محققان امنیتی نسخه‌‌‌های اصلاح شده‌‌‌ای از واتساپ (نسخه اندروید) را کشف کرده‌اند که دارای یک ماژول جاسوسی به نام CanesSpy می‌باشد. این نسخه‌های مخرب برنامه پیام‌رسان، از طریق وب‌سایت‌های تایید نشده‌‌‌ای که چنین نرم‌افزارهای اصلاح‌شده را تبلیغ می‌کنند و همچنین کانال‌های تلگرامی که عمده مخاطبان آنها عرب و آذربایجانی هستند، منتشر شده‌اند. یکی از این کانال‌‌‌های تلگرامی دو میلیون کاربر دارد.
محققان امنیتی کسپرسکی اعلام کرده‌‌‌اند که این نسخه‌‌‌های آلوده شده به تروجان حاوی اجزای مشکوک (یک سرویس و یک گیرنده پخش) هستند که در نسخه اصلی واتساپ وجود ندارند. به صورت خاص، افزونه‌های جدید برای فعال کردن ماژول نرم‌افزار جاسوسی هنگامی که تلفن روشن می‌‌‌شود یا شروع به شارژ می‌کند، طراحی شده‌اند. در ادامه، ماژول جدید اقدام به برقراری تماس با سرور فرمان و کنترل (C2) می‌کند و  اطلاعاتی در مورد دستگاه در معرض خطر مانند IMEI، شماره تلفن، کد کشور تلفن همراه و کد شبکه تلفن همراه را ارسال می‌‌‌کند.
بدافزار CanesSpy همچنین جزئیات مربوط به مخاطبین و حساب‌های قربانی را هر پنج دقیقه ارسال می‌‌‌کند و علاوه بر آن هر دقیقه منتظر دریافت دستورالعمل‌‌‌های بیشتر از سرور C2 است. این تنظیمات قابل پیکربندی مجدد هستند. ایجاد دسترسی جهت ارسال فایل‌ها از حافظه خارجی (به عنوان مثال، کارت SD قابل جابجایی)، مخاطبین، ضبط صدا از میکروفون و تغییر سرورهای C2 از جمله توانایی‌‌‌های این بدافزار می‌‌‌باشد.

محصولات تحت تاثیر
این واقعیت که پیام‌‌‌های ارسال شده به سرور C2 همگی به زبان عربی هستند نشان می دهد که توسعه‌دهنده این عملیات یک عرب زبان است. ارزیابی‌‌‌های بیشتر نشان می‌‌‌دهد که این نرم افزار جاسوسی از اواسط آگوست 2023 فعال بوده است و این کمپین عمدتاً آذربایجان، عربستان سعودی، یمن، ترکیه و مصر را هدف قرار داده است. سال گذشته، شرکت متا همچنین علیه سه توسعه‌دهنده در چین و تایوان به دلیل توزیع برنامه‌های غیررسمی واتساپ، از جمله HeyMods، شکایتی را طرح کرد و ادعا نمود که  فعالیت‌‌‌های این شرکت‌‌‌ها منجر به به خطر افتادن بیش از یک میلیون حساب کاربری شده است. 
توسعه این بدافزار نشان دهنده بهره‌برداری مداوم از نسخه‌‌‌های اصلاح شده سرویس‌‌‌های پیام‌‌‌رسان همانند تلگرام و واتساپ، با هدف توزیع بدافزار بین کاربران ناشناس می‌‌‌باشد.

 توصیه‌های امنیتی
واتساپ به نوبه خود نسخه‌های غیررسمی را جعلی می‌داند و هشدار می‌دهد که ممکن است خطر حمل بدافزاری را به همراه داشته باشد که می‌تواند حریم خصوصی و امنیت مشتریان را نقض کند. به همین دلیل این شرکت از کاربران درخواست کرده که صرفاً از نسخه‌‌‌های منتشر شده رسمی توسط خود متا استفاده نمایند.
به گفته محققان امنیتی، نسخه‌‌‌های اصلاح شده واتساپ بیشتر از طریق فروشگاه‌‌‌های برنامه اندرویدی نامعتبر منتشر می‌‌‌شوند که اغلب فاقد غربالگری امنیتی لازم هستند و بدافزار را حذف نمی‌‌‌کنند. برخی از این منابع، مانند کانال‌‌‌های تلگرام، از محبوبیت قابل توجهی برخوردار هستند، اما این موضوع تضمینی برای ایمنی نیست. بنابراین توصیه اکید می‌‌‌شود تا کاربران در صورت نیاز به یک پیام‌‌‌رسان یا هر نرم‌‌‌افزار با قابلیت اتصال به اینترنت، حتماً نسبت به دریافت آن، صرفاً از فروشگاه‌‌‌های معتبر اقدام کنند. لازم به ذکر است که این توصیه مطلق نیست و  شرکت کسپراسکای، به تازگی یک نسخه اصلاح شده نرم‌‌‌افزار تلگرام برروی گوگل پلی را کشف نمود که حاوی ماژول‌‌‌های جاسوسی بود.

