مجموعه جدیدی از پکیج‌های مخرب پایتون با هدف سرقت اطلاعات حساس از سیستمهای توسعه‌دهندگان در مخزن پکیجهای پایتون (PyPl) شناسایی شده است. Checkmarx در گزارشی بیان کرد که: این پکیج‌ها بعنوان ابزارهای مبهمسازی استفاده میشوند و در ظاهر سالم و بی ضرر جلوه میکنند اما در اصل حاوی کدهای مخرب و بدافزار BlazeStealer هستند. این بدافزار یک اسکریپت مخرب اضافی را از یک منبع خارجی بازیابی کرده و یک ربات را فعال می‌کند که به مهاجمان کنترل کامل بر سیستم قربانی را می‌دهد.
این کمپین که از ژانویه 2023 آغاز شده است در مجموع هشت پکیج مخرب با نام‌های Pyobftoexe، Pyobfusfile، Pyobfexecute، Pyobfpremium، Pyobflite، Pyobfadvance، Pyobfuse و pyobfgood را انتشار داده‌اند که آخرین آنها در اکتبر منتشر شده است.
این ماژول‌ها دارای فایل‌های setup.py و init.py هستند که برای بازیابی اسکریپت پایتون میزبانی شده در transfer[.]sh طراحی شده‌اند و بلافاصله پس از نصب اجرا میشوند. این بدافزار که BlazeStealer نام دارد یک ربات Discord را اجرا می‌کند که با استفاده از آن مهاجم قادر است تا طیف گستردهای از اطلاعات مانند رمزعبورهای ذخیره شده در مرورگر وب و تصاویر را جمع‌آوری کند، دستورات مختلفی را اجرا کرده و بعد از غیرفعال‌سازی آنتی‌ویروس Microsoft Defender فایل‌های موجود در سیستم آلوده شده را رمزگذاری کند.
علاوه‌براین این بدافزار میتواند میزان استفاده از CPU را افزایش داده، اسکریپت Windows Batch را در لیست راه‌اندازی سیستم برای خاموش کردن دستگاه و حتی ایجاد خطای صفحه آبی (Blue Screen) سیستم را غیرقابل استفاده کند. Gelb خاطرنشان کرد: «این منطقی است که توسعهدهندگانی که درگیر مبهم‌سازی کد هستند، احتمالاً با اطلاعات ارزشمند و حساس سروکار دارند. بنابراین، برای یک هکر، این به معنای هدفی است که ارزش دنبال کردن دارد.»
حوزه متن‌باز همچنان زمینه مناسبی برای نوآوری است، اما نیاز به احتیاط دارد. توسعه‌دهندگان باید هوشیار باشند و پکیج‌ها را قبل از استفاده بررسی کنند. این توسعه از زمانی شروع شده است که شرکت امنیتی Phylum مجموعه‌ای از ماژول‌های npm با مضمون رمزنگاری - puma-com، erc20-testenv، blockledger، cryptotransact و chainflow را با قابلیت‌هایی برای ارائه مخفیانه بدافزار کشف کرد. در سال‌های اخیر، مخازن متنباز به عنوان راهی پرسود برای مهاجمان در انتشار بدافزارها ظاهر شده‌اند. طبق گزارش Phylum's Evolution of Software Supply Chain Security برای سه ماهه سوم 2023، 13708 پکیج در چندین اکوسیستم برای اجرای کدهای مشکوک در حین نصب یافت شده است.
با توجه به اینکه توسعه‌دهندگان زیادی از زبان برنامه‌نویسی پایتون استفاده میکنند و در حین توسعه ابزارهای مختلف از پکیج‌های مختلفی استفاده می‌کنند، لازم است تا به هشدارهای امنیتی توجه داشته و قبل از دانلود پکیج‌ها از سالم بودن آنها اطمینان داشته باشد. 
منابع خبر

