مروری بر امنیت سایبری در سال ۲۰۲۲

به نقل از آژانس امنیت ملی (NSA)، آژانس امنیت ملی سال ۲۰۲۲ را از نظر بازبینی و گزارشی از آن منتشر کرده است تا تمرکز مأموریت خود را به اشتراک بگذارد و نشان دهد که چگونه نتایج امنیت سایبری را ایجاد می‌کند .

گزارش امسال توانایی این آژانس در مقیاس‌سازی راه‌حل‌های امنیت سایبری از طریق مشارکت‌های قوی را نشان می‌دهد که منجر به سرعت و چابکی می‌شود.

راب جویس، مدیر امنیت سایبری NSA گفت: با محافظت از حساس‌ترین شبکه‌های دولت ایالات متحده ، ما راه‌حل‌هایی را که به امنیت زیرساخت‌های حیاتی، متحدان ایالات متحده و کسب‌وکارها و مصرف‌کنندگان در سراسر جهان کمک می‌کند، ارائه می‌کنیم . تلاش‌های ما برای محافظت از این شبکه‌ها به محافظت از شبکه شما کمک می‌کند.

گزارش امنیت سایبری آژانس امنیت ملی روی موارد زیر تأکید می‌کند :

• همکاری با صنعت برای سخت‌تر کردن میلیاردها نقطه پایانی در برابر تهدیدات فعال و مداوم دولت و ملت

• افشای ده‌ها آسیب‌پذیری روز صفر برای فروشندگان نرم‌افزار به منظور اصلاح قبل از اینکه مهاجمان سایبری از آن‌ها سوء استفاده کنند

• انتشار عمومی راهنمای امنیت سایبری برای محافظت در برابر دشمنان فعال و تهدیدات مجرمانه سایبری و سخت‌تر کردن سیستم‌ها

• استانداردهای ایمن برای فناوری‌های نوظهور از طریق مرکز استانداردهای امنیت سایبری NSA

• تحقیق و ارائه ابزارها و پیشرفت‌های فناوری که از اکوسیستم سایبری محافظت می‌کند

در حالی که این گزارش تا حد امکان اطلاعات غیرمحرمانه در مورد تمرکز و تلاش‌های مأموریت امنیت سایبری NSA را شامل می‌شود، بسیاری از کارهای مهم NSA برای محافظت از کشور نمی‌تواند به طور عمومی افشا شود. نکات کلیدی این گزارش عبارتند از:

• مشارکت NSA قوی و در حال رشد است.

o مرکز همکاری امنیت سایبری (CCC) آژانس امنیت ملی مشارکت‌های صنعتی خود را در سال گذشته دو برابر کرد و به بیش از ۳۰۰ رابطه مشترک رساند . در CCC، NSA بینش‌های SIGINT را با دیدگاه‌های شرکای صنعتی ترکیب می‌کند تا امنیت سایبری مبتنی بر اطلاعات را ارائه دهد که از کشور و متحدان ایالات متحده محافظت می‌کند.

o آژانس امنیت ملی از طریق تیم شکست دشمن خود در کمپین‌های کل دولت برای مقابله با فعالیت‌های سایبری مخرب دشمنان ایالات متحده مشارکت می‌کند. این حرکت از استراتژی دفاع ملی پشتیبانی می‌کند.

o آژانس امنیت ملی در بیش از نیمی از گزارش‌های عمومی امنیت سایبری خود در سال جاری با شرکای بین‌المللی همکاری کرد تا درک تهدیدات را افزایش دهد و اقدامات دفاعی برتر را برای مدافعان شبکه ارائه کند.

o این آژانس با صنعت و شرکای دولت ایالات متحده برای مقابله با تهدید محاسبات کوانتومی همکاری کرده است. این آژانس امنیتی از طریق انتشار مجموعه الگوریتم امنیت ملی تجاری ۲.۰ (CNSA Suite ۲.۰) در سال ۲۰۲۲ مالکان، اپراتورها و فروشندگان NSS را از الزامات آینده برای الگوریتم‌های مقاوم در برابر کوانتومی برای استفاده در NSS مطلع کرد.

• NSA زیرساخت‌های امنیتی و حیاتی را فراهم می‌کند.

oآژانس امنیت ملی میلیون‌ها دستگاه را در سراسر جهان با رمزگذاری ایمن می‌کند و زیرساخت کلید زدن آن دستگاه‌ها را مدیریت می‌کند. این شامل تولید و توزیع کلیدها، کدها و مواد رمزنگاری است که دولت و ارتش ایالات متحده از آن‌ها برای ایمن‌سازی تسلیحات، ماهواره‌ها، ارتباطات و بسیاری از سیستم‌های دیگر استفاده می‌کنند که امنیت ملی به شدت به آن‌ها متکی است.

• NSA آموزش امنیت سایبری را در سراسر کشور، از مهدکودک تا دانشگاه با تأمین مالی برنامه‌هایی مانند GenCyber، چالش CodeBreaker، تمرین سایبری NSA و مراکز ملی تعالی علمی در امنیت سایبری تقویت می‌کند.

بیشتر بخوانید
irsasafe ۱۴۰۱-۱۰-۱۴ 0 دیدگاه

بزرگترین حمله HTTPS DDOS ثبت شده توسط گوگل با ۴۶ میلیون درخواست در ثانیه

بنا بر گزارش‌ها ، Google با بزرگترین حمله DDoS در تاریخ علیه یکی از مشتریان خود هدف قرار گرفته است . حمله‌ای به یکی از مشتریان Google Cloud Armor در ۱ ژوئن رخ داد که طی آن ۴۶ میلیون درخواست در هر ثانیه توسط حملات HTTPS DDoS برای یک مشتری Google Cloud Armor ارسال شد .

