آزمايشگاه امنيت كسپرسكي هشدار داد كه حملات بدافزار جاسوسي Miniduke دوباره بازگشته و طيف وسيعي از كاربران را هدف قرار داده است. اين شركت امنيتي حملات بدافزار Miniduke را در سال 2013 هشدار داده بود و در اين حملات، دولت ها بيشتر قرباني اين نرم افزار جاسوسي بودند. Eugene Kaspersky بنيان گذار و مديرعامل كسپرسكي در خصوص اين بدافزار مي گويد “ما از نويسندگان اين بدافزار تعجب مي كنيم كه در دهه اول 2000 براي مدت زيادي در خاموشي بسر مي بردند، سپس به يكباره فعال و عضو گروه هاي پيچيده از مجرمان سايبري دنيا شدند. نويسندگان اين بدافزار قديمي در گذشته در ايجاد بدافزارهاي پيچيده بسيار موثر عمل مي كردند ولي در حال حاضر مهارت هاي آنها در جنگ با sandboxهاي پيشرفته اي هست كه از اجراي اكسپلويت هاي مختلف و هدف قرار دادن سازمان ها و نهادهاي دولتي و موسسات تحقيقاتي چندين كشور جلوگيري مي كند."
ولي به تازگي به نظر مي رسد زمان هاي بين فعاليت هاي مجدد اين بدافزار كاهش يافته است، و از آخرين گزارش كسپرسكي در اين خصوص تنها يك سال مي گذرد. اخيراً كسپرسكي خبرهايي را در مورد حملات جديد اين بدافزار منتشر كرده است و گمان مي رود كه اين بدافزار Miniduke پيچيده تر و مورد استفاده سازمان هاي مجري قانون باشد. در ضمن در حال حاضر اين بدافزار داراي يك backdoor جديد و قابليت هاي بيشتري از Cosmicduke است. محققان آزمايشگاه كسپرسكي دريافته اند كه نوع قديم بدافزار miniduke كه از سال 2013 نصب شده اند هنوز در برخي كشورها فعال هستند و برخي موسسات و سازمان هاي دولتي را هدف قرار مي دهند.
به علاوه پلتفرم جديد miniduke- Botgenstudio-ممكن است نه تنها توسط هكرهاي حملات هدفمند(APT) بكار گرفته شود بلكه توسط سازمان هاي مجري قانون و مجرمان معمولي نيز مورد استفاده قرار گيرد. Botgenstudio براي ايجاد يك حمله سه جانبه جهت شناسايي، نفوذ و حملات متناوب بكار مي رود. اين نرم افزار به علت وجود ويژگي هاي غيرمنتظره، قربانيان غيرمنتظره نيز دارد.
اما دو احتمال در مورد اين بدافزار وجود دارد. يكي آنكه پلتفرم بدافزار Botgenstudio كه در Miniduke استفاده مي شود به عنوان نرم افزارهاي جاسوسي دولت ها مانند نرم افزار دسترسي از راه دور شركت hacking team جهت استفاده قانوني بكار مي رود. احتمال ديگر آن است كه توسط گروه هاي زيرزميني و كسب و كارهاي مختلف جهت جاسوسي از رقيبان استفاده مي شود.

منابع :

[1] http://www.theinquirer.net/inquirer/news/2353682/kaspersky-tracks-the-return-of-miniduke-spyware
[2] http://www.securelist.com/en/blog/208214341/Miniduke_is_back_Nemesis_Gemina_and_the_Botgen_Studio

