91031940_021
91031940_021

آسیب پذیری برچسب

خانه پست های برچسب شده "آسیب پذیری"
اخبار

آسیب‌پذیری‌ در محصولات Fortinet

Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
CVE-2022-26117 : آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
CVE-2022-30302 : آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
CVE-2021-41031 : آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
CVE-2021-43072 : آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117 :

fortinet

• CVE-2022-30302 :

fortinet

• CVE-2021-41031 :

fortinet

• CVE-2021-43072 :

fortinet

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.

بیشتر بخوانید
irsasafe 1401-10-04 0 دیدگاه
اخبار

رفع آسیب‌پذیری‌های با شدت بالا در محصولات سیسکو

سیسکو چندین آسیب‌پذیری را با شدت بالا در محصولات خود برطرف نمود . این نقص‌ها محصولات identity، email و web security سیسکو را تحت تأثیر قرار می‌دهند .

جزئیات آسیب‌پذیری

  • CVE-2022-20961 : این آسیب‌پذیری با شدت بالا (8.8 از 10)، در رابط مدیریت تحت‌وب سیستم احراز هویت و کنترل دسترسی سیسکو به نام Cisco Identity Services Engine (ISE) وجود دارد و به مهاجم احرازهویت‌نشده اجازه می‌دهد از راه دور یک حمله‌ی cross-site request forgery (CSRF) را راه‌اندازی کرده و اقدامات دلخواه خود را در دستگاه‌های تحت تأثیر انجام دهد. این آسیب‌پذیری به دلیل محافظت ناکافی در برابر حمله‌ی CSRF برای رابط مدیریت تحت‌وب در دستگاه آسیب‌پذیر ایجاد می‌شود و مهاجم می‌تواند با متقاعد کردن کاربرِ رابط مدیریت برای کلیک بر روی یک لینک جعلی از این نقص بهره‌برداری نماید. بهره‌برداری موفقیت‌آمیز از این نقص، برای مهاجم امکان اجرای اقدامات دلخواه را با دسترسی کاربر مورد هدف فراهم می‌کند.
  • CVE-2022-20956 : این آسیب‌پذیری با شدت بالا (7.1 از 10)، در رابط مدیریت تحت‌وب سیستم احراز هویت و کنترل دسترسی سیسکو به نام Cisco Identity Services Engine (ISE) وجود دارد و به مهاجم احراز هویت‌شده اجازه می‌دهد از راه دور فرایند تعیین مجوز دسترسی (authorization) را دور بزند و به سیستم‌فایل‌ها دسترسی پیدا کند. این آسیب‌پذیری به دلیل کنترل دسترسی نامناسب در رابطه مدیریت تحت‌وب در دستگاه آسیب‌پذیر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفقیت‌آمیز از این نقص برای مهاجم امکان فهرست، دانلود و حذف فایل‌هایی را برای مهاجم فراهم می‌کند که نباید به آن‌ها دسترسی داشته باشد .
  • CVE-2022-20958 :  یک آسیب‌پذیری با شدت بالا (8.3 از 10) در رابط مدیریت تحت‌وب نرم‌افزار Cisco BroadWorks CommPilot Application Software وجود دارد که به مهاجم احرازهویت‌شده اجازه می‌دهد از راه دور کد دلخواه خود را بر روی دستگاه آسیب‌پذیر اجرا نماید. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی‌های کاربر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به رابط وب دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفق از این نقص برای مهاجم امکان اجرای کد دلخواه را بر روی دستگاه آسیب‌پذیر به عنوان کاربر bworks فراهم می‌کند و از این طریق مهاجم می‌تواند فایل‌های دلخواه را در سیستم‌فایل بخواند و یا در برخی از فرایندها یا پروسس‌های در حال اجرا وقفه ایجاد نماید.
  • CVE-2022-20951 : این آسیب‌پذیری با شدت بالا (7.7 در 10) در رابط مدیریت تحت‌وب نرم‌افزار Cisco BroadWorks CommPilot Application Software وجود دارد که به مهاجم احرازهویت‌شده اجازه می‌دهد از راه دور حمله‌ی server-side request forgery (SSRF) را بر روی دستگاه آسیب‌پذیر انجام دهد. این آسیب‌پذیری به دلیل اعتبارسنجی ناکافی ورودی‌های کاربر ایجاد می‌شود و مهاجم با ارسال یک درخواست HTTP ساختگی به رابط وب دستگاه آسیب‌پذیر می‌تواند از این نقص بهره‌برداری نماید. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد اطلاعات محرمانه را از سرور Cisco BroadWorks و سایر دستگاه‌های موجود در شبکه به دست آورد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصولات Cisco Identity Services Engine (ISE) و Cisco BroadWorks CommPilot Application Software را تحت تأثیر قرار می‌دهند.

