یک آسیب‌پذیری امنیتی با شناسه CVE-2023-29973 در Pfsense شناسایی شده است که به‌دلیل عدم بررسی محدویت‌های استخراج داده در یک سرور وب‌سایت، امکان ایجاد چندین کاربر مخرب در فایروال را برای مهاجم فراهم می‌آورد. کنترل مهاجم بر روی فایروال از راه دور از طریق ssh با نام کاربری مخرب و رمز عبور، یک مسئله‌ای حائز اهمیت برای هر سازمان می‌باشد.

محصولات تحت تأثیر
این آسیب‌پذیری Pfsense CE نسخه 2.6.0 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
از آنجا که نقص امنیتی مذکور، پروتکل‌ها و سیاست‌های رمز عبور را مورد هدف قرار می‌دهد، توصیه به رعایت نکات زیر لازم می‌باشد:
•    اعمال محدویت رعایت حداقل و حداکثر طول کاراکترهای رمزعبور
•    عدم استفاده مجدد از یک رمز عبور تکراری
•    عدم استفاده از رمزهای عبور رایج و قابل حدس
•    عدم استفاده از یک رشته متنی مشخص در رمز عبور (مانند شناسه کاربری و ...)
•    استفاده از رمزهای عبور پیچیده که به مجموعه کاراکترهای ترکیبی نیاز دارند (ترکیب حروف، اعداد و علائم)
افزایش تعداد کاراکترهای رمزعبور حدس زدن و به سرقت بردن آن را سخت‌تر می‌کند و ممکن است برای سیستم‌هایی که بر احراز هویت تک عاملی تکیه دارند مناسب باشد؛ اما متأسفانه، به خاطر سپردن رمز عبور پیچیده ممکن است دشوار باشد و کاربر را تشویق به انتخاب رمز عبور کوتاه یا مدیریت اشتباه رمز عبور کند.
از دیگر معایب این روش آن است که به دلیل استفاده قابل حدس از نمادهای مختلف توسط کاربران، غالبا پیچیدگی کلی رمز عبور افزایش نخواهد یافت و انتخاب یک عبارت عبور خوب آسان نیست و حتی می‌توان رمزهای عبور ضعیف ایجاد کرد. ممکن است برای تشویق گذرواژه‌های طولانی و غیرقابل پیش‌بینی، به برخی درخواست‌ها نیاز باشد.
•    انتخاب رمزعبور تصادفی
•    اعمال منقضی شدن رمز عبور پس از یک بازه زمانی مشخص
در زمانی که استفاده از رمزهای عبور پیچیده و طولانی مورد نظر نیست، تغییر دوره‌ای آن می‌تواند روشی کارآمد باشد.
در کلیه موارد فوق‌الذکر، رعایت سایر نکات امنیتی از جمله خودداری از ذخیره رمزعبور، عدم استفاده از کلمات مشخص، نمادها و یا استفاده از رمزهای عبور رایج  و غیره باید رعایت شود.

منبع خبر:

[1] https://www.esecforte.com/cve-2023-29973-no-rate-limit

محققان امنیتی در خصوص کمپین جدید به‌روزرسانی مرورگر کروم جعلی هشدار دادند که از بدافزار جدیدی به نام FakeUpdateRU برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده می-کند. این کمپین پس از اینکه بدافزار قبلاً وب‌سایت‌های متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
به گفته محققان Sucuri، این بدافزار هم بر سایت‌های وردپرس و هم بر پلتفرم‌های CMS تأثیر می‌گذارد. به این صورت که: 
•    بدافزار فایل اصلی index.php را بازنویسی می‌کند تا محتوای وب‌سایت را با یک پوشش مخرب جایگزین کند.
•    در برخی موارد، بدافزار در فایل‌های index.html تحت پوشه wp-content تزریق شده است.
•    برخی از این وب‌سایت‌های آلوده حاوی کد جاوا اسکریپت بودند که برای ارتباط با کانال تلگرام استفاده می‌شود.
•    مهاجمان از تلگرام جهت مدیریت اعلان‌ها، استفاده خواهند کرد.
اخیراً، محققان Sekioa کمپین مشابهی را مشاهده کردند که از بدافزار جدید ClearFake استفاده کرده است. راهکارها و روش‌های مورد استفاده در کمپین مشابه کمپین‌های SocGholish و FakeSG بود که عمدتاً حول محور استفاده از روش‌های مهندسی اجتماعی و فریب کاربران برای نصب به‌روزرسانی‌های جعلی مرورگر وب بود.

محصولات تحت تاثیر
بررسی‌ها نشان می‌دهد که حمله اخیر مبتنی بر فریب کاربران جهت دانلود نسخه‌های جعلی و آلوده مرورگر کروم شرکت گوگل بوده است. اما با توجه به سوابق پیشین آن، امکان آلوده بودن ابزارهای مشابه نیز وجود دارد.

توصیه‌های امنیتی
ظهور یک بدافزار جدید جعلی به‌روزرسانی Google Chrome یادآور این است که ارتقاء مرورگر/ها با استفاده از رویه‌های استاندارد از اهمیت بالایی برخوردار است. به کاربران توصیه می شود که به طور مرتب بر افزونه‌ها و تم‌های مورد استفاده در سایت‌های خود نظارت کنند. پشتیبان‌گیری منظم از وب‌سایت‌ها و پیاده‌سازی صحیح پیکربندی‌های فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.

منبع خبر:

[1] https://cyware.com/news/fakeupdateru-new-malware-camouflaged-as-fake-chrome-update-ae537160

یک گروه هکری به نام Winter Vivern از یک نقص روز صفر در نرم‌افزار وب میل Roundcube برای جمع‌آوری پیام‌‌‌های ایمیل از حساب‌‌‌های قربانیان استفاده می‌کند.
محققان امنیتی ESET در گزارشی عنوان کردند که این گروه عملیات خود را با استفاده از آسیب‌پذیری روز صفر در Roundcube افزایش داده است و قبلاً هم از آسیب‌پذیری‌های شناخته‌شده در Roundcube و Zimbra استفاده کرده که اثبات‌های مفهومی برای آن‌ها به صورت آنلاین در دسترس هستند. Winter Vivern در گذشته نیز با بهره‌برداری از نقص دیگری در Roundcube (CVE-2020-35730)، این نرم‌افزار open-source را هدف قرار داده است.

