شماره: IRCNE2015022438
تاريخ: 08/12/93

اخيرا حمله اي مبتني بر ايميل در برزيل كشف شده است كه مي تواند ترافيك وب قرباني را شنود كند.
اين روش براي دسترسي به كنسول مديريتي از يك نقص امنيتي در مسيرياب هاي خانگي سوء استفاده مي كند. پس از سوء استفاده، هكرها تنظيمات DNS مسيرياب را تغيير مي دهند.
شركت امنيتي Proofpoint در وبلاگي نوشت: راه اندازي اين حمله از طريق ايميل صورت مي گيرد و به حمله pharming شهرت دارد.
يك حمله pharming موفقيت آميز بدين منظور است كه كاربر با وجود وارد كردن يك نام دامنه صحيح به سمت يك وب سايت جعلي هدايت مي شود. هم چنين مهاجم مي تواند يك حمله MitM را راه اندازي نمايد و ايميل ها، اعتبارنامه هاي ورودي و رمز عبور وب سايت ها را ردگيري نمايد.
حدود 100 ايميل آلوده شناسايي شده است كه حاوي لينك هاي مخرب بوده است و كاربران با كليك كردن بر روي اين لينك ها به يك سرور كه حملات pharming را هدايت مي كند متصل شده اند. اين سرور به گونه اي تنظيم شده است كه از آسيب پذيري CSRF در مسيرياب ها سوء استفاده مي كند.
اگر حمله با موفقيت صورت گيرد، مهاجمان مي توانند به پنل كنسول مديريتي مسيرياب دسترسي يابند و به اميد آن كه كاربر اعتبارنامه هاي ورودي پيش فرض را تغيير نداده است، آن ها را وارد نمايند. اگر اين اتفاق بيفتد، آن ها مي توانند تنظيمات سرور DNS را تغيير دهند و هر كامپيوتري كه از اين DNS استفاده نمايد به طور بالقوه در معرض خطر قرار مي گيرد.
اين شركت امنيتي توصيه مي كند كه كاربران اعتبارنامه هاي ورودي پيش فرض مسيرياب هاي خود را تغيير دهند.

شماره: IRCNE2015022437
تاريخ: 08/12/93

شركت امنيتي GFI اظهار داشت كه پلت فرم هاي دسكتاپ و موبايل اپل نسبت پلت فرم هاي ويندوز و لينوكس آسيب پذيري بيشتري دارند.
محقق امنيتي، Cristian Florian گفت: OS X با 147 آسيب پذيري در صدر قرار دارد و پس از آن iOS با 127 آسيب پذيري در رده دوم جاي مي گيرد. هم چنين پلت فرم هاي لينوكس با 119 آسيب پذيري و ويندوز با 36 آسيب پذيري در رده هاي بعدي قرار مي گيرند.
در اين گزارش نيز به سطح مخاطره آميز بودن هر يك از اين آسيب پذيري ها پرداخته شده است و توضيح داده است كه شدت اين آسيب پذيري ها در OS X بيشتر از مابقي پلت فرم ها است.
Florian در وبلاگي نوشت: سال 2014، از نظر امنيتي سال سختي براي كاربران لينوكس بوده است زيرا تعدادي از مهم ترين مشكلات امنيتي در اين سال براي برنامه هاي كاربردي كه معمولا بر روي پلت فرم لينوكس اجرا مي شوند، گزارش شده است. به عنوان مثال، Heartbleed يك آسيب پذيري بحراني در OpenSSL بود و Shellshock يك آسيب پذيري در GNU Bash بود.
بيش از 80 درصد از مشكلات مربوط به برنامه هاي كاربردي شركت هاي ثالث بوده است و مشكلات مربوط به سيستم عامل توليدكنندگان تنها 13 درصد را شامل مي شود.
Florian در ادامه نوشت: در نهايت، ادمين هاي IT بايد به تمامي محصولات روي شبكه توجه نمايند و تمركز خود را تنها بر روي محصولات داراي آسيب پذيري محدود نكنند. هر يك از محصولات نرم افزاري در هر زماني مي تواند مورد سوء استفاده قرار گيرد و يكي از كليدهاي جلوگيري از اين مشكلات نصب اصلاحيه ها و به روز بودن نرم افزارها مي باشد.

