چهار آسیب‌پذیری در Perforce Helix Core Server شناسایی شده است که به‌طور گسترده در بخش‌های بازی، دولت، نظامی و فناوری استفاده می‌شود. یکی از این آسیب‌پذیری‌ها دارای شدت بحرانی می‌باشد و می‌تواند منجر به دسترسی غیرمجاز به سیستم قربانی شود.
این آسیب‌پذیری‌های کشف شده توسط مایکروسافت عمدتاً منجر به حمله انکار‌سرویس (DoS) می‌شوند که شدیدترین آن‌ها امکان اجرای کد از راه‌دور دلخواه را به عنوان LocalSystem توسط مهاجم فراهم می‌کند. جزئیات آسیب‌پذیری‌های مذکور به شرح زیر می‌باشد:

•    CVE-2023-5759: آسیب‌پذیری DoS که از طریق بهره‌برداری از هدر RPC امکان‌پذیر است. مهاجم می‌تواند از این آسیب‌پذیری جهت ارسال یک درخواست RPC با یک هدر نامعتبر بهره‌برداری کند. این درخواست منجر به سرریز شدن حافظه و در نتیجه خرابی سرویس می‌شود.
•    CVE-2023-45849: آسیب‌پذیری RCE که از طریق فرمان از راه دور امکان‌پذیر است. مهاجم می‌تواند از این آسیب‌پذیری جهت اجرای کد دلخواه به عنوان کاربر LocalSystem بهره‌برداری کند.
•    CVE-2023-35767: آسیب‌پذیری DoS که از طریق فرمان از راه‌دور امکان‌پذیر است. این آسیب‌پذیری مشابه CVE-2023-45319 می‌باشد و ممکن است منجر به سرریز حافظه شود.
•    CVE-2023-45319: یک آسیب‌پذیری DoS که از طریق فرمان از راه دور امکان‌پذیر است. این آسیب‌پذیری می‌تواند منجر به سرریز حافظه و خرابی سرویس شود.

خطرناک‌ترین آن‌ها آسیب‌پذیری با شناسه‌ CVE-2023-4584 است که به مهاجم اجازه می‌دهد تا کد دلخواه خود را از حساب کاربری LocalSystem اجرا کند. این حساب کاربری دارای سطح دسترسی بالا است و می‌تواند به منابع محلی و فایل‌های سیستم دسترسی داشته باشد و تنظیمات رجیستری را تغییر دهد. این آسیب‌پذیری ناشی از مدیریت نادرست سرور از دستور RPCاست. در پیکربندی پیش‌فرض خود، Perforce Server به مهاجم اجازه می‌دهد تا از راه‌دور دستورات دلخواه خود را اجرا کند.
مهاجمان می‌توانند با استفاده از این آسیب‌پذیری به اطلاعات حساس دسترسی پیدا کنند، تنظیمات سیستم را تغییر دهند و به طور بالقوه کنترل کامل سیستمی را که یک نسخه آسیب‌پذیر از Perforce Server را اجرا می‌کند، در دست بگیرند. سه آسیب‌پذیری دیگر، اگرچه از شدت کمتری برخوردارند، اما می‌توانند باعث اختلال در عملیات و منجر به خسارات مالی قابل توجهی شوند.

توصیه‌های امنیتی
جهت محافظت در برابر این نقص‌ها امنیتی به کاربران توصیه می‌شود علاوه بر دانلود آخرین نسخه Helix Core‌، اقدامات زیر را نیز انجام دهند:
•    نرم‌افزارهای  third party به‌طور منظم به‌روز شوند.
•    دسترسی با استفاده از VPN یا لیست IP محدود شود.
•    جهت احراز هویت کاربر از TLS certificates با یک proxy استفاده شود.
•    تمام دسترسی‌های سرور Perforce ثبت شود.
•    اعلام هشدار به پرسنل IT سازمان
•    جهت محدود کردن دامنه نقص‌های امنیتی، از شبکه‌بندی Segments استفاده شود.