آسیب‌پذیری امنیتی جدید با شناسه CVE-2023-5631 و شدت 5.4، یک نقص XSS ذخیره شده است که می‌‌‌تواند به مهاجم اجازه دهد تا راه دور کد جاوا اسکریپت دلخواه را بارگیری کند.
اجرای حمله با یک پیام فیشینگ آغاز می‌شود که شامل یک payload رمزگذاری شده با Base64 در کد منبع HTML است که با استفاده از نقص XSS، از طریق یک سرور راه دور به یک تزریق جاوا اسکریپت رمزگشایی می‌شود. به طور خلاصه، با ارسال یک پیام ایمیل جعلی خاص، مهاجمان می‌توانند کد جاوا اسکریپت دلخواه را در چارچوب پنجره مرورگر کاربر Roundcube بارگیری کنند. هیچ عملیات دستی دیگری به جز مشاهده پیام در مرورگر وب مورد نیاز نیست!
جاوا اسکریپت مرحله دوم (checkupdate.js) یک loader است که اجرای یک payload نهایی جاوا اسکریپت را تسهیل می‌‌‌کند و به مهاجم اجازه می‌‌‌دهد پیام‌‌‌های ایمیل را به یک سرور فرمان و کنترل (C2) منتقل کند.

شکل 1) نمونه کد جاوا اسکریپت تولید شده

محصولات تحت تأثیر
نسخه‌های 1.4.15، 1.5 تا قبل از 1.5.5 و 1.6 تا قبل از 1.6.4 نرم‌افزار Roundcube تحت تاثیر این آسیب‌پذیری قرار دارند.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود تمام نسخه‌های 1.4، 1.5 و  1.6 این نرم‌افزار را به نسخه‌های جدید به‌روزرسانی کنند.
 

منابع خبر:

[1] https://thehackernews.com/2023/10/nation-state-hackers-exploiting-zero.html
[2] https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
[3] https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15

چند نقص امنیتی مهم در اجرایOpen Authorization  (OAuth) سرویس‌های آنلاین محبوب مانند Grammarly، Vidio و Bukalapak، کشف شده است که به مهاجم اجازه خواهد داد به توکن‌های دسترسی، دست یابند و اطلاعات حساب‌های کاربری را به سرقت برد. این نقص‌ها در بازه زمانی فوریه و آوریل 2023 برطرف شده است.
OAuth یک الگوی احراز هویت پیچیده اما امن می‌باشد. این استاندارد معمولاً به عنوان مکانیزمی جهت دسترسی بین برنامه‌ها استفاده می‌شود و به وب‌سایت‌ها یا برنامه‌ها اجازه می‌دهد بدون داشتن رمز عبور، به اطلاعات کاربران در سایر وب‌سایت‌ها مانند فیس‌بوک دسترسی داشته باشند. زمانی که OAuth برای ارائه احراز هویت سرویس استفاده می‌شود، هرگونه نقض امنیتی در آن می‌تواند منجر به سرقت هویت، کلاهبرداری مالی و دسترسی به اطلاعات شخصی مختلف از جمله شماره کارت اعتباری، پیام‌های خصوصی، سوابق سلامت و موارد دیگر، بشود. 
 

شکل 1) مکانیزم احراز هویت به کمک توکن OAuth

شکل 2) پیاده‌سازی اشتباه و ناقص مکانیزم تایید توکن OAuth و امکان بهره‌برداری از آن

نقص امنیتی شناسایی‌شده در Vidio ناشی از عدم تأیید توکن است، به این معنی که مهاجم می‌تواند از یک توکن دسترسی تولید شده در برنامه دیگر استفاده کند. در یک سناریوی حمله احتمالی، مهاجم می‌تواند یک وب‌سایت مخرب را ایجاد کند که یک گزینه ورود به سیستم را از طریق فیس‌بوک و به منظور جمع‌آوری توکن‌های دسترسی و متعاقباً استفاده از آن‌ها علیه Vidio.com (که دارای شناسه برنامه 92356 است) ارائه می‌دهد، در نتیجه امکان تصاحب کامل حساب نیز فراهم می‌آید.
شرکت امنیتی API اعلام کرده که مشکل مشابهی را در تأیید توکن Bukalapak.com از طریق ورود به فیسبوک کشف کرده است که می‌تواند منجر به دسترسی غیرمجاز به حساب کاربران شود.
در Grammarly، مشخص شد که وقتی کاربران سعی می‌کنند با استفاده از گزینه "Sign in with Facebook" به حساب‌ کاربری خود وارد شوند، یک درخواست HTTP POST به auth.grammarly.com ارسال می‌شود تا با استفاده از یک کد مخفی احراز هویت آن‌ها را تأیید کند. هرچند Grammarly مانند Vidio و Bukalapak مستعد حمله استفاده مجدد توکن نیست، با این وجود در برابر نوع دیگری از حملات، آسیب‌پذیر است که در آن درخواست POST را می‌توان تغییر داد تا کد مخفی را با یک توکن دسترسی به دست آمده از وب سایت مخرب فوق الذکر جهت دسترسی به حساب کاربری جایگزین کند. 

محصولات تحت تأثیر
کلیه وب‌سایت‌ها و محصولاتی که از مکانیزم ورود OAuth استفاده می‌کنند، در صورت عدم پیاد‌ه‌سازی و یا پیاده‌سازی اشتباه مکانیزم تایید توکن، در معرض مخاطرات و جعل احراز هویت و سرقت اطلاعات کاربران هستند. مکانیزم OAuth مورد استفاده بسیاری از شرکت‌های بزرگ حوزه IT/ICT، نظیر مایکروسافت، می-باشد و وب‌سایت‌های زیادی در حال حاضر از این سرویس جهت احراز هویت کاربران خود استفاده می‌کنند.
همچنین باتوجه به محبوبیت و کاربرد زیاد ابزار Grammarly در ایران (به صورت افزونه به MS Word اضافه می‌شود و برای کنترل اشتباهات نگارشی در متون انگلیسی بکار گرفته می‌شود)، لازم است تا کاربران توصیه‌های امنیتی را جدی بگیرند.

