محققان امنیتی #‫آسیب_پذیری جدیدی بر روی هسته #‫لینوکس از نوع Integer Overflow منتشر کرده اند که به نفوذگر این اجازه را می دهد که سطح دسترسی superuser را برای خود فراهم کنند. محققان که جزئیات این آسیب پذیری همراه با کد PoC آن را منتشر کرده اند، اعلام کردند که این آسیب پذیری بر روی توزیع های معروف CentOS، Debian و RedHat وجود دارد. این آسیب پذیری که توسط تیم تحقیقاتی Qualys منتشر شده است و با نام Mutagen Astronomy شناخته می شود، بر روی هسته های لینوکس منتشر شده بین July 2007 تا July 2017 وجود دارد.
این آسیب پذیری که با شماره شناسایی CVE-2018-14634 منتشر شده است از نوع Local Privilege Escalation می باشد که یکی از انواع معروف آسیب پذیری در سیستم عامل ها می باشد و در تابع (create_elf_tables) در هسته لینوکس کشف شده است. برای Exploit شدن صحیح این آسیب پذیری، نفوذگر باید به سیستم قربانی دسترسی داشته باشد تا کد آسیب پذیر را بر روی سیستم اجرا کند و سطح دسترسی خود را بالا ببرد تا توانایی کنترل کل سیستم عامل را به دست بگیرد. بر اساس توضیحات منتشر شده، این آسیب پذیری تنها بر روی سیستم های 64 بیتی وجود دارد و به علت عدم وجود فضای کافی آدرس دهی در حافظه سیستم های 32 بیتی، امکان Exploit شدن صحیح این آسیب پذیری مقدور نمی باشد. Kernel های نسخه 2.6.x ، 3.10.x و 4.14.x هم به این آسیب پذیری دچار می باشند.
تیم Qualys در تاریخ 31 آگوست 2018 این آسیب پذیری را به تیم توسعه دهنده RedHat گزارش داده بودند. همچنین در تاریخ 18 سپتامبر 2018 هم گزارش این آسیب پذیری را برای تیم توسعه دهنده Linux Kernel ارسال کرده اند. تیم RedHat این آسیب پذیری را در رده خطرناک با شماره CVSS 7.8 دسته بندی کرده است. این تیم دو Exploit برای PoC این آسیب پذیری هم منتشر کرده اند که این Exploit ها توسط این مرکز تست شده اند و صحت عملکرد آنها نشان دهنده ی اهمیت این آسیب پذیری می باشد. مدیران شبکه حتما به روز رسانی های منتشر شده برای هسته توزیع های لینوکسی خود سریعا را نصب کنند.