https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html

محققین امنیتی شرکت Phylum پکیج های npm مخربی را کشف کرده اند که با استفاده از کدهای جاوااسکریپت سعی در آلوده سازی سیستم دارند. در حال حاضر 48 پکیج بعنوان پکیج مخرب شناسایی شده اند که از بین آن ها 39 پکیج هنوز قابل دسترس می باشد. محققین امنیتی شرکت Phylum مجموعه جدیدی از 48 پکیج مخرب npm را در مخازن npm کشف کردند که قابلیت استقرار reverse shell بر روی سیستم های در معرض خطر را دارند. این پکیج ها که بطور فریبنده ای نامگذاری شده اند حاوی جاوااسکریپت های مبهمی هستند که برای شروع یک reverse shell در هنگام نصب آن ها طراحی شده اند.
تمام این پکیج های مخرب و تقلبی توسط یک کاربر با نام hktalent (Github, X) منتشر شده است که در حال حاضر 39 پکیج از تمام پکیج های مخرب بارگذاری شده و برای دانلود موجود هستند. زنجیره حمله پس از نصب پکیج از طریق package.json فعال می شود که یک کد جاوااسکریپت را برای ایجاد reverse shell به rsh.51pwn[.]com فراخوانی می کند.
در این مورد مهاجم ده ها پکیج سالم را با چندین لایه مبهم سازی شده و تاکتیک های فریبنده منتشر کرده است (مهاجمان از روش های هوشمندانه مبهم سازی و تکنیک های مختلف برای جلوگیری از ردیابی از طریق تجزیه و تحلیل ایستا و بازرسی بصری استفاده می کنند) تا در نهایت یک reverse shell را روی هر ماشینی که به سادگی قابلیت نصب یکی از این پکیج ها را دارد، استقرار کند.
یافته ها پس از افشای دو پکیج منتشر شده در پکیج های پایتون (PyPl) با پوشش ساده سازی کدهای مخربی که برای حذف داده های حساس برنامه دسکتاپ تلگرام و اطلاعات حساس سیستم طراحی شده بود، بدست آمدند. پکیج هایی که به نام های localization-utils و locute نامگذاری شده اند، برای بازیابی پیلود نهایی از URL Pastebin بصورت پویا و ارسال اطلاعات استخراج شده به یک کانال تلگرامی تحت کنترل مهاجمان کشف شدند.
توسعه چنین پکیج هایی علاقه مهاجمان به محیط های متن باز را نشان می دهد که به آن ها اجازه می دهد تا حملات زنجیره تامین تاثیرگذاری را راه اندازی کنند که می تواند مشتریان و کاربران زیادی را مورد هدف قرار دهد. 
توصیه های امنیتی
یافته ها نشان می دهد که مهاجمان علاقه زیادی به فعالیت در حوزه پکیج های متن باز دارند و قصد دارند از این طریق حملات خود را عملی کنند. لذا توصیه می شود که برنامه نویسان و افرادی که قصد استفاده از چنین پکیج هایی دارند، ابتدا از سالم بودن آن اطمینان داشته باشند.  
منابع خبر

https://thehackernews.com/2023/11/48-malicious-npm-packages-found.html

بات‌نتی به نام Socks5Systemz  ده‌ها هزار سیستم را آلوده کرده است. این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیت‌های غیرقانونی و مخربی انجام می‌دهد .این بدافزار رایانه‌ها را آلوده می‌کند و آن‌ها را به پراکسی‌های انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می‌کند. این سرویس را به مشترکینی می‌فروشد که برای دسترسی به آن بین 1 تا 140 دلار در روز به صورت رمزنگاری پرداخت می‌کنند. در گزارش منتشر شده توسط BitSight، بات‌نت Socks5Systemz دست کم از سال 2016 فعالیت داشته است. 
ربات Socks5Systemz توسط بدافزار PrivateLoader و Amadey توزیع می‌شود که اغلب از طریق فیشینگ، کیت‌های بهره‌برداری، آلوده سازی فایل‌ها با بدافزار، فایل‌های اجرایی آلوده شده به تروجان دانلود شده و از شبکه‌های P2P و غیره منتشر می‌شوند. نمونه‌هایی که توسط BitSight مشاهده می‌شوند «previewer.exe» نام دارند و وظیفه آن‌ها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است. بارگذاری ربات پروکسی یک DLL 32 بیتی 300 کیلوبایتی است. از یک الگوریتم تولید دامنه (DGA) جهت اتصال به سرور کنترل و فرمان (C2) و ارسال اطلاعات پروفایل روی دستگاه آلوده استفاده می‌کند. در پاسخ، C2 می‌تواند یکی از دستورات زیر را برای اجرا ارسال کند:
idle : هیچ عملی انجام ندهید.
Connect: به سرور backconnect متصل شوید.
Disconnect: سرور backconnect قطع ارتباط کنید.
Updips: لیست آدرس‌های IP مجاز برای ارسال ترافیک را به‌روز کنید.
Upduris: هنوز پیاده‌سازی نشده است.
دستور اتصال بسیار مهم است و به ربات دستور می‌دهد تا یک اتصال سرور پشتیبان را از طریق پورت 1074/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون می‌تواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود.