توصیه‌های امنیتی
لازم است تا کدهای احراز هویت کلیه وب‌سایت‌ها و ابزارهای سخت‌افزاری و نرم‌افزاری کاربر OAuth از منظر مکانیزم تایید توکن مورد بازبینی جدی امنیتی قرار بگیرد و در صورت نیاز دستورالعمل‌های امنیتی لازم جهت جلوگیری از وقوع رخدادهای مشابه، در دستور کار قرار گیرند.

منابع خبر:

[1] https://thehackernews.com/2023/10/critical-oauth-flaws-uncovered-in.html
[2] https://learn.microsoft.com/en-us/connectors/custom-connectors/troubleshoot
 

تیم هکری DoNot از یک backdoor جدید مبتنی بر دات‌نت به نام Firebird، در حملات خود استفاده کرده است. تیمDoNot  که با نام‌های APT-C-35، Origami Elephant و SECTOR02 نیز شناخته می‌شود، احتمالاً دارای منشأ هندی است و حملاتش را از مسیر ایمیل‌های فیشینگ و برنامه‌های اندرویدی، جهت انتشار بدافزارها ترتیب می‌دهد. به نظر می‌رسد که این حمله به نوعی پاسخی به حمله ماه قبل تیم‌های هکری پاکستانی با نرم‌افزارهای آلوده شده به تروجان ویندوزی ElizaRAT می‌باشد. با این وجود تیم هکری DoNot سابقه حمله به یک شرکت مخابراتی در نروژ، فعالیت در جنوب آسیا و منطقه کشمیر و حمله به دولت‌ها، وزارت‌های امور خارجه، سازمان‌های نظامی و سفارت‌خانه‌ها را در کارنامه خود دارد.
شرکت امنیت سایبری کسپرسکی که یافته‌هایش را در گزارش روندهای APT خود در سه ماهه سوم 2023 منتشر کرده است، اعلام کرده که زنجیره‌های حمله جهت ارائه یک نرم‌افزار دانلودکننده به نام CSVtyrei پیکربندی شده‌اند که به دلیل شباهت، نام Vtyrei بر آن گذاشته شده است. این شرکت روسی گفت: «وجود کدهای غیرکاربردی در نمونه‌های مورد بررسی حاکی از تلاش‌های توسعه مداوم در این ابزار می‌باشد.» ابزار Vtyrei (با نام مستعار BREEZESUGAR) به یک دنباله و نرم‌افزار اشاره دارد که قبلاً جهت ارائه یک چارچوب بدافزار معروف به RTY مورد استفاده قرار گرفته است. متخصصان امنیتی در بررسی این حملات توسط ابزار ConfuserEx، یک backdoor جدید مبتنی بر دات نت به نام Firebird را کشف نموده‌اند. این backdoor از یک لودر اصلی و حداقل سه پلاگین تشکیل شده است. گفتنی است تمام نمونه‌های آنالیز شده از طریق ConfuserEx، سطح محافظت شده قوی را نشان دادند که منجر به نرخ تشخیص بسیار پایین این backdoor می‌شود. 
این افشاگری به دنبال کشف فعالیت مخرب جدیدی توسط Zscaler ThreatLabz صورت گرفته که توسط تیم هکری پاکستانی Transparent Tribe (معروف به APT36)  انجام شده است. این گروه بخش‌های دولتی هند را با استفاده از مجموعه‌ای از بدافزارهای به‌روز شده، شامل تروجان ویندوزی ElizaRAT که قبلاً مستند نشده است، هدف قرار داده‌اند. سودیپ سینگ، یک محقق امنیتی هندی، ماه گذشته خاطرنشان کرد: «ElizaRAT به‌عنوان یک کد باینری .Net ارائه می‌شود و یک کانال ارتباطی C2 را از طریق تلگرام ایجاد می‌کند که به مهاجم امکان کنترل کامل سیستم قربانی را خواد داد».

محصولات تحت تأثیر
اگرچه در حال حاضر تمرکز حملات انجام شده بر بهره‌بردرای و حمله به ساختارهای ویندوزی بنا نهاده شده است، اما نشانه‌ها حاکی از آن است که گروه هکری DotNet، نیم نگاهی به حمله به سیستم‌های لینوکسی نیز دارد. به عنوان نمونه شرکت Zscaler اعلام کرده‌است که مجموعه کوچکی از فایل‌های ورودی دسکتاپ را شناسایی کرده است که راه را برای اجرای کدهای باینری‌ ELF مبتنی بر پایتون، از جمله GLOBSHELL برای استخراج فایل و PYSHELLFOX برای سرقت داده‌های نشست‌ها از مرورگر فایرفاکس را هموار می‌کند.

توصیه‌های امنیتی
اگرچه حملات اخیر به نوعی نشأت گرفته از روابط سیاسی متشنج دو کشور پاکستان و هند می‌باشد، اما به دلیل وفور کاربرد .Net و ویندوز در کشور و همچنین سرمایه‌گذاری هندی‌ها در بندر چابهار، امکان نفوذ و هدف قرار دادن آن در ایران نیز دور از انتظار نیست. اسکن دقیق نرم‌افزارها و ایمیل‌های با منشاء هند و پاکستان، به‌ویژه نرم‌افزارهای ویندوزی، و به‌روز نگاه داشتن سیاست‌های امنیتی شبکه، مهم‌ترین توصیه‌های امنیتی در کشف و مقابله با حملات اخیر می‌باشد.