محققان امنیتی آسیب پذیری روز صفرم بر روی تمامی نسخه های #‫ویندوز، حتی ویندوز های سرور را منتشر کرده اند. این #‫آسیب_پذیری که توسط Lucas Leong از تیم تحقیقات امنیتی Trend Micro گزارش شده است بر روی موتور Jet Database مایکروسافت می باشد و به نفوذگر این اجازه را می دهد که از راه دور کدهای آسیب پذیر بر روی سیستم عامل قربانی اجرا کند. Microsoft Joint Engine Technology Database Engine یک موتور پایگاه داده می باشد که در چندین نسخه از سیستم عامل ویندوز مورد استفاده قرار گرفته و همچنین در برنامه هایی همچون Microsoft Access و Visual Basic هم مورد استفاده قرار گرفته است.
بر اساس توضیحاتی که توسط Zero Day Initiative منتشر شده است، این آسیب پذیری در بخش مدیریت index گذاری موتور پایگاه داده JET وجود دارد که در صورت Exploit شدن موفقیت آمیز آن، امکان اجرای کدهای آسیب پذیر در حافظه وجود خواهد داشت. برای استفاده از این آسیب پذیری توسط نفوذگر، قربانی باید فایل خاص طراحی شده و مخرب از نوع JET Database را بر روی سیستم خود باز کند تا عملیات Exploiting آسیب پذیری انجام گرفته و نفوذگر بتواند از راه دور کدهای مخرب خود را بر روی سیستم قربانی اجرا کند.
بر اساس توضیحات ارائه شده توسط ZDI ، این آسیب پذیری بر روی نسخه های ویندوز 10، ویندوز 8.1 و همچنین ویندوز 7، ویندوز های سرور از نسخه 2008 تا 2016 وجود دارد. این آسیب پذیری توسط ZDI در تاریخ 8 May 2018 به مایکروسافت گزارش شده و مایکروسافت در تاریخ 14 May این آسیب پذیری را تایید کرده است، اما در طول 4 ماه گذشته وصله ای برای آن ارائه نکرده که پس از گذشت این زمان طولانی، مرکز ZDI تصمیم به منتشر کردن این آسیب پذیری نموده است. در صفحه ی GitHub مرکز Trend Micro هم کد PoC این آسیب پذیری منتشر شده است.
احتمال داده می شود که در به روز رسانی های امنیتی ماه October مایکروسافت وصله ی امنیتی برای این آسیب پذیری خطرناک ارائه کند. تا آن زمان کاربران و مدیران مراکز مهم باید مراقب باشند که فایلهای ناشناس JET را به هیچ عنوان بر روی سیستم خود باز نکنند.

اخیرا #‫مایکروسافت، گزارشی در مورد یک آسیب پذیری مهم Denial of Service منتشر کرده که بر روی اغلب نسخه های مختلف سیستم عامل ویندوز وجود دارد. این #‫آسیب_پذیری، ویندوزهای نسخه 7 تا 10 ، همچنین ویندوز نسخه 8.1 RT و ویندوز سرورهای 2008، 2012 و 2016 را تحت تاثیر قرار می دهد. همچنین نسخه های Core Installation ویندوز های سرور هم شامل این آسیب پذیری می باشد که متاسفانه در آخرین به روز رسانی های ماه سپتامبر کمپانی مایکروسافت برای نسخه های مختلف ویندوز، وصله ی امنیتی برای این آسیب پذیری منتشر نشده است.
این آسیب پذیری که دارای شماره شناسایی CVE-2018-5391 می باشد توسط حمله ی FragmentSmack صورت می گیرد که مربوطه به پاسخ دهنده به درخواست های IP fragmentation بوده و این خود در پروسه تخصیص دادن ماکزیمم سایز پاکت های در حال انتقال یا همان MTU جهت رسیدن به End Node مورد استفاده قرار می گیرد. همانطور که می دانید، در حالت کلی حمله ی IP fragmentation نوعی از حملات جهت DoS کردن هدف می باشد که کامپیوتر قربانی چندین Packet با سایزی کوچکتر از مقداری که انتظار می رود از IP های مختلف دریافت می کند و درگیر شدن بیش از حد سیستم برای reassemble کردن Packet های مربوطه، باعث بوجود آمدن این حمله می گردد.
حمله ی FragmentSmack نوعی از حملات TCP fragmentation می باشد و گاهی آن را با نام Teardrop معرفی می کنند، در حالت کلی باعث جلوگیری از reassembling شدن پاکت ها در مقصد می گردد. این آسیب پذیری که از زمان ویندوز 3.1 و ویندوز 95 هم وجود داشته و باعث crash شدن سیستم عامل می شد، هم اکنون بر روی ویندوز نسخه 7 و بالاتر هم مشاهده شده است.
بر طبق گفته های منتشرشده مایکروسافت، نفوذگر پاکت های متوالی IP Fragment با سایز 8 بایت که offset های شروعی آنها به صورت تصادفی تعیین شده است را برای قربانی می فرستد، اما با نگه داشتن آخرین fragment و Exploit کردن موفقیت آمیز آسیب پذیری، توسط بالا بردن درصد کارکرد CPU می تواند سیستم قربانی را DoS کند.
مایکروسافت تا زمانی که وصله ی امنیتی رسمی برای این آسیب پذیری ارائه کند، راه حل زیر را برای غیر فعال کردن ساختار Packet Reassembly ارائه کرده که این راه حل باعث جلوگیری از حمله ی FragmentSmack و DoS شدن سیستم های ویندوزی می گردد. این کار توسط اجرای دستورات زیر در سیستم عامل ممکن می شود:

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

شایان ذکر است که این آسیب پذیری در سیستم عامل های لینوکسی هم منتشر شده که با نام SegmentSmack معرفی شده است و شماره شناسایی آن CVE-2018-5390 می باشد. این آسیب پذیری لینوکس هایی با نسخه هسته 3.9 و بالاتر را تحت تاثیر قرار می دهد اما در اکثر توزیع های لینوکسی مهم، این آسیب پذیری در به روز رسانی های جدید خود رفع شده است.

کمپانی #‫ادوبی در ماه سپتامبر 2018 به روز رسانی های مهم امنیتی را برای بار دوم منتشر کرده است که این بار، تمرکز آن بر روی Acrobat و Adobe Reader می باشد.
یکی از این آسیب پذیری ها که با شماره شناسایی APSB18-34 توسط ادوبی معرفی شده است نشان دهنده ی وجود آسیب پذیری خطرناک Code Execution بر روی محصولات فوق می باشد و شش آسیب پذیری بعدی از نوع Information Disclosure بوده است. آسیب پذیری خطرناک Code Execution که دارای شماره شناسایی CVE-2018-12848 می باشد توسط Check Point کشف شده و همچنین دیگر آسیب پذیری ها توسط Cybellum Technologies و Trend Micro's Zero Day Initiative به کمپانی ادوبی گزارش شده است. در جدول زیر توضیحات آسیب پذیری ها را مشاهده می نمایید:
 

جهت رفع آسیب پذیری های فوق، باید Acrobat DC و Acrobat Reader DC خود را به نسخه 2018.011.20063 ارتقاء دهید. همچنین برنامه Acrobat 2017 و DC 2017 خود را به نسخه 2017.011.30102 ارتقاء داده و همچنین Acrobat DC Classic 2015 و Acrobat Reader DC Classic را به نسخه 2015.006.30452 ارتقاء دهید.

به تازگی محققین امنیتی و هوش مصنوعی شرکت IBM یک بدافزار اثبات مفهوم را توسعه داده ­اند. این بدافزار #‫DeepLocker نام دارد. DeepLocker به خودی خود یک payload مخرب ندارد. بلکه هدف اصلی آن پنهان ­سازی بدافزار و در امان ماندن آن از آنتی­ ویروس­ها و تحلیل­ گران بدافزار است. این بدافزار یک روش نوین پنهان ­سازی با استفاده از مدل­های هوش مصنوعی ارائه داده است.

هدف اصلی توسعه­ دهندگان این بدافزار حمله و یا تخریب نبوده است. بلکه هدف نشان دادن این قضیه به توسعه دهندگان سیستم های امنیتی بوده است که به زودی بدافزارهایی مبتنی بر هوش مصنوعی گسترش خواهند یافت و مکانیزم ها و ابزارهای موجود توانایی مقابله با آن ها را ندارند. از این رو محققین و شرکت های امنیتی باید به فکر راهکارهای جدیدی برای مقابله با اینگونه بدافزارها باشند.

بدافزار DeepLocker روش پنهان سازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کرده است. این بدافزار برای پنهان ماندن از دست آنتی ویروس ها و فایروال ها، خود را درون نرم افزارهای سالم نظیر نرم‌افزار ویدئو کنفرانس پنهان سازی می کند. این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شده است و چیز جدیدی نیست.

نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعال­سازی شروط حمله است که مهندسی معکوس آن را به شدت سخت و در مواردی فعلا غیر ممکن کرده است.Payload مخرب این بدافزار فقط در صورتی قفل­ گشایی خواهد شد که شرایط هدف برقرار شود. این شرایط توسط یک مدل آموزش دیده هوش مصنوعی شبکه عصبی عمیق بررسی می­شود.

مدل هوش مصنوعی تولید شده به صورت عادی عمل خواهد کرد و فقط در صورتی که شروط مورد نظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز می­کند. در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید می­کند. برای تشخیص هدف، این بدافزار از مشخصه­ های مختلفی استفاده می­کند. نظیر ویژگی­های بصری، صوتی، موقعیت جغرافیایی و ویژگی­ های سطح سیستم.

برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتم ­های یادگیری ماشین داریم. تفاوت الگوریتم‌های عادی و الگوریتم ­های هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق و یا شروط دقیق در یک الگوریتم، این الگوریتم ­ها خود الگو موجود در داده ­ها را آموزش می­بینند. برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است. در فاز آموزش تعدادی نمونه آموزشی که هر کدام دارای یک سری ویژگی هستند به ورودی الگوریتم داده می­شود. همچنین خروجی صحیح هر یک از ورودی ها نیز به آن مدل داده می­شود. مدل به وسیله الگوریتم­ های یادگیری ماشین، نحوه تولید خروجی­ ها از ورودی های داده شده را فرا می­گیرد و مدل را تولید می­کند. سپس می­توان به مدل تولید شده یک داده دیده نشده و تازه تزریق کرد و خروجی احتمالی آن را مشاهده کرد.

به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش داده می­ شود: تعدادی فایل سالم و تعدادی فایل مخرب به عنوان نمونه آموزشی انتخاب می‌شوند. سپس از هر یک از این فایل­ ها تعدادی ویژگی به روش ­های مختلف استخراج می­شود. این ویژگی ­ها به عنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهد بود. پس از اینکه مدل آموزش دیده شد می­توان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.

شبکه عصبی معمولی مجموعه­ ای از گره­ هایی است که لایه به لایه قرار گرفته­ اند و به یکدیگر متصل هستند. هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد. یال­های متصل­ کننده گره ­ها دارای وزن می ­باشند که این وزن­ ها در مقدار گره­ های سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را می­کند. این عملیات تا تولید مقدار برای گره ­های لایه خروجی ادامه پیدا می­کند.

شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایه های درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است. تفاوت این دو نوع شبکه را در شکل زیر مشاهده می­کنید:
 

در سال­های اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کرده است. طرز کار شبکه به این صورت است که تعداد ویژگی به عنوان ورودی از هر نمونه می­گیرد. همچنین خروجی مورد نظر هم به شبکه تحویل داده می­شود. شبکه با توجه به ورودی ­ها و خروجی­ های متناظر آموزش می­بیند و یک مدل تولید می­کند. از این به بعد با دادن یک ورودی جدید می­توان خروجی احتمالی را از مدل استخراج کرد.

DeepLockerفرآیند فعال­سازی فاز حمله خود را که شامل قفل ­گشایی محتوای مخرب و اجرای آن می‌شود، به وسیله یک مدل آموزش­ دیده شبکه عصبی عمیق انجام می­دهد. این مدل کار تحلیل­گران و آنتی‌ویروس را بسیار سخت می­کند. زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-elseدر کد خود از یک مدل یادگیری ماشینی استفاده کرده است. مدل مورد نظر تنها تعداد گره و یال وزن­دار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمی­دهد. پس تحلیل ­گران حتی نمی­توانند به طور کامل متوجه حالت­ هایی شوند که بدافزار در آن فعال خواهد شد.

در واقع برای تحلیل­ گران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payloadمخرب آن. DeepLockerهر دوی آن را مورد هدف قرار داده است. شرایط حمله به صورت یک جعبه سیاه در آمده است و payloadنیز در صورت نامعلومی قفل ­گشایی خواهد شد.
 

