شماره: IRCNE2014082275
تاريخ: 93/05/14

موزيلا اعلام كرد كه به علت يك خطاي پايگاه داده، آدرس‌هاي ايميل و كلمات عبور رمز شده كاربران ثبت شده در وب‌سايت توسعه دهندگان موزيلا، براي مدت حدود يك ماه نشت يافته و در معرض دسترس بود.
به گفته دو مدير در اين شركت، آدرس‌هاي ايميل متعلق به 76 هزار كاربر شبكه توسعه دهندگان موزيلا (MDN) به همراه حدود 4000 كلمه عبور رمز شده افشا شده است. موزيلا در حال اطلاع‌رساني به افرادي است كه تحت تأثير اين نشت اطلاعاتي قرار گرفته‌اند.
هيچ فعاليت خرابكارانه‌اي برروي سرور تحت تأثير اين مسأله مشاهده نشده است، ولي اين بدان معنا نيست كه اين داده‌ها مورد دسترسي قرار نگرفته‌اند.
حدود 12 روز پيش يك توسعه دهنده وب كشف كرد كه يك پردازه امن‌سازي داده‌ها بر روي پايگاه داده‌اي كه MDN را اجرا مي‌كند، كار نمي‌كند. اين نشت اطلاعاتي حدود 23 ژوئن آغاز شده است و حدوداً به مدت يك ماه ادامه داشته است.
به گفته موزيلا، به محض آگاهي از اين موضوع فايل مشكل‌دار پايگاه داده از روي سرور حذف شد و پردازه‌اي كه اين مشكل را ايجاد مي‌كند غيرفعال گرديد تا از نشت‌هاي بيشتر جلوگيري شود.
كلمات عبوري كه لو رفته‌اند همگي رمز شده و salty بودند كه اين مسأله باعث مي‌شود بازيابي اين كلمات عبور به شكل اصلي آنها بسيار سخت باشد. اما حتي اگر اين كلمات عبور رمزگشايي گردند، به تنهايي نمي‌توانند براي احراز هويت با وب‌سايت امروزي MDN به كار روند.
از آنجايي كه ممكن است برخي افراد از كلمه عبور MDN خود براي ساير وب‌سايت‌ها نيز استفاده كنند، به كاربران توصيه شده است كه كلمه عبور خود را تغيير دهند.
موزيلا از وقوع اين خطا عميقاً اظهار تأسف كرده است. اين شركت تأكيد كرد كه علاوه بر اطلاع‌رساني به كاربران و توصيه راهكارهاي كوتاه‌مدت، در حال بررسي پردازه‌ها و قواعد موجود است كه ممكن است لازم باشد براي كاهش احتمال وقوع چنين حوادثي بهبود يابند.

شماره: IRCNE2014082276
تاريخ: 93/05/14

شركت سيسكو اعلام كرد كه يك حفره امنيتي در محصولات شبكه اي اين شركت وجود دارد كه به مهاجمان اجازه مي دهد تا ترافيك شبكه را ردگيري نمايند. اين شركت به مديران شبكه توصيه كرد تا اصلاحيه امنيتي جديد را بر روي نرم افزارهاي اين محصولات اعمال نمايند.
اين مساله پياده سازي پروتكل مسيريابي OSPF و پايگاه داده LSA را تحت تاثير قرار مي دهد. اين پروتكل براي تصميم گيري در خصوص يافتن كوتاهترين مسير در يك AS استفاده مي شود.
پروتكل OSPF در بسياري از شبكه هاي بزرگ مورد استفاه قرار مي گيرد. اين پروتكل اطلاعات مسيرهاي مختلف را از مسيرياب هاي در دسترس جمع آوري مي كند و در يك پايگاه داده نگهداري مي كند و نقشه اي از توپولوژي شبكه را ترسيم كرده تا براي يافتن كوتاهترين و بهترين مسير IP از آن استفاده نمايد.
آسيب پذيري موجود در محصولات سيسكو مي تواند به يك مهاجم تاييد صلاحيت نشده اجازه دهد تا به جدول مسيريابي دامنهOSPF Autonomous System (AS)دسترسي كامل يابد و ترافيك ها را ردگيري كند.
سوء استفاده از اين آسيب پذيري نيازي به تاييد هويت ندارد و مي تواند از راه دور و توسط ارسال بسته هاي نوع اول OSPF LSA دستكاري شده خاص به يك دستگاه آسيب پذير انجام گيرد.
اين آسيب پذيري، دستگاه هاي شبكه در حال اجراي سيستم عامل هاي سيسكو نسخه هاي IOS، IOS-XE، NX-OS را در صورتيكه براي عمليات OSPF پيكربندي شده باشند، تحت تاثير قرار مي دهد. هم چنين نرم افزارهاي در حال اجرا بر روي Cisco Adaptive Security Appliance (ASA)، Cisco ASA Service Module (ASA-SM)، Cisco Pix Firewall، Cisco Firewall Services Module (FWSM) و Cisco ASR 5000 را تحت تاثير قرار مي دهد.

