يك آسيب پذيري بسيار مهم در OpenSSL كشف شده است كه به Heartbeat مشهور مي باشد. اين آسيب پذيري مربوط به ماژول Heartbeat در OpenSSL بوده كه مي تواند اطلاعات محافظت شده را در شرايط عادي به سرقت ببرد. در واقع با سواستفاده از اين ويژگي، مهاجم به حافظه اطلاعات مبادله شده ميان سرور و كلاينت و بالعكس دست مي يابد. اين آسيب پذيري ارتباط هاي بانك‌هاي اينترنتي را نيز تهديد مي‌كند.
SSL/TLS ارتباط امن و محافظت شده در اينترنت را براي برنامه كاربردي از قبيل وب، ايميل، شبكه هاي VPN ، وب سرورهاي منبع باز مانند Apache و nginx و سرور پست الكترونيك مانند SMTP، POP و IMAP و چت سرور XMPP برقرار مي نمايد.
مهاجم با استفاده از اين آسيب پذيري مي تواند حافظه سيستم را بخواند و به كليد محرمانه رمزنگاري ترافيك و ديتاي نام هاي كاربري و رمز عبور دسترسي يابد و از اين طريق امكان شنود ارتباطات، سرقت ديتا، پست الكترونيك و مستندات مربوط به سرويسها، كاربران و همچنين شخصي سازي آنها را پيدا مي كند. آسيب پذيري شناسايي شده مربوط به خطاي برنامه نويسي در كتابخانه OpenSSL مي باشد.
جزييات آسيب پذيري Heartbeat در CVE-2014-0160 در تاريخ 7 اوريل اعلام شده است. بر اساس گفته شركت OpenSSL ، آسيب پذيري نسخه هاي مذكور در نسخه 1.0.2-beta2 برطرف مي گردد.

نسخه هاي آسيب پذير
نسخه هاي 1.0.1 و 1.0.2-beta از openSSL و 1.0.1f و 1.0.2-beta1 آسيب پذير مي باشند.

سيستم عامل هاي زير آسيب پذير به نقطه ضعف ذكر شده مي باشند:

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

راهكارهاي شناسايي و مقابله

• سيستم هاي آسيب پذير مي بايست سريعا به نسخه 1.0.1g ارتقا يافته و يا با دستور زير OpenSSL را مجددا تنظيم نمايند.

-DOPENSSL_NO_HEARTBEATS

• شركتهاي سيستم عامل، برنامه هاي كاربردي و نرم افزاري مي بايست تغييرات لازم را در محصولات خود ايجاد نموده و كاربران و مشتريان خود را مطلع نمايند.
• شركتهاي ارايه دهنده خدمات اينترنت و كاربران آنها مي بايست وصله هاي مربوط به سيستم عامل و نرم افزارهاي خود را نصب نمايند.
• نصب وصله ها، عدم استفاده از كليدهاي به سرقت رفته و ايجاد كليد جديد در گواهينامه ها توسط CA ها از ديگر راهكارهاي مقابله با آسيب پذيري مي باشد.
• تغيير رمز عبور ، كليد و كوكي مربوط به نشست ها مي بايست غير معتبر قلمداد شود و تغيير يابد.
• با وجود اينكه محتواي Hearbeat رمز شده است ولي در پروتكل OpenSSL قابل تشخيص است كه منجربه شناسايي آن توسط IDS/IPS ها مي گردد. تا زمانيكه Heartbeat بطوركامل در ترافيك مسدود نگردد، با مانيتورينگ ترافيك و مقايسه سايز بسته هاي درخواست و پاسخ امكان شناسايي اين حمله وجود دارد. IDS/IPS ها تنها قادر به شناسايي بوده و امكان مسدود سازي حمله را ندارند.
• اطلاعات مالي، شخصي، پست الكترونيك، مستنداتي كه توسط اين متد رمز شده اند مي بايست توسط ارايه دهنده سرويس به روز شده و به كاربران سرويس اطلاع داده شود.

