محققان نوع جدیدی از باج‌افزار DJvu به نام Xaro را کشف کرده‌‌‌‌اند که از طریق نرم‌‌‌‌افزارهای کرک شده منتشر می‌‌‌‌شود. این بدافزار یک بدافزار بارگذار است و در کنار بارگیری سایر بدافزارها، جهت سرقت اطلاعات و آلوده نمودن سیستم‌‌‌‌ها کاربرد دارد. آلودگی به بدافزار جدید زمانی شروع می‌‌‌‌شود که کاربر فایل بایگانی install.7z را از یک منبع نامعتبر دانلود می‌‌‌‌کند که خود را سایت قانونی توزیع‌‌‌‌کننده نرم‌افزارهای رایگان معرفی می‌‌‌‌کند. پس از باز شدن فایل موردنظر با استفاده از Winrar، فایل install.exe اجرا و در ادامه بارگذار بدافزار دانلود می‌شود. در حالی که فایل هش‌شده برای install.exe هنوز ناشناخته است، تجزیه و تحلیل sandbox نشان می‌‌‌‌دهد که این مورد یک نمونه از PrivateLoader است. پس از اجرا، باج‌افزار Xaro پسوند xaro. را به فایل‌‌‌‌های رمزگذاری شده اضافه و سپس یک یادداشت باج‌‌‌‌خواهی به نام file_readme.txt ایجاد می‌‌‌‌کند.
محققان خاطرنشان کردند که مهاجمان از رویکرد موسوم به تفنگ شاتگان به عنوان بخشی از فرآیند آلوده-سازی جهت استقرار باج‌افزار استفاده نموده‌‌‌‌اند. آن‌ها به طور تصادفی ماشین‌‌‌‌های آسیب‌پذیر را آلوده می‌‌‌‌کنند و از قربانیان باج می‌‌‌‌گیرند. علاوه بر باج‌افزار Xaro، این ارتباطات منجر به دانلود و اجرای انواع بدافزارهای دیگر مانند RedLine Stealer، Vidar، Amadey، Nymaim، XmRig و LummaStealer، شده است.

محصولات تحت تاثیر
اگرچه در گزارش‌‌‌‌ها به صورت مشخص به نرم‌‌‌‌افزار یا سیستم‌عامل خاصی اشاره نشده است، اما به نظر می‌‌‌‌رسد هدف حمله جمع‌آوری و استخراج اطلاعات حساس برای اخاذی مضاعف است.

توصیه‌های امنیتی
در این حمله، مهاجمان از نرم‌‌‌‌افزارهای کرک شده یا جعلی به عنوان راهی جهت استقرار مخفیانه کدهای مخرب استفاده نموده‌‌‌‌اند. از آنجایی که دامنه چنین خطراتی می‌‌‌‌تواند ویرانگر باشد، کاربران باید از دانلود نرم-افزار از منابع یا سایت‌‌‌‌های غیرقابل اعتماد خودداری کنند. علاوه بر این، به سازمان‌ها توصیه می‌شود جهت ایمن ماندن از گزند این تهدیدات، برنامه‌ها یا سایت‌های معتبر را در قالب یک لیست، به پرسنل خود ارائه دهند.

منبع خبر:

[1] https://cyware.com/news/djvu-ransomware-latest-variant-xaro-emerges-in-the-threat-landscape-0bcf9e4a
 

محققان گزارشی در خصوص یک سایت با عنوان Persian Remote World منتشر کردند که اقدام به فروش بدافزارهای مختلف کرده است. محققان با یک Loader جدید به نام Persian Loader در VirusTotal مواجه شدند و با بررسی آن به یک کانال تلگرامی رسیدند. در این کانال، به سایتی با عنوان Persian Remote World پیوند داده شده است که محل فروش بدافزارهای مختلفی از جمله RAT(Remote Access Trojans)، Loaders و Crypter است. تحقیقات نشان می‌دهد که این وب‌سایت‌،Persian RAT  را به ‌همراه پنلی برای مدیریت سیستم‌های آلوده ارائه می‌دهد. این پنل RAT شامل جزئیاتی نظیر نام کامپیوتر، سرور، آدرس IP، مشخصات کاربر، نسخه ویندوز، معماری، CPU، GPU و کشور می‌باشد. توسعه دهندگان، این RATها را به صورت اشتراکی به فروش می‌‌رسانند که هزینه اشتراک یک ماهه 20 دلار و تا مادام العمر 200 دلار است.
 

