شماره: IRCNE2014112386
تاريخ: 8/9/93

بيش از 23000 وب سرور توسط يك backdoor به نام CryptoPHP كه به تم‌ها و پلاگين‌هاي تقلبي سيستم‌هاي مديريت محتواي مشهور چسبيده است آلوده شده‌اند.
CryptoPHP يك اسكريپت خرابكار است كه حملات راه دور را با قابليت اجراي كد خرابكار روي سرورهاي وب و تزريق محتواي خرابكارانه به وب‌سايت‌هاي ميزباني شده بر روي آنها فراهم مي‌كند.
به گزارش شركت هلندي Fox-IT كه هفته گذشته گزارشي در مورد اين تهديد منتشر كرد، اين backdoor ابتدا براي بهينه سازي موتورهاي جستجو به شيوه كلاه سياه‌ها مورد استفاده قرار گرفت. اين كار شامل تزريق كلمات كليدي و صفحات جعلي به سايت‌هاي مورد سوء استفاده براي سرقت رتبه آنها در موتورهاي جستجو و قرار دادن محتواي خرابكارانه در رده بالاتري در نتايج جستجوي موتورهاي جستجو مي‌باشد.
بر خلاف اغلب backdoor هاي وب‌سايت، CryptoPHP با سوء استفاده از آسيب‌پذيري‌ها نصب نمي‌شود. بلكه مهاجمان نسخه‌هاي جعلي پلاگين‌ها و تم‌هاي جعلي جوملا، وردپرس و دروپال را از طريق چندين سايت منتشر كرده و منتظر مي‌مانند تا مديران سايت‌ها آنها را بر روي سايت‌هاي خود دانلود و نصب نمايند. اين پلاگين‌ها و تم‌هاي جعلي حاوي CryptoPHP هستند.
وب‌سرورهاي آلوده با CryptoPHP مانند يك بات‌نت عمل مي‌كنند. آنها با استفاده از يك كانال ارتباطي رمزشده به سرورهاي دستور و كنترل هدايت شده توسط مهاجمان متصل شده و به دستورات آنها گوش مي‌كنند.
Fox-IT با كمك مركز امنيت سايبري ملي دولت هلند و چند سازمان مبارزه با جرايم سايبري، كنترل دامنه‌هاي دستور و كنترل CryptoPHP را در اختيار گرفته و آنها را به سرورهايي تحت كنترل خود براي جمع‌آوري آمار هدايت كرده است.
محققان Fox-IT روز چهارشنبه اعلام كردند كه در مجموع 23693 آدرس آي‌پي به اين سرورها متصل شده‌‎اند. البته تعداد وب‌سايت‌هاي تحت تأثير احتمالاً بيشتز است، چرا كه برخي از اين آدرس‌هاي آي‌پي به سرورهاي ميزباني وب اشتراكي متعلق هستند كه بيش از يك سايت آلوده دارند.
پنج كشور برتر در مورد آلودگي CryptoPHP عبارتند از ايالات متحده آمريكا (با 8657 آدرس آي‌پي)، آلمان (با 2877 آدرس آي‌پي)، فرانسه (با 1231 آدرس آي‌پي)، هلند (با 1008 آدرس آي‌پي) و تركيه (با 749 آدرس آي‌پي).
از آنجا كه Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر كرد، مهاجمان وب‌سايت‌هايي را كه ميزبان پلاگين‌ها و تم‌هاي جعلي بودند از كار انداخته و وب‌سايت‌هاي جديدي راه‌اندازي كرده‌اند. آنها احتمالاً جهت جلوگيري از شناسايي، نسخه جديدي از اين backdoor نيز ارائه كرده‌اند.
محققان Fox-IT دو اسكريپت Python روي GitHub عرضه كرده‌اند كه مديران سايت‌ها مي‌توانند جهت اسكن سرورها و سايت‌ها در مورد آلودگي CryptoPHP از آنها استفاده نمايند. آنها همچنين دستورات حذف اين backdoor را در بلاگ خود منتشر كرده‌اند، اما تأكيد كرده‌اند كه نهايتاً بهتر است سيستم مديريت محتواي آلوده را به كلي پاك كنيد.

