شماره: IRCNE2014032124
تاريخ:17/12/92

شركت سيسكو نسخه جديدي از ميان افزار برخي از مسيرياب هاي تجاري كوچك خود و كنترلرهاي شبكه وايرليس را به منظور برطرف نمودن آسيب پذيري ها منتشر كرده است. اين آسيب پذيري ها مي توانند به مهاجمان راه دور اجازه دهند تا كنترل دستگاه هاي آسيب پذير را در اختيار بگيرند و يا دسترسي پذيري آن ها را تحت تاثير قرار دهند.
يك آسيب پذيري در واسط مديريتي وب دستگاه هاي سيسكو RV110W وايرليس سري N ديوار آتش و VPN، RV215W وايرليس سري N مسيرياب و VPN و CVR100W وايرليس سري N مسيرياب و VPN مي تواند به گونه اي مورد سوء استفاده قرار بگيرد كه يك مهاجم راه دور بدون احراز هويت دسترسي مديريتي دستگاه آلوده را در اختيار بگيرد.
شركت سيسكو در راهنمايي امنيتي خود آورده است كه اين آسيب پذيري به دليل مديريتي نامناسب درخواست هاي تاييد هويت ايجاد شده است. يك مهاجم مي تواند از اين آسيب پذيري براي شنود كردن، تغيير دادن و يا ثبت مجدد درخواست هاي تاييد هويت سوء استفاده نمايد. سوء استفاده موفقيت آميز از اين آسيب پذيري مي تواند به مهاجم اين امكان را بدهد تا دسترسي سطح ادمين واسط مديريتي مبتني بر وب دستگاه آلوده را بدست آورد.
شركت سيسكو عدد 10 را به اين آسيب پذيري نسبت داده است (اين عدد در سيستم امتيازدهي آسيب پذيري (CVSS) بالاترين عدد مي باشد) زيرا اين رخنه مي تواند باعث شود تا دسترسي پذيري، محرمانگي و جامعيت دستگاه تحت تاثير قرار گيرد.
به كاربران توصيه مي شود تا ميان افزار دستگاه هاي آسيب پذير را به بالاترين نسخه به روز رساني نمايند. نسخه هاي اصلاح شده ميان افزار عبارتند از: سيسكو RV110W وايرليس سري N ديوار آتش و VPN نسخه 1.2.0.10، RV215W وايرليس سري N مسيرياب و VPN نسخه 1.1.0.6 و CVR100W وايرليس سري N مسيرياب و VPN نسخه 1.0.1.21.
شركت سيسكو نيز پنج آسيب پذيري انكار سرويس و يك آسيب پذيري دسترسي غيرمجاز را در نرم افزار در حال اجرا بر روي تعداد زيادي از كنترلرهاي LAN وايرليس، برطرف كرده است.
آسيب پذيري انكار سرويس مي تواند از طريق ارسال پيام هاي دستكاري شده خاص IGMP نسخه 3، بسته هاي MLD نسخه 2، فريم هاي اترنت 802.11 و درخواست هاي لاگين WebAuth مورد سوء استفاده قرار بگيرد. اين حملات مي تواند دستگاه آلوده را مجبور كند تا مجددا راه اندازي شود و يا بنا به روشي كه براي سوء استفاده پياده سازي مي شود مي تواند شرايط انكار سرويس دائمي را بوجود آورد.
در راهنمايي امنيتي شركت سيسكو آمده است كه يك مهاجم مي تواند از آسيب پذيري دسترسي غيرمجاز سوء استفاده نمايد و با استفاده از اعتبارنامه هاي AP كه به صورت محلي ذخيره شده اند از يك دستگاه آلوده احراز هويت دريافت كند. سوء استفاده موفقيت آميز ممكن است به مهاجم اجازه دهد تا كنترل كامل دستگاه آلوده را در اختيار بگيرد و تغييرات دلخواه را در پيكربندي آن اعمال نمايد.