منبع‌خبری:

https://www.bleepingcomputer.com/news/security/microsoft-discovers-critical-rce-flaw-in-perforce-he…
 

یک بدافزار پیشرفته به نام JaskaGO به تازگی به عنوان یک تهدید جدید برای سیستم‌ عامل‌های ویندوز و macOS  ظاهر شده است. این بدافزار با استفاده از زبان برنامه‌نویسی Go توسعه یافته و قابلیت‌های پیشرفته‌ای را در خود جای داده است. همچنین این بدافزار در محیط macOS، از یک فرآیند چند مرحله‌ای برای ایجاد پایداری خود در سیستم استفاده می‌کند. با ظهور بدافزارJaskaGO، یک روند رو‌به‌رشد در توسعه بدافزارها با استفاده از زبان برنامه‌نویسی Go یا Golang مشاهده می‌شود. این زبان به دلیل سادگی، کارایی و قابلیت‌های چندپلتفرمی جذابیت زیادی برای طراحان بدافزار ایجاد کرده است.

ویژگی‌های کلیدی بدافزار
1.    ترفندهای مخفی‌ساز :JaskaGO از تکنیک‌های مختلف برای مخفی‌سازی خود استفاده می‌کند. این بدافزار با اقدام به نمایش پیام خطای جعلی، کاربران را فریب می‎دهد.
2.    تشخیص محیط مجازی :(VM) برای عدم تشخیص در یک محیط ماشین مجازی، JaskaGO  از یک تکنیک هوشمندانه برای اجرا در محیط VM استفاده می‌کند.
3.    جمع‌آوری اطلاعات: پس از ‌پردازش‌های لازم،  JaskaGO اطلاعات قربانی را جمع‌آوری کرده و به سرور Command and Control (C&C) خود متصل می‌شود.
4.    استخراج اطلاعات از مرورگرها:  این بدافزار در استخراج اطلاعات از مرورگرهای مختلف از جمله Chrome  و Firefox مهارت دارد و این اطلاعات را در پوشه‌های خاصی ذخیره می‌کند.
5.    استفاده از زبان برنامه‌نویسی :Go از زبان برنامه‌نویسی Go به عنوان ابزار توسعه استفاده شده است که به این بدافزار قابلیت اجرای چندپلتفرمی و عدم تشخیص‌ توسط آنتی‌ویروس را می‌دهد.
 

توصیه‌های امنیتی
•    استفاده از راهکارهای امنیتی، بروزرسانی سیستم به آخرین نسخه، و نظارت دقیق بر فعالیت‌های شبکه به ‌عنوان پیشگیری موثر در برابر این تهدید پیشنهاد می‌شود.
•    اجتناب از کلیک بر روی لینک‌ها یا ورود به وب‌سایت‌های ناامن به‌ویژه با محتوای مشکوک.
•    احتیاط در بازکردن ایمیل‌ها یا پیام‌ها از منابع ناشناخته، زیرا ممکن است مقدمات فیشینگ باشند.
این توصیه‌ها به هدف ارتقاء سطح کلی امنیت سایبری ارائه شده‌اند و اقدامات پیشگیرانه در برابر تهدیدات احتمالی را فراهم می‌کنند، همچنین اهمیت آگاهی کاربران را در جلوگیری از نقض‌های امنیتی تاکید می‌کنند.
 

منابع خبر:

[1] https://thehackernews.com/2023/12/new-go-based-jaskago-malware-targeting.html
[2] https://www.hivepro.com/threat-advisory/novel-go-based-malware-unleashes-coordinated-strikes-on-mac…

جزئیات فنی دو آسیب‌پذیری امنیتی وصله‌شده در سرویس ایمیل Outlook منتشر شده است. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای اجرای کد از راه دور در سرویس ایمیل Outlook بدون نیاز به تعامل با کاربر مورد بهره‌برداری قرار گیرند. 
این آسیب‌پذیری‌های امنیتی که مایکروسافت آن‌ها را رفع کرده است، عبارتند از:

• CVE-2023-35384 (امتیاز CVSS: 5.4): این آسیب‌پذیری امکان دور زدن ویژگی امنیتی پلتفرم‌های HTML ویندوز را فراهم می‌کند.
• CVE-2023-36710 (امتیاز CVSS: 7.8): این آسیب‌پذیری امکان اجرای کد از راه ‌دور در هسته Windows Media Foundation را فراهم می‌کند.

