IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

cybersecurity

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

 باگ CloudFlare CDNJS و گسترش حملات زنجیره تأمین

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 1

زیرساخت شبکه و وب سایت شرکت امنیتی CloudFlare ماه گذشته یک آسیب پذیری مهم را در لایبرری CDNJS خود رفع کرده است. این لایبرری مجموعا 12.7٪ از کل وب سایت های فضای اینترنت را در بر گرفته که از آن استفاده می کرده اند.

ساختار CDNJS یک شبکه تحویل محتوای منبع باز یا content delivery network (CDN) است که به حدود 4،041 مجموعه JavaScript و CSS سرویس ارائه می کند و پس از مجموعه های هاست Google، دومین لایبرری محبوب CDN برای JavaScript است.

این ضعف مربوط به موردی در سرور بروزرسانی لایبرری CDNJS بود که می تواند به طور بالقوه به مهاجم اجازه دهد دستورات دلخواه خود را اجرا کند. این اجرای دستورات دلخواه منتج به در معرض خطر قرار گرفتن کامل آن سرور شود.

به نقل از هکرنیوز، این آسیب پذیری توسط محقق امنیتی RyotaK در 6 آوریل 2021 کشف و گزارش شد. تاکنون هیچ مدرکی دال بر سواستفاده از این نقص در حملات سایبری پیدا و افشا نشده است.

این آسیب پذیری به طور خاص با انتشار پکیج هایی در CDNJS Cloudflare با استفاده از GitHub و npm، و از آن برای ایجاد آسیب پذیری در طی مسیر استفاده مینماید؛ و در نهایت سرور را فریب می دهد تا کد دلخواه خود را اجرا نموده که به متعاقب آن به هدف پایانی یعنی اجرای کد از راه دور نیز می رسد.

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 2

شایان ذکر است که زیرساخت CDNJS شامل ویژگی هایی برای بروز رسانی خودکار لایبرری با اجرای دوره ای اسکریپت ها بر روی سرور برای دانلود فایل های مرتبط از منبع Git مبتنی بر مدیریت کاربر مربوطه یا پکیج رجیستری npm می‌باشد.

محقق امنیتی RyotaK با کشف موردی درباره نحوه پاکسازی مکانیزم مسیرهای پکیج، دریافت که "می توان کد دلخواه را پس از انجام پیمایش مسیر از فایل .tgz منتشر شده برای npm و رونویسی از اسکریپتی که به طور منظم در سرور اجرا می شود، اجرا کرد.".

به عبارت دیگر، هدف از این حمله انتشار نسخه جدیدی از یک پکیج ساختگی ویژه در منبع است که پس از آن سرور بروزرسانی لایبرری CDNJS را برای انتشار انتخاب می نماید؛ در این فرآیند محتوای پکیج مخرب را در نسخه ای از فایل اسکریپت که به طور منظم اجرا شده و در سرور میزبانی میشود کپی میکند و بدین ترتیب امکان اجرای کد دستوری دلخواه را بدست می آورد.

محقق امنیتی RyotaK گفت: "اگرچه این آسیب پذیری می تواند بدون مهارت خاصی مورد بهره برداری قرار گیرد، اما می تواند بسیاری از وب سایت ها را نیز تحت تأثیر قرار دهد. با توجه به این که آسیب پذیری های متعددی در زنجیره تأمین وجود دارد که بهره برداری از آنها ظاهرا آسان است اما این آسیب پذیری ها بسیار تأثیرگذار هستند که مسئله نشان از خطرناک و ترسناک بودن آنها دارد.".

این اولین بار نیست که محققان امنیتی درباره نحوه بروزرسانی منابع نرم افزار، نقایص اساسی و مهمی را کشف می کند. در آوریل 2021 نیز RyotaK اعلام کرد که یک آسیب پذیری مهم در منبع رسمی Homebrew Cask توسط یک مهاجم برای اجرای کد دلخواه در دستگاههای کاربران مورد سواستفاده قرار گرفته است.

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

آسیب پذیری بزرگ و سراسری XSS در Microsoft Edge

takian.ir microsoft edge

یک آسیب پذیری جدی سراسری در cross-site scripting یا XSS در مرورگر Microsoft Edge وجود دارد.

 

آسیب پذیری سراسری Microsoft Edge XSS
دو محقق امنیتی با نام های ونش دوگان و شیوام کومار سینگ، یک آسیب پذیری شدید جهانی و سراری XSS را در Microsoft Edge کشف کردند. به طور خاص، این باگ معمولاً بر امکانات ترجمه خودکار مرورگر تأثیر می گذارد.

به گزارش لیتست هکینگ نیوز، محققان با به اشتراک گذاشتن جزئیات این آسیب پذیری در یک مطلب، اعلام کردند که این آسیب پذیری را هنگام بازدید از یک وب سایت به زبان دیگر از طریق مرورگر Edge و تلاش برای ترجمه این صفحه، پیدا کردند. ظاهر شدن فوری یک پاپ‌آپ، منجر به کشف این آسیب پذیری XSS شد.

به طور خلاصه، این اشکال در فانکشن startPageTranslation وجود داشته است. کد آسیب پذیر امکان ترجمه خودکار به درستی ">" را در برچسب های HTML پردازش نکرد. همانطور که در مطلب محققان آمده است:

مرورگر Microsoft Edge (مترجم داخلی که از پیش نصب شده است) دارای یک کد آسیب پذیر است که در اصل هر تگ html دارای تگ "> img را بدون پاکسازی و حذف آلودگی ورودی یا تبدیل payload به متن هنگام ترجمه دریافت میکند؛ بنابراین در واقع ترجمه مترجم داخلی"> img src = x onerror = alert (1)> payload را گرفته و به دلیل اینکه هیچ بررسی صحت سنجی که باعث حذف آلودگی شود، وجود نداشته است یا DOM را بطور کامل به متن تبدیل میکند و سپس برای ترجمه پردازش کند، آنرا به عنوان جاوا اسکریپت اجرا مینماید.

برای آزمایش این موضوع، محققان یک فایل POC.html با payload حاوی "> " ایجاد کردند. سپس اگر کاربر هدف هر وبسایتی را از طریق مرورگر Edge با ترجمه خودکار فعال باز میکرد، آنها می توانستند برای هک کردن آن وبسایت اقدام نمایند.

با کلیک بر روی لینک پیوست، فیلم هک کردن حساب کاربری فیس بوک کاربر هدف که به سادگی و با ارسال درخواست دوستانی از پروفایلی که به زبان دیگر ایجاد شده را، مشاهده نمایید.

 

رفع نقص توسط مایکروسافت

به محض یافتن این آسیب پذیری، محققان در تاریخ 3 ژوئن 2021 با مایکروسافت ارتباط برقرار کردند. پس از مدتها مکاتبات و ارتباطات طولانی مدت، بالاخره شرکت مایکروسافت یک اصلاح برای این نقص در تاریخ 24 ژوئن سال 2021 منتشر کرد.

این غول فناوری رفع این اشکال (CVE-2021–34506) با آسیب پذیری دیگری (CVE-2021-34475) را در توصیه نامه امنیتی خود تأیید کرده است. به ویژه با انتشار مرورگر Microsoft Edge نسخه 91.0.864.59، پچ ها را نیز ارائه داده است.

مایکروسافت علاوه بر رفع این باگ، به محققان به دلیل گزارش این نقص، مبلغ 20000 دلار نیز به عنوان جایزه اهدا کرده است.

با توجه به ماهیت جدی این نقص، همه کاربران Edge باید از بروزرسانی مرورگرهای دستگاه خود به آخرین نسخه اطمینان حاصل کنند تا بتوانند از حملات احتمالی آینده جلوگیری نمایند.

آسیب پذیری بسیار شدید چیپ‌ست های NVIDIA Jetson

کمپانی NVIDIA، متخصص تراشه های گرافیکی ایالات متحده به منظور رفع مشکل در مجموع 26 آسیب پذیری تأثیرگذار بر سری Jetson system-on-module (SOM) خود که ممکن است توسط مهاجمان به منظور افزایش اختیارات و حتی امکان اجرای DoS و افشای اطلاعات، مورد سواستفاده قرار بگیرند، به روزرسانی های نرم افزاری ای را ارائه داده است.