 

هنگام اتصال به سرور backconnect، از فیلدی‌هایی استفاده می‌کند که آدرس IP، رمز عبور پروکسی، لیست پورت‌های مسدود شده و غیره را تعیین می‌کنند. این پارامترها تضمین می‌کنند که فقط ربات‌های موجود در لیست مجاز و با اعتبار ورود لازم می‌توانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند. 
 

BitSight یک زیرساخت کنترل گسترده از 53 ربات پراکسی، بک‌کانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شده‌اند، ترسیم کرد.
از آغاز ماه اکتبر، تحلیلگران 10000 تلاش ارتباطی متمایز بر روی پورت 1074/TCP با سرورهای بک‌کانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks5Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته می‌شود، که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت می‌کنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ می‌گیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP می‌توانند از 100-5000 رشته استفاده کنند و نوع پروکسی را روی SOCKS4، SOCKS5 یا HTTP تنظیم کنند. قیمت هر یک از خدمات ارائه شده در تصویر زیر آورده شده است.

 

بات‌نت‌های پروکسی یک تجارت پرسود است که تأثیر قابل توجهی بر امنیت اینترنت و ربودن غیرمجاز پهنای باند دارد. این خدمات معمولاً برای دور زدن محدودیت‌های جغرافیایی مورد استفاده قرار می‌گیرند که باعث محبوبیت آن‌ها می‌شود. 

منبع خبر:

https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-w…
 

شرکت Veeam چند به‌روزرسانی امنیتی برای برطرف کردن چهار نقص امنیتی در پلتفرم ONE IT monitoring and analytics خود منتشر کرد که دو تا از آن‌ها دارای شدت بحرانی می‌باشند. آسیب‌پذیری با شناسه CVE-2023-38547 و امتیاز 9.9 در سیستم CVSS v3.1 به مهاجمان اجاز می‌دهد بدون تصدیق هویت اطلاعاتی در مورد اتصال SQL server به دست آورند که Veeam ONE از آن برای دسترسی به پایگاه داده پیکربندی خود استفاه می‌کند. این نقص می‌تواند در نهایت منجر به اجرای کد از راه دور در سرور SQL شود که پایگاه داده پیکربندی در آن میزبانی می‌شود. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. آسیب‌پذیری با شناسه CVE-2023-38548 و شدت 9.8 در سیستم CVSS v3.1 به یک کاربر غیر مجاز که به  Veeam ONE Web Client دسترسی دارد اجازه می‌دهد هش NTLM حساب کاربری استفاده شده توسط Veeam ONE Reporting Service را به دست آورد. این آسیب‌پذیری نسخه 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. آسیب‌پذیری باشناسه CVE-2023-38549 و شدت 4.5 در سیستم CVSS v3.1 در Veeam ONE کشف شده که به یک کاربر با نقش Veeam ONE Power User اجازه دسترسی به توکن یک کاربر با نقش Veeam ONE Administrator از طریق بهره‌برداری از XSS را می‌دهد. بهره‌برداری از این آسیب‌پذیری نیاز به تعامل کاربری با نقش Veeam ONE Administrator دارد. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد.
آسیب‌پذیری با شناسه CVE-2023-41723 و شدت 4.3 در سیستم CVSS v3.1 به یک کاربر با نقش  Veeam ONE Read-Only اجازه مشاهده Dashboard Schedule را می‌دهد. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. در طی ماه‌های گذشته نیز برخی نقص‌های امنیتی بحرانی در نرم‌افزار Veeam backup توسط مهاجمان برای انتشار بدافزار مورد سوء استفاده قرار گرفته است. کاربرانی که از نسخه‌های آسیب‌پذیر استفاده می‌کنند بهتر است سرویس‌های Veeam ONE Monitoring and Reporting را متوقف کرده، و فایل‌های hotfix منتشر شده را نصب نمایند.