Number:IRCNE2014042173
Date: 2014-04-26

According to “computerworld”, some Android apps thought to be vulnerable to the Heartbleed bug were spared because of a common coding error in the way they implemented their own native OpenSSL library.
FireEye scanned 54,000 Android applications in Google's Play store on April 10 to see which ones are vulnerable to Heartbleed. The flaw, publicly disclosed on April 7, is contained in OpenSSL, a code library used to encrypt data traffic.
The security company found several games and office-based mobile applications that are vulnerable to the bug, mostly because the applications use their native OpenSSL library rather than the one in the Android OS. Google said Android was mostly immune to Heartbleed.
The Heartbleed flaw is a buffer overflow vulnerability in which a server returns too much information, divulging user credentials and sensitive data such as the private key for an SSL certificate.
But it can also be used to attack applications. FireEye said attacking a game could yield its OAuth token, an authentication token, which could be used to hijack an account or linked social networking accounts.
At first glance, some Android office productivity applications also appeared to be vulnerable. But the researchers found a common coding mistake actually meant the Heartbleed bug wouldn't work.
"A deeper look shows that these apps either make a mistake in the native code linkage or just contain dead code," wrote the FireEye researchers.
"Therefore, when they try to invoke SSL functions, they directly use the non-vulnerable OpenSSL library contained within the Android OS, instead of using the vulnerable library provided by the app."

شماره: IRCNE2014042172
تاريخ:03/02/93

روز گذشته شركت اپل يك به روز رساني امنيتي را براي OS X منتشر كرد كه در آن 25 آسيب پذيري در Mavericks، جديدترين سيستم عامل اين شركت و 7 مشكل در نسخه هاي قديمي تر اصلاح شده است.
در به روز رساني روز سه شنبه، علاوه بر اصلاحيه هاي Mavericks، دو مشكل در Lion و 7 مشكل در Mountain Lion برطرف شده است.
شركت اپل انتشار اصلاحيه براي OS X Snow Leopard را متوقف كرد. اين نسخه از ميكنتاش در سال 2009 منتشر شده بود و تنها 17 درصد از كاربران مكينتاش از اين نسخه استفاده مي كنند.
به روز رساني روز گذشته، حاوي اصلاحيه هايي براي چندين آسيب پذيري run-of-the-mill است. اين آسيب پذيري يك مشكل تجزيه فونت هنگام مشاهده PDFهاي بدريخت مي باشد.
در راهنمايي امنيتي شركت اپل آمده است كه يك مهاجم با حق دسترسي موقعيت شبكه ممكن است داده ها را مشاهده كند يا عمليات انجام شده در نشست هاي حفاظت شدهتوسط SSL را تغيير دهد. اين آسيب پذيري مربوط به سوء استفاده Heartbleed نمي باشد.
هم چنين اين شركت مشكلات Secure Transport را برطرف كرده است. شركت اپل براي پياده سازي SSL و TLS در سيستم عامل هاي Mavericks و Mountain Lion نام Secure Transport را انتخاب كرده است. اين مشكل نسخه Lion و نسخه هاي پيش از سيستم عامل Mac را تحت تاثير قرار نمي دهد.
در يك به روز رساني جداگانه، اين شركت مشكلات پياده سازي Secure Transport در iOS 7.1.1 را برطرف كرد. اين اصلاحيه نيز چند حفره ديگر را اصلاح كرده است. بسياري از اين مشكلات مربوط به WebKit، موتور منبع باز مرورگر سافاري مي باشند.