این قدرتمندترین حمله DDoS لایه ۷ است که تا به امروز گزارش شده و حداقل ۷۶٪ از رکورد قبلی فراتر رفته است .

این معادل دریافت تمام درخواست‌های روزانه به ویکی‌پدیا در تنها چند ثانیه است ، بنابراین می‌توانید به راحتی مقیاس حمله را درک کنید .

با شناسایی و تجزیه و تحلیل ترافیک در اوایل چرخه حمله ، Cloud Armor Adaptive Protection توانست از موفقیت حمله جلوگیری کند .

یک قانون حفاظتی توسط Cloud Armor به مشتری توصیه شده بود که قبل از اینکه حمله به حد کامل برسد به مشتری ارائه شد .

با کمک Cloud Armor، خدمات مشتری به صورت آنلاین نگه داشته شد و کاربران نهایی آن توانستند به دریافت خدمات ادامه دهند .

حمله طولانی مدت
این حادثه حوالی ساعت 09:45 به وقت اقیانوس آرام در تاریخ ۱ ژوئن اتفاق افتاد و گمان می‌رود که یک حمله مبتنی بر وب باشد . در راستای تلاش برای به خطر انداختن تعادل لود HTTP/S قربانی ، مهاجم در ابتدا توانسته بود تنها ۱۰۰۰۰ درخواست در ثانیه ایجاد کند .

در عرض هشت دقیقه پس از شروع حمله ، این عدد به ۱۰۰۰۰۰ RPS افزایش یافت . پس از دریافت داده‌های خاصی که از تجزیه و تحلیل ترافیک Google استخراج شده بود، Cloud Armor Protection یک هشدار و‌ شناسه ایجاد کرد که بر اساس داده‌ها شروع به کار کرد .

اوج ۴۶ میلیون درخواست در ثانیه دو دقیقه بعد در نتیجه حمله بود . به لطف توصیه Cloud Armor، مشتری قبلاً این قانون را برای فعال کردن عملکرد عادی اعمال کرده بود و نهایتاً در ۶۹ دقیقه پس از شروع حمله، این حمله رکوردشکن به پایان رسید .

این هشدار شامل توصیه‌ای برای قاعده‌ای بود که می‌توان از آن برای مسدود کردن امضا‌ها با نیت مخرب استفاده کرد .

در مجموع ، ۵۲۵۶ آدرس IP منبع در ۱۳۲ کشور در سراسر جهان درگیر این حمله بودند . حدود ۳۱ درصد از کل ترافیک حمله توسط ۴ کشور بزرگ ایجاد شده است .

هنوز هیچ اطلاعاتی در مورد بدافزاری که پشت این حمله است وجود ندارد . اما به نظر می‌رسد بات نت Mēris محتمل‌ترین ارائه دهنده این خدمات بر اساس توزیع جغرافیایی استفاده از آن‌ها باشد .

استفاده از نود‌های خروج Tor به عنوان مکانیزم تحویل ترافیک یکی دیگر از ویژگی‌های این حمله است . به گفته محققان گوگل، مقدار قابل توجهی از ترافیک ناخواسته را می‌توان از طریق نود‌های خروج Tor تحویل داد .

علاوه بر این ، رشد مداوم در اندازه حمله و تکامل تاکتیک‌ها در چند سال آینده وجود خواهد داشت . بنابراین، کاربران باید مکانیسم‌های امنیتی قوی را برای دفاع و کاهش چنین حملاتی به کار گیرند .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۳۱ 2 دیدگاه

آسیب‌پذیری صد‌ها هزار روتر نسبت به حملات از راه دور بعلت نقص Realtek SDK

یک آسیب‌پذیری جدی که بر روی eCos SDK ساخته شده توسط شرکت سمی‌کانداکتور تایوانی Realtek تأثیر می‌گذارد ، می‌تواند دستگاه‌های شبکه بسیاری از تأمین‌ کنندگان را در معرض حملات از راه دور قرار دهد .

این حفره امنیتی که تحت عنوان CVE-2022-27255 ردیابی می‌شود و دارای درجه «شدت بالا» است ، به‌عنوان یک سرریز بافر مبتنی بر استک توصیف شده است که می‌تواند به مهاجم راه دور اجازه دهد تا در دستگاه‌هایی که از SDK استفاده می‌کنند ، خرابی ایجاد کند یا به اجرای کد دلخواه دست یابد . یک چنین حمله‌ای را می‌توان از طریق رابط WAN با استفاده از پکت‌های SIP ساخته و طراحی شده ، انجام داد .

اساساً Realtek eCos SDK به شرکت‌هایی ارائه می‌شود که روتر‌ها ، اکسس پوینت‌ها و ریپیتر‌هایی که توسط SoC‌های خانواده RTL819x تولید می‌کنند ، ارائه می‌شود . SDK عملکرد‌های پایه روتر ، از جمله اینترفیس مدیریت وب و استک شبکه را پیاده‌ سازی می‌کند . تأمین‌کنندگان می‌توانند در ادامه آن این SDK را ایجاد کنند تا عملکرد‌های سفارشی و نام تجاری خود را به دستگاه اضافه کنند .

