Number: IRCNE2015012406
Date: 2015/01/25

According to “zdnet”, Oracle's quarterly critical patch update includes security updates and patches for 169 problems affecting products including Java, Fusion Middleware, Enterprise Manager and MySQL.
The California-based company's January 2015 Critical Patch Update includes 8 vulnerability fixes for Oracle Database, such as one severe issue given a CVSS Base Score of 9 -- as it allows a full compromise of the targeted server.
In total, 36 new fixes have been issued for Oracle Fusion Middleware products, and the most severe received a rating of 9.3. Two of the Oracle Fusion Middleware vulnerabilities fixed in this Critical Patch Update can result in a server takeover.
10 new fixes have been included for Oracle E-Business Suite, 6 for Oracle Supply Chain Suite, 7 for Oracle PeopleSoft Enterprise, one for Oracle JDEdwards EnterpriseOne, 17 for Oracle Siebel CRM, and 2 for Oracle iLearning.
Out of 19 vulnerabilities, 15 affect client-only installations, 2 affect client and server installations, and 2 affect JSSE installations. However, considering how many critical updates in the past have predominantly focused on Java, this security fix rate is relatively low.
The executive also noted that threats associated with this update range include everything from reading and writing local data to complete "operating system takeover including arbitrary code execution." Naturally, complete system takeovers are the most severe threats, as this places a user's sensitive data at risk, allows an attacker to install malware, steal an identity or use a compromised system to infect others.

Number: IRCNE2015012405
Date: 2015/01/25

According to “zdnet”, vulnerabilities have been discovered in some versions of the popular VLC media player which may allow a cyberattacker to corrupt memory and potentially execute arbitrary code.
According to security researcher Veysel Hatas, who posted the discovery on Full Disclosure last week, one of the vulnerabilities is a DEP access violation vulnerability and the other is a write access flaw.
The VideoLAN project is a community of non-profit developers who create open-source multimedia tools. The VLC player is one of the most well-known results of this project, and acts as a cross-platform multimedia player and framework that plays most multimedia files as well as DVDs, Audio CDs, VCDs, and various streaming protocols.
The first security vulnerability, discovered on 24 November last year, is a flaw which is triggered as user-supplied input is not properly sanitized when handling a specially crafted FLV file. The second vulnerability, much the same, is triggered as user-supplied input is not properly sanitized when handling a specially crafted M2V file -- both of which may be malicious and lead to a "context-dependent attacker corrupting memory and potentially executing arbitrary code."
Considered severe, the flaws are present on version 2.1.5 of VLC media player, and were tested through Windows XP SP3. While this legacy operating system is no longer supported by Microsoft, many users worldwide have not yet updated and may be vulnerable.
The vulnerabilities were reported to the VideoLAN project on 26 December 2014, but no patch has been issued to fix the problem.

