شرکت مایکروسافت نقصی را تأیید کرده است که باعث می‌شود پس از تغییر نام همه چاپگرها به HP LaserJet M101-M106، برنامه HP Smart به طور خودکار در سیستم‌های ویندوز نصب شود. برخی کاربران ویندوز، این مشکل را در وب‌‌‌‌‌‌سایت انجمن مایکروسافت و در شبکه‌‌‌‌‌‌های اجتماعی آنلاین گزارش کرده‌‌‌‌‌‌اند.
بر اساس این گزارش‌‌‌‌‌‌ها، برنامه HP Smart به طور خودکار، حتی اگر کاربران دارای چاپگر یا کامپیوتر HP نباشند یا از آنها استفاده ‌‌‌‌‌‌نکنند، بر روی برخی کامپیوترهای دارای ویندوزهای 10 و 11، از طریق Microsoft Store نصب می‌شود. در حالی که در ابتدا، برخی از کاربران گمان می‌‌‌‌‌‌کردند که سیستم‌‌‌‌‌‌های آنها در معرض خطر قرار گرفته است، مایکروسافت اکنون تأیید کرده است که این یک مشکل شناخته شده است که بر پلتفرم کلاینت (Windows 10 1809 یا جدیدتر و ویندوز 11) و سرور (ویندوز سرور 2012 یا بالاتر) تأثیر می‌‌‌‌‌‌گذارد. طبق یافته‌های مایکروسافت، دستگاه‌های بدون دسترسی به Microsoft Store نباید تحت تأثیر این مشکل خاص قرار بگیرند.
در مشکل اخیر، تمام چاپگرها، صرف نظر از سازنده اصلی آنها، در سیستم‌‌‌‌‌‌های تاثیر پذیرفته به عنوان چاپگرهای HP برچسب‌‌‌‌‌‌گذاری می‌‌‌‌‌‌شوند و این احتمال وجود دارد که نماد چاپگرها نیز تغییر کند. بعلاوه هنگامی که کاربران سعی می‌‌‌‌‌‌کنند چاپگر را با دوبار کلیک کردن روی آن باز کنند، ممکن است پیام خطای روی صفحه را با عنوان "No tasks are available for this page" ببینند.
شرکت مایکروسافت اعلام کرده است که انتظار ندارد فرآیندهای چاپ تحت تأثیر این مشکل قرار گیرد و طبق روال معمول، کارهای چاپ، کپی یا اسکن باید در صف انجام کار قرار ‌‌‌‌‌‌گیرند. همچنین چاپگرهای دستگاه همچنان از درایورهای مورد انتظار برای عملیات چاپگر استفاده خواهند کرد.

محصولات تحت تاثیر
براساس اعلام شرکت مایکروسافت، نسخه‌‌‌‌‌‌های ویندوز 10 1809 و ویندوز 11 و نسخه‌‌‌‌‌‌های جدیدتر آنها و ویندوزهای سرور از سرور 2012 و نسخه‌‌‌‌‌‌های پس از آن تحت تأثیر چالش ایجاد شده قرار دارند. به نظر می-رسد این مشکل به دلیل ادغام اشتباه متادیتای ارسال شرکت HP با سیستم عامل ویندوز رخ داده است. این جزئیات و ادغام اشتباه در به‌‌‌‌‌‌روزرسانی‌‌‌‌‌‌های منتشر شده در هفته انتهایی نوامبر به سیستم‌‌‌‌‌‌های ویندوزی راه یافته است.
اختلال متادیتای Windows Update بر محصولات یا خدمات مایکروسافت از جمله Microsoft Print to PDF and XPS Document Writer تأثیر می‌‌‌‌‌‌گذارد و چاپگرهای دیگر، از جمله چاپگرها و پرینترهایEPSON  نیز به عنوان محصولات HP ظاهر می‌‌‌‌‌‌شوند.

