طی سه روز گذشته گزارشاتی بصورت عمومی در خصوص #‫آسیب‌پذیری هایی در Remote Desktop Gateway با شناسه‌های CVE-2020-0609، CVE-2020-0610 و کد بهره‌برداری (POC) منتشر شده است. بررسی ها نشان داده است این سرویس بندرت در فضای سایبری کشور مورد استفاده قرار گرفته است.

https://github.com/ollypwn/BlueGate

این آسیب‌پذیری نیازی به تأیید هویت و تعامل با کاربر ندارد. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کند، می تواند کد دلخواه خود را روی سیستم هدف اجرا نماید. سپس می‌تواند برنامه‌هایی را نصب، مشاهده، تغییر داده یا حذف کند، یا حساب‌های جدید با سطح دسترسی مدیر سیستم ایجاد کند. برای سوءاستفاده از این آسیب‌پذیری، مهاجم نیاز دارد تا از طریق RDP یک درخواست دستکاری شده ویژه را به سیستم‌های هدف RD Gateway ارسال کند.

برای رفع این آسیب‌پذیری وصله‌هایی ارائه شده که مدیران سیستم بایستی در اولین گام، اقدام به نصب آن نمایند.
 

برای کسب اطلاعات بیشتر و نصب وصله های رفع آسیب پذیری به لینک های ذیل مراجعه فرمایید.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

حوزه امنیت اطلاعات به دلیل تهدیدات و مشکلات #‫سایبری مداوم به‌وجود آمده نسبت به گذشته در سال 2020 در معرض خطر بیشتری قرار دارد.
استفاده از علوم مختلف مانند هوش مصنوعی، رمزنگاری، یادگیری ماشین، حملات سایبری پیشرفته، فیشینگ، بدافزار، ویروس‌ها و بات‌ها باعث شده‌اند که دولت‌ها، شرکت‌ها و افراد به دلیل تهدید مداوم همیشه در حالت آماده‌باش باشند.
آخرین بررسی‌های Threat Horizon نشان‌دهنده افزایش اختلال در خدمات، درز اطلاعات و سخت‌تر شدن کنترل اطلاعات هم در زمینه امنیت ملی و هم حریم شخصی افراد بوده و بر پیشرفت‌ همیشگی در زمینه مقابله بر حملات و افزایش آگاهی تأکید دارد.
صنایع مختلف همچنان از کمبود متخصصان امنیت سایبری در زمینه نیروی انسانی خود رنج می برند، همچنین اعتماد عمومی در ارتباط با حریم شخصی، با افزایش همه‌گیر جرایم سایبری بیشتر از هر زمان دیگری، به خطر
‌افتاده است.
آقای انوچ ریچارد از Ventures Cyber Security تخمین هزینه 6 تریلیون دلاری را درخصوص جرایم سایبری در سال 2021 داشته است. در ادامه این مطلب، درخصوص موارد مطرح و تهدیدهای جدید برای هر حوزه در سال 2020 نکاتی بیان شده است که باید مدنظر قرار گیرند.

تهدیدات سایبری و موارد مطرح:

حملات IoT
طبق آمارStatista.com ، اینترنت اشیاء روز‌به‌روز در حال پیشرفت است و انتظار می‌رود تعداد دستگاه‌های اتصال به IoT تا سال 2025 به 75 میلیارد برسد. ارتباط بین دستگاه‌ها، مورد علاقه‌ی همه کاربران و استفاده‌کنندگان است و چندین شرکت از طریق جمع‌آوری اطلاعات مهم در ساده‌سازی فرآیندهای تجاری در این حوزه، آورده مالی دارند.
باید به این نکته توجه داشت که هر چه دستگاه‌های بیشتری متصل باشند، خطر بزرگتری را برای آسیب‌پذیری IoT در برابر آلودگی‌ها و تهاجم سایبری ایجاد می‌کنند. هکر می‌تواند از دستگاه‌های IoT، از طریق ایجاد بار بیش از حد شبکه‌ها، خاموش کردن سرویس‌‌های امنیتی و قفل‌کردن دستگاه‌ها برای ایجاد تخریب و نفوذ استفاده کند.

حملاتی که دولت‌ها حامی آن هستند
با سرقت اطلاعات حساس فردی و سازمانی، دولت‌ها شروع به استفاده از مهارت‌های سایبری خود برای نفوذ به دولت‌های دیگر و اجرای حملات به زیرساخت‌ها و منابع کرده‌اند. امروزه تهدیدها نه فقط از سوی افراد بلکه از سوی دولت نیز هستند. به طور کلی طبق بررسی آزمایشگاه امنیتی توماس رویترز، این نوع حملات در سال 2020 افزایش می‌یابند. این نوع حملات به عنوان ابزاری برای حل و فصل منازعات مختلف در حوزه‌های متفاوت مورد استفاده قرار می‌گیرد که بخش‌هایی از دنیای تجارت را نیز به چالش می‌کشد.

