یک آسیب‌پذیری جدید در لینوکس به نام Looney Tunables توسط تیم تحقیقات تهدید Qualys کشف شده که به مهاجمان با دسترسی محلی اجازه می‌دهد با بهره‌برداری از ضعف سرریزبافر در dynamic loader کتابخانه GNU C به نام ld.so دسترسی خود را به دسترسی روت ارتقاء دهند. این آسیب‌پذیری هنگام پردازش متغیر محیطی GLIBC_TUNABLES رخ می‌دهد. تیم qualys موفق به تست و بهره‌برداری از این آسیب‌پذیری شده است.

محصولات تحت تأثیر
بهره‌برداری از آسیب‌پذیری مذکور در نصب‌های پیشفرض توزیع‌های زیر امکان‌پذیر خواهد بود:
•    Fedora 37
•    Fedora 38
•    Ubuntu 22.04
•    Ubuntu 23.04
•    Debian 12
•    Debian 13
احتمال دارد که توزیع‌های دیگر نیز آسیب‌پذیر باشند اما Alpine Linux به دلیل استفاده از musl libc به جای glibc آسیب‌پذیر نیست. این آسیب‌پذیری در آوریل سال 2021 همراه با ارائه glibc 2.34 به وجود آمده و دارای شناسه CVE-2023-4911 می‌باشد. کد بهره‌برداری این آسیب‌پذیری توسط Qualys به طور عمومی منتشر نشده اما انتظار می‌رود سایر تیم‌های تحقیقاتی بتوانند به زودی کد بهره‌برداری را تولید کنند. به دلیل استفاده زیاد از glibc در توزیع‌های لینوکسی، این آسیب‌پذیری می‌تواند سیستم‌های زیادی را تحت تاثیر قرار دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به به‌روزرسانی توزیع لینوکس خود اقدام نمایند.

منابع خبر:

[1]https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-lo…
[2] https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld…
[3] https://www.bleepingcomputer.com/news/security/new-looney-tunables-linux-bug-gives-root-on-major-di…
[4] https://nvd.nist.gov/vuln/detail/CVE-2023-4911

Progress Software  در ماژول انتقال موقت سرور WS_FTP و رابط مدیر سرورWS_FTP، الزامات رفع یک آسیب‌پذیری امنیتی مهم را به همراه آسیب‌پذیری‌های دیگر منتشر کرده است.

جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه CVE-2023-40044، دارای شدت 10 می‌باشد و به مهاجمان احراز هویت نشده اجازه خواهد داد پس از بهره‌برداری موفق، کد موردنظر را از راه دور را اجرا کنند.
آسیب‌پذیری دیگری با شناسه  CVE-2023-42657 و شدت 9.9، یک آسیب‌پذیری پیمایش دایرکتوری است که می‌تواند برای انجام عملیات فایل، بهره‌برداری شود.
آسیب‌پذیری با شناسه  CVE-2023-40045 و شدت 8.3، یک آسیب‌پذیری XSS بازتابی، در ماژول انتقال موقت سرور WS_FTP است که می‌تواند برای اجرای کد جاوا اسکریپت در مرورگر قربانی مورد بهره‌برداری قرار گیرد.
آسیب‌پذیری با شناسه CVE-2023- 40047  و شدت 8.3،  نیز یک آسیب‌پذیریXSS ، در ماژول مدیریت سرور WS_FTP است که می‌تواند توسط یک مهاجم با دسترسی مدیریت، جهت وارد کردن گواهی SSL با ویژگی‌های مخرب حاوی بارهای XSS مورد بهره‌برداری قرار گیرد و سپس می‌تواند در مرورگر قربانی فعال شود.
آسیب‌پذیری با شناسهCVE-2023-40046  و شدت 8.2 ، یک آسیب‌پذیری تزریق کد SQL در رابط مدیریت سرور WS_FTPمی‌باشد که می‌تواند جهت استنتاج اطلاعات ذخیره شده در پایگاه داده و اجرای دستورات کد SQL  مورد بهره‌برداری قرار گیرد تا مهاجم محتوای آن را تغییر دهد یا حذف کند.

محصولات تحت تأثیر
کلیه نسخه‌های نرم‌افزار Progress، تحت تأثیر این آسیب‌پذیری قراردارند. در نسخه‌های سرور WS_FTP قبل از 8.7.4 و 8.8.2، یک مهاجم تأیید شده می‌تواند از یک آسیب‌پذیری deserialization .NET در ماژول AdHoc Transfer، جهت اجرای دستورات از راه دور در سیستم عامل WS_FTP Server سوءاستفاده کند.