شماره: IRCNE2014082277
تاريخ: 93/05/14

محققان امنيتي هشدار دادند كه يك برنامه بدافزاري جديد به نام Poweliks سعي مي‌كند با اجراي كامل از روي رجيستري سيستم و بدون ايجاد فايلي بر روي سيستم، از شناسايي و تحليل خود توسط متخصصان امنيتي جلوگيري نمايد.
ايده بدافزار «بدون فايل» كه صرفاً در حافظه سيستم وجود دارد جديد نيست، ولي چنين تهديداتي نادر هستند، چرا كه نوعاً در راه‌اندازي‌هاي مجدد سيستم و پس از پاك شدن حافظه، نمي‌توانند به حيات خود ادامه دهند. اما در مورد Poweliks اين مسأله صادق نيست. به گفته محققان بدافزارهاي شركت امنيتي G Data Software، اين بدافزار از روش جديدي براي بقاي خود استفاده مي‌كند و در عين حال هيچ فايلي نيز ايجاد نمي‌كند.
هنگامي كه Poweliks سيستمي را آلوده مي‌كند، يك مدخل در رجيستري ايجاد مي‌نمايد كه فايل ويندوزي معتبر rundll32.exe و سپس كد جاوا اسكريپت رمز شده‌اي را اجرا مي‌كند. اين كار پردازه‌اي را راه‌اندازي مي‌كند.
كد جاوا اسكريپت مزبور بررسي مي‌كند كه آيا Windows PowerShell كه يك پوسته خط فرمان و محيط اسكريپتينگ است بر روي سيستم وجود دارد يا خير. درصورتي‌كه اين پوسته وجود نداشته باشد، آن را دانلود كرده و نصب مي‌نمايد و سپس كدهاي ديگري را كه در حقيقت يك اسكريپت PoweShell است رمزگشايي مي‌كند.
اين اسكريپت PowerShell با استفاده از ترفندي براي دور زدن محافظ پيش‌فرض ويندوز كه از اجراي اسكريپت‌هاي ناشناس PowerShell بدون تأييد كاربر جلوگيري مي‌كند، اجرا مي‌گردد. سپس اين اسكريپت Shellcode را كه يك DLL را مستقيماً به حافظه سيستم تزريق مي‌كند، رمزگشايي كرده و اجرا مي‌نمايد.
هنگامي كه اين DLL تقلبي در حال اجرا در حافظه است، به دو آدرس آي‌پي در قزاقستان متصل شده و دستورات را دريافت مي‌كند. اين بدافزار مي‌تواند بسته به تمايل مهاجم براي دانلود و نصب ساير تهديدات به كار رود.
در طول اين پروسه، از زمان اجراي كد جاوا اسكريپت تا تزريق نهايي DLL، اين بدافزار هيچ فايل خرابكاري بر روي هارد ديسك ايجاد نمي‌كند كه اين مسأله، شناسايي آن را براي آنتي‌ويروس‌ها مشكل مي‌سازد.
علاوه بر اينها، نام كليد رجيستري ايجاد شده توسط Poweliks يك كاراكتر غير اسكي است. اين ترفندي است كه از نمايش اين مدخل رجيستري توسط regedit (ابزار ويرايش رجيستري ويندوز) و احتمالاً ساير برنامه‌ها جلوگيري مي‌كند و به اين ترتيب شناسايي دستي آلودگي را براي كاربر و نيز تحليلگران بدافزار مشكل مي‌سازد.
برخي ويرايش‌هاي Poweliks ازطريق اسناد خرابكار Word كه به هرزنامه‌ها پيوست شده بودند و وانمود مي‌كردند كه از پست كانادا يا پست ايالات متحده ارسال شده‌اند، منتشر گشته‌اند. اين اسناد خرابكار از يك آسيب‌پذيري اجراي كد از راه دور در آفيس 2003، 207 و 2010 كه در آوريل 2012 اصلاح شده بود استفاده مي‌كردند. البته با توجه به ساير گزارش‌ها، اين بدافزار همچنين از طريق حملات drive-by download كه از نقايص وب استفاده مي‌كنند نيز منتشر شده است.
آنتي‌ويروس‌ها براي مسدود كردن بدافزاري مانند Powliks بايد يا فايل Word اوليه را پيش از اجرا و ترجيحاً پيش از رسيدن به صندوق پستي كاربر توقيف نمايند يا اينكه در خط بعدي دفاعي، پس از اجراي فايل قادر به شناسايي كد سوء استفاده كننده از آسيب‌پذيري نرم‌افزار باشند، و يا در نهايت، رفتار غيرمعمول را تشخيص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.