شماره: IRCNE2014042171
تاريخ:03/02/93

بدافزاري دستگاه هاي قفل شكسته آيفون و آي پد را آلوده كرده است. اين بدافزار اعتبارنامه هاي حساب كاربري را از ترافيك رمزگذاري شده SSL به سرقت مي برد.
اين تهديد زماني كشف شد كه تعدادي از كاربران گزارش دادند كه به دليل افزونه MobileSubstrate با نام Unflod در اجراي برخي از برنامه ها با مشكل مواجه شده اند.
افزونه MobileSubstrate كه درحال حاضر Cydia Substrate ناميده مي شود يك چارچوب كاري براي دستگاه هاي قفل شكسته مي باشد كه به توسعه دهندگان اجازه مي دهد تا تغييرات iOS را ايجاد نمايند.
Paul Ducklin يك از مديران شركت امنيتي Sophos در پستي در وبلاگ نوشت: Substrate به كاربران اجازه مي دهد تا عملكرد iOS را بر روي دستگاه هاي قفل شكسته در مواردي كه توسط اپل تعمدا ممنوع شده است، تغيير دهند.
به نظر مي رسد كه برخي يك كتابخانه پويا براي Cydia Substrate ايجاد كردند تا به تابع SSLWrite معتبر iOS متصل شود و داده ها را قبل از رمزگذاري شدن و ارسال بر روي ارتباط امن SSL بخواند. اين كتابخانه جعلي Unflod.dylib نام دارد اما هم چنين با نام framework.dylib مشاهده شده است.
پس از اتصال اين كتابخانه به تابع SSLWrite، اين بدافزار ترافيك ها را به منظور يافتن درخواست هاي تاييد هويت مانتيور مي كند. سپس شناسه كاربري و رمز عبور كاربران را از ميان داده ها استخراج كرده و به يكي از دو آدرس IP ثبت شده ارسال مي كند.
هم چنان مشخص نيست كه اين كتابخانه مخرب چگونه بر روي دستگاه هاي قفل شكسته نصب شده است اما كاربران و محققان احتمال مي دهند كه بسته هايي كه از مخزن هاي غيررسمي دريافت مي شود ممكن است منبع آلودگي باشد.
محققان SektionEins اظهار داشتند: در حال حاضر انجمن jailbreak بر اين باور است كه حذف باينري Unflod.dylib/framework.dylib و تعويض رمزهاي عبور شناسه اپل براي حفاظت در برابر حملات اين بدافزار كافي است.

Number:IRCNE2014042172
Date: 2014-04-23

According to “computerworld”, Apple today issued a security-only update for OS X, patching 25 vulnerabilities in Mavericks, its newest operating system, and 7 bugs in older editions.
Along with the two-dozen-plus-one patches for Mavericks, the update also addressed two bugs in Lion and seven in Mountain Lion, the precursors to Mavericks which shipped in 2011 and 2012, respectively.
Apple has stopped shipping security updates for OS X Snow Leopard, the 2009 edition that powered 17% of all Macs last month.
Security Update 2014-002 contained patches for several run-of-the-mill vulnerabilities, a font parsing bug while viewing malformed PDFs.
"An attacker with a privileged network position may capture data or change the operations performed in sessions protected by SSL," read Apple's advisory for CVE-2014-1295.
Although the vulnerability wasn't associated with the Heartbleed exploit -- the flaw in OpenSSL that has made headlines for the two weeks -- the mere mention of "SSL" in Apple's advisory was enough to instantly put the bug in the limelight.
The Cupertino, Calif. company patched its Secure Transport -- Apple's name for its implementation of SSL and TLS (Transport Layer Security) -- in Mavericks and Mountain Lion. The bug did not affect Lion and earlier editions of the Mac operating system.
In a separate update, Apple also patched iOS's implementation of Secure Transport with iOS 7.1.1. The update fixed a number of other flaws, most of them in WebKit, the open-source browser engine that powers Safari.
Security Update 2014-002, an 80MB download for Mavericks, can be retrieved by selecting "Software Update..." from the Apple menu, or by opening the Mac App Store application and clicking the Update icon at the top right.