توصیه‌های امنیتی
طبق اعلام شرکت مایکروسافت، این شرکت در حال بررسی این مشکل است و به زودی به‌‌‌‌‌‌روز‌‌‌‌‌‌رسانی آن را ارائه خواهد کرد. کاربران خانگی و تجاری که به دنبال کمک هستند، لازم است تا از طریق فرم آنلاین موجود در https://support.microsoft.com/contactus با پشتیبانی تماس بگیرند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-bug-renames-printers-to-…
[2] https://www.windowslatest.com/2023/12/04/windows-update-accidentally-renames-all-printers-to-hp-m10…

شناسایی آسیب‌پذیری با شناسه‌ CVE-2023-47565 و شدت بالا 8.0 امکان تزریق فرمان سیستم‌عامل (OS command injection) را برای مهاجم احراز هویت شده فراهم می‌آورد. بهره‌برداری از این آسیب‌پذیری منجر به اجرای دستورات از طریق شبکه می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری مدل‌های قدیمی QNAP VioStor NVR با QVR Firmware 4.x را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء QNAP VioStor NVR  به QVR Firmware 5.x  و بالاتر اقدام نمایند و از رمزهای عبور قوی برای همه حساب‌های کاربری استفاده کنند.
تغییر رمز عبورکاربر در  QVR به صورت زیر است:
•    وارد QVR شوید.
•    به Control Panel > Privilege > Users بروید.
•    کاربری را که می خواهید ویرایش کنید انتخاب کنید.
توجه: فقط مدیران می‌توانند رمز عبور سایر کاربران را تغییر دهند.
•    روی نماد (icon) تغییر رمز عبور کلیک کنید.
•    یک رمز عبور جدید و قوی مشخص کنید.
•    رمز عبور را تأیید کنید.
•    روی Apply کلیک کنید.
به‌روزرسانی سیستم‌عامل QVR
•    به عنوان مدیر به QVR وارد شوید.
•    به Control Panel > System Settings > Firmware Update بروید.
•    تب Firmware Update را انتخاب کنید.
•    برای بارگذاری آخرین فایل Firmware، روی Browse... کلیک کنید.
نکته: آخرین فایل Firmware را برای مدل خاص خود از https://www.qnap.com/go/download بارگیری کنید. "Legacy NVR" را انتخاب کنید تا مدل خود را پیدا کنید.
•    روی Update System کلیک کنید.
•    QVR را به‌روزرسانی کنید.
 

منبع خبر:

https://www.qnap.com/en/security-advisory/qsa-23-48

به دنبال انتشار اسکرین شات‌‌‌‌‌های گروه باج‌افزار ALPHV که داده‌‌‌‌‌های سرقت شده را نشان می‌‌‌‌‌دهد، سرویس جهانیHTC ، یک شرکت مشاوره فناوری اطلاعات و کسب و کار، نقض امنیت سایبری را تایید کرده است. این شرکت، فناوری و راه‌‌‌‌‌حل‌‌‌‌‌های تجاری را برای بخش‌‌‌‌‌های مختلف از جمله مراقبت‌‌‌‌‌های بهداشتی، خودروسازی، تولید و مالی ارائه می‌‌‌‌‌دهد.
در زمان انتشار این خبر، هنوز شرکت HTC به طور رسمی این حادثه را در وب سایت خود اعلام نکرده است، اما آنها حمله سایبری را از طریق یک توییت تأیید کردند و بر تحقیقات مداوم و تلاش‌‌‌‌‌های خود برای محافظت از داده‌‌‌‌‌های کاربران تأکید کردند.
گروه باج‌افزار ALPHV (BlackCat) که نام HTC را در فهرست سایت‌‌‌‌‌های تحت حمله خود اضافه کرده است، نشت داده‌‌‌‌‌های حساس زیر را اعلام نموده است:
•    گذرنامه‌‌‌‌‌ها
•    لیست‌‌‌‌‌های تماس
•    ایمیل‌‌‌‌‌ها
•    اسناد محرمانه
با این وجود هنوز هیچ جزئیاتی در مورد ماهیت حمله یا تعداد افراد آسیب دیده فاش نشده است.
چنین حمله‌ای پس از آن صورت می‌‌‌‌‌گیرد که یکی از زیرمجموعه‌‌‌‌‌های وابسته به ALPHV/BlackCat ادعا کرد که به ارائه‌‌‌‌‌دهنده نرم‌افزار حسابداری Tipalti نفوذ کرده است. گروه Scattered Spider یکی دیگر از زیرمجموعه‌‌‌‌‌های ALPHV/BlackCat نیز اخیراً در حمله‌‌‌‌‌ای که شامل رمزگذاری بیش از 100 هایپروایزر VMware ESXi بود، شرکت MGM Resorts را به خطر انداخت.

