شماره: IRCNE2015042469
تاريخ: 01/22/94

كد ضعيف يكي از بدافزارهاي گروگان گير كه جديدا عرضه شده است باعث شد تا قربانيان بتوانند بدون پرداخت وجه به داده هاي خود دسترسي يابند.
بدافزار گروگان گير Scraper كه در اصل باعنوان Torlocker شناخته مي شود در اكتبر سال گذشته كشف شد. اين بدافزار فايل هاي قربانيان از جمله اسناد، ويدئو، تصاوير و پايگاه داده را رمز مي كرد و براي باز كردن قفل آن ها از قرباني تقاضاي پرداخت 300 دلار مي كرد.
با اين وجود به دليل وجود خطا در الگوريتم رمزگذاري در 70 درصد از موارد، مي توان فايل ها را بدون پرداخت وجه رمزگشايي كرد.
Scraper فايل ها را از طريق پروتكل هاي AES-256 و RSA-2048 رمزگذاري مي كند. با اينحال يك مشكل در پياده سازي بدافزار گروگان گير باعث شده است تا بتوان فايل ها را بدون پرداخت وجه رمزگشايي كرد. ابزار ScraperDecryptor آزمايشگاه كسپراسكي در 70 درصد از موارد مي تواند براي پاك كردن كد مخرب از روي سيستم مورد استفاده قرار گيرد.

شماره: IRCNE2015042468
تاريخ: 01/22/94

اپل بيش از 30 آسيب پذيري را در آخرين نسخه از سيستم عامل تلفن همراه خود برطرف كرد. در نسخه جديد iOS 8.3 تعدادي مشكل از جمله مسائل انكار سرويس، مشكلات كوكي هاي بين سايتي و يك مشكل كه باعث نصب يك بدافزار مي شد اصلاح شده است. اين به روز رساني ها شامل اصلاح گواهينامه ها نيز مي شود.
شركت اپل هشدار داد كه تحت شرائط خاص يك دستگاه ممكن است نتواند پس از وارد كردن اشتباه كد ورودي، اطلاعات خودش را پاك كند. مشكلات مربوط به انكار سرويس از طريق ارتقاء حالت مديريتي برطرف شده است.
در يك راهنمايي امنيتي، اپل هشدار داده است كه ملاقات يك وب سايت دستكاري شده خاص مي تواند منجر به اجراي كد دلخواه شود. بيش از نيمي از مسائل مربوط به مشكلات اجراي كد از راه دور بوده است.

شماره: IRCNE2015042467
تاريخ: 01/18/94

محققان امنيتي يك رخنه را در ارتباطات واي فاي مانند واي فاي هاي مورد استفاده در هتل ها و مراكز كنفرانس كشف كردند كه مي تواند به هكرها اجازه دهد تا دسترسي سيستم ها را بدست آورند.
آسيب پذيري CVE-2015-0932 در 277 هتل، مركز كنفرانس و مركز داده اي كه از دستگاه هاي ANTLabs استفاده مي كنند پيدا شده است و به هكرها اجازه مي دهد تا حملاتي مشابه رخدادهاي DarkHotel كه اواخر سال گذشته به وقوع پيوست را اجرا نمايند.
هكرها مي توانند با استفاده از rsync تاييد هويت نشده در حال اجرا بر روي TCP 873 دسترسي خواندن و نوشتن را بر روي هر سيستم عامل مبتني بر لينوكس بدست آورند. پس از آن هكرها مي توانند كدي را از راه دور بر روي سيستم ها اجرا نمايند. هم چنين مي توانند نسخه هاي backdoor را بر روي سيستم آپلود كرده و كنترل اجراي برنامه ها را بدست آورند و يا كاربري را با حق دسترسي root بر روي سيستم ايجاد كنند.

