شرکت VMware در خصوص یک بهره‌برداری PoC (اثبات مفهوم) به کاربران هشدار داده است. این آسیب‌پذیری با شدت 8.1 و شناسه CVE-2023-34051 می‌تواند منجر به دور زدن فرآیند احراز هویت و اجرای کد از راه دور شود.

محصولات تحت تأثیر
این آسیب‌پذیری نسخه 8.12 محصول VMware Aria Operations for Logs را تحت تأثیر خود قرار می‌دهد.

توصیه‌های امنیتی
بهره برداری موفق از CVE-2023-4966، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشته است تا آن را به فهرست آسیب‌پذیری‌های بهره‌برداری‌شده (KEV) اضافه کند و آژانس‌های فدرال در ایالات متحده را ملزم کرد تا آخرین وصله‌های امنیتی منتشر شده را تا 8 نوامبر 2023 اعمال کنند. این آسیب‌پذیری در نسخه 8.14 محصول VMware Aria Operations for Logs برطرف شده است.

منابع خبر:

[1]https://thehackernews-com.translate.goog/2023/10/alert-poc-exploits-released-for-citrix.html?_x_tr_…

[2] https://www.vmware.com/security/advisories/VMSA-2023-0021.html

محققان امنیتی شرکت F5 از وجود یک آسیب‌پذیری بحرانی با شناسه CVE-2023-46747 و شدت 9.8 در محصول  BIG-IP خبر داده‌اند. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا بتواند از طریق ارتباط با IP و پورت مدیریتی این محصول، فرایند احرازهویت موجود را دور زده و بعد از به دست آوردن دسترسی لازم، روی محصول آسیب‌پذیر کنترل کامل داشته باشد. مهاجم در ادامه قادر است از طریق حمله اجرای کد از راه دور (RCE) دستورات سیستمی با سطح دسترسی root اجرا کند. به گفته محققان مراحل اجرای این حمله شباهت‌های زیادی به آسیب‌پذیری CVE- 2022-26377 دارد.

محصولات تحت تأثیر 
نسخه‌های آسیب‌پذیر BIG-IP  عبارتند از:
•    17.1.0
•    16.1.0 تا  16.1.4
•    15.1.0  تا  15.1.10
•    14.1.0 تا  14.1.5
•    13.1.0 تا  13.1.5

توصیه‌های امنیتی
در جدول زیر لیست نسخه‌های وصله‌شده منتشر شده برای محصول BIG-IP آمده است. لذا کاربران باید هرچه سریع‌تر نسخه‌ مورد استفاده خود را به نسخه ارائه‌شده به‌روزرسانی کنند.
 

منابع خبر:

[1]https://thehackernews.com/2023/10/f5-issues-warning-big-ip-vulnerability.html 
[2]https://my.f5.com/manage/s/article/K000137353 
[3] https://www.praetorian.com/blog/refresh-compromising-f5-big-ip-with-request-smuggling-cve-2023-4674…

یک آسیب‌پذیری بحرانی در مرورگر Microsoft Edge  کشف شده است که محرمانگی، یکپارچگی و در دسترس بودن را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری با شدت بحرانی و شناسه  CVE-2023-44323 در تاریخ 2023/10/28 منتشر شده است.  بهره برداری موفقیت آمیز از این نقص امنیتی مستلزم تعامل با کاربر هدف می‌باشد. جزئیات فنی ناشناخته بوده و روش بهره‌بردرای از آن نیز در دسترس نمی‌باشد. 

محصولات تحت تأثیر
مرورگر microsoft edge نسخه قبل از 118.0.2088.76 تحت تأثیر این آسیب‌پذیری قرار خواهند گرفت.

توصیه‌های امنیتی
ارتقاء به نسخه 118.0.2088.76 و بعدتر مرورگر microsoft edge

منابع خبر:

[1] https://vuldb.com/?id.243806
[2] https://www.hkcert.org/security-bulletin/microsoft-edge-multiple-vulnerabilities_20231030
 

یک آسیب‌پذیری با شناسه CVE-2023-46215 و شدت متوسط کشف شده است که هنگام استفاده از پروتکل‌های redis، amqp، rpc، اطلاعات حساس به صورت رمز نشده ثبت می‌شوند. این نقص امنیتی مربوط به اطلاعاتی است که در لاگ‌ها در معرض دید قرار می‌گیرند.