مجموعه Realtek در ماه مارس و زمانی که انتشار یک پچ را اعلام کرد ، مشتریان را در مورد آسیب‌پذیری eCos SDK مطلع کرد . با این حال ، این مربوط به OEM‌هایی است که از SDK استفاده می‌کنند تا اطمینان حاصل کنند که پچ در دستگاه‌های کاربر نهایی توزیع می‌شود .

یافته محققین شرکت امنیت سایبری فارادی سکیوریتی مستقر در آرژانتین توسط Realtek برای کشف این آسیب‌پذیری تأیید شده است . محقق فارادی ، اکتاویو جیاناتیمپو ، که در حال ارائه جزئیات یافته‌ها در روز جمعه در کنفرانس DEF CON در لاس وگاس است ، قبل از این رویداد اطلاعاتی را با خبرگزاری‌های حوزه امنیت سایبری به اشتراک گذاشت .

این محقق گفت که این آسیب‌پذیری می‌تواند از راه دور (مستقیماً از اینترنت) برای هک کردن روتر‌های آسیب‌دیده که با تنظیمات پیش‌فرض اجرا می‌شوند مورد سواستفاده قرار گیرد . و نکته قابل توجه اینکه هیچ تعامل کاربری برای بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری مورد نیاز نیست .

وی توضیح داد : «کد آسیب‌پذیر بخشی از استک شبکه است که اگر دستگاه به اینترنت متصل باشد ، مهاجم فقط باید یک پکت ارسال کند تا کنترل دستگاه را در دست بگیرد .»

جیاناتیمپو گفت که آن‌ها تقریباً ۲۰ تأمین‌کننده را شناسایی کرده‌اند که از SDK آسیب‌پذیر برای محصولات خود استفاده می‌کنند ، از جمله Tenda ، Nexxt ، Intelbras و  D-Link . با این حال ، ممکن است تأمین‌کنندگان دیگری نیز وجود داشته باشند که تحت تأثیر این آسیب‌پذیری هستند اما هنوز آن‌ها شناسایی نشده‌اند .

جیاناتیمپو خاطرنشان کرد : «فرآیند شناسایی محصولات OEM آسیب‌دیده به دلیل عدم رؤیت زنجیره تأمین آن‌ها ، بسیار نگران‌کننده است .»

در حالی که هیچ نشانه‌ای مبنی بر سواستفاده از این نقص در فضای سایبری وجود ندارد ، ممکن است تعداد قابل توجهی از دستگاه‌ها به دلیل این آسیب‌پذیری در معرض حملات قرار گیرند ، بنابراین چنین مشکلی ممکن است برای عاملان مخرب بسیار وسوسه‌انگیز باشد .

فارادی جستجوی Shodan را انجام داده و بیش از ۶۰۰۰۰ روتر آسیب‌پذیر را شناسایی کرده است که پنل مدیریت آن‌ها در معرض دید قرار گرفته است . علاوه بر این ، Mercadolibre ، بزرگترین سایت تجارت الکترونیک در آمریکای لاتین ، بر اساس پیشخوان فروش نمایش داده شده در صفحات محصول، ۱۳۰۰۰۰ دستگاه تحت تأثیر این آسیب‌پذیری را فروخته است . همچنین آنطور که در گزارش ها مشاهده گردیده ، ایران نیز در بین مخاطبان این آسیب پذیری قرار دارد .

جیاناتیمپو توضیح داد : «پنل ادمین به طور پیش فرض فعال نیست، بنابراین تعداد کل دستگاه‌های در معرض نمایش باید بیشتر باشد . شناسایی از راه دور روتر‌های آسیب‌دیده مستلزم راه‌اندازی این آسیب‌پذیری است که خارج از محدوده تحقیقاتی ما است .»

عوامل تهدید برای هدف قرار دادن آسیب‌پذیری‌های Realtek SDK در حملات خود شناخته شده‌اند . سال گذشته نیز محققان بهره‌برداری از یک نقص را تنها چند روز پس از افشای آن مشاهده کردند .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۲۶ 0 دیدگاه

متاورس و تهدیدات امنیت سایبری آن

متاورس چیست ؟ متاورس این روز‌ها مطمئناً تبدیل به موضوع داغی شده است ! Metaverse را می‌توان به قول Trend Micro، اینترنت تجربیات (IoX) یا Internet of Experiences بیان کرد. با این حال ، با تکامل مفهوم ، تعاریف متاورس نیز تغییر خواهد کرد . اکنون ، این فضا تحت تسخیر تهدیدات بالقوه امنیت سایبری است که در زیر مشخص شده است .

ان‌اف‌تی‌ها (NFT)
اساساً NFT‌ها قبلاً از حملات سایبری زیادی از سوی انواع عاملان تهدید رنج می‌بردند . مسائل امنیتی مربوط به NFT‌ها شامل انتقال دارایی و کلاهبرداران شبیه‌سازی NFT با تغییر چند بیت داده در فایل محافظت شده است . در ماه می‌ ، مهاجمانی پیدا شدند که از طریق پیشنهاد‌های شغلی جعلی ، کاربران Pixiv و DeviantArt را در ژاپن هدف قرار داده بودند . این پیشنهاد‌ها وانمود می‌کردند که از پروژه Cyberpunk Ape Executives NFT آمده و دستگاه‌های قربانی را با دزد‌های اطلاعاتی آلوده می‌کردند .

