محققان امنیت سایبری بدافزاری به نام Deadglyph کشف کردند که در حملات سایبری جاسوسی یک گروه تهاجمی به نام Stealth Falcon مورد استفاده قرار گرفته است.
معماری Deadglyph به‌عنوان یک معماری غیرمعمول شناخته شده است چراکه شامل یک فایل باینری native x64 و یک فایل .NET می‌باشد، این ترکیب غیرمعمول است زیرا معمولاً تنها از یک زبان برنامه‌نویسی برای پیاده‌سازی نرم‌افزار‌های مخرب استفاده می‌شود. این تفاوت ممکن است به معنای توسعه جداگانه این دو مؤلفه باشد و در عین حال از ویژگی‌های منحصر بفرد زبان‌های برنامه‌نویسی متفاوتی که بکار گرفته شده، بهره می‌برد.
 

شکل 1- معماری Deadglyph

همچنین، این امکان وجود دارد که استفاده از زبان‌های برنامه‌نویسی مختلف یک تاکتیک عمدی است تا تحلیل را مشکل‌تر کند و اجازه ندهد به سادگی به آن دست پیدا کرد. بر خلاف دیگر بدافزارهای backdoor  سنتی، دستورات به‌صورت ماژول‌های اضافی از یک سرور تحت کنترل دریافت می‌شوند که به این برنامه امکان ایجاد پردازه‌های جدید، خواندن فایل‌ها و جمع‌آوری اطلاعات از سیستم‌های تخریب شده را می‌دهد.
Stealth Falcon (یا FruityArmor) در ابتدا توسط Citizen Lab در سال 2016 فاش شد و با حملات جاسوسی هدفمندی در خاورمیانه شناخته شد. این حملات با استفاده از لینک‌های مخصوص که به اسناد حاوی ماکرو متصل بودند و به‌منظور اجرای دستورات دلخواه صورت می‌گیرند.
تحقیقات بعدی توسط رویترز در سال 2019 عملیات پروژه راون را فاش کرد که اعضای آن شامل گروهی از مهاجمان سابق ایالات متحده بود که توسط شرکت امنیتی به نام DarkMatter جهت جاسوسی استخدام شده بودند.
احتمالا Stealth Falcon  و اعضای دخیل در پروژه راون به دلیل مشابهت در تاکتیک‌ها و هدف‌گیری‌ها یک گروه هستند. این گروه همچنین از آسیب‌پذیری‌های روز صفر ویندوز مانند CVE-2018-8611 و CVE-2019-0797 استفاده کرده‌اند. در آوریل 2020 اعلام شد که این گروه جاسوسی بیشترین تعداد آسیب‌پذیری‌های روز صفر را نسبت به هر گروه دیگری از سال 2016 تا 2019 استفاده کرده است.
در همان زمان، ESET جزئیات استفاده از یک backdoor  به نام Win32/StealthFalcon را نیز توضیح داد که از سرویس انتقال پس‌زمینه ویندوز (BITS) جهت ارتباط و به آوردن کنترل کامل سیستم قربانی استفاده کرده است.
روش دقیقی که برای ارسال این برنامه استفاده می‌شود در حال حاضر ناشناخته است، اما جزء اولیه که اجرای آن را فعال می‌کند یک بارگذار شل‌کد است که شل‌کد را از رجیستری ویندوز استخراج و بارگذاری می‌کند که به‌عنوان ماژول x64 و یک اجراکننده شناخته می‌شود.
سپس اجراکننده با بارگذاری یک مولفه .NET به نام Orchestrator ادامه می‌دهد تا با سرور کنترل ارتباط برقرار ‌کند. دستوراتی که از سرور دریافت می‌شود به‌صورت ماژول‌های اجرایی به انجام می‌رسند و می‌توانند در یکی از سه دسته‌ تسک‌های Orchestrator ، اجراکننده و آپلود انجام شوند.
بعضی از وظایف اجراکننده شامل ایجاد فرآیند، دسترسی به فایل و جمع‌آوری اطلاعات متا دستگاه است. ماژول تایمر جهت پرس و جوی دوره‌ای سرور C2 به همراه ماژول شبکه استفاده می‌شود که از طریق درخواست‌های POST HTTPS ارتباط C2 را پیاده‌سازی می‌کند.
تسک‌های آپلود، همان‌طور که از نامش پیداست، بهbackdoor  این امکان را خواهد داد تا خروجی دستورات و خطاها را بارگذاری کنند.
Deadglyph از مکانیزم‌های ضد-تشخیصی متعددی بهره می‌برد، از جمله نظارت مداوم بر فرآیندهای سیستم و پیاده‌سازی الگوهای شبکه تصادفی. علاوه بر این، این بدافزار توانایی حذف خود را دارد تا احتمال تشخیص آن در موارد خاصی را به حداقل برسد.

