در روزهای اخیر #‫آسیب‌پذیری سرریز بافر بر روی #SQL_SERVER توسط شرکت مایکروسافت گزارش گردیده است. آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده می‌دهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد. برای بهره‌برداری از این آسیب‌پذیری، حمله کننده می‌بایست یک درخواست SQLخاص را به سرویس‌دهنده ارسال کند.

مایکروسافت تنها روش جلوگیری از حمله توسط این آسیب‌پذیری را بروزرسانی محصول اعلام کرده است. نکته بسیار مهم این آسیب‌پذیری، وجود آن بر روی سرویس‌دهنده SQL Server 2017 لینوکس است. لذا لازم است اگر بر روی کانتینر‌های داکر خود از این سرویس استفاده کرده اید، آن را نیز به‌روز رسانی کنید.

وصله‌های امنیتی زیر توسط مایکروسافت به شرح ذیل برای این محصولات ارائه شده است.
 

کمپانی #‫سیسکو به روز رسانی امنیتی مهمی را در تاریخ 13 آگوست 2018 منتشر کرده که این به روز رسانی برای سیستم عامل IOS و IOS XE خود می باشد و در بسیاری از محصولات سیسکو به کار می رود. این آسیب پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده، یکی از حملات جدید cryptographic بر علیه پروتکل IKE می باشد که در IPSec مورد استفاده قرار می گیرد. معرفی این حمله جدید که به تازگی در مقاله ای با نام The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE منتشر شده است، هفته ی آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهد گرفت.
محققین اعلام کردند که پیاده سازی این حمله بر علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-2018-0131، در Huawei با شماره شناسایی CVE-2017-17305 ، در Clavister با شماره شناسایی CVE-2018-8753 و در ZyXEL با شماره شناسایی CVE-2018-9129 معرفی خواهند شد. یکی نفز از این محققین که از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب پذیری ها را به سازندگان محصولات اطلاع داده اند که پاسخ سازندگان دستگاه های آسیب پذیر این بوده است که به روز رسانی هایی برای رفع این آسیب پذیری ها منتشر کرده اند.
در این میان که سیسکو بیشترین محصولات آسیب پذیر را دارا بوده است، مشخص شده که سیستم عامل IOS و IOS XE آسیب پذیر هستند که با شماره شناسایی CVE-2018-0131 معرفی شده است ، اما سیستم عامل نسخه IOS XR که به طور عمده تر در محصولات روترهای سیسکو مورد استفاده قرار می گیرد، به علت تفاوت در نوع کُدنویسی آن، آسیب پذیر نمی باشد. امروز سیسکو به روز رسانی برای هر دو سیستم عامل خود منتشر کرد و اعلام کرد که دستگاه های دارای دو سیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستند آسیب پذیر می باشند.
بر اساس توضیحات سیسکو، این آسیب پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv1 را با موفقیت بدست بیاورند. علت وجود این آسیب پذیری، اشتباه در عملیات Decryption در نرم افزار پاسخ دهنده می باشد. نفوذگر می تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv1 طراحی شده است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را بدست بیاورد. همچنین نفوذگر می تواند با بازآوری IKEv1 Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می گیرد را رمزگشایی کنند.
توصیه اکید به مدیران شبکه در سازمانها و شرکت ها می شود که سریعاً دستگاه های خود را که شامل این آسیب پذیری می شود به روز رسانی کنند.