کلاهبرداری مالی
پیش‌بینی می‌شود حجم بالای تراکنش‌های مالی بسیار بالای متاورس مجرمان سایبری را که سعی در سرقت پول و دارایی‌های دیجیتالی دارند ، جذب خود کند . محققان دریافتند که اعتبار نامه‌های مالی دومین پتانسیل درآمدزایی برای عاملان تهدید را دارند و فقط حساب‌های سایت بازی قبل از آن‌ها در رده اول قرار دارند .

مهندسی اجتماعی یا Social Engineering
اخیراً حملات فیشینگ و ضربه زدن با استفاده از تاکتیک‌های مهندسی اجتماعی در بین مجرمان سایبری بسیار محبوب شده است . به عنوان مثال ، متا ادعا کرد که علیه دو کمپین مجزای جاسوسی سایبری (که توسط Bitter APT و Transparent Tribe) در پلتفرم‌های رسانه‌های اجتماعی خود اداره می‌شوند ، اقدام کرده است . از آنجایی که متاورس به مرز‌های فیزیکی محدود نمی‌شود ، تعداد بیشتری از مردم در معرض کلاهبرداران جهانی و حملات مهندسی اجتماعی قرار خواهند گرفت .

حملات متعارف IT
در حالی که متاورس قرار است سطح حمله را گسترش دهد ، تهدیدات امنیتی سایبری سنتی ، از جمله DDoS ، باج‌افزار ، و حملات خاص ابری ، و غیره ، همچنان بیداد خواهند کرد .

کلام پایانی
با سرمایه‌گذاری‌های هنگفتی که در فضای متاورس انجام شده است ، اکنون لازم است طراحی و اجرای اقدامات امنیتی مربوطه به آن آغاز شود . از آنجایی که این مفهوم هنوز در حال تکامل است ، ایجاد استراتژی‌های امنیتی مناسب برای آن ، یک چالش محسوب می‌شود . با این حال، پیش‌بینی این تهدیدات امنیت سایبری و اقدام پیشگیرانه به ایمن ماندن از مخاطرات کمک می‌کند .

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۲۶ 0 دیدگاه

گرگ در لباس میش

بدافزار چگونه کاربران و آنتی ویروس را فریب می‌دهد

اخبار داغ فناوری اطلاعات و امنیت شبکه

از ترفندهایی که توزیع‌کنندگان بدافزار جهت آلوده‌کردن سیستم‌ها استفاده می‌کنند، فریب دادن قربانیان به دانلود و اجرای فایل‌های مخرب است که این مقاله به بررسی آنها می‌پردازد.

برخی از این ترفندها شامل مخفی کردن فایل‌های اجرایی بدافزار در قالب برنامه‌های کاربردی متداول، امضای آن‌ها با گواهی‌نامه‌های معتبر یا حتی هک نمودن سایت‌های قابل اعتماد جهت سوءاستفاده و بکارگیری از آنها به عنوان نقاط توزیع فایل‌های مخرب می‌باشد.

به گزارش سایت پویش و تحلیل بدافزار VirusTotal، برخی از این ترفندها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در اکثر ضدویروس‌های مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.

سایت VirusTotal، گزارشی را در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱ بر اساس دو میلیون فایل ارسالی از سوی کاربران در روز، گردآوری نموده و روند نحوه توزیع بدافزار را نشان می‌دهد.

بهره‌جویی از دامنه‌های معتبر

توزیع بدافزار از طریق ‌سایت‌های معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را می‌دهد تا فهرست‌های مسدود شده مبتنی بر IP را دور بزنند و همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.

سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top 1000 websites) و از میان ۱۰۱ دامنه متعلق به این سایت‌ها، ۲.۵ میلیون فایل مشکوک دانلود شده را شناسایی کرد. قابل‌توجه‌ترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویس‌دهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبه‌های بعدی قرار دارند.

استفاده از گواهی‌‌نامه‌های معتبر سرقت شده

امضای نمونه‌های بدافزاری با گواهی‌نامه‌های معتبر سرقت شده، روشی دیگر جهت فرار از تشخیص توسط ضدویروس‌ها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.

در میان تمام نمونه‌های مخرب آپلود شده در VirusTotal در بازه زمانی مذکور، بیش از یک میلیون مورد امضاء شده و ۸۷٪ از آنها از یک گواهی‌نامه‌ معتبر استفاده کرده‌اند. گواهی‌نامه‌های رایج بکارگرفته شده در امضای نمونه‌های مخرب ارسال شده به سایت مذکور عبارتند از Sectigo ،DigiCert ،USERTrust و Sage South Africa.

مخفی شدن در قالب نرم‌افزارهای معتبر و محبوب

مخفی کردن یک بدافزار قابل اجرا در قالب یک برنامه‌کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود کرده، اما با اجرای فایل‌های نصب‌کننده نرم‌افزار، سیستم‌های خود را به بدافزار آلوده می‌کنند. برنامه‌های کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کرده‌اند اغلب دارای نشان (Icon) مربوط به محصولات Skype ،VLC ، Adobe Acrobat و ۷zip می‌باشند.

برنامه محبوب بهینه‌سازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهره‌جویی قرار گرفته نیز یکی از گزینه‌های محبوب هکرها است و نسبتاً آلودگی و توزیع فوق العاده بالایی را به دنبال داشته است.

مهاجمان در کارزار مذکور از تکنیک‌های موسوم به Black Hat SEO پیروی کردند تا ‌سایت‌های بکارگرفته شده جهت توزیع بدافزار خود را در نتایج جستجوی Google در رتبه‌بندی بالایی قرار دهند و به این ترتیب افراد بیشتری فریب خورده و فایل‌های اجرایی مخرب را دانلود کنند.

