضافی ندارند. مشتریان Exchange Server باید بروزرسانی های امنیتی را که در اینجا ذکر شده است، در اولویت قرار دهند. (امنیت اطلاعات مایکروسافت، 12 مارس سال 2021 میلادی)

حدود 80،000 سرور هنوز بروزرسانی نشده اند

باج افزار DearCry از رفع آسیب پذیری از طریق بروزرسانی ویندوز جلوگیری می کند و می تواند همه پرونده ها را رمزگذاری کرده و یک متن برای دریافت باج در دسکتاپ قربانی نمایش دهد. مایکروسافت یک بروزرسانی را برای جلوگیری از این آسیب، حدود ده روز پیش منتشر کرده است.

با این حال، به گفته مت کرانینگ، مدیر ارشد فناوری Palo Alto Networks، هنوز هم 80،000 سرور قدیمی بروزرسانی نشده اند. این نرخ برای هر سیستمی که به یک وصله امنیتی احتیاج دارد و به اندازه مایکروسافت Exchange بسیار پیچیده و گسترده است ، نرخ بالایی محسوب میگردد.

مت کرانینگ افزود: "در حال حاضر ما از سازمان هایی که همه نسخه های Exchange را اجرا می کنند، میخواهیم قبل از اینکه در معرض خطر قرار بگیرند، سیستم خود را بروزرسانی کنند؛ زیرا ما می دانیم که مهاجمان حداقل از دو ماه قبل از انتشار بروزرسانی مایکروسافت در 2 مارس ، از آسیب پذیری های روز صفر تا حد امکان سوءاستفاده می کردند".

کشف آسیب پذیری احراز هویت در فایروال مورد تایید ناتو و اتحادیه اروپا

 

یک عامل مهاجم و تهدید کننده با دسترسی شبکه به سطح ادمین، توانست به سادگی از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و در نهایت بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

شرکت مشاوره امنیت سایبری مستقر در اتریش با نام سِک کانسولت، یک آسیب پذیری بزرگ را در سیستم فایروال ساخته و توسعه داده شده توسط شرکت امنیت سایبری آلمانی Genua، شناسایی کرده است.

این سیستم با نام گنوآ گنوگِیت، وظیفه محافظت از ارتباطات بین تجهیزات، تامین امنیت شبکه داخلی در برابر تهدیدات خارجی و تقسیم بندی شبکه های داخلی را دارد.

گنوگیت تنها فایروال در جهان است که رتبه "بسیار مقاوم" را از دولت آلمان دریافت کرده است.

علاوه بر این، با مقررات امنیت اطلاعات NATO Restricted و EU’s RESTRIENT UE/EU RESTRICTED مطابقت و همخوانی دارد. این آسیب پذیری، تمامی نسخه های گنوگِیت را تحت تاثیر قرار داده است.

جنبه حائز اهمیت

طبق گزارش سِک کانسولت، رابط های مدیریت فایروال در برابر آسیب پذیری جانبی احراز هویت طبقه بندی شده و محرمانه با عنوان CVE-2021-27215 آسیب پذیر هستند.

یک عامل مهاجم به راحتی با دسترسی شبکه به سطح ادمین، توانست از این آسیب پذیری سو استفاده کرده و به صفحه مدیریت وارد شود و به متعاقب آن، بدون وارد کردن اطلاعات مورد نیاز ورودی سیستم، به عنوان کاربر خود را تعریف نماید.

سِک کانسولت توضیح میدهد که پس از دستیابی دسترسی به سطح مدیر و روت، برای مهاجم امکان پیکربندی مجدد فایروال، شامل "تنظیمات فایروال، تنظیمات فیلترهای ایمیل، تنظیمات فایروال برنامه تحت وب، تنظیمات پروکسی و غیره" به راحتی وجود دارد.