شماره: IRCNE2014032123
تاريخ:17/12/92

شركت مايكروسافت اعلام كرد كه آسيب پذيري هاي موجود در تمامي نسخه هاي ويندوز برطرف خواهد شد. با توجه به بولتن امنيتي مايكروسافت براي ماه مارس 2014، در سه شنبه اصلاحيه مايكروسافت پنج به روز رساني منتشر خواهد شد كه دو اصلاحيه مربوط به رفع آسيب پذيري هاي بحراني مي باشد.
هم چنين در اين سري از اصلاحيه ها آسيب پذيري zero-day موجود در IE برطرف خواهد شد. اين آسيب پذيري تنها IE نسخه هاي 9 و 10 را تحت تاثير قرار مي دهد. در بولتن امنيتي مايكروسافت تنها يك به روز رساني براي IE وجود دارد كه بر روي تمامي نسخه هاي IE اعمال خواهد شد.
در به روز رساني IE مشكلات اجراي كد از راه دور كه در رده امنيتي بحراني قرار دارند برطرف شده است و بر روي تمامي نسخه هاي كلاينت ويندوز اعمال خواهد شد. آسيب پذيري بحراني ديگر ويندوز نيز اجراي كد از راه دور را ممكن مي سازد و بر روي تمامي نسخه هاي ويندوز اعمال خواهد شد. Server Core تنها نسخه اي از ويندوز است كه در اين ماه هيچ به روز رساني بحراني ندارد. دو آسيب پذيري ديگر با رده امنيتي مهم در اين اصلاحيه ها برطرف خواهد شد. يكي از اين آسيب پذيري ها مربوط به گرفتن بالاترين حق دسترسي و ديگري مربوط به دور زدن ويژگي هاي امنيتي مي باشد كه تقريبا تمامي نسخه هاي ويندوز را تحت تاثير قرار مي دهد.
آخرين به روز رساني، آسيب پذيري مهم موجود در Microsoft Silverlight 5 از جمله نسخه مكينتاش آن را برطرف خواهد كرد. اين آسيب پذيري نيز مربوط به دور زدن ويژگي هاي امنيتي مي باشد.
هم چنين شركت مايكروسافت قصد دارد تا در سه شنبه اصلاحيه ماه مارس تعداد زيادي از به روز رساني هاي غيرامنيتي را منتشر نمايد.

شماره: IRCNE2014032122
تاريخ:17/12/92

گروهي از محققان مستقل امريكايي كشف كردند كه مجرمان سايبري 300000 مسيرياب خانگي كوچك را به عنوان بخشي از كمپين جهاني تازه كشف شده تغيير مسير DNS هك كردند.
اين حمله در ماه ژانويه كشف شد اما قدمت آن حداقل به ماه دسامبر مي رسد. در حمله ‘pharming’ درخواست هاي DNS از طريق آدرس IPهاي جديد تغيير مسير مي دهد و مجرمان سايبري از اين طريق حملات man-in-the-middle را راه اندازي مي كنند كه مي توانند كنترل كامل سايت هايي كه كاربر مي تواند مشاهده كند را در اختيار بگيرند.
با توجه به يافته هاي اين گروه از محققان، به نظر مي رسد طيف گسترده اي از مسيرياب ها (بنا به نوع ميان افزارشان) از جمله D-Link، TP-Link، Micronet و Tenda آسيب پذيري مي باشند. اكثريت مسيرياب هايي كه مورد حمله قرار گرفتند در ويتنام بوده است اما تعداد كمي از مسيرياب ها در ايتاليا، تايلند، كلمبيا و اوكراين نيز هدف اين حمله قرار گرفتند.
محققان اظهار داشتند با توجه به آن كه به نظر نمي رسد اين مسيرياب ها از كلمات عبور پيش فرض استفاده كرده باشند، نحوه دسترسي مهاجمان به آن ها نگران كننده است. البته تمامي اين مسيرياب ها داراي ضعف هاي امنيتي از جمله دور زدن تاييد هويت و سوء استفاده CSRF مي باشند.
اين گروه محققان اشاره كردند كه ماه گذشته حمله اي مشابه روش حمله اين مسيرياب ها در حملات ارتباط ريايي بانكداري آنلاين مورد استفاده قرار گرفته است. احتمالا هدف مهاجمان راه اندازي حملات جديد بوده است.
آخرين يافته ها نشان مي دهد كه مجرمان سايبري توجه خود را به سمت مسيرياب هاي خانگي و SME معطوف كردند. برخلاف حملات مبتني بر PC، اين حملات به سختي شناسايي مي شوند و كاربران زماني از حمله تغيير مسير DNS مطلع مي شوند كه بسيار دير است.

