شماره: IRCNE2014022089
تاريخ:12/11/92

محققان يك بات بين پلت فرمي را شناسايي كرده اند كه مي تواند بر روي هر سيستمي اجرا شود. آزمايشگاه كسپراسكاي در حال كار بر روي عملكرد باتي است كه كاملا با زبان جاوا نوشته شده است و بر روي سيستم هاي ويندوز، مكينتاش و لينوكس كار مي كند.
آزمايشگاه كسپراسكاي اين تهديد را با عنوان HEUR:Backdoor.Java.Agent.a شناسايي كرده است و نويسندگان اين بدافزار آن را به گونه اي نوشته اند كه مي تواند بر روي چندين پلت فرم مختلف اجرا شود.
بردار آلودگي اين بدافزار CVE-2013-2465 است كه يك مشكل سرريز عدد صحيح در اوراكل جاواي SE 7 به روز رساني 21 و نسخه هاي پيش از آن، جاواي 6 به روز رساني 45 و نسخه هاي پيش از آن، جاواي 5.0 به روز رساني 45 و نسخه هاي پيش از آن و OpenJDK 7 مي باشد. شركت اوراكل كه در ژوئن سال 2013 اين مشكل را اصلاح كرده است، آن را به عنوان مشكلي توصيف كرده است كه به راحتي قابل سوء استفاده مي باشد. اين آُسيب پذيري مي تواند از sandbox جاوا و اپلت هاي Java Web Start عبور نمايد و در حملات drive-by مورد استفاده قرار گيرد.
اين بات داراي دستوراتي است كه مي تواند خودش را براي اجرا بر روي ويندوز، مكينتاش و لينوكس تنظيم نمايد.
اين بات مي تواند IRC را با استفاده از چارچوب كاري PircBot Java IRC Bot كنترل نمايد. هم چنين به گونه اي طراحي شده است كه مي تواند حملات گسترده انكار سرويس توزيع شده را اجرايي كند. دستور حمله بات، آدرس IP و پورت ماشين هدف، مدت زمان حمله و تعداد حملاتي كه بايد راه اندازي شوند را مشخص مي كند. اين بات حاوي فهرستي از رشته هاي User-Agent مي باشد كه به صورت تصادفي انتخاب شده است.
مهاجمان بايد قادر باشند اين بات را به گونه اي تغيير دهند تا بتواند به عنوان بردار حمله از آسيب پذيري هاي جديد يا حتي آسيب پذيري هايي اصلاح نشده استفاده كند.

شماره: IRCNE2014022088
تاريخ: 12/11/92

ياهو روز پنجشنبه اعلام كرد كه حساب‌هاي ايميلي را كه در حمله‌اي براي جمع‌آوري اطلاعات شخصي از ايميل‌هاي اخير هدف قرار گرفته بودند، بازنشاني كرده است.
به گفته يك مدير ارشد ياهو، فهرست نام‌هاي كاربري و كلمات عبور مورد استفاده براي اين حمله احتمالاً در نشت پايگاه داده‌هاي شركت ديگري جمع‌آوري شده است. وي به نام خاصي اشاره نكرد و تعداد حساب‌هاي كاربري تحت تأثير اين حمله را نيز ذكر نكرد.
به گفته وي، اين شركت به همراهي نهادهاي مجري قانون در حال پيدا كردن و تعقيب قانوني مجرمان اين حمله است.
بنا بر اظهارات اين فرد، هكرها از يك برنامه نرم‌افزاري خرابكار براي دسترسي به حساب‌هاي كاربري ايميل با نام‌هاي كاربري و كلمات عبور سرقتي استفاده كرده‌اند.
سرويس‌هاي ايميل رايگان با كاربران زياد از شركت‌هايي مانند ياهو، گوگل و مايكروسافت، همواره هدف مورد علاقه هكرها هستند كه از حساب‌هاي كاربري سوء استفاده شده براي ارسال هرزنامه، اجراي حملات بر روي ساير كاربران و جمع‌آوري اطلاعات استفاده مي‌كنند.
اين مدير ارشد ياهو در مورد زمان رخ دادن اين حمله اطلاعاتي منتشر نكرده است و يك سخنگوي اين شركت نيز اظهار كرد كه به علت ادامه داشتن تحقيقات، اين شركت نمي‌تواند اطلاعات بيشتري را منتشر كند.
ياهو اعلام كرد كه كلمات عبور حساب‌هاي كاربري تحت تأثير اين حمله را بازنشاني كرده است و با استفاده از احراز هويت دو فاكتوري، به كاربران اجازه داده است حساب‌هاي خود را امن نمايند. اين ويژگي يك كد عبور يك بار مصرف به تلفن كاربر ارسال مي‌كند كه بايد براي ورود به حساب، در فرم وب وارد شود.
ياهو به كاربران توصيه كرده است كه كلمات عبور خود را هر چند مدت يكبار تغيير دهند و از كلمات عبور يكسان براي سرويس‌هاي مختلف وب استفاده نكنند.