روش برطرف سازی
یک hotfix برای برطرف کردن این آسیب‌پذیری‌ها در نسخه‌های زیر در دسترس است:

منابع خبر

گروه Jamf Threat Labs اعلام کرده است که براساس تحقیقات به عمل آمده، احتمالاً بدافزار objCSshell که برای هک ماشین های macOS به کار رفته است، توسط گروه هکری BlueNoroff منتشر شده است. گفته می شود این ابزار بخشی از کمپین بدافزار RustBucket است که در اوایل سال جاری میلادی کشف شده است.
طبق اعلام این گروه، به نظر می رسد بدافزار کشف شده جدید، یک جزء مرحله آخر از یک مجموعه بدافزار چند مرحله ای است که از طریق حملات مهندسی اجتماعی به دست قربانیان رسیده است. برای این منظور قربانیان با مواردی نظیر ارائه مشاوره سرمایه گذاری و یا شغل، اغوا شده و سپس به کمک یک فایل آلوده، زنجیره آلودگی آغاز می شود.
بدافزار ObjCSshellz، همانطور که از نامش پیداست، به زبان Objective-C نوشته شده است و به عنوان یک پوسته راه دور که دستورات شل ارسال شده از سرور مهاجم را اجرا می کند، عمل می کند. این ابزار در عین سادگی، دارای توانمندی های کاربردی بالا برای کمک به مهاجمان است.
انتشار این خبر تنها به فاصله چند روز از اعلام آزمایشگاه‌های امنیتی Elastic صورت پذیرفت که اعلام کرده بود Lazarus از یک بدافزار جدید در macOS به نام KANDYKORN جهت حمله به مهندسان بلاک چین استفاده کرده است. گروه BlueNoroff از زیرمجموعه های گروه Lazarus است.  انتشار یک بدافزار macOS دیگر به نام RustBucket که در واقع یک درپشتی مبتنی بر AppleScript بوده و مسئول انتقال فایل به سیستم قربانی از سرور کنترل شده توسط هکر است، نیز به همین عامل تهدید نسبت داده شده است.
در تحقیات انجام شده، هنوز جزئیاتی در مورد اینکه این بدافزار رسماً علیه چه کسانی استفاده شده است، به دست نیامده است. اما با توجه به حملاتی انجام شده و نام دامنه مورد استفاده مهاجمان، احتمالاً این بدافزار علیه شرکت هایی استفاده شده است که در صنعت ارزهای دیجیتال کار می کنند یا با چنین شرکت هایی همکاری نزدیک دارند. محققان امنیتی SentinelOne، بر این باورند که با توسعه و به اشتراک گذاری بیشتر ابزارهای جدید توسط گروه هایی نظیر 3CX و JumpCloud، افزایش کمپین‌های بدافزار macOS اجتناب‌ناپذیر است.
با توجه به استفاده مهاجمان از حملات مهندسی اجتماعی برای ایجاد زنجیره آلودگی، استفاده از دوره های بازآموزی برای آموزش پرسنل شرکت ها، ضروری است. غیرفعال کردن تبلیغات pop up در مرورگرها، تقویت قوانین دیواره آتش و نصب و بروزرسانی وصله های امنیتی و آنتی ویروس در سیستم های کاربران نیز برای جلوگیری از چنین حملاتی، موثر می باشد.
منابع خبر

یک آسیب‌پذیری با شدت متوسط (6.8) و شناسه CVE-2023-20042، در AnyConnect SSL VPN نرم‌افزار Cisco Adaptive Security Appliance (ASA) و نرم‌افزار Cisco Firepower Threat Defense (FTD) شناسایی شده است. این آسیب‌پذیری به طور بالقوه می‌تواند یک مهاجم از راه دور را قادر به انجام حمله منع سرویس (DoS) کند. وصله‌های نرم‌افزاری سیسکو برای رفع این مشکل در دسترس قرار گرفته است.
نقص پیاده‌سازی در فرآیند مدیریت سشن SSL/TLS که می‌تواند تحت شرایط خاصی از انتشار کنترل کننده نشست جلوگیری کند، علت این آسیب‌پذیری بیان شده است. مهاجم ممکن است از این آسیب‌پذیری بهره‌برداری کرده و با ارسال ترافیک SSL/TLS جعلی به یک دستگاه آسیب‌دیده، احتمال نشت کنترل‌کننده سشن را افزایش دهد.
سیسکو اظهار داشت: "بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا در نهایت مجموعه کنترل‌کننده سشن موجود را تخلیه کند، از ایجاد سشن‌های جدید جلوگیری ‌کند و حمله منع سرویس (DoS) را انجام دهد."