فریب کاربران از طریق فایل‌های نصب معتبر

در نهایت، ترفند دیگر پنهان کردن بدافزار در فایل‌های نصب برنامه‌های معتبر و اجرای پروسه هک در پس‌زمینه (Background) در حالی که برنامه‌های واقعی در پیش‌زمینه (Foreground) در حال اجرا هستند، می‌باشد. این تکنیک ضمن فریب قربانیان منجر به بی‌اثر شدن برخی موتورهای ضدویروس که ساختار و محتوای فایل‌های اجرایی را بررسی نمی‌کنند، می‌شود.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome ،Malwarebytes ،Windows Updates ،Zoom ، Brave ،Firefox ،ProtonVPN و Telegram به عنوان طعمه استفاده می‌کنند.

چگونه ایمن بمانیم؟

هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه موجود در سیستم‌عامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت نمایید. همچنین، مراقب تبلیغاتی که در نتایج جستجو ممکن است رتبه بالاتری داشته باشند، باشید زیرا سایت‌ها به راحتی توسط مهاجمان قابل جعل هستند و کاملاً شبیه سایت‌های معتبر به نظر می‌رسند.

پس از دانلود یک فایل نصب‌کننده نرم‌افزار، همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوید که حاوی بدافزار نیستند. در نهایت، از بکارگیری نسخه‌های کرک شده، نرم‌افزارهای قفل شکسته و غیرمجاز خودداری کنید زیرا معمولاً منجر به انتقال بدافزار می‌شوند.

 

بیشتر بخوانید
irsasafe ۱۴۰۱-۰۵-۱۹ 0 دیدگاه

امکان دسترسی به شبکه‌های سازمانی با نقص مهم در فایروال‌های Zyxel

یک آسیب‌پذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروال‌های Zyxel را تحت تأثیر قرار می‌دهد، به همراه یک ماژول Metasploit که از آن بهره‌برداری می‌کند، به صورت عمومی افشا شده است.

این آسیب‌پذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳‌آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچ‌هایی که در ۲۸‌آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.

جزییات CVE-2022-30525
آسیب‌پذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروال‌های آسیب‌پذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آن‌ها اجازه می‌دهد فایل‌های خاصی را تغییر داده و کامند‌های سیستم‌عامل را اجرا کنند.

همانطور که توسط Zyxel تأیید شده است، این آسیب‌پذیری، بر مدل‌های فایروال و نسخه‌های فریمور زیر تأثیر می‌گذارد:

• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1

• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1

• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1

رفع و کاهش خطر
با وجود پچی که می‌توان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیب‌پذیر قابل کشف از طریق Shodan ممکن است در روز‌ها و ماه‌های آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است به‌ویژه توسط کارگزاران دسترسی اولیه حادث شود.

به ادمین‌های دستگاه‌های آسیب دیده توصیه می‌شود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.

«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.

بینز از اینکه Zyxel این آسیب‌پذیری را بی‌صدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک می‌کند و مدافعان را در مورد خطر واقعی مسائل جدید کشف‌شده در ناآگاهی کامل ر‌ها می‌نماید».

با این حال، زایکسل می‌گوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۲-۲۶ 0 دیدگاه

چهار نکته اساسی برای به حداکثر رساندن امنیت API

حجم اینترفیس‌های برنامه‌نویسی برنامه‌ها (API) بین سال‌های ۲۰۲۰ و ۲۰۲۱ افزایش یافته است. Postman رشد جهانی اکوسیستم API را تأثیرگذار خوانده و اشاره کرد که چگونه شاهد افزایش ۳۹ درصدی در تعداد مجموعه‌های ایجاد شده تا ۳۰ میلیون بوده است. حتی رشد بیشتر در تعداد درخواست‌های API ایجاد شده، با تعداد ۸۵۵ میلیون، که افزایش ۵۶ درصدی را تشکیل می‌دهد نیز مشاهده شده است.

چرا این یک مزیت محسوب می‌شود؟
اساساً API‌ها چندین مزیت را برای سازمان‌ها فراهم می‌کنند. به گفته تامسون رویترز، API‌ها می‌توانند به سازمان‌ها در صرفه‌جویی در زمان و منابع با ساده‌سازی یا حذف کلی وظایف خاص کمک کنند. این می‌تواند دسترسی سازمان‌ها به داده‌هایشان و مشارکت در گزارش‌های در لحظه کسب‌وکار را آسان‌تر کند و در عین حال موارد خطای انسانی را که می‌تواند کسب‌وکار را به خطر بیندازد، به حداقل برساند.

با آزاد شدن این منابع، سازمان‌ها می‌توانند بر ارائه ارزش به مشتریان خود تمرکز کنند. آن‌ها همچنین می‌توانند از API‌ها برای متمایز کردن خود از رقبای خود از طریق یک یا چند تخصص استفاده کنند. API‌ها می‌توانند به آن‌ها کمک کنند تا نیاز‌های آن بخش‌های خاص را برطرف کنند و در نتیجه فرصت‌های تجاری جدید‌ امیدوار‌کننده‌ای ایجاد کنند.

