یک آسیب‌پذیری روزصفر در نرم‌افزار Cisco IOS XE با شناسه CVE-2023-20273 و شدت 7.2 کشف شده است که امکان ارتقاء سطح دسترسی از راه‌دور را برای مهاجم فراهم خواهد آورد.
سیسکو در خصوص این آسیب‌پذیری جدید هشدار داده و اذعان داشته است که نقص امنیتی مذکور بطور فعال توسط مهاجمان جهت استقرار کدهای مخرب مبتنی ‌بر Lua در دستگاه‌های حساس مورد بهره‌برداری قرار می‌گیرد. این آسیب‌پذیری قابل ردیابی بوده و به ارتقاء سطح دسترسی در ویژگی رابط کاربری وب مربوط می‌شود و همراه با آسیب‌پذیری با شناسه CVE-2023-20198 بعنوان بخشی از یک زنجیره بهره‌برداری بکار گرفته می‌شود.
به گفته محققان امنیتی شرکت سیسکو: «مهاجم ابتدا از آسیب‌پذیری CVE-2023-20198 جهت اخذ دسترسی اولیه سوءاستفاده کرده، سپس خط فرمان privilege 15 را جهت ایجاد یک حساب کاربری محلی با رمزعبور بکار خواهد گرفت. این دستور به کاربر اجازه می‌دهد تا با سطح دسترسی کاربر عادی وارد سیستم شده سپس از ویژگی‌های کاربری وب دیگر سوءاستفاده کند و سطح دسترسی خود را از کاربر محلی به کاربر root ارتقاء دهد، که این امر با بهره‌برداری موفق از آسیب‌پذیری CVE-2023-20273 امکان‌پذیر خواهد بود.»
آژانس امنیت سایبری زیرساخت آمریکا نیز بیان کرده است که: « مهاجم احرازهویت‌نشده، می‌تواند از راه‌دور از این آسیب‌پذیری بهره‌برداری کرده و کنترل سیستم را در دست بگیرد. بطور خاص این آسیب‌پذیری به مهاجم اجازه می‌دهد تا یک حساب کاربری با سطح دسترسی بالا ایجاد کرده و کنترل کاملی بر دستگاه‌ قربانی داشته باشد.»
بهره‌برداری موفق از نقص امنیتی مذکور می‌تواند از راه‌دور به مهاجمان امکان دسترسی بدون محدودیت به روترها و سوئیچ‌ها، نظارت بر ترافیک شبکه، تزریق و هدایت ترافیک شبکه و استفاده از آن بعنوان یک اتصال دائمی به شبکه را بدلیل عدم وجود راه‌حل‌های نظارتی بدهد.

محصولات تحت تأثیر
نسخه‌های 17.6، 17.3 و 16.12 نرم‌افزار Cisco IOS XE در برابر این نقص امنیتی آسیب‌پذیر می‌باشند و بررسی‌های صورت گرفته نشان می‌‌دهد که بیش از 41 هزار دستگاه سیسکو که نرم‌افزار IOS XE را اجرا می-کنند و در برابر این نقص امنیتی آسیب‌پذیر هستند؛ البته طبق اظهارات شرکت سیسکو، تعداد این دستگاه-ها در 19 اکتبر به حدود 37 هزار رسیده است

توصیه امنیتی
 به کاربران توصیه می‌شود در اسرع وقت نسخه 17.9 نرم‌افزار Cisco IOS XE را بر روی سیستم خود نصب کنند و تا قبل از اعمال آن، ویژگی HTTP سیستم خود را نیز غیرفعال کنند تا امکان بهر‌برداری از این آسیب‌پذیری برای آن‌ها به حداقل برسد.