همچنین شرکت مایکروسافت در ماه مارس 2023 یک آسیب‌پذیری امنیتی مهم در Outlook را وصله کرد. این آسیب‌پذیری به مهاجمان اجازه می‌داد تا با دور زدن ویژگی امنیتی پلتفرم‌های HTML ویندوز، کد دلخواه خود را از راه دور در Outlook اجرا کنند. مهاجم می‌تواند از این آسیب‌پذیری جهت دسترسی غیرمجاز به حساب‌های قربانیان در سرورهای Exchange بهره‌برداری کند.
بهره‌برداری از آسیب‌پذیری با شناسه CVE-2023-35384 نیز مانند CVE-2023-29324 می‌تواند برای اجرای کد از راه ‌دور در Outlook بدون نیاز به تعامل کاربر صورت پذیرد. این امر با ارسال یک ایمیل به قربانی از طریق یک پیوند یا پیوست آلوده انجام می‌شود. هنگامی که قربانی روی پیوند یا پیوست کلیک می‌کند، اکسپلویت اجرا می‌شود و کد مخرب را در Outlook بارگذاری می‌کند.
بهره‌برداری آسیب‌پذیری با شناسه CVE-2023-36710 نیز می‌تواند جهت اجرای کد از راه‌دور در Outlook بدون نیاز به تعامل کاربر صورت پذیرد. این امر با ارسال یک ایمیل حاوی فایل صوتی آلوده برای قربانی انجام می‌شود. 

توصیه‌های امنیتی
جهت محافظت در برابر این نقص امنیتی به کاربران توصیه می‌شود اقدامات زیر را اعمال نمایند:
•    سازمان‌ها جهت مسدود کردن اتصالات SMB خروجی به آدرس‌های IP عمومی راه دور باید از microsegmentation استفاده کنند.
•    سازمان‌ها باید NTLM را غیرفعال کنند یا کاربران را به گروه امنیتی کاربران محافظت شده اضافه کنند.
این اقدامات می‌تواند به جلوگیری از بهره‌برداری از آسیب‌پذیری‌های امنیتی در SMB و کاهش خطر سرقت داده‌ها، دسترسی غیرمجاز به حساب‌ها یا اجرای کد مخرب کمک کند.

منبع‌خبری:

https://thehackernews.com/2023/12/beware-experts-reveal-new-details-on.html

گوگل هشتمین آسیب‌پذیری روز صفر کروم با شناسه CVE-2023-7024  و شدت بالا در سال جاری را در یک به‌روزرسانی امنیتی اضطراری برطرف کرد. برای رفع این آسیب‌پذیری کافی است مرورگر خود را به نسخه‌های وصله‌شده که برای کاربران ویندوز (120.0.6099.129/130) و کاربران مک و لینوکس (120.0.6099.129) می¬باشد، به‌روزرسانی کنید.
آسیب‌پذیری مذکور به دلیل ضعف سرریز بافر پشته (heap buffer overflow) در framework منبع باز WebRTC  رخ داده است. از این Framework برای ارتباطات بدون وقفه یا به اختصار RTC استفاده می‌شود. (به عنوان مثال پخش ویدئو، اشتراک‌گذاری فایل، تلفن VoIP)  از طریق APIهای جاوا اسکریپت).
بسیاری از مرورگرهای وب دیگر مانند موزیلا فایرفاکس، سافاری و مایکروسافت اج برای ارائه Real-Time Communications از این Framework استفاده می‌کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/google-fixes-8th-chrome-zero-day-exploited-in-attack…