چرا گاهی اوقات این یک مشکل محسوب می‌شود؟
با این حال، API‌ها می‌توانند پیچیدگی و خطرات امنیتی را ایجاد کنند. بر اساس تحقیقات انجام شده توسط Cloudentity، حدود ۹۷٪ از سازمان‌ها به دلیل نگرانی‌های امنیتی API در انتشار برنامه‌ها و سرویس‌های جدید با تأخیر مواجه شده‌اند. تقریباً نیمی از آن‌ها (۴۴٪) این نگرانی‌ها را به عنوان نگرانی‌های جدی مربوط به قرار گرفتن در معرض اطلاعات خصوصی و سایر داده‌ها بیان کرده‌اند.

گاهی اوقات، سازمان‌ها بیشتر بر روی حفظ زمان تحویل سریع برنامه‌ها تمرکز می‌کنند تا امنیت API‌های خود. این عدم تعادل به عنوان بودجه ناکافی برای تلاش‌های امنیتی API، از جمله آموزش آگاهی از امنیت برای توسعه‌دهندگان و سایر ذینفعان، ظاهر می‌شود. با اذعان به این یافته‌ها، جای تعجب نیست که فقط ۲ درصد از پاسخ‌دهندگان در نظرسنجی به توانایی سازمان خود برای ایمن‌سازی API‌های خود اطمینان داشتند.

فرصت‌هایی برای تغییر
بسیاری از سازمان‌ها به دنبال ایجاد تغییر برای امنیت API خود هستند. در نظرسنجی فوق الذکر توسط Cloudentity، حدود ۹۳ درصد از پاسخ‌دهندگان نشان دادند که قصد دارند بودجه و منابع خود را برای امنیت API افزایش دهند. بیش از نیمی (۶۴٪) نوشتند که بودجه آن‌ها می‌تواند تا ۱۵٪ در آینده افزایش یابد.

این یافته‌ها سؤال مهمی را مطرح می‌کند. سازمان‌هایی که به دنبال به حداکثر رساندن امنیت API خود هستند باید توجه خود را به کجا معطوف کنند؟ در زیر چهار نکته مهم که به این امر کمک می‌کند، ارائه شده است:

نکته شماره ۱: یک استراتژی مدیریت API را اتخاذ کنید
ابتدا، سازمان‌ها باید یک استراتژی مدیریت API را اتخاذ کنند. Help Net Security اشاره کرد که آن‌ها باید با ارائه فرآیند‌های واضح برای طراحی، پیاده‌سازی و مدیریت API که با الزامات کسب‌وکار مطابقت دارد، تا حد امکان به شکل پیشگیرانه‌ی، این استراتژی را انجام دهند. به عنوان بخشی از استراتژی خود، سازمان‌ها همچنین باید راه‌هایی را مستند کنند که از طریق آن تیم‌های امنیتی بتوانند آسیب‌پذیری‌های مربوط به API‌های خود را شناسایی، به‌ویژه ۱۰ نقطه ضعف برتر API که توسط پروژه امنیتی برنامه‌های باز وب (OWASP) شناسایی شده‌اند، اولویت‌بندی و اصلاح کنند. همه عناصر امنیتی دیگر از این پایه یک استراتژی مدیریت API سرچشمه می‌گیرند، بنابراین مهم است که آن را به درستی انجام دهید و با تکامل کسب‌وکار، آن را بازبینی و به روز کنید.

نکته شماره ۲: همه API‌های آن‌ها را پیدا کنید
با وجود یک استراتژی مدیریت API، سازمان‌ها می‌توانند تمام API‌های خود را در هر کجا که ساکن هستند کشف کنند. با این حال، آن‌ها باید در مورد نحوه برخورد با این مرحله، استراتژیک برخورد کنند. به عنوان مثال، IT همیشه در مورد همه API‌های مورد استفاده در سازمان نمی‌داند، بنابراین تکیه بر فرآیند‌های کشف دستی آن‌ها می‌تواند نقاط کور بحرانی ایجاد نماید.

سازمان Salt Security با این ارزیابی موافق است. آن‌ها در یک پست وبلاگ توضیح داده‌اند: «مستندسازی API، اگرچه به خودی خود بهترین روش است، اما ممکن است به طور مداوم انجام نشود. کشف خودکار اندپوینت‌های API، پارامتر‌ها و انواع داده‌ها برای همه سازمان‌ها ضروری است.»

با در نظر گرفتن این موضوع، سازمان‌ها باید API‌ها را در تمام محیط‌های خود نه فقط تولید، بلکه کشف کنند که شامل وابستگی‌های API و برچسب‌گذاری API‌های خود به عنوان بهترین عمل و شکل DevOps است.

نکته شماره ۳: افزایش آگاهی کارکنان از امنیت API
سازمان‌ها اگر نیروی کار آن‌ها تهدیدات موجود را درک نکنند، نمی‌توانند انتظار داشته باشند که همه از شیوه‌های امنیتی API پیروی کنند. برای رفع این مشکل، آن‌ها می‌توانند از آموزش آگاهی امنیتی برای آموزش کارکنان خود در مورد حملات مبتنی بر API و نحوه تهدید آن‌ها برای کسب‌وکار استفاده کنند. فوربز نوشت، این تلاش‌ها به برقراری امنیت در مراحل طراحی، ساخت و استقرار نرم‌افزار کمک می‌کند. همچنین مکمل ابتکارات DevSecOps است که برای ارتقای همکاری بین تیم‌های توسعه برنامه، امنیت و عملیات طراحی شده‌اند.