محصولات تحت تاثیر
سرویس جهانی HTC در حمله اخیر مورد تهاجم قرار گرفته است. گمان می‌‌‌‌‌رود که HTC احتمالاً از طریق آسیب‌‌‌‌‌پذیری Citrix Bleed مورد حمله قرار گرفته است، به ویژه آنکه در واحد تجاری CareTech این شرکت، یک دستگاه حساس Citrix Netscaler وجود دارد.
 

توصیه‌های امنیتی
هنوز راه نفوذ و ابعاد حمله اخیر گروه ALPHV/BlackCat به شرکت HTC اعلام نشده است، اما حملات اخیر این گروه، اهمیت توجه به روش‌‌‌‌‌های کاری آنها، جهت جلوگیری از حملات مشابه به سایر سازمان‌‌‌‌‌ها را نشان می‌‌‌‌‌دهد.

منابع خبر:

[1] https://www.scmagazine.com/brief/cyberattack-disclosed-by-htc-global-services-following-alphv-black…
[2] https://beyondmachines.net/event_details/htc-global-services-reports-cyberattack-data-leaked-online…

وردپرس نسخه 6.4.2 را با هدف حل یک آسیب‌پذیری اجرای کد از راه دور (RCE) منتشر کرد. هنگامی که این آسیب‌پذیری با نقص دیگری ترکیب شود، می‌تواند مهاجمان را قادر سازد تا کدهای PHP دلخواه را در وب‌سایت مورد نظر اجرا کنند. وردپرس یک سیستم مدیریت محتوای متن باز (CMS) بسیار محبوب است که جهت ایجاد و مدیریت وب‌سایت‌ها استفاده می‌شود. در حال حاضر بیش از 800 میلیون سایت از وردپرس استفاده می‌کنند که شامل حدود 45 درصد از کل سایت‌های موجود در اینترنت می‌باشد.
تیم امنیتی این پروژه یک آسیب‌پذیری را در هسته 6.4 وردپرس شناسایی کرد که به عنوان یک نقص زنجیره‌ای برنامه‌نویسی مبتنی بر ویژگی (POP) شناخته می‌شود. تحت شرایط خاص، این آسیب‌پذیری پتانسیل اجرای کد PHP دلخواه را دارد.
برای بهره برداری از این نقص امنیتی، باید یک آسیب‌پذیری تزریق شی PHP در سایت مورد نظر وجود داشته باشد. این نقص ممکن است در یک پلاگین، افزونه تم یا مؤلفه دیگر پیدا شود و بهره‌برداری از آن می‌تواند منجر به ایجاد مخاطرات جدی شود.Wordpress  نیز اشاره کرده است: «یک آسیب‌پذیری Remote Code Execution مستقیماً در هسته قابل بهره‌برداری نیست. با این حال، تیم امنیتی احساس می‌کند که هنگام ترکیب با برخی از افزونه‌ها، به‌ویژه در نصب‌های چند سایتی، پتانسیل بالایی وجود دارد.» 
این نقص امنیتی در کلاس «WP_HTML_Token» وجود دارد که در وردپرس 6.4 جهت بهبود تجزیه HTML در ویرایشگر بلوک معرفی شده است. کلاس حاوی یک متد "__destruct" می‌باشد که از"call_user_func" جهت اجرای یک تابع تعریف شده در ویژگی "on_destroy" با "bookmark_name" به عنوان آرگومان استفاده می‌کند. مهاجمی که از یک آسیب‌پذیری تزریق شی بهره‌برداری می‌کند، می‌تواند بر روی این ویژگی‌ها برای اجرای کد دلخواه کنترل داشته باشد.
 

تخریبگر کلاس که به صورت شرطی یک تابع callback را اجرا می کند

توصیه‌های امنیتی
محققان ضمن تأیید شدت بالقوه آسیب‌پذیری که می‌تواند تحت شرایط خاص مورد بهره‌برداری قرار گیرد، به مدیران توصیه می‌کنند که سایت خود را به آخرین نسخه وردپرس(نسخه 6.4.2) به‌روزرسانی کنند.