شکل 1: Persian RAT در وب سایت

علاوه بر اینRAT، یکLoader  مخرب به نام Persian Loader هم در این سایت تبلیغ می‌شود که به همراه یک پنل ساخت باینری و کنترل کلاینت‌ها ارائه می‌شود. این پنل همانطور که در شکل 2 مشاهده می‌کنید، لیستی از قربانیان فعال را نشان می‌دهد و این امکان را فراهم می‌کند تا بتوان فایل دلخواه را در این سیستم‌ها اجرا کرد.
 

شکل 2 :Persian Loader  در وب‌سایت

بدافزار Persian Security نوع دیگری از یک بدافزارCrypter  است. این بدافزار می‌تواند فایل‌های اجرایی را رمزگذاری و مبهم کند تا از شناسایی و آنالیز آن‌ها جلوگیری کند. این بدافزار به صورت اشتراکی از ماهی 45 دلار تا مادام‌العمر 650 دلار ارائه می‌شود.
 

شکل 3: Persian Security در وب سایت

در سایت Persian Remote World آدرس یک کانال تلگرامی است که در تاریخ 18 اکتبر ایجاد شده است و نشان می‌دهد که توسعه دهندگان شروع به توسعه بدافزار کرده‌اند. در این کانال نسخه رایگان Persian Loder Builder  و نسخه پولی آن با قیمت 20 دلار در ماه موجود است.
 

شکل 4: کانال تلگرامی Persian Remote World

• آنالیز فنی بدافزار Persian RAT

نمونه‌ بررسی شده توسط محققان، 3.75 مگابایت حجم دارد که نسبت به نمونه‌های مشابه، حجم بالاتری دارد. بعد از اجرای برنامه مخرب Persian RAT، یک Mutex با عنوان Persian از طریق CreateMutexW ایجاد می‌کند. این Mutex از اجرای چند نمونه از بدافزار جلوگیری می‌کند و فرآیند Multithreading را آسان می‌کند. شکل 5 فرآیند ایجاد Mutex را نشان می‌دهد.
 

شکل 5: ایجاد Mutex توسط Persian RAT

بعد از ایجاد Mutex، بدافزار از طریق AdjustTokenPrivileges امتیازات SeShutdownPrivilege و SeDebugPrivilege را فعال می‌کند. این امتیازات به ترتیب برای ریستارت سیستم و دسترسی به حافظه‌ پروسه‌های دیگر استفاده می‌شوند. شکل 6 نشان‌دهنده تنظیم این امتیازات به وسیله بدافزار است.
 

شکل 6 : تنظیم امتیازات SeShutdownPrivilege و SeDebugPrivilege

این بدافزار به صورت دستی کنترل می‌شود و فعالیت‌های مخرب خود را از سرور C2 دریافت می‌کند. سایر ویژگی‌های این بدافزار به شرح زیر است:
•    عملیات روی فایروال
Persian RAT  دارای تابعی است که امکان دستکاری فایروال را از طریق دستورات netsh می‌دهد.
•    کیلاگر
این بدافزار قابلیت ضبط کلیدهای فشرده شده و ارسال آن به مهاجم را دارد. مهاجم می‌تواند این کیلاگر را فعال یا غیرفعال کند.
•    سرقت کوکی و پسوردها
بدافزار می‌تواند پسوردها و کوکی ها را از مرورگرهای زیر در سیستم قربانی بردارد :

 - Mozilla Firefox
 - Google Chrome
 - Microsoft Edge

•    بازی‌ها و برنامه‌ها
همچنین بدافزار روی بازی‌ها و نرم افزارهای نصب شده روی سیستم هم تمرکز دارد. مهاجم میتواند بازی‌ها و نرم‌افزارهای مختلف روی سیستم را اسکن کند و فایلهای حساس را استخراج کند.
•    دستورات
این بدافزار تعدادی دستورات هم دارد که مربوط به UAC، دستکاری فایروال، عملیات باج‌افزاری، ضبط اسکرین و تعامل با سایتهای بانکی است.
•    هدف قرار دادن موسسات مالی و بانک‌ها
بدافزار همچنین روی بانک‌ها و موسسات مالی هم کار می‌کند.
 