شماره: IRCNE2014082278
تاريخ: 93/05/14

در آخرين به روز رساني هاي نرم افزار سامبا، يك آسيب پذيري بحراني برطرف شده است كه مي تواند به مهاجم اجازه دهد تا كنترل ميزباني كه در حال اجراي نسخه آسيب پذيري از Samba nmbd NetBIOS است را در اختيار بگيرد.
سامبا يك پياده سازي منبع باز از پروتكل اشتراك گذاري فايل شبكه اي SMB/CIFS است. SMB/CIFS معروف ترين پروتكل استفاده شده براي اشتراك گذاري فايل بر روي شبكه هاي مايكروسافت ويندوز است و سامبا نسخه غير ويندوزي اين پروتكل براي شبكه هاي غير ويندوزي مي باشد. Nmd يك مولفه سرور است كه به درخواست هاي NetBIOS بر روي شبكه IP پاسخ مي دهد.
به منظور سوء استفاده از اين آسيب پذيري، يك سيستم مخرب بر روي شبكه مي تواند بسته هايي را ارسال كند كه ممكن است پشته نام سرويس هاي nmbd NetBIOS هدف را بازنويسي كند. هم چنين اين امكان وجود دارد كه از اين روش به گونه اي استفاده شود كه يك آسيب پذيري اجراي كد از راه دور ايجاد شود.
نسخه هاي جديد سامبا شامل 4.1.11 و 4.0.21 مي باشد. هم چنين اصلاحيه هايي براي سامبا نسخه هاي 4.1.10 و 4.0.20 وجود دارد. اين نسخه ها به منظور اصلاح تعداد زيادي مشكلات غيرامنيتي منتشر شده اند.