ID: IRCNE2014032124
Date: 2013-03-08

According to "computerworld", Cisco Systems released new firmware versions for some of its small business routers and wireless LAN controllers in order to address vulnerabilities that could allow remote attackers to compromise the vulnerable devices or affect their availability.
A vulnerability found in the web management interface of the Cisco RV110W Wireless-N VPN Firewall, RV215W Wireless-N VPN Router and CVR100W Wireless-N VPN Router can be exploited by an unauthenticated, remote attacker to gain administrative access to the affected devices.
"The vulnerability is due to improper handling of authentication requests by the web framework," Cisco said in a security advisory published Wednesday. "An attacker could exploit this vulnerability by intercepting, modifying and resubmitting an authentication request. Successful exploitation of this vulnerability could give an attacker administrative-level access to the web-based administration interface on the affected device."
Cisco assigned an impact score of 10 to the vulnerability -- the highest in the Common Vulnerability Scoring System (CVSS) -- because the flaw can lead to a complete compromise of a device's confidentiality, integrity and availability.
Users are advised to update the firmware of the affected devices because there are no available workarounds. The patched firmware versions are: Cisco CVR100W Wireless-N VPN Router firmware version 1.0.1.21, Cisco RV110W Wireless-N VPN Firewall firmware version 1.2.0.10 and Cisco RV215W Wireless-N VPN Router firmware version 1.1.0.6.
Cisco also fixed five denial-of-service vulnerabilities and one unauthorized access vulnerability in the software running on a wide range of its stand-alone and modular wireless LAN controllers.
The denial-of-service vulnerabilities can be exploited by sending specially crafted IGMP version 3 messages, MLD version 2 packets, Ethernet 802.11 frames and WebAuth login requests to the affected devices. The attacks can force the affected devices to restart or can result in more persistent denial-of-service conditions, depending on the vulnerability being exploited.
"An attacker could exploit this vulnerability by attempting to authenticate to an affected device using locally-stored credentials of the AP," Cisco said in an advisory. "A successful attack could allow an attacker to take complete control of the affected AP and make arbitrary changes to the configuration."

ID: IRCNE2014032123
Date: 2013-03-08

According to "zdnet", the penultimate Patch Tuesday for Windows XP will include fixes for that product and all other versions of Windows. According to the Microsoft Security Bulletin Advance Notification for March 2014, there will be a total of five updates released next week, two of them addressing critical vulnerabilities.
Microsoft says that the recent zero-day vulnerability in Internet Explorer will be fixed in this set of updates. That vulnerability affects only IE9 and IE10. Only one IE update is listed in this month's Advance Notification, and it affects all versions of Internet Explorer, so more than one vulnerability must be fixed.
That one IE update is for remote code execution bugs rated critical on all client versions of Windows. Another critical Windows vulnerability, also enabling remote code execution, affects all Windows versions other than RT and Server Core. Server Core is the only Windows version to have no critical updates this month. Two other updates with a maximum rating of important, one an privilege elevation vulnerability and the other a security feature bypass, affect nearly all Windows versions.
The final update fixes an important vulnerability or vulnerabilities in Microsoft Silverlight 5, including the Mac versions. This fix is also for a security feature bypass.
Microsoft will also release a large number of non-security updates next Tuesday.