Number: IRCNE2015022437
Date: 2015/02/27

According to “itpro”, Security firm GFI has revealed that Apple's mobile and desktop platforms have more vulnerabilities than either Linux or Windows, making it the buggiest around.
Researcher Cristian Florian revealed that OS X had the most issues, logging 147 vulnerabilities, while iOS came in at a close second with 127. Linux was next highest with 119 and Windows, although fragmented into iterations, had the fewest with an average of 36 on the seven versions studied.
The report also plotted the level of risk from each of these vulnerabilities and explained the severity of bugs in OS X was higher than any other with 64 threats described as high risk, while iOS had half this amount and Linux clocked in with just 34 high-security vulnerabilities.
Florian wrote in a blog post: "2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash."
More than 80 per cent of the bugs originated from third-party applications, with only 13 per cent were down to the operating system itself.
Florian said in his blog post: "At the end of the day, however, an IT admin’s attention should be on ALL products in his network and not limited to those at the top of the vulnerability list; neither should the assumption be made that those further down the list are safer. Every software product can be exploited at some point. Patching is the answer and that is the key message."

شماره: IRCNE2015022436
تاريخ: 07/12/93

بات نت Ramnit كه به نظر مي رسد بيش از 3.2 ميليون كامپيوتر ويندوز را آلوده كرده است، از كار افتاد.
به نظر مي رسد اين بات نت از اواخر سال 2010 مشغول فعاليت بوده است و بيش از ده ها هزار اعتبارنامه ورودي فيس بوك، جزئيات بانكداري آنلاين و هم چنين رمزهاي عبور، كوكي ها و اطلاعات شخصي كاربران را به سرقت برده است.
بنا به گزاشات، بدافزار مربوطه از طريق آلوده نمودن فايل هاي اجرايي ذخيره شده در درايو سخت PC و كپي كردن خودش گسترش يافته است.
شركت آنتي ويروس سايمانتك وجود اين بات نت را تاييد كرده است و هم چنين ابزاري را براي شناسايي اين بدافزار منتشر كرده است.

شماره: IRCNE2015022435
تاريخ: 07/12/93

بيش از يك ميليون سايت وردپرس به طور بالقوه در معرض خطر حملات هك قرار دارند. اين مساله به علت افشاي يك آسيب پذيري بحراني در پلاگين WP-Slimstat اتفاق افتاده است.
روز سه شنبه، محقق امنيتي Marc-Alexandre Montpas از شركت امنيتي Sucuri در يك راهنمايي امنيتي اظهار داشت يك آسيب پذيري بحراني در نسخه 3.9.5 پلاگين WP-Slimstat و نسخه هاي پيش از آن وجود دارد كه مي تواند به مجرمان سايبري اين امكان را بدهد تا كليد سري پلاگين را بشكنند و حمله تزريق SQL را پياده سازي كرده و كنترل وب سايت هدف را در اختيار بگيرند.
اين مشكل امنيتي در تمامي نسخه هاي پلاگين به استثناي نسخه 3.6 يافت شده است.
محققان امنيتي بر اين باور هستند كه اين مشكل مي تواند منجر به سوء استفاده از پايگاه داده، ارتباط ربايي و سرقت اطلاعات حساس مانند نام كاربري، رمزهاي عبور درهم سازي شده و به طور بالقوه دسترسي به كليدهاي خصوصي وردپرس شود.
با توجه به كتابخانه پلاگين هاي وردپرس، پلاگين WP-Slimstat بر روي بيش از 1.3 ميليون وب سايت دانلود شده است. اگر فردي از اين پلاگين بر روي وب سايت خود استفاده مي كند بايد اطمينان حاصل كند كه CMS به روز شده است و آخرين نسخه اين پلاگين را دانلود نمايد.