• آنالیز فنی بدافزار Persian Loader

بدافزار Persian Loader  امکان اجرای فایلهای اجرایی دیگر را روی سیستم قربانی فراهم می‌کند. بدافزار با استفاده از TCP Socket می‌تواند اجرای Payload مرحله دوم را روی سیستم آلوده تسهیل کند. سازنده Persian Loader و ابزار مدیریتی آن به نام Persian X Loader 5.0، به صورت رایگان در کانال تلگرامی مذکور قرار دارد. شکل 7 زیر نشان‌دهنده پنل Persian X Loader 5.0 Builder است.

شکل 7:  پنل Persian X Loader 5.0 Builder

برنامه مخرب Persian X Loader 5.0 می‌تواند یک listener server سفارشی ایجاد کند که امکان اتصال به هر پورت مشخص شده را می‌دهد. مهاجم می‌تواند باینری مخرب را با استفاده از Persian X Loader 5.0 از طریق اضافه کردن پورت و آدرس IP مربوط به listener server در داخل builder بسازد. وقتی در سیستم قربانی اجرا می‌شوند، فایل اجرایی ساخته شده جدید به listener server روی listener port متصل می‌شود. Persian Loader دارای یک پنل برای مدیریت Loaderهای مستقر شده در سیستم‌های قربانی است. شکل 8 این پنل را نشان می‌دهد که در آن قرار است یک فایل اجرایی دیگر روی سیستم قربانی اجرا شود.
 

شکل 8 : اجرای فایل در سیستم قربانی

توصیه‌های امنیتی
•    دسترسی اولیه RATها و Loaderها معمولا از طریق وب سایتها یا ایمیل‌های فیشینگ انجام می‌شود. برنامه‌ها را از منابع ناشناخته دانلود و نصب نکنید و از باز کردن ایمیلهایی که از یک منبع ناشناخته ارسال شده است، خودداری کنید.
•    وب‌سایتها را از لحاظ دارا بودن پروتکل https و املای دقیق، بررسی کنید.
•    از محصولات امنیتی قوی برای شناسایی و حذف فایلهای مخرب استفاده کنید.
•    از رمزهای عبور قوی و منحصربه فرد برای هر حساب کاربری استفاده کنید و در صورت امکان، قابلیت تایید دو مرحله‌ای را فعال کنید.
•    از داده‌ها منظم پشتیبان‌گیری کنید تا اگر گرفتار بدافزار شدید، بتوان آن‌ها را مجدد بازیابی کرد. همچنین، کاربران را از روش‌های جدید فیشینگ و مهندسی اجتماعی مطلع کنید.
 

منبع خبر:

[1] https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools/

کد واسط میان‌افزار (UEFI) از فروشندگان مختلف میان‌افزار/BIOS در برابر حملات بالقوه از طریق نقص‌های پر تأثیر در کتابخانه‌های تجزیه تصویر تعبیه‌شده در میان‌افزارها، آسیب‌پذیر می-باشد. هر چند در نوامبر 2022 نیز یک نقص سیستم‌‌‌‌عامل در 5 مدل لپ‌‌‌‌تاپ مدل ایسر گزارش شد که امکان غیرفعال کردن بوت امن و بارگذاری بدافزار به مهاجمین را می‌‌‌‌داد. 
این نقص امنیتی می‌تواند توسط مهاجمان جهت ارائه یک محموله مخرب و دور زدن بوت شدن امن فناوری‌های امنیتی، مورد استفاده قرار بگیرد. علاوه بر این، می‌توان از آن جهت دور زدن راه‌حل‌های امنیتی و ارائه بدافزارهای پایدار به سیستم‌های آسیب‌دیده در مرحله بوت با تزریق یک فایل تصویری لوگوی مخرب به سیستم پارتیشن EFI، بهره‌برداری کرد. این آسیب‌پذیری‌ها شامل یک نقص سرریز بافر مبتنی بر پشته و خواندن خارج از محدوده است. به طور خاص، این آسیب‌پذیری‌ها زمانی ایجاد می‌شوند که تصاویر تزریق‌شده تجزیه می‌شوند و منجر به اجرای کدهایی خواهد شد که می‌توانند جریان کاری را ربوده و مکانیزم‌های امنیتی را دور بزنند.