شماره: IRCNE2014112385
تاريخ: 8/9/93

Weather.com يك آسيب‌پذيري امنيتي در برنامه وب خود را برطرف كرد كه تقريباً تمامي لينك‌ها را در برابر حملات XSS آسيب‌پذير مي‌ساخت.
يك دانشجوي دكتراي دانشگاه صنعتي نانيانگ سنگاپور به نام ونگ جين، كشف كرد كه بيش از 75% از صفحات وب در Wheather.com آسيب‌پذير بوده‌اند.
به گفته ونگ، مهاجمان فقط كافي است كه اسكريپت را به انتهاي URL كانال Weather اضافه كنند، سپس اين اسكريپت‌ها اجرا مي‌شوند.
ونگ يافته‌هاي خود را در يك فروم ارسال كرده و نوشت كه اكنون اين مسأله ترميم شده است. وي نوشت كه ده‌ها هزار لينك Weather.com را با استفاده از ابزاري تست كرده و ويدئويي كه اثبات كننده اين حمله است را ارسال كرد.
به گزارش Open Web Application Security Project (OWASP)، حملات XSS در سال گذشته سومين حمله معمول با استفاده از آسيب‌پذيري‌هاي برنامه‌هاي وب بوده است. يك نقص امنيتي XSS زماني اتفاق مي‌افتد كه يك برنامه داده‌هاي غيرقابل اطمينان را پذيرفته و آن را بدون اعتبارسنجي به مرورگر وب ارسال مي‌كند.
بنا بر گزارش OWASP، XSS به مهاجمان اجازه مي‌دهد اسكريپت‌ها را در مرورگر قرباني اجرا نمايند كه مي‌تواند منجر به سرقت session هاي كاربر، تغيير صورت وب‌سايت‌ها يا انتقال كاربر به سايت‌هاي خرابكار گردد.
به گفته ونگ، اين حمله بدون لاگين كردن كاربر كار مي‌كرده است. وي اين حمله را با استفاده از فايرفاكس نسخه 26 در اوبونتو نسخه 12.04 و با اينترنت اكسپلورر نسخه 9.0.15 بر روي ويندوز 7 تست كرده است.

ID: IRCNE2014112386
Date: 2014-11-29

According to “ComputerWorldUK”, Over 23,000 Web servers were infected with a backdoor called CryptoPHP that's bundled with pirated themes and plug-ins for popular content management systems.
CryptoPHP is a malicious script that provides remote attackers with the ability to execute rogue code on Web servers and to inject malicious content into websites that are hosted on them.
According to Dutch security firm Fox-IT, which published a report about the threat last week, the backdoor is used primarily for black hat search engine optimization (BHSEO), an operation that involves injecting rogue keywords and pages into compromised sites to hijack their search engine rankings and push malicious content higher up in search results.
Unlike most website backdoors, CryptoPHP is not installed by exploiting vulnerabilities. Instead attackers distribute pirated versions of commercial plug-ins and themes for Joomla, WordPress and Drupal through several sites and wait for webmasters to download and install them on their own websites. Those pirated plug-ins and themes have the CryptoPHP backdoor embedded into them.
Web servers infected with CryptoPHP act as a botnet. They connect to command-and-control servers operated by the attackers using an encrypted communication channel and listen for commands.
With help from the Dutch government's National Cyber Security Center and the Abuse.ch, Shadowserver Foundation and Spamhaus cybercrime fighting organizations, Fox-IT took control of the CryptoPHP command-and-control domains and directed them to servers under its control to gather statistics -- an operation known as sinkholing.
"In total 23,693 unique IP addresses connected to the sinkholes," Fox-IT's researchers said Wednesday in a blog post. However, the number of affected websites is likely higher, because some of those IP addresses correspond to shared Web hosting servers that have more than one infected sites.
The top five countries for CryptoPHP infections were the U.S. (8,657 IP addresses), Germany (2,877 IP addresses), France (1,231 IP addresses), the Netherlands (1,008 IP addresses) and Turkey (749 IP addresses).
Since Fox-IT published its CryptoPHP report last week, attackers took down the websites that hosted the rogue plug-ins and themes and set up new ones. They also pushed out a new version of the backdoor, possibly in an attempt to evade detection.
The Fox-IT researchers released two Python scripts on GitHub that webmasters can use to scan servers and sites for CryptoPHP infections. They also provided removal instructions in their blog post, but noted that ultimately it's best to reinstall an affected content management system completely since its integrity may have been compromised.