منابع خبر:

[1] https://thehackernews.com/2023/11/canesspy-spyware-discovered-in-modified.html
[2] https://securityaffairs.com/153564/mobile-2/whatsapp-mods-canesspy-spyware.html
[3] https://malwaretips.com/threads/canesspy-spyware-discovered-in-modified-whatsapp-clients.126918/

این هفته، service now در سایت پشتیبانی‌اش اعلام کرد که پیکربندی نادرست این نرم‌افزار می‌تواند منجر به دسترسی ناخواسته به اطلاعات حساس شود.
این موضوع برای شرکت‌هایی که از service now استفاده می‌کنند، دغدغه بزرگی‌ست چرا که این آسیب‌پذیری ممکن است منجر به نشت اطلاعات عمده‌ای از جمله داده‌های حقوقی آنها شود. Sevice now از آن زمان اقداماتی را برای برطرف کردن این نقص امنیتی آغاز کرده‌است.
ServiceNow یک پلتفرم مبتنی بر ابر است که برای اتوماسیون مدیریت خدمات فناوری اطلاعات، مدیریت عملیات فناوری اطلاعات، و مدیریت کسب و کار فناوری اطلاعات برای خدمات مشتری، و همچنین منابع انسانی، عملیات امنیتی و غیره استفاده می‌شود.
این برنامه SaaS(Software as a Service) به دلیل ماهیت زیرساختی‌اش، توسعه‌پذیری به عنوان پلتفرم توسعه و دسترسی به داده‌های محرمانه و اختصاصی در سراسر سازمان، یکی از برترین برنامه‌های کاربردی برای کسب و کار در نظر گرفته می‌شود.
یکی از بخش‌های مهم این نرم‌افزار، Simple List است که یک ویجت رابط است که داده های ذخیره شده در جداول را جمع آوری کرده و از آنها در داشبورد استفاده می‌کند.
پیکربندی پیش‌فرض SimpleList به کاربران احرازهویت نشده اجازه دسترسی از راه دور به داده‌های درون جدول‌ها را می‌دهد. این جداول اطلاعات حساسی را از جمله محتوای تیکت‌های IT‌، پایگاه‌های اطلاعات طبقه‌بندی‌شده درون‌سازمانی، جزئیات اطلاعات کارکنان و... در بر می‌گیرند.
این پیکربندی‌های نادرست در واقع از زمان معرفی لیست‌های کنترل دسترسی (Access Control) در سال 2015 وجود داشته است  و البته هنوز اتفاقی که از این مشکل برآمده باشد گزارش نشده‌ است.  با این وجود، با توجه به انتشار تحقیقات انجام‌شده در مورد نشت اطلاعات، این مشکل می‌تواند بیش از پیش اطلاعات سازمان‌ها و شرکت‌ها را به خطر بیاندازد.
این نشتی، صرفاً حاصل یکی از پیکربندی‌های پیش‌فرض بود و صدها پیکربندی دیگر موجودند که می‌توانند در معرض حملات کنترل‌دسترسی، نشت اطلاعات، هجمه‌ی بدافزار و دیگر موارد قرار بگیرند و باید ایمن‌سازی شوند.
سازمان‌هایی که از راه‌حل‌های مدیریت وضعیت امنیتی SaaS SSPM(SaaS Security Posture Management solution)  استفاده می‌کنند، راحت‌تر می‌توانند پیکربندی‌های نادرست و خطرناک را تشخیص داده و سازگاری یا عدم‌سازگاری‌ آن‌ها را بررسی کنند.
باید این نکته را مدنظر قرار داد که این مشکل، ناشی از یک آسیب‌پذیری در کد برنامه نیست بلکه از یک پیکربندی داخل نرم‌افزار نتیجه شده ‌است.
این پدیده در کنترل‌های امنیتی در یک ویجت لیست کنترل دسترسی ServiceNow به نام Simple list‌ ریشه دارد که رکورد‌ها را در یک جدول که به سادگی قابل خواندن باشد قرار می‌دهد. این جدول‌ها داده‌ها را از منابع مختلفی مرتب کرده و با تنظیمات پیش‌فرضی که آنها را به صورت عمومی منتشر می‌کنند پیکربندی می‌شوند.
1.    هنگام استفاده از ServiceNow کاربران از لیست‌های کنترل دسترسی(ACL(Access Control Lists)) استفاده می‌کنند که دسترسی به جدول‌ها و ستون‌ها در پلتفرم‌های مختلف را محدود می‌کنند.
2.    تنظیمات ServiceNow به صورت پیش‌فرض بر deny قرار داده شده یعنی هرگونه فقدان ACL در برابر یک منبع یا سلسله‌مراتب بالاتر از آن، منجر به عدم اجازه دسترسی می‌شود.
3.    هریک از ACL‌ها یک Three-part check دارند که هر چک “خالی” به true، معادل اجازه دسترسی تفسیر می‌شوند.
4.    مشتریان می‌توانند یک ACL با چک “خالی” را برای “نقش‌ها”، “شرایط” و “اسکریپت‌ها” تنظیم کنند.
5.    در صورتی که یک ACL به این شکل ساخته شود، سیستم ACL زیربنایی، به هر کاربر از جمله کاربر مهمان، اجازه دسترسی به منبع مورد نظر را می‌دهد.
6.    اگر یک کاربر احراز هویت نشده ‌باشد، نرم‌افزار شدیداً صفحاتی که کاربر می‌تواند بخواند را کنترل می‌کند و یک لیست بسیار محدود از صفحاتی که اجازه رویت آن‌ها به کاربر داده می‌شود ایجاد می‌کند.
7.    شرکت‌هایی که منابعی دارند که از پورتال‌های عمومی پشتیبانی می‌کنند، مثلا ابزارک‌های پورتال خدماتی که فعال هستند و به صورت عمومی تنظیم شده‌اند، یک استثنا از این کنترل هستند. زیرا طبق تنظیمات اولیه طراحی نرم‌افزار، برای کاربران احراز‌هویت نشده نیز قابلیت دسترسی دارند و از این رو مکانیزم‌های کنترلی رو آن‌ها اعمال نمی‌شوند.
8.    از میان پورتال‌هایی که بیان شد، ویجت پورتال ویژه SimpleList‌ در دسته‌ای قرار می‌گیرد که مکانیزم‌های کنترلی بر آن اعمال نمی‌شوند.