موارد CVE‑2021‑34372 تا CVE‑2021‑34397 پیگیری شده اند و مشخص گردید که بر محصولات سری Jetson TX1 ،TX2 TX2 NX، سری AGX Xavier ،Xavier NX و Nano و Nano 2GB و همه مواردی که نسخه های Jetson Linux قبل از 32.5.1 را اجرا می کنند، تأثیرگذار هستند. این شرکت به دلیل ارائه گزارش همه مشکلات، به فردریک پریوت از اپل مدیا پروداکتز کردیت داده است.

takian.ir NVIDIA Jetson Nano

محصولات NVIDIA Jetson شامل ماژول های تعبیه شده در Linux AI و ماژول های محاسباتی ویژن رایانه ای و کیت های توسعه دهنده است که در درجه اول برنامه های دید رایانه ای مبتنی بر AI و سیستم های خودکار مانند ربات های متحرک و کوادکوپرها یا پهپادها را پشتیبانی می کند.

takian.ir NVIDIA Jetson Nano 2

 

مهمترین آسیب پذیری CVE ‑ 2021‑34372 score (امتیاز CVSS: 8.2) است که یک نقص سرریز بافر در محیط اجرایی امن Trusty یا (TEE) میباشد، که می تواند منجر به افشای اطلاعات، افزایش اختیارات و DoS یا Denial of Service شود.

هشت ضعف مهم دیگر شامل تخریب حافظه، سرریز استک ها و از دست رفتن باند چک ها در TEE و همچنین سرریزهای زیاد دیگریست که بر Bootloader تأثیر گذاشته و می تواند منجر به اجرای خودسرانه کد دستوری، Denial-of-Service و افشای اطلاعات شود. این شرکت خاطر نشان کرد که همچنین بقیه نقص های مربوط به Trusty و Bootloader، می توانند برای تأثیرگذاری بر اجرای کد دستوری، DoS و افشای اطلاعات مورد سواستفاده قرار گیرند.

کمپانی NVIDIA گفت: "نسخه های قبلی شاخه های نرم افزاری که از این محصول پشتیبانی می کنند نیز تحت تأثیر این آسیب پذیری قرار می گیرند. اگر از نسخه قبلی این محصولات استفاده می کنید، هر چه سریعتر آنرا به جدیدترین نسخه 32.5.1 ارتقا دهید؛ و اگر از نسخه 32.5.1 استفاده می کنید، هر چه سریعتر آنرا به جدیدترین پکیج های Debian به روز نمایید".

آسیب پذیری عظیم گزارش شده در Pulse Connect Secure VPN

takian.ir pulse secure vpn vulnerability 1

شرکت Ivanti که مسئول دستگاه های VPN Pulse Secure است، راهنمایی امنیتی برای آسیب پذیری بسیار جدی را منتشر کرده که ممکن است به مهاجم تایید شده از راه دور اجازه دهد که کد دلخواه خود را با اختیارات سطح دسترسی بالا اجرا نماید.

این شرکت در هشدار منتشر شده در تاریخ 14 ماه می، اعلام کرده است: "سرریز بافر در پروفایل های منبع فایل ویندوز درX.9 به کاربر تأیید شده از راه دور با اختیار دسترسی به فهرست اشتراک گذاری SMB اجازه می دهد تا کد دلخواه را به عنوان کاربر اصلی اجرا کند. از سویی، از نسخه 9.1 R3، این امکان به طور پیش فرض فعال نشده است".

این نقص که با نام CVE-2021-22908 شناخته می شود، دارای نمرهCVSS  هشت و نیم از حداکثر 10 است و بر نسخه های Pulse Connect Secure 9.0Rx و 9.1Rx تأثیر می گذارد. در گزارش جزئیات این آسیب پذیری، مرکز هماهنگی CERT گفته است که این مسئله از توانایی گیت وی برای اتصال به اشتراک گذاری فایل های ویندوز از طریق تعدادی از نقاط انتهایی CGI است که می تواند برای انجام حمله استفاده شود، نشات میگیرد.

مرکز هماهنگی CERT به طور دقیق در راهنمایی امنیتی آسیب پذیری که روز دوشنبه منتشر شد، اضافه کرد که با هدف قرار دادن اسکریپت CGI '/dana/fb/smb/wnf.cgi' قادر به ایجاد کد آسیب پذیر است: "در صورت تعیین یک نام طولانی سرور برای برخی از عملگرهای SMB، ممکن است برنامه" smbclt "به دلیل سرریز شدن بافر استک یا سرریز بافر heap، بسته به مدت زمان مشخص شدن نام یک سرور، کرش کند".

به کاربران Pulse Secure توصیه می شود که نسخه PCS Server 9.1R.11.5 را در مورد استفاده قرار دهند. در این میان، Ivanti یک فایل برای حل این مشکل ('Workaround-2105.xml') منتشر کرده است که می تواند با افزودن نقاط انتهایی URL آسیب پذیر به لیست مسدود شده ها، برای غیرفعال کردن ویژگی Windows File Share Browser استفاده شود و بنابراین برای محافظت در برابر این آسیب پذیری، اقدامات کاهنده لازم را فعال کند.

takian.ir pulse secure vpn vulnerability 2

 

این نکته حاکی از آن است که کاربرانی که از نسخه های سیستمی 9.1R11.3 یا پایینتر استفاده می کنند، باید فایل دیگری را با نام "Workaround-2104.xml" دریافت و اعمال کنند که این امر مستلزم آن است سیستم نسخه 9.1R11.4 را قبل از اعمال محافظت در "Workaround-2105.xml" اجرا کند.

در حالی که Ivanti توصیه به خاموش کردن جستجوگر فایل ویندوز در اینترفیس کاربری ادمین با غیرفعال کردن گزینه "Files, Windows [sic]" برای رول های کاربر مشخصی کرده است، مرکز هماهنگی CERT مشخص کرده است که در هنگام آزمایش برای محافظت در برابر نقص، انجام این مراحل کافی نیستند.

"نقاط نهایی آسیب پذیری CGI هنوز هم صرف نظر از اینکه نقش کاربر" Files، Windows "فعال باشد یا خیر، از طریق روش هایی قابل دسترسی هستند که باعث کرش کردن برنامه smbclt می شود".

"مهاجم برای دستیابی موفق به کد آسیب پذیر در سرور PCS که دارای پالیسی باز دسترسی به فایل ویندوز است، به یک مقدار معتبر DSID و xsauth از یک کاربر تأیید شده، نیاز دارد".

فاش شدن این نقص جدید هفته ها پس از آن صورت گرفت که شرکت نرم افزاری فناوری اطلاعات مستقر در یوتا، چندین آسیب پذیری امنیتی مهم در محصولات Pulse Connect Secure از جمله CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900 را اصلاح کرد، که برای اولین مورد مشخص گردید، حداقل در دو عامل تهدید متفاوت از یکدیگر در فضای سایبری مورد بهره برداری قرار گرفته است.

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

آلوده شدن سیستم کاربر با آسیب پذیری های نرم افزارهای محبوب که تنها با یک کلیک ایجاد میشوند

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

 

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

 

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

  • Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
  • تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
  • VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
  • OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
  • LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
  • Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
  • Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
  • Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
  • Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
  • Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
  • WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

 

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

آموزش های منسوخ امنیت سایبری؛ مخرب یا کمک کننده!

 

آموزش سایبری تقریباً 30 سال پیش به عنوان یک بعد فنی برای متخصصان فناوری اطلاعات آغاز شد؛ اما با گسترش فناوری و اینترنت، نیاز به آموزش از سطح افراد نخبه به سطح همه کارکنانی که با استفاده از رایانه و دسترسی به فایل ها سر و کار دارند، تغییر یافت. در دهه گذشته، آموزش سایبری به آموزش سیستم مدیریت یادگیری (LMS) با تأکید بر فیشینگ متمرکز شد. اما علی رغم این، حملات فیشینگ "که بیش از 80٪ از موارد امنیتی گزارش شده" را به خود اختصاص میدهند، روند افزایشی داشته اند.

 takian.ir outdated cybersecurity training erodes trust hurts more than it helps 1

چرا تست های فیشینگ جوابگو نیستند؟
همزمان با افزایش پیچیدگی و فراوانی حملات فیشینگ، شرکتهای جدیدی در قالب ارائه حملات "فیشینگ" کارمندان یک سازمان ظاهر شدند. دلیل اصلی این نوع ترفندها "آزمایش" کارمندان بوده است. این اعتقاد وجود داشت که با فیشینگ یک کارمند، سازمان ها می توانند به نوعی از افتادن کارمندان در دام حملات فیشینگ در دنیای واقعی جلوگیری کنند.