به گفته محققان امنیتی، وجود آسیب‌پذیری به شناسه CVE-2023-50707  و شدت 9.6 در ماژول اتوماسیون صنعتی BCU 500 متعلق به شرکت EFACEC، به مهاجم اجازه می‌دهد تا با ارسال درخواست‌های جعلی، موفق به اجرای حمله منع سرویس (DOS) بر روی ماژول آسیب‌پذیر شود. با توجه به کاربرد این ماژول در زیرساخت‌های حیاتی کشورها، هنوز روش پیاده‌‌‌‌‌‌‌سازی و بهره‌‌‌‌‌‌‌برداری (Exploitation) از این آسیب‌پذیری در دسترس عموم قرار نگرفته است. اما با توجه به نوع این آسیب‌پذیری که با استفاده از روش resource exhaustion منجر به حمله منع سرویس می‌گردد، می‌توان حدس زد که این حمله به دلیل وجود یکی از سه نقص زیر در پیکربندی اشتباه منابع، قابل پیاده‌‌‌‌‌‌‌سازی است.
•    عدم کنترل منابع تخصیص یافته به هر درخواست
•    عدم قطع کردن درخواست‌های ارسالی غیر متعارف به یک منبع قبل از خاموش شدن و از دسترس خارج شدن آن منبع
•    آزاد نشدن ظرفیت پردازش یک منبع بعد از پایان کار محول شده به آن منبع
 

محصولات تحت تأثیر
به گفته تیم پشتیبانی این شرکت، تمام نسخه‌های 4.07 ماژول BCU 500 در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
از کاربران این ماژول‌ها خواسته شده است هر چه سریع‌تر نسخه ماژول‌های خود را به نسخه 4.08 به‌روزرسانی کنند. همچنین از آن‌ها خواسته شده است دسترسی این ماژول‌ها به اینترنت را قطع یا تا حد امکان محدود کنند و نظارت کامل بر درخواست‌های ارسال شده به سمت آن‌ها داشته باشند. به عنوان راهکاری مطمئن از کاربران خواسته شده است که در صورت حیاتی بودن وجود دسترسی به این ماژول‌ها از راه دور یا از طریق شبکه، حتما از سرویس VPN شخصی و مطمئن استفاده کنند. لازم است تا کاربران با توجه به شدت و حیاتی بودن این آسیب‌پذیری (CVSS=9.6) تمام توصیه‌های امنیتی را جدی بگیرند.
 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-50707
[2] https://www.cisa.gov/news-events/ics-advisories/icsa-23-353-02
[3] https://www.efacec.pt/en/contacts/

به تازگی، محققان امنیتی موفق به کشف یک آسیب‌پذیری بحرانی (10) و شناسه CVE-2023-6901 در نرم‌افزارStupid Simple CMS  شده‌اند. Stupid Simple CMS  یک برنامه Open Source است که به کاربران این امکان را می‌دهد که بدون استفاده از پایگاه داده، پستی را در وبلاگشان ایجاد و مدیریت کنند. در واقع این نرم‌افزار برای تسریع و آسان نمودن کار با وبلاگ طراحی شده است. کاربران می‌توانند تنظیمات سایت، محتوای متن، طرح‌بندی و سبک وبلاگ خود را با استفاده از فایل‌های XML و PHP ویرایش کنند. با توجه به این که برای این برنامه کاربردی هیچ وب‌سایت رسمی وجود ندارد، جهت دریافت آن، فقط دو مخزن GitHub با حداقل فایل README. وجود دارد. همچنین هیچ راهنمای نصب، راهنمای کاربر، مرجع   API  یا راهنمای توسعه‌دهنده‌ای برای این برنامه وجود ندارد.
مهاجم می‌تواند یک پست درخواست HTTP مخرب را به فایل /terminal/handle-command.php ارسال کند و دستورات دلخواه سیستم‌عامل را در پارامتر فرمان، تزریق کند. دستورات بدون هیچ گونه اعتبارسنجی یا پاکسازی روی سرور اجرا می‌شوند و مهاجم کنترل کامل سرور را در دست خواهد گرفت.
این آسیب‌پذیری خطری جدی برای امنیت و یکپارچگی وب‌سایتی است که از نرم‌افزار Stupid Simple CMS Plus  استفاده می‌کند. مهاجم می‌تواند از این آسیب‌پذیری جهت سرقت داده‌های حساس، نصب بدافزار، حذف فایل‌ها یا انجام هر گونه اقدام مخرب دیگری بر روی سرور استفاده کند. همچنین این آسیب‌پذیری وب‌سایت را در معرض حملات دیگری مانند منع سرویس، تزریق کد SQL و کد نویسی بین سایتی قرار می‌دهد و می‌تواند سایر برنامه‌ها یا سرویس‌هایی را که روی همان سرور اجرا می‌شوند یا حتی سرورهای دیگر همان شبکه را تحت تأثیر قرار دهد. نمونه این نقص امنیتی در کد زیر قابل مشاهده است.