از آنجایی که این جداول SimpleList هسته ServiceNow هستند، مشکل در فقط یک تنظیمات خاص نبود که بتوان به‌راحتی آن را برطرف کرد. باید در موقعیت‌های مختلفی درون نرم‌افزار و با حفظ ترکیبی که با ویجت رابط کاربری داشتند و در مورد تمام حساب‌های کاربری اصلاح می‌شد. آنچه که این پدیده را حتی پیچیده‌تر می‌کرد، این بود که تغییر یک تنظیمات خاص به تنهایی می‌توانست تمام جریانات کاری(workflow) متصل به simple list‌ را برهم بزند که منجر به تخریب شدید پردازه‌های فعلی می‌شد.
 

توصیه‌های امنیتی
مطابق آنچه ServiceNow در مقاله‌ای در مورد این آسیب‌پذیری منتشر کرد، ارزیابی قرارگیری در معرض و اقدامات اصلاحی شامل موارد ذیل می‌شوند:

•    بررسی لیست‌های کنترل دسترسی‌ای که یا خالی و یا حاوی نقش “عمومی(public)” هستند.
•     بازبینی ویجت‌های عمومی و تغییر وضعیت نقش “عمومی” در موقعیت‌هایی که با موارد استفاده‌ آنها مطابقت ندارد.
•     به کارگیری اقدامات کنترل دسترسی سخت‌گیرانه‌تر با استفاده از کنترل‌های داخلی ارائه شده توسط ServiceNow، مانند کنترل دسترسی آدرس IP یا تأیید اعتبار تطبیقی.
•     نصب افزونه ServiceNow Explicit Roles. ServiceNow بیان می‌کند که این افزونه از دسترسی کاربران خارجی به داده‌های داخلی جلوگیری می‌کند و نمونه‌هایی که از این افزونه استفاده می‌کنند تحت تأثیر این مشکل قرار نمی‌گیرند. (این افزونه تضمین می‌کند که هر ACL (لیست کنترل دسترسی) حداقل نیاز به یک نقش را اعلام می‌کند.)

این مراحل اصلاحی توصیه شده همچنان می‌تواند برای سازمان‌هایی که در معرض خطر هستند استفاده شود حتی پس از اینکه اصلاح شوند، همچنان توصیه می‌شود که مجددا این مراحل چک شوند تا امنیت کامل سازمان تضمین شود.

جلوگیری خودکار از نشت داده:
سازمان‌ها و شرکت‌هایی که از راه‌حلSSPM  استفاده می‌کنند، مانند نرم‌افزار Adaptive Shield، می‌توانند پیکربندی ServiceNow و هر نرم‌افزار SaaS‌ دیگری را ببیند و آسیب ناشی از هر نقصی را کاهش دهند.

داشبورد Adaptive Shield‌ با فریم‌ورک سازگاری: پیکربندی نادرست ویجت فهرست عمومی ServiceNow KB1553688

نرم‌افزارهای مدیریت وضعیت امنیتی، هرزمان پیکربندی خطرناکی وجود داشته‌ باشد به تیم امنیتی اپلیکیشن هشدار می‌دهند که به آن‌ها این امکان را می‌دهد که تنظیمات لازم را اعمال کنند و جلوی هرگونه نشت اطلاعات را بگیرند. به این شیوه، شرکت‌ها به درک بهتری از سطوح حمله امنیتی و میزان خطر موجود و وضعیت امنیتی درمورد پلتفرم‌های خود می‌رسند. 
 

منبع خبر:
 

[1] https://thehackernews.com/2023/10/servicenow-data-exposure-wake-up-call.html?m=1 

محققان امنیتی شرکت Elastice Security کمپین سایبری جدیدی شناسایی کرده‌‌‌‌اند که از فایل‌های پکیج‌‌‌‌ ویندوز (MSIX) در برنامه‌‌‌‌های کاربردی مانند Brave، Microsoft Edge، Google Chrome، Grammarly و Cisco Webex استفاده کرده و بدافزار جدیدی با نام GhostPulse را توزیع می‌‌‌‌کنند.
طبق گزارش منتشر شده از این شرکت: «MSIX یک فرمت پکیج‌‌‌‌ ویندوز است که توسعه‌‌‌‌دهندگان از آن برای بسته‌‌‌‌بندی، توزیع و نصب برنامه‌‌‌‌های کاربردی خود برای کاربران ویندوز استفاده می‌‌‌‌کنند که متشکل از دو فرمت قبلی Appx و MSI است. با این حال، MSIX نیاز به دسترسی به گواهی‌‌‌‌های امضاء کد خریداری شده دارد و از آن‌‌‌‌ها برای گروهی از منابع قابل دسترس استفاده می‌‌‌‌کند.»
با راه‌‌‌‌اندازی فایل MSIX یک صفحه جدید باز می‌‌‌‌شود که از کاربران می‌‌‌‌خواهد روی دکمه Install کلیک کنند. این کار منجر به اجرای اسکریپت مخرب روی سیستم می‌‌‌‌شود که با اجرای آن یک بدافزار به نام GhostPulse از یک سرور راه‌‌‌‌ دور با آدرس manojsinghnegi[.]com به سیستم نفوذ می‌‌‌‌کند.
این فرآیند طی چندین مرحله صورت می‌‌‌‌گیرد، اولین مرحله پیلود یک فایل آرشیو TAR است که حاوی یک فایل اجرایی بوده و با عنوان Oracle VM VirtualBox Service (VBoxSVC.exe) شناخته می‌‌‌‌شود اما در واقع یک فایل باینری می‌‌‌‌باشد که با Notepad++ (gup.exe) همراه است.
همچنین در فایل آرشیو TAR یک فایل handoff.wav وجود دارد که یک نسخه تروجان شده از libcurl.dll بوده و با بهره‌برداری از gup.exe از تکنیک بارگذاری جانبی DLL استفاده کرده و برای انتقال فرآیند آلودگی در مرحله بعدی بارگذاری می‌‌‌‌شود. Powershell فایل باینری VBoxSVC.exe را اجرا کرده و از دایرکتوری فعلی DLL مخرب libcurl.dll را بارگیری می‌‌‌‌کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، مهاجم می‌‌‌‌تواند از اسکن توسط آنتی‌‌‌‌ویروس و روش‌‌‌‌های مبتنی ‌‌‌‌بر ML فرار کند.
در مرحله بعدی فایل DLL دستکاری شده یک پیلود رمزگذاری شده را بسته‌‌‌‌بندی کرده و از طریق mshtml.dll رمزگشایی و اجرا می‌‌‌‌شود، این اجرا منجر به بارگذاری بدافزار اصلی یعنی GhostPulse خواهد شد.
GhostPulse به عنوان یک loader عمل کرده و از تکنیک دیگری به صورت فرآیند doppelgänging برای شروع اجرای بدافزار نهایی استفاده می‌‌‌‌کند که شامل بدافزارهای Lumma، Vider، Rhadamanthys، SectopRAT و NetSupport RAT است.
 