حملات Crypto-Jacking
در سالیان اخیر برای استخراج رمزارز، رایانه‌های خانگی یا کاری کاربران مورد سوءاستفاده قرار گرفته است. رمزارزهایی مانند بیت کوین به مقادیر زیادی از قدرت پردازش رایانه نیاز دارد، هکرها مخفیانه از منابع سیستم‌های کاربران برای استخراج سوءاستفاده می‌کنند.
بر اساس بررسی اینوچ ریچارد، کسب و کارها بر اساس این سوءاستفاده‌ها به خطر افتاده و می‌توانند باعث ایجاد مشکلات جدی در عملکرد و خرابی‌های پرهزینه شوند. شایع‌ترین خطرات عبارتند از افت بهره‌وری، کاهش توان سیستم‌ها و هزینه‌های غیر‌ضروری برای تعویض تجهیزات است که بستر را برای تهدیدهای بیشتر فراهم می‌سازند.

تهدیدات شخص ثالث(پیمانکاران، شرکاء، فروشندگان)
اشخاص ثالث(Third parties) برای هر کسب و کاری ریسک بزرگی را به همراه دارند، که بسیاری از آن‌ها هیچ تیم اختصاصی یا سیستم‌های امنی در محل برای مقابله با این مسائل امنیتی ندارند که عمدتاً این رخدادها مربوط به افرادی است که از منابع شخص ثالث برای اموری استخدام شده‌اند. دنیای جرائم سایبری در رویکرد خود به طور فزاینده‌ای رو به پیشرفت است و تهدیدات امنیت سایبری همچنان رو به رشد است. سازمان‌ها درمقابل تهدیدهای احتمالی ناشی از اشخاص ثالث به خوبی مجهز شده‌اند.
گزارش گمرک و حفاظت از مرزهای ایالات متحده در سال گذشته به لیست قربانیان مشهور در سال گذشته "گزارش خطرات امنیتی روابط فروشندگان شخص ثالث" را اضافه کرد و گزارش منتشرشده توسط RiskManagementMonitor.com یک تخمین اینفوگرافیکی را نشان می‌دهد که 60٪ از نقض اطلاعات مربوط به شخص ثالث است و فقط 52٪ از شرکت‌ها در مورد فروشندگان و پیمانکاران شخص ثالث دارای استانداردهای امنیتی هستند.

حملات فیشینگ
اخیراً حملات فیشینگ پیشرفته‌تر از گذشته شده‌اند و در سال جدید می‌بینیم که رشد بیشتری نیز خواهند کرد. این پیام‌های دیجیتالی با دقت هدفمند شده‌اند که به افراد با آگاهی کمتر فرستاده شده و فریب داده می‌شوند تا با کلیک بر روی یک لینک، بخشی کوچک از کد(بدافزار، ویروس، باتها و ...) را نصب کنند و دسترسی به داده‌های حساس ایجاد شود.
بسیاری از کارمندان سازمان‌ها به خوبی از خطرات این ایمیل‌های فیشینگ با کلیک بر روی لینک‌ها آگاه هستند. اگر کارمند یک سازمان یا یک فرد، قربانی این لینک‌ها شود، رخنه‌ای را برای سرقت اطلاعات مالی شخصی و همچنین دسترسی به پایگاه‌های داده خصوصی برای هکر به جا می‌گذارد.

تهدیدات باج‌افزار
طبق پیش‌بینی مجله Cyber Policy حملات باج‌افزار در سال جدید شروع به تکامل و استفاده از استراتژی‌های جدید خواهند کرد. اعتقاد بر این است که این حملات سالانه میلیاردها دلار برای قربانیان هزینه دارند. سوءاستفاده از هرگونه اطلاعات برای باج‌گیری علیه هر شخص یک جرم جدی است.
با پیشرفت سریع روش‌ها و نوآوری در استفاده از فنون، هکرها قادرند که از پایگاه داده‌های فردی یا سازمانی اطلاعات حساس را برای یک باجگیر به سرقت ببرند. استفاده از رمز ارزهایی مانند بیت کوین هکرها را قادر می‌سازد که مطالبات باج به طور ناشناس پرداخت ‌شود. کاربران حوزه IT در حالی که هکرها تمرکز خود را به سمت افرادی با سوددهی بالا معطوف کرده‌اند، در حال دفاع و محافظت قوی‌تری در برابر این دسته حملات هستند.
این حملات به راحتی برای هکرها قابل استفاده هستند و پیش‌بینی می‌شود در سال 2020 بسیار رشد بالایی داشته باشند. در یک مورد از حملات باج‌افزاری، امتناع از پرداخت باج، هزینه‌ی بیشتری برای یک شرکت سازنده آلومینیوم نروژی داشته ‌است و آنقدر تحت تأثیر قرار گرفت که سود فصل اول سال گذشته شرکت نیز به دلیل خرابی تولیدات ناشی از حمله، 82٪ کاهش یافت.
توصیه‌های متخصصان امنیتی در این ارتباط روشن است. Srinivas Mukkamala ، مدیرعامل شركت Risk Sense اظهار داشت: "زمان آن رسیده است كه از وضعیت سخت دفاعی در مقابل باج‌افزار، به یك استراتژی مفیدتر كه تمرکز به یافتن و رفع آسیب‌پذیری‌های مورد استفاده‌ باج افزار است، توجه داشت."