توصیه‌های امنیتی

1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل و نرم‌افزارهای شما به‌روز هستند. به‌روزرسانی‌ها اغلب اقدامات امنیتی را ارائه می‌دهند که می‌توانند از آسیب‌پذیری‌ها جلوگیری کنند.
2. آنتی‌ویروس: نصب یک برنامه آنتی‌ویروس با قابلیت به‌روزرسانی خودکار می‌تواند به شما کمک کند تا بدافزارها را تشخیص داده  و از ورود آنها به سیستم جلوگیری کنید.
3. هویت و دسترسی محدود: دسترسی به سیستم و داده‌های حساس را به کاربران معتبر محدود کنید.
4. آموزش کارکنان: کارکنان را در مورد تهدیدات امنیتی و نحوه رفتار در مقابل ایمیل‌ها و پیام‌های مشکوک آموزش دهید. حملات پیشرفته معمولاً از راه‌های مهندسی اجتماعی برای نفوذ استفاده می‌کنند.
5. مانیتورینگ فعال: نظارت مستمر بر فعالیت‌های سیستمی و شبکه، می‌تواند به میزان قابل توجهی از ورود مهاجمان و بدافزارها به سیستم جلوگیری کند.
6. استفاده از فایروال: نصب یک فایروال سخت‌افزاری یا نرم‌افزاری می‌تواند از ورود ناخواسته به سیستم جلوگیری کند و ترافیک مشکوک را مسدود سازد.
7. پشتیبانی و بازیابی داده: سیستم منظم پشتیبان‌گیری از داده‌های مهم خود ایجاد کنید و برای دسترسی و بازیابی داده‌ها، تدابیر امنیتی را به کار گیرید. این موضوع می‌تواند در مواجهه با حملات رمزگذاری‌شده یا حذف داده‌ها مفید باشد.
8. بررسی مرتب ایمیل‌ها: ایمیل‌ها و پیوست‌های مشکوک را به‌ دقت بررسی کنید و هیچگاه پیوست‌های منابع نامعتبر را دانلود نکنید.
9. استفاده از شبکه VPN: در صورت امکان، از یک شبکه مجزا استفاده کنید تا اطلاعات شما از دسترسی غیرمجاز محافظت شود.
10. حفاظت از اطلاعات و ورودی‌های رجیستری: به‌دقت کنترل کنید که چه اطلاعاتی به رجیستری وارد می‌شود و از داده‌ها و اطلاعات مهم حفاظت کنید.

همچنین، به یاد داشته باشید هیچ سیستمی به‌طور کامل از تهدیدات امنیتی محافظت نمی‌کند، بنابراین ترکیب تدابیر متعدد و ایجاد یک فرهنگ امنیتی در سازمان شما حائز اهمیت است. همچنین توسعه‌دهندگان امنیتی و محققان امنیتی باید کماکان در حال بررسی تهدیدات امنیتی جدید باشند تا بتوانند در اسرع وقت، تهدیدات را شناسایی و از بروز آن‌ها جلوگیری کنند.

منبع خبر:

https://thehackernews.com/2023/09/deadglyph-new-advanced-backdoor-with.html

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-42793 و شدت 9.8 در نرم‌افزار (CI/CD) JetBrains TeamCity  کشف شده که می‌تواند توسط مهاجم احراز هویت نشده منجر به بهره‌برداری و افشای کد منبع(source code) شود و امکان اجرای کد از راه دور بر روی سیستم هدف را فراهم می‌آورد.
JetBrains TeamCity یک برنامه قوی و عالی است که توسط کمپانی مشهور JetBrains با امکانات جامع و کامل برای ویندوز عرضه شده است. نرم‌افزاری که در محیط‌های توسعه نرم‌افزار قادر است به اعضای تیم برنامه‌نویسی کمک نماید تا هر کاربری بتواند کدهای خود را با ورژن‌کنترل‌های مختلفی همچون SVN, GIT و غیره در سرور ذخیره و با استفاده از کامپایلری Build کند.
مهاجمان با استفاده از سطح دسترسی دلخواه می‌توانند کدمنبع، سرویس‌های محرمانه و رمز‌های خصوصی را به سرقت برده یا کنترل سرویس‌های مرتبط را به دست بگیرند و نرم‌افزارهای خروجی را آلوده کنند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به دسترسی به pipe-lineها و تزریق کد دلخواه توسط مهاجم شود که این مسئله یکپارچگی و زنجیره تأمین را شدیداً به خطر خواهد انداخت.
 