نکته ۴: به Zero Trust برسید
در نهایت، سازمان‌ها باید Zero Trust را به عنوان هدف خود در نظر بگیرند. یک رویکرد Zero trust می‌تواند به تیم‌های امنیتی کمک کند تا به طور مداوم سرویس، درخواست‌کننده و مشتری را تأیید کنند، بنابراین تهدیدات حملات API را به حداقل می‌رساند. تیم‌ها همچنین می‌توانند از Zero Trust برای ممیزی آن درخواست‌ها برای نشانه‌های ایجاد خطر و شاخص‌هایی که سپس می‌توانند برای محدود کردن دامنه یک حادثه بر اساس آن‌ها عمل کنند، استفاده کنند.

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۲-۱۸ 0 دیدگاه

هشدار گروه هکری « Anonymous » به شرکت‌های فعال در روسیه

هشدار گروه هکری « انانیموس » در خصوص قطع فعالیت خود به شرکت‌های فعال در روسیه.

۴۸ ساعت فرصت دارید تا روسیه را ترک کنید.

گروه هکری « Anonymous » که ترجمه فارسی آن «ناشناس» می‌شود به شرکت‌هایی که همچنان در روسیه به فعالیت خود ادامه می‌دهند اخطار داد که در صورت عدم ترک روسیه، وب‌سایت‌های مرتبط به آن‌ها را هک خواهند کرد . شرکت هایی همچون Nestle , Citrix , Burger King و …

این گروه هکری تاکنون چندین سازمان دولتی روسیه را هدف حملات هکری قرار داده و پیش تر اسناد سازمان‌های دولتی روسیه را که درباره جنگ اوکراین به دست آورده بود را منتشر کرده است.
این گروه به این شرکت‌ها ۴۸ ساعت فرصت داده است و هشدار داده در صورت عدم ترک در انتظار حملات هکری به وب‌سایت‌های خود باشند.

شرکت نستله پس از فشارهایی که به دلیل فعالیت در روسیه بر این شرکت وارد شده روز چهارشنبه اعلام کرد که برخی از فعالیت‌های غیر ضروری خود در روسیه را به حالت تعلیق در می‌آورد. سهام این شرکت پس از انتقادهای گسترده ۱/۳ درصد افت کرد

بیشتر بخوانید
a.fayyazi ۱۴۰۱-۰۱-۰۳ 0 دیدگاه

استفاده هکرهای ایرانی از Backdoor جدید Marlin در کمپین جاسوسی «Out to Sea»

به ادعای هکرنیوز، یک گروه تهدید دائمی پیشرفته (APT) که با ایران ارتباط دارد، مجموعه ابزار بدافزار خود را بروزرسانی کرده است تا backdoor جدیدی به نام Marlin را به عنوان بخشی از یک کمپین جاسوسی طولانی‌مدت که در‌آوریل ۲۰۱۸ آغاز شده است، شامل شود.

شرکت امنیت سایبری اسلواکی ESET این حملات را که با اسم رمز “Out to Sea” از آن یاد شده، در حالی که به طور قطعی فعالیت‌های خود را به گروه دوم ایرانی که تحت نام Lyceum ردیابی می‌شود (Hexane با نام مستعار SiameseKitten) مرتبط می‌داند، به یک عامل تهدید به نام OilRig (معروف به APT34) نسبت داده است.

مجموعه ESET در گزارش تهدید T3 ۲۰۲۱ خود که با هکر نیوز به اشتراک گذاشته است، خاطرنشان کرد: “قربانیان این کمپین شامل سازمان‌های دیپلماتیک، شرکت‌های فناوری، و سازمان‌های پزشکی در اسرائیل، تونس و امارات متحده عربی هستند”.

طبق این ادعا، این گروه هکری که حداقل از سال ۲۰۱۴ فعال است، به دولت‌های خاورمیانه و بسیاری از بخش‌های تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی حمله می‌کند. در‌آوریل ۲۰۲۱، این عامل سایبری یک نهاد لبنانی را با ایمپلنتی به نام SideTwist هدف قرار داد. از طرفی نیز، کمپین‌هایی که قبلاً به Lyceum نسبت داده شده بود، شرکت‌های فناوری اطلاعات در اسرائیل، مراکش، تونس و عربستان سعودی را هدف گرفته بودند.

زنجیره‌های آلودگی Lyceum همچنین به این دلیل قابل توجه هستند که از زمانی که کمپین در سال ۲۰۱۸ آشکار شد (با DanBot شروع شد و در سال ۲۰۲۱ به Shark و Milan منتقل شد) با حملاتی که در آگوست ۲۰۲۱ شناسایی شدند، باعث نفوذ مجموعه جدید داده‌های بدافزاری به نام مارلین شدند.

تغییرات به همین جا ختم نمی‌شود. با تفاوت قابل توجهی از OilRig TTP‌های سنتی، که شامل استفاده از DNS و HTTPS برای ارتباطات command-and-control (C&C) می‌شود، مارلین از OneDrive API مایکروسافت برای عملیات C2 خود استفاده می‌کند.

مجموعه ESET، با اشاره به اینکه دسترسی اولیه به شبکه با استفاده از spear-phishing و همچنین دسترسی از راه دور و نرم‌افزار‌های مدیریتی مانند ITbrain و TeamViewer به دست آمده، شباهت‌ها در ابزار‌ها و تاکتیک‌های بین backdoor‌های OilRig و Lyceum را “بیش از حد متعدد و خاص” عنوان کرد.