1. پنهان­سازی دسته مورد حمله: چه اشخاصی و یا سازمان­هایی قرار است مورد حمله قرار گیرند.
2. پنهان­سازی نمونه ­های مورد حمله: مشخص نیست که نمونه مورد نظر چه شخص یا سازمانی خواهد بود.
3. پنهان­سازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت.

تیم توسعه DeepLocker، برای نشان دادن قابلیت­های منحصر به فرد این بدافزار از بدافزار معروف WannaCry به عنوان payload بدافزار استفاده کرده ­اند و آن را درون یک نرم­افزار ویدئو­کنفرانس سالم جای داده­اند. شرایط حمله نیز تشخیص چهره فرد مورد نظر است. یعنی فقط در صورتی که فرد مورد نظر در ویدئو­کنفرانس ظاهر شود کامپیوتر آن مورد حمله قرار می­گیرد.
در نهایت هدف تیم تحقیقاتی امنیتی IBM نه تولید یک بدافزار مخرب بلکه موارد زیر بوده است:

• بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روش ها به سرعت در بین بدافزارنویسان محبوب خواهند شد.
• نشان دادن اینکه چگونه این روش ها می تواند سیستم های دفاعی امروزه را دور بزند.
• ارائه بینش در مورد چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی

کمپانی #‫ادوبی در ماه سپتامبر 2018 به روز رسانی های مهمی را منتشر کرده است که 6 آسیب پذیری خطرناک در محصولات خود را رفع می کند. این به روز رسانی ها بیشتر بر روی محصولات Flash Player و ColdFusion این کمپانی متمرکز می باشد. این آسیب پذیری ها که از نوع Remote Execute Command بر روی سرورهای آسیب پذیر ColdFusion می باشد، امکان نفوذ و اعمال تغییرات بر روی سرورهای آسیب پذیر را برای نفوذگران فراهم می آورد. توصیه اکید به کاربران استفاده کننده از دو محصول فوق این است که حتما نرم افزارهای خود را به روز رسانی کنند.
به روز رسانی شماره APSB18-31 برای محصول Flash Player این کمپانی بر روی پلتفورم های ویندوزی، macOS، لینوکس و ChromeOS می باشد. نسخه آسیب پذیر به شماره 30.0.0.154 می باشد که این آسیب پذیری توسط تیم Security Response Center کمپانی مایکروسافت گزارش شده است و پس از به روز رسانی، نسخه آن به شماره 31.0.0.108 ارتقا خواهد یافت. در جدول زیر اطلاعات و شماره شناسایی این آسیب پذیری را مشاهده می نمایید:
 

به روز رسانی شماره APSB18-33 که برای محصول ColdFusion 2018 and 2016 ارائه شده است که 11 آسیب پذیری را شامل می شود. در این میان، 5 آسیب پذیری به نفوذگر این اجازه را می دهد که از راه دور بر روی سرور کدهای مخرب را اجرا کند و باقی آسیب پذیری ها مربوط به بازنویسی بر روی فایلهای موجود در سرور می باشد. البته هنوز اطلاعاتی در مورد اینکه آیا هکرها از این آسیب پذیری ها استفاده کرده اند در دسترس نمی باشد. توصیه کمپانی ادوبی برای مدیران سرورهای ColdFusion که به روز رسانی های لازم را انجام نداده اند این اس که سیستم خود را Lockdown کنند. در جدول زیر توضیحات آسیب پذیری های منتشر شده، همراه با شماره شناسایی آنها را مشاهده می نمائید:
 

طی هفته گذشته افزایش حملات شدیدی روی پورت‌های 80، 8000 و 8443 در سطح شبکه کشور مشاهده شده است. این حملات بر بستر پروتکل http و از نوع SQL Injection بر روی صفحه لاگین #phpMyAdmin صورت پذیرفته است. براساس بررسی های صورت گرفته توسط سنسورهای مرکز ماهر طی این مدت بیش از ۶۰۰ هزارحمله ثبت شده است. از میان مهاجمین آدرس اینترنتی 46.246.36.4 بیشترین تعداد حملات شامل 121125 حمله را انجام داده است. این حملات از آدرس‌های IP کشور سوئد صورت گرفته است.
بمنظور پیشگیری از تهدیدات مشابه، لازم است دسترسی به ابزار phpMyAdmin و ابزارهای مدیریتی مشابه تا حد امکان محدود گردد.