اما فیشینگ یک فرم ثابت از حمله نیست. میلیون ها نوع مختلف فیشینگ وجود دارد. مجرمان پیام های مختلفی را امتحان می کنند و روزانه آنها را تغییر می دهند تا در نهایت ببینند کدام یک از آنها موثر واقع میشود. یک فرد ماهر و متبحر فقط با دانستن چند نکته مهم در مورد یک سازمان، می تواند به نرخ کلیک 80٪ بر روی یک ایمیل فیشینگ دست یابد.

فیشینگ یک کارمند به عنوان نوعی آموزش کارایی ندارد. نه تنها بسیار کلی است (چرا که غالباً فقط یک نوع خاص از ایمیل را در بر می گیرد)، بلکه کارمند را به سمت مهارت کافی برای تشخیص حملات جدید سوق نمیدهد. از آن بدتر، این کار مانند یک رویکرد تنبیهی است که کارمندان را عصبی و گاهی درمانده می کند؛ و حتی اگر هرگونه تغییر رفتاری نیزدر آن کارمند ایجاد کند، آن نوعی نیست که یک سازمان واقعاً نیازمند آن باشد.

 

فناوری جدید، آموزش جدید، خرد و هوشیاری پایدار
آموزش سنتی امنیت سایبری می تواند بصورت فردی یا مبتنی بر LMS باشد و به طور معمول در یک جلسه 30 تا 60 دقیقه ای آموزش مقدماتی، سالی یکبار انجام شود. در طول سال نیز امکان ارائه چند یادآوری تصویری به صورت ایمیل یا پوستر وجود دارد. اما صرف نظر از تغییرات جزئی، آموزش سنتی به طور کل جوابگو نیست. هر دو مورد محتوا و ارائه باید سریع و به روز باشند تا با فضای امنیتی سایبری که به طور مداوم تغییر می کند، امکان ارتباط داشته باشند. رویکردهای جدید در زمینه آموزش آگاهی از امنیت سایبری شامل تغییر رویکرد به سمت دستگاه های تلفن همراه، ارتباطات روزانه یا هفتگی، تعاملات تیمی و اداری، ایجاد رقابت دوستانه با تابلوی امتیاز، محتوای مربوط به آن صنعت خاص و آموزش کوتاه تری به نام یادگیری خرد.

آموزش هایی که حول محور یادگیری خرد ساخته شده اند به خاطر سپرده می شوند. تحقیقات پیشگامانه هرمان ابینگهاوس در اواخر دهه 1800 بود که "کشف کرد که با نبود هیچ گونه تقویت و یا ارتباطی با دانش قبلی، اطلاعات به سرعت فراموش می شوند؛ تقریباً 56٪ در یک ساعت، 66٪ پس از یک روز و 75٪ پس از شش روز". برای افزایش توانایی حفظ، ایجاد هرچه بیشتر ارتباط و تکرار اطلاعات ضروری میباشد. یک ساعت آموزش (یا بدتر از آن: با زمان طولانی تر) سالی یکبار، نحوه مناسبی برای یادگیری و حفظ اطلاعات توسط افراد نیست. مردم از مرور مستمر و ساختن مفهوم بر بنیان مفهوم، یاد می گیرند؛ درست مثل این که سالی یکبار برای تناسب اندام عضلات به باشگاه برویم، ذهن نیز همانند یک عضله است. برای حفظ و بهبود عملکرد، روزانه و با دوز کم تمرین و تمرین و ممارست کنید. آن جلسات روزانه استعاره از یادگیری خرد هستند که باعث ایجاد بهترین عملکرد ذهن میشوند.

 

اجتناب از حملات سایبری
آموزش امنیت سایبری اولین راهی است که سازمان ها می توانند با آن، به جلوگیری از جرایم اینترنتی کمک کنند. طبق تجزیه و تحلیل CybSafe از داده های دفتر کمیساریای اطلاعات انگلستان، 90٪ موارد نقض را می توان به خطای انسانی مرتبط دانست. این نقض ها، چه بخاطر پیکربندی شبکه باشد، چه بخاطر آموزش ناکافی کاربر نهایی، نهایتا افراد سازمان را آسیب پذیر یا مستحکم می کنند. در اینجا 5 روش برای کمک به سازمان خود در مبارزه با جرایم اینترنتی آورده شده است:

کارمندان را به طور مکرر آموزش دهید؛ سازمانها باید برای آنچه مهم است وقت اختصاص دهند. درک اهمیت یک پیام، اهمیت آن را تقویت می کند. اغلب به کارمندان یادآوری کنید که واقعاً چه رفتارهایی مهم است. همچنین به یاد داشته باشید که مردم به روش های مختلفی یاد می گیرند. شنیدن پیام در قالب های مختلف به کارمندان کمک می کند تا اطلاعات را بهتر جذب کرده و راحت تر به آنها دسترسی پیدا کنند.

مدیریت رمز عبور؛ رمزهای عبور به معنای واقعی کلمه کلیدهای اقلیم پادشاهی هستند. راهکارهای مدیریت رمز عبور را برای مدیران فراهم کنید تا بتوانند رمزهای عبور خود ردیابی کرده و از یادداشت کردن آنها بر روی برگه های در مجاورت رایانه اجتناب کنند.

پچ‌ کردن مکرر؛ بروزرسانی نرم افزار نقش بسیار مهمی در مسدود کردن رخنه های آسیب پذیری دارد. آسیب پذیری های شناخته شده بطور روزانه توسط مجرمان مورد حمله قرار می گیرند. "60٪ از موارد نقض شامل آسیب پذیری هایی است که پچ برای آنها ارائه شده، اما نصب نشده اند". به طور مرتب بروزرسانی کرده و پچ‌ ها را نصب کنید.

کاربران از راه دور؛ برای دسترسی ایمن تر به داده های حساس VPN و فایروال ارائه دهید. اصلا تصور نکنید که کارمندان به درستی روترها را تنظیم کرده اند یا پروتکل های WiFi ایمن را در خانه دنبال می کنند. اطمینان حاصل کنید که به آنها راهنمایی هایی لازم ارائه شده است که اطلاعات شرکت را هنگام کار در خانه ایمن نگه دارند.
پشتیبان گیری؛ به طور منظم از سیستم و اطلاعات مهم خود پشتیبان تهیه کنید. این پشتیبان ها را در جایی امن و جدا از شبکه خود نگه دارید. باج افزارها پیچیده تر و پرخاشگرتر می شوند، اما پشتیبان گیری از اطلاعات مهم باعث آرامش خاطر میشود و در هنگام حملات باج افزار هم به پیشگیری و هم به روند بازگشت کمک می کند.

حملات سایبری تغییر مکان داده و تکامل می یابند؛ آموزش باید ادامه داشته باشد. اگرچه تقریباً 30 سال است که آموزش سایبری وجود دارد، اما این آموزش تازه در آغاز قرار دارد. آموزش امنیت سایبری باید به معنای واقعی آموخته و اعمال شده و بهتر و متناسب با نیازهای فرد و سازمان ادامه بیابد. بنابراین، بیشتر آموزش دهید، تمرین کنید و به نحو کارآمد تمرین کنید.

اجازه حملات سایبری از راه دور بوسیله باگ های WAS و BPA کمپانی Cisco

آسیب پذیری های امنیتی با شدت بالایی که امکان افزایش اختیارات را که منجر به سرقت داده ها و دیگر موارد می شود، فراهم مینمایند!

مجموعه ای از آسیب پذیری های افزایش اختیار با شدت بالا که بر روی برنامه اتوماسیون فرآیند کسب و کار یا Business Process Automation (BPA) و Cisco’s Web Security Appliance (WSA) تأثیر می گذارد و می تواند به صورت تأیید شده به مهاجمان از راه دور‌ اجازه دسترسی به داده های حساس یا به تصرف درآوردن سیستم هدف حمله را بدهد، شناسایی شده اند.

دو باگ اول (CVE-2021-1574 و CVE-2021-1576) در اینترفیس مدیریت مبتنی بر وب BPA وجود دارد، که برای ساده سازی فرایندهای مختلف IT استفاده می شود. عملکردهای آن شامل بروزرسانی سیستم عامل، فعال سازی دستگاه، بررسی انطباق و تغییر سرور است.

به گزارش ترت پست، این نقص ها که هر دو از نظر سطح آسیب پذیری CVSS 8.8 از 10 را دارند، می توانند به یک مهاجم از راه دور معتبر اجازه دهند اختیارات خود را به سطح ادمین ارتقا دهد. سواستفاده موفقیت آمیز، شامل ارسال پیام های HTTP دست ساز و ساختهٔ مهاجم به یک سیستم آسیب دیده است.