به عنوان مثال، مهاجمان میتوانند برای دسترسی به یک سیستم غیرقابل دسترسی، کل پیکربندی فایروال را تغییر داده و یا ترافیک سازمان را به "سرور پروکسی کنترل شده مهاجمان"، تغییر مسیر دهند.

توصیه سِک کانسولت

سِک کانسولت در توصیه خود، بر لزوم اصلاح هر چه سریعتر این آسیب پذیری تاکید دارد:

"در محیط های دارای مجوز و تایید شده، لازم است که رابط کاربری مدیر فقط از طریق یک شبکه کاملا مجزا در دسترس باشد. با این وجود، این یک آسیب پذیری امنیتی بسیار مهم و حیاتی است که باید بلافاصله اصلاح گردد".

این شرکت همچنین ویدئویی را برای توضیح نحوه کار این حمله منتشر کرده است (برای مشاهده ویدئو در یوتوب، بر روی این لینک کلیک کنید).

بهترین فایروال جهان دارای نقص بود!

محصولات گنوآ به طور گسترده ای توسط دولت، ارتش، کارخانجات و سازمان های مختلف مورد استفاده قرار میگیرد. با این حال، کشف این آسیب پذیری ثابت میکند که حتی بهترین نرم افزار جهان نیز بی عیب و نقص نیست.

سِک کانسولت توسط یکی از غول های بخش فناوری اطلاعات با نام Atos در سال 2020 خریداری شد. شرکت Armin Stock کمپانی Atos آلمان این آسیب پذیری را کشف کرد. یافته و مستندات در ژانویه 2021 به گنوآ گزارش شد و این شرکت طی چند روز فایل و یک پچ را برای اصلاح این مشکل منتشر کرد.

هشدار: حمله از طریق باگ مهم RCE به سرور VMware vCenter

 

عاملان خرابکار به طور فعال فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter بروزرسانی نشده که در برابر نقص مهم اجرای کد از راه دور که این شرکت در اواخر ماه گذشته به آن پرداخت آسیب پذیر هستند، جستجو می کنند.

این فعالیت که توسط Bad Packets در حال بررسی است، در 3 ژوئن شناسایی شده و دیروز توسط محقق امنیتی، کوین بومونت تأیید گردیده است. تروی مارچ، مدیر ارشد تحقیقات Bad Packets در توییتر خود نوشت: "فعالیت اسکن انبوه و گسترده از طریق آنالیز 104.40.252.159 برای بررسی آسیب پذیری هاست VMware vSphere در برابر امکان اجرای کد از راه دور شناسایی گردید".

این توسعه به دنبال انتشار یک کد proof-of-concept یا PoC برای سواستفاده از RCE و در راستی هدفگیری نقص و باگ VMware vCenter انجام پذیرفته است.

به نقل از هکر نیوز، این مورد که با عنوان CVE-2021-21985 (نمره CVSS 9.8) مطرح می شود، نتیجه عدم اعتبار سنجی ورودی در افزونه Virtual SAN (vSAN) Health Check است که می تواند توسط مهاجم برای اجرای دستورات با اختیارات نامحدود بر روی سیستم عامل اصلی که میزبان سرور vCenter است، مورد سواستفاده قرار گیرد.

takian.ir alert critical rce bug in vmware 1

 

اگرچه این نقص توسط VMware در تاریخ 25 ماه می برطرف شده است، اما این شرکت به شدت به مشتریان خود اعلام کرده است که بلافاصله تغییر اضطراری جدید را اعمال کنند. به نثل از VMware: "در این بازه زمانی از فعالیت باج افزارها، ایمن ترین حالت این است که تصور کنیم یک مهاجم از قبل در جایی از شبکه و روی دسکتاپ قرار دارد و شاید حتی در حال کنترل یک حساب کاربری در داخل شبکه باشد؛ به همین دلیل است که ما توصیه می کنیم هرچه سریعتر تغییر اضطراری و بروزرسانی را اعمال نمایید".

takian.ir alert critical rce bug in vmware 2

 

این اولین بار نیست که مهاجمان به شکل فرصت طلبانه ای، فضای سایبری را برای یافتن سرورهای آسیب پذیر VMware vCenter جستجو می کنند. یک آسیب پذیری مشابه اجرای کد از راه دور (CVE-2021-21972) که توسط VMware در ماه فوریه پچ شد، هدف حمله عاملین تهدیدات سایبری که سعی در بهره برداری و کنترل سیستم های بروزرسانی نشده داشتند، قرار گرفت.