شماره: IRCNE2015042466
تاريخ: 01/18/94

تروجاني شركت هاي صنعت انرژي را هدف حمله قرار داده است و از اين طريق اطلاعاتي در خصوص عمليات شركت جمع آوري مي كند.
اين بدافزار توسط محققان سايمانتك كشف شده است و مشخص شد كه بيشتر قربانيان آن مربوط به صنايع گازي، هليوم و پتروليوم مي باشد.
كريستين تريپوتي، مدير امنيت سايمانتك اظهار داشت كه اين حملات در ماه هاي اوليه سال 2015 شناسايي شده است اين تروجان پيش از ارسال بدافزار براي جمع آوري اطلاعات قربانيان، پايگاهي در سيستم هاي آن ها ايجاد كرده است.
بردار آلودگي اوليه شامل استفاده از ايميل هاي هرزنامه اي كه از دامنه moneytrans[.]eu ارسال مي شود، مي باشد. اين ايميل ها حاوي يك پيوست مخربي است كه در آن از كد سوء استفاده براي آسيب پذيري (CVE-2012-0158) استفاده شده است. اين آسيب پذيري در حملات مختلفي مورد سوء استفاده قرار گرفته است.
تريپيوتي افزود: داده هاي به سرقت رفته مهاجم را قادر مي سازد تا بتواند در خصوص ادامه حمله يا توقف آن تصميم قاطعي بگيرد. اگر قرباني سازمان مورد توجه مهاجم قرار بگيرد، مهاجم تروجان و backdoorهاي ديگري را بر روي سيستم قرباني نصب مي كند.
محققان امنيتي بر اين باور هستند كه مهاجمان اين حمله چندان متخصص نيستند زيرا از يك آسيب پذيري قديمي استفاده كرده اند و حملات آن ها حملاتي است كه در فروشگاه هاي زيرزميني در دسترس مي باشند.
با اين وجود بسياري از كاربران هم چنان اصلاحيه ها را اعمال نمي كنند در نتيجه سيستم آن ها در معرض خطر چنين حملاتي قرار مي گيرد.

شماره: IRCNE2015032465
تاريخ: 08/01/94

بيش از نيمي از كاربران IE كمتر از 10 ماه فرصت دارند تا مرورگرهاي قديمي خود را دور بيندازند و يا به نسخه جديدي از IE به‌روز رساني نمايند.
اغلب كاربران IE با موعد قطع پشتيباني كه مايكروسافت در ماه آگوست گذشته اعلام كرده بود مواجه خواهند شد. پس از 12 ژانويه 2016، مايكروسافت صرفاً IE9 را روي سيستم‌هاي ويندوز ويستا و ويندوز سرور 2008، IE10 را روي سيستم‌هاي ويندوز سرور 2012 و IE11 را روي سيستم‌هاي ويندوز 7، ويندوز 8.1، ويندوز سرور 2008 R2 و ويندوز سرور 2012 R2 پشتيباني خواهد كرد.
IE7 و IE8 به طور كامل از پشتيباني خارج خواهند شد (IE6 نيز در ماه جولاي و همزمان با قطع پشتيباني از ويندوز سرور 2003 از گروه محصولات در حال پشتيباني مايكروسافت خارج خواهد شد)، ولي بقيه نسخه‌هاي اين مرورگر بر روي نسخه‌هاي خاص ويندوز همچنان اصلاحيه دريافت خواهند كرد.
نسخه‌هاي خارج از پشتيباني IE همچنان كار خواهند كرد، ولي مايكروسافت پشتيباني فني و ارائه اصلاحيه‌هاي امنيتي براي اين برنامه‌ها را قطع خواهد كرد.
به گزارش شركت تحليل وب Net Applications، اين نسخه‌هاي IE در ماه فوريه توسط 60 درصد از كاربران IE مورد استفاده قرار مي‌گرفته‌اند.
براي مثال كاربران IE8 حدود 33% از كل كاربران IE را تشكيل مي‌دهند و IE7 و IE10 نيز در مجموع حدود 10% از كل مرورگرهاي IE كاربران را تشكيل مي‌دهند. همچنين سهم 14 درصدي IE9 نيز بايد در نظر گرفته شود، چرا كه ويندوز ويستا كه تنها ويندوزي است كه اين مرورگر بر روي آن پشتيباني خواهد شد، تنها 2% از سيستم‌هاي ويندوز كاربران را به خود اختصاص مي‌دهد و اغلب مرورگرهاي IE9 روي سيستم‌هاي ويندوز 7 اجرا مي‌شوند.