شماره: IRCNE2014072240
تاريخ:14/04/93

يك آسيب پذيري بحراني در پلاگين وردپرس يافت شده است كه بيش از 1.7 ميليون بار دانلودشده است و به مهاجمان اجازه مي دهد تا به طور بالقوه كنترل كامل وبلاگي كه از اين پلاگين استفاده مي كند را در اختيار بگيرند.
اين حفره كه توسط محققان شركت امنيتي Sucuri كشف شده است در پلاگين MailPoet Newsletters قرار دارد كه قبلا با نام wysija-newsletters شناخته مي شد.
Daniel Cid، مدير فناوري شركت Sucuri در پستي در يك وبلاگ نوشت: اين مشكل بسيار جدي است زيرا به مهاجم اجازه مي دهد تا هر كاري را كه مي خواهد بر روي وب سايت قرباني انجام دهد. هم چنين به هر فايل PHP اجازه مي دهد تا آپلود شود. اين مساله مي تواند به مهاجم اجازه دهد تا از وب سايت ها براي حملات سرقت هويت، ارسال هرزنامه، ميزباني بدافزار و آلوده كردن مشتريان ديگر استفاده نمايد.
اين آسيب پذيري در MailPoet نسخه 2.6.7 اصلاح شده است در نتيجه تمامي مديران بلاگ وردپرس بايد اين پلاگين را در اسرع وقت به آخرين نسخه ارتقاء دهند.

شماره: IRCNE2014072239
تاريخ:14/04/93

كليد دسترسي حفاظت نشده SSH در محصول Cisco Unified Communications Domain Manager كه براي پشتيباني راه دور مورد استفاده قرار مي گيرد به مهاجمان اجازه مي دهد تا كنترل كامل دستگاه هاي آلوده را در اختيار بگيرند.
Cisco Systems روز چهارشنبه اصلاحيه هايي را براي پلت فرم CUCDM و برنامه هاي نرم افزاري منتشركرد تا مساله راه نفوذ مخفي را در آن ها برطرف نمايد و هم چنين يك آسيب پذيري بحراني را اصلاح نمايد كه به مهاجمان اجازه مي دهد تا دستورات دلخواه را با افزايش حق دسترسي اجرا نمايند.
پلت فرم CUCDM به شركت ها اجازه مي دهد تا برنامه هاي Cisco Unified Communications خود را از يك پلت فرم واحد مديريت نمايند. اين برنامه هاي كاربردي شامل ويدئو، صدا، پيام رساني، پيام فوري و ساير خدمات محيط هاي بزرگ مي باشد.
به مديران شبكه توصيه مي شود تا نرم افزار پلت فرم CUCDM را به نسخه 4.4.2 و نرم افزار برنامه كاربردي CUCDM را به نسخه 8.1.4 ارتقاء دهند.
آسيب پذيري كليد دسترسي SSH مي تواند توسط يك مهاجم راه دور تاييد هويت نشده مورد سوء استفاده قرار بگيرد تا به حساب كاربري root سيستم CUCDM دسترسي يابد.
حفره ديگري كه باعث افزايش حق دسترسي مي شود در نرم افزار برنامه كاربردي CUCDM قرار دارد و به دليل پياده سازي نامناسب كنترل كننده تاييد هويت و تفويض اختيار در واسط مبتني بر وب كابر ايجاد شده است. يك مهاجم مي تواند از اين حفره سوء استفاده نمايد تا اعتبارنامه هاي يك كاربر مديريتي را توسط باز كردن يك URL دستكاري شده خاص تغيير دهد. مهاجم نياز دارد تا به عنوان يك كاربر در سيستم تاييد هويت شود يا يك كاربر فعال را فريب دهدتا بر روي يك لينك مخرب كليك نمايد.
هم چنين نرم افزار برنامه كابردي CUCDM تحت تاثير آسيب پذيري ديگري قرار دارد كه به مهاجمان تاييد هويت نشده اجازه مي دهد تا اطلاعات كاربران پرتال وب را از قبيل تنظيمات دايركتوري تلفن شخصي كاربر، سرعت شماره گيري، Single Number Reach و تنظيمات call forward تغيير دهند.
در حال حاضر براي اين آسيب پذيري اصلاحيه اي در دسترس نيست اما شركت سيسكو در سندي مجزا راه حل هاي مقابله با آسيب پذيري را اعلام كرده است. اين حفره نسخه 10 نرم افزار برنامه كاربردي CUCDM را تحت تاثير قرار نمي دهد.