شکل 1: تزریق pay-load جهت بهره‌برداری از آسیب‌پذیری

محصولات تحت تأثیر
نسخه‌های قبل از 2023.05.4 نرم‌افزار JetBrains TeamCity تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
کمپانی JetBrains به کاربران توصیه می‌کند در اسرع وقت نرم‌افزار خود را به آخرین به‌روزرسانی منتشرشده یعنی نسخه 2023.05.4 ارتقاء دهند. همچنین این شرکت افزونه‌ای با وصله امنیتی مختص این آسیب‌پذیری منتشر نمود تا کاربرانی که از نسخه‌های قدیمی‌تر نرم‌افزار TeamCity‌ (8.0 و بالاتر) استفاده می‌کنند و فعلا قدر به اعمال به‌روزرسانی منتشر شده نیستند، نقص امنیتی مذکور را در از این طریق برطرف کنند.

منابع:

[1] https://thehackernews.com/2023/09/critical-jetbrains-teamcity-flaw-could.html
[2] https://youtu.be/O2p-6I8RK5c?si=df51hOF6cnP1frql   
[3]https://blog.jetbrains.com/teamcity/2023/09/cve-2023-42793-vulnerability-post-mortem/

جزئیات آسیب‌پذیری
یک آسیب‌پذیری امنیتی با شناسه CVE-2023-20223 و شدت 8.6 در Cisco DNA Center شناسایی شده است که از راه دور امکان دسترسی غیرمجاز را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری امنیتی می‌تواند به مهاجم اجازه دهد تا داده‌ها را در دستگاه قربانی مشاهده کرده و آن‌ها را تغییر دهد.
Cisco DNA Center (Cisco Digital Network Architecture Center)، یک پلتفرم مدیریت شبکه توسعه یافته شرکت سیسکو (Cisco) می‌باشد که جهت مدیریت اتوماسیون شبکه‌های سازمانی و ایجاد شبکه‌های معتمد و امن بر اساس مفهوم Software-Defined Networking (SDN) و Intent-Based Networking (IBN) طراحی شده است. به‌طور کلی، Cisco DNA Center به سازمان‌ها کمک می‌کند تا شبکه‌های پیچیده‌ را به‌ صورت مؤثرتر و امن‌تر مدیریت کرده و از مزایای تکنولوژی‌های نوین شبکه مانند SDN و IBN استفاده کنند.
این آسیب‌پذیری امنیتی مربوط به عدم کنترل دسترسی کافی درخواست‌های API می‌باشد. مهاجم می‌تواند با استفاده از درخواست‌های API به‌طور دقیق، به دستگاه آسیب‌پذیری‌پذیر حمله کند و با بهره‌برداری موفق از آسیب‌پذیری مذکور داده‌های مدیریتی را در دستگاه تحت تأثیر، به صورت غیرمجاز بخواند و یا تغییر دهد.

محصولات تحت تأثیر
 Cisco به تازگی به‌روزرسانی‌های نرم‌افزاری رایگانی برای نسخه‌های تحت تأثیر این آسیب‌پذیری منتشر کرده است که به‌طور موثر اثرات آن را کاهش می‌دهد.
 

شایان ذکر است که این آسیب‌پذیری بر روی Cisco DNA Centerای که قابلیت Disaster Recovery بر روی آن فعال باشد، تأثیر خواهد گذاشت. ویژگی Disaster Recovery به‌طور پیش‌فرض غیرفعال می‌باشد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء پلتفرم Cisco DNA Center به نسخه‌های وصله‌شده اقدام کنند و مشتریانی که نمی‌توانند پلتفرم خود را به نسخه‌های وصله‌شده ارتقاء دهند، جهت کاهش این آسیب‌پذیری می‌توانند از روش‌های موقتی که در ادامه به آن‌ها اشاره شده است، استفاده کنند چراکه این راه‌حل‌ها ممکن است مخاطرات احتمالی را تا زمان ارتقاء Cisco DNA Center کاهش دهد. همچنین شرکت Cisco توصیه می‌کند کاربران در صورت نیاز، با مرکز پشتیبانی فنی این شرکت (TAC) تماس گرفته، راهنمایی و پشتیبانی لازم را دریافت کنند.

• بررسی تنظیمات امنیتی: تنظیمات امنیتی Cisco DNA Center را بررسی و به‌روز کنید. این بررسی‌ها شامل کنترل‌های دسترسی، فایروال‌ها و سایر تنظیمات امنیتی می‌باشند.
• غیرفعال کردن Disaster Recovery (در صورت لزوم): اگر از قابلیت Disaster Recovery استفاده نمی‌کنید یا به استفاده از آن نیاز ندارید، می‌توانید این ویژگی را غیرفعال کنید. این کار ممکن است به کاهش آسیب‌پذیری کمک کند.
• مدیریت دسترسی: اطمینان حاصل کنید که تنها افراد مجاز، به Cisco DNA Center دسترسی داشته و مدیریت دسترسی‌ها به دقت صورت گرفته است.