توصیه‌‌‌‌‌های امنیتی
تحلیل‌‌‌‌‌های صورت گرفته بر روی این بدافزار نشان می‌‌‌‌‌دهد که نقطه ورود این بدافزار ایمیل‌‌‌‌‌های آلوده و کلیک بر روی تبلیغات جعلی هستند که باعث آلودگی سیستم و یا شبکه سازمانی می‌‌‌‌‌شوند. لذا توصیه می‌شود که از کلیک بر روی این تبلیغات و باز کردن ایمیل‌‌‌‌‌های ناشناخته و هرزنامه خودداری کرده و از یک آنتی‌‌‌‌‌ویروس معتبر استفاده شود.
 

منبع خبر:
 

[1] https://thehackernews.com/2023/10/hackers-using-msix-app-packages-to.html

محققین امنیتی شرکت Aqua مهاجمان جدیدی در ارتباط با Kinsing شناسایی کرده‌اند که از آسیب‌پذیری جدید لینوکس با نام Looney Tunables بهره‌برداری کرده و و با افزایش سطح دسترسی خود، فضاهای ابری را مورد حمله قرار می‌دهند. دامنه این حملات روز به روز گسترش یافته و ممکن است در آینده نزدیک حملات مختلف و متنوع‌تری از این گروه مشاهده شود.
این شرکت در گزارش جدید که ارائه داده است بیان کرد که: «به طرز جالبی، مهاجمان با استخراج اعتبار از ارائه‌دهندگان خدمات ابری (CSP)، دامنه حملات خود را در این فضای گسترش می‌دهند.» بهره‌برداری فعال از Looney Tunables (CVE-2023-4911) به مهاجمان اجازه می‌دهد تا امتیاز و سطح دسترسی root را در سیستم‌های مبتنی‌بر لینوکس بدست آورند. این مهاجمان سابقه‌ای طولانی در بخش حملات و بهره‌برداری از نقص‌های امنیتی افشا شده دارند و اخیراً از یک آسیب‌پذیری با شدت بالا (CVE-2023-32315) در Openfire جهت دستیابی و اجرای کد بصورت راه‌دور استفاده کرده‌اند.
آخرین مجموعه حملات شناسایی شده نیز مستلزم بهره‌برداری از یک نقص بحرانی است که منجر به اجرای کد از راه‌دور در PHPUnit (CVE-2017-9841) شده و از سال 2021 توسط گروه Cryptojacking برای دستیابی و دریافت دسترسی اولیه استفاده می‌شود. این امر با بررسی دستی محیط قربانی برای Looney Tunables با استفاده از یک بهره‌برداری مبتنی‌بر پایتون که توسط محققی با نام مستعار bl4stry در توئیتر منتشر شده است، دنبال می‌شود. Kinsing یک فایل PHP را دانلود و اجرا می‌کند، در ابتدا، این بهره‌برداری پنهان می‌شود اما پس از مدتی خود را نشان داده و کدهای جاوااسکریپت را اجرا و فعالیت‌های قابل بهره-برداری که در آن تعبیه شده است را اجرا می‌کند. کدهای جاوااسکریپت یک Web Sell است که دسترسی Backdor را به سرور فراهم می‌کند و به مهاجمان اجازه می‌دهد تا عملیات مدیریت فایل، اجرای فرمان و جمع‌آوری اطلاعات بیشتر در مورد سروری که روی آن کار می‌کند را داشته باشند. با توجه به اطلاعات مشاهده شده به نظر می‌رسد که هدف نهایی این حمله استخراج اعتبارنامه‌های مربوط به ارائه‌دهندگان خدمات ابری برای حملات بعدی است که یک تغییر تاکتیک قابل توجه از الگوی استقرار بدافزار Kinsing و راه‌اندازی ماینر ارزی است. همچنین بررسی‌ها نشان می‌دهد که نمونه بدست آمده از آخرین تحلیل، اولین نمونه از Kinsing است که به دنبال جمع‌آوری چنین اطلاعاتی است و این پیشرفت حاکی از گسترش دامنه عملیات آن‌ها بوده و نشان می‌دهد که عملیات Kinsing ممکن است در آینده نزدیک متنوع و تشدید شود و در نتیجه تهدید برای محیط‌های ابری ایجاد کند.