Number:IRCNE2014042171
Date: 2014-04-23

According to “computerworld”, a malware campaign of yet-to-be-determined origin is infecting jailbroken iPhones and iPads to steal Apple account credentials from SSL encrypted traffic.
The threat was discovered after some users reported on Reddit that they experienced crashes in some applications as a result of a mysterious MobileSubstrate add-on called Unflod.
MobileSubstrate, now called Cydia Substrate, is a framework for jailbroken devices that allows developers to create modifications for iOS.
"This 'substrate' allows you to extend and to modify the behaviour of iOS in ways that are deliberately prohibited by Apple on unjailbroken devices" wrote Paul Ducklin, the head of technology for Asia-Pacific at antivirus vendor Sophos, in a blog post Monday.
It appears that someone created a dynamic library for Cydia Substrate that hooks the legitimate iOS SSLWrite function to read data before it's encrypted and sent over a secure SSL connection. The rogue library is called Unflod.dylib, but instances with the name framework.dylib have also been observed.
After hooking the SSLWrite function, the malware monitors traffic for authentication requests with Apple's services. It then extracts Apple IDs and passwords from the data and sends them to one of two hardcoded IP (Internet Protocol) addresses.
It's not clear how the malicious Unflod.dylib library gets installed on jailbroken devices, but users and researchers have advanced the possibility that packages from unofficial repositories might be the source of infection.
"Currently the jailbreak community believes that deleting the Unflod.dylib/framework.dylib binary and changing the Apple ID's password afterwards is enough to recover from this attack," the SektionEins researchers said.
"However it is still unknown how the dynamic library ends up on the device in the first place and therefore it is also unknown if it comes with additional malware gifts. We therefore believe that the only safe way of removal is a full restore, which means the removal and loss of the jailbreak," the researchers added.

شماره: IRCNE2014042170
تاريخ:01/02/93

محققان امنيتي دريافتند كه بسياري از سيستم هاي ارتباطي ماهواره اي داراي آسيب پذيري و حفره هاي امنيتي مي باشند كه مي توانند به مهاجمان اجازه دهند تا از راه دور ارتباطات را ردگيري، دستكاري و يا مسدود نمايند و در برخي از موارد كنترل كامل ارتباطات حساس را در اختيار بگيرند.
در فاصله ماه هاي اكتبر تا دسامبر سال گذشته، محققان IOActive به تجزيه و تحليل ميان افزار معروف ترين دستگاه هاي ارتباطي ماهواره اي (SATCOM) پرداختند. اين دستگاه ها در زيرساخت هاي حياتي، نظامي، فضايي، دريايي و ساير بخش هاي ديگر استفاده مي شوند. در اين تحقيق محصولات ساخته شده توسط Harris، Hughes Network Systems، Cobham، Thuraya Telecommunications، Japan Radio Company (JRC) و Iridium Communications مورد بررسي قرار گرفتند. اين كاوش بيشتر بر روي ترمينال هاي SATCOM كه بر روي زمين، هوا و دريا از آن استفاده مي شود، متمركز شده است و تجهيزات ارتباطي ماهواره اي كه در فضا از آن استفاده مي كنند، مورد مطالعه قرار نگرفته است.
روز پنج شنبه محققان IOActive گزارشي را منتشر كردند. در اين گزارش آمده است كه تحقيقات نشان مي دهد تمامي دستگاه هاي نام برده مي توانند توسط يك فرد خرابكار مورد سوء استفاده قرار گيرند. اين تحقيقات نشان داد كه چه عواملي باعث شده است تا در اين دستگاه ها راه نفوذ مخفي وجود داشته باشد و هم چنين از پروتكل هاي ناامن و نامعتبر و الگوريتم هاي ضعيف رمزگذاري استفاده شده باشد.
محققان ادعا مي كنند كه اين آسيب پذيري ها به مهاجمان راه دور اجازه مي دهند تا بدون تاييد هويت كنترل سيستم هاي آسيب پذير را در اختيار بگيرند. در برخي از موارد براي سوء استفاده از آُسيب پذيري نيازي به تعامل با كاربر نيست. مي توان در برخي از سيستم هاي SATCOM تنها با ارسال يك SMS ساده يا پيام هاي دستكاري شده خاص از يك دستگاه به دستگاه ديگر حمله اي موفقيت آميز را انجام داد.
به عنوان مثال، آسيب پذيري هايي كه در ترمينال هاي BGAN شركت Harris كشف شده است به مهاجمان اجازه مي دهد تا ميان افزاري مخرب را نصب نمايند يا كدهاي دلخواه را اجرا كنند. هم چنين ترمينال هاي Hughes BGAN M2M حاوي آسيب پذيري هايي است كه مي تواند به مهاجمان اجازه دهد تا حملات جعل كردن و انكار سرويس را راه اندازي نمايند، خرابي هاي فيزيكي را ايجاد كنند و داده ها را تغيير دهند. اين ترمينال ها مي توانند از راه دور و از طريق پيام هاي SMS كنترل شوند.
گزارش منتشر شده حاوي جزئيات فني در خصوص حفره هاي شناساسي شده نمي باشد تا افراد خرابكار نتوانند از آن ها سوء استفاده نمايند. اما محققان قصد دارند تا اين جزئيات را اواخر امسال منتشر كنند.
IOActive اعلام كرد كه در حال همكاري با CERT/CC مي باشد تا درخصوص اين حفره ها به توليدكنندگان دستگاه هاي آسيب پذيري هشدار دهند. متاسفانه به غير از Iridium، ساير توليدكنندگان برنامه اي براي برطرف كردن اين مساله ندارند. آن ها هم چنان به درخواست هاي CERT/CC پاسخي نداده اند.
اين گروه امنيتي به سازندگان و فروشندگان ترمينال هاي SATCOM توصيه مي كند تا دسترسي عمومي به نسخه هاي به روز رساني ميان افزار دستگاه ها را از روي وب سايت خود حذف نمايند و دسترسي به اين قبيل نرم افزارها را كنترل كنند تا در آينده ديگران نتوانند اين آسيب پذيري ها يا آسيب پذيري هاي ديگر را شناسايي نمايند.
محققان اظهار داشتند: در صورتي كه يكي از اين دستگاه هاي آسيب پذيري بتواند مورد حمله واقع شود، كل زير ساخت SATCOM مي تواند در معرض خطر قرار گيرد. تمامي كشتي ها، سفينه ها، افراد نظامي، سرويس هاي اضطراري، سرويس هاي رسانه و امكانات صنعتي مي توانند تحت تاثير اين آسيب پذيري ها قرار بگيرند.

