شماره: IRCNE2014042170
تاريخ:01/02/93

محققان امنيتي دريافتند كه بسياري از سيستم هاي ارتباطي ماهواره اي داراي آسيب پذيري و حفره هاي امنيتي مي باشند كه مي توانند به مهاجمان اجازه دهند تا از راه دور ارتباطات را ردگيري، دستكاري و يا مسدود نمايند و در برخي از موارد كنترل كامل ارتباطات حساس را در اختيار بگيرند.
در فاصله ماه هاي اكتبر تا دسامبر سال گذشته، محققان IOActive به تجزيه و تحليل ميان افزار معروف ترين دستگاه هاي ارتباطي ماهواره اي (SATCOM) پرداختند. اين دستگاه ها در زيرساخت هاي حياتي، نظامي، فضايي، دريايي و ساير بخش هاي ديگر استفاده مي شوند. در اين تحقيق محصولات ساخته شده توسط Harris، Hughes Network Systems، Cobham، Thuraya Telecommunications، Japan Radio Company (JRC) و Iridium Communications مورد بررسي قرار گرفتند. اين كاوش بيشتر بر روي ترمينال هاي SATCOM كه بر روي زمين، هوا و دريا از آن استفاده مي شود، متمركز شده است و تجهيزات ارتباطي ماهواره اي كه در فضا از آن استفاده مي كنند، مورد مطالعه قرار نگرفته است.
روز پنج شنبه محققان IOActive گزارشي را منتشر كردند. در اين گزارش آمده است كه تحقيقات نشان مي دهد تمامي دستگاه هاي نام برده مي توانند توسط يك فرد خرابكار مورد سوء استفاده قرار گيرند. اين تحقيقات نشان داد كه چه عواملي باعث شده است تا در اين دستگاه ها راه نفوذ مخفي وجود داشته باشد و هم چنين از پروتكل هاي ناامن و نامعتبر و الگوريتم هاي ضعيف رمزگذاري استفاده شده باشد.
محققان ادعا مي كنند كه اين آسيب پذيري ها به مهاجمان راه دور اجازه مي دهند تا بدون تاييد هويت كنترل سيستم هاي آسيب پذير را در اختيار بگيرند. در برخي از موارد براي سوء استفاده از آُسيب پذيري نيازي به تعامل با كاربر نيست. مي توان در برخي از سيستم هاي SATCOM تنها با ارسال يك SMS ساده يا پيام هاي دستكاري شده خاص از يك دستگاه به دستگاه ديگر حمله اي موفقيت آميز را انجام داد.
به عنوان مثال، آسيب پذيري هايي كه در ترمينال هاي BGAN شركت Harris كشف شده است به مهاجمان اجازه مي دهد تا ميان افزاري مخرب را نصب نمايند يا كدهاي دلخواه را اجرا كنند. هم چنين ترمينال هاي Hughes BGAN M2M حاوي آسيب پذيري هايي است كه مي تواند به مهاجمان اجازه دهد تا حملات جعل كردن و انكار سرويس را راه اندازي نمايند، خرابي هاي فيزيكي را ايجاد كنند و داده ها را تغيير دهند. اين ترمينال ها مي توانند از راه دور و از طريق پيام هاي SMS كنترل شوند.
گزارش منتشر شده حاوي جزئيات فني در خصوص حفره هاي شناساسي شده نمي باشد تا افراد خرابكار نتوانند از آن ها سوء استفاده نمايند. اما محققان قصد دارند تا اين جزئيات را اواخر امسال منتشر كنند.
IOActive اعلام كرد كه در حال همكاري با CERT/CC مي باشد تا درخصوص اين حفره ها به توليدكنندگان دستگاه هاي آسيب پذيري هشدار دهند. متاسفانه به غير از Iridium، ساير توليدكنندگان برنامه اي براي برطرف كردن اين مساله ندارند. آن ها هم چنان به درخواست هاي CERT/CC پاسخي نداده اند.
اين گروه امنيتي به سازندگان و فروشندگان ترمينال هاي SATCOM توصيه مي كند تا دسترسي عمومي به نسخه هاي به روز رساني ميان افزار دستگاه ها را از روي وب سايت خود حذف نمايند و دسترسي به اين قبيل نرم افزارها را كنترل كنند تا در آينده ديگران نتوانند اين آسيب پذيري ها يا آسيب پذيري هاي ديگر را شناسايي نمايند.
محققان اظهار داشتند: در صورتي كه يكي از اين دستگاه هاي آسيب پذيري بتواند مورد حمله واقع شود، كل زير ساخت SATCOM مي تواند در معرض خطر قرار گيرد. تمامي كشتي ها، سفينه ها، افراد نظامي، سرويس هاي اضطراري، سرويس هاي رسانه و امكانات صنعتي مي توانند تحت تاثير اين آسيب پذيري ها قرار بگيرند.