شماره: IRCNE2014022087
تاريخ: 12/11/92

بنياد ويكي‌پديا، نرم‌افزار MediaWiki كه توسط ويكي‌پديا مورد استفاده قرار مي‌گيرد و بسياري سايت‌هاي ديگر، ترميمي را براي يك آسيب‌پذيري حياتي اجراي كد از راه دور در اين برنامه عرضه كرده‌اند. اين نقص امنيتي اخيراً توسط شركت نرم‌افزاري Check Point Software گزارش شده بود. اين آسيب‌پذيري تمامي نسخه‌هاي MediaWiki از نسخه 1.8 به بعد و نيز نسخه‌هاي پشتيباني شده قبل از 1.21.5 و 1.22.2 را تحت تأثير قرار مي‌دهد.
بنا بر گزارش مربوط به اين نقص امنيتي در پايگاه داده WikiMedia، اين نقص امنيتي به هر كاربر راه دوري اجازه مي‌دهد كد پوسته (shell code) را بر روي سرور برنامه MediaWiki اجرا نمايد.
مطالعات بعدي WikiMedia نشان داده است كه نقص مشابهي در افزونه PdfHandler نيز وجود دارد كه مي‌تواند به همين طريق مورد سوء استفاده قرار گيرد. اين آسيب‌پذيري تحت نام CVE-2014-1610 شناسايي مي‌گردد.

شماره: IRCNE2014022086
تاريخ:12/11/92

شركت مايكروسافت تاييد كرد كه حملات سايبري اخير عليه اين شركت باعث شد تا اسناد حساس آن دزديده شود.
شركت مايكروسافت طي چند هفته اخير هدف حملات سايبري گروه هكر ارتش الكترونيك سوريه قرار گرفته است. وبلاگ هاي مايكروسافت، فيدهاي شبكه اجتماعي اين شركت و حساب كاربري پست الكترونيكي كارمندان آن نيز هدف حمله اين گروه قرار گرفته است. البته هدف اين حملات هم چنان ناشناخته است.
مدير گروه Trustworthy Computing مايكروسافت در وبلاگي نوشت: به نظر مي رسد كه برخي از اسناد مهم و حساس اين شركت به سرقت رفته است.
علاوه بر اين در پست ديگري، يك متخصص امنيت با نام Graham Cluley نوشت: اسناد به سرقت رفته مي تواند شامل اطلاعات درخواست هايي باشد كه مايكروسافت از دولت ها درباره كاربران خاص دريافت كرده است.
Cluley افزود: اما بار ديگر اين سوال مطرح مي شود كه آيا سازمان هاي بزرگ اقدامات امنيتي لازم در خصوص حفاظت اطلاعات حساس را به كار مي برند.