به تازگي تروجاني با نام XOR.DDoS كشف گرديده است كه احتمالاً مجموعه اي از سيستم ها را براي استفاده در حملات DDoS‌ آلوده ساخته است. اين تهديد جديد تنظيمات محيط لينوكسي قرباني را تغيير مي دهد و يك روت كيت را براي جلوگيري از شناسايي شدن، نصب مي نمايد.
نصب چنين روت كيتي روي لينوكس بسيار سخت است چرا كه به موافقت سيستم عامل قرباني نياز دارد. بنابراين مهاجمين تغييري در login پيش فرض كاربران نمي دهند بلكه از طريق تكنيك brute forceارتباط SSH كاربر rootاقدام مي نمايند. در صورت موفقيت تروجان را از طريق shell script نصب مي نمايد. اسكريپت شامل پروسه هايي مانند main، check، compiler، uncompress، setup ، generate ، upload ، upload و غيره و نيز متغيرهايي مانند __host_32__،__kernel__ ، __host_64__ و __remote__, است. سپس تروجان بررسي مي كند كه آيا با كرنل سيستم قرباني منطبق است يا نه و در اين صورت روت كيت را نصب مي نمايد.روت كيت سپس همه فايل هايي كه نشان دهنده آلودگي است، پنهان مي سازد، بنابراين كاربر نشانه هاي آلودگي را مشاهده نمي كند. پروسه اصلي رمزگشايي و انتخاب سرور دستور و فرمان متناسب با معماري سيستم است.
اين روت كيت اولين بار در حمله اي در اكتبر ۲۰۱۴ بكار رفته است و در دسامبر ۲۰۱۴ جزييات آن تا حدودي توسط گروه MalwareMustDie شناسايي شده است.
اين تروجان و متغيرهاي آن مي تواند وب سرورها و ميزبان هاي ۳۲ و ۶۴ بيتي همچنين معماري ARM ها در روترها، تجهيزات loT سيستم هاي ذخيره سازي و سرورهاي ARM ۳۲ بيتي را تحت تاثير قرار دهد.اگرچه تاكنون تعداد زيادي سيستم آلوده به اين تروجان كشف نگرديده است، اما مواردي هم كه مشاهده شده است از الگوي خاصي پيروي نمي كند. اين مورد تروجان هم سازمان ها و هم افراد عادي را مي تواند آلوده نمايد ولي سازمان ها معمولاًداراي امنيت بالاتري هستند.
پيشنهاد مي گردد جهت جلوگيري از آلودگي به اين تروجان از انتي ويروس هاي معتبر و به روز رساني استفاده نماييد ، همچنين در صورت استفاده از ssh از اسم رمز هاي قوي استفاده نماييد.
منبع:
بر طبق جديد ترين پژوهش انجام شده به سفارش كمپاني Cloudmark بيش از 75 درصد سازمان ها در ايالات متحده و انگلستان حداقل يك بار حمله DNS را تجربه كرده اند كه اين حمله در 66درصد از آنها در ايالات متحده در طول 12ماه رخ داده است.
بررسي امنيت DNS بر اساس 300 مركز تصميم گيري فناوري اطلاعات با سازمان هايي كه حداقل 1000 نفر پرسنل در بخش هاي سرويس مالي، IT، ساخت و توليد،خرده فروشي، توزيع و بخش حمل و نقل مي باشد انجام شده كه 200 مورد از ان ها در ايالات متحده و 100 مورد در انگلستان مي باشد.
74 درصد از از كساني كه حداقل يك بار حمله DNS را تجربه كرده اند، اظهار داشتند كه سازمان توسط يك حمله انكار سرويس ((DDoS از طريق مكاتبات ايميلي با CMagazine.com به هدف قطع اينترنت و يا وقفه در سرويس دهي روبرو بوده است.
در مكاتبات سه شنبه يك ايميل، آقايTom Landesman(محقق امنيتي شركت( Cloudmark گفت كه مهاجمان CMagazine.com قادر به راه اندازي حملات DDoS از طريق Dns Amplifications و فرسودگي منابع مي باشند.
Landesman بيان داشت كه : آنها يك دامنه مخرب با سوابق منابع بسيار بزرگ با هدف اجراي يك حمله تقويت DNS راه اندازي مي نمايند. هنگامي كه دامنه هاي مخرب ايجاد شد كوءري ها توسطIP جعلي به يك آدرس IP جعلي از سرويس دهنده resolvers DNS باز نموده و به اين ترتيب حمله DDOS شكل مي گيرد.
Landesman گفت حملات DDoS به احتمال زياد، حمله شماره اول DNS بوده كه به دليل تلاش حداقل و منابع مورد نياز مهاجم پايان مي يابد. وي افزود كه ايجاد سناريو حملات DDoS در آن سازمان هايي است كه متمركز بر تعديل بوده و اين در حالي است كه آلودگي مخرب و سرقت داده ها ممكن است در جاي ديگر در شبكه اتفاق مي افتد.
به عنوان يك نتيجه از حملات DNS ،شصت و سه درصد از سازمان ها تجربه از دست دادن اينترنت ،42 درصد شكايات مشتريان را تجربه، 34 درصد اطلاعات حساس و مهم كسب و كار و اطلاعات محرمانه مربوط به مشتري را از دست داده و 30 درصد تجربه از دست رفتن درآمد را داشته اند.
به دنبال حمله DNS هزينه هاي بازسازي و عملياتي نيز در نظر گرفته شده با اين حال پاسخ دهندگان با تاكيد به حفظ مشتري و شهرت نام تجاري به عنوان بزرگترين دغدغه روبرو بوده اند. Landesman گفت كه حملات DNS با فشار قرار دادن زيرساخت ها و منابع سازمان مي تواند منجرب به از دست رفتن درآمد شود.
نزديك به 70 درصد از پاسخ دهندگان اظهار داشته اند كه سازمان يك راه حل امنيتي DNS براي محافظت در برابر حملات DNS ايجاد نموده است.
Landesman گفت: مهم اين است كه سازمان برنامه حفاظت DNS را به استراتژي امنيتي كلي خود تبديل نمايد. و اين درحاليست كه فقط تمام سازمان ها با يك روال سنتي توسط آنتي ويروس و فايروال براي جلوگيري از آسيب پذيريها پرداخته اند.