توصیه‌های امنیتی
آسیب‌پذیری‌های مذکور به شرح زیر در محصولات سیسکو برطرف شده‌اند :

  • CVE-2022-2096 :

cisco

  • CVE-2022-20956 :

cisco

  • CVE-2022-20951 و CVE-2022-20958 :

 

cisco

بیشتر بخوانید
irsasafe 1401-10-03 0 دیدگاه
اخبار

هشدار Fortinet درباره نقص جدید بای‌پس احراز هویت در FortiGate و FortiProxy

مجموعه Fortinet به طور خصوصی به مشتریان خود در مورد نقص امنیتی که فایروال‌های FortiGate و پروکسی‌های وب FortiProxy را تحت تاثیر قرار می‌دهد ، هشدار داده است .

این نقص به طور بالقوه به مهاجم اجازه می‌دهد تا اقدامات غیرمجاز را روی دستگاه‌های حساس انجام دهد .

این نقص مهم که به‌ عنوان CVE-2022-40684 رد‌یابی و معرفی می‌شود (امتیاز CVSS : 9.6) ، به یک آسیب‌ پذیری بای‌ پس احراز هویت مربوط می‌شود که ممکن است به یک مهاجم تایید نشده اجازه دهد تا از طریق یک درخواست HTTP(S) ساختگی ویژه ، عملیات دلخواه را در اینترفیس ادمین انجام دهد .

این مشکل بر نسخه‌های زیر تاثیر می‌گذارد و در نسخه‌های FortiOS 7.0.7 و ۷.۲.۲ و نسخه‌های FortiProxy 7.0.7 و ۷.۲.۱ که این هفته منتشر شده است، بررسی شده است :

FortiOS – از ۷.۰.۰ تا ۷.۰.۶ و از ۷.۲.۰ تا ۷.۲.۱

FortiProxy – از ۷.۰.۰ تا ۷.۰.۶ و ۷.۲.۰

این شرکت در هشداری که توسط یک محقق امنیتی با نام مستعار Gitworm در توییتر به اشتراک گذاشته شده است ، هشدار داد : « به دلیل امکان بهره‌ برداری از این مشکل از راه دور ، Fortinet اکیدا به همه مشتریان دارای نسخه‌های آسیب‌پذیر توصیه می‌کند که فورا تجهیزات و دستگاه‌های خود را ارتقا داده و بروزرسانی کنند. »

به‌عنوان راه‌ حل موقت ، این شرکت به‌ کاربران توصیه می‌کند تا زمانی کا بروزرسانی‌ها انجام شوند ، مدیریت HTTPS متصل به اینترنت را غیرفعال کنند ، یا در عوض ، یک پالیسی فایروال را برای «ترافیک محلی» اعمال کنند .

هنگامی که با فورتینت برای اظهار نظر در‌ این‌ باره تماس گرفته شد ، آنها این توصیه را تایید کرده و خاطرنشان کردند که اطلاع‌ رسانی عمومی را تا زمانی که مشتریانش اصلاحات را اعمال نکرده باشند ، به تاخیر می‌اندازد .