Number: IRCNE2015022436
Date: 2015/02/26

According to “itpro”, the long-running Ramnit botnet, which is thought to have infected 3.2 million Windows computers, has been shutdown, thanks to the combined efforts of Europol and the vendor community.
The botnet is thought to have been operational since at least 2010, and has previously been implicated in the theft of tens of thousands of Facebook logins and online banking details.
Its malware is reportedly spread by infecting executable files stored on PC hard drives with copies of itself, as its operators sought to build their botnet.
In a blog post by Symantec, published earlier today, the anti-virus vendor confirmed their collective work had resulted in a number of servers owned by the cyber criminals behind Ramnit being seized, along with other parts of their computing infrastructure.
The company has also released a tool, accessible here, for anyone concerned their PC may have been infected by Ramnit.

Number: IRCNE2015022435
Date: 2015/02/26

According to “zdnet”, over one million websites running the WordPress content management system are potentially at risk of being hijacked due to a critical vulnerability exposed in the WP-Slimstat plugin.
On Tuesday, a security advisory posted by researcher Marc-Alexandre Montpas from security firm Sucuri said the "very high risk" vulnerability found in versions of WP-Slimstat 3.9.5 and lower could lead to cyberattackers being able to break the plugin's "secret" key, perform an SQL injection and take over a target website.
The security bug is found in all versions of the analytics plugin except the latest 3.6 version.
WP-Slimstat uses a "secret" key to sign data sent to and from a visiting computer. However, Sucuri says the key is easily guessable, as it is just a hashed version of the plugin's installation timestamp -- and by using a website like Internet Archive, the key could be guessed within only minutes based on the year the site appeared online. According to the team, this would leave roughly 30 million values to test, something which is doable in only 10 minutes on modern computer systems.
Once this information has been acquired, an SQL injection can be performed.
The security researchers say the bug could lead to database exploits, hijacking and the theft of sensitive information including usernames, hashed passwords, and potentially access to WordPress Secret Keys which could lead to total site takeover.
WP-Slimstat is an analytics tool which includes a real-time website activity log, heatmaps, email reports, data exports, platform and browser detection as well as IP geolocation. The plugin is available in multiple languages and is free with premium bolt-ons.
According to the WordPress plugin library, WP-Slimstat has been downloaded over 1.3 million times. If you run this plugin on your website, you should make sure your CMS is up-to-date and download the latest version of the software.

شماره: IRCNE2015022434
تاريخ: 06/12/93

محققان امنيتي به كاربران نرم افزار سامبا هشدار دادند كه به منظور اصلاح يك آسيب پذيري، به روز رساني هاي امنيتي جديد اين نرم افزار را نصب نمايند. اين آسيب پذيري بحراني به مهاجمان اجازه مي دهد تا از راه دور و با حق دسترسي root كدي دلخواه را اجرا نمايند.
نرم افزار سامبا يك پياده سازي از پروتكل شبكه SMB/CIFS مي باشد كه باعث مي شود سيستم هاي شبيه يونيكس مانند لينوكس، BSD، سولاري و Mac OS X بتوانند فايل ها و پرنترها را با سيستم هاي ويندوز به اشتراك بگذارند. هم چنين اين نرم افزار باعث مي شود تا اين سيستم ها بتوانند با محيط اكتيو دايركتوري ويندوز يكپارچه شده و حتي به عنوان كنترل كننده دامنه عمل نمايند.
اين آسيب پذيري جديد در فايل سرور smbd قرار گرفته است و توسط Richard van Eeden از گروه تحقيقات آسيب پذيري ويندزو كشف شده است.
گروه امنيتي Red Hat در وبلاگي نوشت: اين آسيب پذيري مي تواند توسط يك كلاينت خرابكار سامبا و از طريق ارسال بسته هاي دستكاري شده خاص به سرور سامبا مورد سوء استفاده قرار بگيرد. براي سوء استفاده از اين نقص هيچگونه تاييد هويت نياز نيست. اين مساله مي تواند باعث شود تا مهاجمان بتوانند از راه دور و با دسترسي root كدي دلخواه را اجرا نمايند.
تمامي نسخه هاي سامبا از 3.5.0 تا4.2.0rc4 آسيب پذير مي باشند. گروه پروژه سامبا براي اصلاح اين مشكل نسخه هاي 4.2.0rc5، 4.1.17، 4.0.25 و 3.6.25 را منتشر كرده است.
براي سامبا نسخه 4.0.0 و نسخه هاي پس از آن يك چارچوب كاري دستي وجود دارد كه شامل افزودن يك خط كد rpc_server:netlogon=disabled به بخش [global] در فايل smb.conf مي باشد.
كاربران بايد در اسرع وقت به روز رساني هاي موجود براي سامبا را بر روي سيستم هاي خود نصب نمايند.