شکل زیر نشان می‌دهد که SSL ممکن است برای شناسایی وجود کنترل‌کننده‌های سشن استفاده شود. تعداد بالا و در حال افزایش در SSL نشان دهنده سشن‌های افشا شده است.
 

توصیه امنیتی

سیسکو توصیه می‌کند که کاربران هر چه سریع‌تر به‌روزرسانی نرم‌افزار را اعمال کنند.
 

منبع خبر:
 

[1] https://gbhackers.com/cisco-anyconnect-ssl-vpn-flaw/

به گفته محققان شرکت ESET بات‌‌‌نت‌‌‌های Mozi، یکی از پرکارترین بات‌‌‌نت‌‌‌های دنیا، به شکل ناگهانی ابتدا در هند و به فاصله یک هفته در چین ناپدید شدند. عامل این اتفاق شناسایی نشده است. بدافزار Mozi یک بات‌‌‌نت مهاجم است که از سال 2019 به ابزارهای IoT نظیر مسیریاب‌‌‌ها، ضبط‌‌‌کننده‌‌‌های ویدیوی دیجیتال و سایر ابزارهای متصل به اینترنت حمله کرده است. تیم تحقیقاتی شرکت ESET با اعلام اتفاق رخ داده، اعلام نمود که فردی که پشت این کار بوده است، با فعال کردن یک ابزار kill switch در آگوست 2023، همه بات‌‌‌نت‌‌‌های Mozi را غیرفعال نموده است. با وجود تغییرات رخ داده، بررسی‌‌‌ها نشان می‌‌‌دهد که علی‌‌‌رقم کاهش شدید کارایی، این بدافزار همچنان پایداری خود را حفظ کرده است که نشان‌دهنده حذف عمدی و حساب‌شده آن است. 
براساس تحقیقات، دو فرضیه بالقوه برای این حذف عمدی قابل تصور است؛ نخست اینکه خود سازندگان این بات‌‌‌نت به صورت عمدی اقدام به انجام این کار کرده‌‌‌اند و دوم اینکه این اتفاق در پی اجرای قانون جدیدی در چین که تولیدکنندگان نرم‌‌‌افزار را مجبور به همکاری با دولت می‌‌‌کند، رخ داده است. 

محصولات تحت تاثیر
طبق اعلام شرکت مایکروسافت، Mozi یک بات‌‌‌نت P2P غیرمتمرکز است که از شبکه‌‌‌ای شبیه BitTorrent جهت آلوده کردن دستگاه‌های IoT مانند مسیریاب‌‌‌ها استفاده می‌‌‌کند. این سیستم با بهره‌برداری از کلمه‌‌‌های عبور ضعیف telnet و ده‌ها آسیب‌پذیری اصلاح‌نشده IoT کار می‌کند و برای انجام حملات تکذیب سرویس توزیع شده، استخراج داده‌ها و اجرای فرمان یا فایل‌‌‌های ضمیمه شده مورد استفاده قرار گرفته است. تکامل Mozi امکان دستیابی پایدار به ابزارهای شبکه تولید شده توسط شرکت‌‌‌های Netgear، Huawei و ZTE را فراهم کرده است.

