ID: IRCNE2014082275
Date: 2014-08-05

According to "ComputerWorld", Mozilla's website for developers leaked email addresses and encrypted passwords of registered users for about a month due to a database error, the organization said Friday.
Email addresses for 76,000 Mozilla Development Network (MDN) users were exposed, along with around 4,000 encrypted passwords, wrote Stormy Peters, director of development relations, and Joe Stevensen, operations security manager in a blog post. Mozilla is notifying those affected.
No malicious activity on the affected server was detected, but that does not mean the data wasn't accessed, they wrote.
A Web developer discovered around 10 days ago that a data sanitization process on the database running the MDN wasn't working. The leak started around June 23 and continued for a month.
"As soon as we learned of it, the database dump file was removed from the server immediately, and the process that generates the dump was disabled to prevent further disclosure," they wrote.
The exposed passwords were encrypted and "salted," a security measure that makes it difficult to revert them to their original form. Even if the passwords were decrypted, "they by themselves cannot be used to authenticate with the MDN website today," according to the post.
Since some people may used the same MDN password on other websites, it's recommended the password be changed.
Mozilla said it was "deeply sorry" for the error.
"In addition to notifying users and recommending short term fixes, we're also taking a look at the processes and principles that are in place that may be made better to reduce the likelihood of something like this happening again," according to the post.

Number: IRCNE2014082276
Date: 2014-08-04

According to “computerworld”, Cisco Systems said attackers could disrupt or intercept traffic in many of its networking products unless a new security update is applied to the software they run.
The issue affects the implementation of the Open Shortest Path First (OSPF) routing protocol and its Link State Advertisement (LSA) database in particular. This protocol is used for determining the shortest routing paths inside an Autonomous System (AS) -- a collection of routing policies for IP (Internet Protocol) addresses controlled by ISPs and large organizations.
The OSPF protocol is commonly used on large enterprise networks. It gathers link state information from available routers into a database in order to built a network topology map which is then used to determine the best route for IP traffic.
"This vulnerability could allow an unauthenticated attacker to take full control of the OSPF Autonomous System (AS) domain routing table, blackhole traffic, and intercept traffic," Cisco said in a security advisory.
Exploiting the vulnerability doesn't require authentication and can be achieved remotely by sending specifically crafted OSPF LSA type 1 packets via unicast or multicast to the vulnerable device.
The vulnerability affects networking devices running most versions of Cisco IOS, IOS-XE and NX-OS operating systems if they are configured for OSPF operations. It also affects the software running on the Cisco Adaptive Security Appliance (ASA), Cisco ASA Service Module (ASA-SM), Cisco Pix Firewall, Cisco Firewall Services Module (FWSM) and the Cisco ASR 5000 carrier class platform.