این شرکت در بیانیه‌ای که با The Hacker News به اشتراک گذاشته شده است ، گفت : « ارتباطات به موقع و مداوم با مشتریان ما یک جزء کلیدی در تلاش‌های ما برای ارائه بهترین راهکار‌های محافظت و ایمن‌ سازی سازمان آنها است . ارتباطات مشتری اغلب به‌ روزترین راهنمایی‌ها و گام‌های بعدی توصیه‌ شده را برای بهترین محافظت و ایمن کردن سازمانشان شرح و ارائه می‌دهد. »

« مواردی وجود دارد که ارتباطات محرمانه مشتری می‌تواند شامل هشدار‌های اولیه در مورد مشاوره باشد تا مشتریان بتوانند وضعیت امنیتی خود را بیشتر تقویت کنند، که سپس در روز‌های آینده به طور عمومی برای مخاطبان گسترده‌تر منتشر می‌شود . امنیت مشتریان ما اولویت اول ما است. »

بیشتر بخوانید
irsasafe 1401-07-20 0 دیدگاه
اخبار

5 نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)

در حال حاضر، بیش از 455 میلیون وب‌سایت با وردپرس طراحی شده‌اند که این واقعیت را نشان می‌دهد که سیستم مدیریت محتوای منبع باز یک هدف سودآور برای مجرمان سایبری است و چرا امنیت باید اولویت اصلی کاربران WP باشد .

بله ، نشانه هایی وجود دارد که نشان می دهد وردپرس یا هر وب سایت شما هک شده است ، و راه هایی برای رفع آن وجود دارد . این مقاله پنج راه را ارائه می دهد که می توانید متوجه شوید که وب سایت شما هک شده است یا خیر، و سپس چند راه برای حل هک ارائه می دهد .

به یاد داشته باشید که یک مهاجم مخرب راه های مختلفی برای دسترسی دارد. ممکن است یک بدافزار یا یک پلاگین شرور باشد ، اما ممکن است چیز شوم تری باشد ، مثلاً ایمیل شما هک شده باشد یا گوشی هوشمند/ رایانه شما دارای نرم افزارهای جاسوسی باشد . در اینجا چند نشانه وجود دارد که نشان می دهد وب سایت شما هک شده است .

 1-شما نمی توانید وارد حساب کاربری خود شوید
اگر نمی توانید وارد حساب کاربری خود شوید ، این یک نشانه کلاسیک است که نشان می دهد شما هک شده اید . با این حال ، علیرغم اینکه یک نشانه کلاسیک است ، یکی از کمترین موارد رایج است . بسیاری از هکرها نمی خواهند شما متوجه شوید که هک شده اید . این به آن‌ها اجازه می‌دهد اطلاعات مشتری شما را جمع‌آوری کنند و / یا شما را در وب‌سایت خود نگه می‌دارند تا بتوانند به بهره‌برداری از آن ادامه دهند .

2-پرونده ها و اسکریپت های ناشناخته
برای کسانی از شما که از برنامه نویسی اطلاع دارید ، ممکن است بتوانید وب سایت خود را از هرگونه بدافزار و خطرات امنیتی پاک کنید . اگر مهارت دارید ، می توانید به کد وردپرس خود نگاه کنید ، ممکن است اسکریپت های ناشناخته و پرونده های احتمالاً ناشناخته را در وردپرس خود مشاهده کنید . این اغلب به دلیل افزونه های ناعادلانه است که پرونده های خود را پشت سر می گذارند که ممکن است توسط هکرها یا سایر بدافزارها در تاریخ بعدی استفاده شود .

3-وب سایت شما کند شد
این سیگنالی است که شخصی به دلایل ناعادلانه از وب سایت شما استفاده می کند. این می تواند هر چیزی باشد ، از افرادی که از تصاویر شما و از پهنای باند خود استفاده می کنند ، تا افراد اسپم شده از وب سایت Google Safe شما به یکی از موارد ناخوشایند خود هدایت شوند .

یکی دیگر از دلایلی که وب سایت شما ممکن است برای بارگیری بسیار طولانی تر از حد معمول طول بکشد این است که ممکن است به خطر بیفتد و به عنوان بخشی از یک بات نت در مقیاس بزرگتر استفاده شود . در سال 2018 ، محققان 20،000 وب سایت به خطر افتاده وردپرس را که به عنوان یک بات نت برای انجام حملات سایبری کار می کردند ، شناسایی کردند .

4-موارد عجیب و غریب در وب سایت شما
یک ترفند احمقانه این است که پاپ آپ را به وب سایت خود اضافه کنید . این احمقانه است زیرا شما را به هک هشدار می دهد و باعث واکنش شما می شود . در واقعیت ، آنها پیوندهایی به وب سایت های اسپم اضافه می کنند که بینندگان بی گناه شما از بین می روند . پس از مدتی به دلیل داشتن یک وب سایت مشکوک توسط موتورهای جستجو ممنوع می شوید .