پيرو انتشار خبر هك شبكه اجتماعي برخط فيس نما، بررسي هاي مركز ماهر با همكاري مسئولين سايت مذكور نشان داد دليل وقوع حادثه عدم پيكر بندي مناسب و به موقع سامانه بوده است كه منجر به ايجاد يك آسيب پذيري قابل بهره گيري توسط مهاجم شده است، اين حادثه ارتباطي با موضوع انتقال و ميزباني سايت مذكور نداشته و اين سايت از يك سال و نيم پيش در قضاي ميزباني داخل كشور بارگذاري شده است.
امنيت هر سرويس ارائه شده بر بستر شبكه وابسته به نرم افزارها و سخت افزارهاي بكار رفته جهت ارائه خدمات و همچنين پيكربندي و تنظيم درست آنهاست. با توجه به اينكه سخت افزارها و نرم‌افزارهاي سرويس دهي چه در داخل كشور و چه در خارج كشور عموما يكسان هستند، لذا امنيت سرويس‌هاي ارائه شده عمدتا متوجه پيكربندي مناسب و به ويژه نرم‌افزارهاي توسعه يافته اختصاصي جهت سرويس دهي است.

شماره: IRCNE2014122404
تاريخ: 29/09/93

با توجه به تحقيقات صورت گرفته، بيشترين آسيب پذيري هاي امنيتي كشف شده مربوط به مرورگر گوگل كروم مي باشد. شركت امنيتي Secunia تنها در ماه اكتبر 162 آسيب پذيري را در كروم افشاء كرده است. پس از كروم Avant با 159 آسيب پذيري و iTunes با 83 آسيب پذيري در رده هاي بعدي قرار گرفته اند.
با اين وجود، اين شركت اعلام كرد كه دليل بالا بودن تعداد آسيب پذيري هاي كشف شده وجود يك سيستم كشف پيشرفته در شركت گوگل است. تقريبا اكثر مواقع اين آسيب پذيري هاي توسط خود شركت گوگل كشف و افشاء مي شوند در نتيجه پيش از آنكه اين آسيب پذيري ها كشف شده و مورد سوء استفاده قرار بگيرد اين شركت آن ها را اصلاح مي كند.
نه تنها شركت گوگل داراي پيشرفته ترين سيستم تشخيص آسيب پذيري است بلكه پاداش هايي نيز براي كساني كه آسيب پذيري هاي كشف شده را اطلاع مي دهند در نظر گرفته است و هكرهاي كلاه سفيد و محققان را تشويق مي كند تا آسيب پذيري هاي كشف شده را اطلاع داده و پاداش دريافت نمايند.
لازم به ذكر است كه تعداد آسيب پذيري هاي كشف شده هر ساله 40 درصد افزايش مي يابد.

شماره: IRCNE2014122402
تاريخ: 29/09/93

شركت كسپراسكي گونه جديدي از بدافزار زئوس را كشف كرده است كه موسسات مالي دنيا را هدف قرار داده است.
اين شركت اعلام كرد كه آخرين گونه بدافزار زئوس در مجموع 150 بانك مختلف و 20 سيستم پرداخت مالي را در سراسر دنيا هدف قرار داده است و تمركز آن بيشتر بر روي بانكداري آنلاين بوده است. در مجموع 15 كشور از جمله انگلستان، امريكا، اسپانيا، روسيه ، ژاپن و ايتاليا هدف حملات اين بدافزار قرار گرفتند.
شركت امنيتي كسپراسكي نام اني گونه از بدافزار زئوس را Trojan-Banker.Win32.Chthonic ناميده است. بدافزار زئوس يكي از خرابكارترين بدافزارهاي شناخته شده است است كه در حملات سايبري مختلفي از آن استفاده شده است. بانك ها يكي از اساسي ترين اهداف اين كد خرابكار بوده است اما زئوس در كمپين هاي سرقت هويت نيز مورد استفاده قرار گرفته است.
بدافزار Chthonic كه ماشين هاي ويندوز را تحت تاثير قرار مي دهد در ايميلي كه حاوي اسناد RTF خرابكار است كشف شده است. پس از بازشدن اين سند، بدافزار با استفاده از بات Andromeda بر روي ماشين قرباني نصب مي شود و كدي مخرب را به فرآيند msiexec.exe تزريق مي كند. در نتيجه ماشين قرباني آلوده مي شود و مجرمان مي توانند از راه دور به سيستم متصل شده و تراكنش هاي غيرمجاز را انجام دهند. اگر قرباني سعي كند از طريق اين ماشين به سيستم بانكداري آنلاين متصل شود، اين بدافزار داده هاي حساس مانند شماره تلفن، نام كاربري، رمز عبور، PINها و ساير اطلاعات را ردگيري كرده و براي هكر ارسال مي كند.
اين گونه از بدافزار زئوس توانايي ثبت ضربات صفحه كليد، سرقت ميكروفون و جاسوسي وبكم را دارد.