دانلود جزئیات خبر

کمپانی #‫سیسکو در جدیدترین اخبار منتشره از بخش امنیتی خود اعلام کرده است که 30 آسیب پذیری جدید در محصولات خود کشف کرده است که 16 آسیب پذیری دارای اهمیت بالایی هستند. حدود نیمی از این آسیب پذیری ها با درجه اخطار High مشخص شده است که نشان دهنده خطرناک بودن این آسیب پذیری ها می باشد.
سیسکو اعلام کرده است تمامی محصولاتی که از Apache Struts استفاده می کنند آسیب پذیر نبوده و تنها یکی از محصولات این کمپانی تحت تاثیر آسیب پذیری اخیر و خطرناک RCE بر روی Apache Struts می باشد. محصولاتی هم که از این آسیب پذیری رنج می برند، به زودی به روز رسانی شده و یا Patch های امنیتی برای آنها ارائه خواهد شد. لیست این محصولات را در تصویر زیر مشاهده می نمایید:
 

یکی دیگر از آسیب پذیری های منتشر شده، آسیب پذیری خطرناک بر روی Cisco Umbrella API می باشد که به نفوذگر این اجازه را می دهد پس از نفوذ، از راه دور توانایی مشاهده و اعمال تغییرات بر روی داده های محصولات آسیب پذیر را داشته باشد. همچنین محصولات Umbrella Enterprise Roaming Client و Enterprise Roaming Module آن دارای آسیب پذیری Privilege Escalation به شماره شناسایی های CVE-2018-0437 و CVE-2018-0438 هستند که این آسیب پذیری ها در سطح خطرناک طبقه بندی شده اند.
از دیگر آسیب پذیری های خطرناک اعلام شده توسط این کمپانی، سه آسیب پذیری مهم بر روی محصولات دیوارآتش و مسیریاب های سری RV-series می باشد. در این میان محصولات RV110W Wireless-N VPN Firewall و RV130W Wireless-N Multifunction VPN Router و RV215W Wireless-N VPN Router به صورت اختصاصی توسط سیسکو معرفی شده است. این آسیب پذیری ها که هم اکنون توسط مشخصه CVE-2018-0423 معرفی شده است به صورت Buffer Overflow بر روی Management Interface بوده است که اجازه ی حمله ی DoS و همچنین امکان اجرای کدهای مخرب را بر روی محصول آسیب پذیر را به نفوذگر می دهد. نفوذگر می تواند توسط ارسال درخواست های آلوده به Device های فوق، به صورت کامل عملیات Exploiting را انجام داده و به دستگاه دسترسی کامل را پیدا کند. همچنین روترها و دیوارآتش های مشابه در همان سری، دارای آسیب پذیری Directory Traversal با شماره شناسایی CVE-2018-0426 و آسیب پذیری Command Injection به شماره شناسایی CVE-2018-0424 و آسیب پذیری Information Disclosure به شماره شناسایی CVE-2018-0425 می باشند که همگی این آسیب پذیری ها دارای سطح آسیب پذیری خطرناک می باشند. در ادامه لیست Device های آسیب پذیر مهم را مشاهده می فرمائید:

• Cisco Webex Meetings client for Windows - privilege escalation (CVE-2018-0422 )
• Cisco Webex Teams - information disclosure and modification (CVE-2018-0436)
• Cisco SD-WAN Solution - certificate validation (CVE-2018-0434), command injection (CVE-2018-0433), privilege escalation (CVE-2018-0432)
• Cisco Prime Access Registrar - denial of service (CVE-2018-0421)
• Cisco Integrated Management Controller - command injection (CVE-2018-0430 and CVE-2018-0431)
• Cisco Data Center Network Manager - privilege escalation to the underlying operating system (CVE-2018-0440)

تیمی از محققان کشف کرده‌اند که هکرها می‌توانند با گوش‌دادن به #‫میکروفون ، از راه دور بر صفحه‌نمایش رایانه #‫جاسوسی کنند. هکر می‌تواند به صداهای آکوستیکی که از صفحه‌نمایش می‌آید گوش دهد و این صدا می‌تواند برای تشخیص محتوای نمایش‌ داده شده بر روی صفحه‌نمایش استفاده شود. به عبارت دیگر، هر شخصی با دانش فنی خوب، می‌داند چگونه می‌تواند به‌راحتی فعالیت‌های رایانه‌ای اشخاص را جاسوسی کند.
در این حمله که محققان آن را Synesthesia نامیده‌اند، هکرها می‌توانند محتوای یک صفحه نمایش راه‌دور را آشکار سازند، دسترسی به اطلاعات حساس بالقوه را که تنها مبتنی بر نشت آکوستیک مبتنی بر محتوا از صفحات LCD هستند را فراهم ‌آورند. صفحات LCD با هر دو نور پس‌زمینه‌ی CCFL و LED تحت‌تأثیر این حملات قرار گرفته‌اند.
صداهای ظریف آکوستیک از طریق میکروفون‌های معمولی داخل وب‌کم‌ها یا صفحات‌نمایش، گوشی‌های هوشمند یا بلندگوی هوشمند جاسازشده بر روی میز کنار صفحه‌نمایش، از فاصله‌ی 10 متری بااستفاده از یک میکروفون پارابولی، از طریق میکروفون وب‌کم متصل‌شده در طی اسکایپ، Google Hangouts یا دیگر جریان‌های چت صوتی یا از طریق ضبط‌های یک دستگاه نزدیک مانند Google Home یا Amazon Echo، قابل جمع‌آوری است. صداهای مربوطه بسیار ضعیف و پرقدرت هستند و گوش انسانی قادر به شنیدن آن نیست. بنابراین کاربران نمی‌توانند شک کنند این انتشارات وجود دارد و اطلاعات مربوط به محتوای صفحه‌نمایش آن‌ها به هر کسی که جریان‌های صوتی را دریافت می‌کند، منتقل می‌شود.
اغلب کاربران تلاش می‌کنند وب‌کم‌های (و بنابراین میکروفون) خود را نزدیک صفحه‌نمایش جای دهند تا بتوانند در حین کنفرانس ویدیویی تماس چشمی برقرار کنند و در نتیجه اندازه‌گیری‌های با کیفیت بالایی را برای مهاجمان خواستار ارایه می‌دهند.
محققان به‌منظور بررسی این نوع حملات، برنامه‌ی آزمایشی کوچکی ساختند که الگوهای خطوط سیاه و سفید متناوب افقی با ضخامت برابر(با واحد پیکسل) را که به آن‌ها Zebra می‌گویند، نمایش می‌دهد. دوره تناوب یک Zebra، فاصله‌ی بین دو نوار سیاه مجاور (با واحد پیکسل) است. پس از اجرای برنامه، تیم تحقیقاتی، صدای پخش‌شده از صفحه نمایش Soyo DYLM2086 را در حین نمایش چندین Zebra ضبط کردند. در هر دوره‌ی مختلف از نوارها، فرکانس صدای آلتراسونیک در یک حالت قابل پیش‌بینی تغییر یافت. با کمک الگوریتم یادگیری ماشین (داده‌ها را تجزیه و تحلیل می‌کند تا پیش‌بینی کند چه چیزی بر روی صفحه‌نمایش کاربر بوده است)، محققان توانستند ضبط‌شده‌ها را ترجمه کنند. این تیم تحقیقاتی همچنین با دقت 96.5 درصد توانستند 10 مورد از محبوب‌ترین وب‌سایت‌های نمایش داده شده بر روی صفحه‌نمایش را تشخیص دهند.
محققان همچنین در تحقیقات خود اثبات کردند که چگونه مهاجمان می‌توانند آنچه را که کاربر تایپ می‌کند را با تجزیه و تحلیل فرکانس صدای تولیدشده در حین استفاده از صفحه‌کلید روی صفحه‌نمایش، استنتاج کنند. اگرچه صفحه‌کلید روی صفحه‌نمایش یک مکانیزم امنیتی برای گذرواژه‌ی ورودی است؛ اما محققان ثابت کردند که این عملیات نیز از هکرهایی که چشم‌ها و گوش‌ها را جاسوسی می‌کنند در امان نیست.