5-درآمد ترافیک یا وابسته شما کاهش یافته است
این یکی دیگر از نشانه های کلاسیک است که نشان می دهد وب سایت شما هک شده است . مهاجم از ترافیک شما و شاید حتی پول وابسته شما برای اهداف خود استفاده می کند . اغلب ، این رفتارهای عجیب و غریب در تجزیه و تحلیل شما است که به شما در مورد هک وردپرس هشدار می دهد .

چطوری میشه اینو تعمیر کرد
اول از همه ، شما باید منبع حمله را شناسایی کنید . اگر نه ، می توانید گزارش های دسترسی سرور خود را بررسی کنید. هنگامی که می دانید حمله از کجا آمده است ، می توانید اقداماتی را برای مسدود کردن آن آدرس IP انجام دهید .

سپس باید شروع به تغییر رمز عبور خود – برای حساب وردپرس خود و همچنین هر FTP یا حساب های میزبانی مرتبط با سایت خود کنید . حتما از رمزهای عبور قوی استفاده کنید که حدس زدن آن ها دشوار است .

علاوه بر این ، می‌توانید ایمیل اصلی وردپرس را فقط در صورت بروز مشکل تغییر دهید . باید افزونه های خود را مرور کنید تا متوجه شوید که آیا یکی از آنها باعث ایجاد مشکل شده است یا خیر . اگر افزونه امنیتی نصب کرده اید، لاگ های آن را بررسی کنید تا ببینید آیا سرنخ هایی وجود دارد یا خیر .

شما باید از طریق افرادی که به آنها مجوز داده اید بروید ، زیرا ممکن است درگیر یک کلاهبرداری وردپرس یا یک وب سایت جعلی شده باشند و ناآگاهانه اطلاعات خود را از دست داده باشند. همچنین ممکن است لازم باشد به میزبان وب خود نیز مشکوک شوید زیرا آنها اغلب هک می شوند یا اطلاعات مشتری را به صورت آنلاین بدون هیچ گونه احراز هویت امنیتی افشا می کنند.

اگر هنوز مطمئن نیستید با یک شرکت امنیتی وب سایت مانند Sucuri یا سرویسی مانند WP Masters تماس بگیرید تا به آنها اجازه دهید در وب سایت شما اجرا شوند ، آن را تعمیر کنند ، هکرها را حذف کنند، بدافزار را حذف کنند و کنترل کامل بر وب سایت خود را دوباره به دست آورند. این اغلب تنها راه قطعی برای بازگرداندن کنترل کامل وب سایت شما است . در نهایت ، باید هر کد مخربی که ممکن است به سایت شما تزریق شده باشد را پاک کنید .

بیشتر بخوانید
irsasafe 1401-06-07 0 دیدگاه
بدون دسته بندی

گرگ در لباس میش

بدافزار چگونه کاربران و آنتی ویروس را فریب می‌دهد

اخبار داغ فناوری اطلاعات و امنیت شبکه

از ترفندهایی که توزیع‌کنندگان بدافزار جهت آلوده‌کردن سیستم‌ها استفاده می‌کنند، فریب دادن قربانیان به دانلود و اجرای فایل‌های مخرب است که این مقاله به بررسی آنها می‌پردازد.

برخی از این ترفندها شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک نمودن سایت‌های قابل اعتماد جهت سوءاستفاده و بکارگیری از آنها به عنوان نقاط توزیع فایل‌های مخرب می‌باشد.

به گزارش سایت پویش و تحلیل بدافزار VirusTotal، برخی از این ترفندها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.

سایت VirusTotal، گزارشی را در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱ بر اساس دو میلیون فایل ارسالی از سوی کاربران در روز، گردآوری نموده و روند نحوه توزیع بدافزار را نشان می‌دهد.

بهره‌جویی از دامنه‌های معتبر

توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.

سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان ۱۰۱ دامنه متعلق به این سایت‌ها، ۲.۵ میلیون فایل مشکوک دانلود شده را شناسایی کرد. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.

استفاده از گواهی‌‌نامه‌های معتبر سرقت شده

امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر جهت فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.