منابع خبر:

[1] https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html
[2] https://www.scmagazine.com/brief/afghanistan-pakistan-subjected-to-donot-team-attacks-with-new-back…
[3] https://www.enigmasoftware.com/firebirdbackdoor-removal/

یک ابزار سرقت اطلاعات جدید به نام ExelaStealer در سال 2023 کشف شده و به جمع بدافزارهای معروف دیگری مانند RedLine، Raccoon و Vidar پیوست.
شرکت FortiGuard Labs، یک شرکت تحقیقاتی پیشرو در زمینه امنیت سایبری، برای نخستین بار در ماه آگوست خبر از کشف یک بدافزار جدید به نام ExelaStealer داد، اما اکنون این شرکت یافته‌‌‌‌‌های بیشتری را در مورد این تهدید جدید فاش کرده است. 
ابزار ExelaStealer یک بدافزار منبع باز است که می‌‌‌‌‌تواند با پرداخت هزینه، شخصی‌‌‌‌‌سازی شود. این ابزار به زبان پایتون نوشته شده است، اما در صورت نیاز می‌‌‌‌‌تواند از زبان‌‌‌‌‌های دیگری مانند جاوا اسکریپت نیز استفاده کند. بدافزار ExelaStealer به دلیل استراتژی تبلیغاتی خود در دارک‌وب مورد توجه قرار گرفته است. توسعه‌دهندگان هر دو نسخه رایگان و پولی را با قیمت‌‌‌‌‌های متفاوت، بسته به ویژگی‌‌‌‌‌های آن، ارائه داده‌‌‌‌‌اند. این تبلیغات توسط شخصی به نام quicaxd ارسال می‌‌‌‌‌شود که به نظر می‌‌‌‌‌رسد توسعه‌‌‌‌‌دهنده و فروشنده اصلی ExelaStealer باشد.
 

شکل 1) تبلیغاتی که جزئیات قابلیت‌های اصلی بدافزار و برخی از گزینه‌های ساخت را نشان می‌دهد.

شکل 2) تبلیغ بدافزار ExelaStealer توسط quicaxd

همانطور که در شکل 2 نشان داده شده است، هزینه ماهانه استفاده از این ابزار 20 دلار، هزینه 3 ماه استفاده 45 دلار و هزینه استفاده مادام العمر آن 120 دلار آمریکا می‌‌‌‌‌‌باشد. کانال تلگرامی این بدافزار حداقل تا ماه آگوست فعال بوده است، هر چند ظاهراً این کانال در حال حاضر دیگر در دسترس نیست. این کانال امکان خرید نسخه‌‌‌‌‌‌های پولی را فراهم می‌‌‌‌‌‌آورد؛ همچنین یک لینک GitHub  نیز برای دسترسی به نسخه متن باز این ابزار در این کانال قرار گرفته است.

شکل 3) کانال تلگرامی تبلیغات بدافزار ExelaStealer توسط quicaxd

برای ساخت ExelaStealer، باید به کد منبع و یک میزبان مبتنی بر ویندوز دسترسی داشت. فایل اصلی Exela.py است که توسط فایل obf.py رمزنگاری شده است تا تجزیه و تحلیل آن دشوارتر شود.
 

شکل 4) کد منبع Exela.py

پس از دانلود کد منبع باز این بدافزار، فرایند ساخت آن با استفاده از یک فایل دسته‌‌‌‌‌‌‌ای به زبان پایتون به نام builder.py آغاز می‌‌‌‌‌‌‌شود.
 

شکل 5) فایل‌‌‌‌‌‌‌‌های ساخت ExelaStealer

فایل سازنده از یک فایل به نام obf.py در ایجاد ارتباطات ضروری، جهت رمزنگاری در کد بدافزار به کمک فایل Obfuscated.py و سخت‌‌‌‌‌‌‌‌‌تر کردن روند آنالیز آن استفاده می‌‌‌‌‌‌‌‌‌کند. 
 

شکل 6) obf.py فرایند اصلی رمزنگاری کد را مدیریت می‌‌‌‌‌‌‌‌‌کند

روش آلوده‌‌‌‌‌‌‌‌‌سازی استفاده شده توسط ExelaStealer مشخص نیست، اما می‌تواند شامل روش‌های مختلفی مانند فیشینگ، حفره‌های آب (watering holes) یا سایر روش‌های ارسال بدافزار باشد. مقدار رشته دودویی زیر به عنوان یک ظرف و مرحله ابتدایی استقرار عمل می‌‌‌‌‌‌‌‌‌کند. با اجرای این رشته، فایل اجرایی sirket-ruhsat-pdf.exe ایجاد شده و ضمناً یک نمایشگر فایل PDF جهت نمایش یک سند فریبنده BNG 824 ruhsat.pdf به کاربر، راه اندازی می‌‌‌‌‌‌‌‌‌شود. هر دو فایل در ریشه درایو C قرار می‌‌‌‌‌‌‌‌‌گیرند.

sirket-ruhsat-pdf.exe (f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048)
 

شکل 7) فایل‌‌‌‌‌‌‌‌‌های تازه ایجاد شده sirket-ruhsat-pdf.exe و BNG 824 ruhsat.pdf

فایل sirket-ruhsat-pdf.exe به صورت خودکار سعی می‌‌‌‌‌‌‌‌‌کند یک نمایشگر سازگار پیدا کند و "BNG 824 ruhsat.pdf" را اجرا کند. این فایل PDF یک کپی از گواهی ثبت نام خودروی داچیا داستر ترکیه است. این سند کاملاً خوش خیم و یک فریب بصری ساده برای کاربر است.

شکل 8) سند pdf فریب از یک مدرک ثبت خودرو ترکیه‌‌‌‌‌‌‌‌‌ای

فایل sirket-ruhsat-pdf.exe یکPyInstaller  قابل اجرا است و به عنوان یک ابزار، مشابه pyinstxtractor می‌‌‌‌‌‌‌‌‌تواند محتویات آرشیو را جهت بررسی استخراج نماید.
 

شکل 9) محتویات آرشیو PyInstaller  برای sirket-ruhsat-pdf.exe

فایل اجرایی به احتمال زیاد با یک گواهی تقلبی یا نامعتبر امضا شده است و از نام «Runtime Broker» استفاده می‌کند که یک فرآیند قانونی مایکروسافت است. 
شکل 10 نسخه کامپایل شده فایل "Obfuscated.py" را نشان می‌‌‌‌‌‌‌‌‌دهد. با استفاده از ابزاری مانند pycdc  (یک دی‌‌‌‌‌‌‌‌‌کامپایلر/دی‌‌‌‌‌‌‌‌‌اسمبلر بایت-کدهای پایتونی موجود در آدرس https://github.com/zrax/pycdc)، کد موجود در Obfuscated.pyc را می‌‌‌‌‌‌‌‌‌توان دی‌‌‌‌‌‌‌‌‌کامپایل کرد.
 