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-a…;
[2]https://wordpress.org/documentation/wordpress-version/version-6-4-2/ 
[3]https://www.wordfence.com/blog/2023/12/psa-critical-pop-chain-allowing-remote-code-execution-patche…;

مهاجمان می توانند از خدمات رمز امنیتی وب سرویس‌های آمازون (AWS STS) به عنوان راهی جهت نفوذ به حساب‌های ابری و انجام حملات خود بهره‌بردرای کنند. به گفته محققان این سرویس، مهاجمان را قادر می‌سازد تا هویت و نقش‌های کاربر را در محیط‌های ابری جعل کنند. AWS Security Token Service (STS) یک سرویس مبتنی بر وب است که به کاربران اجازه می‌دهد تا اعتبارنامه‌های موقت و با امتیاز محدود را درخواست کنند. این امر به کاربران امکان می‌دهد بدون نیاز به ایجاد هویت مجزای AWS به منابع AWS دسترسی داشته باشند. توکن های STS صادر شده توسط این سرویس برای مدت زمانی بین 15 دقیقه تا 36 ساعت معتبر باقی می‌مانند. 
مهاجمان این توانایی را دارند که با استفاده از تکنیک‌های متنوعی مانند نفوذ بدافزار، افشای اعتبارنامه‌ها در معرض عموم و ایمیل‌های فیشینگ فریبنده، توکن‌های طولانی مدت IAM (مدیریت هویت و دسترسی) را به سرقت ببرند. متعاقباً، این توکن‌های به سرقت رفته برای تعیین نقش‌ها و امتیازات مرتبط با آن‌ها از طریق فراخوان‌های API مورد بهره‌برداری قرار می‌گیرند.
به گفته محققان امنیتی، بسته به سطح مجوز توکن، ممکن است مهاجمان بتوانند از آن جهت ایجاد کاربران IAM اضافی با توکن‌های بلندمدت AKIA استفاده کنند تا در صورت کشف توکن اولیه AKIA و تمام توکن‌های کوتاه‌مدت ASIA که تولید کرده است، شناسایی و باطل ‌شوند. در مرحله بعدی، یک توکن STS تأیید شده توسط MFA جهت تولید چندین توکن کوتاه مدت جدید استفاده می‌شود.

توصیه‌های امنیتی
به کاربران توصیه می‌شود ثبت داده‌های رویداد CloudTrail را فعال کنند، رویدادهای role-chaining و روش‌های بهره‌برداری از احراز هویت چند عاملی (MFA) را شناسایی و به‌طور منظم کلیدهای دسترسی را برای کاربران طولانی‌مدت IAM به‌روزرسانی کنند.

منبع خبر:

https://thehackernews.com/2023/12/alert-threat-actors-can-leverage-aws.html 

جدیدترین نوع بات‌نت P2Pinfect اکنون بر روی آلوده کردن دستگاه‌هایی با پردازنده‌های 32 بیتی MIPS (Microprocessor without Interlocked Pipelined Stages) مانند روترها و دستگاه‌های IoT تمرکز کرده‌ است. تراشه‌های MIPS به دلیل عملکرد موثر و طراحی ساده به طور گسترده در سیستم‌هایی مانند روترها، residential gateways و کنسول‌های بازی ویدئویی استفاده می‌شوند. P2Pinfect در جولای 2023 به عنوان یک Worm جدید مبتنی بر Rust کشف شد که سرورهای Redis آسیب‌پذیر به نقص امنیتی با شناسه  CVE-2022-0543 را مورد هدف قرار می داد.
آخرین حملات مشاهده شده بر روی هانی‌پات‌های Cado، سرورهای SSH را که از اعتبارنامه‌های ضعیف استفاده می‌کنند، اسکن کرده و سعی می‌کنند یک فایل باینری طراحی شده برای معماری MIPS را از طریق SFTP و SCP آپلود کنند. تجزیه و تحلیل‌ها نشان می‌‎دهد که P2Pinfect جدید، یک فایل باینری ELF 32 بیتی بدون اطلاعات اشکال‌زدایی است که دارای یک DLL ویندوز 64 بیتی است. این DLL به عنوان یک ماژول قابل بارگیری برای Redis عمل می‌کند و این قابلیت را برای بدافزار فراهم می‌کند تا دستورات پوسته (shell command) را بر روی میزبان در معرض خطر اجرا کند. ELF (فرمت اجرایی و پیوندپذیر) یک فرمت فایل رایج برای فایل‌های اجرایی، کتابخانه‌های مشترک و حتی حذف‌ هسته(core) در سیستم‌عامل‌های شبه یونیکس است.
 