توصیه‌های امنیتی
با وجود انتشار خبر مسرت بخش غیرفعال شدن یکی از مخرب‌‌‌ترین بات‌‌‌نت‌‌‌های موجود، اما همچنان انبوهی از بدافزارهای بات‌‌‌نت به دنبال آسیب‌‌‌پذیری‌‌‌های IoT می‌‌‌گردند. بنابراین لازم است تا کاربران اقدام به نصب آخرین افزونه‌‌‌های امنیتی نرم‌‌‌افزاری برروی دستگاه‌‌‌های خود نموده و با انتخاب کلمه‌‌‌های عبور قوی و جدا کردن شبکه‌‌‌های IoT از شبکه‌‌‌های حساس و حیاتی، امنیت شبکه‌‌‌های خود را تقویت نمایند. عدم استفاده از telnet برای اتصال به دستگاه‌‌‌های تحت شبکه و تقویت قوانین دیواره‌‌‌آتش از موارد موثر دیگر برای جلوگیری از حملات مشابه است.

منابع خبر:

[1] https://cybernews.com/news/zombie-botnet-suddenly-goes-dark-who-killed-it/
[2] https://www.heise.de/news/Sicherheitsforscher-raetseln-Wer-hat-das-Mozi-Botnet-abgeschaltet-9352132…
[3] https://www.darkreading.com/ics-ot/somebody-just-killed-mozi-botnet
[4] https://www.bleepingcomputer.com/news/security/mozi-malware-botnet-goes-dark-after-mysterious-use-o…

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-20886 و شدت 8.8 در VMware   شناسایی شده است که امکان حمله open redirect را برای مهاجم فراهم می‌آورد. یک عامل مخرب مثلا یک پیوند مخرب ممکن است بتواند قربانی را به یک مهاجم هدایت کند و پاسخ SAML  او را برای ورود به عنوان کاربر قربانی بازیابی کند.
قبل از ورود به محیط کاری Workspace ONE UEM باید با داشتن URL Environment  و اعتبارنامه جهت ورود، وارد کنسول شد. پس از اینکه مرورگر  URL Environment کنسول را با موفقیت بارگیری کرد، می‌توان با استفاده از نام کاربری و رمز عبور ارائه شده توسط سرپرست Workspace ONE UEM  وارد سیستم شد. کنسول Workspace ONE UEM نام کاربری و نوع کاربر (SAML یا غیر SAML) را در حافظه پنهان مرورگر ذخیره می‌کند.
        - اگر کاربر SAML باشد، مدیر به ورود SAML هدایت می‌شود.
        - و اگر کاربر SAML نباشد، مدیر باید رمز عبور را وارد کند.
اگر کاربر به لینک مخرب هدایت شود، پاسخ SAML  او برای ورود توسط مهاجم بازیابی می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری VMware Workspace ONE UEM console را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء VMware Workspace ONE UEM console به نسخه‌های وصله ‌شده، به شرح زیر اقدام نمایند:
•    نسخه 2302 ارتقاء به 32.2.0.10
•    نسخه 2212 ارتقاء به 22.12.0.20
•    نسخه 2209 ارتقاء به 22.9.0.29
•    نسخه 2206 ارتقاء به 22.6.0.36
•    نسخه 2203 ارتقاء به 22.3.0.48

منبع خبر:

[1] https://www.vmware.com/security/advisories/VMSA-2023-0025.html

پس از گذشت دو هفته از شناسایی دو آسیب‌پذیری روز صفر به شناسه‌های

•    CVE-2023-20198
•    CVE-2023-20273
 

در محصول IOS XE متعلق به شرکت سیسکو که به هکرها اجازه داد تا به بیش از 40هزار دستگاه نفوذ کنند، شرکت سیسکو با انتشار وصله امنیتی برای هر دو آسیب‌پذیری، به کاربران خود اطمینان خاطر داد که با به¬روزرسانی دستگاه‌های خود در برابر هر دو آسیب‌پذیری امن خواهند بود، اما هکرها با انتشار روش دور زدن مکانیزم امنیتی موجود در وصله امنیتی منتشر شده، نشان دادند که دستگاه‌هایی که این به‌روزرسانی را نیز انجام داده‌اند، هنوز آسیب‌پذیر هستند. 