محصولات تحت تأثیر
این آسیب‌پذیری Apache Airflow Celery نسخه‌های 3.3.0 تا 3.4.0 و Apache Airflow  نسخه‌های 1.10.0 تا 2.6.3 را تحت تأثیر قرار خواهد داد.

توصیه‌های امنیتی
 به کاربران توصیه می شود که در اسرع وقت Airflow Celery را به نسخه 3.4.1 و Apache Airflow را به نسخه 2.7.0 ارتقا دهند.

منابع خبر:

[1] https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-46215
[2] https://www.openwall.com/lists/oss-security/2023/10/28/1
 

بدافزار StripedFly که پیش از این تصور می‌شد یک کریپتوماینر است در واقع یک پلتفرم جاسوسی پیچیده برای سیستم‌های ویندوزی و لینوکسی بوده است که می‌تواند در حملاتی از جمله حملات باج‌افزاری، جاسوس‌افزاری و حملات تهدید مانای پیشرفته( APT ) مورد استفاده قرار گیرد. این بدافزار در پنج سال فعالیت خاموش خود تاکنون بیش از یک میلیون سیستم‌ ویندوزی و لینوکسی را آلوده کرده است. کسپرسکی این بدافزار را برای اولین بار در سال 2022 میلادی شناسایی کرد اما شواهدی وجود دارد که نشان می‌دهد این بدافزار فعالیتش را به عنوان ماینر ارز دیجیتال از سال 2016 میلادی آغاز کرده است. این بدافزار قابلیت‌های پیشرفته‌ای دارد که عبارتند از:
•    سرقت کلمه عبور
•    ذخیره اسکرین‌شات صفحه قربانی
•    استفاده از روش پنهان‌سازی ترافیک ارتباطی مبتنی بر TOR
•    به‌روزرسانی خودکار
•    اکسپلویت سفارشی آسیب‌پذیری  EternalBlue SMBv1 
•    و  قابلیت‌های انتشار کرم‌گونه در شبکه
زنجیره آلودگی بدافزار StripedFly در شکل زیر نشان داده می‌شود. این بدافزار اولین بار با شناسایی شِل‌کد مخربی که به پردازه WININIT.EXE تزریق شده بود، توسط کسپرسکی اعلام شد. WININIT.EXE فرآیند قانونی سیستم عامل ویندوز است که راه‌اندازی زیرسیستم‌های مختلف را کنترل می‌کند. پس از بررسی شِل‌کد تزریق‌شده، مشخص شد که فایل‌های اضافی مانند اسکریپت‌های پاورشل از سرویس‌های قانونی مانند بیت باکت، گیت هاب و گیت لب دانلود و اجرا می‌شوند. بررسی‌های بیشتر مشخص کرد که سیستم‌های آلوده احتمالا برای اولین بار با استفاده از اکسپلویت سفارشی EternalBlue SMBv1 که کامپیوترهای در معرض اینترنت را هدف قرار می‌داد مورد نفوذ قرار گرفته‌اند. آخرین پیلود این بدافزار (system.img) از یک کلاینت شبکه TOR برای محافظت از شنود ارتباطات شبکه‌اش استفاده کرده است. همچنین قابلیت غیرفعال کردن پروتکل  SMBv1و توزیع و آلوده‌سازی سایر سیستم‌های ویندوز و لینوکس درون شبکه هدف با استفاده از پروتکل‌های SSH و EternalBlue را دارد. 