توصیه‌های امنیتی
بررسی‌های صورت گرفته نشان می‌دهد که مهاجمان از آسیب‌پذیری‌های کشف شده در سیستم‌عامل لینوکس بهره‌برداری می‌کنند و در آینده احتمال دارد دامنه حملات گسترش یابد، لذا توصیه می‌شود که وصله‌های امنیتی ارائه شده نصف شود و هرچه زودتر این سیستم‌عامل به نسخه جدید آن ارتقاء یابد.

منابع خبر:

[1] https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html

کدهای QR، بارکدهایی دو بعدی هستند که می‌توانند داده‌های پیچیده از جمله URL، آدرس‌های ایمیل و شماره سریال را رمزگذاری کنند. آن‌ها به طور گسترده در حوزه‌های مختلف از جمله تبلیغات، بازاریابی و سیستم‌های پرداخت استفاده می‌شوند. کدهای QR در سال‌های اخیر به طور فزاینده‌ای محبوب شده‌اند و میلیون‌ها نفر برای پرداخت، اسکن منوها و دسترسی به اطلاعات از آن‌ها استفاده می‌کنند. این استفاده گسترده، آن‌ها را به هدفی جذاب برای مجرمان سایبری تبدیل کرده است. مهاجمان دو روش حمله برجسته را برای بهره برداری از کدهای QR ترجیح می‌دهند: Quishing و QRLJacking. از بین این دو نوع حمله، حملات Quishing به دلیل ماهیت گسترده خود در حال افزایش هستند. 
در ماه‌های اخیر افزایش قابل توجهی در حملات فیشینگ کد QR مشاهده شده است. در این نوع از حملات از کدهای QR جهت فریب کاربران ناآگاه به منظور دسترسی به وب‌سایت‌های مخرب یا دانلود بدافزار استفاده می‌شود. به عنوان نمونه در یکی از این حملات، مهاجمان از طریق کد QR با استفاده از مهندسی اجتماعی، کاربران را به سایت‌های جمع‌آوری اعتبار هدایت می‌کند. ایمیلی که ادعا می‌شد از طرف مایکروسافت ارسال شده و حاوی یک کد QR بود برای کاربران ارسال شده بود. در این ایمیل ادعا می‌شد که احراز هویت چند عاملی مایکروسافت منقضی شده و کاربران باید مجددا احراز هویت کنند.
 

آمارها نشان می‌دهد که این نوع از حملات از ماه اوت تا سپتامبر سال 2023 میلادی افزایش 587 درصدی داشته است. همچنین در ماه اکتبر یک جهش ناگهانی در این نوع از حملات مشاهده شده است. شیوع حملات Quishing گواهی بر ماهیت در حال تکامل تهدیدات سایبری است. 

توصیه‌های امنیتی
به منظور مقابله با حملات  Quishing، هنگام مواجهه با کد QR در ایمیل‌ها، هوشیاری کاربران بسیار مهم است و اقدامات پیشگیرانه زیر توصیه می‌شود: 
•    قبل از اسکن QR کد، فرستنده اصلی ایمیل را بررسی کنید.
•    از فناوری OCR (تشخیص کاراکتر نوری) برای ترجمه کدها به URL اصلی استفاده کنید. 
•    پیش نمایش URL کد QR را قبل از باز کردن آن بررسی کنید تا ببینید آیا درست به نظر می رسد یا خیر.
•    اگر کد QR، شما را به وب‌سایتی هدایت می‌کند که اطلاعات شخصی یا اعتبارنامه‌های ورود را می‌خواهد بسیار محتاط باشید.

منبع خبر:

https://www.hackread.com/qr-code-quishing-check-point-attack-spike/

شرکت ZDI چهار آسیب‌پذیری روز صفر در Microsoft Exchange را افشاء کرده است. این آسیب‌پذیری‌ها در 23 سپتامبر به مایکروسافت گزارش شده و طبق سیاستی که ZDI دارد، سازنده 90 روز فرصت دارد اصلاحیه را اعمال کند. مایکروسافت این آسیب‌پذیری‌ها را تایید کرده است. مهاجم جهت بهره‌برداری از این آسیب‌پذیری‌ها به احراز هویت نیاز دارد:

آسیب‌پذیری ZDI-23-1578 :  اولین آسیب‌پذیری با شدت 7.5 به مهاجمان اجازه می‌دهد تا از راه دور کد دلخواه خود را بر روی Microsoft Exchange آسیب‌دیده اجرا کنند. در این آسیب‌پذیری وجود یک نقص در کلاس ChainedSerializationBinder  به‌ دلیل عدم اعتبارسنجی مناسب داده‌های ارائه‌شده توسط کاربر، می‌تواند منجر به از بین بردن فرآیند سریال کردن داده‌های غیرقابل اعتماد شود و امکان اجرای کد در SYSTEM  را برای مهاجم فراهم می‌آورد.
آسیب‌پذیری ZDI-23-1579 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، از راه دور امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد DownloadDataFromUri و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‌دهد و این آسیب‌پذیری دارای شدت 7.1 می‌باشد.
آسیب‌پذیری ZDI-23-1580 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، از راه دور امکان امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد DownloadDataFromOfficeMarketPlace و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‌دهد. این آسیب‌پذیری دارای شدت 7.1 می‌باشد.
آسیب‌پذیری ZDI-23-1581 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد CreateAttachmentFromUri و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‎دهد. این آسیب‌پذیری دارای امتیاز 7.1 است.