در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون مورد امضاء شده و ۸۷٪ از آنها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکارگرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت مذکور عبارتند از Sectigo ،DigiCert ،USERTrust و Sage South Africa.

مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب

مخفی کردن یک بدافزار قابل اجرا در قالب یک برنامه‌کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype ،VLC ، Adobe Acrobat و ۷zip می‌باشند.

برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق العاده بالایی را به دنبال داشته است.

مهاجمان در کارزار مذکور از تکنیک‌های موسوم به Black Hat SEO پیروی کردند تا ‌سایت‌های بکارگرفته شده جهت توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به این ترتیب افراد بیشتری فریب خورده و فایل‌های اجرایی مخرب را دانلود کنند.

فریب کاربران از طریق فایل‌های نصب معتبر

در نهایت، ترفند دیگر پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) در حالی که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند، می‌باشد. این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند، می‌شود.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome ،Malwarebytes ،Windows Updates ،Zoom ، Brave ،Firefox ،ProtonVPN و Telegram به عنوان طعمه استفاده می‌کنند.

چگونه ایمن بمانیم؟

هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت نمایید. همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید زیرا سایت‌ها به راحتی توسط مهاجمان قابل جعل هستند و کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.

پس از دانلود یک فایل نصب‌کننده نرم‌افزار، همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوید که حاوی بدافزار نیستند. در نهایت، از بکارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل شکسته و غیرمجاز خودداری کنید زیرا معمولاً منجر به انتقال بدافزار می‌شوند.

 

بیشتر بخوانید
irsasafe 1401-05-19 0 دیدگاه
اخبار

هشدار افتا درباره بدافزار چاپلین

بدافزار جدیدی با نام چاپلین، به تازگی در زیرساخت‌های حیاتی، فعال شده که عامل وقوع حادثه سایبری و اختلالات اخیر بوده است.

به گزارش مرکز مدیریت راهبردی افتا ، بدافزار چاپلین (Chaplin)، به‌تازگی در زیرساخت‌های حیاتی، فعال شده که عامل وقوع حادثه سایبری و اختلالات اخیر بوده است. مرکز مدیریت راهبردی افتا اعلام کرد اجرای دستورات مخرب در CMD، تغییر تنظیمات امنیتی، تزریق به پردازه‌های معتبر ویندوز و تخریب، MBR سیستم از جمله قابلیت‌های این بدافزار است. دیگر ویژگی حایز اهمیت در بدافزار چاپلین، قابلیت خود انتشاری به شبکه‌های صنعتی است؛ بنابراین در صورتی‌که مجزاسازی شبکه IT از شبکه‌های صنعتی انجام نگرفته باشد، فعالیت مخرب‌گونه این بدافزار به شبکه صنعتی نیز سرایت و سامانه‌های کنترلی را در این شبکه‌ها، دچار اختلال می‌کند.

بدافزارچاپلین که توسعه آن از اوایل امسال آغاز شده است، از خانواده تروجان‌ها محسوب می‌شود. عدم تفکیک شبکه حیاتی از اینترنت (به خصوص شبکه IT از OT)، استفاده از نام کاربری و رمز عبور پیش‌فرض یا ساده و همچنین استفاده از نرم‌افزارهای آسیب‌پذیر (به‌خصوص در لبه اینترنت)، عواملی هستند که در پیشبرد اهداف طراحان بدافزار، نفوذ مهاجمان سایبری به زیرساخت‌های صنعتی و گسترش دامنه آلودگی نقش داشته‌اند.

این بدافزار، برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید می‌کند. با توجه به تمرکز حمله اخیر روی زیرساخت‌های صنعتی، ضروری است متولیان و مسئولان IT زیرساخت‌ها، شبکه‌های فناوری اطلاعات را از صنعتی جداسازی فیزیکی و اتصال غیرضروری سرویس‌ها را با اینترنت لغو کنند.