شماره:IRCNE2014082279
تاريخ: 93/5/14

No-IP يكي از ارائه دهندگان سرويس DNS پويا است كه بصورت رايگان براي ثبت زير دامنه بر روي نام هاي مشهور از قبيل servebeer.com و servepics.com استفاده مي گردد. مجرمان سايبري از اين روش براي ثبت hostname هايي كه به راحتي به روز رساني مي شوند جهت اجرا و كنترل بدافزار استفاده مي كنند. مايكروسافت در مقابله با NO-IP، تعداد 22 دامنه را توقيف نمود. همچنين يك پرونده سايبري بر عليه Mohamed Benabdellah و Naser Al Mutairi و شركت Vitalwerks Internet Solutions، به دليل نقش آنها در ايجاد، كنترل و كمك به آلوده سازي ميليون ها كامپيوتر به نرم افزارهاي مخرب آسيب رسان به مايكروسافت، تشكيل داد.
نكته جالب توجه اين است كه مايكروسافت به دو گروه ويژه از بدافزارها با نام هاي Bladabindi (NJrat) و Jenxcus (NJw0rm) كه براي آلوده نمودن قربانيان بيگناه استفاده مي شود، اشاره نمود. اين دو گروه بدافزار جهت انجام فعاليت هاي مخرب و جرايم سايبري بسياري از جمله مورد هدف قرار دادن ارتش الكترونيك سوريه مورد استفاده قرار گرفته اند.
علاوه بر اين توقيف تعدادي از دامنه ها توسط مايكروسافت منجر به مختل شدن فعاليت بسياري از گروه هاي هك APT (Advanced persistent threat) شد كه از دامنه NO_IP براي زير ساخت سرور هاي كنترل و فرمان خود استفاده مي كردند. در ذيل به نمونه هايي از آنها اشاره شده است:
   • Flame/Miniflame
   • Turla/Snake/Uroburos, including Epic
   • Cycldek
   • Shiqiang
   • HackingTeam RCS customers
   • Banechant
   • Ladyoffice
بر اساس آمار، اين موضوع حداقل حدود 25٪ از گروهاي APT را تحت تاثير خود قرار داده است. برخي از اين Host ها كه قبلاً در عمليات جاسوسي سايبري، از آنها استفاده مي شده به نظر مي رسد كه در حال حاضر در sinkhole مايكروسافت قرار گرفته اند.
برخي از دامنه هاي سطح بالا كه در شركت Vitalwerk منسوخ گرديده و در حال حاضر از زير ساخت هاي DNS مايكروسافت استفاده مي كنند به شرح ذيل مي باشند:
   • BOUNCEME.NET
   • MYFTP.BIZ
   • MYVNC.COM
   • NO-IP.BIZ
   • NO-IP.INFO
   • REDIRECTME.NET
   • SERVEBEER.COM
   • SERVEBLOG.NET
   • SERVECOUNTERSTRIKE.COM
   • SERVEGAME.COM
   • SERVEHALFLIFE.COM
   • SERVEHTTP.COM
   • SERVEMP3.COM
   • SERVEPICS.COM
   • SERVEQUAKE.COM
   • SYTES.NET
ظاهراً زير ساخت مايكروسافت قادر به مديريت و رسيدگي به درخواست هاي ميليون ها كاربر نمي باشد. تعداد بيشماري از كاربران بيگناه، به دليل اينكه مايكروسافت در حال اصلاح host name هاي مربوط به مجرمان سايبري مي باشند، سرويس هايشان قطع شده است.
مايكروسافت در به روز رساني تاريخ 2014-07-02، ليستي از 20000 دامنه NO-IP را كه در حملات استفاده شده را منتشر نموده است.