شماره: IRCNE2014072241
تاريخ: 14/4/93

يك تروجان دسترسي از راه دور جديد براي دستگاه‌هاي اندرويد به نام com.II، در حال تهديد داده‌هاي بانكي، پيام‌هاي كوتاه و ليست تماس كاربران موبايل است.
به گزارش شركت امنيتي FireEye، اين تروجان قادر است ابتدا آنتي ويروس سيستم اندرويد را غيرفعال نمايد و سپس به دنبال برنامه‌هاي بانكي گشته و آنها را با برنامه‌هاي جعلي جايگزين كند. اين بدافزار سپس به‌روز رساني‌هاي برنامه خرابكار را نصب كرده و اقدام به سرقت و ارسال پيام‌هاي كوتاه كرده و به ليست تماس دسترسي پيدا مي‌كند.
وبلاگ FireEye مدعي است كه com.II با تركيب فعاليت‌هاي مختلف ناخوشايند در يك برنامه، بدافزارهاي اندرويدي را به سطح جديدي رسانده است. اين بدافزار داراي يك ويژگي به نام Bank Hijack بوده و هشت بانك را در كره هدف قرار داده است و اين ترس وجود دارد كه اين بانك‌ها به زودي افزايش پيدا كرده و گسترده شوند.
يك متخصص بدافزارها معتقد است كه احتمال زيادي وجود دارد كه اين تروجان براي هدف قرار دادن جوامع بانكي مختلف مورد استفاده قرار گيرد و با توجه به منطقه، زبان و قلمرو فعاليت، تغيير يابد.
به گفته وي، بدافزارهايي با اين طبيعت، نشان دهنده اهميت فروشگاه‌هاي برنامه‎‌ها در امنيت دستگاه‌هاي موبايل هستند. كاربراني كه برنامه‌هايي را از منابعي به جز منابع رسمي قبول مي‌كنند، ريسك بسيار بالاتري در نصب بدافزار دارند. فروشگاه‌هاي گوگل و اپل نقش بسيار مهمي در محافظت كاربران عادي در برابر بدافزارها دارند. خطرات ساير منابع براي دريافت برنامه‌ها بسيار واقعي است.
اين بدافزار براي به دست آوردن دسترسي مورد نياز خود، تحت عنوان يك Google Services Framework از كاربران مي‌خواهد كه آن را با حق دسترسي مديريتي نصب نمايند. سپس اين تروجان گزينه uninstall را غيرفعال مي‌كند. از 54 آنتي ويروس تست شده توسط محققان، فقط 5 آنتي ويروس قادر بوده‌اند اين بدافزار را با موفقيت تشخيص دهند.