شماره: IRCNE2015032464
تاريخ: 08/01/94

بر اساس مطالعه وضعيت وب در مارس 2015 كه توسط شركت Menlo Security كه 750 هزار دامنه يكتا را مورد بررسي قرار داده است منتشر شد، 21 درصد از سايت‌ها داراي آسيب‌پذيري‌هاي شناخته شده هستند.
به گفته كوسيك گوروسوامي، مدير ارشد فناروي Menlo Security، صفحه نخست هريك از 750 هزار دامنه در Alexa 1 Million يكبار مشاهده شده است. به گفته وي، اين يك اسكن فعال براي سايتي خاص و مرور تمامي صفحات آن نبوده است، بلكه يك اسكن تك صفحه‌اي از طريق مرورگر بوده است كه تمامي متعلقات سايت از CDN ها، iframe ها، شبكه‌هاي تبليغاتي و غيره را در نظر گرفته است.
گوروسوامي مي‌گويد كه نگاهي به داده‌هاي به دست آمده نشان مي‌دهد كه 10 درصد از سايت‌هاي بررسي شده، يك نسخه آسيب‌پذير PHP را اجرا مي‌كنند. منظور از نسخه آسيب‌پذير هر نسخه‌اي از PHP است كه حداقل يك آسيب‌پذيري برجسته در پايگاه داده CVE داشته باشد. نرم‌افزار وب سرور آسيب‌پذير نيز مورد قابل مشاهده‌اي بود كه 4 درصد از يك نسخه آسيب‌پذير Apache HTTP و 4 درصد نيز از يك نسخه آسيب‌پذير IIS مايكروسافت استفاده مي‌كنند.

شماره: IRCNE2015032463
تاريخ: 08/01/94

در مسابقه هك مرورگر Pwn2own سال 2015 كه روزهاي هجدهم و نوزدهم مارس برگزار شد، تمامي مرورگرهاي IE، كروم، سافاري و فايرفاكس توسط محققين امنيتي هك شدند.
موزيلا مرورگر فايرفاكس نسخه 36.0.3 را در روز بيستم مارس با رويكرد ترميم مسائل امنيتي افشا شده در مسابقات Pwn2own عرضه كرد. متأسفانه موزيلا به سرعت متوجه شد كه يكي از اين ترميم‌ها كامل نيست و در نتيجه روز 21 مارس، فايرفاكس نسخه 36.0.4 را عرضه كرد كه به‌روز رساني مربوطه را به همراه داشت. ترميم به‌روز رساني شده در فايرفاكس 36.0.4 مربوط به يك آسيب‌پذيري با شناسه CVE-2015-0818 است كه يك مسأله دور زدن سياست منبع يكسان بوده و روز هجدهم مارس توسط ماريوس ميلينسكي اثبات شده بود.
فايرفاكس همچنين براي آسيب‌پذيري CVE-2015-0817 نيز اصلاح شده است كه يك آسيب‌پذيري جاوا اسكريپت است كه توسط يك محقق امنيتي ديگر با عنوان ilxu1a اثبات شده بود.