مهندسی اجتماعی
مطالعه روانشناسی در بین هکرها به یک علاقه فزاینده تبدیل شده‌ است و به طور مداوم نه تنها در استفاده از فناوری بلکه در روانشناسی این علاقه بیشتر و پیچیده‌تر شده است. Tripwire مهندسان اجتماعی را به عنوان "هکرهایی که از هر ضعفی که در هر سازمانی یافت می‌شود، بهره‌برداری می‌کنند."، معرفی ‌می‌کند.
این مهاجمان با استفاده از طیف گسترده‌ای از رسانه‌ها، از جمله تماس تلفنی و رسانه‌های اجتماعی، افراد را جهت دسترسی به اطلاعات حساس فریب می‌دهند.
موارد بررسی شده در این مطلب اصلی‌ترین تهدیدهایی است که باید در سال 2020 به آن توجه داشت. با ایجاد بسترهای جدید در فناوری و استفاده از تکنولوژی‌های نوین، چالش‌های جدیدی برای حفاظت از منابع و داده‌های مردم در دنیای امروز به وجود می‌آید. طبق بررسی‌های انجام گرفته و بر اساس برخی تخمین‌ها، در حدود یک میلیون موقعیت برای کارشناسان امنیت سایبری در سراسر جهان ایجاد خواهد شد و نیاز به متخصصان ماهر در زمینه امنیت سایبری برای مقابله با این چالش‌ها بسیار بیشتر از گذشته شده است.

محققین حوزه امنیت سایبری اخیراً یک #RAT پایتونی جدید مبتنی بر ابر به نام #JhoneRAT را کشف کرده‌اند که با سوءاستفاده از فایل‌های MS Word اطلاعات حساس را از سرویس‌های مبتنی بر ابر
Google Forms، Google Drive، ImgBB و Twitter به سرقت برده‌اند. این RAT بطور خاص مجموعه‌ای از کشورهای عربی مانند عربستان سعودی، عراق، مصر، لیبی، الجزایر، مراکش، تونس، عمان، یمن، سوریه، امارات، کویت، بحرین و لبنان را هدف قرار داده است.
محققان دریافتند که تهدید این حمله RAT کاربران خانگی بوده و اهداف را در کشورهای مختلف بر اساس تنظیمات زبان صفحه کلید قربانی انتخاب می‌کنند.
این RAT در چند لایه پلتفرم ارائه‌دهندگان میزبانی ابر کار می‌کند و از طریق اسناد مخرب پخش می‌شود و از آسیب‌پذیری‌های شناخته شده برای دانلود پیلودهای اضافه بهره‌برداری می‌کند.
برای جلوگیری از قرارگیری در لیست سیاه‌، مهاجمین از سرویس‌های ابر‌ی مشهوری مانند گوگل و موارد دیگری مانند Twitter و ImgBB استفاده می‌کنند.
تمرکز بر روی سرویس‌های مختلف میزبان ابری
عاملان تهدید به جای زیرساخت‌های خود از 4 ارائه دهنده سرویس‌های مختلف ابری استفاده می‌کنند که به دور زدن فرایند شناسایی شدن کمک کرده و تمایز ترافیک مخرب و قانونی را سخت‌تر می‌کند.
از آنجا که ارائه دهنده خدمات ابری مشهور از HTTPS استفاده می‌کنند تشخیص فعالیت‌های مخرب برای شناسایی‌کنندگان پیچیده و دشوار است.
طبق بررسی‌های Talos Research این RAT حتی در حین استفاده از این خدمات، نویسندگانش فراتر رفتند و بسته به نوع درخواست، و حتی در دانلودها، از موارد خاصی برای کاربران مختلف استفاده کرده‌اند.
محققان سیسکو برخی از اسناد مخرب مایکروسافت آفیس را شناسایی کرده‌اند که از طریق کمپین‌های ایمیل اسپم پخش می‌شوند و با ادعای محتوای اطلاعاتی خیلی ضروری و مهم، باعث می‌شوند قربانیان آن‌ها را باز کنند. این فایل مخرب حاوی یک ماکرو است که با کلیک بر روی "فعال کردن ویرایش"، وقتی قربانی این سند را باز کرد، اجرا می‌شود. چندین فایل آفیس حاوی ماکرو برای دانلود و اجرا که در Google Drive قرار دارند، اجرا خواهند شد.
 