هسته سیستم عامل Linux از نسخه 4.9 در بخش IPv4 در قسمت ورودی TCP داری آسیب‌پذیری منع سرویس (DOS) می‌باشد. آسیب‌پذیری مذکور در توابع tcp_collapse_ofo_queue و tcp_prune_ofo_queue وجود داشته که به ازاء تمامی بسته‌های ورودی به سیستم فراخوانی می‌شوند.
آسیب پذیری فوق با شماره‌های CVE-2018-5390 در لینوکس و CVE-2018-6922 در BSD منتشر شده است.
باتوجه به پراستفاده و فراگیر بودن استفاده از هسته سیستم‌عامل‌های آسیب‌پذیر در انواع مختلف برندها و تجهیزات و سرویس دهنده‌ها و امکان اتصال به شبکه‌ها و زیرساخت‌های ارتباطی, توصیه می‌گردد پس از انتشار وصله‌های امنیتی، سیستم‌عامل هر یک از برندها، تجهیزات و سرویس‌دهنده‌ها توسط کلیه استفاده کنندگان از این نرم افزار به‌روز رسانی گردد.
لینک زیر برخی از برندهای دارای آسیب پذیری و پراستفاده را لیست نموده است:

https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=962459&SearchOrder=4

منبع خبر:

https://www.kb.cert.org/vuls/id/962459

به تازگی نسخه ی جدیدی از سیستم مدیریت محتوا #DRUPAL منتشر شده است که آسیب پذیری خطرناکی را برطرف کرده که نفوذگران توسط آن آسیب پذیری می توانستند کنترل سایت قربانی را در دست بگیرند. این آسیب پذیری با شماره CVE-2018-14773 بر روی یک کامپوننت از کتابخانه third-party که دارای نام Symfony HttpFoundation می باشد منتشر شده است که این کامپوننت در core دروپال مورد استفاده قرار می گیرد و بر روی نسخه های 8.x تا قبل از نسخه 8.5.6 این آسیب پذیری وجود دارد. به دلیل استفاده فریم ورک Symfony در بسیاری دیگر از محصولات و پروژه های WebApp، وجود این آسیب پذیری امکان نفوذ به بسیاری از دیگر پروژه های معروف WebApp و CMS های معروف را هم ممکن می سازد.
بر اساس توضیحات تیم پشتیبانی Symfony، این آسیب پذیری از دور زدن تمهیدات امنیتی در بخش HTTP Header ها آغاز می شود. نفوذگر می تواند از راه دور، بوسیله ی X-Original-URL ویا X-Rewrite-URL های ساخته شده مخصوصی توسط خود نفوذگر که بخشی از مقادیر HTTP Header می باشد، باعث لغو شدن آدرس در Request URL بشود و در نتیجه سیستم هدف یک URL دیگر را ارائه می کند که این خود باعث دور زدن محدودیت های دسترسی ها در Cache و Web Server قربانی می گردد.
دروپال در نسخه نهایی 8.5.6 خود این آسیب پذیری را رفع نموده است. همچنین این آسیب پذیری در نسخه های Symfony که در ادامه مشاهده می فرمائید رفع شده است:
   • 2.7.49
   • 2.8.44
   • 3.3.18
   • 3.4.14
   • 4.0.14
   • 4.1.3
تیم دروپال پس از گزارش این آسیب پذیری، در ادامه تحقیقات خود موفق به کشف آسیب پذیری مشابه در فریم ورک Zend شد که مجدد این آسیب پذیری هم در کتابخانه های Diactoros که در هسته Drupal هستند مشاهده شده که این تیم نام URL Rewrite vulnerability را بر روی آن نهاده اند و با شماره ZF2018-01 در سایت فریم ورک Zend منتشر شده است. بر اساس توضیحات این سایت، در نسخه های زیر این آسیب پذیری رفع گردیده است:
   • zend-diactoros, 1.8.4
   • zend-http, 2.8.1
   • zend-feed, 2.10.3
مدیران شبکه و سرورها توجه داشته باشند که آسیب پذیری فوق در سیستم Drupal با موفقیت Exploit شده و توسط نفوذگران در حال استفاده می باشد. توصیه اکید می گردد که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید

معرفی CouchDB
CouchDB یک پایگاه داده‌ی پیشرفته #NoSql است که از محصولات شرکت Apache می‌باشد. درحقیقت، CouchDB برای اولین بار در سال 2005 منتشر شد و بعد از آن در سال 2008، امتیاز آن توسط Apacheخریداری شد.
در هنگام کار با حجم عظیم داده‌ها که نیاز به سازماندهی داشته باشند، استفاده از رویکردهای ساختار یافته‌ی RDBMSمانند SQLمشکلاتی از قبیل پایین آمدن کارایی به دنبال دارند. NoSQLیک چارچوب متفاوت از پایگاه داده با کارایی بالا و پردازش سریع در مقیاس های بزرگ ارائه می‌دهد.
چارچوب NoSQL، از زبان پرس و جوی ساخت یافته SQLیا مدل داده رابطه‌ای استفاده نمی‌کند و از مزیت‌های مهم آن می‌توان به مقیاس‌پذیری و مدیریت داده‌های کلان اشاره داشت.
پایگاه داده‌ی CouchDBا ز نوع پایگاه داده سندگرا (Document Base) است. این نوع از پایگاه داده‌ها، مجموعه‌ای از اسناد هستند که به زبان JSON ذخیره شده و برای وب سایت‌ها و برنامه‌های تحت وب مناسب می‌باشند. این اسناد به صورت مجموعه‌ای از کلید/مقدار هستند که از طریق کلید می‌توان به مقدار آن دسترسی داشت و ویژگی‌های اعتبار سنجی داده‌ها، پرس و جو و تأیید هویت کاربر را دارند.
این پایگاه داده به زبان Erlang نوشته شده و در سیستم عامل‌های مختلف قابل اجرا می‌باشد. CouchDBاز پروتکل HTTPبرای دسترسی و به روز رسانی اسناد استفاده می‌کند و برای کار با داده‌ها از زبان JavaScriptبهره می‌برد.
در CouchDBبه طور پیش فرض پورت 5984 برای دسترسی در نظر گرفته شده است.

امنیت و اعتبارسنجی
در هنگام نصب پایگاه داده، به صورت پیش فرض کلیه کاربرانی که به پایگاه داده دسترسی دارند، نقش ادمین را دارند و ادمین می‌تواند کاربرانی را با نقش مدیر یا کاربر عادی با دسترسی‌های مختلف ایجاد کند. با استفاده از توابع موجود می‌توان اعتبارسنجی اسناد را انجام داده تا ورودی‌های کاربران هنگام به روز رسانی و یا ایجاد اسناد بررسی شود.
تابع اعتبار سنجی که در پایگاه داده با نام (Validate_doc_update) شناخته می‌شود، سه پارامتر ورودی دریافت می‌کند:

1. NewDoc: نسخه جدید سند
2. oldDoc: نسخه فعلی سند
3. userCtx: اطلاعات مربوط به کاربر مورد نظر

خروجی تابع اجازه به روز رسانی و یا عدم امکان به روز رسانی سند مورد نظر را مشخص می‌کند.

آسیب‌پذیری‌های شناخته شده

CVE-2017-12635: پایگا داده CouchDB به کاربران اجازه می‌دهد که اسکریپت اعتبارسنجی اسناد را با جاوا اسکریپت ایجاد کنند. این اسکریپت‌ها هنگامی که یک سند ایجاد یا به روز می‌شود، به طور خودکار ارزیابی می‌شوند.

CouchDB مدیریت حساب‌های کاربری را از طریق یک پایگاه داده ویژه به نام users_ مدیریت می‌کند. هنگامی که کاربری در پایگاه داده CouchDB ایجاد شده و یا تغییر داده می‌شود (معمولاً با عمل PUTبه /_users/org.couchdb.user:your_username، انجام می‌شود)، سرور تغییرات پیشنهادی را با یک تابع validate_doc_update مقایسه می‌کند تا مطمئن شود که فرد درخواست‌کننده مجوز انجام عملیات مورد نظر را داشته باشد (به عنوان مثال قصد تغییر مجوز دسترسی خود به ادمین سیستم را نداشته باشد).
دلیل آسیب‌پذیری مورد نظر این است که بین پارسر Jscript JSONو پارسر داخلی به نام jiffyکه توسط CouchDBاستفاده می‌شود، اختلاف وجود دارد (در صورت وجود دو داده با کلید یکسان، jiffyهر دو مقدار را ذخیره خواهد کرد ولی پارسر جاوا اسکریپت، فقط آخرین مقدار را ذخیره می‌کند).
به عنوان مثال در صورتی که شئ {“guest”:”1”,”guest”:”2”}را داشته باشیم:

Erlang

jiffy:decode("{\"guest\":\"1\", \"guest\":\"2\"}")
{[{<<"guest">>,<<"1">>},{<<"guest">>,<<"2">>}]}

JavaScript

JSON.parse("{\"guest\":\"1\", \"guest\": \"2\"}")
{guest: "2"}

با این حال تابع برگرداننده برای نمایش در CouchDB تنها مقدار اول را باز می‌گرداند:

Within couch_util:get_value % 
.lists:keysearch(Key, 1, List)

در حالتی که برای یک کاربر دو مجوز تعریف شود، در Erlang تنها مجوز اول دیده می‌شود و جاوا اسکریپت، مجوز دوم را در نظر می‌گیرد. از آن جایی که تمامی منطق بررسی مجوز دسترسی و تعیین اعتبار در سمت Erlang صورت می‌گیرد، به همین دلیل می‌توان برای کاربر دو مجوز با کلید یکسان که یکی مقدار ادمین و دیگری مقدار خالی داشته را ایجاد کرد. در این حالت در هنگام تایید مجوز، مجوز دوم یعنی مقدار خالی، بررسی می‌شود و در حال دریافت مجوز، مجوز اول یعنی دسترسی ادمین بررسی می‌شود و می‌توان به پایگاه داده دسترسی داشت.
این آسیب‌پذیری در ورژن‌های قبل از 1.7.0و از 2.x تا 2.1.0 وجود دارد.

CVE-2017-12636: پایگاه داده CouchDB آسیب‌پذیری شناخته شده‌ای دارد که تا زمانی که فرد دارای امتیازهای مدیریتی است اجازه می‌دهد تا از راه دور به اجرای کد بپردازد. کاربران با مجوز ادمین در CouchDB می‌توانند سرور پایگاه داده را از طریق HTTP (S)پیکربندی کنند. برخی از گزینه‌های پیکربندی عبارتند از مسیرهای در سطح سیستم عامل که توسط CouchDB استفاده می‌شوند. این موضوع به کاربران ادمین اجازه می‌دهد در Apache CouchDB نسخه‌ی قبل از 1.7.0و 2.xقبل از 2.1.1به اجرای دستورات دلخواه پوسته، از جمله دانلود و اجرای اسکریپت از اینترنت، به عنوان کاربر CouchDB بپردازند.

پیشنهادها و راهکار‌های رفع آسیب‌پذیری

• به روز رسانی پایگاه داده به نسخه ی 1.7 یا 2.1.1 به بالا
• تغییر فایل local.ini (معمولاً در /etc/couchdb/قرار دارد) و اضافه کردن خط زیر به بخش [httpd]:

config_whitelist = []

در این حالت API _config کاملاً غیر فعال می‌شود. در صورت نیاز به تغییر تنظیمات در CouchDB باید این تغییر به صورت دستی در فایل local.ini انجام شود. این راه حل برای رفع آسیب‌پذیری CVE-2017-12635 قابل استفاده است.

• جلوگیری از ایجاد کاربر توسط افراد غیر ادمین: در CouchDB به صورت پیش فرض، افراد ناشناس می‌توانند یک کاربر جدید در پایگاه داده ایجاد کنند. برای جلوگیری و یا محدود کردن این کار، می‌توان به سند _design/_auth یک محدودیت اضافه کرد. در این سند بخش‌هایی برای محدود کردن عملکردهای کاربران وجود دارد. باید در تابع validate_doc_updateدر ابتدای بخش !is_server_or_database_admin(userCtx, secObj)خط زیر را برای جلوگیری از انجام عملیات توسط کاربرانی که ادمین نیستند، اضافه کرد.

throw({forbidden : 'Users can only be created by server or db admins in this specific CouchDB installation'})