منبع خبر:

https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html

محققان امنیتی سه آسیب‌پذیری اجرای کد از راه دور در محصولSolarWinds Access Rights Manager (ARM) کشف کرده‌اند که مهاجمان با کمک آن‌ها می‌توانند دستورات دلخواه خود را با سطح دسترسی SYSTEM اجرا کنند.
ابزار SolarWinds ARM برای کمک به مدیران فناوری در زمینه اطلاعات و امنیت در تهیه سریع و آسان، حذف، مدیریت و سطوح حق دسترسی کاربر به سیستم‌ها، داده‌‌ها و فایل‌‌ها طراحی شده است . قابلیت یکپارچه‌سازی اکتیودایرکتوری، کنترل مبتنی بر نقش، بازخورد بصری و... از قابلیت‌های این ابزار می‌باشد.
محققان پروژه Trend Micro Zero Day Initiative (ZDI) در تاریخ 22 ژوئن از وجود هشت آسیب‌پذیری در محصولات SolarWinds خبر دادند که سه مورد از آن‌ها شدت بحرانی دارند.

•  آسیب‌پذیری با شناسه CVE-2023-35182 و شدت 9.8 به مهاجمان اجازه می‌دهد از راه دور و بدون نیاز به تصدیق هویت، کدهای دلخواه را با سطح دسترسی SYSTEM اجرا کنند. این آسیب‌پذیری به دلیل deserialization ( به معنی تبدیل یک رشته از بیت‌ها به رشته‌های موازی) داده‌های غیر قابل اطمینان در متد createGlobalServerChannelInternal ایجاد شده است.
•  آسیب‌پذیری با شناسه CVE-2023-35185 و شدت 9.8 به دلیل عدم اعتبارسنجی در مسیرهای ارائه شده توسط کاربر در متد OpenFile، به مهاجمان اجازه می‌دهد از راه دور و بدون نیاز به تصدیق هویت کدهای دلخواه را با سطح دسترسی SYSTEM اجرا کنند.
• آسیب‌پذیری با شناسه CVE-2023-35187 و شدت 9.8 نیز به دلیل عدم تایید اعتبار مسیرهای ارائه شده توسط کاربر در متد OpenClientUpdateFile دسترسی اجرای کد از راه دور را بدون نیاز به تصدیق هویت برای یک مهاجم فراهم می‌کند.

منظور از اجرای کد با سطح دسترسی SYSTEM این است که کدها با بالاترین سطح دسترسی بر روی ماشین اجرا می‌شوند زیرا SYSTEM یک حساب کاربری داخلی است که برای سیستم عامل و سرویس‌های آن رزرو شده است. مهاجمان با به دست آوردن این سطح از دسترسی می‌توانند کنترل کاملی بر روی تمامی فایل‌های ماشین داشته باشند.
سایر آسیب‌پذیری‌های کشف شده نیز شدت بالا دارند و اجازه افزایش سطح دسترسی را به کاربران می‌دهند. 
 

توصیه امنیتی
این آسیب‌پذیری‌ها در نسخه 2023.2.1 نرم‌افزار Access Rights Manager برطرف شده‌اند. توصیه می‌شود کاربران در اسرع وقت نسبت به نصب به‌روزرسانی‌ امنیتی منتشر شده برای این ابزار اقدام نمایند.
 

منابع خبر:

[1] https://www.zerodayinitiative.com/advisories/ZDI-23-1564/
[2] https://www.zerodayinitiative.com/advisories/ZDI-23-1565/
[3] https://www.zerodayinitiative.com/advisories/ZDI-23-1567/
[4]https://www.bleepingcomputer.com/news/security/critical-rce-flaws-found-in-solarwinds-access-audit-…
 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-46117 و شدت 9.6 در ابزارreconFTW  شناسایی شده است که به‌دلیل اعتبار سنجی نادرست زیر دامنه‌های بازیابی‌شده امکان اجرای کد از راه دور  (RCE) را برای مهاجم فراهم می‌آورد. reconFTW  ابزاری جهت اسکن و کشف آسیب‌پذیری‌ها با استفاده از بهترین مجموعه ابزارها می‌باشد.
مهاجم می‌تواند با ایجاد یک ورودی مخرب CSP در دامنه خود، از این آسیب‌پذیری بهره‌برداری کند و بهره‌برداری موفق از آن نیز منجر به اجرای کددلخواه در متن اپلیکیشن خواهد شد و مهاجم از این طریق سیستم هدف را به خطر می‌اندازد.