ID: IRCNE2014082277
Date: 2014-08-05

According to “ComputerWorld”, A new malware program called Poweliks attempts to evade detection and analysis by running entirely from the system registry without creating files on disk, security researchers warn.
The concept of "fileless" malware that only exists in the system's memory is not new, but such threats are rare because they typically don't survive across system reboots, when the memory is cleared. That's not the case for Poweliks, which takes a rather new approach to achieve persistence while remaining fileless, according to malware researchers from G Data Software.
When it infects a system, Poweliks creates a startup registry entry that executes the legitimate rundll32.exe Windows file followed by some encoded JavaScript code. This triggers a process similar in concept to a Matryoshka Russian nesting doll, said Paul RascagnA"res, senior threat researcher at G Data, in a blog post.
The JavaScript code checks whether Windows PowerShell, a command-line shell and scripting environment, is present on the system. If it isn't, it downloads and installs it and then it decodes some more code that is actually a PowerShell script.
The PowerShell script is executed by using a trick to bypass a default protection in Windows that prevents the launch of unknown PowerShell scripts without user confirmation, RascagnA"res said. The script then decodes and executes shellcode which injects a DLL (dynamic link library) directly into the system memory.
Once it is running in memory, the rogue DLL component connects to two IP (Internet Protocol) addresses in Kazakhstan to receive commands. It can be used to download and install other threats, depending on the attacker's needs and intentions.
During the entire process, from executing the JavaScript code to the final DLL injection, the malware does not create any malicious files on the hard disk drive, making it difficult for antivirus programs to detect it.
Furthermore, the name of the startup registry key created by Poweliks is a non-ASCII character. This is a trick that prevents regedit -- the Windows registry editor tool -- and possibly other programs from displaying the rogue start-up entry, making it difficult for both users and malware analysts to manually spot the infection.
Some Poweliks variants have been distributed through malicious Microsoft Word documents attached to spam emails that purported to come from Canada Post or USPS. The malicious documents exploited a remote code execution vulnerability in Microsoft Office 2003, 2007 and 2010 that was patched by Microsoft in April 2012. However, according to other reports, the malware is also distributed through drive-by download attacks that use Web exploits.
To block malware like Poweliks, "antivirus solutions have to either catch the file (the initial Word document) before it is executed (if there is one), preferably before it reached the customer's email inbox," RascagnA"res said. "Or, as a next line of defense, they need to detect the software exploit after the file's execution, or, as a last step, in-registry surveillance has to detect unusual behavior, block the corresponding processes and alert the user."

Number: IRCNE2014082278
Date: 2014-08-04

According to “zdnet”, the latest in a recent series of updates to the Samba file system software fixes a critical vulnerability that could allow an attacker on the local network to take control of a host running a vulnerable version of the Samba nmbd NetBIOS name services daemon.
Samba is an open source implementation of the SMB/CIFS network file sharing protocol. SMB/CIFS is most famous as the protocol used in file sharing over Microsoft Windows networks, and Samba exists largely for non-Windows interoperability with those networks. nmbd is a server component of it which responds to NetBIOS requests over IP networks.
In order to exploit the vulnerability, a malicious system on the network (a "browser" in CIFS terminology) "...can send packets that may overwrite the heap of the target nmbd NetBIOS name services daemon. It may be possible to use this to generate a remote code execution vulnerability as the superuser (root)."
The new current versions of Samba are 4.1.11 and 4.0.21. There are also patches available for Samba versions 4.1.10 and 4.0.20. These versions themselves were just released in the last few days to address numerous non-security bugs.

شماره: IRCNE2014082270
تاريخ : 93/5/13

ابزارهايUSB مانند موس، صفحه كليد و حافظه هاي قابل حمل مي تواتد براي هك رايانه هاي شخصي بكار گرفته شود. كارلستن نول، كارشناس ارشد SR برلين به معرفي كلاس جديدي از حملات هكرها كه با بارگزاري برنامه هاي مخرب بر روي تراشه هاي رايانه­اي كوچك و كم هزينه صورت مي­گيرد، پرداخته است.
يافته ها نشان مي دهد كه باگ در نرم افزارهاي مورد استفاده در قطعات الكترونيكي كوچك كه تقريباً براي كاربران غيرقابل مشاهده است، مي تواند درصورتي كه مهاجمين از آنها براي اكسپلويت كردنشان بهره برداري مي كنند، بسيار خطرناك باشد. بنابراين كارشناسان امنيتي توجه خود را به كشف چنين نقص هايي معطوف كرده اند. طبق بررسي هاي كارشناسان، هنگامي كه ابزار USB به سيستم متصل مي­شود، نرم افزارهاي مخرب مي توانند كليدهاي فشرده شده (keystroke) روي صفحه كليد را ثبت كرده و به جاسوسي در ارتباطات و نابود كردن داده مشغول شوند. در حال حاضركامپيوترها قادر به شناسايي تجهيزات آلوده كه به سيستم متصل شده اند نيستند، چراكه آنتي ويروس­ها تنها براي اسكن نرم­افزارهاي نوشته شده بر روي حافظه طراحي شده اند و firmware ها­يي كه عملكرد ابزارها متصل شده به كامپيوتر را كنترل مي­كنند اسكن نمي­كنند.
محققان در اين آزمايش توانسته اند تا دسترسي از راه دور سيستمي را كه USB آن را هدايت مي كرده است تا برنامه مخرب را دانلود كند، بدست آورند. البته برنامه مخرب از صفحه كليد آمده بود. در ضمن آنها توانسته بودند تنظيمات DNS روي سيستم را نيز تغيير دهند. به اين ترتيب ترافيك اينترنت سيستم از مسير سرورهاي آلوده ارسال مي گردد. مي تواند طوري برنامه ريزي كرد كه به محض اينكه يك كامپيوتر آلوده شود، كه تمام تجهيزات USB كه به سيستم متصل مي گردند، به ترتيب آلوده گردند و سيستم هايي كه بعداً به تجهيزات USB متصل مي گردند را نيز آلوده سازند.