شماره: IRCNE2014122402
تاريخ: 29/09/93

محققان امنيتي Check Point يك آسيب پذيري امنيتي بسيار جدي را كشف كردند كه حداقل 12 ميليون مسيرياب SME و خانگي را تحت تاثير قرار مي دهد.
اين آسيب پذيري ‘Misfortune Cookie’ ناميده شده است و اين شركت قصد دارد تا جزييات مربوط به آن را در كنفرانس امنيتي كه به زودي برگزار مي شود نشان دهد. اين بدان معنا است كه تاكنون حملاتي با سوء استفاده از اين آسيب پذيري رخ نداده است.
محققان اظهار داشتند مهاجمي كه از اين آسيب پذيري سوء استفاده مي كند قادر است تا تمامي داده هايي كه از دروازه ورودي عبور مي كنند مانند قايل ها، ايميل ها و لاگين ها را مانيتور كند و هم چنين مي تواند دستگاه ها را به بدافزار آلوده نمايد. وقوع حملات MitM امكان پذير است.
منبع دقيق اين مساله ناشناخته است و تا كنون محققان تنها به تراشه SDK مشكوك مي باشند. شركت Check Point هشدار مي دهد كه بيش از 200 مدلي كه از RomPager استفاده مي كنند بدون اصلاحيه مي باشند و احتمالا نسبت به اين مشكل آسيب پذير هستند.
محققان بر اين باورند كه كاربران خانگي مارك هايي از قبيل RomPager، D-Link، Edimax، Huawei، TP-Link، ZTE و ZyXEL احتمالا تحت تاثير اين آسيب پذيري قرار دارند.
اين مشكل 10 سال پيش كشف شده است و سه سال بعد اصلاحيه اي براي آن منتشر شده است. اما هم چنان بسياري از تراشه ها در سراسر دنيا اين اصلاحيه ها را دريافت نكرده و آسيب پذير مي باشند.

Number: IRCNE2014122404
Date: 2014/12/20

According to “itpro”, Google Chrome has the highest level of detected vulnerabilities, while Avant haa the second highest, according to research.
Security detection company Secunia exposed 162 Chrome threats in October alone, which is quite a hike from its August number of 64. Avant claimed 159, while the third in line was iTunes with 83.
However, the firm said the reason the number is so high is because Google has the most advanced detection system in the industry, meaning it's probably more secure than others that have lower readings.
Kasper Lindgaard, Secunia’s director of research and security, said: "It is almost always Google themselves who disclose the vulnerabilities," meaning it's safer to use "due to the vendor proactively hunting down and fixing vulnerabilities before anyone knows about them”.
Not only does Google have a stringent in-house vulnerability detection system, it also offers attractive rewards to those outsiders who uncover risks, encouraging white hat hackers and security researchers to report any vulnerabilities they detect in return for a bounty.

Number: IRCNE2014122403
Date: 2014/12/20

According to “zdnet”, Kaspersky has discovered a fresh ZeuS malware strain which has targeted financial institutions worldwide.
The company says the banking trojan's latest form has targeted a total of 150 different banks and 20 payment systems worldwide; focusing on the infiltration of online banking. In total, 15 countries have been attacked, including the United Kingdom, United States, Spain, Russia, Japan and Italy.
The security firm dubbed the new ZeuS strain Trojan-Banker.Win32.Chthonic, and reported its findings in a blog post Thursday.
ZeuS is a nasty form of malware which has been tailored for different cyberattacks. Banks have been a major target of the malicious code, but ZeuS has also been discovered in phishing campaigns and attacks focused on Salesforce.com accounts.
Chthonic, which impacts Windows machines, has been discovered in emails containing exploits hidden within RTF documents. Once the document is opened, the malware is downloaded to victim machines using the Andromeda bot, which then injects code into the msiexec.exe process.
Now the victim's computer is compromised, criminals can connect to the system remotely and force it to carry out fraudulent transactions. If a victim tries to access an online banking system, the malicious code kicks in and intercepts sensitive data including phone numbers, usernames, passwords, PINs and other information -- which is then sent onwards to the hacker.
The ZeuS strain also contains keylogging, microphone hijacking and webcam-spying capabilities.

Number: IRCNE2014122402
Date: 2014/12/20

According to “techworld”, researchers at Check Point have discovered a serious security vulnerability affecting at least 12 million leading-brand home and SME routers that appears to have gone unnoticed for over a decade.
Dubbed the ‘Misfortune Cookie’ flaw, the firm plans to give a detailed account of the issue at a forthcoming security conference but in the meantime it’s important to stress that no real-world attacks using it have yet been detected.
That said, an attacker exploiting the flaw would be able to monitor all data travelling through a gateway such as files, emails and logins and have the power to infect connected devices with malware. Man-in-the-middle attacks would also be possible, according to Check Point.
The precise source of the issue is not known - a chipset software development kit (SDK) is suspected – but Check Point warned that up to 200 unpatched models using the RomPager embedded web server software (which uses a remote service called TR-069) prior to version 4.34 were probably vulnerable.
Given the popularity of RomPager and the list of affected brands - D-Link, Edimax, Huawei, TP-Link, ZTE, and ZyXEL sold mainly to home users – such pessimism is realistic.