کدهای مخرب در گوگل درایو

مهاجمین طی چند مرحله‌ی زیر قربانیان را با استفاده از خدمات ابری آلوده می‌کنند:
1-الگوی(Template) مخرب درGoogle Drive- الگوی موجود در Google Drive حاوی یک ماکرو است.
2-فایل تصویری در گوگل درایو - بارگیری فایل تصویری که یک تصویر واقعی است همراه با یک پیوست رمزگذاری شده.
3-فایل Autoit file- داده رمزگشایی شده base64 باینری AutoIT است. این فایل باینری یک فایل جدید را از Google Drive دانلود می‌کند.
4-Python RAT با استفاده از ارائه دهندگان ابری- پیلود نهایی که RAT نوشته شده در پایتون را تکثیر می‌کند.
 

محققان این RAT پایتونی را JhoneRAT نامگذاری کرده‌اند. با استفاده از اینRAT ، عاملان تهدید بطور خاص کشورهای خاورمیانه و عرب زبان را هدف قرار می‌دهند. همچنین آنها ترفندهایی را برای شناسایی محیط‌های مجازی(VM) و سندباکس جهت تحلیل استفاده کرده‌اند و از روش‌هایی برای پنهان کردن فعالیت‌های مخرب و مبهم‌سازی جهت عدم تحلیل توسط تحلیلگران بدافزار بهره برده‌اند.

#‫مایکروسافت به‌تازگی یک توصیه‌نامه امنیتی با شماره ADV200001 منتشر ساخته است که حاوی راه‌حل‌های مقابله با یک آسیب‌پذیری روزصفرم اجرای کد راه دور در مرورگر Internet Explorerاست. هنوز وصله‌ای برای این آ‌سیب‌پذیری دردسترس نیست.

این آسیب‌‌پذیری که با شناسه‌ی CVE-2020-0674ردیابی می‌شود و دارای رتبه‌بندی «متوسط» است، یک نقص اجرای کد راه‌دور است و در روشی که موتور اسکریپت‌نویسی، اشیا را داخل حافظه‌ی Internet Explorer مدیریت می‌کند وجود دارد. این نقص از طریق کتابخانه‌ی JScript.dll راه‌اندازی می‌شود.

یک مهاجم راه دور می‌تواند کد دلخواه را در رایانه‌‌های هدف اجرا کند و با متقاعدکردن قربانیان به بازکردن یک صفحه‌وب ساختگی مخرب در مرورگر آسیب‌‌پذیر مایکروسافت، کنترل کامل آن‌ها را در متن کاربر فعلی به‌دست آورد. اگر کاربر فعلی یک مدیر سیستم باشد، مهاجم می‌تواند پس از سوءاستفاده‌ی موفق، کنترل کامل سیستم را به‌دست آورد و در نتیجه‌ی آن، در سیستم برنامه نصب کند؛ داده‌ها را مشاهده کند، حذف نماید و نیز آن‌ها را تغییر دهد؛ یا حساب کاربری جدید با حقوق کاربری کامل ایجاد نماید.

آسیب‌پذیری CVE-2020-0674، نسخه‌های 8، 9 و 10 ازInternet Explorer ، زمانی که در نسخه‌های Windows 10، Windows 8.1و Windows 7(که به تازگی پشتیبانی از آن متوقف شده است) اجرا می‌شوند، Server 2008، Server 2012، Server 2016و Server 2019را تحت‌تأثیر قرار می‌دهد. البته خطر این آسیب‌پذیری در Server 2008کاهش یافته است، زیراInternet Explorer در آن به صورت پیش‌فرض در حالت محدودی به نام Enhanced Security Configurationاجرا می‌شود که این حالت، شانس اینکه یک کاربر یا مدیر محتوای مخرب بر روی سیستم دانلود یا اجرا کند را کاهش می‌دهد.

مایکروسافت اعلام کرده است که در حال کار بر روی وصله‌ی این نقص جهت برطرف ساختن آن است و از انجاییکه این آسیب‌پذیری تحت حملات فعال است احتمال دارد یک به‌روزرسانی خارج از محدوده‌ی زمانی همیشگی منتشر سازد. اما تا زمان انتشار یک وصله، برای کاربران متأثر راه‌حل‌ها و راه‌های مقابله با آن به‌منظور جلوگیری از حملات سایبری به سیستم‌‌های آسیب‌پذیر، ارائه شده است.