این کد، یک پست درخواست HTTP را به عنوان مقدار پارامتر فرمان به URL هدف ارسال می کند. سرور این دستور را بدون هیچ گونه اعتبارسنجی اجرا می‌کند و خروجی دستور را به عنوان پاسخ برمی‌گرداند. در این حالت، در خروجی نام کاربری که سرور وب را اجرا می‌کند، مانند “www-data” یا “apache”  خواهد بود که نشان می‌دهد مهاجم می‌تواند هر دستوری را روی سرور اجرا کند و نتیجه را برگرداند.
این نقص به دلیل استفاده نادرست از تابع 'shell_exec()' در اسکریپت PHP به وجود می‌آید که دستورات شبیه‌ساز ترمینال را کنترل می‌کند. تابع 'shell_exec()' دستوری را روی سرور اجرا می‌کند و خروجی را به صورت رشته برمی‌گرداند. اسکریپت PHP ورودی کاربر را از پست درخواست می‌گیرد و آن را مستقیماً و بدون هیچ‌گونه اعتبارسنجی به تابع «shell_exec()» ارسال می‌کند. این بدان معناست که ورودی کاربر به عنوان یک فرمان در نظر گرفته و بدون توجه به محتوای آن در سرور اجرا می‌شود.
 

محصولات آسیب‌پذیر
تمامی نسخه‌های قبل از 1.1.7 تا  1.2.3نرم‌افزارStupid Simple CMS  تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
در حال حاضر تنها راه جلوگیری از مخاطرات احتمالی این آسیب‌پذیری، غیرفعال کردن یا حذف ویژگی شبیه‌ساز ترمینال از نرم‌افزار یا استفاده از یک CMS متفاوت است.

منابع خبر:

[1] https://github.com/g1an123/POC/blob/main/README.md
[2] https://vuldb.com/?ctiid_248259=
[3] https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2023-6901

آسیب‌پذیری احراز هویت نامناسب با شناسه CVE-2023-37544 و شدت بالا 7.5 در Apache شناسایی شده است که امکان اتصال به نقطه پایانی (Endpoint) /pingpong  بدون احراز هویت را برای مهاجم فراهم می‌کند که منجر به انکار سرویس به دلیل پذیرش هر نوع اتصال توسط WebSocket Proxy و انتقال بیش از حد داده به دلیل استفاده نادرست از ویژگی WebSocket ping/pong می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری Apache Pulsar WebSocket Proxy نسخه‌های 2.8.0 تا *.2.8، 2.9.0 تا *.2.9، 2.10.0 تا 2.10.4، 2.11.0 تا 2.11.1 و 3.0.0 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسخه 2.10 را حداقل به 2.10.5، 2.11 به 2.11.2 و 3.0  را به 3.0.1، ارتقاء دهند. همچنین تمام کاربرانی که از نسخه‌های 2.8، 2.9 و نسخه‌های قبلی استفاده می‌کنند باید آن را به نسخه‌های وصله‌شده بالا ارتقا دهند.

منبع خبر:

https://www.openwall.com/lists/oss-security/2023/12/20/2

Sentry ابزاری جهت ردیابی خطا (Error Tracking) است که داده‌ها را با استفاده از یک SDK در زمان اجرای برنامه رصد می‌کند و به توسعه‌دهندگان این امکان را می‌دهد تا خیلی سریع، پیوسته و با کارایی بالا، خطاهای احتمالی اپلیکیشن خود را ردیابی و رفع نمایند.
Sentry-Javascript یک Sentry SDK رسمی برای جاوا اسکریپت است. آسیب‌پذیری با شناسه CVE-2023-50249 و CVSS 7.8 یک آسیب‌پذیری با شدت بالا در‌ Sentry-Javascript است که به آسیب‌پذیری ReDoS(Regular Expression Denial of Service) در Astro SDK اشاره دارد. این آسیب‌پذیری در شرایط خاصی به مهاجم اجازه می‌دهد تا زمان‌های محاسباتی بیش از حد روی سرور ایجاد کند که منجر به انکار سرویس (DoS) می‌شود.