Number:IRCNE2014042170
Date: 2014-04-21

According to “computerworld”, Security researchers have found that many satellite communication systems have vulnerabilities and design flaws that can let remote attackers intercept, manipulate, block and in some cases take full control of critical communications.
Between October and December last year, researchers from IOActive analyzed the firmware of popular satellite communications (SATCOM) devices that are used in the military, aerospace, maritime, critical infrastructure and other sectors. The research covered products manufactured or marketed by Harris, Hughes Network Systems, Cobham, Thuraya Telecommunications, Japan Radio Company (JRC) and Iridium Communications. The analysis focused on SATCOM terminals that are used on ground, in the air and at sea, not satellite communications equipment in space.
"IOActive found that all devices within the scope of this research could be abused by a malicious actor," the IOActive researchers said in a report published Thursday. "We uncovered what would appear to be multiple backdoors, hardcoded credentials, undocumented and/or insecure protocols, and weak encryption algorithms."
"These vulnerabilities allow remote, unauthenticated attackers to compromise the affected products," the researchers said. "In certain cases no user interaction is required to exploit the vulnerability; just sending a simple SMS or specially crafted message from one ship to another ship would be successful for some of the SATCOM systems."
For example, vulnerabilities that IOActive claims to have found in mobile Harris BGAN terminals would allow attackers to install malicious firmware or execute arbitrary code.
The Hughes BGAN M2M terminals, which are used in the utilities, oil and gas, retail banking and environment monitoring sectors, also contain vulnerabilities that could allow attackers to perform fraud, launch denial-of-service attacks, cause physical damage and spoof data, according to IOActive. These satellite user terminals can be controlled remotely via SMS messages, the company's researchers said.
The published paper does not contain any technical details about the identified flaws in order to avoid their exploitation by malicious parties. However, the researchers plan to release such details later this year.
IOActive claims that it worked with the CERT Coordination Center (CERT/CC) to alert affected vendors about the vulnerabilities in their products.
"Unfortunately, except for Iridium, the vendors did not engage in addressing this situation," the researchers said. "They did not respond to a series of requests sent by the CERT Coordination Center and/or its partners."
The team recommends that SATCOM terminals manufacturers and resellers remove publicly accessible copies of the device firmware updates from their websites and strictly control access to such software in the future in order to prevent others from identifying the same or other vulnerabilities.
"If one of these affected devices can be compromised, the entire SATCOM infrastructure could be at risk," the researchers said. "Ships, aircraft, military personnel, emergency services, media services, and industrial facilities (oil rigs, gas pipelines, water treatment plants, wind turbines, substations, etc.) could all be impacted by these vulnerabilities."