منابع خبر:

[1]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-ins-acc…
[2] https://cybersecuritynews.com/cisco-dna-center-vulnerability/
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-20223

در سپتامبر ۲۰۲۳، یک آسیب‌پذیری بحرانی در Microsoft SharePoint Server  با شدت 9.8 و شناسه CVE-2023-29357  گزارش شد. این آسیب‌پذیری در ماه ژوئن ۲۰۲۳ توسط مایکروسافت وصله شده بود. این آسیب‌پذیری به مهاجم اجازه می‌داد که بدون نیاز به احراز هویت، سطح دسترسی ادمین را بدست آورند. برای بهره‌برداری از این آسیب‌پذیری، مهاجم می‌تواند از توکن‌های احراز هویت JWT (JSON Web Token) دیگران استفاده غیرمجاز کند. این کار به وی اجازه می‌داد تا حملات شبکه را اجرا کرده، مکانیزم‌های احراز هویت را دور زده و به امتیازات یک کاربر احراز هویت شده دسترسی پیدا کند. شایان ذکر است که این حملات به هیچ گونه تعاملی از سوی کاربر نیاز نداشت.
یک پژوهشگر مرکز تحقیقات StarLabs به نام نگوین تیان گیانگ، در رویداد Pwn2Own Vancouver  2023 تجزیه و تحلیل دقیقی از یک زنجیره بهره‌برداری ترکیبی ارائه داد. این زنجیره دارای دو آسیب‌پذیری اساسی است:
1. دسترسی بدون احراز هویت: حمله‌کننده می‌تواند با تولید JWTهای معتبر و استفاده از الگوریتم امضا "none" به عنوان الگوی امضا، خود را عنوان به هر کاربری در SharePoint جا بزند. این تاکتیک به طور مؤثر از اعتبارسنجی امضا در هنگام تایید توکن‌های JWT در روند احراز هویت OAuth گذر می‌کند.
2. تزریق کد: کاربران SharePoint با مجوزهای "Owners" می‌توانند کد دلخواهی را تزریق کنند. به طور خاص، آن‌ها می‌توانند فایل /BusinessDataMetadataCatalog/BDCMetadata.bdcm را جایگزین کنند، که می‌تواند باعث می‌شود کد تزریق شده به صورت یک مجموعه کامپایل شده توسط SharePoint  اجرا شود.
چالش اصلی آن است که چگونه از آسیب‌پذیری دسترسی بدون احراز هویت برای دسترسی به API SharePoint استفاده شود، سپس یک زنجیره بهره‌برداری پس از احراز هویت (RCE) از این طریق شناسایی شود.
 

شکل 1: آسیب‌پذیری برای CVE-2023-29357 در پلتفرم SOCRadar

یک اسکریپت بهره‌برداری عمومی برای این آسیب‌پذیری SharePoint به تازگی در GitHub منتشر شده است که به مهاجمان اجازه می‌دهد تا سطح دسترسی را در نصب‌ نسخه‌های تحت تأثیر SharePoint Server بالا ببرند. علاوه بر این، عوامل مخرب می‌توانند این آسیب‌پذیری را با یک آسیب‌پذیری RCE دیگر ادغام کرده و سرور مورد هدف را به شدت در زمینه محرمانگی، اصالت، و دسترسی تحت تاثیر قرار دهند.
اسکریپت بهره‌برداری GitHub امکانات زیر را فراهم خواهد کرد:
1. تظاهر به کاربر: این امکان را به مهاجمان می‌دهد تا کد دلخواهی را به عنوان برنامه SharePoint اجرا کنند و منجر به حمله (DoS) انکارسرویس شود.
2. خروجی‌های دقیق: این اسکریپت جزئیات کاربران مدیر با امتیازات بالا را فاش می‌کند و می‌تواند در حالت‌های بهره‌برداری تکی و گروهی عمل کند.
با این حال، باید تأکید شود که این اسکریپت تنها برای مقاصد آموزشی، تست قانونی و استفاده اخلاقی طراحی شده است.

محصولات تحت تأثیر
این آسیب‌پذیری به طور مستقیم بر روی SharePoint Server 2019 نسخه 16.0.10396.20000 تأثیر می‌گذارند. علاوه بر این، تست‌ها شامل پچ‌های مارس 2023 KB5002358 و KB5002357 شده است.