کارشناسان امنیت سایبری مرکز مدیریت رابردی افتا می‌گویند: لغو دسترسی‌های از راه دور (تا اطلاع ثانوی)، غیرفعال‌سازی حساب‌های کاربری غیرضروری و فعال‌سازی یا تغییر رمز عبور پیکربندی برای تمام PLCها و عدم استفاده از حافظه‌های جانبی USB از دیگر اقدامات مقابله با نفوذ و فعالیت بدافزارها و باج‌افزارهاست. مرکز مدیریت راهبردی افتا از متخصصان، کارشناسان و مدیران حوزه IT دستگاه‌ها و سازمان‌های دارای زیرساخت و شبکه‌های صنعتی سازمان‌ها خواسته است تا با مراجعه به این لینک با شاخص‌های آلودگی بدافزار Chaplin که تا کنون شناسایی شده‌اند و نحوه کارکرد سیستم‌های تشخیص نفوذ (IDS) این بدافزار، آشنا شوند.

مرکز ملی فضای مجازی، نیز روز گذشته اعلام کرد بخشی از سیستم های فناوری اطلاعات فولاد کشور مورد حمله سایبری دشمنان خارجی قرار گرفت و به تبع آن بخش‌هایی از فولاد هرمزگان و خوزستان نیز دچار اختلال در تولید شد که به سرعت سیستم‌های امنیتی نسبت به مهار و دفع آثار حمله سایبری مذکور اقدام کردند. مرکز ملی همچنین هرگونه اخبار در مورد حمله سایر مراکز را تکذیب کرد.

بیشتر بخوانید
a.fayyazi 1401-04-08 0 دیدگاه
اخبار

کاربران QNAP در میانه دو کمپین باج‌افزاری Blitz

تامین کننده تایوانی QNAP اواخر هفته گذشته هشداری درباره تهدیدی حیاتی از سوی گونه DeadBolt منتشر کرد که به نظر می‌رسد کاربرانی را که از نسخه‌های قدیمی QTS 4.x استفاده می‌کنند، هدف قرار می‌دهد و به نظر می‌رسد این مشتریان در میانه دو کمپین باج‌افزار گرفتار شده‌اند.

شرکت Qnap در این بیانیه آورده است : “برای ایمن کردن NAS خود، ما قویاً توصیه می‌کنیم که QTS یا QuTS hero را فوراً به آخرین نسخه به روز کنید.”

«اگر NAS شما قبلاً به خطر افتاده است، اسکرین شات از یادداشت باج بگیرید تا آدرس بیت کوین حفظ شود، سپس به آخرین نسخه سیستم عامل ارتقا دهید و برنامه داخلی حذف بدافزار به طور خودکار یادداشت درخواست باج را که صفحه ورود را دزدیده است، قرنطینه می‌کند. ”

مضاف بر آن، محققان امنیتی نسبت به تجدید حیات کمپین eCh0raix که همان دستگاه‌ها را هدف قرار می‌دهد، هشدار داده‌اند.

کارستن هان، تحلیلگر بدافزار G Data، این یافته را در توییتر اعلام کرد. طبق گفته ویروس توتال، این باج‌افزار که با نام QNAPCrypt نیز شناخته می‌شود، در حال حاضر تنها توسط ۲۸ تأمین‌کننده از ۵۸ تأمین‌کننده شناسایی می‌شود.

در زمان نگارش این مقاله هیچ خبری از QNAP وجود نداشت، اما مطمئناً این اولین باری نیست که دستگاه‌های آن توسط هر دو نوع هدف قرار می‌گیرند.

در واقع، در ماه می‌سال جاری میلادی، این تأمین‌کننده در اطلاعیه‌ای هشدار داد که دستگاه‌هایی که از گذرواژه‌های ضعیف یا سیستم‌افزار قدیمی QTS استفاده می‌کنند، ممکن است مستعد حمله باشند.

برای جلوگیری از به خطر افتادن، به مشتریان توصیه شده است که از رمز‌های عبور قوی‌تر برای حساب‌های ادمین استفاده کنند. حفاظت از دسترسی IP را برای کاهش خطر حملات brute force فعال نمایند. از استفاده از پورت‌های ۴۴۳ و ۸۰۸۰ خودداری کرده و QTS و همه برنامه‌های مرتبط را به آخرین نسخه‌ها به روز کنند.

در همان ماه، QNAP یک هشدار امنیتی جداگانه درباره کمپین DeadBolt قبلی صادر کرد. DeadBolt همچنین در ژانویه امسال حمله کرد.