تحلیل وصله امنیتی
در وصله امنیتی ارائه شده، شرکت سیسکو یک سربرگ (Header) به نام Proxy-Uri-Source به درخواست‌ داخلی اضافه کرده است که از طریق WSMASendCommand ارائه می‌شود. تغییر دیگر، اضافه شدن یک سربرگ در IOSD است، این سربرگ که Proxy-Uri-Source نام دارد در تنظیمات مربوط به کنترل کننده‌های سرور در سرویس Nginx به کار گرفته می‌شود. نکته قابل توجه دیگر در وصله امنیتی، اضافه شدن یکی از کنترل‌کننده‌های HTTP در IOSD است که از آن برای‌ اطمینان از تنظیم درست مقدار سربرگ Proxy-Uri-Source استفاده می‌شود. صحت این سربرگ، زمانی مورد تایید است که مقدار آن برابر با webui_internal باشد. تغییرات صورت گرفته در وصله امنیتی نشان می‌دهد که سیسکو برای امن کردن محصولات آسیب‌پذیر خود در برابر آسیب‌پذیری با شناسه CVE-2023-20198 قصد داشته تا با اعمال این تغییرات تمام درخواست‌های دسترسی به سرویس wsma را از  طریق WSMASendCommand مدیریت کند، تا کاربر مجبور به انجام مراحل احرازهویت موجود در WSMASendCommand باشد. با توجه به تنظیمات اعمال شده روی سرویس Nginx، احتمال دورزدن این وصله امنیتی از طریق تغییر مقدار سربرگ Proxy-Uri-Source به مقدار global برای درخواست‌های خارج از WSMASendCommand وجود دارد. در ادامه تصویر یک درخواست ارسالی و پاسخ دریافتی که در آن  تغییرات اعمال شده در وصله امنیتی قابل مشاهده است را ملاحظه می‌کنید.
 

تغییرات دیگر موجود در وصله امنیتی منتشر شده، مربوط به آسیب‌پذیری با شناسه  CVE-2023-20273 است. این بهبود با هدف افزایش سطح امنیتی در بررسی معتبر بودن IPهای نسخه 6 است. در این وصله امنیتی فرض بر نامعتبر بودن IPهای نسخه 6 است، مگر آنکه IPهای ارسالی بتوانند از مکانیزم امنیتی ایجاد شده عبور کنند. هر چند در حال حاضر، این روش امن است اما با گذر زمان، هکرها قادر خواهند بود با نوشتن کدهای مخرب و تزریق آن داخل درخواست ارسالی خود با ایجاد اختلال در روند اعتبارسنجی IPهای نسخه 6 این مکانیزم را دور بزنند، در نتیجه این کار راه حلی مطمئن و همیشگی نخواهد بود. در ادامه تصویر کدهای اضافه شده برا ی اعتبار سنجی IPهای نسخه 6 آورده شده است.
 

تحلیل مراحل اجرای حمله
 در  ادامه به بررسی روش به کار رفته توسط هکرها برای دور زدن مکانیزم احرازهویتی خواهیم پرداخت که در وصله امنیتی منتشر شده برای آسیب‌پذیری با شناسه CVE-2023-20198 وجود دارد. در این بررسی مشخص می‌شود که همچنان هکرها قادر هستند با بهره‌برداری از این آسیب‌پذیری، یک حساب کاربری جدید با سطح دسترسی 15 در دستگاه‌های آسیب‌پذیر ایجاد کنند. در نتیجه هکرها از طریق این حساب کاربری ایجاد شده، می‌توانند تمام دستوراتی را که نیاز به بالاترین سطح دسترسی دارند، روی دستگاه آسیب‌پذیر اجرا کنند. 
در گام اول هکرها باید بتوانند که به هر طریق ممکن برای اجرای حمله خود به یکی از دو نقطه زیر در دستگاه هدف دسترسی پیدا کند تا قادر به اجرای کامل حمله باشند.

•    webui_wsma_http
•    webui_wsma_https
 

در گام بعد، هکرها یک درخواست را مطابق آنچه در تصویر زیر نمایش داده شده است، به دستگاه آسیب‌پذیر ارسال می‌کنند تا از طریق آن مکانیزم احرازهویت را دور بزنند و به دستگاه آسیب‌پذیر نفوذ کنند.