بر اساس توصیه نامه امنیتی که روز پنجشنبه توسط سیسکو منتشر شده است: "این آسیب پذیری ها به دلیل اعمال تاییدات نامناسب برای ویژگی های خاص و دسترسی به فایل های لاگی‌ست که حاوی اطلاعات محرمانه هستند". این شرکت خاطرنشان کرد: بهره برداری می تواند باعث شود که یک مهاجم اقدامات غیر مجاز و تایید نشده را با سطح اختیارات یک ادمین و یا با بازیابی اطلاعات حساس از لاگ های مربوط و استفاده از آنها برای جعل هویت یک کاربر قانونی مجاز انجام دهد.

• برای CVE-2021-1574، مهاجمی با اعتبارنامه کاربر معتبر می تواند دستورات غیر مجاز را اجرا کند.
• برای CVE-2021-1576، مهاجم با اعتبارنامه معتبر می تواند به لاگ ورود سیستم زیرمجموعه یک سیستم آسیب دیده دسترسی پیدا کند و داده های حساس را بازیابی کند. سیسکو خاطرنشان کرد: این سیستم فقط در شرایطی آسیب پذیر است که کاربر قانونی یک session فعال در سیستم داشته باشد.

این آسیب پذیری ها بر BPA Cisco منتشر شده قبلتر از نسخه 3.1 تأثیر می گذارند.

در همین حال، باگ سوم بر روی دستگاه WSA سیسکو تأثیر می گذارد که با مسدود کردن خودکار سایت های پر خطر و آزمایش سایت های ناشناخته قبل از اینکه به کاربران اجازه کلیک بر روی آنها را بدهد، از افرادی که از شبکه سازمانی برای دسترسی به وب استفاده می کنند محافظت می کند.

این آسیب پذیری (CVE-2021-1359، با نمره CVSS 6.3 از 10) در مدیریت پیکربندی سیستم عامل Cisco AsyncOS وجود دارد که WSA از آن قدرت میگیرد. طبق توصیه نامه امنیتی سیسکو، این آسیب پذیری می تواند به مهاجم از راه دور شناخته شده اجازه دهد تزریق دستور را انجام داده و اختیارات روت را افزایش دهد.

این غول شبکه در ادامه توضیح داد: "این آسیب پذیری به دلیل تأیید ناکافی ورودی XML توسط کاربر برای اینترفیس وب است. یک مهاجم می تواند با بارگذاری فایل های پیکربندی XML دستکاری شده که حاوی کد اسکریپت در دستگاه آسیب پذیر است، از این آسیب پذیری سواستفاده کند. در این مورد، سواستفاده موفقیت آمیز می تواند به مهاجم اجازه دهد دستورات دلخواهی را روی سیستم عامل اصلی اجرا کند و اختیارات را برای root افزایش دهد".

شدت این باگ را بیش از حد مهم ارزیابی می کنند، زیرا هر مهاجم احتمالی برای سواستفاده از این باگ به یک حساب کاربری معتبر با اجازه بارگذاری فایل های پیکربندی احتیاج دارد؛ چیزی که می تواند از طریق حمله سواستفاده یا فیشینگ دیگری بدست بیاید.

این مسئله در نسخه های 11.8 و نسخه های قبلی، 12.0 و 12.5، نسخه های مجازی و سخت افزاری تجهیزات را تحت تأثیر قرار می دهد.

اینها تازه ترین پچ هایی است که سیسکو منتشر کرده است. ماه گذشته، چندین آسیب پذیری امنیتی با شدت بالا در سوئیچ های هوشمند سری Small Business 220، که جز تجهیزات شبکه سطح متوسط ​​برای سازمان های کوچک هستند، پچ کرده است. این نقص ها می توانند به حملات از راه دور طراحی شده برای سرقت اطلاعات، مستقر کردن بدافزار و ایجاد اختلال در فرایندهای عملیاتی، از طریق سرقت session ها، اجرای خودسرانه کد، cross-site scripting یا XSS و تزریق HTML کمک کنند.

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

از دسترس خارج شدن بزرگترین بازار فروش اطلاعات ورود به سیستم حساب های سرقتی آنلاین با نام Slilpp

takian.ir doj taken down largest dark web market slilpp 1

بزرگترین بازار فروش اطلاعات و اعتبارنامه های سرقتی ورود به سیستم حساب آنلاین با نام Slilpp است که بیش از 80 میلیون اعتبارنامه سرقت شده را برای بیش از 1400 مهاجم سایبری در سراسر جهان ارائه می دهد.

وزارت دادگستری آمریکا (DoJ)، بازار دارک وب Slilpp که در آن تجارت نام کاربری و رمزهای ورود به سرقت رفته صورت میپذیرفته را، تعطیل کرده است.

 

وزارت دادگستری زیرساخت های Slilpp را از بین برده است
"وزارت دادگستری حضور خود را در یک عملیات چند ملیتی شامل اقدامات لازم در ایالات متحده، آلمان، هلند و رومانی برای اخلال و از بین بردن زیرساخت های بازار آنلاین معروف به Slilpp اعلام میدارد".

بازار Slilpp که از سال 2012 عملیاتی شده بود، اطلاعات سرقت شده ورود به سیستم را شامل نام کاربری و رمزهای ورود برای حساب های بانکی، حساب های پرداخت آنلاین، حساب های تلفن همراه، حساب های خرده فروشی و سایر حساب های آنلاین را به فروش می رسانده است.

بازار با ارائه تالار گفتمان و سازوکار پرداخت برای اینگونه معاملات به فروشندگان اجازه می داد تا اعتبارنامه ورود به سیستم سرقتی را به فروش‌ رسانیده و همچنین مشتریان آنها می توانند اطلاعات ورود به سیستم به سرقت رفته را خریداری کنند. بر اساس گزارش وب سایت رسمی وزارت دادگستری ایالات متحده، خریداران Slilpp از آن اعتبارنامه های ورود به سیستم برای انجام معاملات غیر مجاز مانند انتقال وجه از حساب های مربوطه استفاده می کردند.

این گزارش اعلام کرده است که تا به اکنون بیش از دوازده نفر توسط نیروی امنیتی ایالات متحده در ارتباط با بازار Slilpp متهم یا دستگیر شده اند.

طی همکاری FBI با آژانس های مجری قانون خارجی در آلمان، هلند و رومانی، مجموعه ای از سرورها را که میزبان زیرساخت ها و دامنه های مختلف Slilpp بودند شناسایی و کنترل آنها را بدست گرفته شده است.

نیکلاس ال مک کوئید، دستیار دادستان کل کشور، از بخش جنایی وزارت دادگستری اشاره می کند که "بازار Slilpp متهم است که صدها میلیون دلار به قربانیان در سراسر جهان ضرر وارد کرده است، از جمله این که خریداران قادر به خرید هویت سرقت شده قربانیان آمریکایی بوده اند".

گفته می شود که بیش از 1400 دارنده حساب در بازار Slilpp برای فروش حضور داشته و در دسترس هستند. براساس تعداد اندکی از گزارش های موجود در مورد قربانیان ، اطلاعات سرقت شده ورود به سیستم از طریق Slilpp خسارتی بیش از 200 میلیون دلار را به ایالات متحده تحمیل کرده است و هنوز حجم و ابعاد کامل تأثیر Slilpp مشخص نشده است.

دستیار دادستان کل دادستان کل نیکلاس ال مک کوئید از وزارت دادگستری اعلام کرد: "این بخش اقتصاد زیرزمینی را برای هویت های به سرقت رفته قابل تحمل نخواهد بود و ما به همکاری با شرکای مجری قانون خود در سراسر جهان برای برهم زدن بازارهای جنایی در هر کجا و تا آنجا که بتوانیم، ادامه خواهیم داد".

چانینگ دی فیلیپس، سرپرست دادستانی ایالات متحده، از ناحیه کلمبیا گفت: "FBI و شرکای بین المللی پیام واضحی را به کسانی که طبق ادعای آنها اقدام به سرقت و تبادل در هویت های سرقت شده می کنند، ارسال میکنند: ما اجازه نخواهیم داد هیچ تهدید سایبری از دید ما پنهان بماند".

از این رو، Slilpp سومین بازاری است که پس از xDedic در ژانویه 2019 و DEER.IO در ژانویه 2021 که هر دو آنها برای خرید و فروش اعتبارنامه ورود به سیستم استفاده میشدند، توسط وزارت دادگستری از دسترس خارج شده اند.