ID: IRCNE2014022089
Date: 2013-02-01

According to "zdnet", it's the holy grail of malware: A truly cross-platform bot that can run on any system. Kaspersky Lab has come across a functioning bot written entirely in Java, and which works on Windows, Mac OS and Linux. Kaspersky detects this threat as HEUR:Backdoor.Java.Agent.a and its authors went to some trouble to make it work on multiple platforms.
The infection vector is CVE-2013-2465, an integer overflow bug in Oracle Java SE 7 Update 21 and earlier, 6 Update 45 and earlier, and 5.0 Update 45 and earlier, and OpenJDK 7. Oracle's own disclosure of the bug upon patching it (in June 2013) describes it as "Easily exploitable". It can be exploited from within sandboxed Java or Java Web Start applets, so it can be used in drive-by attacks. The bot has provisions for setting itself up to run at boot time on Windows, Mac or Linux.
The bot is controlled over IRC using the PircBot Java IRC Bot open framework. It is designed largely to perform DDOS attacks. The attack command to the bot also specifies the IP address and port of the target, the duration of the attack and the number of attack threads to launch. The bot contains a list of User-Agent strings, selected randomly.
Attackers should be able to adapt it to use newer, or even unpatched vulnerabilities as attack vectors.

ID: IRCNE2014022088
Date: 2014-02-01

According to “ComputerWorld”, Yahoo has been resetting email accounts that were targeted in an attack apparently aimed at collecting personal information from recently sent messages, the company said Thursday.
The list of usernames and passwords used for the attack was likely collected when another company's database was breached, Jay Rossiter, a Yahoo senior vice president, said in a blog post. He didn't name the third party or say how many accounts were affected.
"We are working with federal law enforcement to find and prosecute the perpetrators responsible for this attack," Rossiter wrote.
The hackers used a malicious software program to access Mail accounts with the stolen usernames and passwords, he wrote.
Free email services with large user bases from companies like Yahoo, Google and Microsoft are a rich target for hackers, who use compromised accounts to deliver spam, launch attacks on other users and collect information.
Rossiter didn't say when the attack occurred, and a Yahoo spokeswoman said the company could not share more information while the investigation is ongoing.
Yahoo said it was resetting passwords on the affected accounts and using second sign-in verification to let users resecure their accounts. The feature sends a one-time passcode to a user's phone that must be entered into a Web-based form to access the account.
Yahoo has also "implemented additional measures to block attacks against Yahoo's systems," Rossiter wrote.
He advised that users change their passwords regularly and not reuse the same password for their Yahoo Mail on other Web services.
"We regret this has happened and want to assure our users that we take the security of their data very seriously," Rossiter wrote.

ID: IRCNE2014022087
Date: 2014-02-01

According to “ZDNet”, The WikiMedia Foundation, authors of the MediaWiki software used by Wikipedia and many other sites, Have issued a fix for a critical, remote code execution vulnerability in that program. The bug was reported to them recently by Check Point Software. This vulnerability affects all versions of MediaWiki from 1.8 onwards as well as earlier supported versions prior to 1.21.5 and 1.22.2.
According to the report on the bug in the WikiMedia bug database, "Shell meta characters can be passed in the page parameter to the thumb.php." This would allow any remote user to execute shell code on the MediaWiki application server.
Further internal review by WikiMedia revealed similar faulty logic in the PdfHandler extension, which could be exploited in a similar way. The vulnerability has been designated as CVE-2014-1610.

ID: IRCNE2014022086
Date: 2013-02-01

According to "itpro",a recent spate of cyber attacks against Microsoft has resulted in sensitive documents being stolen, the software giant has confirmed.
The vendor has been subjected to a series of attacks in recent weeks by a group claiming to be affiliated with the Syrian Electronic Army (SEA). These have resulted in its company blogs, social networking feeds and internal email accounts being hijacked.Up to now, the reason for the attacks has been unknown.
“It appears that documents associated with law enforcement inquiries were stolen,” Hall revealed.
In a further blog post, independent security expert Graham Cluley suggested the stolen documents could contain the information requests Microsoft receives from governments about specific users.
“Once again, questions will be asked as to whether large organisations are taking enough steps to properly protect the most sensitive information,” said Cluley.