 Windows که در آن فایل باینری قابل اجرا جاسازی شده است

جدیدترین نوع P2Pinfect مکانیسم‌های فرار پیچیده و چندوجهی را پیاده‌سازی می‌کند که تشخیص و تجزیه و تحلیل آن را بسیار چالش‌برانگیزتر می‌کند. توسعه مداوم P2Pinfect و گسترش هدف گذاری بدافزار نشان دهنده سطح بالایی از مهارت های کدنویسی و عزم نویسندگان آن است. در حال حاظر هدف اصلی از توسعه آن نامشخص است ولی این اهداف می‌تواند شامل استخراج ارزهای دیجیتال، راه اندازی حملات منع سرویس توزیع‌شده (DDoS)، تسهیل پروکسی ترافیک و سرقت داده باشد.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/stealthier-version-of-p2pinfect-malware-targets-mips…
[2]https://thehackernews.com/2023/12/new-p2pinfect-botnet-mips-variant.html 

آسیب‌پذیری با شناسه CVE-2023-20275، شدت متوسط و امتیاز 4.1 در ویژگی  AnyConnect SSL VPN نرم‌افزار Cisco Adaptive Security Appliance و Cisco Firepower Threat Defense  شناسایی شده است. این آسیب‌پذیری ناشی از یک نقص در فرآیند اعتبارسنجی آدرس IP منبع داخلی بسته‌ها پس از رمزگشایی است، که به یک مهاجم اجازه می‌دهد با ارسال بسته‌های جعلی با آدرس IP دلخواه از طریق تونل، از این آسیب‌پذیری بهره‌برداری کند.

محصولات تحت تأثیر
محصولات زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
•    Cisco Adaptive Security Appliance (ASA)
•    Cisco Firepower Threat Defense (FTD)
آسیب‌پذیری فوق تنها  زمانی محصولات نام برده را تحت تأثیر قرار می‌دهد که ویژگی AnyConnect SSL VPN در آنها فعال باشد. اما خود ویژگی AnyConnect clientless SSL VPN تحت تأثیر این آسیب‌پذیری قرار ندارد.
برای تشخیص اینکه آیا AnyConnect SSL VPN در Cisco ASA Software فعال است یا خیر؟ از دستور show running-config webvpn در حالت privileged EXEC استفاده می‌شود. شکل زیر، خروجی این دستور را برای دستگاهی نشان می‌دهد که این ویژگی در آن فعال است:
 

 تشخیص فعال بودن ویژگی AnyConnect SSL VPN در Cisco ASA Software

توصیه‌های امنیتی
برای رفع این آسیب‌پذیری، سیسکو نسخه‌هایی برای به‌روزرسانی نرم‌افزارهای تحت تأثیر منتشر کرده است که مشکلات امنیتی مرتبط با این آسیب‌پذیری را حل می‌کند. برای دریافت به‌روزرسانی محصولات، به سایت سیسکو مراجعه نمایید.

منبع خبر:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-…

CISA در خصوص بهره‌برداری مهاجمان از یک آسیب‌پذیری مهم در Adobe ColdFusion با شناسه CVE-2023-26360 و شدت 9.8 برای دسترسی اولیه به سرورهای هشدار داد. نقص امنیتی امکان اجرای کد دلخواه را بر روی سرورها را فراهم می‌کند. سرورها به همراه نسخه‌های آسیب‌پذیر به شرح ذیل می‌باشد:

•    Adobe ColdFusion 2018 Update 15 and older
•    Adobe ColdFusion 2021 Update 5 and earlier