توصیه‌های امنیتی
نرم‌افزار Progress به یک هدف جذاب برای گروه‌های باج‌افزاری مانند Cl0p تبدیل شده است؛ لذا ضروری است که کاربران سریعاً آخرین وصله‌ها را جهت جلوگیری از تهدیدات احتمالی اعمال کنند.
به کاربران توصیه شده است نرم¬افزار را به آخرین نسخه یعنی 8.8.2 ارتقا دهند.
این شرکت همچنین، اطلاعاتی درباره نحوه حذف یا غیرفعال کردن ماژول انتقال موقت سرور  WS_FTP آسیب¬پذیر، در صورت عدم استفاده از آن به اشتراک گذاشته است.

منابع خبر:

[1] https://thehackernews.com/2023/09/progress-software-releases-urgent.html
[2] https://www.bleepingcomputer.com/news/security/progress-warns-of-maximum-severity-ws-ftp-server-vul…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-40044

به دلیل وجود نقص امنیتی در مکانیزم کنترلcross-tenant  سرویس Cloudflare مهاجم قادر خواهد بود تا به راحتی این امکان را دور زده و از این طریق حملات خود را انجام دهد. مکانیزم امنیتی مذکور جهت جلوگیری از رخداد حملات DDOS طراحی شده است. این آسیب‌پذیری به دلیل وجود نقص در طراحی مکانیزم اعتبارسنجی ارسال درخواست های HTTPS به سمت سرور می‎باشد و در آن دو ویژگی زیر فعال است:

•    Authenticated Origin Pulls
•    Allowlist Cloudflare IP Addresses

با فعال بودن این دو ویژگی در سرور، دریافت‌کننده درخواست HTTPS، مطمئن خواهد شد که این درخواست از سمت سرورهای Cloudflare ارسال شده است نه از طرف یک مهاجم و اعتبارنامه SSL/TLS  جهت صحت سنجی آن بررسی نخواهد شد. در واقع این دو مکانیسم با تخصیص وضعیت «Trusted»  به درخواست‌های HTTPS که از سمت سرور Cloudflare ارسال می‌شوند، از سرور مبدأ در برابر ترافیک مخرب محافظت می‌کنند. مهاجم می‌تواند در فایروال Cloudflare یک دامنه سفارشی (Custom   Domain) راه‌اندازی کرده و رکورد DNS A را به آدرس IP قربانیان point کند، سپس مهاجم تمام ویژگی‌های حفاظتی دامنه سفارشی را غیرفعال و حمله خود را آغاز خواهد کرد. مهاجم در این مرحله قادر خواهد بود یک گواهی صحت‌سنجی ساخته و از آن، جهت اعتباربخشی به درخواست‌های ارسالی خود به سمت سرور هدف سوءاستفاده کند.

محصولات تحت تأثیر
تمام سرورهایی که از سرویس Cloudflare استفاده می‌کنند و دو ویژگی Authenticated Origin Pulls  و Allowlist Cloudflare IP Addresses  در آن‌ها فعال است.

توصیه‌های امنیتی
کمپانی Cloudflare هنوز به طور رسمی برای برطرف این نقص امنیتی، به‌روزرسانی جدیدی منتشرنکرده است اما تحلیلگران امنیتی تا زمان انتشار رسمی به‌روزرسانی، دو راهکار جهت کاهش تهدیدات این نقص امنیتی ارائه داده‌اند: تخصیص اعتبارنامه‌های شخصی‌سازی شده با استفاده از Authenticated Origin Pulls  و حذف اعتبارنامه‌های Cloudflare که منجر به درخواست‌های غیرمجاز خواهند شد. شایان ذکر است که مکانیزم  Allowlist Cloudflare IP Addresses  به عنوان گزینه‌ای جهت حفاظت از سرور در نظر گرفته نشود و تنها به عنوان یکی از روش‌های محافظت از سرور در لایه‌های پایین امنیت مورد استفاده قرار گیرد.