Number: IRCNE2015022434
Date: 2015/02/24

According to “computerworld”, security researchers are urging users to install new Samba security updates in order to address a critical vulnerability that allows attackers to execute arbitrary code with root privileges.
Samba is an implementation of the SMB/CIFS networking protocol that enables Unix-like systems, including Linux, BSD, Solaris and Mac OS X to share files and printers with Windows computers. It also allows such systems to be integrated into Microsoft Active Directory environments and even act as domain controllers.
The new vulnerability is located in the smbd file server and was discovered by Richard van Eeden of Microsoft Vulnerability Research.
"It can be exploited by a malicious Samba client, by sending specially-crafted packets to the Samba server," the Red Hat security team said in a blog post. "No authentication is required to exploit this flaw. It can result in remotely controlled execution of arbitrary code as root."
All versions of Samba from 3.5.0 to 4.2.0rc4 are vulnerable. The Samba project released versions 4.2.0rc5, 4.1.17, 4.0.25 and 3.6.25 to address the issue and also made code patches available.
For Samba 4.0.0 and above there is a manual workaround that involves adding the line rpc_server:netlogon=disabled to the [global] section in the smb.conf file.

شماره: IRCNE2015022433
تاريخ: 05/12/93

به كاربران آيفون و آي پد هشدار داده شده است كه يك حمله هكMasque Attack II وجود دارد و مي تواند به طور بالقوه دستگاه هاي آن ها را در معرض خطر سرقت اطلاعات قرار دهد.
محققان امنيتي FireEye براي اولين بار نقص Masque را در نوامبر 2014 كشف كردند كه ميتوانست به برنامه هاي كاربردي مخرب اجازه دهد تا جايگزين نوع enterprise خود بر روي دستگاه شوند. در حال حاضر محققان به نتايج كامل تري در خصوص اين نقص دست يافته اند.
اين گروه در وبلاگي توضيح داده اند: ما دريافتيم زماني كه يك الگوي iOS URL فراخواني مي شود، iOS برنامه هايenterprise-signed ثبت شده را براي مديريت الگوي URL بدون در نطر گرفتن اعتماد راه اندازي مي كند. اين مساله كه آيا قبلا اين برنامه هاي enterprise-signed توسط كاربر راه اندازي شده است يا خير اهميتي ندارد.
تيم تحقيقاتي FireEye اعلام داشت كه حتي اگر كاربر هميشه بر روي ‘Don't Trust' اين قبيل برنامه ها كليك كرده است، هم چنان iOS اين برنامه ها را مستقيما بر روي الگوي URL خود راه اندازي مي كند و اين بدين معناست كه مي تواند نتايج غيرمنتظره اي را شامل شود.
به بيان ديگر، هنگامي كه كاربر بر روي لينكي در SMS، mailiOS يا اينباكس گوگل كليك كند، iOS بدون تاييد گرفتن از كاربر در خصوص مورد اعتماد بودن يا نبودن برنامه، برنامه هاي enterprise-signed را راه اندازي مي كند.
اين مساله باعث مي شود تا نسخه هاي مخرب برنامه بتواند به جاي نسخه هاي امن آن اجرا شود و به طور بالقوه باعث شود تا هكرها داده هاي محرمانه كاربر را به سرقت برده يا دستگاه مذكور را با مشكل مواجه كند.
تيم تحقيقاتي FireEye به كاربران iOS هشدار مي دهد كه هنگام كليك كردن بر روي لينك هاي ناشناس به خصوص هنگامي كه اين لينك ها توسط پيام كوتاه، ايميل يا MMS ارسال شده است جانب احتياط را رعايت نمايند.
اين شركت اعلام كرد كه براي كاهش اثرات مخرب اين نقص امنيتي كاربران بايد در اسرع وقت دستگاه هاي خود را به نسخه 8.1.3 به روز رساني نمايند.