توصیه‌های امنیتی
اعمال تدابیر دفاعی برای سازمان‌هایی که SharePoint Server را اجرا می‌کنند، به ویژه نسخه 2019، ضرور است. مایکروسافت توصیه می‌کند که کاربران در اسرع وقت نرم‌افزار خود را به نسخه  16.0.10399.20005 ارتقاء دهند، همچنین این شرکت اعلام کرده است که مشتریانی که ویژگی یکپارچگی AMSI رابط اسکن ضد بدافزار را فعال کرده و از Microsoft Defender در فارم‌های SharePoint Server خود استفاده می‌کنند، در برابر این آسیب‌پذیری محافظت می‌شوند. این لایه امنیتی سطح دیگری از حفاظت ارائه می‌دهد. برای کسانی که می‌خواهند AMSI را با SharePoint Server خود پیاده‌سازی کنند، راهنمای مرحله به مرحله را می‌توانید در مستندات رسمی مایکروسافت پیدا کنند:

https://learn.microsoft.com/en-us/sharepoint/security-for-sharepoint-server/configure-amsi-integrat…

اکنون که بهره‌برداری به صورت عمومی در دسترس است، احتمال استفاده از آن توسط موجودیت‌های مخرب به طرز قابل توجهی افزایش یافته است. پیاده‌سازی به موقع پچ‌ها و تدابیر توصیه شده جهت مهار احتمال تخلفات امنیتی و نفوذ به داده‌ها بسیار حیاتی است.

روش‌های دریافت و نصب به‌روزرسانی
1. از طریق Microsoft Update: این به‌روزرسانی از طریق Microsoft Update در دسترس است. هنگامی که به‌روزرسانی خودکار را فعال کنید، این به‌روزرسانی به‌طور خودکار دانلود و نصب می‌شود. برای اطلاعات بیشتر در مورد دریافت خودکار به‌روزرسانی‌های امنیتی، به Windows Update: سوالات متداول مراجعه کنید.
2. از طریق Microsoft Update Catalog: برای دریافت بسته مستقل این به‌روزرسانی، به وب‌سایت Microsoft Update Catalog مراجعه کنید.
3. از طریق Microsoft Download Center: می‌توانید بسته به‌روزرسانی مستقل را از طریق Microsoft Download Center دریافت کنید. دستورالعمل‌های نصب را در صفحه دانلود دنبال کنید تا به‌روزرسانی نصب شود.

منابع خبر:

[1] https://socradar.io/microsoft-sharepoint-server-elevation-of-privilege-vulnerability-exploit-cve-20…
[2] https://github.com/Chocapikk/CVE-2023-29357/tree/main
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357

یک مهاجم درحال گسترش اکسپلویت جعلی اثبات نامفهوم (PoC)  برای آسیب‌پذیری WinRAR است که اخیرا در GitHub رفع شده است.
این مهاجم، کاربران را با اکسپلویت جعلی WinRAR PoC، در GitHub فریب می‌دهد تا سیستم آنها را با بدافزار VenomRAT آلوده کند. این PoC جعلی، آسیب‌پذیری WinRAR را اکسپلویت نمی‌کند، به‌نظر می-رسد مهاجم از یک RCE با جستجوی بالا در WinRAR، برای به خطر انداختن دیگران استفاده می‌کند.

جزئیات آسیب‌پذیری
PoC جعلی برای آسیب‌پذیری CVE-2023-40477 ایجاد شده است. یک آسیب‌پذیری اجرای کد که می‌تواند زمانی که فایل‌های RAR ساخته شده در WinRAR قبل از 6.23 باز می‌شوند، فعال شود.
CVE-2023-40477  به یک آسیب‌پذیری اعتبار سنجی نامناسب، در ابزار WinRAR مربوط می‌شود که می-تواند برای دستیابی به اجرای کد از راه دور (RCE) در سیستم‌های ویندوز اکسپلویت شود. این آسیب‌پذیری، ماه گذشته  در نسخه WinRAR 6.23 همراه با آسیب¬پذیری دیگری با عنوان CVE-2023-38831  که اکسپلویت شده بود، ردیابی شد.
عامل مخرب شامل یک فایلREADME  و یک ویدیوی Streamable بود که نحوه استفاده از PoC را نشان می‌داد. اسکریپت جعلی Python PoC در واقع اصلاح یک اکسپلویت در دسترس عموم برای یک آسیب‌پذیری دیگر است، CVE-2023-25157، یک آسیب‌پذیری بحرانی تزریق  SQLاست که GeoServer را تحت تاثیر قرار می‌دهد.
این عامل مخرب هنگامی که اجرا می‌شود، به جای اجرای اکسپلویت، یک اسکریپت دسته‌ای ایجاد می¬کند که یک اسکریپت کدگذاری شده PowerShell را دانلود کرده و روی host اجرا می¬کند.
این اسکریپت، بدافزارVenomRAT  را دانلود می‌کند و یک کار برنامه‌ریزی شده برای اجرای آن ایجاد می‌کند. مهاجم ممکن است در آینده از توجه بیشتر جامعه امنیتی به آسیب‌پذیری‌های جدید، برای انتشارسایر PoC های گمراه کننده برای آسیب‌پذیری‌های مختلف استفاده کند.
PoC های جعلی درGitHub یک حمله کاملا مستند است که در آن، عوامل تهدید سایر مجرمان و محققان امنیتی را هدف قرار می‌دهد.