شماره: IRCNE2014072238
تاريخ: 14/4/93

اوراكل به پشتيباني از جاوا بر روي ويندوز XP پايان داد. در نتيجه، به‌روز رساني‌هاي امنيتي سه ماهه كه براي پانزدهم جولاي برنامه‌ريزي شده‌اند، شامل هيچ ترميمي براي ويندوز XP نخواهند بود.
اين شركت در يك سؤال متداول بر روي سايت جاواي خود تأكيد كرده است كه اتمام دوره پشتيباني مايكروسافت از ويندوز XP، دليل اوراكل براي اين تصميم‌گيري است. كاربران مي‌توانند همچنان جاوا 7 را با قبول ريسك آن اجرا نمايند. جاوا 8 (نسخه اصلي بعدي جاوا) براي ويندوز XP در دسترس نخواهد بود.
مدير عامل شركت امنيتي دانماركي Hemidal Security در يادداشتي نوشت كه پس از اينكه اين به‌روز رساني‌ها اعمال گردند، ديگر جاوا بر روي ويندوز XP بارگذاري نخواهد شد. به گفته وي، نسخه‌هاي جديد جاوا عبارتند از 7u65 و 8u11.
مدير محصول جاوا در اوراكل نوشت:
«همانطور كه مي‌دانيد مايكروسافت ديگر ويندوز XP را پشتيباني نمي‌كند و به كاربران خود توصيه كرده است كه به جهت داشتن محيطي پايدار و امن، به نسخه‌هاي جديدتر ويندوز مهاجرت نمايند.
اوراكل نيز همين توصيه را به كاربران جاواي ويندوز دارد و همچنين توصيه مي‌كند كه با جديدترين نسخه امنيتي جاواي 7 و 8 به‌روز باشند. جاوا 8 داراي يك سري مسائل عدم سازگاري با ويندوز XP است، به همين دليل اين جاوا بر روي ويندوز XP پشتيباني نمي‌شود. البته ما به دنبال راه‌هايي براي حل اين مسأله هستيم.
در حال حاضر ما كاربران جاواي ويندوز XP را با به‌روز رساني آنها به آخرين به‌روز رساني امنيتي جاوا 7 امن خواهيم كرد. كاربران جاواي نسخه‌هاي جديدتر ويندوز مي‌توانند بين جاوا 7 و جاوا 8 انتخاب كنند و بر اساس انتخاب خود به‌روز رساني‌هاي امنيتي را دريافت نمايند.»
بر اساس اين توضيحات مشخص نيست كه كاربران ويندوز XP در آينده قادر به استفاده از جاوا باشند يا نه و بايد ريسك آن را خود بپذيرند.

شماره: IRCNE2014072237
تاريخ:14/04/93

شركت مايكروسافت اطلاعاتي در خصوص به روز رساني هاي سه شنبه اصلاحيه ماه ژوئيه 2014 منتشر كرد. روز سه شنبه 8 ژوئيه، شش به روز رساني براي محصولات مايكروسافت منتشر خواهد شد كه دو به روز رساني در رده امنيتي بحراني قرار دارند.
سه اصلاحيه ويندوز در رده امنيتي مهم قرار دارند كه تمام آن ها مشكلات مربوط به افزايش حق دسترسي مي باشد. هم چنين يك به روز رساني براي "Microsoft Service Bus for Windows Server" در رده امنيتي متوسط قرار دارد و مربوط به آسيب پذيري انكار سرويس مي باشد.
طبق روال گذشته شركت مايكروسافت نسخه جديد ابزار Windows Malicious Software Removal Tool و تعدادي به روز رساني غيرامنيتي را منتشر خواهد كرد.

ID: IRCNE2014072241
Date: 2014-07-05

According to “ITPro”, A new remote access Trojan malware for Android devices, dubbed com.II, is threatening users’ mobile banking data, SMS messages and contact lists.
According to a blog by security vendor FireEye, the offending RAT is able to disable anti-virus systems Android users have in place, before scanning for banking apps and replacing them with fake ones. The malware then installs malicious app updates, steals and sends SMS messages and gains access to contact lists.
The blog claims that com.II “takes Android malware to a new level” by combining so many unwanted activities into a single app. The malware contains a feature called ‘Bank Hijack’ and is targeting eight banks in Korea, with fears this could quickly expand to many more.
Paco Hope, principle consultant with Cigital and a UK-based malware expert, restated concerns the RAT could pose a significant threat to mobile banking customers worldwide.
Speaking to SCMagazineUK, he said: “Because of its abstraction, it is likely that it will be used to target lots of different banking populations, and will probably be customised by region, language or jurisdiction.
“Malware of this nature also highlights the role the app store plays in securing a device. Users who accept apps from sources other than the official stores run a much higher risk of installing malware. For all their faults, the official Google and Apple stores play a significant role in protecting the average user from malware. The dangers of third-party app sources are very real.”
To gain access, the malware poses as a ‘Google Services Framework’ asking users to install it with administrative privileges enabled. It then disables the uninstall option. Of 54 anti-virus systems tested by researchers, only five successfully detected the malware.