شکل 10) فایل دی کامپایل شده Obfuscated.pyc

نام تمامی متغیرها و توابع به صورت پیچیده‌ای رمز شده و مبهم هستند و زمان زیادی برای رمزگشایی آن‌ها صرف شده است. این داده رمز شده که به blob معروف شده است، در انتهای کد و به وسیله یک تابع، رمزگشایی و اجرا می‌‌‌‌‌‌‌‌‌شود. در شکل 11، بخشی از محتوای رمز شده و تابع رمزگشایی آن دیده می‌‌‌‌‌‌‌‌‌شود. 
 

شکل 11) تابع رمزگشایی blob در Obfuscated.pyc

در بررسی و آنالیزهای پویا مشخص شد که با تکمیل اولین فعالیت sirket-ruhsat-pdf.exe، این بدافزار خود را در یک پروسه جدید جایگزین نموده است.
 

شکل 12) اجرای نسخه دوم sirket-ruhsat-pdf.exe

در ادامه ExelaStealer  دو دستور زیر را اجرا می‌‌‌‌‌‌‌‌‌کند:

•    C:\Windows\system32\cmd.exe /c "ver"
•    wmic csproduct get uuid

این دستورات نسخه ویندوز و شناسه UUID (Universally Unique Identifier)  سیستم میزبان را بر می‌گردانند. در ادامه یک دستور PowerShell رمز شده با base-64 اجرا می‌‌‌‌‌‌‌‌‌شود که با رمزگشایی این دستور مشخص شد که این دستور اقدام به گرفتن عکس از وضعیت جاری صفحه نمایش می‌‌‌‌‌‌‌‌‌کند. در ادامه با استفاده از مجموعه دستورات زیر، اطلاعات Clipboard ویندوز، اطلاعات پایه سیستم، اطلاعات پایه دیسک سخت، اطلاعات کاربر، وضعیت دیواره آتش و حتی وضعیت و پروفایل WLAN جمع‌‌‌‌‌‌‌‌‌آوری می‌‌‌‌‌‌‌‌‌شود:

• powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
•    C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
•    netsh wlan export profile
•    C:\Windows\system32\cmd.exe /c "netsh wlan show profile

این اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری شده، قبل از ارسال به TA، در یک پوشه که با نام UUID دستگاه و در مسیر C:\Users\<user>\AppData\Local\Temp\ ایجاد شده است، ذخیره می‌‌‌‌‌‌‌‌‌شود. همه فایل‌‌‌‌‌‌‌‌‌های متنی موجود در این مسیر دارای لینکی به کانال تلگرامی TA می‌‌‌‌‌‌‌‌‌باشد.
 

شکل 13) داده‌‌‌‌‌‌‌‌‌های جمع‌آوری‌شده و ذخیره‌شده توسط ExelaStealer در دیسک سخت محلی

شکل 14) نمونه داده‌‌‌‌‌‌‌‌‌های جمع آوری شده از Clipboard ویندوز

در نهایت اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری‌شده در قالب یک فایل فشرده Zip با نام مشابه نام فولدر ذخیره‌‌‌‌‌‌‌‌‌سازی (UUID دستگاه) گردآوری‌شده و در زمان مناسب به کمک یک Discord webhook (https://discord.com/developers/docs/resources/webhook) به کانال Discord تحت کنترل TA ارسال می‌‌‌‌‌‌‌‌‌شوند.
بدافزار ExelaStealer یک ابزار سرقت اطلاعات جدید و همه کاره است که می تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد.

محصولات تحت تأثیر
بدافزار ExelaStealer سیستم‌های مبتنی بر ویندوز را مورد هدف قرار می‌دهد و انواع مختلفی از اطلاعات مانند رمز عبور، کارت‌های اعتباری، کوکی‌ها، جلسات و کلیدهای فشرده شده را به سرقت می‌برد. اطلاعات به سرقت رفته می‌‌‌‌‌‌‌‌‌تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد. این اطلاعات می‌‌‌‌‌‌‌‌‌توانند  برای حملات آتی مورد استفاده قرار بگیرند.

توصیه‌های امنیتی
براساس یافته‌‌‌‌‌‌‌‌‌های شرکت Fortinet، نسخه فعلی بدافزار ExelaStealer رد پاهای زیر را از خود برجای می-گذارد:

•    W32/ExelaStealer.0943!tr
•    W32/ExelaStealer.C93A!tr

توصیه می‌‌‌‌‌‌‌‌‌شود تا کاربران ویندوزی فایل‌‌‌‌‌‌‌‌‌های دریافتی خود را منحصراً از منابع معتبر دریافت نمایند. ضمناً تمامی فایل‌‌‌‌‌‌‌‌‌ها، قبل از باز و اجرا شدن، باید توسط یک آنتی ویروس به‌روز اسکن شود. فعال کردن گزینه‌‌‌‌‌‌‌‌‌های امنیتی اضافی نظیر فایروال، جهت مسدودسازی انتقال ترافیک به آدرس‌‌‌‌‌‌‌‌‌های مورد انتظار این بدافزار، برروی سیستم‌‌‌‌‌‌‌‌‌های شخصی نیز توصیه می‌‌‌‌‌‌‌‌‌گردد.
لیست و مشخصات فایل‌‌‌‌‌‌‌‌‌های همراه با این بدافزار در جدول زیر آورده شده است.

جدول 1) فهرست IOCهای مبتنی بر فایل

جدول 2) فهرست IOCهای مبتنی بر شبکه

منابع خبر:

[1] https://cybersecuritynews.com/new-exelastealer-attack-windows/
[2] https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field
 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-33839 و شدت 7.2 درIBM شناسایی شده است که امکان اجرای دستورات دلخواه بر روی سیستم‌عامل از طریق ارسال یک درخواست ساختگی خاص منظوره را برای مهاجم احراز هویت شده از راه دور فراهم می‌آورد. 
IBM Security Verify Governance  یک راه حل مدیریت هویت یکپارچه مبتنی بر اجزای شبکه (network appliance-based) است که از قوانین، فعالیت‌ها و فرآیندهای کسب و کار محور استفاده می کند و به مدیران در کسب و کار، حسابرسان و مدیران ریسک این امکان را می‌دهد تا بر دسترسی‌ها و رعایت مقررات لازم در سراسر برنامه‌ها و خدمات سازمانی نظارت کنند.