باد برومهد، مدیر عامل Viakoo، توضیح داد که حدود ۱۰ مورد از ۷۰۰+ آسیب‌پذیری شناخته شده CISA که مورد سواستفاده قرار گرفته‌اند، QNAP را تحت تأثیر قرار می‌دهند.

وی افزود: «دستگاه‌های QNAP برای مجرمان سایبری بسیار جذاب هستند؛ استراتژی آن‌ها این است که از تعداد زیادی از قربانیان مقدار کمی پول بخواهند، در حالی که از تعداد کمی از قربانیان درخواست مبالغ زیاد می‌کنند».

۹۰۰ دلاری که به عنوان باج درخواست می‌شود در سطحی است که بسیاری از اپراتور‌های دستگاه‌ها به جای مشارکت دادن تیم‌های فناوری اطلاعات یا امنیتی خود، پرداخت باج را انتخاب می‌کنند و به طور بالقوه با عواقب داخلی ناشی از عدم نصب صحیح و ایمن‌سازی دستگاه‌ها مواجه می‌شوند.

بیشتر بخوانید
a.fayyazi 1401-04-04 0 دیدگاه
اخبار

سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید
a.fayyazi 1401-03-31 0 دیدگاه
اخبار

تاکتیک‌های اساسی برای محافظت از اکوسیستم‌های‌ ایمیل

از آنجایی که امنیت‌ ایمیل یک چشم انداز همیشه در حال تغییر است، تمرکز بر مرتبط‌ترین مسائل در چشم انداز تهدید، جایی است که سازمان‌ها باید از آن شروع کنند.

بنابراین، کدام تاکتیک‌های‌ ایمیل مرتبط‌ترین و مبرم‌ترین مسائلی هستند که باید روی آن تمرکز کنیم؟ بر اساس بینش‌های Cofense، این سه نوع حمله از سال ۲۰۲۱ رایج‌ترین آن‌ها بوده‌اند:

• فیشینگ اعتبارنامه
• به خطر انداختن‌ ایمیل تجاری (BEC)
• بدافزار‌ها

به گفته تحلیلگران مرکز دفاع فیشینگ Cofense، فیشینگ اعتبارنامه، حدود ۷۰ درصد از تمام حملات را تشکیل می‌دهد که BEC با ۷ درصد پشت سر این حملات قرار می‌گیرد و بدافزار (به همراه چند مورد دیگر) بقیه موارد را تشکیل می‌دهند. وقتی به آن اعداد نگاه می‌کنید و آن‌ها را با مواردی که در طول یک حمله فیشینگ اعتبارنامه موفقیت‌آمیز کنار گذاشته می‌شوند ترکیب می‌کنید، مشخص می‌شود که توقف حملات اعتبارنامه‌ای باید در اولویت باشد. این بدان معنا نیست که توقف حملات BEC و بدافزار مهم نیست، بلکه قطعاً مهم هستند. حملات موفق، مانند حملات باج‌افزاری، اغلب برای مهاجم بسیار سودآور و برای قربانی بسیار دردناک و پرخطر هستند.

برای هر سه این حملات، چند تاکتیک اساسی وجود دارد که سازمان‌ها باید اتخاذ کرده تا اطمینان حاصل کنند که از اکوسیستم‌ ایمیل خود محافظت می‌نمایند.

آموزش کاربران
حملات فیشینگ اعتبارنامه به دنبال سرقت نام‌های کاربری و رمز‌های عبور هستند و اغلب با استفاده از نمایش‌های جعلی از صفحات ورود واقعی انجام می‌شوند. بنابراین آموزش کاربران بسیار مهم بوده و اولین و بهترین گام برای ایمن نگه داشتن یک شرکت است. آموزش در زمینه تجارت واقعی بسیار کلیدی است، زیرا در صنعت تمایل بیشتری به تمرکز بر حجم نسبت به کیفیت وجود دارد. به عبارت دیگر، وقت کارمندان خود را با شبیه‌سازی‌های آموزشی که مرتبط نیستند تلف نکنید و به جای آن مستقیماً به سراغ آنچه که باید بدانند بروید.