منابع خبر:

[1] https://thehackernews.com/2023/09/beware-fake-exploit-for-winrar.html
[2] https://www.bleepingcomputer.com/news/security/fake-winrar-proof-of-concept-exploit-drops-venomrat-…

گروه هک APT36، با نام Transparent Tribe، با استفاده از حداقل سه برنامه اندرویدی که از YouTube تقلید می‌کنند، دستگاه‌ها را با تروجان دسترسی از راه دور امضا شده خود (RAT)  وCapraRAT آلوده می‌کنند.
 CapraRAT یک RAT تهاجمی است که به مهاجمان، امکان کنترل بسیاری از داده‌های دستگاه های آلوده را ایجاد می‌کند. مهاجمان از برنامه‌های جعلی YouTube Android که در وب‌سایت‌های قربانی میزبانی شده اند، برای توزیع CapraRAT استفاده می‌کنند.

جزئیات آسیب‌پذیری
محققان امنیت سایبری، در Sentinel Labs اخیرا گزارش کرده‌اند که عوامل تهدید، از بدافزار اندروید CapraRAT برای ربودن دستگاه‌های اندرویدی با تقلید از برنامه YouTube اکسپلویت می‌کنند.
 CapraRATابزاری تهاجمی است که به مهاجم این امکان را ایجاد می‌کند که با آلوده کردن دستگاه‌های اندرویدی، به کنترل بسیاری از داده‌های آن دست یابد و در طول مراحل نصب برنامه‌ها، مجوزهای خطرناکی را درخواست می‌کند.
 این بدافزار می‌تواند داده‌ها را استخراج کند، صدا/تصویر ضبط کند، به‌عنوان نرم‌افزار جاسوسی قوی عمل کند و به داده‌های ارتباطی حساس دسترسی پیدا کند. همچنین می‌تواند تماس برقرار کند، پیام‌های SMS را رهگیری/مسدود کند، و تنظیمات GPS و شبکه را لغو کند و اطلاعات استخراج شده، در سرور کنترل شده توسط مهاجم آپلود شود.
بدافزارCapraRAT، به‌عنوان برنامه‌های پیام‌رسان/تماس امن تروجانیزه‌شده با نام‌های MeetsApp و MeetUp تبلیغ می‌شود و از طریق فریب‌های مهندسی اجتماعی توزیع می‌شود.
هدف مهاجم، جمع‌آوری اطلاعات و استفاده از ابزارها برای نفوذ به سیستم‌های ویندوز، لینوکس و اندروید است. این برنامه‌ها با عنوان YouTube برای اندروید ظاهر می شوند، اما نسخه های جعلی هستند که با اهداف مخرب راه اندازی شده اند. مهاجم این برنامه‌ها را برای تقلید از برنامه واقعی  YouTube طراحی کرده است. به عنوان مثال، برنامه‌ها به دلیل استفاده از WebView برای بارگیری سرویس و فاقد بسیاری از ویژگی‌های امضای پلت فرم اصلی، شبیه مرورگرهای وب به نظر می‌رسند.

توصیه‌های امنیتی
هیچ برنامه‌ای حاوی این بدافزار در Google Play یافت نشده است. Google Play Protect، از کاربران در برابر برنامه‌های شناخته شده، حاوی این بدافزار در دستگاه‌های Android با سرویس‌های Google  Play محافظت می‌کند. از این رو، به کاربران توصیه می‌شود حتماً از Google Play برای دانلود برنامه‌های ایمن اندروید استفاده کنند.
کاربران باید مراقب کلیک کردن روی لینک‌های موجود در ایمیل‌ها یا پست‌های رسانه‌های اجتماعی از فرستندگان ناشناس باشند. همچنین، باید دستگاه¬ها و برنامه‌های خود را با آخرین وصله‌های امنیتی به روز رسانی کنند. سازمان¬ها باید بهترین شیوه‌های امنیتی مانند تایید هویت چند عاملی و آموزش آگاهی از امنیت کارکنان را اجرا کنند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-you…
[2] https://cybersecuritynews.com/caprarat-hijack-android-phones
[3] https://www.hackread.com/fake-youtube-android-apps-caprarat

شرکت امنیت سایبری Trend Micro برای رفع یک آسیب‌پذیری امنیتی مهم، در Apex One و راهکارهای امنیت کسب و کار بدون نگرانی برای ویندوز که اکسپلویت شده است، وصله‌های لازم را منتشر کرده است.