محصولات تحت تأثیر
نقص امنیتی مذکور، نسخه‌های قبل از 2.7.1 ابزار reconftw را تحت تأثیر خود قرار خواهد داد.

 توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء  ابزار reconFTW به نسخه‌ 2.7.1.1 اقدام نمایند. 

منابع خبر:

[1] https://github.com/six2dez/reconftw/security/advisories/GHSA-fxwr-vr9x-wvjp  

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-46117
 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-23373 و شدت 8.8 درQNAP   شناسایی شده است که به مهاجم اجازه خواهد داد  از طریق حمله OS Command Injection دستورات سیستم‌عامل(OS)  دلخواه خود را روی سروری که وب اپلیکیشن روی آن قرار دارد اجرا کند. موفقیت‌آمیز بودن این حمله، معمولا منجر به هک‌شدن کامل اپلیکیشن و تمام داده‌های آن خواهد شد.
QNAP QUSBCam2  امکان استفاده از وب‌کم‌های USB را به‌عنوان دوربین‌های IP (ONVIF) با قابلیت مدیریت از راه دور می‌دهد و استقرار یک سیستم نظارتی در خانه یا دفاتر کوچک را ارزان‌تر و آسان‌تر می‌کند.

محصولات تحت تأثیر
نقص امنیتی مذکور، QUSBCam2 نسخه 2.0.x را تحت تأثیر خود قرار خواهد داد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء QNAP QUSBCam2 به نسخه‌ 2.0.3 و بالاتر اقدام نمایند. 

منابع خبر:

[1] https://www.qnap.com/en/security-advisory/qsa-23-43

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-23373 
 

حوزه بدافزارها به سرعت در حال تکامل است و مهاجمان همیشه از تکنیک‌های جدیدی برای دور زدن سیستم‌های تشخیص دهنده استفاده می‌کنند. به گزارش sucuri معمولاً بدافزارهای مربوط به وب‌سایت‌ها در فایل‌های JavaScript یا PHP یافت می‌شوند که در سمت مرورگر یا سرور اجرا می‌شوند؛ اما تعداد زیادی بدافزار جدید مشاهده شده که از فایل‌های غیر اجرایی نظیر .txt یا .log برای فراخوانی کدهای مخرب استفاده می‌کنند.
روش‌های سنتی فراخوانی بدافزار
بدافزار وب‌سایت معمولاً در فایل‌هایی با پسوند .php یا .js یافت می‌شود که می‌تواند مستقیماً توسط مرورگر یا سرور اجرا شود. این نوع فایل‌ها در بین مهاجمان محبوب هستند زیرا می‌توان از آن‌ها برای اجرای کد مخرب استفاده کرد. معمولاً یک مهاجم اقدام به تزریق اسکریپت‌های مخرب در این فایل‌ها می‌کند که بعداً توسط مرورگر یا سرور اجرا می‌شود. این یک روش ساده و موثر است و به مهاجم امکان کنترل وب‌سایت و یا کل سرور را می‌دهد. سیستم‌های امنیتی نیز موقع اسکن برای تهدیدات بر روی این نوع فایل‌ها تمرکز دارند. اما از آنجایی که روش‌های تشخیص بدافزار پیشرفت کرده است، استراتژی‌های مهاجمان نیز بهبود یافته است.