ID: IRCNE2014082274
Date: 2014-08-05

According to "ESecurityPlanet", The Department of Homeland Security's U.S. Computer Emergency Readiness Team (US-CERT), in collaboration with Trustwave SpiderLabs, FS-ISAC and the U.S. Secret Service, recently issued an alert warning of new malware called Backoff, which specifically targets point-of-sale (PoS) systems.
According to the US-CERT advisory, attackers are launching brute force attacks to log into remote desktop solutions like Microsoft Remote Desktop, Apple Remote Desktop, Chrome Remote Desktop, Splashtop, Pulseway and Join.me -- and are then using those solutions to infect PoS systems with Backoff malware.
The malware was first seen in operation in October 2013. "At the time of discovery and analysis, the malware variants had low to zero percent anti-virus detection rates, which means that fully updated anti-virus engines on fully patched computers could not identify the malware as malicious," the advisory states.
Once installed, Backoff scrapes memory for track data, logs keystrokes, communicates with a command and control server to upload stolen data and download additional malware, and injects a malicious stub into explorer.exe. The malicious stub is responsible for persistence if the malware crashes or is stopped.
"The Backoff point-of-sale malware has has multiple components which aren't overly sophisticated, but it does try to hide itself on affected systems and also maintain persistence if the machine was restarted," Malwarebytes senior security researcher Jerome Segura noted by email.
"The impact of a compromised PoS system can affect both the businesses and consumer by exposing customer data such as names, mailing addresses, credit/debit card numbers, phone numbers, and e-mail addresses to criminal elements," the US-CERT alert states.
Trustwave threat intelligence manager Karl Sigler told SC Magazine that the Backoff malware has already been leveraged to compromise almost 600 businesses across the U.S.
According to the New York Times, the malware was behind several recent high-profile breaches, including those at Target, P.F. Chang's, Neiman Marcus, Sally Beauty Supply and Goodwill Industries.
An extensive list of recommended actions for risk mitigation, from requiring two-factor authentication for remote desktop access to segregating payment processing networks from other networks, is available here.
Neohapsis security consultant Joe Schumacher said by email that organizations seeking to limit the risk of compromise by Backoff malware should educate employees and provide an approved method for remote access. "Companies should also perform network scans to see if systems have specific ports enabled to provide the remote access services, then follow up to turn off the service," he said.

ID: IRCNE2014082275
Date: 2014-08-05

According to "ComputerWorld", Mozilla's website for developers leaked email addresses and encrypted passwords of registered users for about a month due to a database error, the organization said Friday.
Email addresses for 76,000 Mozilla Development Network (MDN) users were exposed, along with around 4,000 encrypted passwords, wrote Stormy Peters, director of development relations, and Joe Stevensen, operations security manager in a blog post. Mozilla is notifying those affected.
No malicious activity on the affected server was detected, but that does not mean the data wasn't accessed, they wrote.
A Web developer discovered around 10 days ago that a data sanitization process on the database running the MDN wasn't working. The leak started around June 23 and continued for a month.
"As soon as we learned of it, the database dump file was removed from the server immediately, and the process that generates the dump was disabled to prevent further disclosure," they wrote.
The exposed passwords were encrypted and "salted," a security measure that makes it difficult to revert them to their original form. Even if the passwords were decrypted, "they by themselves cannot be used to authenticate with the MDN website today," according to the post.
Since some people may used the same MDN password on other websites, it's recommended the password be changed.
Mozilla said it was "deeply sorry" for the error.
"In addition to notifying users and recommending short term fixes, we're also taking a look at the processes and principles that are in place that may be made better to reduce the likelihood of something like this happening again," according to the post.

Number: IRCNE2014082276
Date: 2014-08-04

According to “computerworld”, Cisco Systems said attackers could disrupt or intercept traffic in many of its networking products unless a new security update is applied to the software they run.
The issue affects the implementation of the Open Shortest Path First (OSPF) routing protocol and its Link State Advertisement (LSA) database in particular. This protocol is used for determining the shortest routing paths inside an Autonomous System (AS) -- a collection of routing policies for IP (Internet Protocol) addresses controlled by ISPs and large organizations.
The OSPF protocol is commonly used on large enterprise networks. It gathers link state information from available routers into a database in order to built a network topology map which is then used to determine the best route for IP traffic.
"This vulnerability could allow an unauthenticated attacker to take full control of the OSPF Autonomous System (AS) domain routing table, blackhole traffic, and intercept traffic," Cisco said in a security advisory.
Exploiting the vulnerability doesn't require authentication and can be achieved remotely by sending specifically crafted OSPF LSA type 1 packets via unicast or multicast to the vulnerable device.
The vulnerability affects networking devices running most versions of Cisco IOS, IOS-XE and NX-OS operating systems if they are configured for OSPF operations. It also affects the software running on the Cisco Adaptive Security Appliance (ASA), Cisco ASA Service Module (ASA-SM), Cisco Pix Firewall, Cisco Firewall Services Module (FWSM) and the Cisco ASR 5000 carrier class platform.