جزئیات آسیب‌پذیری
 Apex One یک راه‌حل امنیتی نقطه پایانی است که برای مشاغل ارائه می¬شود و مجموعه امنیت کسب و کار بدون نگرانی، برای شرکت¬های کوچک تا متوسط طراحی شده است.
این آسیب‌پذیری با عنوان CVE-2023-41179 و امتیاز 9,1 ارزیابی شده است و می‌تواند به مهاجم اجازه دهد تا با دستکاری ماژول، دستورات خود را روی یک آسیب‌‌پذیر اجرا کند.
مهاجم برای اکسپلویت این آسیب‌پذیری، باید به کنسول مدیریتی روی سیستم هدف دسترسی داشته باشد و از آنها برای ورود به سیستم استفاده کرده باشد.
در حالت کلی، بهره‌برداری از این نوع آسیب‌پذیری‌ها، مستلزم آن است که یک مهاجم (فیزیکی یا از راه دور) به یک ماشین آسیب‌پذیر دسترسی داشته باشد.
در صورت اکسپلویت موفقیت‌آمیز این آسیب‌پذیری، مهاجمی که می‌تواند به کنسول مدیریت محصول وارد شود، ممکن است کد خود را با دسترسی سیستم، در رایانه شخصی که عامل امنیتی در آن نصب شده است، اجرا کند.

محصولات تحت تأثیر
این آسیب‌پذیری بر محصولات Trend Micro Apex One 2019، Trend Micro Apex One SaaS 2019، امنیت کسب و کار بدون نگرانی  (WFBS) 10.0 SP1و خدمات امنیت کسب و کار بدون نگرانی (WFBSS) 10.0 SP1 تاثیرگذار بوده است.

توصیه‌های امنیتی
یک راه‌حل مؤثر، محدود کردن دسترسی به شبکه‌های قابل اعتماد و مهاجمانی است که سعی می‌کنند از مکان‌های خارجی به نقطه پایانی دسترسی پیدا کنند. مدیران باید با نصب به‌روزرسانی‌های امنیتی مانع از استفاده مهاجمان، از این آسیب‌پذیری برای انتشار به دستگاه‌های دیگر شوند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-41179
[2]https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-…
[3] https://thehackernews.com/2023/09/trend-micro-releases-urgent-fix-for.html
[4] https://vuldb.com/de/?id.239948

شرکت Apple، وصله‌هایی برای 3 آسیب‌پذیری بحرانی جدید روز صفر منتشر کرده است که بر iPadOS، iOS، watchOS، macOS و Safari  تاثیرگذار است.

جزئیات آسیب‌پذیری
آسیب‌پذیری CVE-2023-41991، یک آسیب‌پذیری اعتبارسنجی در چارچوب امنیتی است که به مهاجم اجازه می‌دهد، تایید اعتبار امضا را با استفاده از برنامه‌های مخرب دور بزند یا از طریق صفحات وب که به طور مخرب ساخته شده‌اند، کدهای خود را اجرا کند.
CVE-2023-41992، عنوان آسیب‌پذیری دیگری است که در Kernel Framework کشف شده است که API ها و پشتیبانی از برنامه‌های افزودنی Kernel و درایورهای دستگاه Kernel را فراهم می¬کند. مهاجمان محلی، با اکسپلویت این آسیب‌پذیری می‌توانند دسترسی خود را افزایش دهند.
آسیب‌پذیری CVE-2023-41993، یک آسیب‌پذیری WebKit است که می‌تواند منجر به اجرای کد، هنگام پردازش محتوای وب ساخته شده شود.
این شرکت، جزئیات بیشتری در مورد آسیب¬پذیری منتشر نکرد و در گزارشی اعلام کرد، این  آسیب‌پذیری ممکن است در نسخه‌های  iOS قبل از iOS 16.7 اکسپلویت شده باشد.
دستگاه‌های آسیب‌پذیر شامل iPhone 8 و بعدتر، iPad mini 5th generation و جدیدتر، Macs running macOS Monterey و جدیدتر،  Apple Watch Series 4 و بعدتر هستند.

محصولات تحت تأثیر
سه آسیب‌پذیری روز صفر درmacOS 12.7/13.6 ، iOS 16.7/17.0.1، iPadOS 16.7/17.0.1 و watchOS 9.6.3/10.0.1 با رفع مشکل اعتبار سنجی، برطرف شده است.

منابع خبر:

[1] https://thehackernews.com/2023/09/apple-rushes-to-patch-3-new-zero-day.html
[2] https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-i…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-41991
[4] https://vuldb.com/?id.240162

به‌روزرسانی‌های امنیتی GitLab، برای رسیدگی به یک آسیب‌پذیری بحرانی منتشر شده است که به مهاجمان اجازه می‌دهد خطوط لوله را مانند سایر کاربران از طریق سیاست‌های اسکن امنیتی برنامه‌ریزی شده اجرا کنند.