از ظاهر تا عمل؛ زیر سوال بودن عملکرد CISO ها در دنیا

 

پس از تحقیقات جدید آشکار شده است که بسیاری از پرچمداران امنیت سایبری جهان در فضای آنلاین رفتارهای پر ریسک انجام می دهند و ممکن است به آنچه که تبلیغ می کنند و نشان میدهند، عمل نکنند.

شرکت کانستلا اینتلیجنس، بیش از 100 شرکت جهانی پیشرو و بزرگ امنیت آی تی را در زمینه های مختلفی مورد نظرسنجی قرار داده اند تا آخرین گزارش خود را با عنوان "مخاطرات فضای سایبری در دنیای فرامتصل امروز" جمع آوری کند.

به نقل از اینفو سکیوریتی مگزین، این گزارش رویه گسترده امنیتی ضعیفی را نشان داده است: یک چهارم (24%) اعتراف کرده اند که از رمز عبور مشابه برای کار و فعالیت های آنلاین شخصی استفاده می کنند و تقریباً نیمی از آنها (45%) بدون استفاده از VPN به شبکه های وای فای عمومی متصل می شوند.

تصور می شود Wi-Fi عمومی آنقدر خطرناک است که دفتر تحقیقات فدرال ایالات متحده به طور منظم به مردم هشدار می دهد که در مواقع حضور خارج از خانه به این شبکه ها وصل نشوند.

تعداد مشابهی (48%) از پاسخ دهندگان CISO گفته اند که آنها از سیستم کاری خود برای ورود به سایت های شبکه های اجتماعی استفاده می کنند و 77% آنها درخواست دوستی افرادی را که نمی شناسند قبول می کنند، از جمله لینکدین که جامعه ای 63 درصدی را به خود اختصاص داده است.

طبق اطلاعات سازمان امنیت داخلی انگلستان، جاسوسان خارجی طی پنج سال گذشته با استفاده از پروفایل های جعلی با بیش از 10 هزار شهروند انگلیس از طریق شبکه اجتماعی لینکدین تماس گرفته و ارتباط برقرار کرده اند.

دولت طی یک اقدام کارآگاهی که به تازگی انجام شده، اعلام کرده است: "عواقب و نتیجه تعامل با این پروفایل ها می تواند به مشاغل فردی و همچنین منافع سازمان شما و منافع امنیت ملی و سعادت کشور آسیب برساند".

پیشگامان و بزرگان امنیتی حتی اگر حملاتی که آنها را هدف قرار می دهند نیز افزایش یابد، همچنان به رفتارهای پرخطر خود ادامه می دهند.

بیش از نیمی (57%) از افراد این جامعه آماری در زندگی شخصی خود تحت حملات تصاحب حساب (ATO) قرار گرفته اند که عمدتا از طریق ایمیل (52%)، لینکدین (31%) و فیسبوک (26%) این مجموعه را تشکیل داده اند. تقریباً سه چهارم (74%) گفته اند که در طی 90 روز گذشته مورد حمله فیشینگ یا ویشینگ قرار گرفته اند. بر اساس این گزارش، در یک سوم (34%) موارد، عوامل تهدید هویت مدیرعامل خود را جعل کرده اند.

مدیر عامل شرکت کانستلا اینتلیجنس، کایلاش آمبوانی میگوید: "در میان افزایش حملات سایبری به سازمان ها، که بسیاری از آنها از طریق جعل هویت C-suite انجام می شود، اکنون آگاهی و هوشیاری کارمندان در حوزه امنیت سایبری به اندازه زیرساخت های امنیتی یک سازمان مهم و پر اهمیت است".

"هرچه زمینه های شغلی و شخصی به طور فزاینده و به شکل دیجیتالی در یکدیگر آمیخته می شوند، هم مدیران و هم کارمندان باید به نقشی که هر یک از آنها در بهداشت جمعی امنیت سایبری ایفا می کنند، توجه نماید".

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افشاگری مایکروسافت درباره باگ حساس تصرف روترهای NETGEAR توسط مهاجمین سایبری

محققان امنیت سایبری مایکروسافت آسیب پذیری های بحرانی امنیتی که روترهای سری NETGEAR DGN2200v1 را تحت تأثیر قرار می دهد کشف کرده اند، که به گفته آنها می تواند به عنوان نقطه پرشی مورد سواستفاده قرار گیرد تا امنیت شبکه را به خطر انداخته و دسترسی بدون محدودیت را برای مهاجمین فراهم آورد.

سه ضعف امنیتی احراز هویت HTTPd (نمرات CVSS: 7.1 - 9.4) بر روترهایی که نسخه های سیستم عامل قبل از v1.0.0.60 اجرا می کنند، تأثیر می گذارد و از زمان دسامبر سال 2020 توسط آن شرکت از طریق یک توصیه نامه امنیتی به عنوان بخشی از فرایند آشکار سازی آسیب پذیری ها، پیگیری و رفع شده است.

به نقل از هکر نیوز، جاناتان بار اور، عضو تیم تحقیقاتی Microsoft 365 Defender گفت: "افزایش تعداد حملات Firmware ها و حملات باج افزاری از طریق دستگاه های VPN و سایر سیستم های متصل به اینترنت، نمونه هایی از حملاتی است که در بیرون و در لایه های زیرین سیستم عامل ها آغاز شده است. با متداول تر شدن این نوع حملات، کاربران باید به دنبال امنیت سایبری حتی یک نرم افزار تک منظوره باشند که صرفا وظیفه اجرای سخت افزار آنها را بر عهده دارد، مانند روترها".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 1

 

به طور خلاصه این نقص امنیتی، دسترسی به صفحات مدیریت روتر را با استفاده از دور زدن احراز هویت فراهم می کند و به مهاجم این امکان را می دهد تا کنترل کامل روتر را بدست آورده و همچنین اعتبارنامه های ذخیره شده روتر را از طریق کریپتوگرافی حمله side-channel، استخراج کند و حتی با استفاده از ویژگی backup/restore، نام کاربری و رمز عبوری را که در حافظه روتر ذخیره می شود، بازیابی نماید.

بار اور توضیح داد: "نام کاربری و رمز عبور (در برابر اعتبار ذخیره شده) با استفاده از strcmp مقایسه می شوند. پیاده سازی libc در strcmp با مقایسه کاراکتر به کاراکتر تا مشاهده یک ترمیناتور NUL یا تا زمانی که عدم تطابق حاصل شود، کار کرده و پیش میرود. یک مهاجم می تواند با اندازه گیری زمان لازم برای عملیات ناموفق، از حالت دوم بهره برداری و سواستفاده کند".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 2

 

علاوه بر این، محققان با سواستفاده از دور زدن احراز هویتی که در بالا ذکر شد، برای دسترسی به فایل پیکربندی، دریافتند که اعتبارنامه ها با استفاده از یک گذرواژه ثابت رمزگذاری شده اند، که می تواند بعداً برای بازیابی متن ساده رمز عبور و نام کاربری استفاده شود.

به کاربران NETGEAR DGN2200v1 توصیه می شود برای جلوگیری از هرگونه حمله احتمالی، جدیدترین فریمور را دانلود، نصب و به روزرسانی نمایند.

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

بازگشت بدافزار Trickbot با ماژول جدید VNC برای جاسوسی از قربانیان

 takian.ir trickbot malware returns with new vnc module to spy on its victims 1

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: "از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است".

محققان خاطرنشان کردند: "Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است".

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

takian.ir trickbot malware returns with new vnc module to spy on its victims 2

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: "TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود".

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام "vncDll" است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز "tvncDll" نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها "ابزاری برای مشاهده" که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

باگ اینستاگرام، مشاهده تصاویر‌ و اطلاعات کاربران بدون نیاز به دنبال کردن آنها!

takian.ir instagram data breach

اینستاگرام یک نقص جدید را ظاهرا اصلاح کرده است که به هر شخصی این امکان را می دهد پست های آرشیو شده و استوری های آپلود شده توسط حساب های خصوصی و پرایوت را بدون نیاز به دنبال کردن آنها، مشاهده نماید.

مایور فرتاد امروز در یک پست روزانه ​​اعلام کرد: "این اشکال می توانست به کاربر خرابکار امکان مشاهده محتوای کاربر هدف در اینستاگرام را بدهد. مهاجم می توانست جزئیات پست های خصوصی و بایگانی شده، استوری ها، ریلز و IGTV را بدون نیاز به دنبال کردن کاربر با استفاده از Media ID مشاهده کند.