در همین حین، 0Patch که ریزوصله‌ی شخص ثالث برای آسیب‌‌پذیری‌های جدی فراهم می‌کند قول داده است که به زودی نقص CVE-2020-0674را برطرف سازد. این رفع نقص مانع از بارگذاری Jscript.dll خواهد شد.

متخصصان امنیتی به کاربران توصیه می‌کنند که استفاده از Internet Explorer را متوقف سازند؛ اما بنا به توصیه‌نامه‌ی منتشرشده توسط مایکروسافت، برخی از برنامه‌ها تنها در Internet Explorerاجرامی‌شوند.

راه‌حل‌ها‌ی مقابله با آسیب‌پذیری CVE-2020-0674

طبق توصیه‌نامه‌ی منتشرشده توسط مایکروسافت، جلوگیری از بارگیری کتابخانه‌ی JScript.dll می‌تواند به صورت دستی مانع از سوءاستفاده از این آسیب‌پذیری شود.

به‌منظور محدودکردن دسترسی به Jscript.dll، باید دستورات زیر را در سیستم ویندوزی با امتیازات مدیریتی اجرا کرد:

برای سیستم‌های 32 بیتی:
 

برای سیستم‌های ۶۴ بیتی:
 

پس از انتشار وصله، باید پیش از نصب آن، بااستفاده از دستورات زیر، این راه‌حل‌ها را بازگرداند:
برای سیستم‌های 32 بیتی:
 

برای سیستم‌های ۶۴ بیتی:
 

لازم به ذکر است که برخی از وب‌سایت‌ها یا ویژگی‌ها که به کتابخانه‌ی آسیب‌پذیر JScript.dll متکی هستند ممکن است بعد از غیرفعال‌کردن آن، دچار مشکلاتی شوند. بنابراین، لازم است کاربران بلافاصله پس از اننتشار وصله‌ی این آسیب‌پذیری، به‌روزرسانی را اعمال نمایند.

محققان امنیتی، مجموعه‌ای از برنامه‌های #Fleeceware را در فروشگاه Play کشف کردند که توسط بیش از 600 میلیون کاربر اندرویدی نصب شده‌اند.
اصطلاح Fleeceware برای اولین بار در ماه سپتامبر سال 2019 توسط شرکت امنیت سایبری «سوفوس»، در پی تحقیقاتی که منجر به نوعی کلاه‌برداری مالی در فروشگاه معتبر Google Play شده بود، ارایه شد.
Fleeceware به برنامه‌هایی اطلاق می‌شود که از توانایی برنامه‌های اندروید برای اجرای دوره‌های آزمایشی قبل از پرداخت هزینه از حساب کاربر، سوءاستفاده می‌کنند.
به‌طور معمول، کاربرانی که برای دوره‌ی آزمایشی یک برنامه اندرویدی ثبت‌نام می‌کنند، برای جلوگیری از شارژ مجدد، لازم است آن‌را به صورت دستی لغو کنند، اما اکثر کاربران علاقه‌ای به حذف برنامه‌های خود ندارند.
بسیاری از توسعه‌دهندگان برنامه‌ها، دوره‌ی آزمایشی را لغو می‌کنند، اما برخی دیگر، پس از حذف برنامه، دوره‌ی آزمایشی برنامه را لغو نمی‌کنند و درخواست خاصی از کاربر دریافت نمی‌کنند و به این ترتیب می‌توانند مبالغ زیادی را برای کاربران اندرویدی شارژ ‌کنند.
طبق گزارش منتشرشده توسط صفحه‌ی رسمی گوگل، تعداد کاربران کل این برنامه‌ها زیاد است (نزدیک به 600 میلیون کاربر در کمتر از 25 برنامه).
محققان بیش از دوهزار برنامه‌ی اندرویدی حاوی Fleeceware را شناسایی كردند. این برنامه‌ها بین 100 تا 240 دلار در سال توسط برنامه‌هایی مانند باركدخوان‌ها، ماشین‌حساب‌ها و اسكنرهای QR شارژ می‌شوند.
برنامه‌های Feeceware تعداد نصب بالایی دارند. برخی از آن‌ها دارای ده‌ها میلیون نصب هستند که نشان می‌دهد بازیگران تهدید در پشت این برنامه‌ها ممکن است از خدمات پرداخت شخص ثالث برای افزایش تعداد برنامه‌های نصب‌شده استفاده کنند و نظرات پنج ستاره را برای تقویت رده‌بندی خود در فروشگاه Play جعل کرده و تعداد زیادی کاربر جذب کنند.
راهکارهای امنیتی

• به کاربران دستگاه‌های اندروید که از فروشگاه Play برای نصب برنامه‌ها استفاده می‌کنند، توصیه می‌شود از نصب برنامه‌های «آزمایشی رایگان» که هزینه‌های مبتنی بر اشتراک را بعد از یک آزمایش کوتاه ارایه می‌دهند، خودداری کنند.
• در صورت داشتن برنامه‌ای با دوره‌ی آزمایشی، مطمئن شوند که حذف برنامه، نه‌تنها موجب حذف دوره‌ی آزمایشی، بلکه کل برنامه خواهد شد.
• در صورت مشکوک بودن به برنامه‌ای و دریافت مکاتبات توسط توسعه‌دهنگان آن، کپی مکاتبات را حفظ کرده و آن‌را با گوگل به اشتراک بگذارند.