محصولات تحت تاثیر
این نقص امنیتی بر تمام IBVهای اصلی مانند AMI، Insyde، و فونیکس و همچنین دستگاه‌های اینتل، ایسر و لنوو تأثیر می‌گذارد و منجر به تشدید آن می‌‌‌‌شود. فقط 3 شرکت Insyde، AMI و فونیکس به تنهایی تامین‌کننده 95 درصد سیستم‌‌‌‌های BIOS تولیدی در دنیا هستند. به عبارت دیگر، بدافزار جدید دارای وسعت تاثیر جهانی است و تقریباً همه PC های دنیا را شامل می‌‌‌‌شود.
این آسیب‌‌‌‌پذیری در شرکت فونیکس با شناسه CVE-2023-5058، در شرکت Insyde با شناسه CVE-2023-40238 و در شرکت AMI با شناسه‌های CVE-2023-39539 و CVE-2023-39538 ارائه شده‌اند.

توصیه‌های امنیتی
برای به حداقل رساندن خطر این میان‌افزار به‌طور کلی، کاربران باید آخرین توصیه‌های امنیتی ارائه شده توسط شرکت‌‌‌‌های سازنده را رعایت و به‌روزرسانی‌های میان‌افزار را سریعاً اعمال کنند، زیرا اغلب نقص‌های امنیتی مهم را برطرف می‌کنند. همچنین، بررسی تأمین‌‌‌‌کنندگان و فروشندگان دستگاه‌هایی که روزانه به‌عنوان دستگاه‌های شخصی یا دستگاه‌هایی در زیرساخت‌های سازمانی مورد استفاده قرار می‌‌‌‌گیرند، ضروری است.

منابع خبر:

[1] https://thehackernews.com/2023/12/logofail-uefi-vulnerabilities-expose.html
[2] https://binarly.io/posts/The_Far_Reaching_Consequences_of_LogoFAIL/
[3] https://www.darkreading.com/endpoint-security/critical-logofail-bugs-secure-boot-bypass-millions-pcs

محققان Unit42 یک Backdoor به نام Agent Raccoon را کشف کردند که در حملات علیه  برخی از سازمان‌ها استفاده شده است. این بدافزار در .Net نوشته شده است و از پروتکل DNS جهت ایجاد یک کانال ارتباطی مخفی با زیرساخت کنترل و فرمان استفاده می‌کند و به همراه یک ماژول DLL ارائه‌دهنده شبکه به نام Ntospy که جهت سرقت اطلاعات کاربری طراحی شده است و یک نسخه سفارشی شده از Mimikatz به نام Mimilite، در حملات متعدد مورد استفاده قرار گرفته است. 
تجزیه و تحلیل زیرساخت سرور C2 در این بدافزار نشان داد که قدمت آن به سال 2020 باز می‌‌‌‌گردد. به اعتقاد گروه Unit42 که این فعالیت تهدیدآمیز را به عنوان CL-STA-0002 ردیابی می‌‌‌‌کند، Agent Raccoon یک کمپین جاسوسی سایبری با حمایت دولتی است. مهاجمان سعی کردند کد دودویی آن را به عنوان کد دودویی Google Update و MS OneDrive Updater پنهان کنند. نویسندگان این بدافزار تغییرات کوچکی در کد منبع ایجاد کردند تا از شناسایی آن جلوگیری کنند. کارشناسان دامنه‌‌‌‌ای را کشف کردند که به صورت متنی ساده در کد، رمز شده بود و از آن جهت ایجاد کانال مخفی DNS استفاده شد. در نمونه‌های دیگر، نویسندگان از یک رشته رمزگذاری شده Base64 استفاده کرده‌‌‌‌اند.
براساس گزارش این تحقیقات، همه دامنه‌های C2 شناسایی‌شده الگوی پایه یکسانی با مقادیر منحصربه‌فرد برای شناسه چهار کاراکتری در نمونه‌های مختلف دارند. این Backdoor از سراسری کردن نام‌های دامنه برای برنامه‌ها (IDNA) با کدگذاری Punycode برای فرار استفاده می‌کند. Agent Raccoon از عملکرد Backdoor جهت اجرای فرمان، آپلود فایل و دانلود فایل پشتیبانی می‌‌‌‌کند. 

محصولات تحت تأثیر
بدافزار Agent Raccoon در حملات علیه سازمان‌‌‌‌ها، صنایع مختلف از جمله آموزش، املاک، خرده‌فروشی، سازمان‌های غیرانتفاعی، شرکت‌های مخابراتی و دولت‌ها مورد استفاده قرار گرفته است.