محصولات آسیب‌پذیر
نسخه‌های  7.78.0 و 7.86.0 از Astro SDK از Sentry آسیب‌پذیر می‌باشند.
شرایطی که موجب می‌شود برنامه‌هایی که از Sentry's Astro SDK استفاده می‌کنند تحت تأثیر آسیب‌پذیری قرار گیرند به شرح ذیل است:
1.    برنامه از ابزار Sentry استفاده می‌کند:

•  Sentry Middleware به صورت دستی ثبت شده‌است (نسخه‌های تحت تأثیر: 7.78.0-7.86.0).
•   Astro در حالت SSR (سرور) یا ترکیبی پیکربندی شده‌ است و همچنین علاوه بر استفاده از نسخه Astro 3.5.0 و جدیدتر، auto instrumentation نیز غیرفعال نشده ‌باشد. (نسخه‌های تحت تاثیر: 7.82.0-7.86.0).

2.    در برنامه، مسیرهایی با حداقل دو پارامتر مسیر پیکربندی شده‌است (به عنوان مثال /foo/[p1]/bar/[p2]).

توصیه‌های امنیتی
وصله‌ی این آسیب‌پذیری در نسخه 7.87.0 ارائه شده ‌است.
از جانب محققان ارتقاء به آخرین نسخه SDK اکیدا توصیه شده ‌است. با این حال، اگر امکان‌پذیر نباشد، مراحل کاهش آسیب‌پذیری به صورت زیر انجام شود:
1.    اگر از Astro 3.5.0 یا جدیدتر استفاده می‌کنید، auto instrumentation را غیرفعال کنید.
2.    میان‌افزار (middle ware) Sentry که به صورت دستی اضافه شده ‌است را حذف کنید (اگر قبلا اضافه شده‌باشد).
پس از این تغییرات، گزارش خطای Sentry همچنان کاربردی خواهد بود، اما برخی از جزئیات مانند تراکنش‌های سمت سرور (و در نتیجه، ردیابی‌های توزیع شده بین کاربر و سرور) حذف خواهند شد. بنابراین همچنان توصیه می‌شود در اسرع وقت به‌روزرسانی به نسخه 7.87.0 انجام شود.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-50249
[2] https://github.com/getsentry/sentry-javascript/security/advisories/GHSA-x3v3-8xg8-8v72

یک بد‌افزار مخرب چندپلتفرمی با زبان برنامه‌نویسی Go به نام "NKAbuse"، به‌عنوان اولین بد‌افزار مخرب استفاده‌کننده از تکنولوژی NKN (New Kind of Network) جهت تبادل اطلاعات شناسایی شده است و این امر آن را به یک تهدید پنهان برای کاربران تبدیل کرده است.
NKN یک پروتکل نسبتاً جدید از شبکه peer-to-peer غیرمتمرکز است که از تکنولوژی blockchain برای مدیریت منابع و ایجاد یک مدل امن و شفاف در عملیات شبکه استفاده می‌کند. یکی از اهداف NKN بهینه‌سازی سرعت انتقال داده و تاخیر در سراسر شبکه است که با محاسبه مسیرهای کارآمد برای انتقال بسته‌های داده، قابل دستیابی می‌باشد.
 