StripedFly  برای ماندگاری در سیستم‌های ویندوزی، رفتار خود را بر اساس سطح امتیازاتی که روی آن اجرا می‌شود و وجود پاورشل در سیستم تنظیم می‌کند. در صورت وجود پاورشل، اسکریپت‌هایی را برای ایجاد تسک‌های زمان‌بندی شده یا تغییر کلیدهای رجیستری ویندوز اجرا می‌کند. این کار باعث می‌شود که بدافزار پس از راه‌اندازی مجدد سیستم نیز اجرا شود. در صورت عدم وجود پاورشل، فایلی مخفی در دایرکتوری %APPDATA% ایجاد می‌کند که حاوی کدی برای راه‌اندازی مجدد سیستم است. در سیستم‌عامل لینوکس، برای ماندگاری در سیستم سرویس "sd - pam" را برگزیده است. sd-pam  سرویس systemd  است که برای مدیریت ورود به سیستم استفاده می‌شود. بدافزار از این سرویس برای ایجاد سرویسی جدید استفاده می‌کند که پس از راه‌اندازی مجدد سیستم اجرا ‌شود.
مخازن بیت‌باکت که پیلود نهایی را به سیستم‌های ویندوزی رسانده‌اند نشان می‌دهد که بین آوریل ۲۰۲۳ تا سپتامبر ۲۰۲۳، نزدیک به ۶۰ هزار سیستم آلوده شده است. این بدان معناست که StripedFly هم‌اکنون در حال توزیع بوده و شمار سیستم‌های آلوده در حال افزایش است. برآورد می شود که StripedFly از فوریه ۲۰۲۲ حداقل ۲۲۰ هزار سیستم ویندوز را آلوده کرده که تعداد بسیار قابل‌توجهی است. متاسفانه آمار قبل از آن در دسترس نیست. بدین ‌ترتیب ممکن است StripedFly مدت‌ها قبل از سال ۲۰۲۲ وجود داشته و تعداد سیستم‌های آلوده بسیار بیشتر باشد. کسپرسکی تخمین می‌زند در پنج سال گذشته، بیش از ۱ میلیون سیستم با StripedFly آلوده شده‌اند.

این بدافزار، به عنوان یک فایل اجرایی باینری یکپارچه با مولفه‌های قابل اتصال عمل می‌کند و به نظر می‌رسد با عملیات‌های حملات APT تطابق دارد. برخی از ماژول‌های این بدافزار عبارتند از:
•    Configuration storage: پیکربندی بدافزار را به صورت رمزگذاری شده ذخیره می‌کند.
•    Upgrade/Uninstall: به روز رسانی یا حذف را بر اساس دستورات سرور C2 مدیریت می‌کند.
•    Reverse proxy: اجازه دسترسی از راه دور به شبکه قربانی را می‌دهد. 
•    Miscellaneous command handler: دستورات مختلف اعم از اجرای پاورشل و ذخیره اسکرین‌شات را اجرا می‌کند.
•    Credential harvester: داده‎های حساس کاربران مانند کلمات عبور و نام‌های کاربری افراد را اسکن و جمع‌آوری می‌کند.
•    Repeatable tasks : وظایف خاصی را تحت شرایط خاصی انجام می‌دهد، برای نمونه ضبط صدا.
•    Recon module : اطلاعات دقیق سیستم را به سرور C2 ارسال می‌کند.
•    SSH infector: از اعتبارنامه‌های SSH برای نفوذ به سیستم‌های دیگر استفاده می‌کند.
•    SMBv1 infector: با استفاده از اکسپلویت سفارشی EternalBlue به سایر سیستم‌های ویندوز نفوذ می‌کند. این کار ممکن است با استفاده از آلودگی از طریق کرم‌ها باشد. 
•    Monero mining module : استخراج monero، در حالی که به عنوان فرآیند در chrome.exe استتار شده است.
حضور ماینر کریپتو Monero باعث انحراف افکاری عمومی برای ماهیت واقعی این بدافزار شده بود. در ابتدا StripedFly  به عنوان یک بدافزار استخراج ارز دیجیتال در نظر گرفته می‌شد. این تصور ناشی از این واقعیت بود که بدافزار دارای ماینر Monero بود که از پردازنده سیستم آلوده برای استخراج ارز دیجیتال استفاده می‌کرد. با این حال، تحقیقات بیشتر نشان داد که StripedFly توانایی‌های دیگری نیز دارد. در گزارش کسپرسکی اشاره شده است که پیلود بدافزار شامل مولفه ‌های مختلفی است که هر یک برای هدفی خاص طراحی شده‌اند. این مولفه‌ها به تفکیک اهدافشان عبارتند از:
•    مولفه استخراج Monero؛
•    مولفه سرقت اطلاعات؛
•    مولفه بهره‌برداری از آسیب‌پذیری‌های سیستم؛
•    مولفه اجرای حملات باج‌افزاری.
علت وجود مولفه استخراج Monero آن است که ارز دیجیتالMonero، تا اواسط سال 2018 به اوج ارزش خود رسید (542.33 دلار) ؛ این در حالی است که در سال 2017، 10 دلار بود. ارزش بالای ارز دیجیتال Monero  باعث می‌شود که استخراج این ارز برای مهاجمان جذاب باشد. لیکن وجود این مولفه برای بدافزار مزیتی دیگر داشت. کارشناسان امنیتی تاکید دارند که ماژول استخراج، عامل اصلی بود که باعث شد بدافزار، برای مدت طولانی قابل شناسایی نباشد. مهاجمان از مولفه استخراج Monero برای پنهان کردن فعالیت‌های مخرب خود استفاده می‌کردند. 
همچنین ارتباطاتی میان این بدافزار و باج افزارThunderCrypt   شناسایی شد که نشان می‌دهد ممکن است هر دو بدافزار توسط یک گروه توسعه‌دهنده ایجاد شده باشند. متاسفانه این امر بیانگر آن است که مهاجمان می‌توانند از چندین بدافزار برای رسیدن به اهداف خود استفاده کنند. 
با توجه به گستردگی بدافزار توصیه می‌شود سیستم خود را نسبت به وجود علائم آلودگی به این بدافزار بررسی نمایید. 
ارتباط با سرور فرماندهی و کنترل:

gpiekd65jgshwp2p53igifv43aug2adacdebmuuri34hduvijr5pfjad[.]onion ghtyqipha6mcwxiz[.]onion

ajiumbl2p2mjzx3l[.]onion

ارتباطات شبکه‌ای با:

bitbucket[.]org/JulieHeilman/m100-firmware-mirror/downloads/
bitbucket[.]org/upgrades/um/downloads/
bitbucket[.]org/legit-updates/flash-player/downloads
gitlab[.]com/JulieHeilman/m100-firmware-mirror/raw/master/
gitlab[.]com/saev3aeg/ugee8zee/raw/master/
github[.]com/amf9esiabnb/documents/releases/download/
tcp://pool.minexmr[.]com:4444
tcp://mine.aeon-pool[.]com:5555
tcp://5.255.86[.]125:8080
tcp://45.9.148[.]21:80
tcp://45.9.148[.]36:80
tcp://45.9.148[.]132:8080

وجود فایل‌هایی با هش‏های زیر در سیستم:

system.img

b28c6d00855be3b60e220c32bfad2535 18f5ccdd9efb9c41aa63efbe0c65d3db 2cdc600185901cf045af027289c4429c 54dd5c70f67df5dc8d750f19ececd797 d32fa257cd6fb1b0c6df80f673865581 c04868dabd6b9ce132a790fdc02acc14 c7e3df6455738fb080d741dcbb620b89 d684de2c5cfb38917c5d99c04c21769a a5d3abe7feb56f49fa33dc49fea11f85 35fadceca0bae2cdcfdaac0f188ba7e0

delta.dat

00c9fd9371791e9160a3adaade0b4aa2 41b326df0d21d0a8fad6ed01fec1389f

delta.img

506599fe3aecdfb1acc846ea52adc09f 6ace7d5115a1c63b674b736ae760423b

ota.dat

2e2ef6e074bd683b477a2a2e581386f0 04df1280798594965d6fdfeb4c257f6c

ota.img

abe845285510079229d83bb117ab8ed6 090059c1786075591dec7ddc6f9ee3eb

ThunderCrypt

120f62e78b97cd748170b2779d8c0c67 d64361802515cf32bd34f98312dfd40d

منبع خبر

https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/ 

حمله iLeakage که بر روی تمامی دستگاه‌های اخیر اپل قابل اجرا می‌باشد می‌تواند اطلاعات حساس را از مرورگر وب سافاری استخراج کرده و منجر به افشای آن‌ها شود. محققان دانشگاهی از روش جدیدی که از API جاوا اسکریپت  window.open استفاده می‌کند و به صفحه مهاجم اجازه می‌دهد تا فضای آدرسی مشابه صفحات قربانی دلخواه را به اشتراک بگذارد، استفاده کرده‌اند. کد اثبات مفهوم برای این حمله در جاوا اسکریپت و WebAssembly ارائه شده است. همچنین ویدئویی منتشر شده است که در آن نشان داده می‌شود که چگونه پیام‌های جیمیل در مرورگر سافاری یک دستگاه آی‌پد با استفاده از حمله iLeakage بازیابی شدند. شرط اساسی برای انجام حمله این است که کاربر قربانی با صفحه مهاجم تعامل داشته باشد. محققان از همین روش جهت بازیابی رمز عبور یک حساب کاربری آزمایشی اینستاگرام استفاده کردند که به طور خودکار در مرورگر وب سافاری با استفاده از سرویس مدیریت رمز عبور LastPass درج شده بود. جزئیات بیشتر در خصوص این حمله و روش‌هایی که جهت دور زدن اقدامات کاهش‌دهنده اپل از آن استفاده می‌شود، در مقاله به نشانی زیر موجود است:

https://ileakage.com/files/ileakage.pdf

محصولات تحت تأثیر
حمله iLeakage همه دستگاه‌های اپل را که از سال 2020 عرضه شده‌اند و از پردازنده‌های ARM سری A و سری M اپل پشتیبانی می‌کنند، تحت تاثیر قرار می‌دهد. به عبارت دیگر، تمام انواع دستگاه‌های iPhone و Mac تولیدی شرکت اپل از سال 2020 تحت تاثیر این حمله قرار گرفته‌اند. از این حمله می‌توان جهت بازیابی اطلاعات با دقت تقریباً زیاد از سافاری، فایرفاکس، Tor و Edge در iOS استفاده کرد. این حمله تا حد زیادی غیرقابل شناسایی است و هیچ ردی از خود بر روی سیستم قربانی به شکل log‌ها، باقی نمی‌گذارد (احتمالاً به غیر از ورود یک صفحه وب مهاجم به حافظه پنهان مرورگر). با این وجود، محققان تاکید می‌کنند که انجام این حمله دشوار است و به دانش پیشرفته‌ای نیاز دارد.

توصیه‌های امنیتی
این حملات می‌توانند جهت نشت داده‌های حساس از پردازنده‌های مدرن مورد استفاده قرار گیرند. به عنوان نمونه دیگری از چنین حملات، می‌توان به کشف حمله RowPress که در واقع نوعی از حمله RowHammer به تراشه‌های DRAM است، اشاره نمود.
حمله iLeakage در 12 سپتامبر 2022 به طور خصوصی به اپل گزارش شد و این شرکت اقدامات کاهشی زیر را برای macOS ارائه داده است:
1)    ترمینال را باز کنید و defaults write com.apple.Safari IncludeInternalDebugMenu 1 را اجرا کنید تا منوی Debug پنهان سافاری فعال شود.
2)    سافاری را باز کنید و به منوی Debug که به تازگی قابل مشاهده است بروید.
3)    گزینه WebKit Internal Features را انتخاب کنید.
4)    لیست را پیمایش کرده و گزینه Swap Processes on Cross-Site Window Open را فعال کنید.

منوی تنظیمات اشکال‌زدایی سافاری (ileakage.com)

باید توجه داشت که اعمال این تغییرات ممکن است باعث ایجاد برخی بی ثباتی‌ها در دستگاه کاربران شود. اگر کاربران بخواهند آن را غیرفعال کنند، می‌توانند از منوی Debug با اجرای دستور com.apple.Safari IncludeInternalDebugMenu 0 در ترمینال، این کار را انجام دهند. 

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/new-ileakage-attack-steals-emails-passwords-from-app…
[2] https://thehackernews.com/2023/10/ileakage-new-safari-exploit-impacts.html
[3]https://www.helpnetsecurity.com/2023/10/27/ileakage-attack-mac-address-leakage/#:~:text=iLeakage%20….