در این حالت، تابع validate_doc_update به صورت زیر خواهد شد:
 

مطابق گزارش اپراتور سامانه مراقبت از رخداد #‫هک و #‫دیفیس مرکز ماهر در ساعت 20:15 روز جمعه، رخداد دیفیس سامانه درگاه پرداخت اینترنتی زرین پال به نام دامنه zarinpal.ir و آدرس IP: 91.239.55.245 مشاهده گردید. این موضوع در همان زمان به مالک درگاه اطلاع رسانی گردید. در این خصوص موارد زیر قابل ذکر است:
• بر اساس بررسی های صورت گرفته تا این لحظه و نیز ادعای قاطع مسئولین شرکت زرین پال، نفوذ تنها در سطح روتر میکروتیک این شرکت صورت گرفته و مهاجم پس از در اختیار گرفتن کنترل روتر، بازدید کنندگان وب سایت را به صفحه دیگری متعلق به خود مهاجم هدایت کرده و پیغام Deface را منتشر نموده است.
• محل فیزیکی استقرار تجهیزات از جمله این روتر،‌ دیتاسنتر آسیاتک در تهران بوده است. در این مورد مسئولیت نگهداری تجهیز با خود شرکت زرین‌پال بوده و مسئولیتی متوجه آسیاتک نبوده است.
• متاسفانه با توجه به reset factory نمودن تجهیز فوق جهت بازیابی رمز عبور توسط مالک درگاه امکان صحت سنجی قطعی شرکت مالک درگاه امکانپذیر نبوده است. شرکت آسیاتک نیز به دلیل عدم ذخیره سازی netflow‌ شبکه، در این خصوص نتوانسته کمکی ارائه کند. با اینحال لاگ‌های دیگر درحال تهیه است که ممکن است شواهد بیشتری ارائه کند.درخصوص این آسیب‌پذیری میکروتیک طی چند ماه گذشته ۳ بار توسط مرکز ماهر از طریق سایت، شبکه تعاملی و پیامک اطلاع رسانی شده است.

• در این خصوص پیشتر آدرس روترهای میکروتیک آسیب پذیر در کشور شناسایی شد و به تفکیک استانی در اختیار مراکز ICT استانی قرار گرفت. آدرس روتر این شرکت نیز به نام سامان سیستم پرداز کیش در میان روترهای آسیب پذیر بوده و با توجه به آدرس ثبت شده آن (در سایت Ripe.net) در جزیره کیش، اواسط هفته گذشته به مسئولین آن استان اطلاع رسانی شد.
• شمار دیگری از روترهای آسیب پذیر میکروتیک که مورد نفوذ قرار گرفته و درحال حمله به نقاط دیگر شبکه کشور هستند نیز شناسایی شده و هفته گذشته در اختیار شرکت های سرویس دهنده اینترنت قرار گرفته است. فهرست کل این IP ها در سامانه تعاملی نیز برای ۲۳۱۸ نفر از نمایندگان دستگاه‌ها در هفته گذشته ارسال شد.
لازم به ذکر است سایر موارد آسیب پذیر که تا کنون نسبت به بروزرسانی روترهای میکروتیک اقدام نکردند در معرض نفوذ قرار دارند که لازم است سریعا اقدامات پیشگیرانه صورت پذیرد.

پیرو اطلاعیه قبلی درخصوص افزایش آلودگی روترهای #‫میکروتیک در کشور، جزییاتی از فعالیت روترهای آلوده به پیوست ارائه شده است. بر اساس رصد انجام شده، حملات بر روی پورت ۲۳ (telnet) افزایش چشمگیری داشته است که منشاء این حملات عمدتا روترهای میکروتیک آلوده است. مهمترین راهکار پیشگیری و مقابله با این تهدید،‌ بروزرسانی firmware تجهیزات و مسدودسازی دسترسی به پورت‌های کنترلی از جمله پورت ۲۳، ۲۲، ۸۲۹۱ است.