محصولات تحت تأثیر
این آسیب‌پذیری IBM Security Verify Governance نسخه 10.0 را تحت تأثیر خود قرار خواهد داد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاءIBM Security Verify Governance  به نسخه‌10.0.2 اقدام نمایند. 

منبع خبر:

https://www.ibm.com/support/pages/node/7057377&nbsp;

QuasarRAT یک تروجان متن‌‌‌باز مبتنی‌‌‌بر C# است که مهاجم برای آن از تکنیک بارگذاری جانبی DLL استفاده کرده که ازاین طریق اقدام به جمع‌‌‌آوری اطلاعات حساس و مهم در هاست‌‌‌های ویندوزی می‌‌‌کند. این بدافزار از فایل‌‌‌های معتبر سیستم مانند cftmon.exe و calc.exe بعنوان بخشی از زنجیره حمله استفاده کرده و سیستم‌‌‌های مختلفی را آلوده می‌‌‌سازد.
QuasarRAT یک تروجان دسترسی از راه‌‌‌دور متن‌‌‌باز است که با استفاده از تکنیک بارگذاری جانبی DLL  جهت دورزدن آنتی‌‌‌ویروس استفاده کرده و بطور مخفیانه داده‌‌‌های مهم را در هاست‌‌‌های ویندوزی به سرقت می‌‌‌برد. این تروجان که با نام‌‌‌های CinaRAT و Yggdrasil نیز شناخته می‌‌‌شود با استفاده C# توسعه داده شده است و قادر است اطلاعات مختلف و حساس سیستم مانند لیست برنامه‌‌‌های درحال اجرا، فایل‌‌‌ها، کلیدها و حروف تایپ شده، اسکرین‌‌‌شات‌‌‌ها و دستورات Shell را جمع‌‌‌آوری کرده و برای مهاجم ارسال کند.
محققین امنیتی Uptycs در گزارشی اعلام کردند که این بدافزار به cftmon.exe و calc.exe وابسته بوده و بعنوان بخشی از زنجیره حمله از آن‌‌‌ها استفاده می‌‌‌کند.
بارگذاری جانبی DLL تکنیک محبوبی است که توسط بسیاری از مهاجمان برای اجرای پی‌لودهای مخرب با نصب یک فایل DLL جعلی با نام یک فایل سالم بکار گرفته می‌‌‌شود. MITRE در رابطه با روش حمله خاطرنشان کرد که: «مهاجمان احتمالاً از بارگذاری جانبی DLL بعنوان ابزاری جهت مخفی‌‌‌سازی اقدامات مخرب در قالب یک فرآیند قانونی و مورد اعتماد سیستم استفاده می‌‌‌کنند.»
نقطه شروع حمله مستند شده توسط Uptycs یک فایل ISO شامل سه فایل دیگر بصورت زیر است:
•    یک فایل باینری با نام cftmon.exe که به نام eBill-997358806.exe تغییر داده شده است.
•    یک فایل MsCftMonitor.dll که به monitor.ini تغییر نام داده است.
•    یک فایل مخرب با نام MsCftMonitor.dll

محققان این شرکت می‌‌‌‌گویند که: «هنگامی که فایل eBill-997358806.exe اجرا می‌‌‌‌شود، با استفاده از تکنیک بارگذاری جانبی DLL فایل دیگری را با نام MsCftMonitor.dll بارگیری می‌‌‌‌کند که کدهای مخرب در آن پنهان شده است.»
کدهای مخرب مخفی شده یک فایل اجرایی با نام FileDownloader.exe است که به منظور راه‌‌‌‌اندازی مرحله بعدی به Regasm.exe (فایل سالم و معتبر ویندوز) تزریق می‌‌‌‌شود؛ Calc.exe نیز Secure32.dll را از طریق این تکنیک تزریق و پی‌لود نهایی QuasarRAT را راه‌‌‌‌اندازی می‌‌‌‌کند.
این تروجان به نوبه خود با یک سرور از راه‌‌‌‌دور برای ارسال اطلاعات سیستم ارتباط برقرار می‌‌‌‌کند و حتی یک پروکسی معکوس برای دسترسی از راه‌‌‌‌دور به نقطه پایانی راه‌‌‌‌اندازی می‌‌‌‌کند.
هویت مهاجم و بردار دسترسی اولیه مورد استفاده برای انجام حمله بصورت دقیق مشخص نیست اما این احتمال وجود دارد که از طریق ایمیل‌‌‌‌های فیشینگ منتشر شده و ضروری است که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌‌‌‌های مشکوک باشند.

 توصیه‌‌‌‌های امنیتی
تمام کاربران عادی و سازمانی در برابر بدافزارها در معرض خطر قرار دارند و  با توجه به اینکه این بدافزار از طریق حمله فیشینگ به سیستم نفوذ می‌‌‌‌کند، لذا توصیه می‌‌‌‌شود که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌های مشکوک باشند.

 
 منبع خبر:

https://thehackernews.com/2023/10/quasar-rat-leverages-dll-side-loading.html
 

محققان کمپین حمله جدیدی را کشف کرده‌‌اند که نمونه‌‌های نوت‌بوک Jupyter را به خطر می‌‌اندازد و بدافزار cryptojacking را بر روی آن مستقر می‌‌کند. این عملیات از Discord برای عملیات کنترل و فرمان استفاده می‌کند و اطلاعات AWS و Google Cloud را از سرورهای در معرض خطر به سرقت می‌برد.
محققان Cado Security که در در زمینه ارزیابی امنیت ابری و پاسخگویی به حوادث فعالیت دارند، در گزارشی اعلام کردند: «Qubitstrike یک کمپین بدافزار نسبتاً پیچیده است که توسط مهاجمان با تمرکز ویژه بر بهره‌برداری از خدمات ابری هدایت می‌‌شود. نوت‌بوک‌های Jupyter معمولاً در محیط‌های ابری مستقر می‌شوند و ارائه‌دهندگانی مانند Google و AWS آن‌ها را به‌عنوان خدمات مدیریت‌شده ارائه می‌کنند.