کد مخرب داخل فایل‌های غیر اجرایی
در طی سال‌های گذشته موجی از تعدادی بدافزار پنهان‌کار کشف شده که از فایل‌های غیر اجرایی نظیر .txt یا .log بهره ‌می‌برند. این فایل‌ها ظاهر ساده‌ای دارند و محتوای آن‌ها چیزی به جز یک یا دو خط متن کد شده به صورت Base64 یا HEX نیست. در اینجا نگاهی به یک سناریوی رایج می‌اندازیم: یک قطعه کد داخل فایل PHP که به مسیر یک فایل نامتعارف با پسوند .txt یا .log اشاره می‌کند که در این فایل کد اصلی مخرب به صورت مبهم شده وجود دارد و خط دیگری کد در فایل PHP با استفاده از تابع eval یا base64_decode دستورات را کدگشایی کرده و کدهای مخرب را اجرا می‌کند. این تکنیک می‌توند دقیق‌ترین مدیر سامانه را فریب دهد و مدیری که به طور مرتب فایل‌ها و کدهای منبع را بررسی می‌کند ممکن است متوجه کدهای مخرب نشود. بنابراین در اینجا نیاز به بررسی تمام فایل‌های روی وب‌سایت به وجود می‌آید و نباید تنها به بررسی فایل‌های اجرایی بسنده کرد.
 
نمونه‌ای از کد پنهان شده در یک فایل log
در شکل زیر نمونه‌ای از کد مبهم‌سازی شده در یک فایل به نام tott.log مشاهده می‌شود که در یک وب‌سایت آلوده یافت شده است:
 

در یک فایل جداگانه در مسیر wp-content/mu-plugins/1.php قطعه کد زیر نیز یافت شده است:

دستورات base64_decode و file_get_contents همراه با مسیر فایلی که شامل کد مخرب است (/wp-content/mu-plugins/.tott.log) برای جلوگیری از تشخیص جداسازی شده‌اند. فایل log شامل کد base64 است که می‌تواند هر چیزی از یک اسکریپت کامل shell گرفته تا یک درب پشتی ساده باشد تا بتوان وب‌سایت را مجدداً آلوده کرد و یا بدافزار اضافه را بارگزاری کرد. در این مورد خاص کد مخرب مشغول انجام کارهایی از نوع black hat SEO بوده است.
 
نمونه‌ای از کد پنهان شده در فایل txt

در اینجا نمونه‌ای دیگر از کد مبهم‌سازی شده را مشاهده می‌کنید که داخل فایل‌هایی به نام‌های a.txt و aa.txt یافت شده است.

اما در وب‌سایت آلوده شده یک فایل PHP در مسیر (wp-content/themes/twentytwentytwo/inc/cach/index.php) نیز کشف شده که شامل قطعه کد زیر بوده است:

در کد PHP فوق مجموعه‌ای از اقدامات برای اجرای بدافزار مخفی شده در فایل‌های txt به شرح زیر انجام می‌شوند:
1-    خط "ini_set(‘display_errors’, 1);" امکان نمایش خطاها، هشدارها و اعلامیه‌ها را فراهم می‌کند که در واقع یک ابزار برای عیب‌یابی است. این خط برای این قرار داده شده که مهاجمان مطمئن شوند کد آن‌ها به درستی کار می‌کند.
2-    خط "error_reporting(E_ALL);" مشابه خط قبلی است و تمام خطاهای PHP را گزارش می‌دهد و برای عیب‌یابی به کار می‌رود.
3-    دو خط بعدی یعنی "$part1 = file_get_contents(‘a.txt’);" و "$part2 = file_get_contents(‘aa.txt’);" محتوای دو فایل متنی به نام‌های a.txt و aa.txt را دریافت می‌کنند. 
این فایل‌ها شامل بخش‌های جداگانه‌ای از کد مبهم‌سازی شده PHP هستند که شامل ترکیبی از کاراکترهای hexadecimal و octal هستند. هیچ‌یک از این دو کد به تنهایی قابل اجرا نیستند.
4-    سپس خط "$fullText = $part1 . $part2;" محتوای دو فایل را در یک متغیر به نام $fullText ذخیره می‌کند.
5-    سرانجام در خط "eval($fullText);" از تابع eval() برای اجرای رشته به صورت کد PHP استفاده می‌شود. بنابراین محتوای ترکیب شده دو فایل متنی اجرا می‌شود. در این مورد کد مخرب یک web shell بوده است.
اگرچه در این مورد فایل txt شامل کد PHP بوده است، اما ممکن است به راحتی در مرحله بازرسی وب‌سایت نادیده گرفته شود که دلایل آن به شرح زیر است:
•    بسیاری از افراد موقع جستجو به دنبال بدافزار فایل‌های متنی را نادیده می‌گیرند.
•    مخرب بودن کد PHP با یک نگاه اجمالی قابل تشخیص نیست زیرا تگ‌های <?php در آن وجود ندارند و شبیه مجموعه داده غیر قابل خواندن هستند.
•    حتی اگر شما متوجه شوید که این یک کد PHP است و سعی کنید آن را اجرا کنید، با خطاهایی مواجه می‌شوید زیرا تنها در ترکیب با هم به یک کد مبهم قابل اجرای PHP تبدیل می‌شوند.
این روش به کد مخرب اجازه می‌دهد که از شناسایی در امان باشد و بدون تشخیص توسط سیستم‌های امنیتی به کار خود ادامه دهد.