منابع خبر:

[1] https://latesthackingnews.com/2023/10/02/cloudflare-ddos-protection-flaws-allowed-security-bypass-v…
[2] https://www.bleepingcomputer.com/news/security/cloudflare-ddos-protections-ironically-bypassed-usin…

بینگ چت که یکی از محصولات نرم‌افزاری شرکت مایکروسافت است، به‌دلیل مشکل امنیتی نفوذ تبلیغات مخرب، مورد بازنگری قرار گرفت.
بینگ چت، یک نرم‌افزار متن و تصویر جهت تعامل کاربران در فضای مجازی است که با استفاده از هوش مصنوعی (AI) توسط موتور GPT-4 از OpenAI تغذیه می‌شود. این برنامه در فوریه 2023 عرضه شد و تعداد قابل‌توجهی کاربر به آن پیوستند. بینگ چت پس از  شش ماه عرضه‌، بیش از یک میلیارد چت را ثبت کرد.
افزایش محبوبیت این نرم‌افزار باعث جذب تبلیغات از سوی فعالان این عرصه شد تا از این طریق تعداد زیادی از کاربران را به خود جذب کنند؛ اما این موضوع منجر شده است تا راهی برای سوءاستفاده‌های احتمالی توسط مهاجمان از این طریق ایجاد شود.
یکی از روش‌های مورد استفاده جهت نمایش تبلیغات در مکالمات بینگ چت، نمایش یک تبلیغ آنی است  که حاوی یک لینک مخرب می‌باشد و کاربران بدون آگاهی از این موضوع بر روی تبلیغات گمراه‌کننده کلیک خواهند کرد.
پیامدهای چنین تبلیغات گمراه‌کننده‌ای نگران‌کننده است. وقتی کاربران بر روی این لینک‌ها کلیک می‌کنند، به وب‌سایت‌های جعلی هدایت می‌شوند که به‌شدت شبیه به وب‌سایت‌های رسمی هستند. هدف نهایی از این روش‌ها، جلب نظر قربانیان برای دانلود برنامه‌هایی است که به‌نظر بی‌خطر می‌آید، اما در واقعیت دارای عناصر مخربی است.
نمایش تبلیغات آنلاین که حاوی لینک‌های مخرب است برای سودجویانی که قصد دارند کاربران را به وب‌سایت‌هایی که بدافزار در آن‌ها وجود دارد، هدایت کنند هدف سودآوری به شمار می‌آید.

توصیه‌های امنیتی
متخصصان امنیتی به کاربران توصیه کردند هنگام استفاده از مرورگرهای وب از ابزارهای امنیتی با قابلیت محافظت در وب، مسدود کردن تبلیغات و تشخیص بدافزار جهت ارتقاء سطح امنیت آنلاین خود استفاده کنند.
محققان همچنین اعلام کردند که این نقض امنیتی را به مایکروسافت گزارش داده‌ و بر اهمیت تداوم اقدامات پیشگیرانه در حفاظت از محیط جستجو و تبلیغات آنلاین تأکید نموده‌اند.

منبع خبر:

https://www.infosecurity-magazine.com/news/bing-ai-faces-malware-threat-ads/

گوگل به‌تازگی یک به‌روزرسانی امنیتی اضطراری جدید برای مرورگر کروم منتشر کرده است تا پنجمین آسیب‌پذیری روز-صفر (Zero-Day) با شناسه CVE-2023-5217 و شدت 8.8 (بالا) در این مرورگر را در سال جاری برطرف کند. این آسیب‌پذیری بسیار مشکل‌آفرین است، زیرا هکرها یک راه برای بهره‌برداری از آن در حملات خود ابداع کرده‌اند لذا ضروری است کاربران در اسرع وقت اقدام به به‌روزرسانی مرورگرکروم خود کنند.
تیم کروم شرکت گوگل در یک اعلان امنیتی توضیح داد آخرین نسخه از مرورگر خود (نسخه 117.0.5938.132) برای ویندوز، مک و لینوکس شامل 10 اصلاح امنیتی است تا سه آسیب‌پذیری با شدت بالا را برطرف کند. ممکن است چند روز یا حتی چند هفته طول بکشد تا این به‌روزرسانی امنیتی اضطراری به همه کاربران کروم ارائه شود.
از میان سه آسیب‌پذیری مورد توجه در این به‌روزرسانی امنیتی اضطراری، CVE-2023-5217  ناشی از ضعف (heap buffer overflow) در رمزگذاری VP8 در libvpx است.
این نقص توسط کلمنت لسین، محقق امنیتی گروه تجزیه و تحلیل تهدید گوگل (TAG)  در روز دوشنبه، 25 سپتامبر 2023 گزارش شد. محققان Google TAG که در زمینه یافتن و گزارش بهره‌برداری‌های روز صفر در حملات هدفمند نرم‌افزارهای جاسوسی که توسط مهاجمان تحت حمایت دولت‌ها و گروه‌های هکری فعالیت می‌کنند فاش کردند که آسیب‌پذیری مذکور جهت نصب نرم‌افزارهای جاسوسی مورد بهره‌برداری قرار گرفته است.
پیش از این Google TAG به همراه محققان آزمایشگاه Citizen، فاش کردند که سه حمله روز صفر دیگر توسط شرکت اپل در پنجشنبه گذشته وصله شده که این حملات جهت نصب نرم‌افزار جاسوسی Cytrox's Predator  بین ماه مه و سپتامبر 2023 مورد استفاده قرار گرفته بودند.
گوگل دو هفته پیش‌تر، یک حمله روز صفر دیگر (چهارمین مورد از ابتدای سال) با شناسه CVE-2023-4863 را نیز رفع کرد. اگرچه در ابتدا این مشکل به عنوان یک نقص مرورگر کروم معرفی شد، لیکن در مرحله بعد،  یک CVE دیگر با شناسه CVE-2023-5129) و شدت بحرانی 10 به این نقص اختصاص داده شد و به عنوان یک آسیب‌پذیری امنیتی مهم در کتابخانه libwebp دسته‌بندی شد. این کتابخانه‌ توسط تعداد زیادی محصول از جمله Signal، 1Password، Mozilla Firefox، Microsoft Edge، و Safari Apple و همچنین مرورگر اصلی وب اندروید مورد استفاده قرار می‌گیرد.