شماره:IRCNE2014082271
تاريخ: 93/5/13

حفره امنيتي موجود در سرور مديريت داده سيستم­هاي كنترل صنعتي برطرف شده است كه در غير اينصورت مي­توانست باعث اجراي حمله انكار سرويس از راه دور در سيستم گردد.
اين آسيب ­پذيري توسط يك شركت كانادايي توليد­كننده محصولات الكتريكي رفع شد. همچنين در مورد آسيب­پذيري مذكور از طرف تيم ICS-CERT نيز هشداري منتشر شده است.
اين آسيب ­پذيري كه از نوع سرريز بافر ميباشد و با ارسال يك بسته اطلاعاتي دستكاري شده به سرور به مهاجم كمك ميكند عمل سرريز بافر را انجام و سيستم را از كار بيندازد، اوايل تابستان توسط Chris Sistrunk از شركتMandian و Adam Crain از شركت Automatakكشف شد. اين آسيب پذيري بطور خاص اپليكيشن SubSTATION Server 2 شركت Telegyr 8979 Masterرا تحت تاثير قرار داده بود. اين اپليكيشن نرم افزاري به مديريت سيستم SCADA در صنعت برق كمك مي كند، و در تنظيم نفت، گاز و آب و برق الكتريكي نيز قابل استفاده است.
براي كسب اطلاعات بيشتر به سايت دپارتمان Subnet’s support department مراجعه نماييد.

شماره: IRCNE2014082272
تاريخ: 93/5/13

طبق بررسي كارشناسان FireEye ، گروهي از مهاجمين كه با عنوان PittyTiger شناخته مي شوند، از تكنيك مهندسي اجتماعي براي ارسال ايميل هاي فيشينگ به زبان هاي متعدد براي حمله به اهداف خود استفاده مي­كنند. گروه PittyTiger با استفاده از ابزارها و بدافزارهاي متعدد با سرورهاي فرمان و كنترل (C2)ارتباط برقرار كرده و به شبكه هاي اهداف خود دسترسي كامل پيدا مي­كنند. كارشناسان FireEye تاييد كردند كه حملات انجام شده توسط اين گروه مطابق با TTPs مهاجمين چيني است.
اين گروه به تازگي يك سري حمله عليه يك شركت فرانسوي را با ارسال آدرس ايميل رايگان به زبان فرانسه و انگليسي تحت نام هاي كاركنان واقعي شركت آغاز كرده است. بررسي ها نشان مي دهد كه مهاجمين از صفحات فيشينگ ايميلYahoo! استفاده مي كنند كه داراي صفحات فيشينگ به زبان هاي مختلف براي مناطق مختلف است. اگرچه اين گروه براي مدت طولاني فعال بوده است، اما به نظر مي رسد بر خلاف ديگر مهاجمين پرسرو صدا، در مورد اهدافش بسيار خاص عمل مي كند.
اين گروه حملات خود را با شناسايي آسيب پذيري CVE-2012-0158 و CVE-2014-1761 در Microsoft Office انجام مي­دهند. بر اساس بررسي ها، ابزاري كه مستنداتي با اكسپلويت CVE-2012-0158 ايجاد كرده است، در metadata خود نويسنده را Tran Duy Linh نشان مي دهد. ابزار سازندهCVE-2014-1761، murkier است، اما مستندات توسط اكسپلويتي ايجاد شده اند كه شامل metadata ايي منطبق بر مستندات آلوده ايجاد شده توسط هر دو سازنده Jdoc و Metasploit Framework مي باشد. اخيراً در يك حمله بر عليه يك هدف در تايوان، اين مستندات آلوده براي نصب بدافزاري با نام Backdoor.APT.Pgift (با نام مستعار Troj/ReRol.A) استفاده شده اند. سپس اتصال به سرور كنترل و فرمان C2 صورت مي گيرد و در حالي كه برخي از اطلاعات در مورد كامپيوتر آلوده رد و بدل مي گردد، بدافزار ديگري در مرحله دوم روي سيستم نصب مي گردد. اين گروه همچنين از يك Builder براي ايجاد و تست فايل هايي كه روي سرور C2 قرار داده شده اند، استفاده مي كند كه در ارتباط با backdoor بدافزار مي باشد.
با توجه به دسترسي به طيف گسترده اي از بدافزارها، از جمله بدافزاهايي كه به طور گسترده موجود است و ابزارهاي سفارشي كه فقط به نظر مي رسد اين گروه به آن دسترسي داشته باشند، اين گروه همچنان از بدافزارهاي قديمي تر بهره ­مي گيرند. از بدافزارهاي ديگر استفاده شده توسط اين گروه مي­توان به Backdoor.APT.PittyTiger، Backdoor.APT.Lurid و Poison Ivy اشاره نمود.