Number:IRCNE2014042170
Date: 2014-04-21

According to “computerworld”, Security researchers have found that many satellite communication systems have vulnerabilities and design flaws that can let remote attackers intercept, manipulate, block and in some cases take full control of critical communications.
Between October and December last year, researchers from IOActive analyzed the firmware of popular satellite communications (SATCOM) devices that are used in the military, aerospace, maritime, critical infrastructure and other sectors. The research covered products manufactured or marketed by Harris, Hughes Network Systems, Cobham, Thuraya Telecommunications, Japan Radio Company (JRC) and Iridium Communications. The analysis focused on SATCOM terminals that are used on ground, in the air and at sea, not satellite communications equipment in space.
"IOActive found that all devices within the scope of this research could be abused by a malicious actor," the IOActive researchers said in a report published Thursday. "We uncovered what would appear to be multiple backdoors, hardcoded credentials, undocumented and/or insecure protocols, and weak encryption algorithms."
"These vulnerabilities allow remote, unauthenticated attackers to compromise the affected products," the researchers said. "In certain cases no user interaction is required to exploit the vulnerability; just sending a simple SMS or specially crafted message from one ship to another ship would be successful for some of the SATCOM systems."
For example, vulnerabilities that IOActive claims to have found in mobile Harris BGAN terminals would allow attackers to install malicious firmware or execute arbitrary code.
The Hughes BGAN M2M terminals, which are used in the utilities, oil and gas, retail banking and environment monitoring sectors, also contain vulnerabilities that could allow attackers to perform fraud, launch denial-of-service attacks, cause physical damage and spoof data, according to IOActive. These satellite user terminals can be controlled remotely via SMS messages, the company's researchers said.
The published paper does not contain any technical details about the identified flaws in order to avoid their exploitation by malicious parties. However, the researchers plan to release such details later this year.
IOActive claims that it worked with the CERT Coordination Center (CERT/CC) to alert affected vendors about the vulnerabilities in their products.
"Unfortunately, except for Iridium, the vendors did not engage in addressing this situation," the researchers said. "They did not respond to a series of requests sent by the CERT Coordination Center and/or its partners."
The team recommends that SATCOM terminals manufacturers and resellers remove publicly accessible copies of the device firmware updates from their websites and strictly control access to such software in the future in order to prevent others from identifying the same or other vulnerabilities.
"If one of these affected devices can be compromised, the entire SATCOM infrastructure could be at risk," the researchers said. "Ships, aircraft, military personnel, emergency services, media services, and industrial facilities (oil rigs, gas pipelines, water treatment plants, wind turbines, substations, etc.) could all be impacted by these vulnerabilities."