 

در تحلیل این درخواست، باید گفت که آنچه باعث می‌شود تا مهاجم با ارسال این درخواست، موفق به دورزدن مرحله احرازهویت شود، در خط اول این درخواست قرار داردکه بصورت زیر است:

•    POST /%2577ebui_wsma_HTTP

نکته این عبارت، در مدل کد شدن حرف W در زمان ارسال این درخواست است، که باعث پذیرفته شدن این درخواست ارسالی به عنوان یک درخواست قابل قبول برای Ngnix می‌شود. در نتیجه مهاجم قادر است بدون احرازهویت به سرویس WMSA موجود در IOSD دسترسی پیدا کند. 
اکنون که مهاجم توانسته به سرویس WMSA دسترسی پیدا کند، زمان آن است تا یک حساب کاربری برای خود ایجاد کرده و از طریق آن دستورات دلخواه خود را روی دستگاه تحت کنترل اجرا کند. برای انجام این کار کافی است دستورات لازم برای پیکربندی و ایجاد حساب کاربری جدید را از طریق درخواست‌های SOAP به دستگاه ارسال کند. درادامه به یک درخواست ساده SOAP که از طریق آن می‌توان یک حساب کاربری جدید ایجاد کرد اشاره شده است. 

•    username <user> privilege 15 secret <password>

هکرها برای تایید صحت روش پیشنهادی خود، بعد از ایجاد دسترسی به دستگاه آسیب‌پذیر از طریق طی کردن مراحل گفته شده، یک حساب کاربری با دسترسی administrator ایجاد کرده‌اند که تصویر آن در ادامه نمایش داده شده است.

 

منابع خبر:

[1]https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-deep-dive-and-poc/
[2]https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-cisco-ios-xe-flaw-many…
[3]https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-theory-crafting/
[4]https://censys.com/cisco-ios-xe-ten-days-later/

NuGet ابزاری Opec source جهت مدیریت پکیج‌ها و توزیع نرم‌افزار است که امکان دانلود و اجرای کتابخانه‌های .NET برای پروژه‌هایشان توسعه‌دهندگان را فراهم می‌آورد. NuGet به ویژه در میان کاربران ویندوزی بسیار محبوب است و میلیون‌ها توسعه‌دهنده در سراسر جهان از آن استفاده می‌کنند.
کمپین جدیدNuGet Typosquatting ، پکیج‌های مخربی منتشر می‌کند که از ویژگی یکپارچه‌سازی(integration) MSBuild Visual Studio برای اجرای کد و نصب بدافزار  به صورت مخفیانه بهره‌برداری می‌کند.
  این بسته‌ها اسامی مشابهی با بسته‌های قانونی NuGet دارند و توسعه‌دهندگان را فریب می‌دهند تا آن‌ها را نصب کنند، پس از نصب، کد مخرب را اجرا می‌کنند و بدین‌ترتیب کنترل سیستم را به دست گرفته، قادر خواهند بود داده‌ها را سرقت و یا حملات دیگری را پیاده کنند. 
در این کمپین، از پکیج‌های typosquatting متنوعی جهت نصب مخفیانه بدافزار استفاده شده است. برخی از پکیج‌های مشاهده شده در این کمپین عبارتند از: 
•    CData.NetSuite.Net.Framework
•    CData.Salesforce.Net.Framework
•    Chronos.Platforms
•    DiscordsRpc
•    Kraken.Exchange
•    KucoinExchange.Net
•    MinecraftPocket.Server
•    Monero
•    Pathoschild.Stardew.Mod.Build.Config
•    SolanaWallet
•    ZendeskApi.Client.V2
نمونه‌ای از پکیج‌های مخرب در شکل زیر نمایش داده شده است که پس از اجرا، کد فایل اجرایی را از یک آدرس خارجی گرفته و آن را اجرا می‌کند.

 

کد مخرب داخل فایل targets

اگرچه طبق گزارش محققان امنیتی، پکیج‌های NuGet مشاهده شده حذف شده‌اند اما باید توجه داشت که مهاجمان به طور مداوم روش‌های خود را اصلاح می‌کنند تا حملات را مخفیانه‌تر انجام دهند. در کمپین اخیر، مهاجمان  بلافاصله پس از حذف بسته‌های قبلی، سعی در بارگذاری بسته‌های جدیدی داشتند که نشان می‌دهد قصد ادامه‌ی حملات را دارند و توسعه‌دهندگان می‌بایست با احتیاط بیشتری از پکیج‌های NuGet استفاده کنند. 

منبع خبر:

https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-abuse-msbuild-to-install-ma…