براساس گزارشات Bad Packets و Binary Edge، حداقل ۱۴۸۵۸ سرور vCenter در آن بازه زمانی از طریق فضای سایبری، برای مهاجمین قابل دسترسی و نفوذ بوده اند.

علاوه بر این، یک تحقیق جدید از Cisco Talos در اوایل این هفته منتشر شد که نشان داد عامل تهدید در پس ربات مبتنی بر پایتون Necro، با سواستفاده از همان ضعف امنیتی ذکر شده در راستای افزایش توانایی انتشار آلودگی بدافزار، به سرورهای VMware vCenter در معرض خطر نفوذ پیدا میکند.

هک و کنترل از راه دور چندین میلیارد دستگاه اپل با این پچ رفع میشود؟

 

اپل برای رفع نقص امنیتی که می تواند به مهاجمان اجازه دهد کد دلخواه را از طریق محتوای وب مخرب اجرا کنند، یک out-of-band patch برای سیستم عامل خود،macOS ، watchOS و مرورگر وب Safari منتشر کرده است.

این آسیب پذیری که تحت عنوان CVE-2021-1844 از آن یاد می شود، توسط کلمنت لسین از گروه تجزیه و تحلیل تهدیدات گوگل و آلیسون هافمن از گروه تحقیقات آسیب پذیری مرورگر مایکروسافت، کشف و به این شرکت گزارش شد.

طبق گزارش های به روز شده توسط اپل، این نقص ناشی از یک مشکل خرابی حافظه است که می تواند منجر به اجرای کد خودکار هنگام پردازش محتوای خاص تحت وب شود. این شرکت گفت این مشکل با "بهینه سازی حساب شده" رفع گردیده است.

این به روزرسانی برای دستگاه های دارای iOS 14.4 ، iPadOS 14.4 ، macOS Big Sur و watchOS 7.3.1 (Apple Watch Series 3 و بالاتر) و به عنوان یک به روزرسانی در Safari برای MacBooks با macOS Catalina و macOS Mojave در دسترس و آماده دریافت است.

takian.ir apple issues patch for remote hacking

این تغییرات بر مبنای آخرین تحولات مربوط به سه آسیب پذیری روز صفر (CVE-2021-1782 ، CVE-2021-1870 و CVE-2021-1871) است که در ژانویه منتشر شد. نقاط ضعفی که به مهاجم اجازه میداد تا سطح دسترسی خود را افزایش داده و به امکان اجرای کد از راه دور دست یابد، که بعد از آن توسط تیم اجرایی "unc0ver" که تجهیزات اپل را اصطلاحا جیل بریک (jailbreak) میکردند، مورد سو استفاده قرار گرفت که به متعاقب آن قفل تقریباً هر مدل آیفون را با نسخه 14.3 باز کنند.

شایان ذکر است که هافمن همچنین درگیر کشف یک اشکال روز صفر فعال مورد سوءاستفاده در مرورگر کروم بود که هفته گذشته توسط گوگل رفع شد. اما بر خلاف نقص امنیتی کروم، هیچ مدرکی دال بر بهره برداری سوءاستفاده از CVE-2021-1844 توسط هکرهای مهاجم و خرابکار وجود ندارد.

تیم امنیتی ما به کاربران دستگاه های اپل یا کسانی که از نسخه آسیب پذیر کروم استفاده می کنند، توصیه می کند که برای کاهش خطر و رفع نقص، در اسرع وقت این به روزرسانی ها را نصب نمایند.