محققان شرکت Cado Security مشاهده کرده‌‌اند که مهاجمان Qubitstrike به هانی‌‌پات‌های نوت‌بوک Jupyter  که عمداً محافظت نشده‌اند متصل می‌‌شوند و از ویژگی دسترسی ترمینال جهت باز کردن رابط خط فرمان Bash استفاده می‌‌کنند و به صورت دستی مجموعه‌‌ای از دستورات را برای دریافت اطلاعات CPU سیستم، اطلاعات کاربر وارد شده به سیستم و اخذ دسترسی root از طریق دستور su، در صورت نصب ابزار curl، اجرا کرده‌‌اند.
این مرحله با اجرای یک فرمان کدگذاری شده با base64 زمانی به اوج خود می‌‌رسد که از curl برای دانلود یک اسکریپت Bash به نام mi.sh از یک حساب کاربری در codeberg.org، یک پلت‌فرم میزبانی Git که مشابه GitHub است، استفاده می‌‌شود. اسکریپت در یک پوشه موقت ذخیره شده، سپس اجرا و در نهایت حذف می‌‌شود.
اسکریپت mi.sh سیستم را برای استقرار ابزارهای اضافی، به ویژه نسخه‌‌ای از برنامه استخراج ارز دیجیتال XMRig، تنظیم می‌‌کند. ابتدا، اسکریپت ابزارهای curl و wget را در سیستم تغییر نام می‌دهد تا در زمان استفاده از آن‌ها، ابزارهای شناسایی در سیستم تحریک نشوند. همچنین این اسکریپت فرآیندهای در حال اجرا را جهت کشف حضور کریپتوماینرهای رقیب، اسکن کرده و در صورت وجود، آن‌ها را از بین می‌‌برد. این اسکریپت همچنین اتصالات به یک لیست کدگذاری شده از آدرس‌‌های IP مرتبط با عملیات رمزنگاری را نیز از بین می‌‌برد. از دیگر اقدامات انجام شده توسط این اسکریپت، یافتن و حذف لاگ‌‌های مختلف سیستم است و با ثبت چندین کار cron و افزودن کلید SSH مهاجم به سیستم، بقا و مانایی خود را در سیستم تضمین می‌‌کند. 
مهم‌تر از همه، این اسکریپت روت‌‌کیتی به نام Diamorphine را دانلود و اجرا می‌‌کند که این روت‌‌کیت به عنوان یک ماژول هسته عمل می‌‌کند که با دستور insmod بارگذاری شده و هدف آن مخفی کردن فرآیندهای مهاجم در سیستم است. اگر دستور insmod از کار بیفتد، مهاجمان Diamorphine را از مبداء به عنوان یک فایل اشتراک‌گذاری شده لینوکس کامپایل کرده و سپس از روش LD Preload برای ثبت آن با پیونددهنده پویا استفاده می‌کنند، در نتیجه هر بار که یک فایل اجرایی جدید روی سیستم راه‌اندازی شود، فایل مخرب اجرا می‌شود.
به گفته محققان Cado: "Diamorphine در محافل بدافزار لینوکس به خوبی شناخته شده است، به طوری که این روت‌‌کیت در کمپین‌‌های TeamTNT و اخیراً Kiss-a-dog مشاهده شده است. کامپایل بدافزار هنگام تحویل متداول است و برای فرار از EDR و سایر مکانیزم‌‌های تشخیص استفاده می‌‌شود."
در نهایت، اسکریپت mi.sh دایرکتوری‌های محلی را برای توکن‌های دسترسی به AWS و Google Cloud جستجو کرده و هر یک را که پیدا کند، به یک گروه تلگرامی ارسال خواهد کرد. محققان Cado عمداً یک توکن AWS را روی سیستم هانی‌پات خود قرار دادند و مشاهده کردند که بلافاصله در تلاش برای دسترسی به حساب AWS مرتبط می‌باشد. بدافزار Qubitstrike همانند SSH عمل می‌‌کند و به کمک اسکریپت سعی می‌‌کند به تمام آدرس IPهای لیست‌شده در فایل میزبان SSH، در سیستم متصل شده و mi.sh را به آن‌ها انتقال دهد.
با بررسی مخزن Codeberg که میزبان اسکریپت mi.sh بود، محققان اسکریپت‌‌ها و بارهای اضافی از جمله یک جاگذاری به نام kdfs.py که به زبان پایتون نوشته شده بود را کشف کردند. پس از اجرا بر روی یک سیستم، مشخص شده که این جاگذاری به عنوان یک بات عمل می‌‌کند که به سرور و کانال Discord می‌پیوندد و منتظر دستورات است. همچنین از دانلود و آپلود فایل‌‌ها از طریق قابلیت پیوست Discord پشتیبانی می‌‌کند. محققان می‌‌گویند: نام سرور مورد استفاده «NETShadow» و کانالی که بات اطلاعات را به آن ارسال می‌کند «victims» است. سرور همچنین کانال دیگری با عنوان «ssh» دارد. با این حال، بررسی‌‌ها نشان داده که این کانال خالی بوده است. همه کانال‌ها دقیقاً همزمان در 2 سپتامبر 2023 ساخته شدند که نشان می‌دهد فرآیند ایجاد خودکار بوده است. نام کاربری بات Qubitstrike است و به همین دلیل این نام برای این بدافزار انتخاب شده است.
محققان Cado حدس می زنند که kdfs.py ممکن است ابتدا در برخی از سیستم‌ها اجرا شود و سپس برای استقرار mi.sh مورد استفاده قرار گیرد. با این حال، در سیستم هانی‌پات آن‌ها، ربات kdfs.py هرگز مستقر نشد. در حالی که هدف نهایی حمله، استقرار یک ماینر XMRig بر روی سیستم‌های در معرض خطر بود، بدیهی است که دسترسی مهاجمان محدود به این هدف نبوده و می‌توانند به فعالیت‌‌های دیگر نیز بپردازند.