شماره: IRCNE2014042169
تاريخ:31/01/93

مجرمان سايبري در حال استفاده از يك برنامه تروجان اندرويدي مي باشند كه براي بانكداري الكترونيكي طراحي شده و كاربران فيس بوك را هدف حمله قرار داده است. احتمالا اين برنامه مي تواند تاييد هويت دو مرحله اي را در شبكه هاي اجتماعي دور بزند.
محققان امنيتي از شركت آنتي ويروس ESET نوع جديدي از تروجان بانكداري رايانه با عنوان Qadarsراشناسايي كردند. اين تروجان هنگامي كه در مرورگر يك سيستم آلوده باز مي شود، كدهاي جعلي جاوا اسكريپت را به صفحات فيس بوك تزريق مي كند. كد تزريق شده پيام هايي را براي كاربران توليد مي كند كه با پيروي از اين پيام ها كاربر، بدافزار را دانلود و نصب مي نمايد.
اين حملات man-in-the-browser با عنوان Webinjects شناخته مي شوند و از زمان هاي گذشته بوسيله تروجان هاي رايانه اي براي نمايش فرم هاي تقلبي وب برو روي وب سايت هاي بانكداري آنلاين نمايش داده مي شدند و از اين طريق اعتبارنامه هاي ورودي كاربران و ساير اطلاعات حساس مالي آن ها را به سرقت مي بردند.
Webinjectها به طور معمول براي ايجاد پيام هايي استفاده مي شوند كه كاربر را راهنمايي مي كند كه چگونه برنامه هاي مخرب را بر روي دستگاه تلفن همراه خود دانلود و نصب نمايد. اين برنامه ها وانمود مي كنند كه براي ارتباط با موسسات مالي به اين برنامه هاي امنيتي نياز است.
در ماه فوريه محققان امنيتي RSA گزارش دادند كه كد منبع يك تروجان پيشرفته اندرويدي با عنوان iBanking در فروم هاي زيرزميني منتشر شده است و هشدار دادند كه مجرمان سايبري مي توانند در آينده از اين مساله سوء استفاده نمايند و كاربران تلفن همراه را در معرض خطر قرار دهند.
اين امكان وجود دارد كه مهاجمان از iBanking استفاده كنند تا كدهاي امنيتي كه از طريق SMS توسط سيستم تاييد هويت دو مرحله اي فيس بوك فرستاده مي شود را سرقت نمايند. هم چنين اين امكان وجود دارد كه مهاجمان روش استفاده از Webinject بر روي فيس بوك را انتخاب نمايد زيرا باعث مي شود تا اين بدافزار بر روي طيف گسترده اي از كاربران توزيع شود.

شماره: IRCNE2014042168
تاريخ:31/01/93

شركت اوراكل فهرستي از نرم افزارهاي اين شركت كه ممكن است تحت تاثير آسيب پذيري OpenSSL قرار گرفته باشند را منتشر كرد. اين شركت اعلام كرد كه تاكنون براي محصولات آسيب پذير، اصلاحيه اي صادر نشده است.
در اين ميان 100 محصول اين شركت به دليل عدم استفاده از OpenSSL و يا عدم استفاده از نسخه هاي آسيب پذير OpenSSL تحت تاثير اين آسيب پذيري قرار نگرفته اند. اما اين شركت اعلام كرد كه در حال بررسي اين آسيب پذيري در 20 محصول ديگر آن از جمله Connector/C++، Oracle SOA Suite، Nimbula Director مي باشد.
شركت اوراكل تاييد كرد كه هفت محصول اين شركت شامل Communications Operation Monitor، MySQL Enterprise Monitor، MySQL Enterprise Server 5.6، Oracle Communications Session Monitor، Oracle Linux 6، Oracle Mobile Security Suite و Solaris 11.2 آسيب پذير مي باشند و به اصلاحيه نياز دارند. 14 محصول ديگر از جمله BlueKai، Java ME و MySQL Workbench ممكن است كه آُسيب پذير باشند اما در حال حاضر اين شركت برنامه اي براي انتشار اصلاحيه آن ها ندارد.