#Adobe اولین نسخه‌ی سال 2020 خود را برای ویندوز منتشر کرد که چندین آسیب‌پذیری در محصولات Illustrator و Experience Manager را برطرف می‌کند.
به‌روزرسانی‌های امنیتی برای Illustrator CC 2019 در ویندوز، به پنج مسئله‌ی فساد حافظه‌ (CVE-2020-3710 ، CVE-2020-3711 ، CVE-2020-3712 ، CVE-2020-3713 و CVE-2020-3714) می‌پردازد که می‌تواند منجر به اجرای کد دلخواه در زمینه‌ی کاربر هدف شوند. این آسیب‌پذیری‌های امنیتی دارای شدت «بحرانی» هستند و همه‌ی آن‌ها بر نسخه‌های 24.0 و قبل از آن Adobe Illustrator CC تأثیر می‌گذارند.
به این آسیب‌پذیری‌ها رتبه‌ی اولویت 3 داده شده است، بدین معنی که Adobe انتظار ندارد که هیچ یک از آن‌ها در حملات گسترده مورد سوء‌استفاده قرار گیرند.
این شرکت همچنین به‌روزرسانی‌های امنیتی برایAdobe Experience Manager (AEM) منتشر کرد که به چهار موضوع مهم و متوسط (CVE-2019-16466 ، CVE-2019-16467 ، CVE-2019-16468 ، CVE-2019-16469) می‌پردازد. این نقص‌ها بر روی نسخه‌های 6.3 ، 6.4 و 6.5 Experience Manager تأثیر می‌گذارند.
نقص‌های مهم رتبه‌بندی‌شده مربوط به نقص‌های اجرای اسکریپت مخرب (XSS) یا تزریق Expression Language هستند. یک حفره‌ی امنیتی با درجه‌ی متوسط نیز به‌عنوان یک مسئله‌ی تزریق رابط کاربری توصیف شده است. تمامی این نقص‌ها می‌توانند در صورت سوءاستفاده، منجر به افشای اطلاعات حساس شوند.
Adobe به کاربران نهایی و سرپرستان توصیه می‌کند که در اسرع وقت، آخرین وصله‌های امنیتی را نصب کنند تا از سیستم‌ها و مشاغل خود در برابر حملات سایبری محافظت نمایند.

#‫اوراکل، دومین شرکت بزرگ نرم‌افزاری جهان، در اولین به‌روزرسانی Critical Patch Update (CPU) سال 2020 ماه ژانویه خود، 334 نقص برطرف ساخته است که با تعداد وصله‌های منتشرشده‌اش در ماه جولای سال 2018 برابر است.
دلیل این تعداد زیاد انتشار وصله امنیتی این است که اوراکل بر خلاف دیگر رقبای خود مانند مایکروسافت، هر سه ماه یک بار وصله امنیتی منتشر می‌سازد. عامل دیگر آن حجم بالای محصولاتی (صدها محصول و اجزای محصولات) است که در به‌روزرسانی ماه ژانویه رفع نقص شده‌اند.
بسترهای که در این به‌روزرسانی برایشان وصله منتشر شده است عبارتند از:
Oracle Database Server: شامل 12 وصله‌ که 3 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند. 5 مورد از آنها از نظر شدت «بالا» رتبه‌بندی شده‌اند و دارای حداکثر امتیاز CVSS 7.7 از 10 هستند.
Oracle Communications Applications: شامل 25 وصله که 23 مورد از نقص‌های وصله‌شده می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند. 6 مورد از نقص‌های رفع‌شده در این 25 وصله، از نظر شدت «بحرانی» رتبه‌بندی شده‌اند و دارای امتیاز CVSS بالاتر از 9 از 10 هستند.
Oracle E-Business Suite: شامل 23 وصله که 21 مورد از نقص‌های وصله‌شده از راه‌ دور قابل سوءاستفاده هستند.
Oracle Enterprise Manager: شامل 50 وصله که 10 مورد از نقص‌های وصله‌شده می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند، از جمله 4 آسیب‌پذیری با شدت بحرانی دارای امتیاز CVSS بالاتر از 9 از 10.
Fusion Middleware: شامل 38 وصله که 30 مورد از نقص‌های وصله‌شده از راه دور و بدون احرازهویت قابل سوءاستفاده هستند، از جمله 3 آسیب‌پذیری با شدت «بحرانی» و دارای امتیاز CVSS بیشتر از 9 از 10.
Java SE: شامل 12 وصله‌ی رفع نقص است که تمامی نقص‌ها می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند.
JD Edwards: شامل 9 وصله است.
MySQL: شامل 19 وصله که 6 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
Siebel CRM: شامل 5 وصله است.
Oracle Virtualization: شامل 22 وصله که 3 مورد از نقص‌های وصله‌شده از راه دور و با احرازهویت قابل سوءاستفاده هستند. این وصله‌ها دو نقص با بالاترین شدت CVE-2020-2674 و CVE-2020-2682 که VM VirtualBox را تحت‌تأثیر قرار می‌دهند و هر دوی آن‌ها برای اینکه مورد سوءاستفاده قرار گیرند نیاز به دسترسی محلی دارند را شامل نمی‌شود.
PeopleSoft: شامل 15 وصله که 12 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
دو نقصی که Oracle Human Resources را تحت‌تأثیر قرار می‌دهند دارای درجه شدت 9.9 از 10 هستند و نمی‌توانند بدون احرازهویت از راه دور مورد سوءاستفاده قرار گیرند.
31 نقص دیگر دارای درجه شدت 9.8 درOracle WebLogic Server ، Oracle Communications Instant Messaging Server ، Enterprise Manager Ops Center ، Oracle Application Testing Suite، Hyperion Planning و JD Edvard Enterprise One Orchestrator هستند.
به طور کلی، در میان نقص‌های وصله‌شده در این به‌روزرسانی، 191 مورد از آن‌ها از راه دور قابل سوءاستفاده هستند.
به دلیل گزارش مداوم مشتریان اوراکل از حملات موفقیت‌آمیز بر روی سیستم‌هایی که با وصله‌های موجود به‌روز نشده‌اند، اوراکل از همه مشتریان خود می‌خواهد بلافاصله به‌روزرسانی‌های CPU ماه ژانویه سال 2020 را اعمال کنند.