ابزار Mirth Connect یک پلتفرم یکپارچه‌سازی داده‌های Open source و محصول شرکت NextGen HealthCare می‌باشد. این ابزار در صنعت مراقبت‌های بهداشتی جهت برقراری ارتباط و تبادل داده‌ها بین سیستم‌های مختلف، به شیوه‌ای استاندارد استفاده می‌شود. این آسیب‌پذیری با شناسه CVE-2023-43208   منجر به اجرای کد از راه دور توسط مهاجم احراز هویت نشده خواهد شد.
ناوین سانکاوالی از Horizon3.ai در گزارشی اعلام کرد که آسیب‌پذیری اخیر یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت است و به راحتی قابل بهره‌برداری می‌باشد. مهاجمان به احتمال زیاد می‌توانند از این آسیب‌پذیری برای ایجاد دسترسی اولیه یا به خطر انداختن داده‌های حساس مراقبت‌های بهداشتی بهره‌برداری کنند. 
نسخه‌های Mirth Connect تحت تاثیر این آسیب‌پذیری، مربوط به سال‌های 2015-2016 هستند و به همین دلیل جزئیات فنی بیشتری درباره این نقص منتشر نشده است. با این وجود اینطور به نظر می‌رسد که آسیب‌پذیری با شناسه CVE-2023-43208 در واقع تلاشی جهت دور زدن وصله‌های منتشر شده برای آسیب‌پذیری با شناسه CVE-2023-37679 (امتیاز CVSS: 9.8)، می‌باشد. آسیب‌پذیری با شناسه CVE-2023-37679 یک آسیب‌پذیری بحرانی اجرای فرمان از راه دور ( RCE) در نرم افزار است که به مهاجمان اجازه می‌دهد تا دستورات دلخواه را بر روی سرور میزبان اجرا کنند. در حالی که تیم‌های نگهداری و پشتیبانی Mirth Connect اعلام کرده‌ بودند که CVE-2023-37679 فقط بر سرورهای با نسخه 8 جاوا تأثیر می‌گذارد، تجزیه و تحلیل Horizon3.ai نشان داد که همه نمونه‌های Mirth Connect، صرف نظر از نسخه جاوا، مستعد این نقص امنیتی می‌باشند.

محصولات تحت تأثیر
براساس تحقیقات صورت گرفته، نسخه‌های Mirth Connect مربوط به سال‌های 2015-2016 در معرض این آسیب‌پذیری قرار دارند. هر چند متاسفانه در وب‌سایت شرکت NextGen HealthCare، هیچ هشدار خاصی در خصوص لزوم توجه به این آسیب‌پذیری دیده نشده است. تنها مطلب موجود در وب‌سایت این شرکت، به بهبود امنیت نسخه 4.4.1 اشاره دارد:
» Mirth Connect از کتابخانه XStream استفاده می‌کند که دارای یک خطر امنیتی بالقوه است و اجازه می‌دهد انواع اشیاء مختلف از طریق آن پردازش شوند. بنابراین در نسخه جدید و با استفاده از یک لیست اشیاء مجاز، به جای فهرستی از موارد غیرقابل قبول، شرایط پذیرش را محدودتر نموده‌ایم. انواع مجاز آن‌هایی هستند که برای عملکرد Mirth Connect کاملاً ضروری هستند.»
همچنین براساس اخبار منتشر شده در وب سایت این شرکت، در نسخه جدید، به دلیل آسیب‌پذیری‌های عنوان شده در OpenSSL 3.0.2 از OpenSSl 3.1.3 استفاده شده است.

توصیه‌های امنیتی
با توجه به سهولت بهره‌برداری از این آسیب‌پذیری، توصیه می‌شود که در اسرع وقت ابزار Mirth Connect، به‌ویژه در مواردی که از طریق اینترنت در دسترس عموم هستند، به نسخه 4.4.1 که در 6 اکتبر 2023 منتشر شده است به‌روزرسانی شود تا تهدیدات احتمالی در این زمینه کاهش یابد. 

منابع خبر:

[1] https://thehackernews.com/2023/10/critical-flaw-in-nextgens-mirth-connect.html
[2] https://www.nextgen.com//solutions/interoperability/mirth-integration-engine/mirth-connect-downloads
[3] https://github.com/nextgenhealthcare/connect/wiki/4.4.1---What's-New

براساس گزارشات ارائه شده توسط کسپرسکی، یک بدافزار درب پشتی جدید مبتنی بر GO کشف شده است که سازمان های دولتی و صنعتی را مورد حمله قرار داده و داده های مهم و حساس این سازمان ها را به سرقت می برد. همچنین بدلیل ماندگاری آن در سیستم می تواند در عملیات های جاسوسی نیز کاربر داشته باشد. 
شرکت کسپرسکی برای اولین بار این کمپین را در ژوئن 2023 شناسایی کرده است درحالیکه در اواسط آگوست، نسخه جدیدتری از این درب پشتی شناسایی شده که نشان دهنده بهینه سازی مداوم حملات است.
نقطه شروع این حمله، یک ایمیل حاوی فایل آرشیو (Nullsoft) مخرب ARJ با نام finalsonvy_kontrol_2023_180529.rar است. این فایل حاوی یک سند Pdf مخرب است که برای فریب کاربر استفاده می شود و یک اسکریپت NSIS دارد که پیلود اولیه را از آدرس fas-gov-ru[.]com واکشی کرده و راه‌اندازی می‌کند. بارگذاری این پیلود بدافزاری نیز در مسیر C:/Program Data/Microsoft/DeviceSync با نام UsrRunVGA.exe صورت می گیرد.