این مسأله در مورد تهدیدات BEC و بدافزار نیز صادق است. پیوست‌های طرف‌های ناشناس خارجی همیشه مشکوک هستند و کسی که از طرف یکی از مدیران شرکت درخواست کارت‌های هدیه، حواله‌های وایری، کلاهبرداری‌های عاشقانه یا سایر تراکنش‌های مالی می‌کند، هرگز نباید بررسی و دانلود شود. تمام این انواع حملات در وهله اول توسط کارکنان آموزش داده می‌شود.

گزارش‌دهی
رویکرد دوم این است که اطمینان حاصل شود که کارمندان می‌توانند با مشاهده یک تهدید، آن را گزارش کنند. مرکز عملیات امنیتی شما (SOC) نمی‌تواند به آنچه که نمی‌بیند پاسخ دهد، بنابراین یک قابلیت گزارش‌دهی به SOC شما این امکان را می‌دهد تا دید مورد نیاز را به آنچه از طریق‌ ایمیل برای شما ارسال می‌شود داشته باشد. قابلیت‌های گزارش‌دهی حیاتی هستند، بنابراین یکی را انتخاب کنید که به راحتی استقرار یابد، از طیف وسیعی از پلتفرم‌ها در سازمان شما پشتیبانی کند، بتواند در هنگام گزارش شبیه‌سازی به کاربران بازخورد ارائه کند، و مهمتر از همه، ‌ ایمیل کامل را برای تجزیه و تحلیل به باکس سواستفاده‌های SOC ارائه دهد.

پاسخ سریع
رویکرد سوم ایجاد یک قابلیت واکنش سریع است که به شما امکان می‌دهد یک تهدید واقعی را جهت‌گیری کنید و به سرعت به آن پاسخ دهید. اگر هم بتوانید “عامل مخرب و بد” را شناسایی کنید و هم به “عامل مخرب و بد” پاسخ دهید، بنابراین تهدید را خنثی یا محدود کنید، سازمان خود را از یک حمله نجات داده‌اید. این فقط به گزارشگر یک‌ ایمیل بالقوه مخرب محدود نمی‌شود، بلکه به همه گیرندگان آن‌ ایمیل مربوط می‌شود. اکثر حملات بیش از یک‌ ایمیل را به یک شرکت ارسال می‌کنند، بنابراین اگر یکی از آن‌ها را پیدا کرده‌اید، احتمالاً‌ ایمیل بیشتری در راه دارید. یافتن‌ ایمیل‌های دیگر زمانی مهم است که نخواهید تهدیدی در صندوق ورودی کاربران وجود داشته باشد.

تجزیه و تحلیل پس از دریافت
در نهایت، قابلیت‌های موقعیت‌یابی که می‌توانند تکامل یابند و تهدید‌ها را بطور فعال شناسایی کنند، خطر را حتی بیشتر کاهش می‌دهد. دروازه‌های‌ ایمیل امن (Secure Email Gateway) یا SEG‌ها، یکی از روش‌ها هستند، اما ما به طور مداوم می‌بینیم که تهدید‌ها از این دروازه‌ها عبور می‌کنند، بنابراین نیاز به تجزیه و تحلیل و قابلیت‌های پاسخ پس از تحویل را الزامی می‌کنند. هر SEG موجود در بازار امروز دارای نقاط ضعفی است.

به‌طور سنتی، شرکت‌ها SEG‌ها را به‌صورت سری روی هم قرار می‌دهند تا احتمال شناسایی یک تهدید را افزایش دهند؛ که یک راه حل تجزیه و تحلیل پس از تحویل، که با دانش درباره آنچه در تمام SEG‌ها وجود دارد، از نظر عملکردی مؤثرتر و همچنین مقرون به صرفه‌تر است.

درک رایج‌ترین تهدید‌ها برای تعیین محل مصرف انرژی و منابع محدود، بسیار مهم است. همه انواع حملات‌ ایمیل خطرناک هستند، اما با آموزش، گزارش، تجزیه و تحلیل، شناسایی و پاسخ به خوبی اجرا شده، خطر تسلیم شدن در برابر هر یک از رویکرد‌های حمله‌ ایمیلی که در مورد آن صحبت کردیم را می‌توان کاهش داد.

بیشتر بخوانید
a.fayyazi 1401-02-31 0 دیدگاه
اخبار

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید
a.fayyazi 1401-02-26 0 دیدگاه