توصیه‌های امنیتی
همانند بسیاری از آسیب‌پذیری‌های روزصفر اخیری که توسط شرکت اپل برطرف شده‌اند، مهم‌ترین کاری که می‌توانید در این وضعیت انجام دهید، به‌روزرسانی کروم به نسخه 117.0.5938.132 است.
 همچنین جهت بررسی دستی به‌روزرسانی‌ها می‌توانید بر روی منوی سه نقطه کلیک کنید، تنظیمات را باز کرده و سپس به قسمت درباره کروم بروید. گوگل همچنین از یک سیستم هشدار با رنگ‌های متفاوت جهت اعلام در دسترس بودن به‌روزرسانی‌های جدید برای مرورگر خود استفاده می‌کند. این سیستم به‌صورت یک حباب نمایان می‌شود که در کنار نام کاربری شما قرار می‌گیرد و رنگ آن بر اساس زمان انتشار به‌روزرسانی تغییر می‌کند. حباب سبز به معنی این است که به‌روزرسانی دو روز قبل ارائه شده است، حباب نارنجی به‌معنی به‌روزرسانی چهار روز قبلی و حباب قرمز نمایش‌دهنده این است که به‌روزرسانی حداقل یک هفته پیش انتشار یافته است. اگر نیاز به کمک بیشتر دارید، می‌توانید به راهنمای به‌روزرسانی گوگل کروم مراجعه کنید.

شکل 1- علامت انتشار به‌روزرسانی درمرورگر گوگل کروم

شایان ذکر است که کاربران علاوه بر اعمال به‌روزرسانی، باید از یک آنتی‌ویروس نیز برای کامپیوتر یا دستگاه اندرویدی خود استفاده کنید چراکه با استفاده از آنتی‌ویروس و همچنین نصب به‌روزرسانی‌های امنیتی منتشر شده، می‌توانید از انواع حملات سایبری محافظت کنید.

منابع خبر:

[1] https://www.tomsguide.com/news/billions-at-risk-from-google-chrome-security-flaw-update-your-browse…
[2] https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-da…
[3] https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html?m=1