مایور فرتاد این موضوع را در تاریخ 16 ماه آپریل سال2021 برای تیم امنیتی فیسبوک فاش کرد و به دنبال آن، این نقص به تازگی و در 15 ماه ژوئن برطرف گردیده است. وی همچنین به عنوان بخشی از برنامه جایزه اشکال یابی این شرکت، مبلغ 30،000 دلار جایزه دریافت نمود.

takian.ir instagram data breach 1

takian.ir instagram data breach 2

 

اگرچه این حمله مستلزم دانستن شناسه رسانه ای (Media ID) مرتبط با یک تصویر ، ویدئو یا آلبوم است، اما با بهره گیری بی وقفه از شناساگرها، مایور فرتاد نشان داد که می توان درخواست POST را برای اندپوینت (Endpoint) GraphQL ساخته و داده های حساس را بازیابی کرد.

در نتیجه این نقص، مهاجم جزئیاتی از قبیل like/comment/save count ،display_url و image.uri مربوط به شناسه رسانه را می توانست حتی بدون دنبال کردن کاربر مورد نظر استخراج کرده و در کنار آن نیز صفحه فیسبوک مرتبط و لینک شده با یک حساب اینستاگرام‌ را کشف و مشاهده نماید.

فرتاد افزود که وی همچنین در 23 ماه آوریل اندپوینت دومی را کشف کرده است که همان مجموعه اطلاعات کاربری را فاش مینموده است. فیسبوک از آن زمان تا به اکنون هر دو اندپوینت نشت یافته را اصلاح کرده است.

باگ جدید اجرای کد از راه دور در تجهیزات PLC شرکت زیمنس

takian.ir a new bug in siemens plcs could let hackers run malicious code remotely 1

 

کمپانی زیمنس روز جمعه بروزرسانی هایی برای رفع آسیب پذیری شدید در Programmable Logic Controller (PLC)های SIMATIC S7-1200 و S7-1500 ارائه کرد. این آسیب پذیری ها می توانند توسط عامل مخرب مورد سوءاستفاده قرار بگیرد تا از راه دور به قسمت های محافظت شده حافظه دسترسی پیدا کند و امکان اجرای بدون محدودیت و بدون شناسایی کدهای دستوری را بدست بیاورد؛ محققان از آن با عنوان"جام مقدس" مهاجم نام برده اند.

آسیب پذیری bypass محافظت از حافظه که به صورت CVE-2020-15782 بیان می شود (امتیاز CVSS: 8.1) توسط شرکت امنیتی فناوری عملیاتی کلاروتی با مهندسی معکوس زبان بایت MC7 / MC7+ برای اجرای برنامه های PLC در ریزپردازنده کشف و پیدا شد. در حال حاضر هنوز مدرکی دال بر سوءاستفاده از این آسیب پذیری در فضای سایبری گزارش نشده است.

در یک مشاوره امنیتی صادر شده توسط زیمنس، شرکت اتوماسیون صنعتی آلمان گفت: مهاجم از راه دور غیرمجاز با دسترسی شبکه به TCP پورت 102 پتانسیل این را دارد که بتواند داده ها و کد دلخواه خود را در قسمت های محافظت شده حافظه بنویسد یا داده های حساس را برای حملات آینده خود خوانده و آنالیز نماید.

تال کرن، محقق کلاروتی گفت: "دستیابی به امکان اجرای کد بومی بر روی یک سیستم کنترل صنعتی مانند یک PLC، هدف نهایی است و تقریبا تعداد کمی از مهاجمان پیشرفته به این امکان دست یافته اند". وی افزود: "این سیستم های پیچیده دارای سیستم های محافظتی درون حافظه ای متعددی هستند كه یک مهاجم برای عبور از آنها باید با موانعی روبرو شود تا بتواند نه تنها كد مورد نظر خود را اجرا كند، بلكه قابل شناسایی نیز نباشد".

takian.ir a new bug in siemens plcs could let hackers run malicious code remotely 2

 

این نقص جدید نه تنها به عامل تهدید اجازه می دهد تا کد محلی را در PLC های S7 زیمنس به دست آورد، بلکه در حمله پیچیده همچنین مهاجم با فرار از سندباکس کاربر برای نوشتن داده ها و کد دلخواه به طور مستقیم در قسمت های محافظت شده حافظه، از شناسایی توسط سیستم عامل اصلی یا هر نرم افزار تشخیصی جلوگیری می کند.

هر چند کلاروتی خاطرنشان کرده است که این حمله نیاز به دسترسی شبکه به PLC و همچنین اجازه دانلود PLC را دارد. در مورد جلیبرک کردن سندباکس بومی PLC، این شرکت گفت که این مهاجم در طی این آسیب پذیری می تواند یک برنامه مخرب در سطح کرنل را به سیستم عامل و به گونه ای که امکان اجرای حتمی کد از راه دور را فراهم نماید، تزریق کند.

این مورد بسیار متفاوت از دفعات اولی است که امکان اجرای ناشناس کدها در تجهیزات PLS زیمنس فراهم شده بود. در سال 2010، وُرم معروف استاکس نت با استفاده از اصلاح کد در PLC های زیمنس برای جاسوسی سایبری و خرابکاری های مخفی، از اشکالات متعدد ویندوز برای برنامه ریزی مجدد سیستم های کنترل صنعتی و ایجاد اغتشاش استفاده کرد.

سپس در سال 2019، محققان سطح جدیدی از حملات به نام "Rogue7" را شناسایی کردند كه از نقاط ضعف موجود در پروتكل ارتباطی S7 اختصاصی خود استفاده کند تا برای ایجاد یك استیشن مهندسی تقلبی كه می تواند TIA را به PLC بدل کند و هرگونه پیام دلخواهی را که مورد نظر مهاجم است، تزریق نماید، از آن بهره ببرد.

زیمنس به شدت به کاربران توصیه می کند که برای کاهش مخاطرات، دستگاه های خود را به آخرین نسخه بروزرسانی کنند. این شرکت گفت که بروزرسانی های بیشتری را نیز ارائه می دهد و از مشتریان خود می خواهد اقدامات متقابل و راه حل های امنیتی لام را برای محصولاتی که هنوز قابل بروزرسانی نیستند، اعمال کنند.

بدافزار جدید Pingback و استفاده از ICMP Tunneling برای فرار از شناسایی C&C

takian.ir pingback malware

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

takian.ir icmp data

 

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".

بدافزاری در پوشش باج افزار؛ مایکروسافت هشدار میدهد!

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

takian.ir malware that pretends to be ransomware 1

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

takian.ir malware that pretends to be ransomware 2

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

بدافزاری در پوشش نرم افزار کلاب هاوس برای رایانه های شخصی

 

با کلیک کردن بر روی تبلیغات، کاربر به وب سایت جعلی برنامه کلاب هاوس (Clubhouse) هدایت می شود که به ظاهر کاملاً معتبر به نظر می رسد اما لینک بارگیری آن باعث دریافت بدافزار می شود.

سال گذشته، در دو حادثه جداگانه و مجزا، هکرها با سوءاستفاده از تبلیغات فیسبوک به 615000 گواهی کاربری دسترسی پیدا کردند. سپس گروه معروف باج افزار Ragnar Locker با استفاده از تبلیغات فیسبوک شروع به اخاذی از قربانیان کرد.

اکنون گزارش ها حاکی از آن است که مجرمان سایبری و تهدیدکنندگان در حال ارائه تبلیغاتی در فیسبوک هستند که برنامه کلاب هاوس را برای رایانه شخصی جهت بارگیری یک بدافزار ارائه دهد. باز هم، مهاجمان از همان روش قدیمی استفاده کرده اند، زیرا نسخه رایانه های شخصی برنامه کلاب هاوس هنوز منتشر نشده است.

شایان ذکر است که مهاجمان همیشه به دنبال سوءاستفاده از محبوبیت کسب شده توسط برنامه های خاص برای جلب کاربران ناآگاه و بی گناه برای بارگیری و دانلود بدافزارها هستند. برنامه کلاب هاوس تاکنون بیش از 8 میلیون بار دانلود شده است. بنابراین ، این مورد علاقه فعلی مجرمان اینترنتی شده است.

همین چند هفته پیش در مورد بدافزار BlackRock که به عنوان نسخه اندروید از برنامه گفتگوی صوتی کلاب هاوس منتشر شده بود، گزارشاتی منتشر شد، در حالی که محققان ESET عنوان کردند هیچ نسخه اندرویدی از این برنامه منتشر نشده است و این برنامه فقط در تلفن های همراه آیفون در دسترس است.