توصیه‌های امنیتی
بدافزار جدید سعی در انتشار خود در قالب و اسامی مشابه نرم‌‌‌‌افزارهای به‌روزرسانی مایکروسافت و گوگل دارد. از جمله اهداف تأیید شده این بدافزار، سرقت اطلاعات ایمیل‌‌‌‌ها از سرورهای Exchange مایکروسافت می‌‌‌‌باشد. بنابراین به کاربران محصولات مایکروسافت، به ویژه سرورهای Exchange اکیدأ توصیه می‌‌‌‌شود تا نسبت به شناسایی و اعتبارسنجی محل و منبع دریافت فایل‌‌‌‌های به‌روزرسانی، اهتمام لازم را داشته باشند.

منابع خبر:

[1]https://securityaffairs.com/155137/malware/agent-raccoon-malware.html?_gl=1*xgcgq8*_ga*MTE5MTg3MTgw…
[2] https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
[3] https://www.bleepingcomputer.com/news/security/hackers-use-new-agent-raccoon-malware-to-backdoor-us…

یک آسیب‌پذیری با شناسه CVE-2023-40088 در سیستم‌عامل اندروید شناسایی شد. این آسیب‌پذیری منجر به افزایش سطح دسترسی در سیستم‌عامل اندروید می‌شود و در ماژول Bluetooth وجود دارد. آسیب‌پذیری مذکور هنگامی رخ می‌دهد که ماژول سعی می‌کند به یک دستگاه بلوتوث متصل شود که دارای یک مسیر نامعتبر است. در این حالت، ماژول ممکن است یک اشاره‌گر به حافظه را که هنوز مورد استفاده است، آزاد نکند. نقص آزاد نشدن اشاره‌گر به حافظه، می‌تواند منجر به افزایش سطح دسترسی شود و به یک مهاجم اجازه دهد کد دلخواه خود را اجرا کند.
برای بهره‌برداری از این آسیب‌پذیری، یک مهاجم باید ابتدا یک دستگاه بلوتوث جعلی ایجاد کند که دارای یک مسیر نامعتبر باشد، سپس باید این دستگاه را به دستگاه قربانی متصل کند، اگر قربانی اتصال را تایید کند، آسیب‌پذیری فعال می‌شود و به مهاجم اجازه می‌دهد که کد دلخواه را اجرا کند. این نقص امنیتی تنها می‌تواند توسط مهاجمی ایجاد شود که از نظر فیزیکی به اندازه کافی به دستگاه اندروید نزدیک است و یکی از اتصالات زیر را استفاده می‌کند:
•    Wi-Fi
•    بلوتوث
•    NFC

توصیه‌های امنیتی
برای محافظت از خود در برابر این آسیب‌پذیری، اقدامات زیر باید انجام شوند:
•    اعمال به‌روزرسانی دستگاه اندروید. گوگل در دسامبر 2023 یک به‌روزرسانی امنیتی برای رفع این آسیب‌پذیری منتشر کرد. این به‌روزرسانی با دستگاه‌های دارای اندروید 11 تا 14 سازگار است.
•    از یک نرم‌افزار امنیتی معتبر استفاده شود.
•    آگاهی در خصوصو حملات فیشینگ و مهندسی اجتماعی. این حملات می‌توانند از طریق ایمیل، پیامک، یا سایر کانال‌های ارتباطی انجام شوند.
•    رمزهای عبور به‌طور منظم تغییر داده شوند. از رمزهای عبور قوی و منحصربه‌فرد برای همه حساب‌ها استفاده شود.

منابع‌خبر:

[1]https://isp.page/news/google-patches-critical-flaw-that-can-be-abused-to-hack-android-phones/#gsc.t…
[2]https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce…
[3] https://source.android.com/docs/security/bulletin/2023-12-01

سیستم‌های Zyxel NAS به منظور ذخیره‌سازی داده‌ها در یک مکان متمرکز در شبکه استفاده می‌شود. این سیستم‌ها که برای حجم بالای داده طراحی شده‌اند، عملکردهایی مانند پشتیبان‌گیری کارآمد از داده‌ها، پخش رسانه‌ای یکپارچه و گزینه‌های اشتراک‌گذاری قابل تنظیم را ارائه می‌کنند.
Zyxel چندین نقص امنیتی را مورد بررسی قرار داده است که سه مورد از آنها بسیار جدی است. این آسیب‌پذیری‌ها به طور بالقوه می‌توانند یک مهاجم غیرمجاز را قادر سازند تا دستورات سیستم‌عامل را بر روی دستگاه‌هایNAS  (ذخیره‌سازی متصل به شبکه) آسیب‌پذیر، اجرا کند.
این آسیب‌پذیری‌ها به شرح زیر است:

•   آسیب‌پذیری با شناسه CVE-2023-35138 و شدت بحرانی (9.8): یک آسیب‌پذیری تزریق دستور (command injection) در دستگاه‌های Zyxel NAS است که در تابع «show_zysync_server_contents» وجود دارد و به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با بهره‌برداری از یک درخواست HTTP POST جعلی، اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-35137 و شدت بالا (7.5): در این آسیب‌پذیری، دستگاه‌های Zyxel NAS تحت تأثیر یک نقص احراز هویت نامناسب در ماژول احراز هویت قرار دارند. این نقص به مهاجمان احراز هویت نشده این امکان را می‌دهد تا با بهره‌برداری از یک URL جعلی خاص، اطلاعات سیستم را به دست آورند.
•  آسیب‌پذیری با شناسه CVE-2023-37927 و شدت بالا (8.8): یک آسیب‌پذیری امنیتی در برنامه CGI دستگاه‌های Zyxel NAS، که به مهاجمان احراز هویت شده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با استفاده از یک URL ساختگی اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-37928 و شدت بالا (8.8): یک آسیب‌پذیری تزریق دستور (command injection) پس از احراز هویت در سرور WSGI دستگاه‌های Zyxel NAS است. مهاجمان احراز هویت شده می‌توانند با ایجاد یک URL مخرب از این نقص امنیتی بهره‌برداری کنند و آنها را قادر می‌سازد تا دستورات سیستم‌عامل دلخواه را اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-4473 و شدت بحرانی (9.8): یک نقص امنیتی مهم در وب سرور دستگاه‌های Zyxel NAS است که به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات دلخواه را با بهره‌برداری از تزریق فرمان (command injection) از طریق یک URL جعلی اجرا کنند.
•  آسیب‌پذیری با شناسه CVE-2023-4474 و شدت بحرانی (9.8): یک آسیب‌پذیری در سرور WSGI دستگاه‌های Zyxel NAS است که به مهاجمان احراز هویت نشده اجازه می‌دهد تا دستورات سیستم‌عامل را با بهره‌برداری از یک URL ساختگی اجرا کنند.

محصولات تحت تأثیر
طبق بررسی‌های انجام شده دستگاه‌های NAS326 از نسخه 5.21(AAZF.14)C0 و قبل‌تر و همچنین دستگاه‌های NAS542 با نسخه 5.21(ABAG.11)C0 و قبل‌تر تحت تأثیر آسیب‌پذیری‌های فوق قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی سیستم‌های خود مطابق جدول زیر اقدام کنند:
 

منبع خبر:
 

[1] https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-…

به تازگی، محققان امنیتی موفق به کشف یک آسیب‌پذیری حیاتی در نرم‌افزار Jira شده‌اند. Jira ابزار محبوب مدیریت پروژه و ردیابی اشکالات نرم‌افزاری در GitLab است و در به‌روزرسانی امنیتی اخیر GitLab، این آسیب‌پذیری با شناسه CVE-2023-6033 رفع شده است. این آسیب‌پذیری بر پیکربندی ادغام GitLab با Jira تأثیر می‌گذارد و به مهاجمان اجازه می‌دهد تا کد جاوا اسکریپت را در مرورگر قربانی اجرا کنند که تهدیدی قابل توجه برای داده‌های کاربر و یکپارچگی سیستم است.
حمله به این صورت است که با استفاده از قابلیت یکپارچه‌سازی Jira و ارسال یک درخواست جعلی خاص به سرور GitLab، مهاجم می‌تواند از این آسیب‌پذیری بهره‌برداری کند. پس از تکمیل درخواست، مهاجم از سشن مرورگر قربانی برای اجرای کد جاوا اسکریپت دلخواه استفاده می‌کند و در ادامه می‌تواند از طرف قربانی هر اقدامی را انجام دهد یا به اطلاعات خصوصی او دسترسی پیدا کند.
در ادامه مثالی از این آسیب‌پذیری آورده شده است:
مهاجم، مقدار name (نام ارائه شده در رشته جستجوی URL) را در یک قطعه کد با استفاده از $_GET['username']; بازیابی می‌کند. سپس، مقدار به دست آمده پس از الحاق به یک عنصر پاراگراف HTML به کاربر بازپس داده می‌شود. یک اسکریپت (XSS) یا سایر کدهای مخرب را می‌توان با دستکاری مقدار نام در پاسخ HTML درج کرد، زیرا قبل از گنجاندن، کدگذاری تأیید نشده است.
هنگامی که قربانی با پارامتر نام تغییر یافته، از URL بازدید می‌کند، XSS در مرورگرش راه‌اندازی می‌شود که شاید منجر به سرقت کوکی یا سایر فعالیت‌های مخرب شود.
 