بدافزار کنترل از راه دور Gh0st RAT، یک نرم‌افزار مخرب معروف است که به‌طور گسترده توسط مهاجمان مورد استفاده قرار می‌گیرد و کد آن به‌صورت عمومی در دسترس می‌باشد.
محققان  به تازگی نسخه‌ای از Gh0st RAT را کشف کرده‌اند که به منظور حمله به سرورهای MS-SQL،  از یکrootkit  مخفی استفاده می‌کند. این rootkit  مخفی کار بدافزار را پنهان و از حذف آن جلوگیری خواهد کرد.
Rootkit بدافزاری است که فعالیت خود را در سیستم‌عامل کامپیوتر یا دستگاه دیگری مخفی می‌کند تا توانایی کنترل از راه دور آن را به‌دست آورد. این نوع بدافزار به‌طور معمول توسط نفوذکنندگان یا مهاجمان به منظور انجام فعالیت‌های مخرب یا سرقت اطلاعات حساس استفاده می‌شود.
HiddenGh0st نوعی از Gh0st RAT است که توانایی سرقت اطلاعات QQ Messenger را دارد و از سال 2022 کشف شده است.
پژوهشگران امنیت سایبری به‌تازگی گزارش داده‌اند که بدافزار HiddenGh0st به‌صورت فعال به سمت سرورهای MS-SQL و MySQLای که تنظیمات نامناسبی داشتند، حمله می‌کند. این تنظیمات شامل عدم مراقبت یا عدم مدیریت سرورهای MS-SQL و MySQL است که در ادامه به برخی از این موارد اشاره می‌شود:
1. عدم به‌روزرسانی نرم‌افزارها: عدم به‌روزرسانی سیستم‌عامل، پایگاه‌داده‌ها و نرم‌افزارهای مرتبط با سرورها می‌تواند به آسیب‌پذیری‌های امنیتی منجر شود.
2. استفاده از رمزهای عبور ضعیف: استفاده از رمزهای عبور ضعیف یا پیش‌فرض برای دسترسی به سرورها، که به‌راحتی توسط حملاتی مانند HiddenGh0st قابل تخمین هستند.
3. اجازه دسترسی به افراد غیرمجاز: تعیین دسترسی‌های نامناسب برای کاربران یا سیستم‌های خارجی به سرورها، ممکن است به دسترسی غیرمجاز مهاجم منجر شود.
4. عدم نظارت مداوم: عدم نظارت و ممانعت از فعالیت‌های غیرمعمول یا حملات به سرورها، می‌تواند امنیت سیستم را تخریب کند.
5. ترکیب کردن سرورهای آسیب‌پذیر در شبکه: اگر سرورهای آسیب‌پذیر در شبکه‌ای با سرورهای حیاتی ترکیب شوند، امکان شناسایی حملات و محافظت از سرورهای حیاتی کاهش می‌یابد.
HiddenGh0st از رمزنگاری، رمزگشایی و اجرای فایل PE خود در حافظه استفاده می‌کند تا از این طریق شناسایی نشود.
داده‌های جمع‌آوری‌شده عبارتند از:
-    اطلاعات نسخه ویندوز
-    سرعت پردازنده (CPU)
-    تعداد واحدهای پردازشی مرکزی (CPUs)
-    آدرس IP عمومی
-    آدرس IP خصوصی
-    نام میزبان سیستم آلوده
-    تعداد دوربین‌های وب
-    زمان تاخیر اتصال به اینترنت
-    سرعت رابط شبکه
-    ظرفیت حافظه
-    ظرفیت دیسک محلی
-    لیست محصولات امنیتی نصب‌شده
-    شماره ورود به QQ Messenger
-    وضعیت اتصال به اینترنت (MODEM، LAN، PROXY)

توصیه‌های امنیتی
برای جلوگیری از تهدیدات بدافزار Gh0st RAT و HiddenGh0st و دیگر تهدیدات امنیتی مشابه، کاربران باید توصیه‌های امنیتی زیر را در نظر داشته باشند:
1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل و تمام نرم‌افزارهای شما به‌روز باشند. به‌روزرسانی‌های امنیتی را فوراً اعمال کنید.
2. نصب آنتی‌ویروس: نصب یک آنتی‌ویروس معتبر و به‌روز و اسکن منظم فایل‌ها و برنامه‌های دانلود‌ شده را توصیه می‌کنیم.
3. فعال‌سازی دیواره آتش (Firewall): از یک دیواره آتش استفاده کنید تا ترافیک شبکه را کنترل کنید و دسترسی به سیستم شما را محدود کنید.
4. مدیریت دسترسی‌ها: دسترسی به پوشه‌ها و فایل‌های حساس را محدود کنید و فقط به افرادی که لازم است، دسترسی دهید.
6. مدیریت سرویس‌ها: سرویس‌ها و برنامه‌های غیرضروری را غیرفعال کنید و فقط سرویس‌های مورد نیاز را اجرا کنید.

منبع خبر:

https://cybersecuritynews.com/hiddengh0st-malware/

یک مقاله تحقیقاتی جدید منتشر شده که به انجام یک حمله Side-Channel (کانال جانبی) اشاره دارد که مهاجم می‌توانند از آن بهره‌برداری کرده و اطلاعات بصری حساس را از کارت‌های گرافیکی مدرن GPU در هنگام بازدید از یک وب‌سایت مخرب نشر دهد.
Side-Channel ها در زمینه امنیت سایبری به‌منظور انتقال اطلاعات یا نفوذ به سیستم‌ها و برنامه‌ها مورد استفاده قرار می‌گیرد و از نقاط ضعف غیرمستقیم در سیستم‌ها یا فرآیندها بهره‌برداری می‌کنند و به مهاجمان اجازه می‌دهند اطلاعات حساس را به‌صورت غیرمجاز به‌دست آورند.
این روش تحت عنوان GPU.zip توسط چهار دانشگاه آمریکایی منتشر و شبیه‌سازی حمله بر اساس یک حمله سرقت پیکسل با فیلتر SVG از طریق مرورگر Chrome در جهت اهداف تحقیقاتی انجام شده است.
این حمله ناشی از استفاده از روش‌های غیرمستند فشرده‌سازی توسط تولیدکنندگان مانند اینتل و AMD بوده است، این فشرده‌سازی‌ها زمانی انجام می‌شوند که برنامه نرم‌افزاری فشرده‌سازی را درخواست نکرده است. در کنار مزایای عملکردی فشرده‌سازی، می‌توان به نشت داده کانال جانبی به عنوان یک نقص در آن اشاره کرد.
اینتل و AMD این نوع فشرده‌سازی ریسکی را در GPUهای مدرن خود به ‌عنوان بخشی از راهبرد بهینه‌سازی جهت صرفه‌جویی در پهنای باند حافظه و افزایش عملکرد آن‌ها بدون استفاده از نرم‌افزار اضافی انجام می‌دهند.
 

نتایج تست‌های صورت گرفته برای تعدادی GPU

مهاجم می‌تواند اطلاعات مخفی را در درخواست‌ها و پاسخ‌های HTTP/HTTPS به‌صورت بیت به بیت نشان دهد و چون میزان فشرده‌سازی معمولاً به داده‌های نهان وابسته است، این حمله می‌تواند اطلاعات تصویری حساس را با خواندن پیکسل به پیکسل دزدیده و انتقال دهد.
علاوه بر این، نمونه حمله بر روی وب‌سایت ویکی‌پدیا برای دزدیدن نام کاربری با استفاده از یک فریم (iframe) انجام شد. نتایج حمله برای حمله کانال  جانبی Ryzen در 30 دقیقه و برای GPUهای اینتل در 215 دقیقه به‌دست آمد. اگرچه این حملات بیشتر زمان می‌برد، اما دقت آن‌ها به ترتیب 97٪ و 98.3٪ بوده است.
 

توصیه‌های امنیتی
1. اعمال به‌روزرسانی برای نرم‌افزارها و درایورها: همواره اطمینان حاصل کنید که سیستم عامل و درایورهای گرافیکی شما به‌روز باشند. سازندگان درایورها ممکن است آپدیت‌هایی را برای رفع آسیب‌پذیری‌های امنیتی عرضه کنند.
2. استفاده از مرورگرهای امن: از مرورگرهای معتبر و به‌روز و با امنیت بالا برای مرور وب استفاده کنید. مرورگرهایی مانند Google Chrome، Mozilla Firefox و Microsoft Edge به‌روزرسانی‌های امنیتی منظمی دارند.
3. استفاده از افزونه‌های امنیتی: افزونه‌های مرورگری مانند NoScript یا uBlock Origin می‌توانند به شما کمک کنند تا تبلیغات مخرب و اجرای اسکریپت‌های ناخواسته را مسدود کنید.
4. محافظت از اطلاعات حساس: اطلاعات حساس خود را در مرورگر به اشتراک نگذارید و از ورود به سایت‌های ناشناخته یا مشکوک خودداری کنید.

 منبع خبر:

https://cybersecuritynews.com/gpu-side-channel-vulnerability/

بدافزار جدید ZenRAT کاربران ویندوز را از طریق نرم‌افزار مدیریت رمز عبور جعلی مورد هدف قرار می‌دهد. نسخه جدیدی از نرم‌افزار مخرب ZenRAT در فضای سایبری مشاهده شده است که از طریق بسته‌های نصب جعلی نرم‌افزار مدیریت کلمات عبور Bitwarden توزیع می‌شود.
این نرم‌افزار مخرب به‌طور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبان‌های دیگر استفاده می‌کنند، به یک صفحه وب بی‌خطر هدایت می‌کند. این نرم‌افزار مخرب یک تروجان (RAT) از راه دور ماژولار با قابلیت سرقت اطلاعات است.
ZenRAT در وب‌سایت‌های جعلی که وانمود می‌کنند به Bitwarden مرتبط هستند، میزبانی می‌شود، اگرچه مشخص نیست که چگونه ترافیک به دامنه‌های مختلف هدایت می‌شود. چنین نرم‌افزار مخربی در گذشته از طریق حملات فیشینگ، بدافزار تبلیغانی یا حملات مرتبط با موتورهای جستجو (SEO) منتشر شده است.
بارگیری بسته (Bitwarden-Installer-version-2023-7-1.exe) از crazygameis[.]com، یک نسخه تروجانی از بسته نصب استاندارد Bitwarden است که شامل یک فایل اجرایی مخرب .NET  (ApplicationRuntimeMonitor.exe) می‌باشد.
یکی از جنبه‌های قابل‌توجه حمله به این شکل است که کاربرانی که از سیستم‌های غیر ویندوزی استفاده می‌کنند، به وب‌سایت جعلی شامل مقاله‌ای منتشر شده  از سال 2018 در opensource.com هدایت می‌شوند. این مقاله درباره «چگونگی مدیریت کلمات عبور با استفاده از Bitwarden» می‌باشد.
علاوه بر این، کاربران سیستم عامل ویندوز که بر روی لینک‌های دانلود مخصوص سیستم‌عامل‌های Linux یا macOS در صفحه دانلود کلیک می‌کنند، به وب‌سایت معتبر Bitwarden با آدرس vault.bitwarden.com هدایت می‌شوند.
پس از بررسی و تحلیل اطلاعات فایل installer مشخص شد که مهاجم در تلاش است تا نرم‌افزار مخرب را به‌عنوان "Speccy" که یک نرم‌افزار تولید شده توسط شرکت Piriform است و برای سیستم‌های ویندوز طراحی شده است، نشان دهد. این نرم‌افزار به کاربران امکان مشاهده و نمایش جزئیات و اطلاعات مربوط به سخت‌افزار و نرم‌افزار روی کامپیوترهای شخصی خود را می‌دهد. به عبارت دیگر، Speccy به کاربران کمک می‌کند تا اطلاعات مختلفی از جمله اطلاعات سیستمی مانند نوع و مدل سخت‌افزارها، دما، وضعیت دیسک‌ها و اطلاعات نرم‌افزاری مانند نسخه سیستم‌عامل و برنامه‌های نصب شده را بررسی و مشاهده کنند. این ابزار معمولاً به منظور اطلاع از وضعیت سیستم و رفع مشکلات عملکردی و عیب‌یابی در سیستم‌های ویندوز مورد استفاده قرار می‌گیرد.
امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی، نه تنها نامعتبر است بلکه ادعا می‌شود که توسط Tim Kosse، یک دانشمند کامپیوتر معروف آلمانی که برای توسعه نرم‌افزار FTP رایگان FileZilla شناخته می‌شود، امضا شده است.
با اجرای ZenRAT، اطلاعاتی از جمله نام CPU، نام GPU، نسخه سیستم‌عامل، اطلاعات اعتبار مرورگر و نرم‌افزارهای نصب شده و نرم‌افزارهای امنیتی از میزبان جمع‌آوری می‌شود و به یک سرور کنترل دستور (C2) اداره شده توسط مهاجم با آدرس 85.186.72.14 ارسال می‌شوند.
ZenRAT طوری تنظیم شده است که گزارشات خود را به سرور به‌صورت متن ساده ارسال خواهد کرد. این گزارشات شامل بررسی‌های سیستمی انجام شده توسط نرم‌افزار مخرب و وضعیت اجرای هر ماژول است.

توصیه‌های امنیتی
1. دانلود نرم‌افزار از منابع معتبر:
   - همیشه نرم‌افزارها و برنامه‌ها را از منابع معتبر و رسمی دانلود کنید. در خصوص Bitwarden، توصیه می‌شود از وب‌سایت رسمی آن (vault.bitwarden.com) استفاده کنید.
2. تایید امضای دیجیتال:
   - هنگام دانلود یک نرم‌افزار، امضای دیجیتال را بررسی کنید تا از معتبر بودن آن اطمینان حاصل کنید. اگر امضای دیجیتال نامعتبر یا نادرست باشد، نرم‌افزار را نصب نکنید.
3. آگاهی از دامنه‌های جعلی:
   - توجه نمایید به چه دامنه‌ای از وب‌سایت می‌روید. از وب‌سایت‌های جعلی یا مشکوک دوری کرده و تنها به وب‌سایت‌های معتبر دسترسی داشته باشید.