محصولات تحت تأثیر
نوت‌‌بوک Jupyter یک پلت فرم محاسباتی تعاملی مبتنی بر وب است که از بیش از 40 زبان برنامه‌‌نویسی پشتیبانی می‌‌کند و جهت تجسم داده‌‌ها، یادگیری ماشین، تبدیل داده‌‌ها، شبیه‌‌سازی عددی، مدل‌‌سازی آماری و مدیریت خروجی‌های محاسباتی مختلف استفاده می‌‌شود. این برنامه، یک برنامه منبع باز است که می‌‌تواند بر روی سرورها مستقر شده و از سال گذشته به عنوان نقطه ورودی برای سایر کمپین‌‌های حمله مبتنی بر ابر استفاده شده است؛ زیرا ویژگی‌های قدرتمندی از جمله اجرای دستور را در معرض نمایش قرار می‌دهد.
مشکل اصلی در نوت‌‌بوک Jupyter تنها یک آسیب‌پذیری نیست، بلکه ماهیت خود سرویس است؛ یک پلت‌فرم منبع باز و مشترک که کاربران در آن تمایل دارند کد را در یک محیط بسیار قابل تنظیم و ماژولار به اشتراک بگذارند و اجرا کنند. بسیاری از جذابیت‌های استفاده از نوت‌بوک‌های Jupyter، نمونه‌سازی نمونه‌های کوچک کد، یا اجرای نسخه‌های سبک وزن از الگوریتم‌های خاص است. 
طبق تحقیقات اخیر، مشخص شده است که اگر دسترسی در نوت‌‌بوکJupyter  به درستی محدود نشده باشد، امکان ایجاد یک بردار دسترسی اولیه جدید از طریق آن وجود دارد که هکرها می‌‌توانند از آن برای به خطر انداختن محیط‌‌های ابری سازمانی استفاده کنند. در نمونه اخیر، در ماه سپتامبر 2023، یک هکر با IP تونس، با استفاده از این ابزار و تنها در 195 ثانیه، تلاش دوگانه‌‌ای برای رمزنگاری و به خطر انداختن امنیت فضای ابری انجام داده است و امنیت هانی‌‌پات ابری Cado را به خطر انداخت.
تمامی سرویس‌‌های ارائه‌دهنده خدمات نوت‌‌بوک Jupyter، بویژه ارائه‌‌دهندگان سرویس‌‌های ابری می‌‌توانند تحت تاثیر این حمله قرار بگیرند. به عنوان نمونه، خدمات وب آمازون و Google Cloud به کاربران اجازه می‌‌دهند تا نوت‌‌بوک Jupyter را به عنوان یک سرویس مدیریت شده اجرا کنند و یا کاربران می‌‌توانند آن را روی یک نمونه ماشین مجازی استاندارد اجرا کنند. بعلاوه سرویس Microsoft Azure Cosmos DB دارای ویژگی Cosmos DB Jupyter Notebook است.

توصیه‌های امنیتی
محققان شرکت Cado Security از کاربران نوت‌بوک Jupyter می‌خواهد تا امنیت سرورهای Jupyter را بررسی کنند و توجه ویژه‌ای به دیواره آتش و پیکربندی‌های گروه امنیتی داشته باشند. در حالت ایده‌آل، نوت‌‌بوک‌‌ها نباید در معرض اینترنت عمومی قرار گیرند و اگر قرار است در معرض دید باشند، باید علاوه بر محدود کردن دسترسی به مجموعه‌‌ای از IPهای مجاز، مطمئن شد که فرایند احراز هویت برای دسترسی استفاده‌‌کنندگان فعال شده باشد.

منابع خبر:

[1]https://www.csoonline.com/article/656288/cryptojacking-campaign-qubitstrike-targets-exposed-jupyter…
[2] https://www.darkreading.com/cloud/jupyter-notebook-cloud-credential-theft
 

به تازگی آسیب‌‌‌‌پذیری جدیدی در React Developer Tools نسخه 4.27.8 کشف شده است. در این آسیب‌پذیری به دلیل عدم اعتبارسنجی URL، مهاجم قادر است با بهره‌برداری از آن‌‌‌، حملات DDoS را اجرا نماید. 
React Developer Tools ابزاری کاربردی برای توسعه‌‌‌دهندگان جهت بررسی مولفه‌‌‌های React است که با استفاده از آن می‌توانند ویژگی‌‌‌ها و وضعیت این مولفه‌‌‌ها را اصلاح و هرگونه مشکلات موجود در عملکرد آن را مشخص کنند. توسعه‌‌‌دهندگان با استفاده از این ابزار می‌‌‌توانند به راحتی عملکرد برنامه‌‌‌های React را بهینه کرده و تجربه کاربری روان و کارآمدی را برای کاربران فراهم نمایند.
React Developer Tools یک شنونده پیام (message listener) را در یک اسکریپت محتوا ثبت می‌‌‌کند که توسط یک صفحه وب فعال در مرورگر قابل دسترسی است. زمانی‌‌‌که کد شنونده، URL مشتق شده از پیام دریافتی را درخواست می‌‌‌کند، URL اعتبارسنجی نمی‌‌‌شود و به یک صفحه وب مخرب اجازه می‌‌‌دهد تا URLها را از طریق مرورگر قربانی به طور دلخواه واکشی کنند.
یکی از روش‌‌‌های بهره‌برداری از این آسیب‌‌‌پذیری، ایجاد کلیک‌‌‌های تبلیغاتی است که مهاجمان را قادر می‌‌‌‌‌‌سازد تا با استفاده از آن به درآمدزایی برسند. این روش همچنین می‌‌‌تواند با مرورگرهای دیگر ترکیب شده و بدون اطلاع یا رضایت کاربر قربانی، منجر به حمله DDoS شود. در واقعیت این احتمال وجود دارد که صفحه وب مخرب به طور خودکار پیام‌‌‌هایی را بدون نیاز به تعامل کاربر به افزونه ارسال کند.

محصولات تحت تأثیر
تمامی وب‌‌‌‌‌سایت‌‌‌‌‌هایی که از React Developer Tools نسخه 4.27.8 استفاده می‌‌‌‌‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند. 
 

توصیه امنیتی
آسیب‌‌‌‌‌‌پذیری مورد بحث در نسخه 4.28.4 رفع شده است و کاربران می‌‌‌‌‌‌توانند با بروزرسانی به این نسخه از خطرات احتمالی جلوگیری کنند.
 

منبع خبر:

[1] https://cybersecuritynews.com/react-developer-tools-flaw/