سپس مهاجم در یک صفحه وب بدون رمزگذاری، از یک پارامتر HTTP GET مستقیماً در یک صفحه HTML استفاده می‌کند. در این شرایط مهاجم می‌تواند یک پیوند بصورت <script>alert(document.cookie);</script> با تغییر مقدار پارامتر، برای قربانی ارسال کند. وقتی که قربانی روی پیوند کلیک می‌کند، با یک اسکریپت، payload در مرورگر قربانی اجرا می‌شود و ممکن است منجر به سرقت کوکی یا سایر فعالیت‌های مخرب شود.

محصولات تحت تأثیر
این آسیب‌پذیری، نسخه‌های 15.10 ،16.6.1، 16.5 ، 16.5.3 و 16.4 ، 16.4.3 نرم‌افزار Jira را تحت تأثیر قرار می‌دهد و به مهاجم اجازه می‌دهد اسکریپت مد نظر خود را در مرورگر قربانی اجرا کند.
 

   توصیه‌های امنیتی
•    برای رفع آسیب‌پذیری مذکور، GitLab وصله‌ای برای تمام نسخه‌های آسیب‌دیده GitLab Community Edition (CE) و Enterprise Edition (EE) منتشر کرده است. این وصله، پیکربندی یکپارچه‌سازی Jira را به‌روزرسانی می‌کند تا ورودی کاربر را به‌درستی پاکسازی کند و از اجرای بیشتر اسکریپت‌های مخرب جلوگیری کند.
•    علاوه بر این، به کاربران توصیه شده است که نرم‌افزار خود را به آخرین نسخه موجود ارتقا دهند تا اطمینان حاصل کنند که در برابر این تهدیدات و تهدیدات آتی محافظت شوند. همچنین توصیه شده است که ماکروها را فقط در صورت نیاز فعال کنند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-6033
[2[ https://gitlab.com/gitlab-org/gitlab/-/issues/431201
[3] https://hackerone.com/reports/2236039

شرکت اپل یک به‌روزرسانی امنیتی اضطراری جهت رفع دو آسیب‌پذیری روز صفر در WebKit منتشر کرد. این آسیب‌پذیری‌ها دستگاه‌های iPhone، iPad و Mac را تحت تأثیر قرار می‌دهند. اولین آسیب‌پذیری با شناسه CVE-2023-42916 از نوع out-of-bounds read بوده و از طریق بازدید قربانی از یک محتوای وب قابل بهره‌‌برداری است و منجر به افشای اطلاعات حساس می‌شود. آسیب‌پذیری دوم با شناسه CVE-2023-42917 از نوع memory corruption است و در صورت بازدید قربانی از یک محتوای وب، امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند.

محصولات تحت تأثیر
فهرست دستگاه‌های تحت تأثیر گسترده می‌باشد و شامل دستگاه‌های زیر است:

• iPhone XS و نسخه‌های جدیدتر
• دستگاه iPad Pro مدل 12.9 اینچی نسل دوم و بعد از آن
• دستگاه iPad Pro مدل 10.5 اینچی
• دستگاه iPad Pro مدل 11 اینچی نسل یک و بعد از آن
• دستگاه  iPad Air نسل سوم و بعد از آن
• دستگاه iPad نسل ششم و بعد از آن
• دستگاه  iPad mini نسل پنجم و بعد از آن
• دستگاه‌های Mac مجهز به macOS Monterey، Ventura و Sonoma

توصیه‌های امنیتی
شرکت اپل می‌گوید این نقص‌های امنیتی را در دستگاه‌های مجهز به iOS نسخه 17.1.2، iPadOS نسخه 17.1.2، macOS Sonoma نسخه 14.1.2 و همچنین Safari نسخه 17.1.2 مورد توجه قرار داده و تایید اعتبار و locking را در این نسخه‌ها اضافه کرده است. توصیه می‌شود کلیه دارندگان محصولات اپل در اسرع وقت این به‌روزرسانی‌های امنیتی را دریافت و اعمال نمایند.
در دستگاه‌های آیفون می‌توانید با مراجعه به قسمت Settings > General > Software Update مشاهده کنید که به‌روزرسانی iOS 17.1.2 در دسترس است و در صورت داشتن حداقل 7 گیگابایت فضای خالی عملیات نصب را آغاز نمایید. حتی اگر به‌روزرسانی خودکار را فعال کرده‌اید نیز این اقدام را انجام دهید زیرا به‌روزرسانی خودکار ممکن است با کمی تاخیر و در مواقع عدم استفاده از دستگاه انجام شود.