شماره: IRCNE2015032462
تاريخ: 08/01/94

شركت امنيت سيستم‌هاي مك Intego فاش كرد كه اپل به عنوان بخشي از سياست جديدي كه استثنائاتي را براي برنامه‌هاي آنتي‌ويروس و آنتي‌بدافزار تعريف مي‌كند، تعدادي از برنامه‌هاي ناشناخته امنيتي موبايل را از فروشگاه برنامه‌هاي iOS خود (iOS App Store) خارج كرده است.
مشخص كردن اين موضوع كه دقيقاً كدام برنامه‌ها از اين فروشگاه خارج شده‌اند نيازمند بررسي‌هاي بيشتري است. اما نرم‌افزار VirusBarrier iOS متعلق به شركت Intego كه در ماه جولاي سال 2011 عرضه شده بود قطعاً ديگر در ميان برنامه‌هاي اين فروشگاه وجود ندارد. همچنين به نظر مي‌رسد كه تعداد كمي از برنامه‌هاي كمتر شناخته شده ديگر (به خصوص برنامه‌هايي كه كلمه virus در عنوان آنها وجود دارد) نيز از اين فروشگاه حذف شده باشند.

شماره:IRCNE2015033261
تاريخ: 06/01/94

گوگل اعلام كرد كه گواهينامه‌هاي ديجيتال غيرمجاز و جعلي براي تعدادي از دامنه‌هاي اين شركت صادر شده است.
يك مهندس امنيت گوگل به نام آدام لنگلي گفت كه اين شركت از صدور گواهينامه‌هاي ديجيتال غيرمجاز براي چندين دامنه گوگل در 20 مارس آگاه شده است. اين مهندس اعلام كرد كه اين گواهينامه‌ها توسط يك مركز مياني صدور گواهينامه صادر شده است كه گوگل معتقد است متعلق به شركتي به نام MCS Holdins است كه يك شركت مصري است كه تحت مركز اطلاعات شبكه اينترنت چين (CNNIC) فعاليت مي‌كند.
به گفته لنگلي، CNNIC يك مركز معتبر بوده و در نتيجه گواهينامه‌هاي صادر شده توسط آن، مورد اعتماد تقريباً تمامي مرورگرها و سيستم عامل‌ها قرار دارد. البته پردازه‌اي به نام اتصال كليد عمومي كه به كلاينت‌هاي وب مي‌گويد كه كليدهاي عمومي رمزنگاري خاصي را با وب سرورهاي خاصي مرتبط كنند، كروم را روي سيستم‌هاي ويندوز، OS X و لينوكس، ChromeOS و فايرفاكس 33 و پس از آن را از قبول اين گواهينامه‌هاي جعلي بازمي‌دارد.
گوگل اعلام كرد كه به محض روشن شدن اين موضوع، در مورد اين حادثه امنيتي به CNNIC و ساير مرورگرهاي مهم اطلاع‌رساني كرده است و بلافاصله گواهينامه‌هاي MCS Holdings را در كروم مسدود كرده است. CNNIC توضيح داده است كه با MCS Holdings بر اساس صدور گواهينامه براي دامنه‌هايي كه اين مركز ثبت كرده است قرارداد بسته است. اما MCS به جاي نگهداري كليدهاي خصوصي در يك ماژول امن سخت‌افزاري مناسب، آن را روي يك پراكسي man-in-the-middle نصب كرده است.
پراكسي‌هاي man-in-the-middle ارتباطات امن را با وانمود كردن به اينكه مقصد واقعي ترافيك هستند مورد نفوذ قرار مي‌دهند. درصورتي‌كه يك بنگاه تجاري بخواهد از چنين پراكسي‌هايي براي مانيتور كردن ترافيك امن شبكه خود استفاده كند، كامپيوترهاي كارمندان بايد طوري تنظيم گردند كه اين پراكسي را پذيرفته و به آن اعتماد نمايند. اما در مورد MCS، به اين پراكسي اختيار كامل صدور مجوز داده شده است.
گوگل معتقد است كه ممكن است سايت‌هاي ديگري نيز با اين مشكل مواجه شده باشند.
گوگل به كاربران خود اطمينان داده است كه هيچ نشانه‌اي دال بر سوء استفاده مشاهده نشده است و كاربران كروم نياز به انجام هيچ كاري از جمله تغيير كلمه عبور را ندارند.