توصیه‌های امنیتی برای صاحبان وب‌سایت و توسعه دهندگان
افزایش استفاده از روش فوق الذکر نشان دهنده این است که مهاجمان موفقیت بیشتری در جلوگیری از شناسایی به دست آورده‌اند. در نتیجه تشخیص بدافزار باید به جای بررسی فایل‌های مظنون سابق یعنی PHP و JS شامل سایر فایل‌های غیر اجرایی نیز بشود. برخی از فایل‌ها ممکن است پسوندی هم نداشته باشند.

•    به طور منظم فایل‌ها و تغییرات در آن‌ها را بازرسی کنید در طی بازرسی به دنبال تغییرات مشکوک از جمله تغییر اندازه فایل‌ها یا مهر زمانی یا فایل‌های جدید بگردید. تغییر اندازه در یک فایل txt یا log ممکن است نشان دهنده این باشد که از آن فایل برای ذخیره کد مخرب استفاده می‌شود.
•    محتوای فایل‌ها را بررسی کنید و به دنبال رشته‌های کد شده به صورت base64 یا hex بگردید. این رشته‌ها ممکن است برای مقاصد غیر مخرب به کار بروند اما وجود آن‌ها در فایل‌های غیر اجرایی مشکوک است و باید بیشتر بررسی شود. می‌توانید برای بررسی تغییرات فایل‌ها از برخی پلاگین‌ها و ابزارها استفاده نمایید.
•    از نرم‌افزارهای اسکن پیشرفته بدافزار مخصوص وب‌سایت استفاده کنید. 
•    نرم‌افزارهای خود را به روز نگه دارید تا از آسیب‌پذیری‌های شناخته شده در امان باشید.
•    به طور منظم  از کل وب‌سایت خود پشتیبان تهیه کنید.
•    از دیوار آتش تحت وب استفاده کنید.

منابع:

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-34044 و شدت 7.1 در VMware  شناسایی شده است که امکان خواندن خارج از محدوده و افشای اطلاعات حساس در عملکرد اشتراک‌گذاری دستگاه‌های بلوتوث میزبان (sharing host Bluetooth devices) با ماشین مجازی را برای مهاجم فراهم می‌آورد. 
VMware Fusion یک هایپروایزر نرم افزاری است که توسط VMware برای سیستم‌های macOS توسعه یافته است. این امر به دستگاه‌های مک‌ دارای تراشه‌های اینتل یا سری M اپل اجازه می‌دهد تا ماشین‌های مجازی را با سیستم‌عامل‌های مهمان، مانند مایکروسافت ویندوز، لینوکس یا macOS در سیستم عامل macOS  میزبان اجرا کنند. 
VMware Workstation امکان نصب و اجرای چندین سیستم‌عامل را به عنوان ماشین‌های مجازی (از جمله ماشین‌های مجازی ویندوز) روی یک رایانه شخصی ویندوزی یا لینوکسی به کاربر می‌دهد.