ID: IRCNE2014032122
Date: 2013-03-08

According to "techworld", criminals have quietly compromised 300,000 consumer and small office routers as part of a newly-discovered global DNS redirection campaign, independent US research outfit Team Cymru has discovered.
Uncovered in January but dating back to at least December, the ‘pharming’ attack redirects DNS queries via new IP addresses, in effect setting up a silent man-in-the-middle that gives the criminals complete control over which sites the user can visit.
According to Team Cymru, a wide range of routers appear to be vulnerable (depending on the firmware used), including D-Link, TP-Link, Micronet and Tenda. The overwhelming majority of hijacked routers appear to be in Vietnam but smaller numbers were also detected in Italy, Thailand, Colombia, the Ukraine, Bosnia and Herzegovina, and Serbia.
Given that routers did not appear to be using default passwords, how the attackers gained control is a worry. The routers in question all had documented security weaknesses, including authentication bypass and deadly Cross-Site Request Forgery (CSRF) exploits.
Team Cymru noted the similarities in modus operandi to another recent router DNS redirection online bank hijack (publicised by the Polish Computer Emergency Response Team) last month. That was designed to attack online bank website sessions, probably the purpose of the new attack.
The latest revelation is more evidence that criminals are turning their attention to home and SME routers as a new soft target. Unlike attacks on PCs, they are considerably harder to detect and users would be unlikely to notice DNS redirection until it was too late.

شماره: IRCNE2014032121
تاريخ:11/12/92

با توجه به يافته هاي محققان امنيتي از شركت Sophos، نوع جديدي از بدافزار Gameover كه اعتبارنامه هاي بانكي را به سرقت مي برد داراي روت كيتي در سطح هسته مي باشد كه باعث مي شود سخت تر از روي سيستم حذف گردد.
Gameover يك تروجان كامپيوتري مبتني بر بدافزار بانكداري زئوس مي باشد كه كد منبع آن سال 2011 بر روي اينترنت منتشر شد. فعاليت اين بدافزار با ديگر برنامه هاي تروجاني مبتني بر زئوس متفاوت است زيرا اين بدافزار براي كنترل كردن و فرمان دادن به جاي سرور از فناوري نظير به نظير استفاده مي كند در نتيجه غيرفعال كردن آن دشوارتر مي باشد.
اوايل ماه فوريه محققان شركت امنيتي Malcovery گزارش دادند كه گونه جديدي از بدافزار Gameover در قالب فايل .enc در حال توزيع مي باشد. محققان شركت امنيتي Sophos روز پنج شنبه در پستي اعلام كردند كه نويسندگان اين بدافزار به منظور حفاظت از آن از روت كيت هسته با عنوان Necurs استفاده كردند. اين روت كيت باعث مي شود تا فرآيند بدافزار به راحتي خاتمه نيابد و فايل هاي آن به سختي حذف گردد.
آخرين نوع اين بدافزار از طريق ايميل هاي هرزنامه اي كه حاوي فايل پيوست .zip بودند توزيع شد. اين پيوست شامل برنامه تروجان Gameoverنبود بلكه حاوي يك برنامه دانلودكننده مخرب با عنوان Upatre بود كه در صورت اجرا مي توانست بدافزار بانكداري را دانلود و نصب نمايد.
در صورت نصب موفق بدافزار، نوع جديد Gameover سعي مي كند تا روت كيت Necurs را بر روي ماشين قرباني نصب كند. اين بدافزار به منظور نصب درايوهاي Necurs با حق دسترسي ادمين، از آسيب پذيري گرفتن بالاترين حق دسترسي در ويندوز سوء استفاده مي كند. اين آسيب پذيري در سال 2010 توسط شركت مايكروسافت اصلاح شده است. در صورتي كه اين آسيب پذيري بر روي سيستم قرباني اصلاح شده باشد، اين بدافزار از كنترل دسترسي كاربر (UAC) استفاده مي كند تا از كاربر براي دسترسي ادمين سوال نمايد. اگر كاربر در هر صورتي به اين درخواست پاسخ مثبت دهد، اين درايورها پس از نصب از مولفه هاي Gameover حفاظت مي كنند.
بنا به گفته محققان، روت كيت باعث مي شود تا اين بدافزار از روي سيستم آلوده شده به راحتي حذف نشود و مدت زمان طولاني تري بر روي سيستم باقي بماند، در نتيجه داده هاي بيشتري از سيستم قرباني به سرقت مي رود.
با توجه به گزارشي كه اخيرا توسط Dell SecureWorks منتشر شده است، در سال 2013 انواع تروجان هاي زئوس حدود نيمي از بدافزارهاي بانكي را تشكيل مي دهد.
علاوه بر سرقت اعتبارنامه هاي بانكداري آنلاين و اطلاعات مالي، مجرمان سايبري از اين بدافزار به طور فزاينده اي براي جمع آوري انواع ديگر داده ها استفاده مي كنند.