کسپرسکی در این باره گفته است که این حمله فیشینگ دو درب پشتی دیگر با نام های Netrunner و Dmcserv را توزیع می کند که بدافزارهایی با پیکربندی های مختلف سرور C2 هستند. این اسکریپت فایل های اجرایی مخرب را در یک مسیر مخفی کپی و راه اندازی می کند و برای حفظ حالت ماندگاری در سیستم، خود را به Start Menu سیستم اضافه می کند.
در کل عملکرد درب‌پشتی شامل موارد زیر است:
•    لیست‌کردن فایل‌ها و پوشه‌ها در یک مسیر مشخص
•    انتقال فایل‌ها به سیستم به سرور C2
•    دریافت محتوای Clipboard و ارسال آن به سرور C2
•    گرفتن اسکرین‌شات از سیستم و ارسال آن به سرور C2
•    جستجوی دیسک برای فایل‌هایی با پسوندهای مشخص مانند .doc، .ppt، .xls، .pdf، .pem و غیره

در اواسط ماه آگوست، کسپرسکی نوع جدید از این درب پشتی را شناسایی کرد که تغییرات جزئی مانند حذف برخی از بررسی های اولیه و افزودن قابلیت های جدید سرقت فایل را به همراه داشت. مهمتر از همه در نسخه جدید ماژولی اضافه شده است که رمزعبورهای ذخیره شده کاربر را در 27 مدل مرورگر و ایمیل-سرورهای مختلف مورد هدف قرار می دهد. کلید رمزگذاری AES نیز در نسخه جدید بروز شده و الگوریتم رمزنگاری نامتقارن RSA برای محافظت از ارتباط قرمان و کلاینت C2 اضافه شده است.
با توجه به نقطه شروع حمله و کارکرد بدافزار توصیه می شود که کاربران از باز کردن ایمیل های مشکوک خودداری کرده و از یک آنتی ویروس معتبر با پایگاه امضاء به روز شده در سیستم های نقاط پایانی استفاده کنند.
منبع

https://www.bleepingcomputer.com/news/security/hackers-backdoor-russian-state-industrial-orgs-for-d… 

به کمک VMware می‌توان شبکه‌های مجازی پیچیده‌ای را راه‌اندازی نمود و انواع نرم‌افزارها را در بسیاری از محیط‌ها به طور همزمان اجرا کرد و تمامی این موارد را می‌توان تنها روی یک سیستم انجام داد. با استفاده از VMware می‌توان بدون نیاز به انجام عملیات پارتیشن بندی دوباره هارد، سیستم‌عامل جدیدی را نصب کرد و نیز بدون نیاز به بوت کردن مجدد سیستم، بین سیستم‌عامل‌های نصب شده جا به جا شد.
شرکت VMware‌ به‌روزرسانی‌ امنیتی را جهت رفع یک آسیب‌پذیری بحرانی که می‌تواند منجر به اجرای کد از راه دور در سرور‌های vCenter‌ شود، منتشر کرده است. همچنین برای آسیب‌پذیری دیگری با عنوان افشای جزئی اطلاعات نیز وصله‌ای ارائه کرده است.
سرور vCenter‌، محصولی است که به شما توانایی پیکربندی، پیاده‌سازی و مدیریت ماشین مجازی را از یک مکان خاص می‌دهد. از vCenter جهت مدیریت چندین هاست ESXi استفاده می‌شود. سرور vCenter خود یک ماشین مجازی است که به هنگام نصب vSphere پیاده‌سازی می‌شود.
هر محیط مجازی به حداقل یک سرور vCenter نیاز دارد. هنگامی‌که vCenter نصب شد، از طریق یک GUI قابل ‌دسترسی بوده و بدین ترتیب می‌توان تمام بخش‌های مجازی شده را مدیریت کرد. از vCenter برای مدیریت ماشین‌های مجازی، مدیریت دامنه و همچنین مدیریت زیرساخت استفاده می‌شود.