شماره: IRCNE2014082273
تاريخ: 12/05/93

شيوع بدافزارهايي كه فايل هاي كاربران را رمزگذاري مي كند تا از آن ها اخاذي كند نشان مي دهد كه مهاجمان براي ايجاد تهديدات موثر و خطرناك گروگان گيري نيازي به مهارت هاي پيشرفته برنامه نويسي ندارند به خصوص زماني كه فناوري رمزگذاري قوي به صورت رايگان در دسترس قرار دارد.
اخيرا محققان شركت امنيتي سايمانتك يك بدافزار گروگان گير به زبان روسي را كشف كردند كه مولفه اصلي آن يك فايل دسته اي ساده است.
Kazumasa Itabashi، يكي از محققان سايمانتك اظهار داشت: انتخاب اين پياده سازي به مهاجمان اجازه مي دهد تا به راحتي بدافزار را كنترل و به روز رساني نمايند. اين فايل دسته اي يك كليد عمومي 1024 بيتي RSA را از يك سرور دانلود مي كند و به GnuPG وارد مي كند. GnuPG يك برنامه رمزگذاري رايگان است كه از طريق خط فرمان اجرا مي شود. اين برنامه يك پياده سازي منبع باز از استاندارد رمزگذاري OpenPGP مي باشد و براي رمزگذاري فايل هاي قربانيان با كليد دانلود شده استفاده مي شود.
او ادامه داد: اگر كاربر بخواهد كه فايل هايش را رمزگشايي نمايد بايد كليد خصوصي را داشته باشد كه اين كليد در اختيار سازنده بدافزار است. اين بدافزار گروگان گير جديد كه شركت سايمانتك آن را Trojan.Ransomcrypt.L ناميده است فايل هايي با پسوند هاي .xls، .xlsx، .doc، .docx، .pdf، .jpg، .cd، .jpeg، .1cd، .mbd و .zip را رمزگذاري مي كند.
تهديد Trojan.Ransomcrypt.L نشان مي دهد كه پياده سازي بدافزارهاي گروگان گير مي تواند با كمترين هزينه و بدون داشتن اطلاعات پيشرفته برنامه نويسي انجام شود و اين امر در آينده باعث افزايش اين گونه تهديدات مي شود.