مطالب مرتبط:
انتشار مجدد بدافزار بانكداري زئوس

ID: IRCNE2014032121
Date: 2013-03-02

According to "computerworld", a new variant of the Gameover malware that steals online banking credentials comes with a kernel-level rootkit that makes it significantly harder to remove, according to security researchers from Sophos.
Gameover is a computer Trojan based on the infamous Zeus banking malware whose source code was leaked on the Internet in 2011. Gameover stands apart from other Zeus-based Trojan programs because it uses peer-to-peer technology for command and control instead of traditional servers, making it more resilient to takedown attempts.
At the beginning of February, researchers from security firm Malcovery Security, reported that a new variant of Gameover was being distributed as an encrypted .enc file in order to bypass network-level defenses. However, the latest trick from the Gameover authors involves using a kernel rootkit called Necurs to protect the malware's process from being terminated and its files from being deleted, researchers from Sophos said Thursday in a blog post.
The latest Gameover variant is being distributed through spam emails purporting to come from HSBC France with fake invoices in .zip attachments. These attachments don't contain the Gameover Trojan program itself, but a malicious downloader program called Upatre which, if run, downloads and installs the banking malware.
If this first stage of the infection is successful, the new Gameover variant attempts to install the Necurs rootkit which operates as a 32-bit or 64-bit driver depending on the Windows version used by the victim. The malware tries to exploit a Windows privilege escalation vulnerability patched by Microsoft in 2010 in order to install the Necurs driver with administrator privileges.
If the system is patched and the exploit fails, the malware triggers a User Account Control (UAC) prompt to ask the victim for administrator access. The UAC prompt should look suspicious considering the user opened what he believed to be an invoice, the Sophos researchers said.
However, if the user confirms the execution anyway or the exploit is successful in the first place, the rogue driver starts protecting the Gameover components.
"The rookit greatly increases the difficulty of removing the malware from an infected computer, so you are likely to stay infected for longer, and lose more data to the controllers of the Gameover botnet," the Sophos researchers said.
According to a recent report from Dell SecureWorks, Zeus variants accounted for almost half of all banking malware seen in 2013.
In addition to stealing online banking credentials and financial information, cybercriminals are increasingly using such malware to collect other types of data.