شماره: IRCNE2014042169
تاريخ:31/01/93

مجرمان سايبري در حال استفاده از يك برنامه تروجان اندرويدي مي باشند كه براي بانكداري الكترونيكي طراحي شده و كاربران فيس بوك را هدف حمله قرار داده است. احتمالا اين برنامه مي تواند تاييد هويت دو مرحله اي را در شبكه هاي اجتماعي دور بزند.
محققان امنيتي از شركت آنتي ويروس ESET نوع جديدي از تروجان بانكداري رايانه با عنوان Qadarsراشناسايي كردند. اين تروجان هنگامي كه در مرورگر يك سيستم آلوده باز مي شود، كدهاي جعلي جاوا اسكريپت را به صفحات فيس بوك تزريق مي كند. كد تزريق شده پيام هايي را براي كاربران توليد مي كند كه با پيروي از اين پيام ها كاربر، بدافزار را دانلود و نصب مي نمايد.
اين حملات man-in-the-browser با عنوان Webinjects شناخته مي شوند و از زمان هاي گذشته بوسيله تروجان هاي رايانه اي براي نمايش فرم هاي تقلبي وب برو روي وب سايت هاي بانكداري آنلاين نمايش داده مي شدند و از اين طريق اعتبارنامه هاي ورودي كاربران و ساير اطلاعات حساس مالي آن ها را به سرقت مي بردند.
Webinjectها به طور معمول براي ايجاد پيام هايي استفاده مي شوند كه كاربر را راهنمايي مي كند كه چگونه برنامه هاي مخرب را بر روي دستگاه تلفن همراه خود دانلود و نصب نمايد. اين برنامه ها وانمود مي كنند كه براي ارتباط با موسسات مالي به اين برنامه هاي امنيتي نياز است.
در ماه فوريه محققان امنيتي RSA گزارش دادند كه كد منبع يك تروجان پيشرفته اندرويدي با عنوان iBanking در فروم هاي زيرزميني منتشر شده است و هشدار دادند كه مجرمان سايبري مي توانند در آينده از اين مساله سوء استفاده نمايند و كاربران تلفن همراه را در معرض خطر قرار دهند.
اين امكان وجود دارد كه مهاجمان از iBanking استفاده كنند تا كدهاي امنيتي كه از طريق SMS توسط سيستم تاييد هويت دو مرحله اي فيس بوك فرستاده مي شود را سرقت نمايند. هم چنين اين امكان وجود دارد كه مهاجمان روش استفاده از Webinject بر روي فيس بوك را انتخاب نمايد زيرا باعث مي شود تا اين بدافزار بر روي طيف گسترده اي از كاربران توزيع شود.

شماره: IRCNE2014042168
تاريخ:31/01/93

شركت اوراكل فهرستي از نرم افزارهاي اين شركت كه ممكن است تحت تاثير آسيب پذيري OpenSSL قرار گرفته باشند را منتشر كرد. اين شركت اعلام كرد كه تاكنون براي محصولات آسيب پذير، اصلاحيه اي صادر نشده است.
در اين ميان 100 محصول اين شركت به دليل عدم استفاده از OpenSSL و يا عدم استفاده از نسخه هاي آسيب پذير OpenSSL تحت تاثير اين آسيب پذيري قرار نگرفته اند. اما اين شركت اعلام كرد كه در حال بررسي اين آسيب پذيري در 20 محصول ديگر آن از جمله Connector/C++، Oracle SOA Suite، Nimbula Director مي باشد.
شركت اوراكل تاييد كرد كه هفت محصول اين شركت شامل Communications Operation Monitor، MySQL Enterprise Monitor، MySQL Enterprise Server 5.6، Oracle Communications Session Monitor، Oracle Linux 6، Oracle Mobile Security Suite و Solaris 11.2 آسيب پذير مي باشند و به اصلاحيه نياز دارند. 14 محصول ديگر از جمله BlueKai، Java ME و MySQL Workbench ممكن است كه آُسيب پذير باشند اما در حال حاضر اين شركت برنامه اي براي انتشار اصلاحيه آن ها ندارد.