ID: IRCNE2014112385
Date: 2014-11-29

According to “ComputerWorld”, The Weather Channel has fixed a common web application security problem on its website that made nearly all links vulnerable to cross-site scripting attacks.
Wang Jin, a doctoral student at the School of Physical and Mathematical Sciences at Nanyang Technological University in Singapore, found more than 75 percent of the web pages on Weather.com were vulnerable.
"Attackers just need to add script at the end of The Weather Channel's URLs," Wang wrote. "Then the scripts will be executed."
Wang posted his findings on the Full Disclosure forum, writing that the issues have been fixed. He wrote that he tested tens of thousands of links on Weather.com using a custom tool and posted a video illustrating an attack.
Cross-site scripting was the third-most common type of vulnerability in web applications last year, according to the Open Web Application Security Project. An XSS flaw occurs when an application accepts untrusted data, sending it to a web browser without validating it.
"XSS allows attackers to execute scripts in the victims browser which can hijack user sessions, deface web sites or redirect the user to malicious sites," according to OWASP.
The attack worked without a user being logged in, Wang wrote. He tested the attack using Firefox version 26 in Ubuntu version 12.04 and with Internet Explorer version 9.0.15 on Windows 7.

شماره: IRCNE2014112384
تاريخ: 29/08/93

شركت ادوب نسخه هاي جديد فلش پلير را براي ويندوز، مكينتاش و لينوكس منتشر كرد تا حفاظت هاي بهتري در برابر يك آسيب پذيري فراهم كند.
شركت ادوب توصيه مي كند تا تمامي كاربران فلش پلير اين اصلاحيه ها را اعمال نمايند. شركت مايكروسافت به روز رساني هاي فلش را در IE نسخه هاي 10 و 11 اعمال كرده است و هم چنين گوگل فلش پلير موجود در كروم را اصلاح كرده است. نسخه جديد فلش براي كاربران ويندوز و مكينتاش نسخه 15.0.0.239 خواهد بود. هم چنين نسخه جديد فلش پلير براي لينوكس نسخه 11.2.202.424 مي باشد.
كاربران براي مشاهده نسخه فلش پليري كه در حال حاضر از آن استفاده مي كنند بايد بر روي گزينه About Flash Player كليك نمايند. كاربران مي توانند اصلاحيه ها را از طريق Adobe Flash Player Download Center يا از طريق مكانيزم به روز رساني موجود در برنامه دريافت نمايند.
آسيب پذيري CVE-2014-8439 توسطSébastien Duquette از شركت امنيتي ESET گزارش شده است و شركت ادوب را آن را با عنوان آسيب پذيري استفاده پس از آزادسازي توصيف كرده است.
با توجه به گزارش ادوب، پيش از به روز رسانيAPSB14-22 كه در 14 اكتبر 2014 منتشر شد، هيچ گونه سوء استفاده از آسيب پذيري CVE-2014-8439 نشده است. در حال حاضر نيز هيچ گونه سوء استفاده اي از سيستم هايي كه به روز رساني APSB14-22 را نصب كرده اند نيز گزارش نشده است. به نظر مي رسد كه نسخه هاي جديد فلش پلير برخي محدوديت هايي كه در به روز رساني قبلي وجود داشت را برطرف مي كند.