محصولات تحت تأثیر

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء VMware Workstation و Fusion به نسخه‌های وصله ‌شده اقدام نمایند. 
 

منبع خبر:

[1] https://www.vmware.com/security/advisories/VMSA-2023-0022.html  

بدافزار پیشرفته جدیدی با نام DarkGate کشف شده است که می‌تواند فعالیت‌های مخربی از قبیل حملات باج‌افزاری، سرقت اطلاعات احرازهویت، دسترسی از راه دور و استخراج ارز دیجیتالی را انجام دهد. این بدافزار اکنون از طریق فایل‌های تورنت توزیع می‌شود و عمدتا ایستگاه‌های کاری ویندوزی را مورد هدف قرار می‌دهد. بدافزار DarkGate از طریق پلتفرم‌های پیام‌رسانی همچون Skype و Microsoft Teams منتشر شده است.
در بازه زمانی ژوئیه تا سپتامبر 2023، بدافزار DarkGate از حساب‌های کاربری اسکایپ جهت ارسال پیام‌های حاوی پیوست‌های اسکریپت لودر VBA استفاده کرده‌اند. در این حملات، برنامه‌های پیام‌رسان برای ارائه یک اسکریپت لودر ویژوال بیسیک برای برنامه‌ها (VBA) استفاده می‌شوند. این پیوست مخرب به عنوان یک فایل PDF ظاهر می‌شود، که پس از باز شدن، دانلود و اجرای یک اسکریپت AutoIt کار خود را آغاز می‌کند.
 

این ابزار مهاجمان را قادر می‌سازد تا محدودیت‌های فایل‌های دریافتی را دور بزند و پیوست‌های فیشینگ را برای کاربران ارسال کنند. شایان ذکر است که تهدیدات صورت گرفته می‌تواند از باج افزار تا رمزنگاری متفاوت باشند.
مجرمان سایبری به طور چشم‌گیری از بدافزار DarkGate برای دسترسی اولیه به شبکه‌های شرکتی استفاده می‌کنند. قبل از Qakbot، فردی که ادعا می‌کرد توسعه‌دهنده DarkGate است، تلاش کرد تا اشتراک‌های خود را در یک انجمن هکری بفروشد و هزینه سالانه آن را تا 100000 دلار عنوان کرد.
این بدافزار جهت ارائه طیف وسیعی از ویژگی‌ها، از جمله VNC مخفی، قابلیت‌های دور زدن Windows Defender، ابزار سرقت تاریخچه مرورگر، یک پروکسی معکوس یکپارچه، مدیریت فایل و سرقت توکن Discord درمعرض تبلیغات قرار گرفته است. پس از این اعلامیه، افزایش قابل توجهی در گزارش‌های ثبت  DarkGate از طریق روش‌های مختلفی همچون فیشینگ و تبلیغات مشاهده شد که این افزایش در فعالیت DarkGate بر نفوذ فزاینده این عملیات بدافزار به عنوان سرویس (MaaS) در حوزه جرایم سایبری تاکید دارد.

منبع خبر:

https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-a…
 

یک آسیب‌پذیری با شدت متوسط و شناسه CVE-2023-2729 در DiskStation Manager شرکت Synology شناسایی شده است که از آن می‌توان برای رمزگشایی رمزعبور مدیر و سرقت اطلاعات حساب کاربری از راه‌دور بهره‌برداری کرد.
Sharon Brizinov از شرکت Claroty در گزارشی که روز سه‌شنبه منتشر کرده است بیان کرد که: «در برخی از شرایط خاص مهاجم می‌تواند اطلاعات کافی برای بازیابی seed در مولد اعداد شبه تصادفی (PRNG)، بازسازی رمزعبور مدیریت و کنترل از راه‌دور حساب مدیریت را افشا کند.»
آسیب‌پذیری کشف شده با شناسه CVE-2023-2729 از نظر شدت در مقیاس امتیازدهی 5.9 می‌باشد و توسط Synology بعنوان بخشی از به‌روزرسانی‌های منتشر شده در ژوئن 2023 برطرف شده است.
مشکل اصلی آن است که این نرم‌افزار از یک مولد اعداد تصادفی ضعیف (()Math.random) استفاده می‌کند که متکی به جاوااسکریپت است و برای ساخت رمزعبور مدیریتی در دستگاه ذخیره‌ساز متصل به شبکه (NAS) به کار خواهد رفت و زمانی ایجاد می‌شود که تابع مقادیر قابل پیش‌بینی تولید کند یا آنتروپی کافی نداشته باشد. بنابراین مهاجم را قادر می‌سازد تا رمزگذاری را شکسته و یکپارچگی اطلاعات حساس را از بین ببرد. بهره‌برداری موفق از چنین آسیب‌پذیری‌هایی به مهاجم اجازه می‌دهد تا رمزعبور تولیدشده را پیش-بینی کرده و به بخش‌های محدود شده دسترسی پیدا کند.
با دریافت و مشاهده خروجی اعداد تولید شده Math.random() می‌توان Seed را برای PRNG بازسازی کرد و از آن برای اعمال گذرواژه مدیریت استفاده کرد. در نهایت می‌توان از آن رمزعبور برای ورود به حساب مدیریتی (پس از فعال کردن آن) استفاده کرد.
با این حال، این حمله به مهاجم بستگی دارد که بصورت موفق چند GUID را استخراج کرده و با استفاده از روش‌های مشابه بتواند مقدار seed را برای مولد اعداد شبه تصادفی (PRNG) بازسازی کند. در یک سناریو واقعی مهاجم ابتدا باید GUIDهای ذکرشده را دریافت کرده و بر روی Math.random() عملیات brute force را انجام دهد؛ با این کار رمزعبور مدیریت را بدست می‌آورد. 

محصولات تحت تأثیر
کلیه کاربرانی که از DiskStation Manager شرکت Synology استفاده می‌کنند تحت تاثیر این آسیب-پذیری قرار داشته و باید هرچه زودتر آن را به‌روزرسانی کنند.

توصیه امنیتی
باید به این نکته توجه کرد که Math.random() اعداد تصادفی ایمن رمزنگاری تولید نمی‌کند و توصیه می-شود که از آن‌ها در هیچ مورد امنیتی استفاده نشود. 

 منبع خبر:

[1] https://thehackernews.com/2023/10/new-admin-takeover-vulnerability.html&nbsp;
 

بررسی بیش از 1.8 میلیون اطلاعات ورود کاربران و مدیران IT نشان می‌دهد که از بین آن‌ها بیش از 40 هزار رمزعبور بصورت "admin" استفاده شده است. اطلاعات ورودی کاربران از طریق بدافزارهای سرقت اطلاعات بدست می‌آید که کاربران باید با استفاده از توصیه‌های امنیتی ارائه شده از ورود اینگونه بدافزارها به سیستم و سازمان از طریق نصب آنتی‌ویروس یا روش‌های دیگر جلوگیری کنند. 
بررسی‌های صورت گرفته توسط محققان امنیتی نشان می‌دهد که مدیران فناوری اطلاعات از ده‌ها هزار رمزعبور ضعیف جهت وورد و دسترسی به پورتال‌های سازمانی استفاده می‌کنند و سازمان را در برابر حملات سایبری ناامن می‌سازند.
این داده‌های امنیتی طی دو ماه از طریق Threat Compass که توسط شرکت امنیتی Outpost24 توسعه یافته است، جمع‌آوری شده‌اند. به گفته Outpost24 : «اطلاعات احرازهویت از طریق بدافزارهای سرقت اطلاعات بدست می‌آیند و بطور معمول برنامه‌هایی را مورد هدف قرار می‌دهند که نام کاربری یا رمزعبور را ذخیره می‌کنند. گرچه داده‌های جمع‌آوری شده بصورت متن ساده نیستند اما به راحتی و با حمله password-guessing قابل حدس هستند.»
بسته به نوع سیستم، پورتال مدیریتی می‌تواند دسترسی به پیکربندی، حساب‌های کاربری و تنظیمات امنیتی را فراهم سازد. همچنین امکان ردیابی مشتریان و سفارش‌های آن وجود دارد یا ابزاری برای ایجاد خواندن، بروزرسانی و حذف عملیات بر روی پایگاه‌داده را ارائه می‌کند.
این شرکت پس از تجزیه و تحلیل مجموعه اعتبارنامه‌های احرازهویت بدست آمده برای پورتال‌های مدیریت، 20 مورد از ضعیف‌ترین رمزعبورهای استفاده شده را بصورت جدول لیست کرده است:
 