توصیه امنیتی
توصیه می‌شود تا زمانیکه آسیب‌پذیری‌ها اصلاح شوند، تعامل با Exchange را محدود کنید. همچنین با توجه به اینکه، برای بهره‌برداری از این آسیب‌پذیری‌ها نیاز به احرازهویت مهاجم می‌باشد و امکان دارد از روش‌هایی مانند فیشینگ، خرید اعتبارنامه‌ها از بلک‌مارکت‌ها و غیره استفاده کند. همچنین ویژگی احرازهویت چند عاملی را برای Exchange  فعال کنید.

 منابع و مراجع:

[1]https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-the…
[2]https://www.itsecuritynews.info/zdi-discloses-four-zero-day-flaws-in-microsoft-exchange/
[3] https://www.zerodayinitiative.com/advisories/ZDI-23-1578
[4] https://www.zerodayinitiative.com/advisories/ZDI-23-1579
[5] https://www.zerodayinitiative.com/advisories/ZDI-23-1580
[6]  https://www.zerodayinitiative.com/advisories/ZDI-23-1581

Citrix به کاربرانش هشدار داده است که فوراً نسبت به نصب به‌روزرسانی منتشر شده برای همه دستگاه‌های NetScaler (ADC و Gateway) اقدام نمایند. این وصله، برای رفع آسیب‌پذیری CVE-2023-4966 منتشر شده است.  آسیب‌پذیری مذکور با شدت 9.4 امکان بهره‌برداری از راه دور را به مهاجمان احراز هویت نشده خواهد داد. مهاجم برای بهره‌برداری به کمک این آسیب‌پذیری نیازی به تعامل کاربران نخواهد داشت، در حالی که Citrix هیچ شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری در اختیار نداشت، اما Mandiant از بهره‌برداری گسترده از این مشکل امنیتی خبر داد.  به گفته این شرکت امنیت سایبری، مهاجمان از اواخر آگوست به عنوان یک آسیب‌پذیری zero-day به منظور سرقت اطلاعات احراز هویت حساب‌های کاربری استفاده می‌کرده است.   همچنین مواردی مشاهده شده است‫ که از CVE-2023-4966 جهت نفوذ به زیرساخت‌های نهادهای دولتی و شرکت‌های IT بهره‌برداری شده است.  بدین ترتیب Citrix در بیانیه‌ جدیدی به مدیران هشدار داد: «ما اکنون گزارش‌هایی از حوادثی در اختیار داریم که مربوط به سرقت session‌های مختلف است. همچنین گزارش‌های معتبری از حملات هدفمندی که از این آسیبپذیری بهره‌برداری می‌‌کنند دریافت کرده‌ایم».   ‬‬‬‬‬‬

محصولات تحت تأثیر
Citrix در 23 اکتبر جزئیات بهره‌برداری را منتشر کرد. توصیه آن‌ها نشان می‌دهد که آسیب‌پذیری با شناسه CVE-2023-4966 بر نسخه‌های زیر تأثیر می‌گذارد:
* NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
* NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
* NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
* NetScaler ADC 13.1-FIPS before 13.1-37.164
* NetScaler ADC 12.1-FIPS before 12.1-55.300
* NetScaler ADC 12.1-NDcPP before 12.1-55.300
برای اینکه دستگاه قابل بهره‌برداری باشد، باید به عنوان یک Gateway (سرور مجازی VPN، ICA Proxy، CVPN، RDP Proxy) یا AAAvirtualserver (که یک پیکربندی بسیار رایج است) پیکربندی شود. Citrix نشان داده است که مشتریانی که از خدمات ابری مدیریت شده توسط Citrix یا احراز هویت تطبیقی مدیریت شده توسط Citrix استفاده می‌کنند، نیازی به انجام هیچ اقدامی ندارند.

 توصیه امنیتی
Citrix توصیه کرده است در صور‫تی که از NetScaler ADC به عنوان Gateway یا سرور مجازی AAA استفاده می‌کنید، در اسرع وقت به‌روزرسانی‌ها را نصب نمایید. همچنین بهتر است تمامی sessionهای فعال را با استفاده از دستورات زیر حذف نمایید:‬‬‬

جهت جلوگیری از افشای‌اطلاعات حساس در NetScaler ADC و NetScaler Gateway، می‌توانید اقدات امنیتی زیر را اعمال کنید:

1-    به‌روزرسانی: اطمینان حاصل کنید که نرم‌افزار و سیستم‌عامل دستگاه‌های NetScaler ADC و Gateway به‌روزرسانی شده باشند. این امر شامل اعمال تمامی بسته‌های امنیتی و به‌روزرسانی‌های ارائه شده توسط Citrix می‌شود.
2-    پیکربندی امن: از تنظیمات امنیتی مناسب برای دستگاه‌های NetScaler استفاده کنید. مطمئن شوید که تنظیمات دسترسی، رمزنگاری، فایروال و سایر تنظیمات مربوطه به درستی پیکربندی شده‌اند.
3-    رصد و ضبط وقایع: اطلاعات بیشتر درباره فعالیت‌ها و رویدادهای سیستم را به منظور تشخیص هرگونه نقص‌ها یا تهدیدهای امنیتی ثبت کنید. استفاده از ویژگی‌های رصد و ضبط وقایع در NetScaler می‌تواند کمک کند تا فعالیت‌های ناشناس و غیرمجاز شناسایی شوند.
4-    محدود کردن دسترسی‌ها: تنظیم فیلترهای دسترسی مناسب برای محدود کردن دسترسی به سرویس‌ها و منابع حساس در NetScaler ADC و Gateway. این امر شامل محدود کردن دسترسی به پورت‌ها، آدرس‌های IP و دستورات مشخص می‌شود.
5-    آموزش و آگاهی: کارمندان و مدیران دستگاه‌های NetScaler را آموزش دهید و آگاهی آن‌ها را در خصوص روش‌های امنیتی و اقدامات پیشگیرانه بالا ببرید. همچنین، از روش‌های مدیریت و نظارت مناسب بر کاربران و دستگاه‌ها استفاده کنید.