منبع خبر:

https://thehackernews.com/2023/09/new-zenrat-malware-targeting-windows.html

شرکت گوگل یک آسیب پذیری امنیتی  libwebp با شناسه  CVE-2023-5129  را به عنوان آسیب‌پذیری روز صفر اعلام کرد که در حملات مختلفی مورد بهره‌برداری قرار گرفته است. این شرکت در ابتدا آسیب-پذیری مذکور را به جای اختصاص دادن به کتابخانه منبع باز libwebp که جهت رمزگذاری و رمزگشایی تصاویر در قالب WebP استفاده می‌شود، به‌عنوان یک ضعف کروم با‌عنوان CVE-2023-4863  افشا کرد.

جزئیات آسیب‌پذیری
آسیب‌پذیری CVE-2023-5129 با شدت بحرانی 10 ارزیابی و به عنوان یک نقص امنیتی مهم در  libwebp  شناسایی شده است، همچنین پیامدهای قابل توجهی برای پروژه‌های دیگر با استفاده از کتابخانه منبع باز libwebp  در پیش دارد.
این آسیب‌پذیری شامل یک سرریز بافر پشته در WebP است و مهاجم را قادر می‌سازد تا نوشته‌های حافظه خارج از محدوده را، با استفاده از صفحات HTML ساخته شده به‌طور مخرب اجرا کند. این نوع بهره‌برداری می‌تواند عواقب شدیدی همچون اجرای کد و دسترسی غیرمجاز به اطلاعات حساس داشته باشد.
مشکل اساسی CVE-2023-5129  اجرای ناقص الگوریتم کدگذاری هافمن است. به عبارت ساده‌تر، این اشکال منجر به آسیب‌پذیری شده و شرایطی برای مهاجم فراهم می‌آرود تا سرریز بافر پشته‌ای را راه‌اندازی کند. این سرریز، به وی اجازه می‌دهد تا کدهای غیرمجاز را روی سیستم‌های آسیب‌پذیر اجرا کند. آسیب‌پذیری مذکور به قدری قابل توجه است که با امتیاز CVSS 10.0 ارزیابی شده است که نشان‌دهنده ماهیت بحرانی آن است. از این رو، پتانسیل بالایی جهت فراهم آوردن مخاطراتی همچون راه‌اندازی سرریز بافر پشته‌ای، اجرای کد دلخواه، به خطر انداختن سیستم‌ها، نقض داده‌ها، اختلال در سرویس‌ها و افزایش دسترسی توسط مهاجمان را در پی خواهد داشت. این عامل، بر اهمیت حیاتی وصله سریع و رسیدگی به چنین آسیب‌پذیری‌هایی برای محافظت از محیط‌های دیجیتال در برابر تهدیدات احتمالی تأکید می‌کند.

محصولات تحت تأثیر
آسیب‌پذیری با شناسه CVE-2023-5129  بر نسخه¬های Google Chrome قبل از 116,0,5845,187 و نسخه‌های 0.5.0 تا 1,3,1  Libwebp تأثیر می‌گذارد.

 توصیه‌های امنیتی
برای مقابله با این نقص امنیتی مهم اعمال آخرین به‌روزرسانی‌های امنیتی بهترین روش مقابله می‌باشد.

 منابع خبر:

[1] https://thehackernews.com/2023/09/new-libwebp-vulnerability-under-active.html
[2]https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-…
[3] https://dataconomy.com/2023/09/28/google-cve-2023-5129-libwebp

به تازگی آسیب‌پذیری با شناسه CVE-2023-42115 با شدت بحرانی (9.8) در ایمیل‌سرور محبوب Exim شناسایی شده است. این آسیب‌پذیری که در تمامی نسخه‌های برنامه Exim mail transfer agent (MTA) وجود دارد برای مهاجمان، امکان اجرای کد از راه دور در سرورهایی که در معرض اینترنت هستند را فراهم می‌کند. مهاجم برای بهره‌برداری از این آسیب‌پذیری نیازی به احراز هویت ندارد. هم اکنون حدود 3.5 میلیون سرور exim در  دنیا و در حدود 20 هزار مورد در ایران وجود دارد.
آسیب‌پذیری مذکور به دلیل اعتبارسنجی نامناسب داده‌های ورودی کاربران، در مؤلفه مربوط به احراز هویت آن‌ها می‌باشد. در حال حاضر هنوز وصله امنیتی برای این آسیب‌پذیری منتشر نشده و تنها توصیه امنیتی جهت مصون ماندن از مخاطرات احتمالی این آسیبب‌پذیری، محدود کردن دسترسی به میل‌سرور Exim از طریق اینترنت است.

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rc…
[2] https://www.zerodayinitiative.com/advisories/ZDI-23-1469/