محققان می‌گویند: «backdoor متعلق به ToneDeaf در اصل با C&C خود از طریق HTTP/S ارتباط برقرار می‌کرد، اما شامل یک روش ثانویه، تونلینگ DNS بود که به درستی کار نمی‌کند. Shark علائم مشابهی دارد و در جایی روش ارتباطی اولیه آن از DNS استفاده می‌کند اما یک گزینه ثانویه HTTP/S غیر کاربردی دارد».

اساساً ToneDeaf که از جمع‌آوری اطلاعات سیستم، آپلود و دانلود فایل‌ها و اجرای دستورات shell دلخواه پشتیبانی می‌کند؛ این مورد، یک خانواده بدافزار است که توسط عامل APT34 با هدف قرار دادن طیف گسترده‌ای از صنایع فعال در خاورمیانه در جولای ۲۰۱۹ به کار گرفته شده است.

علاوه بر این، یافته‌ها همچنین به استفاده همپوشانی از DNS بعنوان یک کانال ارتباطی C&C اشاره کرد؛ در حالی که از HTTP/S به عنوان یک روش ارتباطی ثانویه و استفاده از فولدر‌های متعدد در دایرکتوری فعال یک Backdoor برای آپلود و دانلود فایل‌ها از سرور C&C استفاده می‌شود.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه

هدفگیری میلیون‌ها کاربر با کلون های Pirate Bay

تبلیغات بد یا مخرب به عنوان یک تهدید به سرعت محبوبیت پیدا کرده‌اند. این مورد شامل طرح‌های کلاهبرداری تبلیغاتی با فریب بازدیدکنندگان وب سایت‌ها است. طبق یک گزارش، تبلیغات نادرست و فریبکارانه در سه ماهه سوم سال ۲۰۲۱ شاهد افزایش ۲۳۱ درصدی بود. این نوع حملات معمولاً در وب‌سایت‌های تورنت و مستهجن به صورت قارچ گونه مشاهده می‌شوند. به تازگی یک کمپین جعل هویت وب سایت تورنت معروف Pirate Bay در فضای سایبری مشاهده شده است.

چه خبر است؟
سایبرنیوز پنج دامنه مخرب را کشف کرده که به عنوان The Pirate Bay در فضای سایبری در حال خودنمایی بوده‌اند. این دامنه‌ها هر ماه با استفاده از محتوای رایگان برای جذب اهداف، تبلیغات مخرب را به بیش از هفت میلیون کاربر ارائه می‌کردند.

همه وب‌سایت‌ها لینک‌های مگنت دانلود تورنت جعلی و چندین آگهی ارائه شده در پس‌زمینه صفحات را به صورت انباشته ارائه می‌دهند. آن‌ها این اطمینان را حاصل می‌کنند که با کلیک بر روی یک تبلیغ، چندین آگهی مخفی و احتمالاً مخرب ایجاد می‌شود. علاوه بر این، وب‌سایت‌ها فایل‌های تورنت مصنوعی را ارائه می‌کنند که فایل‌های مخرب جاوا اسکریپت را منتشر می‌کنند.

اهمیت این فعالیت‌ها در چیست؟
فایل‌های مخرب جاوا اسکریپت برای شناسایی کاربران، ثبت فعالیت‌های آن‌ها و ارائه تبلیغات مزاحم به آن‌ها استفاده می‌شود. این می‌تواند برای استخراج داده‌های شخصی قربانی، ایجاد backdoor به سیستم آلوده، یا نصب باج‌افزار، در میان سایر فعالیت‌های مخرب، مورد استفاده قرار می‌گیرد. کمپین‌های بدافزار در سایت‌های تورنت جعلی گسترده شده‌اند زیرا مهاجمان به راحتی می‌توانند دانلود‌ها را قانونی و حقیقی جلوه دهند. از آنجایی که باز کردن یک فایل تورنت مستلزم ارائه مجوز از سوی کاربر است، برخی ممکن است سهوا بدون اینکه متوجه شوند چه چیزی به آن‌ها ضربه‌زده است، بدافزار را دانلود کنند.

چرا سایت‌های تورنت؟
کلاهبرداران همچنین می‌توانند از شبکه‌های تبلیغاتی قانونی برای گسترش کمپین‌های تبلیغات بد و نمایش تبلیغات مخرب در سایت‌های معروف استفاده کنند.

در حالی که آن‌ها را می‌توان در هر نوع وب سایتی ارائه کرد، سایت‌های تورنت محبوب‌ترین گزینه هستند زیرا این سایت‌ها به عنوان دروازه‌ای برای فایل‌های غیرقانونی در بازار سیاه عمل می‌کنند. علاوه بر این، سایت‌های تورنت در مقایسه با وب‌سایت‌های دیگر، از نفوذ بیشتری در میان کاربران برخوردار هستند.

نتیجه‌گیری
متأسفانه برای خنثی کردن سایت‌های تورنت تقلبی کار زیادی نمی‌توان انجام داد. با این حال، یادگیری در مورد ایمنی آنلاین و اجرای برنامه‌های adblocker و آنتی ویروس قابل اعتماد می‌تواند کمک زیادی به محافظت از کاربران کند. علاوه بر این، مطمئن‌ترین راه برای ایمن ماندن این است که کاربران تبلیغات را با دقت بخوانند و از کلیک روی لینک‌های مشکوک خودداری نمایند.

بیشتر بخوانید
a.fayyazi ۱۴۰۰-۱۱-۲۶ 0 دیدگاه