vCenter قطب مرکزی مدیریت vSphere suit در VMware‌ است و به ادمین‌ها در اداره و رصد زیرساخت‌هایی که مجازی‌سازی شده‌اند کمک می‌کند.
vSphere suit قالبی از نرم‌افزارهای مجازی‌سازی است، که شامل ESXi، vCenter server و دیگر اجزائی است که اعمال مختلفی را در محیط vSphere‌ پوشش می‌دهند.
در ماه ژوئن، VMware‌ نقص‌های بحرانی در vCenter server را وصله کرده ‌بود که خطر اجرای کد و دورزدن فرآیند احراز هویت را کاهش می‌داد. همچنین پس از بهره‌برداری از آسیب‌پذیری Zero-Day در سیستم‌عامل ESXi از vSphere suit، پس از هشدار به کاربران، وصله‌ای برای آن منتشر کرد.

آسیب‌پذیری اجرای کد از راه دور، که شناسه CVE-2023-34048 و شدت 9.8  به آن اختصاص داده شده است، برآمده از یک نقص نوشتن خارج از دامنه (out-of-bounds write) در پیاده‌سازی پروتکل DCE/RPC در vCenter است. در آسیب‌پذیری out-of-bounds write، داده‌ها قبل از شروع یا بعد از پایان بافر مورد نظر نوشته می‌شوند.
مهاجمان می‌توانند با حملاتی با پیچیدگی پایین که به تعامل با کاربر هم نیازی ندارد از این آسیب‌پذیری از راه دور بهره‌برداری کنند؛ البته شرکت اذعان کرده که هیچ سرنخی مبنی بر اینکه در حال حاضر از این نقص امنیتی در حملات استفاده می‌شود در دسترس نیست.
دیگر آسیب‌پذیری که با شناسه CVE-2023-3456 و شدت 4.3 ردیابی می‌شود می‌تواند توسط کاربرانی بدون دسترسی‌های ادمین برای دستیابی به اطلاعات حساس مورد بهره‌برداری قرار گیرد.
 

محصولات تحت تأثیر
به طور کلی VMware vCenter server و VMware cloud functions از آسیب‌پذیری‌هایی که شرح آن‌ها بیان شد، تاثیر می‌پذیرند.
پورت‌های شاخص که به بهره‌برداری‌های احتمالی از این آسیب‌پذیری مربوط می‌شوند عبارتند از:

 2012/tcp _

 2014/tcp _

 2020/tcp _

توصیه‌های امنیتی
شرکت VMware اعلام کرده‌ است:« از آنجا که آسیب‌پذیری CVE-2023-34048، بحرانی به حساب می‌آید، وصله‌ای به صورت عمومی حتی برای محصولاتی که منقضی شده‌اند و دیگر به صورت فعال پشتیبانی نمی‌شوند نیز ارائه شده ‌است. از جمله این موارد می‌توان به سرور vCenter نسخه‌های 6.7U3، 6.5U3 و VCF 3.x اشاره کرد.
همچنین وصله‌هایی برای سرورهای 8.0U1 و وصله‌هایی برای سرورهای Async vCenter: VCF5.x, 4.x منتشر شده‌اند.»
با توجه به اینکه هنوز راه‌حلی جهت رفع آسیب‌پذیری‌های فوق در دسترس نیست، VMware  از تمام ادمین‌ها می‌خواهد تا دسترسی محلی شبکه به اجزای مدیریتی و زیرساختی vSphere از جمله اجزای شبکه و حافظه را به شدت تحت نظارت و کنترل بگیرند.
 

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-code-execution-flaw-in-vcenter…
[2]https://www.vmware.com/security/advisories/VMSA-2023-0023.html

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-5717 و شدت 7.8 در Linux Kernel شامل مؤلفه Linux Kernel Performance Events (perf) شناسایی شده است که امکان نوشتن خارج از محدوده جهت بالابردن سطح دسترسی مهاجم در سیستم را فراهم می‌آورد. اگر ()perf_read_group فراخوانی شود در حالی که sibling_list یک رویداد کوچکتر از sibling_list فرزند آن باشد، می‌تواند خارج از بافر اختصاص داده شده درج شود.

محصولات تحت تأثیر
این آسیب‌پذیری مولفه Linux Kernel Performance Events (perf) در Linux Kernel را تحت تأثیر خود قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء  Linux Kernel خود اقدام نمایند:

• 32671e3799ca2e4590773fd0e63aaa4229e50c06 

منبع خبر:

[1]https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/kernel/events?id=32671e37…