انتقال داده‌ها از طریق NKN 

اصلی‌ترین هدف این بدافزار مخرب، سیستم‌های لینوکسی می‌باشد. حمله NKAbuse با بهره‌گیری از یک آسیب‌پذیری قدیمی در Apache Struts با شناسه CVE-2017-5638 برای حمله به یک شرکت مالی استفاده شده است. اگرچه اکثر حملات به کامپیوترهای لینوکس متمرکز هستند، این نرم‌افزار مخرب می‌تواند دستگاه‌های اینترنت اشیاء را دربرگیرد و از معماری‌های MIPS، ARM و 386 پشتیبانی کند.
NKAbuse  از تکنولوژی NKN به عنوان ابزاری جهت اجرای حملات DDoS (حمله منع سرویس توزیع‌شده) استفاده می‌کند و احتمال دارد به دلیل استفاده از یک پروتکل نوآورانه تشخیص داده نشود. این تهدید از پروتکل عمومی blockchain NKN به عنوان ابزاری جهت انجام یک مجموعه گسترده از حملات flooding به عنوان یک backdoor  در سیستم‌های لینوکس استفاده می‌کند. همچنین، بدافزار با استفاده از پروتکل NKN (New Kind of Network)  با مهاجمان ارتباط برقرار می‌کند تا اطلاعات را ارسال و دریافت کند.
دستورات حمله ارسال شده توسط سرور کنترل و فرمان (C2) ، شامل انواع حملات شبکه از جمله HTTP، TCP، UDP، PING، ICMP و SSL می‌باشد. این حملات با هدف تخریب ساختار شبکه و ایجاد اختلال یا حمله منع سرویس (Denial of Service) انجام می‌شود‌. در جدول زیر لیستی از دستورات حمله آورده شده است:
 

دستورات حمله  DDo

بدافزار مذکور علاوه بر قابلیت‌های DDoS، می‌‌تواند به عنوان یک تروجان دسترسی از راه دور (RAT) عمل ‌کند که این امکان را به اپراتورهای خود می‌دهد تا اجرای دستورات، انتقال داده را انجام داده و از صفحه نمایش عکس بگیرند.
 

گرفتن عکس که از نمایشگر

منبع خبر:

[1] https://securityaffairs.com/155935/malware/nkabuse-abuses-nkn-technology.html#google_vignette
[2]https://www.bleepingcomputer.com/news/security/new-nkabuse-malware-abuses-nkn-blockchain-for-stealt…

تاکنون آسیب‌پذیری‌های بسیاری برای نرم‌افزار Adobe Experience Manager(AEM) کشف شده‌ بود که اخیرا ۶ مورد به مجموعه قبلی افزوده شد.
آسیب‌پذیری‌های جدید همگی از نوع stored cross-site-scripting (XSS ذخیره شده) و با شدت متوسط می‌باشند. این آسیب‌پذیری‌ها به یک مهاجم با سطح دسترسی پایین اجازه می‌دهند اسکریپت‌های مخرب را به فیلد‌های آسیب‌پذیر تزریق کند. کد جاوااسکریپت مخرب ممکن است هنگام بازدید از صفحه حاوی فیلد آسیب‌پذیر در مرورگر قربانی اجرا شود.
شناسه‌های 6 آسیب‌پذیری مذکور به صورت زیر هستند:

• CVE-2023-51457: CVSS 5.4
•  CVE-2023-51458: CVSS 5.4
•  CVE-2023-51459: CVSS 5.4
• CVE-2023-51460: CVSS 5.4
• CVE-2023-51461: CVSS 5.4
• CVE-2023-51462: CVSS 5.4

نسخه‌های آسیب‌پذیر
نسخه‌های ماقبل 6.5.18.0 و همچنین نسخه سرویس ابری AEM Cloud Service(CS) نسبت به این نقص‌ها آسیب‌پذیر می‌باشند.

توصیه‌های امنیتی
شرکتAdobe  به کاربران توصیه می‌کند نرم‌افزار خود را به جدیدترین نسخه یعنی نسخه 6.5.19.0‌ و AEM Cloud Service Release 2023.11 به‌روزرسانی کنند. شایان ذکر است کاربرانی که از سرویس ابری (AEM Cloud Service) استفاده می‌کنند به‌طور خودکار به‌روزرسانی‌هایی را دریافت می‌کنند که شامل ویژگی‌های جدید و همچنین رفع اشکال امنیتی و عملکردی است.
 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-51457
[2] https://helpx.adobe.com/security/products/experience-manager/apsb23-72.html