Number: IRCNE2014112384
Date: 2014/11/27

According to “zdnet”, Adobe has released new versions of Flash Player for Windows, Mac and Linux to strengthen protections against a vulnerability originally mitigated without mention last month.
Adobe recommends that all Flash Player users update. Microsoft will be releasing updates to Internet Explorer 10 and 11 and Google to Chrome to fix the Flash Players embedded in them. The new version for Windows and Mac will be 15.0.0.239. The new Adobe Flash Player Extended Support Release version is 13.0.0.258. The new Flash Player for Linux version is 11.2.202.424.
To determine the version of Flash Player you are running, go to the About Flash Player page. Users can update by visiting the Adobe Flash Player Download Center, or via the update mechanism within the product when prompted.
The vulnerability is CVE-2014-8439, reported by Sébastien Duquette of ESET, Timo Hirvonen of F-Secure and Kafeine. Adobe describes the update as a use after free vulnerability.
According to Adobe, prior to the October 14, 2014 APSB14-22 update there were no known exploits of CVE-2014-8439. Currently there are no known exploits that will be successful on systems on which the APSB14-22 updates were applied. This new update appears to address some limitations in that earlier update.

ID: IRCNE2014112383
Date: 2014-11-24

According to “ComputerWorldUK”, Malware that Symantec says was probably developed by a nation state may have been used for as long as eight years, a length of time that underscores the challenges the security industry faces in detecting advanced spying tools.
On Sunday, the computer security company published a 22-page report and blog post on the Regin malware, which it described as a powerful cyberespionage platform that can be customized depending on what type of data is sought.
It was predominantly targeted at telecoms companies, small businesses and private individuals, with different modules customized for stealing particular kinds of information. Symantec found about 100 entities infected with Regin in 10 countries, mostly in Russia and Saudi Arabia, but also in Mexico, Ireland, India, Afghanistan, Iran, Belgium, Austria and Pakistan
A first version of Regin was active between 2008 and 2011. Symantec began analyzing a second version of Regin about a year ago that had been forwarded by one of its customers, said Liam O'Murchu, a Symantec researcher, in a phone interview Sunday.
But there are forensic clues that Regin may have been active as far back as 2006. In fact, Symantec didn't actually give Regin its name. O'Murchu said Symantec opted to use that name since it had been dubbed that by others in the security field who have known about it for some time.
If Regin does turn out to be 8 years old, the finding would mean that nation states are having tremendous success in avoiding the latest security products, which doesn't bode well for companies trying to protect their data. Symantec didn't identify who it thinks may have developed Regin.
Symantec waited almost a year before publicly discussing Regin because it was so difficult to analyze. The malware has five separate stages, each of which is dependent on the previous stage to be decrypted, O'Murchu said. It also uses peer-to-peer communication, which avoids using a centralized command-and-control system to dump stolen data, he said.
Regin is a back-door-type Trojan, "customizable with an extensive range of capabilities depending on the target," Symantec said, adding that "it provides its controllers with a powerful framework for mass surveillance." Its development probably took months "if not years" and "its authors have gone to great lengths to cover its tracks." It's also unclear exactly how users become infected with Regin. Symantec figured out how just one computer became infected so far, which was via Yahoo's Messenger program, O'Murchu said.
It is possible the user fell victim to social engineering, where a person is tricked into clicking on a link sent through Messenger. But O'Murchu said it is more likely that Regin's controllers knew of a software vulnerability in Messenger itself and could infect the person's computer without any interaction from the victim.
"The threat is very advanced in everything it does on the computer," O'Murchu said. "We imagine these attacks have quite advanced methods for getting it installed."
Telecom companies have been particularly hard hit by Regin. Some of the companies have been infected by Regin in multiple locations in multiple countries, Symantec found.
The attackers appear to have sought login credentials for GSM base stations, which are the first point of contact for a mobile device to route a call or request data. Stealing administrator credentials could have allowed Regin's masters to change settings on the base station or access certain call data.
Regin's other targets included the hospitality, airline and ISP industries, as well as government.
Symantec further believes that "many components of Regin remain undiscovered and additional functionality and versions may exist." Researchers are continuing their analysis and will provide public updates as additional discoveries about the malware are made, the company said.