 

کمپین تبلیغات مخرب جدید در فیس بوک

تک کرانچ گزارش داده است که از چندین صفحه فیس بوک برای ارسال تبلیغات مرتبط با برنامه کلاب هاوس استفاده می شود. وقتی کاربر روی تبلیغ کلیک می کند، وب سایت جعلی کلاب هاوس باز می شود که تصویری از نسخه PC موجود برای برنامه و لینکی برای بارگیری را نشان می دهد.

به طور معمول کاربران بی اطلاع، بر روی لینک کلیک می کنند و تصور میکنند که نسبت به دریافت نسخه قانونی برنامه اقدام کرده اند. به محض باز شدنش، برنامه با سرور C&C خود ارتباط برقرار می کند و دستورالعمل هایی را برای اقدامات بعدی دریافت می کند. طبق آنالیز تی باکس کرانچ بر روی این بدافزار، این نرم افزار مخرب، یک باج افزار را در دستگاه آلوده بارگیری میکند.

 

تاکنون نُه آگهی مختلف منتشر شده است

در مجموع نه تبلیغ از طریق پروفایل های جعلی فیسبوک بین سه شنبه و پنجشنبه گذشته ارسال شده است. در اکثر آگهی ها عنوان مشابهی ذکر شده بود که نوشته بودند: "کلاب هاوس اکنون برای رایانه نیز در دسترس است". برخی از آنها عکسی از پاول دیویدسون و روهان ست از بنیانگذاران برنامه را نیز به نمایش می گذاشتند!

بعداً این تبلیغات از مجموعه تبلیغات فیسبوک حذف شده اند اما چگونگی ورود آنها به پروفایل های کاربران و دور زدن مراحل احراز هویت فیسبوک هنوز نامشخص باقی مانده است.

takian.ir facebook ads malware clubhouse app pc

 

وب سایت های جعلی کلاب هاوس در حال حاضر آفلاین هستند

تک کرانچ همچنین اعلام کرد که وب سایت های جعلی برنامه کلاب هاوس، که در روسیه میزبانی می شدند در طی فرایندی جالب آفلاین شدند و بدافزار نیز پس از دریافت خطا از سرور، دیگر از کار افتاد. اما این جمله به هیچ وجه به معنی عدم امکان بازگشت چنین بدافزاری با ساختار و شکلی جدید جهت اجرای باج افزار نمیباشد.

 

بررسی ترفندهای بدافزارها برای دور زدن ضد باج افزارها در آنتی ویروس ها

takian.ir malware can use this trick to bypass antivirus solutions 1محققان نقاط ضعف امنیتی قابل ملاحظه ای را در برنامه های نرم افزاری مشهور شناسایی کرده اند که می تواند برای غیرفعال کردن ساختار محافظتی از آنها سوءاستفاده شود و کنترل برنامه های مجاز در سیستم کاربر را با بهره گیری از بدافزار برای عبور از سد ساختار دفاعی ضد باج افزارها، برای انجام اقدامات خطر آفرین در دست بگیرند.

این حملات دوگانه که توسط اعضای دانشگاه لوکزامبورگ و دانشگاه لندن شرح داده شده اند، با هدف دور زدن امکان محافظت از فولدرها که توسط برنامه های آنتی ویروس ارائه شده، رمزگذاری فایل ها (معروف به "Cut-and-Mouse") و غیرفعال کردن محفاظت از آنها با شبیه سازی اعمال کلیک ماوس (معروف به "Ghost Control")، انجام میشود.

پروفسور گابریل لنزینی، دانشمند ارشد مرکز بین رشته ای امنیت، اتکا و اطمینان در دانشگاه لوکزامبورگ، گفته است: "ارائه دهندگان نرم افزار آنتی ویروس همیشه سطح بالایی از امنیت را ارائه می دهند که آنها را تبدیل به یک عنصر اساسی در مبارزه روزمره با مجرمان سایبری کرده است. اما آنها در حال رقابت با جنایتكارانی هستند كه هم اكنون منابع، قدرت و همچنین تعلق خاطر بیشتری دارند".

به بیان دیگر، کمبودهای موجود در نرم افزار کاهش مخاطرات بدافزاری نه تنها نمی تواند به کد غیر مجازی اجازه دهد که ویژگی های محافظتی آنها را غیرفعال کند، بلکه نقص طراحی در امنیت فولدرهای محافظت شده که توسط تامین کنندگان و سازندگان آنتی ویروس عرضه شده است، میتواند توسط عواملی مورد سوءاستفاده واقع شود؛ مثلاً باج افزار محتویات فایل ها را با استفاده از امکان تغییر در ساختار نگارش از پیش دیده شده برای دسترسی به فولدر و رمزگذاری داده های کاربر تغییر میدهد، یا از یک ابزار پاک کننده برای از بین بردن غیرقابل بازگشت فایل های شخصی قربانیان استفاده میکند.

فولدرهای محافظت شده به کاربران این امکان را می دهند تا فولدرهایی را که به یک لایه محافظت اضافی در برابر نرم افزار مخرب نیاز دارند، مشخص کرده و بدین ترتیب دسترسی غیر ایمن به فولدرهای محافظت شده را مسدود کنند.

محققان اعلام کرده اند: "به مجموعه كمی از برنامه های موجود در لیست سفید، امتیاز تغییرات در فولدرهای محافظت شده اعطا می شود. با این حال، برنامه های موجود در لیست سفید از سوءاستفاده توسط برنامه های دیگر در امان نمیمانند. بنابراین، اعتماد کردن به این ساختار معقول نیست، زیرا یک بدافزار می تواند با استفاده از برنامه های لیست سفید به عنوان واسطه، روی فولدرهای محافظت شده، عملیات مد نظر خود را انجام دهد".

takian.ir malware can use this trick to bypass antivirus solutions 2

یک سناریوی حمله که توسط محققان کشف شد، نشان داد که می توان از یک کد مخرب برای کنترل یک برنامه معتبر مانند Notepad برای انجام عملیات نوشتن و رمزگذاری فایل های قربانی که در فولدرهای محافظت شده ذخیره شده است، استفاده کرد. برای این منظور، باج افزار پرونده های موجود در پوشه ها را بررسی کرده، در حافظه خود رمزگذاری کرده و در کلیپ بورد سیستم کپی می کند و به دنبال آن، باج افزار Notepad را راه اندازی می کند تا محتوای پوشه را با داده کلیپ بورد بازنویسی و جایگزین نماید.

محققان دریافتند که حتی در موارد بدتر، توالی حمله فوق الذکر می تواند برای بازنویسی و جایگزینی فایل های کاربر با یک تصویر تصادفی ایجاد شده توسط نرم افزار Paint (به عنوان یک برنامه قابل اعتماد)، برای از بین بردن و حذف دائمی و قطعی فایل های کاربر استفاده شود.

از طرف دیگر، حمله Ghost Control می تواند عواقب جدی و خاص خود را به همراه داشته باشد، زیرا با غیرفعال کردن حفاظت قطعی در مقابل بدافزار بوسیله شبیه سازی اقدامات کاربر قانونی که مشخصا روی رابط کاربری یک نرم افزار آنتی ویروس انجام می شود، می تواند به مهاجم و عامل حمله اجازه دهد هر برنامه غیرقانونی و مخربی را از یک سرور کنترل از راه دور مهاجم، وارد و اجرا کند.

از 29 نرم افزار آنتی ویروس ارزیابی شده در طول مطالعه، 14 مورد از آنها در برابر حمله Ghost آسیب پذیر تشخیص داده شدند؛ از سویی نیز مشخص شد که همه 29 برنامه آنتی ویروس آزمایش شده در مقابل حمله Cut-and-Mouse آسیب پذیر هستند. محققان از تامین کنندگان و سازندگان این برنامه های آنتی ویروس که تحت تاثیر این آزمایشات قرار گرفته اند، نام نبرده اند.

takian.ir malware can use this trick to bypass antivirus solutions 3

اگر چنین چیزی صحت داشته باشد، نتایج یادآور این نکته حائز اهمیت است که حتی راه حل های امنیتی که به وضوح برای محافظت از دارایی های دیجیتال یک مجموعه در برابر حملات بدافزار طراحی شده اند، می توانند از ضعف هایی رنج ببرند و به طبع هدف نهایی آنها را که همانا محافظت و تامین امنیت است، با شکست مواجه میشود. حتی در حالی که ارائه دهندگان نرم افزار آنتی ویروس به ارتقا ساختار دفاعی خود ادامه می دهند، طراحان بدافزار با بهره گیری تاکتیک های فرار و مبهم سازی، از چنین موانعی عبور کرده اند. نیازی به ذکر نیست اما حتی با استفاده از ورودی های آلوده و از طریق حملات آلوده کننده، تشخیص رفتاری نرم افزارهای تامین امنیت را سردرگم کرده و آنها را دور می زنند.