طبق گزارش CISA، مهاجمان با استفاده از دستورات HTTP POST که به مسیر دایرکتوری مرتبط با ColdFusion هدایت می‌شوند، از این آسیب‌پذیری جهت استقرار بدافزار بهره‌برداری می‌کنند. مهاجمان یک فرآیند کامل را به همراه ارزیابی‌های شبکه انجام دادند. متعاقباً، آن‌ها یک پوسته وب (web shell) به نام "config.jsp" را جاسازی کردند که به آن‌ها امکان تزریق کد به فایل پیکربندی ColdFusion و بازیابی اعتبارنامه‌ها را می‌دهد. اقدامات آن‌ها شامل حذف فایل‌های مورد استفاده در حمله جهت پنهان کردن ردپای خود بود و همچنین فایل‌هایی را در دایرکتوری C:\IBM تولید کردند تا عملیات مخرب را بدون شناسایی فعال کنند. در موردی دیگر ، مهاجمان اطلاعات حساب کاربری را قبل از استقرار یک فایل متنی جمع آوری کردند که پس از رمزگشایی، خود را به عنوان یک تروجان دسترسی از راه دور به نام "d.jsp" نشان می‌دهد. پس از آن، تلاش برای استخراج فایل‌های رجیستری و جزئیات مدیریت حساب امنیتی (SAM) انجام می‌‌‌‌شد. 
 

ابزارهایی که مهاجم در اولین حمله استفاده کرده است

توصیه‌های امنیتی
جهت کاهش مخاطرات ناشی از این نقص امنیتی، شرکت CISA ارتقاء ColdFusion را به آخرین نسخه موجود، اعمال تقسیم‌بندی شبکه، راه‌اندازی فایروال یا WAF و اجرای سیاست‌های signed software execution  توصیه می‌کند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusi…;

طبق تحقیقات اخیر چند نقص نرم‌افزاری در سنسور اثر انگشت دستگاه‌ها شناسایی شده است تا مهاجمان صفحه Windows Hello authentication را دور زده و به محیط شخصی کاربر دست پیدا کنند. این تحقیقات نشان می‌دهند چیپست Match on Chip (MoC) که در سنسور‌ اثر انگشت شرکت‌های‌ Goodix، Synaptics و ELAN به کار رفته‌اند، دارای این نقص نرم‌افزاری هستند. این سنسورها در لپ‌تاپ‌های Dell Inspiron 15، Lenovo ThinkPad T14 و Microsoft Surface Pro X به کار گرفته شده‌اند. محققین درباره این نقص نرم‌افزاری اذعان داشتند: «چیپست MoC باید موجب جلوگیری از ایجاد تغییرات در اثر انگشت ذخیره شده در حافظه گردد، در واقع این چیپست باید موجب شود تا اثر انگشت فقط از حسگر اصلی دریافت و با اثر انگشت ذخیره شده در پایگاه داده حسگر تطبیق داده شود. این چیپست باید از دریافت اثرانگشت از هر حسگر دیگری جلوگیری کند که متاسفانه MoC به دلیل وجود این نقص نرم‌افزاری، در انجام این عمل ناتوان است. همچنین MoC قابلیت جلوگیری از به اشتراک گذاشتن داده رد و بدل شده بین پایگاه داده و حسگر را ندارد.» نقص فنی در سنسور‌های ELAN به صورت زیر آمده است:
•    آسیب‌پذیری در برابر جعل اثر انگشت ناشی از عدم پشتیبانی (SDCP) و منتقل کردن شناسه‌های امنیتی به صورت متن واضح (clear text).
•    ELAN اجازه می‌دهد تا دستگاه‌های متصل به درگاه USB خود را به عنوان سنسور اثرانگشت معرفی کند.

نقص فنی در سنسورهای synaptics به صورت زیر عمل می‌کند:
•    پشتیبانی از حالت (SDCP) به صورت پیش‌فرض غیر فعال است.
•    استفاده از پروتوکل Transport Layer Security (TLS) جهت جلوگیری از حملات احتمالی و محافظت از اطلاعات رد و بدل شده بین حسگر و داده‌های ذخیره شده مربوطه.

سنسور Goodix با داشتن پایگاه‌داده‌های متفرق از یکدیگر و پشتیبانی ازسیستم‌عامل‌های ویندوز و لینوکس، از امنیت بالاتری برخوردار بوده و توانایی انجام عملیات زیر را خواهد داشت:

•    Boot to Linux.
•    Enumerate valid IDs.
•    Enroll attacker's fingerprint using the same ID as a legitimate Windows user.
•    MitM the connection between the host and sensor by leveraging the cleartext USB communication.
•    5-Boot to Windows.
•    Intercept and rewrite the configuration packet to point to the Linux DB using our MitM.
•    Login as the legitimate user with attacker's print.

نقص فنی در سنسورهای Goodix به صورت زیر عمل می‌کند:
•    اگر میزبان پکت ناشناسی را به سنسور ارسال کند، می‌توان مشخص کرد که سنسور از چه پایگاه‌داده‌ای هنگام تشخیص اثرانگشت  استفاده کند.