منابع و مراجع:

[1]https://www.rapid7.com/blog/post/2023/10/25/etr-cve-2023-4966-exploitation-of-citrix-netscaler-info…
[2]https://www.linkedin.com/posts/rayasamaneh_%D8%B1%D8%A7%DB%8C%D8%A7%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D…

یک نقص امنیتی در دوربین‌‌‌های سری WyzeCam v1 گزارش شده است که به مهاجمان اجازه می‌دهد از راه دور به ویدیوهای ذخیره شده این دوربین‌ها دسترسی داشته باشند. اگرچه تولید این دوربین متوقف شده است، این نقص تقریباً از سه سال رفع نشده باقی مانده است و این دوربین‌‌‌ها در بسیاری مکان‌ها فعال هستند. با این حال، این آسیب‌پذیری تنها در صورتی می‌تواند مورد بهره‌برداری قرار گیرد که مهاجمان بتوانند به شبکه محلی WiFi دسترسی پیدا کنند. این نقص امنیتی، که مستقیماً شناسه CVE به آن اختصاص داده نشده است، به دو آسیب‌پذیری دور زدن احراز هویت (CVE-2019-9564) و اجرای کد از راه دور بر اساس سرریز بافر (CVE-2019-12266) مربوط می‌شود.
این نقص امنیتی، به مهاجمان اجازه می‌دهد از راه دور و از طریق وب، سروری را که پورت 80 آن باز است، شنود شود. سپس با دورزدن احراز هویت، امکان دسترسی به SD Card دوربین فراهم می‌‌‌شود که ممکن است اطلاعاتی مربوط به تصویربرداری دوربین یا اطلاعات دیگری روی آن ذخیره شده باشد. در حالی که این آسیب‌پذیری در ماه آوریل برطرف شد، بسیاری از کاربران ممکن است همچنان از نسخه‌های قدیمی‌ استفاده کنند که در برابر این نقص آسیب‌پذیر هستند.
 

محصولات تحت تأثیر
این آسیب‌پذیری تمام نسخه‌های نرم‌افزارهای دوربین‌های Cam V1 قدیمی را تحت تأثیر قرار می‌دهد.
 

توصیه‌های امنیتی
با توجه به انتشار نسخه جدید ضروری است که کاربران هرچه سریع‌تر، WyzeCam v1 را به آخرین نسخه بروزرسانی کنند. همچنین توصیه می‌شود پسورد‌های قوی برای شبکه WiFi در نظر گرفته شود.

منابع خبر:
 

[1]https://wonderfulengineering.com/a-wyze-cam-flaw-lets-hackers-remotely-access-your-saved-videos-and…
[2] https://9to5mac.com/2022/03/31/wyze-cam-security-flaw
[3]https://www.howtogeek.com/113800/wyze-left-some-security-cameras-vulnerable-to-hackers-but-its-comp…
[4] https://www.iphoneincanada.ca/2022/03/31/wyze-cam-v1-security-flaw-still-gives-hackers-access-to-sa…

شرکت سیسکو، یکی از بزرگ‌ترین تولیدکنندگان تجهیزات شبکه، اخیراً ۲۷ آسیب‌پذیری را در محصولات امنیتی شبکه‌ای خود برطرف کرده است. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای اجرای کد دلخواه، انجام حملات انکار سرویس، تغییر تنظیمات امنیتی و دسترسی به اطلاعات حساس استفاده شوند. 
این آسیب‌پذیری‌ها در محصولات مختلفی مانند سیسکو ASR، سیسکو ASA، سیسکو FMC، سیسکو FTD، سیسکو IOS و سیسکو IOS XE وجود دارند که در ادامه به‌صورت دقیق‌تر به آن‌ها اشاره می‌شود. یکی از جدی‌ترین نقص‌ها، آسیب‌پذیری تزریق کد در FMC(Firewall Management Center) سیسکو با شناسه CVE-2023-20048 و شدت بحرانی 9.9 می‌باشد که به دلیل پیکربندی نامناسب مجوزهای ارسالی از طریق سرویس رابط وب ایجاد شده است. همچنین باید به آسیب‌پذیری اجرای کد دلخواه در رابط کاربری وب سیسکو IOS XE که دارای شناسه CVE-2023-3470 و شدت 9.8 است، اشاره کرد. این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد که با ارسال درخواست‌های وب مخرب به دستگاه‌های مبتنی بر سیسکو IOS XE، کد دلخواه خود را بر روی آن‌ها اجرا کنند.