محققان هشدار دادند اگرچه ورودی‌های جدول فوق «محدود به رمزعبورهای شناخته شده و قابل پیش-بینی» هستند اما مرتبط با پورتال‌های مدیریتی می‌باشند و مهاجمان از این طریق کاربران با دسترسی بالا را مورد هدف قرار می‌دهند. دفاع از شبکه سازمانی با رعایت اصول اولیه امنیتی مانند استفاده از رمزعبورهای طولانی، قوی و منحصربفرد برای هر حساب بویژه برای کاربرانی که به منابع حساس دسترسی دارند، شروع می‌شود.

توصیه‌های امنیتی
برای در امان ماندن از بدافزار سرقت اطلاعات، استفاده از آنتی‌ویروس، غیرفعال کردن گزینه‌های ذخیره رمزعبور و تکمیل خودکار در مرورگرهای وب، بررسی دامنه‌ها در صورت وقوع تغییر مسیر و عدم استفاده از نرم‌افزارهای کرک شده به کاربران توصیه می‌شود.

منبع خبر

[1] https://www.bleepingcomputer.com/news/security/over-40-000-admin-portal-accounts-use-admin-as-a-pas…;
 

یک آسیب‌پذیری در روترهای صنعتی Milesight کشف شده که ممکن است در حملاتی نیز از آن بهره‌برداری شده باشد. این آسیب‌پذیری با شناسه CVE-2023-43261 و شدت 7.5 از نوع افشای اطلاعات حساس می‌باشد.

محصولات تحت تأثیر
آسیب‌پذیری ذکر شده روترهای UR5X، UR32L، UR32، UR35 و UR41 با نسخه‌های قبل از 35.3.0.7 را تحت تاثیر قرار می‌دهد و ممکن است دسترسی به فایل‌های لاگ از جمله httpd.log و برخی اطلاعات حساس دیگر از جمله نام کاربری و کلمه عبور را برای مهاجم فراهم آورد. کلمه عبور به صورت رمزنگاری شده قابل دستیابی است اما به دلیل به کارگیری الگوریتم ضعیف و استفاده از کلید ایستا به راحتی رمزگشایی می‌شود که به مهاجمان این امکان را خواهد داد تا به رابط مدیریتی تحت وب دسترسی پیدا کنند و پیکربندی آن را تغییر داده یا دیوار آتش را خاموش کنند. این آسیب‌پذیری برای روترهایی که امکان ارسال و دریافت پیام کوتاه را فراهم می‌کنند بسیار خطرناک‌تر است. نشانه‌هایی مبنی بر احتمال بهره‌برداری از این آسیب‌پذیری نیز کشف شده است.

توصیه‌های امنیتی
اگر یک مودم صنعتی Milesight دارید باید فرض کنید که کلمات عبور روتر افشاء شده‌اند و هرچه سریع‌تر نسبت به ایجاد کلمه عبور جدید و یا قطع رابط تحت‌وب از اینترنت اقدام نمایید. به‌روزرسانی برای رفع این آسیب‌پذیری مدت‌ها قبل منتشر شده است، بنابراین در اسرع وقت نسبت به نصب آن اقدام نمایید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2023-43261
[2]https://thehackernews.com/2023/10/experts-warn-of-severe-flaws-affecting.html