جزئیات آسیب‌پذیری
GitLab یک پلت‌فرم مدیریت پروژه و ردیابی نرم‌افزار منبع باز مبتنی بر وب است که نسخه رایگان و تجاری آن را ارائه می‌دهد.
این آسیب‌پذیری با عنوان CVE-2023-4998 و امتیاز 9.6 ارزیابی شده است.
جعل هویت کاربران بدون مجوز آنها، برای اجرای وظایف خط لوله، می‌تواند منجر به دسترسی مهاجمان به اطلاعات حساس یا بهره‌برداری از مجوزهای کاربران جعل شده برای اجرای کد، تغییر داده‌ها یا راه‌اندازی رویدادهای خاص در سیستم GitLab شود.
با توجه به اینکه GitLab برای مدیریت کد استفاده می شود، این آسیب‌پذیری می‌تواند منجر به آسیب رساندن به نشت داده‌ها، حملات زنجیره تامین و سایر سناریوهای پرخطر شود.
اکسپلویت موفقیت‌آمیز از آسیب‌پذیری CVE-2023-5009 می‌تواند به یک مهاجم اجازه دهد به اطلاعات حساس دسترسی داشته باشد یا از مجوزهای بالاتر کاربر جعل شده برای تغییر کد منبع یا اجرای کد بر روی سیستم استفاده کند.

محصولات تحت تأثیر
این آسیب‌پذیری در GitLab نسخه‌های  13,12تا 16,2,7 و 16,3 تا 16,3,4 تاثیرگذار بوده است.

توصیه‌های امنیتی
به کاربران توصیه شده است، برای محافظت در برابر خطرات احتمالی، به‌روزرسانی‌های امنیتی  را اعمال کنند. نسخه‌های 16,3,4  و 16,2,7 آسیب‌پذیریCVE-2023-5009 را برطرف کرده‌اند.
از کاربران نسخه‌های قبل از 16,2 که رفع مشکل امنیتی را دریافت نکرده‌اند، خواسته شده است انتقال مستقیم و سیاست‌های امنیتی را فعال نکنند. انتقال مستقیم، قابلیتی است که امکان مهاجرت گروه ها و پروژه ها را با انتقال مستقیم فراهم می کند. در حالی که سیاست‌های امنیتی، از اسکن‌هایی که بر اساس زمان‌بندی یا در خط لوله پروژه اجرا می‌شوند، پشتیبانی می‌کنند.
در صورت فعال بودن هر دو ویژگی، نمونه آسیب‌پذیر خواهد بود.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-c…
[2] https://thehackernews.com/2023/09/gitlab-releases-urgent-security-patches.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-5009
[4]https://www.itnews.com.au/news/gitlab-patches-critical-vulnerability-600436?utm_source=feed&utm_med…

نرم‌افزار مانیتورینگ شبکه Nagios Xl، چهار آسیب¬پذیری امنیتی مهم را اصلاح کرده است که در برابر افزایش دسترسی و افشای اطلاعات محافظت می‌کند.

جزئیات آسیب‌پذیری
چندین آسیب‌پذیری امنیتی در نرم‌افزار نظارت بر شبکه  Nagios XI افشاء شده است که می‌تواند منجر به افزایش دسترسی و افشای اطلاعات شود.
آسیب‌پذیری با شناسه CVE-2023-40931،  CVE-2023-40933 و  CVE-2023-40934، به کاربران با سطوح مختلف دسترسی اجازه می‌دهد، از طریق SQL Injections به فیلدهای پایگاه داده، دسترسی داشته باشند.
مهاجم می‌تواند دستورات SQL خود را از طریق پارامتر ID، با درخواست به nagionsxi/admin/banner_message-ajaxhelper.php اجرا کند.
داده‌های بدست آمده از این آسیب‌پذیری‌ها، ممکن است برای افزایش دسترسی در محصول و بدست آوردن داده‌های حساس کاربر، مانند هش رمز عبور و توکن¬های API استفاده شود.
آسیب‌پذیری CVE-2023-40932، به یک آسیب‌پذیری برنامه‌نویسی XSS مربوط می‌شود که می‌تواند برای خواندن داده‌های حساس، از جمله رمزهای عبور متن شفاف از صفحه ورود استفاده شود.
اکسپلویت موفقیت‌آمیز سه آسیب‌پذیری تزریق SQL می‌تواند به یک مهاجم تایید هویت نشده اجازه دهد تا دستورات SQL خود را اجرا کند، در صورتی که آسیب‌پذیری XSS می‌تواند برای تزریق جاوا اسکریپت و خواندن و اصلاح داده‌های صفحه اکسپلویت شود.

محصولات تحت تأثیر
چهار آسیب‌پذیری امنیتی که ازCVE-2023-40931  تا CVE-2023-40934  ردیابی شده‌اند، نسخه‌های 5.11.1  و پایین‌تر Nagios Xl را تحت تاثیر قرار می‌دهند.

توصیه‌های امنیتی
ارتقاء به نسخه 5.11.2 این آسیب¬پذیری را برطرف کرده است.

منابع خبر:

[1] https://thehackernews.com/2023/09/critical-security-flaws-exposed-in.html
[2] https://vuldb.com/?id.239985
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-40931