شماره: IRCNE2014072269
تاريخ: 93/05/09

به گزارش يك شركت تست نفوذ، محصول Endpoint Protection سايمانتك سه نقص امنيتي جديد و اصلاح نشده دارد كه مي‌تواند به كاربري كه لاگين كرده است اجازه دهد به سطح دسترسي بالاتري بر روي يك كامپيوتر دست يابد.
به گفته يك آموزش دهنده و توسعه دهنده ارشد شركت Offensive Security، اين سه نقص امنيتي كه همگي تحت عنوان آسيب‌پذيري‌هاي افزايش حق دسترسي شناخته مي‌شوند، در طي تست امنيتي يك شركت سرويس‌هاي مالي كشف شده‌اند.
Offensive Security كه به واسطه نرم‌افزار تست نفوذ Kali Linux مشهور است، روز سه‌شنبه يك ويدئوي كوتاه مبني بر سوء استفاده موفقيت‌آميز از اين آسيب‌پذيري‌ها منتشر كرد. اين شركت قصد دارد كد اثبات كننده اين موضوع را در كلاس آموزشي خود در كنفرانس امنيتي Black Hat كه ماه آينده در لاس وگاس برگزار مي‌شود، به نمايش بگذارد.
اين نقص‌هاي امنيتي به گروه‌هاي امداد و امنيت كامپيوتري گزارش شده‌اند. سايمانتك اعلام كرد كه از اين نقايص امنيتي آگاه است و در حال تحقيق بر روي آنها است.
اين نقايص امنيتي مجوز دسترسي بيشتر را به كاربري كه هم اكنون وارد شده است مي‌دهد كه اين دسترسي مي‌تواند پتانسيل انجام حملات ديگر را ايجاد نمايد. Offensive Security در طول تست نفوذ خود Endpoint Security را هدف قرار نداده است، اما متوجه شده است كه اين نرم‌افزار داراي نقصي است كه مي‌تواند منجر به يك فاجعه شود.

شماره:IRCNE2014072267
تاريخ: 93/5/5

امنيت پلتفرم اندرويد بر پايه ي سندباكس و مكانيزم حفاظت از طريق دسترسي ها مي باشد، كه برنامه ها را ايزوله كرده و ارتباط آنها با يكديگر را محدود مي نمايد. البته چون اندرويد به جهت متن باز بودن از ساير پروژه هاي متن باز، همچون Linux و OpenSSL استفاده نموده، مي تواند همچون قابليت هاي زيادي كه از آنها به ارث برده، آسيب پذيري هاي آنها را نيز به ارث برده باشد.
اين يعني حفاظت از طريق سندباكس قادر نيست همه مفاهيم سيستم را پوشش دهد، و تهديدات براي اندرويد همچنان باقي مي مانند. پورتهاي باز يكي از منابع مستعد آسيب پذيري هستند، و اخيراً يك آسيب پذيري جديد در برنامه اي از يك شركت چيني پيدا شده كه به روشني نمايشگر اين مشكل مي باشد. خونريزي قلبي نيز شايع ترين مثال مشابه در سال جاري بوده است.
لينوكس همچنين يك منبع مستعد آسيب پذيري محسوب مي شود كه اندرويد بر پايه آن مي باشد. پروتكلهاي شبكه پياده سازي شده در لينوكس همچنين با چالش هاي امنيتي روبرو هستند. كه در صورت استفاده از اين آسيب پذيري ها كاربران در معرض خطر قرار مي گيرند و مهاجمين قادر به اكسپلويت ماشين ها از راه دور خواهند بود. بنابراين سيستم هاي اندرويد كه بطور ناامني از پروتكل هاي مذكور بهره برده اند نيز امكان داشتن اين آسيب پذيري ها را دارند. محققين به دنبال روش هاي مختلف افزايش امنيت اندرويد هستند همچون SELinux، Storage Access Framework و Device Administration. لذا با توجه به اينكه بخش هاي بسياري از سيستم اندرويد هنوز محافظت نشده باقي مانده، آسيب پذيري هاي شبكه از اصلي ترين مشكلات در آينده خواهد بود.