شماره: IRCNE2014012085
تاريخ:09/11/92

با توجه به يافته هاي محققان امنيتي از دانشگاه Ben-Gurion ، يك آسيب پذيري در اندرويد به برنامه هاي مخرب اجازه مي دهد تا ارتباط VPN دستگاه را دور زده و ترافيك آن را از طريق سيستمي كه تحت كنترل مهاجم است و مي تواند آن را ردگيري نمايد عبور دهند.
محققان آزمايشگاه سايبري دانشگاه Ben-Gurion روز هفدهم ژانويه گزارش دادند كه اين آسيب پذيري، اندرويد نسخه 4.3 را كه با عنوان Jelly Bean شناخته مي شود تحت تاثير قرار مي دهد. پس از تحقيقات تكميلي، آن ها دريافتند كه اين آسيب پذيري قادر است تا آخرين نسخه اندرويد، اندرويد 4.4 را نيز تحت تاثير قرار دهد. فناوري VPN براي ايجاد يك تونل ارتباطي خصوصي و رمز شده بر روي بستر اينترنت استفاده مي شود. كارمندان شركت هايي كه از ارتباطات VPN استفاده مي كنند مي توانند از طريق يك ارتباط امن به شبكه سازمان خود متصل شوند.
محققان دريافتند كه يك برنامه مخرب تلفن همراه مي تواند از آسيب پذيري موجود سوء استفاده كند تا ارتباط VPN دستگاه آسيب پذير را دور زده و تمامي ترافيك شبكه دستگاه را ردگيري كند. مهاجم مي تواند از ترافيك مربوطه به صورت متن ساده و بدون رمز تصوير برداري كند و اطلاعات و داده هاي مربوط به آن را مشاهده نمايد. برنامه كاربردي مخرب نيازي به دسترسي root يا مجوزهاي خاص VPN ندارد.
متاسفانه از آن جايي كه تنها برخي از برنامه هاي كاربردي تلفن همراه ترافيك شبكه را رمزگذاري مي كنند، اطلاعات حساس زيادي وجود دارد كه مي تواند از طريق دور زدن ارتباط VPN تصوير برداري شوند.

شماره: IRCNE2014012084
تاريخ:08/11/92

آخرين گزارش منتشر شده توسط Akamai در خصوص وضعيت اينترنت در سه ماهه سوم سال 2013 نشان مي دهد كه تعداد حملات انكار سرويس توزيع شده كمي كاهش يافته است اما در مقابل متوسط پهناي باند افزايش قابل توجهي داشته است.
اين گزارش به طور منظم ترافيك هاي مخرب را بر روي شبكه ردگيري مي كند. براي چندين سه ماهه متوالي، اندونزي به عنوان مبداء بيشترين حجم ترافيك حمله بوده است اما در سه ماهه سوم سال 2013، چين به عنوان مبداء بيشترين حجم ترافيك حمله شناخته شده است.
تغييرات ديگري كه در اين گزارش مشاهده مي شود مربوط به پورت هاي برتر هدف حملات مي باشد. پورت 445 براي بار ديگر با 23 درصد در صدر جدول قرار گرفت. در اين سه ماهه شاهد كاهش حملات بر روي پورت هاي 80 و 443 بوديم.
در مجموع، حملات انكار سرويس توزيع شده در اين سه ماهه از 318 حمله به 281 حمله رسيده است و شاهد كاهش اين حملات بوديم و اين اولين بار است كه Akamai كاهش حملات انكار سرويس توزيع شده را گزارش مي دهد. با اين وجود هم چنان روند كلي حملات شيب تندي دارد و در نه ماه اول سال 2013 حملات بيشتري نسبت به سال 2012 مشاهده شده است.