Number: IRCNE2014072240
Date: 2014-07-05

According to “computerworld”, a critical vulnerability found in a WordPress plug-in that has been downloaded over 1.7 million times allows potential attackers to take complete control of blogs that use it.
The flaw is located in the MailPoet Newsletters plug-in, previously known as wysija-newsletters, and was discovered by researchers from Web security firm Sucuri.
"This bug should be taken seriously; it gives a potential intruder the power to do anything he wants on his victim's website," Daniel Cid, Sucuri's chief technology officer, said in a blog post Tuesday. "It allows for any PHP file to be uploaded. This can allow an attacker to use your website for phishing lures, sending SPAM, hosting malware, infecting other customers (on a shared server), and so on!"
The vulnerability was patched in MailPoet version 2.6.7, released Tuesday, so all WordPress blog administrators should upgrade the plug-in to the latest version as soon as possible if they use it.

Number: IRCNE2014072239
Date: 2014-07-05

According to “computerworld”, an unprotected SSH access key left inside the Cisco Unified Communications Domain Manager product for remote support purposes allows attackers to take complete control of affected deployments.
Cisco Systems released updates Wednesday for the CUCDM platform and application software to correct the backdoor issue and also fix another critical vulnerability that could allow attackers to execute arbitrary commands with privileged access.
CUCDM allows companies to manage their Cisco Unified Communications applications from a single platform. These applications provide video, voice, messaging, mobility, instant messaging (IM) and other collaboration services for enterprise environments.
Administrators are advised to upgrade the CUCDM platform software to version 4.4.2 and the CUCDM application software to version 8.1.4.
The SSH access key issue can be exploited by an unauthenticated remote attacker to access the CUCDM system's root account, which has the highest privileges.
The other flaw, which enables privilege escalation, is located in the CUCDM application software and stems from the improper implementation of authentication and authorization controls for the Web-based user interface. An attacker can exploit the flaw to change the credentials of an administrative user by opening a specifically crafted URL. The attacker needs to be authenticated as a different user in the system or to trick an active user to click on a malicious link.
The CUCDM application software is also affected by a separate vulnerability that allows unauthenticated attackers to access and modify the information of Web portal users such as settings in the user personal phone directory, speed dials, Single Number Reach, and call forward settings.
There is currently no patch for this vulnerability, but the company has provided mitigation instructions in a separate support document. The flaw will not affect version 10 of the CUCDM application software that's expected to be released in September.

ID: IRCNE2014072238
Date: 2014-07-05

According to “ZDNet”, Oracle has quietly ended all support for Java on Windows XP.
As a result, the quarterly security updates scheduled for July 15 will not include any fixes for Windows XP.
In an FAQ on the Java site the company states that Microsoft's end of support for Windows XP is the reason for Oracle's decision to end support. Users may still run Java 7 at their own risk. Java 8, the next major version, will not be available for Windows XP.
In a press release, Morten Kjaersgaard, CEO of Danish IT security firm Heimdal Security says that after the updates are applied, Java will no longer load on Windows XP. The new Java versions will be 7u65 and 8u11, according to Kjaersgaard.
We asked Oracle for a comment and received this statement from Henrik Stahl, vice president for product Management at Java:
"As you know, Microsoft no longer supports Windows XP and recommend their users to upgrade to more recent versions in order to maintain a stable and secure environment.
Oracle makes the same recommendation to our users running Java on Windows, and also has a standing recommendation that users stay current with the most recent Java security baseline — currently available for the public for Java 7 and 8. There are a few compatibility issues with Java 8 on Windows XP, since it is not an officially supported configuration. We are looking at ways to resolve these.
For now, we will keep Java users on Windows XP secure by updating them to the most recent Java 7 security update on an ongoing basis. Java users on more recent Windows versions can choose between Java 7 and 8, and depending on their choice will be kept up to date with the most recent Java 7 or 8 security update respectively."
Based on this statement and the language in the FAQ linked to above, it appears that Oracle's policy is that future Java updates may or may not work on Windows XP. You run them at your own risk. Kjaersgaard says that the current test versions of those updates do not work on Windows XP, but perhaps that will change by July 15.