ID: IRCNE2014082277
Date: 2014-08-05

According to “ComputerWorld”, A new malware program called Poweliks attempts to evade detection and analysis by running entirely from the system registry without creating files on disk, security researchers warn.
The concept of "fileless" malware that only exists in the system's memory is not new, but such threats are rare because they typically don't survive across system reboots, when the memory is cleared. That's not the case for Poweliks, which takes a rather new approach to achieve persistence while remaining fileless, according to malware researchers from G Data Software.
When it infects a system, Poweliks creates a startup registry entry that executes the legitimate rundll32.exe Windows file followed by some encoded JavaScript code. This triggers a process similar in concept to a Matryoshka Russian nesting doll, said Paul RascagnA"res, senior threat researcher at G Data, in a blog post.
The JavaScript code checks whether Windows PowerShell, a command-line shell and scripting environment, is present on the system. If it isn't, it downloads and installs it and then it decodes some more code that is actually a PowerShell script.
The PowerShell script is executed by using a trick to bypass a default protection in Windows that prevents the launch of unknown PowerShell scripts without user confirmation, RascagnA"res said. The script then decodes and executes shellcode which injects a DLL (dynamic link library) directly into the system memory.
Once it is running in memory, the rogue DLL component connects to two IP (Internet Protocol) addresses in Kazakhstan to receive commands. It can be used to download and install other threats, depending on the attacker's needs and intentions.
During the entire process, from executing the JavaScript code to the final DLL injection, the malware does not create any malicious files on the hard disk drive, making it difficult for antivirus programs to detect it.
Furthermore, the name of the startup registry key created by Poweliks is a non-ASCII character. This is a trick that prevents regedit -- the Windows registry editor tool -- and possibly other programs from displaying the rogue start-up entry, making it difficult for both users and malware analysts to manually spot the infection.
Some Poweliks variants have been distributed through malicious Microsoft Word documents attached to spam emails that purported to come from Canada Post or USPS. The malicious documents exploited a remote code execution vulnerability in Microsoft Office 2003, 2007 and 2010 that was patched by Microsoft in April 2012. However, according to other reports, the malware is also distributed through drive-by download attacks that use Web exploits.
To block malware like Poweliks, "antivirus solutions have to either catch the file (the initial Word document) before it is executed (if there is one), preferably before it reached the customer's email inbox," RascagnA"res said. "Or, as a next line of defense, they need to detect the software exploit after the file's execution, or, as a last step, in-registry surveillance has to detect unusual behavior, block the corresponding processes and alert the user."

Number: IRCNE2014082278
Date: 2014-08-04

According to “zdnet”, the latest in a recent series of updates to the Samba file system software fixes a critical vulnerability that could allow an attacker on the local network to take control of a host running a vulnerable version of the Samba nmbd NetBIOS name services daemon.
Samba is an open source implementation of the SMB/CIFS network file sharing protocol. SMB/CIFS is most famous as the protocol used in file sharing over Microsoft Windows networks, and Samba exists largely for non-Windows interoperability with those networks. nmbd is a server component of it which responds to NetBIOS requests over IP networks.
In order to exploit the vulnerability, a malicious system on the network (a "browser" in CIFS terminology) "...can send packets that may overwrite the heap of the target nmbd NetBIOS name services daemon. It may be possible to use this to generate a remote code execution vulnerability as the superuser (root)."
The new current versions of Samba are 4.1.11 and 4.0.21. There are also patches available for Samba versions 4.1.10 and 4.0.20. These versions themselves were just released in the last few days to address numerous non-security bugs.