توصیه‌های امنیتی
•     کمپانی‌های سازنده پروتکل (SDCP) را به صورت پیش‌فرض در پایگاه‌داده خود فعال بگذارند.
•     کمپانی‌ها از صحت کارکرد حسگر‌ها توسط کارشناسان مجرب اطمینان حاصل کنند.

منبع خبر :

https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html

آسیب‌پذیری‌های جدیدی در روترهای Sierra OT/IoT کشف شده‌اند که می‌توانند زیرساخت‌های حیاتی را تهدید کنند. این آسیب‌پذیری‌ها شامل موارد زیر می‌باشند:
•    اجرای کد از راه دور
•    دسترسی غیرمجاز
•    اسکریپت‌نویسی بین‌سایتی
•    دور زدن فرایند احراز هویت
•    انجام حملات منع سرویس

این روترها به دلیل پشتیبانی از چندین شبکه و عملکرد 3G/4G/5G، در زمینه‌های صنعتی مورد توجه قرار گرفته‌اند. همچنین، این روترها به دلیل استفاده از WiFi با سرعت بالا، در زمینه‌های صنعتی مورد توجه قرار گرفته‌اند. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان جهت کنترل روترها و دسترسی به شبکه‌های داخلی استفاده شوند. به عنوان مثال، مهاجم می‌تواند از آسیب‌پذیری اجرای کد از راه دور جهت بارگذاری کد مخرب در روتر استفاده کند. این کد مخرب می‌تواند برای انجام اقدامات مخرب مانند کنترل روتر، سرقت داده‌ها یا ایجاد اختلال در شبکه استفاده شود.
از بین مشکلات امنیتی کشف شده، فقط یک آسیب‌پذیری با شدت بحرانی (امتیاز CVSS 9.8) وجود دارد. هشت آسیب‌پذیری دیگر با شدت بالا (امتیاز CVSS 7.5 تا 8.4) و دوازده آسیب‌پذیری دیگر با شدت متوسط (امتیاز CVSS 4.3 تا 6.9) شناسایی شده‌اند.

•    CVE-2023-41101 (اجرای کد از راه دور در OpenDNS - شدت بحرانی 9.6)
•    CVE-2023-38316 (اجرای کد از راه دور در OpenDNS - شدت بالا 8.8)
•    CVE-2023-40463 (دسترسی غیرمجاز در ALEOS - شدت بالا 8.1)
•    CVE-2023-40464 (دسترسی غیرمجاز در ALEOS - شدت بالا 8.1)
•    CVE-2023-40461 (اسکریپت‌نویسی بین‌سایتی در ACEmanager - شدت بالا 8.1)
•    CVE-2023-40458 (حمله منع سرویس در ACEmanager - شدت بالا 7.5)
•    CVE-2023-40459 (حمله منع سرویس در ACEmanager - شدت بالا 7.5)
•    CVE-2023-40462 (حمله منع سرویس در ACEmanager مرتبط با TinyXML - شدت بالا 7.5)
•    CVE-2023-40460 (اسکریپت‌نویسی بین‌سایتی در ACEmanager - شدت بالا 7.1)

احتمال بهره‌برداری بدون نیاز به تأیید اعتبار از چندین مورد از آسیب‌پذیری‌های OpenNDS وجود دارد. این احتمال به این دلیل است که سناریوهای حمله، شامل مشتریانی هستند که سعی می‌کنند به شبکه یا سرویس متصل شوند.

توصیه‌‎های امنیتی
اقدامات توصیه شده جهت محافظت از روترهای Sierra AirLink در برابر آسیب‌پذیری‌های جدید عبارتند از:
•    گواهی‌های پیش‌فرض SSL باید تغییر داده شوند.
•    سرویس‌های غیر ضروری باید غیرفعال یا محدود شوند.
•    باید یک فایروال وب در همه سازمان‌هایی که از برنامه‌های وب استفاده می‌کنند، پیاده‌سازی شود.
•    باید یک شناسه OT/IoT-aware جهت نظارت بر ترافیک شبکه نصب شود.

منبع‌خبری:

https://www.bleepingcomputer.com/news/security/sierra-21-vulnerabilities-impact-critical-infrastruc…