محققان اعلام کرده اند: "سازگاری و ترکیب پذیری ایمن، یک مشکل شناخته شده در مهندسی امنیت است. اجزا وقتی که جدا از هم در نظر گرفته شوند، سطح حمله مشخصی را پوشش می دهند و در مقابل هنگامی که در یک سیستم ادغام می شوند، سطح وسیع تری ایجاد می کنند. اجزا با یکدیگر تعامل دارند و با سایر قسمتهای سیستم پویایی ایجاد می کنند و از طرفی اگر توسط طراح این تدبیر پیش بینی نشده باشد، یک مهاجم نیز می تواند با آن ها در تعامل باشد".

به خطر افتادن بیش از 60 هزار سایت در پی آسیب پذیری XSS وردپرس

 

takian.ir wordpress XSS vulnerability

به گزارش لیتست هکینگ نیوز، یک آسیب پذیری جدی XSS در افزونه جستجوی وردپرس Ivory مشاهده شده است. سوء استفاده از این آسیب پذیری، به یک مهاجم سایبری می تواند امکان و اجازه اجرای کدهای مخرب در وب سایت هدف را بدهد. با توجه به تعداد نصب های فعال این افزونه، آسیب پذیری ذکر شده به صورت بالقوه بیش از 60،000 وب سایت را به خطر انداخته است.

 آسیب پذیری پلاگین جستجویIvory وردپرس

 محققان تیم آستارا سکیوریتی اینتلیجنس، آسیب پذیری اشاره شده را در XSS یا Cross-site Scripting، در پلاگین جستجوی Ivory وردپرس کشف کرده اند.

آسیب پذیری های XSS کشف شده بر روی برنامه های تحت وب تأثیر مخرب می گذارد و به مهاجم اجازه می دهند تا کدهای مخرب را در پروفایل ها و شناسه های کاربرها اجرا کند. به عنوان مثال، هنگام بازدید کاربر از صفحه وب آلوده، ممکن است یک کد دستوری مخرب اجرا شود.

آنطور که آنها در مطلب خود توضیح داده اند، تیم تحت هدایت جینسون وارگش یک مورد بررسی اعتبار نامناسب در این افزونه پیدا کردند. وارگش در توضیح این مشکل می افزاید:

"یک جز مولفه خاص در صفحه تنظیمات افزونه جستجوی Ivory وردپرس به درستی تأیید نشده است که به متعاقب آن، امکان اجرای کد مخرب جاوا اسکریپت را امکان پذیر می نماید".

محققان آن را یک اشکال با سطح خطر متوسط ​اعلام و تعیین کرده اند که به مهاجم اجازه می دهد "اقدامات مخرب" را در وب سایت هدف انجام دهد.

بروزرسانی اعمال شده

تیم آسترا سکیوریتی، در 28 ماه مارس سال 2021 این آسیب پذیری که بر پلاگین جستجوی Ivory وردپرس نسخه 4.6.0 به پایین تأثیر گذاشته است را کشف کرده اند. متعاقبا این تیم با توسعه دهندگان پلاگین ارتباط گرفته تا اشکال را در همان روز گزارش کنند.

در پاسخ نیز تیم پلاگین به سرعت برای رفع این آسیب پذیری اقدام کردند و در تاریخ 30 ماه مارس سال 2021، یک بروزرسانی را جهت رفع این اشکال در نسخه 4.6.1 منتشر کردند. آنها همچنین رفع اشکال موجود در لاگ تغییرات در صفحه پلاگین را تأیید کرده اند.

نسخه فعلی افزونه جستجوی Ivory ، نسخه 4.6.2 است. بنابراین همه کاربران این افزونه باید از بروزرسانی وب سایت های خود با نسخه 4.6.1 به بالا اطمینان حاصل کنند تا از هرگونه آسیب و به خطر افتادن سایت های خود و تبعات آن، ایمن بمانند.

به تازگی نیز چندین آسیب پذیری XSS که بر پلاگین Elementor تأثیر می گذارند نیز مورد توجه قرار گرفته اند. این اشکالات با توجه به طیف گسترده میزان نصب در سطح جهان (بیش از 7 میلیون) ، تأثیر شدیدتر و مخرب تری نیز خواهد داشت. از این رو، بدینوسیله شرکت توسعه امن کیان (تاکیان) به همه کاربران وردپرس یادآوری می کند که هنگام بروزرسانی وب سایت های خود، حتما از رفع این مشکل نیز اطمینان حاصل کنند. همچنین لازم است که کاربران به طور ویژه نسبت به بروزرسانی ماژول Elementor و Elementor Plus نیز اقدام نمایند.

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

بهره گیری از حمله باج افزاری Kaseya برای تقویت کمپین Malspam

 takian.ir kaseya ransomware attack used to fuel malspam campaign 1

حمله گسترده باج افزار Kaseya که ادعا می شود حدود 1000 سازمان را تحت تأثیر قرار داده است، در حال حاضر برای ارتقای سایر حملات استفاده میشود. یکی از این دست حملات، مورد توجه محققان Malwarebytes قرار گرفته است.

 

قربانیان هدف Kaseya REvil
در یک رشته توییت توسط Malwarebytes، محققان فاش کرده اند که یک کمپین malspam از حمله باج افزار Kaseya برای استقرار Cobalt Strike بهره می برد. این می تواند عاملان تهدید را قادر به حملات بعدی کرده و حتی امکان استقرار بدافزارهای دیگر را نیز ممکن کند.
این کمپین از طریق ایمیل فیشینگ حاوی پیوستی به نام 'SecurityUpdates.exe' و همچنین لینکی که به عنوان یک بروزرسانی امنیتی جهت سواستفاده از آسیب پذیری Kaseya ظاهر می شود، انجام می پذیرد.
برای قانع کننده نشان دادن این ایمیل، در آن ادعا می شود که بروزرسانی امنیتی از جانب مایکروسافت ارائه و انجام میپذیرد.

 

درباره حمله Kaseya چه می دانیم؟
حمله باج افزار Kaseya که در تاریخ 2 ژوئیه رخ داد، یکی از حملات مخرب باج افزاری بود که در پی حملات علیه Colonial Pipeline و JBS Foods، به وقوع پیوست.
باند باج افزار REvil با سواستفاده از آسیب پذیری روز صفر در سرورهای VSA نفوذ کرده بودند.
پس از حمله، مهاجمان موفق به سرقت اطلاعات زیادی شدند و بعداً برای انتشار رمز سراسری آن، مبلغ 70 میلیون دلار را به عنوان باج مطالبه کردند.
برخی از سازمان های آسیب دیده شامل سوپرمارکت ها در سوئد و مدارس در نیوزیلند بودند. در حالی که صدها شرکت مستقیماً در معرض حمله زنجیره تأمین به نرم افزار VSA متعلق به Kaseya قرار داشتند، حداقل 36000 شرکت به صورت غیر مستقیم تحت تأثیر این حمله قرار گرفتند.

 

نکته قابل توجه
عاملان تهدید همیشه در پی دستیابی به فرصت مفید و طلایی برای رسیدن به ثروت عظیمی بوده اند و استفاده از حمله باج افزاری Kaseya، یکی از این موارد است.
پیش از این، اختلال در Colonial Pipeline باعث حمله فیشینگ "Help Desk" شد که مشتریان Microsoft 365 را هدف قرار داد. هدف نهایی این کارزار اعمال و استقرار ابزار Cobalt Strike بر روی سیستم قربانیان بود.

 

نتیجه گیری
همانطور که حمله مداوم Kaseya همچنان شرایط سختی را به سازمانها تحمیل میکند، ظهور مبارزات موازی توسط عوامل تهدید، که احتمالاً با گروه REvil مرتبط نیستند، مطمئناً مشکلات و دردسرهای بیشتری ایجاد خواهد کرد. دقت داشتن در هنگام دریافت و مطالعه نامه های الکترونیکی که بطور ناخواسته دریافت شده اند، می تواند به فرد جهت در امان ماندن از چنین حملاتی کمک کند. در همین حال، Kaseya اقدامات لازم برای رفع آسیب پذیری موثر بر سرورهای VSA خود را آغاز کرده است.

پرده برداری از تاکتیک استفاده شده توسط هکرهای اطلاعاتی روسی بوسیله CISA و FBI

 takian.ir russian hackers

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

1 2 3