تیم امنیتی #npm# (Node Package Manager)، مدیر بسته‌ی de-Facto برای اکوسیستم جاوااسکریپت، بسته‌ی مخربی که اطلاعات حساس را از سیستم‌های UNIX به سرقت می‌برد، از بین برد.
این بسته‌ی مخرب که 1337qq-js نامیده می‌شود، در 30ام دسامبر سال 2019 در مخزن npm بارگذاری شده است و حداقل 32 بار طی دو هفته‌ی گذشته و پیش از آنکه توسط تیم تحقیقات آسیب‌پذیری مایکروسافت کشف شود، دانلود شده است.
طبق تجزیه و تحلیل‌های تیم امنیتی npm، این بسته اطلاعات حساس را از طریق نصب اسکریپت‌ها استخراج می‌کند و تنها سیستم‌های UNIX را هدف قرار می‌دهد. نوع داده‌‌هایی که این بسته جمع‌آوری می‌کند شامل موارد زیر است:
• متغیرهای محیطی
• فرایندهای در حال اجرا
• /etc/hosts
• Uname-a
• فایل npmrc
سرقت متغیرهای محیطی نقص امنیتی بزرگی است، زیرا اطلاعاتی همچون گذرواژه‌های سخت‌ کد‌شده یا نشانه‌های (token) دسترسی API اغلب به عنوان متغیرهای محیطی در برخی وب‌ها یا برنامه‌های کاربردی تلفن همراه جاوااسکریپت، ذخیره می‌شوند.
Npm توصیه می‌کند تمامی توسعه‌دهندگانی که این بسته‌ی جاوااسکریپت را دانلود کرده‌اند یا از آن در پروژه‌های خود استفاده کرده‌اند، آن را از سیستم خود حذف و هرگونه اعتبارنامه‌ در معرض خطر را بازنشانی کنند.
این ششمین باری است که بسته‌های مخرب در فهرست مخازن npm جای گرفته است. بسته‌ی مخرب 1337qq-js دارای کمترین شدت بوده است، در درجه‌ی اول بدین دلیل که تحلیل‌گران امنیتی مایکروسافت این کتابخانه را دو هفته پس از انتشار و پیش از آن‌که عواقب جدی ایجاد کند، شناسایی کردند.
حوادث پیشین ناشی از بسته‌های مخرب npm عبارت‌اند از:
• ماه ژوئن سال 2019: یک هکر به کتابخانه‌ی اطلاع‌رسانی الکترونیکی بومی برای درج کد مخربی که به کیف پول رمزنگاری Agama دست یافته بود، حمله‌ی درب‌پشتی کرد.
• ماه نوامبر سال 2018: یک هکر به یک بسته‌ی npm جریان مبتنی بر رخداد (event-stram) به‌منظور بارگذاری کد مخرب درون میزکار BitPay Copay و برنامه‌های کیف پول تلفن همراه و نیز سرقت ارز رمزمبنا حمله‌ی درب‌پشتی کرد.
• ماه جولای سال 2018: یک هکر، کتابخانه‌ی ESLint را با کد مخربی که برای سرقت اعتبارنامه‌های npm توسعه‌دهندگان دیگر طراحی شده بود، در معرض خطر قرار داد.
• ماه می سال 2018: یک هکر سعی کرد یک درب‌پشتی را در یک بسته npm محبوب به نام getcookies پنهان کند.
• ماه آوریل سال 2017: یک هکر از typosquatting برای بارگذاری 38 کتابخانه JavaScript مخرب در npm استفاده کرد. این کتابخانه‌های مخرب برای سرقت جزئیات محیط پروژه‌هایی که در آن‌ها مورد استفاده قرار می‌گرفتند، تنظیم شده بودند.