رصد فضای سایبری کشور و گزارش های حاصله نشان داده است که طی چند روز اخیر حملات اینترنتی بر روی پورت 5431 با افزایش شدیدی مواجه بوده است. این پورت در اکثر مواقع بر روی سرویس Universal Plug and Play که به اختصار #UPnP نامیده می‌شود، مورد استفاده قرار می‌گیرد. بررسی آدرس‌های مهاجم نشان‌دهنده تنوع زیاد مهاجمین نسبت به حملات شناسایی شده است که بیانگر فراگیری آلودگی تجهیزات در سطح کشور می باشد. بیشترین حملات شناسایی شده از شش کشور هند، چین، آمریکا، کلمبیا، ایران و برزیل هستند. این مسئله می‌تواند بیانگر در معرض حمله قرار گرفتن تجهیزات دارای سرویس UPnP در سطح کشور باشد که لازم است اقدامات پیشگیرانه در اسرع وقت بر روی آنها صورت پذیرد.
سرویس UPnP، امکان اتصال و ارائه سرویس را در اختیار سایر ابزارهای شبکه محلی قرار می‌دهد. یکی از خصوصیات UPnP امکان مذاکره خودکار و پیکره‌بندی باز کردن یا هدایت کردن پورت‌ها در شبکه از طریق NAT است. این خصوصیت به دستگاه اجازه می‌دهد تا برخی پورت‌ها را باز کرده و جریان ترافیک را هدایت کند. مهاجمین به سرویس UPnP معمولا اطلاعات لازم برای اتصال به فرایند UPnP را بدست آورده و اقدام به اتصال به این فرایند می‌کنند. یکی از مشکلات در حملات به UPnP این است که تعداد زیادی از ابزارها حاوی این سرویس به راحتی در معرض اسکن از طریق اینترنت قرار دارند. همچنین تاکنون تعداد زیادی آسیب ­پذیری در سرویس UPnP و یا برنامه‌هایی که از آن استفاده می­کنند، پیدا شده است. معمولا از این آسیب­ پذیری‌ها برای ایجاد حمله و انتقال بدافزار از طریق روترهای خانگی استفاده می‌شود.

برخی آسیب‌پذیری‌های UPnP
تعداد آسیب پذیری ها موجود بر روی این سرویس بسیار زیاد است که در اینجا به چند مورد از جدیدترین ها اشاره شده است.
 

راهکار مقابله
به منظور پیشگیری از آلودگی مجموعه‌ای از اقدامات قابل انجام است که عبارتند از:
1. غیر فعال کردن UPnP در صورت عدم استفاده.
2. پیکره بندی مجدد کلیه دستگاه هایی که سرویس UPnP آنها از طریق اینترنت قابل مشاهده است، به گونه ای که این سرویس از اینترنت قابل مشاهده نباشد.
3. بروزرسانی مداوم firmware دستگاه به منظور نصب آخرین وصله های امنیتی برروی آن.