منابع خبر:
 

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-42916
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-42917
[3] https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-in-emergency-updates/

شرکت Dell از دو آسیب‌پذیری در محصول Dell Rugged Control Center خبر داد.
در این آسیب‌پذیری‌ها که با شناسه‌های CVE-2023-39256  و CVE-2023-39257 و شدت 7.3ردیابی می‌شوند، به دلیل عدم کنترل دسترسی مناسب، مهاجم می‌تواند از آنها برای تغییر محتوای موجود در یک پوشه ناامن در زمان نصب و ارتقای محصول بهره‌برداری کرده و سطح دسترسی خود را در سیستم افزایش دهد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها محصول Dell Rugged Control Center نسخه‌های‌ قبل از 4.7 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Dell Rugged Control Center  به نسخه 4.7 اقدام نمایند.

منبع خبر:

[1] https://www.dell.com/support/kbdoc/en-us/000217705/dsa-2023-340

محققان Eurecom شش حمله جدید که در مجموع به نام BLUFFS شناخته می‌شوند را شناسایی کرده‌اند که می‌تواند محرمانگی سشن‌های بلوتوث را به خطر بیندازد. این حملات، امکان جعل هویت دستگاه‌ها و حملات مرد میانی (man-in-the-middle) را برای مهاجم فراهم می‌کنند و به طور بالقوه منجر به دسترسی غیرمجاز و رهگیری ارتباط بین دستگاه‌های دارای بلوتوث می‌شود.
این آسیب‌پذیری‌ها با شناسه CVE-2023-24023 ردیابی می‌شوند و Bluetooth Core Specification از نسخه 4.2 تا 5.4 را تحت تأثیر قرار می‌دهند.
با توجه به استفاده گسترده از استاندارد ارتباطات بی سیم و نسخه‌های تحت تأثیر این آسیب‌پذیری‌ها، BLUFFS این پتانسیل را دارد که میلیاردها دستگاه را هدف قرار دهد. این دستگاه‌ها شامل لپ‌تاپ‌ها، تلفن‌های هوشمند و دستگاه‌های مختلف تلفن همراه دیگری می‌شود که به این فناوری مجهز هستند و آن را به یک نگرانی امنیتی مهم و گسترده تبدیل می‌کند.
مهاجم از چهار آسیب‌پذیری در فرآیند استخراج کلید سشن (session key) که دو مورد از این آسیب‌پذیری‌ها به تازگی شناسایی شده‌اند، بهره‌برداری کرده که منجر به تولید یک کلید کوتاه، ضعیف و قابل پیش‌بینی (SKC) می‌شود. در مرحله بعد، مهاجم از یک روش brute-force برای شکستن کلید استفاده می‌کند که به کمک آن می‌تواند ارتباطات گذشته را رمزگشایی کرده و ارتباطات آینده را رمزگشایی یا دستکاری کند.
برای اجرای حمله، مهاجم باید در محدوده بلوتوث دو هدفی باشد که داده‌ها را مبادله می‌کنند. در این بین با جعل هویت یکی از طرفین، ایجاد مداخله می‌کند تا طرف دیگر کلیدی ضعیف برای ارتباط ایجاد کند.
 

مراحل حمله

تلاش مهاجم برای به دست آوردن کلید بعد از جعل هویت

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت کاهش خطرات احتمالی ناشی از آسیب‌پذیری‌های مذکور، موارد زیر را به کار گیرند:
•    یک KDF جدید برای اتصالات امن قدیمی معرفی کنید که شامل مبادله و تأیید متقابل غیر مستقیم است و حداقل هزینه را اضافه می کند.
•    دستگاه‌ها باید از یک کلید جفت‌سازی مشترک برای احراز هویت متقابل متنوع‌کننده‌های کلید استفاده کنند و از هویت عوامل سشن، اطمینان حاصل کنند.
•    در صورت امکان حالت اتصالات ایمن (SC) را اعمال کنید.
 

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-bluffs-attack-lets-attackers-hijack-bluetooth-co…