این آسیب پذیری در یک مؤلفه #‫ویندوز موسوم به crypt32.dll قرار دارد که وظیفه کنترل گواهینامه ها و پیغام های رمزنگاری در CryptoAPI را دارد. CryptoAPI سرویسی را به توسعه دهندگان ارائه میدهد که میتوانند با آن عملیاتی مانند رمزگذاری و رمزگشایی را با استفاده ازگواهینامه دیجیتال انجام دهند.

ضعف امنیتی در قسمتی از crypto32.dll است که سعی بر تایید گواهی نامه های Elliptic Curve Cryptography (ECC)دارد و در تمامی بستر های کلید عمومی و گواهی نامه های SSL/TLS استفاده می شود.

این آسیب پذیری بحرانی میتواند تعداد زیادی از عملکرد های ویندوز را تحت الشعاع قرار دهد. از جمله تایید اعتبار در سیستم عامل های ویندوز مبتنی بر دسکتاپ یا سرور، یا امنیت اطلاعات حساس ذخیره شده توسط مرورگر Internet Explorer/Edge Microsoftو حتی تعداد زیادی از نرم افزار ها و ابزار های شخص ثالث تحت ویندوز در خطر سو استفاده از این آسیب پذیری هستند.

مهاجمان میتوانند با سوءاستفاده از crypt32.dll بدافزار ها و کد های مخرب خود را با امضای دیجیتال جعلی یک شرکت معتبر و امضا کنند، بطوری که بدافزار مخرب بصورت نرم افزار مجاز به سیستم عامل معرفی می شود.

یکی از پتانسیل های حمله، ارتباطات HTTPS می باشد. مهاجم می تواند با جعل گواهی نامه ارتباط SSL کلاینت را به اشتباه انداخته و تمامی ارتباطات SSL/TLS را شنود کند.

شرکت مایکروسافت وصله امنیتی را برای سیستم عامل ویندوز منتشر کرده است. اکیدا توصیه می شود در اسرع وقت اقدام به بروز رسانی سیستم های عامل نمایید.

نسخه های آسیب پذیر :

به دلیل معرفی مولفه crypt32.dllدر هسته ویندوز نسخه NT 4.0 خود این نسخه و تمامی نسخه های بعد از آن مستعد آسیب پذیری هستند.

راه حل:

در لینک زیر وصله های امنیتی برای مرتفع سازی این آسیب پذیری ارائه شده است.

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jan

سرویس هایی که در اولین فرصت باید بروز رسانی و وصله شوند :

• وب سرور ها
• Domain Controllerها
• سرور های DNS
• سرور هایی که ارتباطات TLSدارند (از جمله تمامی سرور هایی که از RDPبرای مدیریت استفاده می کنند)

منبع:

https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601/

در ساعات اولیه بامداد روز ۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های ict.gov.ir از سوی یک گروه هکری مطرح گردید.
با تکیه بر همکاران، ابزارها و فناوری‌های مورد استفاده، در چند دقیقه موضوع توسط مرکز ماهر رصد شد و مشخص شد که مهاجم با سواستفاده از یک فرم گزارش‌دهی، اقدام به بارگزاری یک فایل متنی در وبسایت نموده است. این موضوع در همان زمان پیگیری شده و محدودیت‌های لازم بر این قابلیت گزارش دهی اعمال شد.
در این رویداد هیچ گونه نفوذ و دسترسی غیرمجاز ویا اعمال تغییری در محتوای وبسایت صورت نگرفت. لازم به به توضیح است این قابلیت بارگذاری فایل صرفا اجازه بارگذاری فایل‌های بی خطر جهت ارائه خدمت به کاربران را ارائه می نمود.
از سوی دیگر ادعای مطرح شده درخصوص از دسترس خارج شدن وبسایت پس از این رخداد نیز مطلقا صحت نداشته و دسترسی با وبسایت بطور پیوسته برقرار بوده است.