Number:IRCNE2014042169
Date: 2014-04-20

According to “computerworld”, cybercriminals have started using a sophisticated Android Trojan app designed for e-banking fraud to target Facebook users, possibly in an attempt to bypass the two-factor authentication protection on the social network.
Security researchers from antivirus vendor ESET have identified a new variant of a computer banking Trojan called Qadars that injects rogue JavaScript code into Facebook pages when opened in a browser from an infected system. The injected code generates a message instructing users to download and install Android malware that can steal authentication codes sent to their phones via SMS.
These man-in-the-browser attacks are known as webinjects and have long been used by computer Trojans to display rogue Web forms on online banking websites with the goal of collecting log-in credentials and other sensitive financial information from users.
Webinjects are also commonly used to display messages that instruct users to download and install malicious applications on their mobile phones by presenting them as security apps required by financial institutions.
In February security researchers from RSA, the security division of EMC, reported that the source code for an advanced Android Trojan called iBanking was released on an underground forum and warned that this development will allow more cybercriminals to incorporate this mobile threat in their future operations.
It's possible that the attackers are using iBanking to steal security codes sent via SMS by Facebook's legitimate two-factor authentication system.
However, it's also possible that attackers have chosen to use webinjects on Facebook because it's an efficient way to distribute the malware to a lot of users without worrying which particular banking sites they regularly interact with.

Number:IRCNE2014042168
Date: 2014-04-20

According to “zdnet”, Oracle issued a comprehensive list of its software that may or may not be affected by the OpenSSL (secure sockets layer) vulnerability known as Heartbleed, while warning that no fixes are yet available for some likely affected products.
The list includes well over 100 products that appear to be in the clear, either because they never used the version of OpenSSL reported to be vulnerable to Heartbleed, or because they don't use OpenSSL at all.
However, Oracle is still investigating whether another roughly 20 products, including MySQL Connector/C++, Oracle SOA Suite and Nimbula Director, are vulnerable.
Oracle determined that seven products are vulnerable and is offering fixes. These include Communications Operation Monitor, MySQL Enterprise Monitor, MySQL Enterprise Server 5.6, Oracle Communications Session Monitor, Oracle Linux 6, Oracle Mobile Security Suite and some Solaris 11.2 implementations.
Another 14 products are likely to be vulnerable, but Oracle doesn't have fixes for them yet, according to the post. These include BlueKai, Java ME and MySQL Workbench.

Number:IRCNE2014042167
Date: 2014-04-18

According to “zdnet”, Microsoft has issued a new antimalware engine and signatures to correct a bug which made systems running Microsoft Security Essentials, Forefront Client Security, Forefront Endpoint Protection, Windows Intune Endpoint Protection, and System Center Endpoint Protection unusable.
The bug, as described in this Microsoft support forum post, displayed the error "MsMpEng.exe application error. The instruction at "0x5a4d684d" referenced memory at "0x00000000" The memory could not be read" and proceeded very slowly or not at all.
The buggy update was shipped on April 15 and corrected later with a signature update which, Microsoft says, fixed the problem automatically. Users who have applied workarounds like disabling security features can re-enable the features after applying the signature update.

Number:IRCNE2014042166
Date: 2014-04-18

According to “zdnet”, Oracle has released a swathe of security updates culminating in a massive 104 new security fixes for products including Java, Fusion Middleware, and MySQL.
The California-based firm's latest critical patch update (CPU) includes 37 Java SE vulnerabilities, four of which were deemed critical after receiving a CVSS Base Score of 10. Out of these security flaws, 29 affected client-only deployments, while six affected both client and server deployments of Java. One affects the Javadoc tool and one affects unpack200. CVE-2014-2398 can be exploited remotely and so updates should be installed in order to keep your system safe.
The CPU also provides 20 Fusion Middleware vulnerability fixes. The highest CVSS Base Score for these Fusion Middleware vulnerabilities is 7.5, which is fairly severe in Oracle's measurements. Each one can be exploited using HTTP, and 13 can be exploited remotely without authorization.
MySQL version 5.5 and 5.6 have received patch updates, and only one, CVE-2014-2431, is exploitable remotely. However, there are 14 security vulnerabilities in total for this software.
Two fixes were issued for Oracle's flagship software, the Oracle Database, and both security flaws would need credentials before systems could be exploited remotely.
Other product lines affected by the latest CPU include Hyperion, Supply Chain Product Suite, PeopleSoft Enterprise, Sun Systems Products Suite and Oracle Linux and Virtualization. Due to the severity of this update, it is recommended that you apply the patch immediately.
The next CPU date is 15 July this year.