دانلود گزارش تکمیلی

متاسفانه علی رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه درخصوص آسیب‌پذیری گسترده‌ی روترهای #‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده اند.
در این رابطه، رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت ۲۳ (telnet) از مبدا روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است. آلودگی این روترها عمدتا از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت ۸۲۹۱ مربوط به سرویس winbox) صورت گرفته است. فهرست آدرس‌های IP روترهای آلوده در ساعات آتی در سامانه تعاملی مرکز ماهر در دسترس اعضا خواهد بود. مدیران شبکه عضو سامانه می‌توانند ضمن مراجعه به سامانه تعاملی از آلودگی روترهای کاربران خود مطلع شوند.
لذا بمنظور حفاظت از روترهای میکروتیک، اکیدا توصیه می‌گردد سریعا بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز بر روی اینترنت اجرا گردد.

به تازگی آسیب پذیری خطرناکی بر روی #Oracle_WebLogic کشف شده است که هکرها در حال استفاده از آن هستند. این آسیب پذیری که با شماره CVE-2018-2893 معرفی شده بر روی WebLogic که یک کامپوننت از Oracle Fusion Middleware می باشد کشف شده است.
نسخه های زیر دارای این آسیب پذیری هستند:
   • 10.3.6.0
   • 12.1.3.0
   • 12.2.1.2
   • 12.2.1.3
هکرها توسط Exploit کردن این آسیب پذیری می توانند به شبکه متصل به سرور WebLogic توسط T3 دسترسی پیدا کنند و بدون احراز هویت و بدون در اختیار داشتن Password، کنترل WebLogic Server را در دست بگیرند. این آسیب پذیری در رده بندی CVSv3 دارای امتیاز بالای 9.8 از 10 می باشد که نشان دهنده ی Remote بودن Exploit این آسیب پذیری می باشد. هفته ی پیش در روز 18 July وصله این آسیب پذیری توسط اوراکل ارائه شد اما هیچگونه توضیحی در مورد این آسیب پذیری منتشر نشد. اما سه روز پیش، چندین PoC Exploit برای این آسیب پذیری بر روی github منتشر شد که لینک آنها را در ادامه مشاهده می فرمایید:

https://github.com/anbai-inc/CVE-2018-2893
https://github.com/Ryaninf/CVE-2018-2893

این PoC ها باعث شده است که حملات جدیدی بر روی WebLogic توسط نفوذگرها صورت بگیرد، به طوری که شروع شدت گرفتن این حملات از 21 July آغاز شده است. محققین مراکز ISC SANS و Qihoo 360 Netlab هم توانسته اند 2 تیمی که در حال توسعه حملات بوسیله ی ابزار خودکار شده این آسیب پذیری ها هستند را ردیابی کنند.
توصیه اکید می شود که مدیران شبکه، به روز رسانی های Oracle July 2018 CPU را بر روی سرورهای اوراکل خود اعمال کنند. توضیحات این به روز رسانی مهم را در لینک زیر می توانید مشاهده نمایید:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

در صورت عدم به روز رسانی، می توان به صورت موقت با بستن دسترسی خارجی به پورت 7001 شبکه که مورد استفاده سرویس WebLogic می باشد، از نفوذ هکرها جلوگیری نمود.

رصد صورت گرفته توسط شبکه هانی نت ایران، نشان دهنده افزایش سطح حملات از تاریخ ۹۷/۴/۱۸به سرویس Bridge Debug Android بر روي پورت 5555 است. تحلیل هاي انجام شده بر روي مبدا آلودگی حملات نشان دهنده آلودگی در سطح زیرشبکه ( #‫بات_نت ) است که همین مسئله میتواند بیانگر فعالیت و سوء استفاده یک بات از این پورت باشد. بیشترین حملات ثبت شده از کشور امریکا با 15.26 درصد و کشور چین پس از آن با 8.22 درصد از کل حملات این پورت است. جدول زیر وضعیت حملات ثبت شده بر روي این پورت را نمایش میدهد.