Related Link:
Hackers use '.enc' trick to deliver Zeus banking malware

شماره: IRCNE2014032120
تاريخ:10/12/92

تعداد حملاتي كه از آسيب پذيري اصلاح نشده IE سوء استفاده مي كنند به شدت در حال افزايش مي باشد و اين نشان مي دهد كه اين آسيب پذيري نه تنها در حملات هدفمند مورد سوء استفاده قرار مي گيرد بلكه در حملات ديگري نيز از آن سوء استفاده مي شود.
اين آسيب پذيري مرورگر IE نسخه هاي 9 و 10 را تحت تاثير قرار مي دهد و روز سيزدهم فوريه توسط محققان امنيتي شركت FireEye به طور عمومي افشاء شده است.
شركت مايكروسافت راهنمايي امنيتي را در خصوص اين آسيب پذيري با عنوان CVE-2014-0322 منتشر كرد و يك ابزار برطرف كننده موقت نيز براي آن منتشر ساخت. با اين وجود اين شركت تاكنون اصلاحيه دائمي براي برطرف كردن اين مشكل از طريق كانال به روز رساني ويندوز منتشر نكرده است.
اين حملات كه توسط شركت هاي امنيتي گزارش شده است با عنوان "watering hole attacks" شناخته مي شوند زيرا وب سايت هايي را كه افراد خاص مشاهده مي كنند هدف قرار مي دهد. اين افراد مورد هدف مهاجمان مي باشند.
محقق امنيتي شركت سايمانتك در پستي در يك وبلاگ نوشت: ما از نزديك حملات مبتني بر CVE-2014-0322 را نظارت مي كنيم. مشاهده كرديم كه روند اين حملات از حملات هدفمند به سمت گسترش آن بر روي كاربران اينترنتي نيز تغيير يافته است.
با توجه به داده هاي شركت سايمانتك، تعداد حملاتي كه از اين آسيب پذيري سوء استفاده مي كنند از 22 فوريه تاكنون به شدت افزايش يافته است و كاربران را در سراسر جهان از جمله امريكاي شمالي، اروپا، آسيا و خاورميانه تحت تاثير قرار داده است.
اگر حمله با موفقيت انجام شود، يك تروجان بانكي مي تواند اعتبارنامه هاي ورود به بانك هاي خاص را به سرقت ببرد.
كاربران بايد مرورگر IE خود را به نسخه 11 ارتقاء دهند زيرا اين آسيب پذيري در نسخه 11 وجود ندارد و يا برطرف كننده موقتي را كه شركت مايكروسافت عرضه كرده است، نصب نمايند.

شماره: IRCNE2014032119
تاريخ:10/12/92

با توجه به گزارشي كه اخيرا توسط Secunia منتشر شده است، تعداد آسيب پذيري هاي كشف شده در سيستم عامل هاي ويندوز 7 و xp در سال 2013 نسبت به سال 2012 دو برابر شده است و هم چنين تعداد رخنه هاي گزارش شده در ويندوز 8 نيز بالا مي باشد.
شركت امنيتي دانماركي Secunia در گزارش خود آورده است كه در سال 2013 تعداد 102 آسيب پذيري در ويندوز 7 و 99 آسيب پذيري در ويندوز xp كشف شده است كه اين تعداد در سال 2012 به ترتيب 50 و 43 آسيب پذيري بوده است. در اين ميان بيشترين آسيب پذيري در ويندوز 8 گزارش شده است اما شركت امنيتي Secunia اظهار داشت كه كه 55 آسيب پذيري از مجموع 156 آسيب پذيري كشف شده در ويندوز 8 به دليل تجميع ادوب فلش پلير و مرورگر IE مي باشد.
شركت امنيتي Secunia داده هاي مربوط به آسيب پذيري هاي نرم افزاري را در گزارش سالانه خود منتشر كرده است كه در آن 50 برنامه و سيستم عاملي كه بيشتر مورد استفاده قرار گرفته، ذكر شده است.
در اين جدول مايكروسافت پس از ويندوز مديا پلير و IE در رده سوم قرار گرفته است. ادوب بواسطه نرم افزار فلش پلير خود در رده پنجم قرار گرفت و بواسطه نرم افزار Reader خود در رده هفتم قرار گرفته است. شركت اوراكل با پلت فرم جاواي خود در اين جدول رده دهم را اشغال كرده است.
با توجه به گزارش سالانه Secunia، 86 درصد از آسيب پذيري هايي كه در اين 50 محصول نرم افزاري كشف شده است در همان روز افشاي آسيب پذيري توسط اصلاحيه اي برطرف شده اند.
برنامه هاي ديگري كه توسط توليدكنندگان مختلف عرضه مي شوند 76 درصد از آسيب پذيري ها را جدول 50 برنامه نخست سال 2013 به خود اختصاص دادند. اين ميزان نسبت به سال 2012 حدود 10 درصد كاهش يافته است.
در اين گزارش تنها به 10 آسيب پذيري zero-day اشاره شده است كه در حال حاضر از آن ها سوء استفاده مي شود و هم چنان اصلاحيه اي براي آن ها منتشر نشده است.