شماره: IRCNE2014112383
تاريخ: 3/9/93

بدافزاري كه سايمانتك معتقد است احتمالاً توسط يك حكومت ايجاد شده است، ممكن است براي مدت 8 سال مورد استفاده قرار گرفته باشد.
روز يكشنبه، اين شركت امنيت كامپيوتر يك گزارش 22 صفحه‌اي و يك پست در وبلاگ در مورد بدافزار Regin منتشر كرد كه تحت عنوان يك پلتفورم جاسوسي سايبري قوي شرح داده شده است كه مي‌تواند بسته به نوع داده‌هاي مورد نظر، سفارشي سازي شود.
اين بدافزار با ماژول‌هاي متفاوت سفارشي سازي شده براي سرقت انواع خاص اطلاعات، غالباً شركت‌هاي مخابراتي، كسب و كارهاي كوچك و افراد شخصي را هدف قرار داده است. سايمانتك حدود 100 نهاد را در 10 كشور كشف كرده است كه توسط Regin آلوده شده‌اند كه اغلب آنها در روسيه و عربستان سعودي قرار دارند. اما در مكزيك، ايرلند، هند، افغانستان، ايران، بلژيك، اتريش و پاكستان نيز مواردي از آلودگي به اين بدافزار مشاهده شده است.
به گفته يك محقق امنيتي سايمانتك به نام «ليام اومورچو»، نخستين نسخه Regin بين سال‌هاي 2008 تا 2011 فعال شد. سايمانتك تحليل نسخه ديگري از Regin را كه توسط يكي از مشتريان براي اين شركت ارسال شده بود حدود يك سال قبل آغاز كرد.
اما شواهد و ادله جرم‌شناسانه‌اي وجود دارد مبني بر اينكه Regin از سال 2006 فعال بوده است. در حقيقت سايمانتك نام Regin را براي اين بدافزار انتخاب نكرده است. به گفته اومورچو، سايمانتك اين نام را مورد استفاده قرار داده است چرا كه اين بدافزار توسط ديگراني كه در زمينه امنيت فعال هستند و پيش از اين در مورد اين بدافزار اطلاعاتي داشته‌اند، به اين نام ناميده شده است.
اگر Regin واقعاً 8 سال داشته باشد، اين بدان معناست كه حكومت‌ها و دولت‌ها به موفقيت عظيمي در دور زدن محصولات امنيتي دست يافته‌اند، كه نشانه چندان خوبي براي شركت‌هايي كه سعي مي‌كنند از داده‌ها محافظت كنند نيست. سايمانتك در مورد توليد كننده Regin نظري نداده است.
سايمانتك حدود يك سال براي عمومي كردن Regin صبر كرده است، چرا كه تحليل آن بسيار سخت بوده است. اين بدافزار 5 مرحله جداگانه دارد، كه هريك از آنها وابسته به رمزگشايي مرحله قبلي است. اين بدافزار همچنين از ارتباط نظير به نظير استفاده استفاده مي‌كند و از استفاده از يك سيستم مركزي دستور و كنترل براي جمع كردن داده‌هاي سرقتي خودداري مي‌كند.
Regin يك تروجان back-door است كه بسته به هدف، با گستره متنوعي از قابليت‌ها سفارشي‌سازي مي‌شود. به گفته سايمانتك، توليد اين بدافزار ماه‌ها و حتي سال‌ها زمان برده است و نويسندگان آن تمام سعي خود را براي پوشاندن ردپاي اين بدافزار كرده‌اند.
همچنين هنوز دقيقاً مشخص نيست كه كاربران چگونه توسط Regin آلوده مي‌شوند. به گفته اومورچو، سايمانتك فقط در مورد يك كامپيوتر كشف كرده است كه از طريق ياهو مسنجر آلوده شده است.
اين احتمال وجود دارد كه كاربر قرباني يك حمله مهندسي اجتماعي شده و بر روي لينكي كه از طريق مسنجر ارسال شده است كليك كرده باشد. اما احتمال بيشتري وجود دارد كه كنترل كنندگان Regin از يك آسيب‌پذيري در مسنجر آگاه بوده و بدون نياز به تعامل كاربر، سيستم وي را آلوده كرده باشند.
اومورچو معتقد است كه اين تهديد از نظر تمام كارهايي كه بر روي كامپيوتر انجام مي‌دهد بسيار پيشرفته است.
شركت‌هاي مخابراتي به طور خاص توسط اين بدافزار هدف قرار گرفته‌اند. يافته‌هاي سايمانتك نشان مي‌دهد كه برخي شركت‌ها در چندين مكان و چندين كشور توسط Regin آلوده شده‌اند.
به نظر مي‌رسد كه مهاجمان به دنبال اطلاعات لاگين براي ايستگاه‌هاي پايه (BTS) شبكه GSM بوده‌اند. اين ايستگاه‌ها نخستين نقطه تماس يك دستگاه موبايل براي مسيريابي يك تماس يا درخواست داده است. سرقت اطلاعات اعتباري administrator به صاحبان Regin اجازه داده است كه تنظيمات ايستگاه پايه را تغيير داده يا به داده‌هاي تماس‌هاي خاص دست يابند.
اهداف ديگر Regin شامل صنايع خطوط هوايي، ISP ها و بيمارستان‌ها بعلاوه دولت‌ها بوده است.
سايمانتك معتقد است كه بسياري از اجزاي Regin كشف نشده‌اند و هنوز ممكن است عملكردها و نسخه‌هاي ديگري از اين بدافزار وجود داشته باشد. محققان به تحليل‌هاي خود ادامه مي‌دهند و درصورت رسيدن به نتايج جديد، آن را به اطلاع عموم خواهند رساند.