شماره:IRCNE2015033260
تاريخ: 06/01/94

به گزارش شركت امنيت شبكه FireEye، 1228 برنامه اندرويد كه 6.3 ميليارد دفعه از فروشگاه گوگل پلي دانلود شده‌اند همچنان در برابر نقص امنيتي FREAK آسيب‌پذير هستند.
تحقيق منتشر شده توسط اين شركت نشان مي‌دهد كه چطور برنامه‌هاي اندرويد و iOS همچنان در برابر حمله FREAK آسيب‌پذيرند.
FREAK يك ضعف رمزنگاري است كه به مهاجمان اجازه مي‌دهد داده‌هاي در حال انتقال بين يك وب‌سايت يا سيستم عامل آسيب‌پذير و سرورها را ملزم نمايند كه از پروتكل‌هاي ضعيف رمزنگاري استفاده كنند. درصورتيكه اين مسأله با يك حمله man-in-the-middle همراه شود، اين داده‌ها به لحاظ تئوري مي‌توانند مورد نفوذ قرار گيرد، چراكه كاربر به شكل ناآگاهانه در حال استفاده از يك رمزنگاري سطح پايين است.
به گزارش FireEye، هر دو پلتفورم اندرويد و iOS در برابر اين مسأله امنيتي آسيب‌پذير هستند. از آنجايي كه FREAK هم يك آسيب‌پذيري پلتفورم و هم يك آسيب‌پذيري نرم‌افزار است، حتي پس از عرضه اصلاحيه توسط گوگل و اندرويد ممكن است همچنان برنامه‌ها در هنگام اتصال به سرورهايي كه رشته‌هاي رمز RSA_EXPORT را مي‌پذيرند، آسيب‌پذير باشند.
محققاني با نام‌هاي يولانگ ژانگ، هوئي زو، تائو وي و ژائوفنگ چن، برنامه‌هاي فروشگاه گوگل پلي را مورد بررسي قرار دادند تا تخمين بزنند كه آسيب‌پذيري FREAK در حال حاضر تا چه حد جدي است. اين گروه 10985 برنامه مشهور را كه هريك بيش از يك ميليون بار دانلود شده بودند مورد بررسي قرار دادند و كشف كردند كه 11.2% از آنها، يعني 1228 برنامه همچنان در برابر اين نقص امنيتي آسيب‌پذير هستند، چرا كه از يك كتابخانه آسيب‌پذير OpenSSL براي اتصال به سرورهاي آسيب‌پذير HTTPS استفاده مي‌كنند.
در مجموع 664 برنامه از كتابخانه دروني OpenSSL در اندرويد استفاده كرده و 554 برنامه از كتابخانه‌هاي خاص خود استفاده مي‌كنند.
بنا به ادعاي محققان در مورد iOS اين عدد به 771 برنامه از 14079 برنامه مي‌رسد. يعني 5.5% از برنامه‌هاي مشهور iOS به سرويس‌هاي آسيب‌پذير متصل شده و در نتيجه در برابر حملات FREAK در iOS نسخه‌هاي پايين‌تر از 8.2 (كه اصلاح شده است) آسيب‌پذير هستند. علاوه بر اين، 7 برنامه از اين مجموعه نيز از نسخه‌هاي OpenSSL آسيب‌پذير خاص خود استفاده مي‌كنند و در iOS 8.2 نيز آسيب‌پذير باقي مي‌مانند.
به گفته FireEye، مهاجم بدون شكستن رمزنگاري در زمان واقعي، مي‌تواند ترافيك رمز شده شبكه را ضبط كرده، آن را رمزگشايي كرده و به اطلاعات حساس درون آن دست يابد.
براي مثال يك حمله FREAK روي يك برنامه خريد مي‌تواند براي سرقت اعتبارات لاگين و اطلاعات كارت اعتباري مورد استفاده قرار گيرد. بعلاوه، برنامه‌هاي پزشكي، برنامه‌هاي توليد و برنامه‌هاي مالي نيز مي‌توانند آسيب‌پذير باشند.