شماره: IRCNE2014042167
تاريخ:29 /01/93

شركت مايكروسافت، يك موتور ضد بدافزار و امضاهاي جديدي را منتشر كرد تا مشكلي را در سيستم هايي كه از Microsoft Security Essentials، Forefront Client Security،Forefront Endpoint Protection، Windows Intune Endpoint Protection، System Center Endpoint Protection استفاده مي كنند برطرف نمايد.
اين مشكل كه در فروم پشتيباني مايكروسافت آن را توصيف كرده اند، خطايي را با عنوان " خطاي برنامه MsMpEng.exe. دستور "0x5a4d684d" به حافظه"0x00000000" رجوع كرد. حافظه خوانده نشد." نشان مي دهد.
به روز رساني مرتبط با اين خطا در 15 آوريل منتشر شده است و شركت مايكروسافت اعلام كرد كه اين مشكل به طور خودكار برطرف مي شود. كاربراني كه اقداماتي از قبيل غيرفعال كردن ويژگي هاي امنيتي را انجام داده اند مي توانند پس از اعمال به روز رساني امضاها اين ويژگي ها را فعال نمايند.

شماره: IRCNE2014042166
تاريخ:29 /01/93

شركت اوراكل اصلاحيه هاي امنيتي را براي محصولات خود شامل جاوا، ميان افزار Fusion و MySQL منتشر كرد. در اين اصلاحيه ها 104 برطرف كننده امنيتي وجود دارد.
آخرين به روز رساني هاي حياتي اين شركت شامل 37 آسيب پذيري در Java SE مي باشد كه چهار آسيب پذيري بر اساس رتيه بندي CVSS در رده امنيتي بحراني قرار دارد. در اين ميان 29 حفره امنيتي، تنها ارتقاء دهنده كلاينت را تحت تاثير قرار مي دهد در حالي كه شش حفره هر دو ارتقاء دهنده سرور و كلاينت را تحت تاثير قرار مي دهد. يك حفره مربوط به ابزار Javadoc و يك حفره مربوط به unpack200مي باشد. CVE-2014-2398 مي تواند از راه دور مورد سوء استفاده قرار بگيرد و بنابراين اين به روز رساني ها بايد به م نظور امن نگه داشتن سيستم ها نصب شوند.
در اين به روز رساني ها 20 آسيب پذيري در ميان افزار Fusion برطرف شده است. هر يك از اين آسيب پذيري ها مي تواند با استفاده از HTTP مورد سوء استفاده قرار بگيرد و 13 آسيب پذيري مي توانند از راه دور و بدون تاييد هويت مورد سوء استفاده قرار بگيرند.
MySQL نسخه 5.5 و 5.6 نيز اصلاحيه هايي را دريافت كرده است كه مي تواند از راه دور مورد سوء استفاده قرار بگيرد. با اين حال در مجموع 14 آسيب پذيري امنيتي در اين نرم افزار وجود دارد.
دو برطرف كننده براي نرم افزار flagship اوراكل منتشر شده است. ساير محصولاتي كه در آخرين به روز رساني CPU اصلاحيه دريافت كرده اند عبارتند از : Hyperion، Supply Chain Product Suite، PeopleSoft Enterprise، Sun Systems Products Suite، Oracle Linux، Virtualization. با توجه به اهميت اين به روز رساني ها، به كاربران توصيه مي شود تا در اسرع وقت اصلاحيه ها را اعمال نمايند.
به روز رساني هاي بعدي اوراكل در 15 ژوئيه منتشر خواهد شد.