Number: IRCNE2014112382
Date: 2014/11/18

According to “zdnet”, high volume DDoS spiked in use during Q3 2014, according to new research released by Verisign.
According to the Reston, Virginia-based firm's Q3 2014 DDoS Trends Report, through July to September this year there has been an increase in the frequency of DDoS attacks exceeding 10 Gbps in size, accounting for more than 20 percent of all mitigations conducted by the company.
Of these attacks, the largest was experienced by an online retailer, reaching 90Gbps in size. The cyberattack was aimed at disrupting the e-commerce capability of the victim.
"This highlights the need for more advanced DDoS protection capabilities other than the standard defenses of over-provisioning of bandwidth and on-premise mitigation devices, which are rendered ineffective the moment a DDoS attack exceeds an organization’s upstream bandwidth, or their Internet service provider’s capacity," Verisign says.
In addition, organizations unfortunate enough to be targeted are suffering an average of three separate attacks per customer, an increase of 60 percent quarter-on-quarter. This may be attributable to easier access to ready-made DDoS botnets and toolkits and the continual evolution and sophistication of cyberattacks -- a trend expected to continue.
The most frequently targeted organizations during the third quarter hailed from the media and entertainment industries, representing more than 50 percent of all mitigation activity, while the largest and most resource-heavy attacks were aimed at e-commerce establishments.

شماره: IRCNE2014112382
تاريخ: 29/08/93

با توجه به گزارش منتشر شده توسط Verisign، حجم حملات انكار سرويس توزيع شده در سه ماهه سوم 2014 افزايش چشمگيري داشته است.
با توجه به اين گزارش، از ماه ژوئيه تا سپتامبر امسال افزايش قابل توجهي در فراكانس حملات انكار سرويس توزيع شده مشاهده شده است و عليرغم افزايش 20 درصدي سازمان ها در استفاده از راهكارهاي كاهش خطرات، حجم اين حملات بالاتر از10 Gbps اعلام شده است.
در ميان اين حملات، بزرگترين حمله مربوط به يك فروشگاه آنلاين مي باشد. هدف اين حمله سايبري اختلال در قابليت تجارت الكترونيك قرباني بوده است.
در گزارش Verisign آمده است كه اين حملات نشان مي دهد كه سازمان ها بايد از قابليت هاي حفاظت DDoS پيشرفته استفاده نمايند. علاوه بر اين سازمان هايي كه در معرض هدف اين حملات قرار داشتند به طور ميانگين سه حمله مجزا را براي هر مشتري تجربه كرده اند و از هر سه ماهه تا سه ماهه ديگر 60 درصد افزايش در حملات مشاهده مي شود. اين امر باعث مي شود تا بات نت هاي DDoS راحت ايجاد شوند و سازمان ها را حملات سايبري پيچيده تري تهديد كند.
در سه ماهه سوم سازمان هايي كه بيشتر هدف اين حملات بوده اند از صنعت رسانه و سرگرمي بوده است در حالي كه بزرگترين حملات مربوط به موسسه هاي تجارت الكترونيك بوده است.