محصولات تحت تأثیر
_ امکان اجرای حمله انکار سرویس در سیسکو IOS XE برای دستگاه‌های سیسکو ASR  :
•    CVE-2023-3471
امکان اجرای حمله انکار سرویس در سیسکو IOS XE با استفاده از بسته‌های مخرب:
•    CVE-2023-3472
•    CVE-2023-3473
•    CVE-2023-3474
•    CVE-2023-3475
•    CVE-2023-3476
•    CVE-2023-3477
•    CVE-2023-3478
•    CVE-2023-3479
_ امکان اجرای حمله انکار سرویس در سیسکو IOS با استفاده از بسته‌های مخرب:
•    CVE-2023-3480
•    CVE-2023-3481
•    CVE-2023-3482
•    CVE-2023-3483
•    CVE-2023-3484
•    CVE-2023-3485
•    CVE-2023-3486
•    CVE-2023-3487

- امکان اجرای حمله انکار سرویس در سیسکو ASA و FTD با استفاده از بسته‌های مخرب:
•    CVE-2023-3488
•    CVE-2023-3489
•    CVE-2023-3490
•    CVE-2023-3491
•    CVE-2023-3492
•    CVE-2023-3493
•    CVE-2023-3494
•    CVE-2023-3495
•    CVE-2023-3496
•    CVE-2023-3497
_ تغییر تنظیمات امنیتی در سیسکو ASA و FTD با استفاده از درخواست‌های وب مخرب:
•    CVE-2023-3498
_ دسترسی به اطلاعات حساس در سیسکو ASA و FTD با استفاده از درخواست‌های وب مخرب:
•    CVE-2023-3499
•    CVE-2023-3500
•    CVE-2023-3501

محصولات تحت تأثیر
شرکت سیسکو توصیه می‌کند که مشتریان، به‌روزرسانی‌های امنیتی منتشر شده را در اسرع وقت اعمال کنند.

منابع و مراجع:

[1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x 
[2] https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-security-advisorie…
[3] https://www.securityweek.com/cisco-patches-27-vulnerabilities-in-network-security-products
 

یک کمپین جدید با نام EleKtra-Leak از سرویس مدیریت هویت و دسترسی (identity and access management) وب سرویس آمازون (Amazon Web Service)، که در مخازن عمومی GitHub مورد استفاده قرار می‌گیرد، جهت تسهیل فعالیت‌های کریپتوجک بهره‌برداری می‌کند. در این نوع از حملات از ماینرها برای انجام فعالیت‌های مخرب بهره‌برداری می‌شود.
محققین شرکت Palo Alto Networks با اعلام خبر بهره‌برداری از سرویس AWS IAM اعلام کرده‌اند که در نتیجه این سوء استفاده، مهاجم قادر به ایجاد چندین نمونه AWS Elastic Compute (EC2) بوده و از آن‌ها برای عملیات‌های طولانی مدت کریپتوجک استفاده کرده است. این عملیات که حداقل از دسامبر 2020 فعال است، برای استخراج Monero از 474 نمونه منحصر به فرد EC2 آمازون بین 30 آگوست تا 6 اکتبر 2023 طراحی شده است. بخشی از موفقیت حمله اخیر به دلیل بهره‌برداری در ویژگی اسکن مخفی GitHub و سیاست AWSCompromisedKeyQuarantine  است که برای جلوگیری از سوء استفاده یا در معرض خطر قرار گرفتن اعتبار IAM در اجرا یا راه‌اندازی نمونه‌های EC2 مورد استفاده قرار می‌گیرد. 
یکی از جنبه‌های مهم حملات، هدف‌گیری خودکار اعتبارنامه‌های AWS IAM در عرض چهار دقیقه پس از در معرض دید قرار گرفتن اولیه آن‌ها در GitHub است که نشان می‌دهد مهاجمان به‌ صورت برنامه‌ریزی شده‌ای، مخازن را بررسی می‌کنند تا کلیدهای در معرض دید را به دست آوردند. همچنین مشاهده شده است که مهاجم در تلاشی برای جلوگیری از تجزیه و تحلیل بیشتر، حساب‌های AWS را در فهرست موارد بلاک‌شده‌ قرار می‌دهد تا اعتبارنامه‌های IAM را منتشر کند.
شواهدی وجود دارد که نشان می‌دهد مهاجم ممکن است با یک کمپین کریپتوجک دیگر که توسط Intezer در ژانویه 2021 فاش شده بود، در ارتباط باشد. این کمپین سرویس‌های Docker با امنیت ضعیف را با استفاده از همان نرم‌افزار استخراج سفارشی مورد هدف قرار داده بود.
همچنین مهاجم ممکن است بتواند کلیدهای AWS در معرض دید که به طور خودکار توسط AWS شناسایی نمی‌شوند را پیدا کرده و متعاقباً این کلیدها را خارج از خط مشی AWSCompromisedKeyQuarantine کنترل کند. در زنجیره‌های حمله کشف‌شده، اعتبارنامه‌های AWS به سرقت رفته برای انجام عملیات شناسایی حساب کاربری و به دنبال آن ایجاد گروه‌های امنیتی AWS و راه‌اندازی چندین نمونه EC2 در مناطق مختلف، از طریق یک VPN، استفاده شده است.

محصولات تحت تاثیر
حمله اخیر حاکی از بهره‌برداری از اعتبارنامه‌های IAM سرویس AWS در GitHub می‌باشد. به این ترتیب امکان بهره‌برداری از نمونه‌های c5a.24xlarge AWS نیز فراهم می‌آید. این نمونه‌ها به دلیل داشتن توان پردازش بالا، امکان استخراج رمزارزها را در فاصله زمانی کوتاه فراهم می‌آورند. 

توصیه‌های امنیتی
برای کاهش چنین حملاتی، به سازمان‌هایی که به‌طور تصادفی اعتبارنامه‌های AWS IAM را افشا می‌کنند، توصیه می‌شود که فوراً اتصال‌های API مورد استفاده کلیدها را لغو، آن‌ها را از GitHub repository حذف کنند و رویدادهای شبیه‌سازی GitHub repository را برای هرگونه عملیات مشکوک بررسی نمایند.

منابع خبر:

[1] https://thehackernews.com/2023/10/elektra-leak-cryptojacking-attacks.html
[2] https://www.darkreading.com/cloud/elektra-leak-attackers-harvest-aws-cloud-keys-github-campaign
[3] https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/