گوگل به‌روزرسانی‌های امنیتی اضطراری را برای رفع چهارمین آسیب‌پذیری روز صفر Chrome منتشر کرد که از ابتدای سال تاکنون اکسپلویت شده است.

جزئیات آسیب‌پذیری
یک آسیب‌پذیری که با عنوان CVE-2023-4863 بحرانی طبقه بندی شده است، در گوگل کروم (مرورگر وب) یافت شد  که بر بلوک کد ناشناخته مؤلفه WebP تأثیر می‌گذارد.
آسیب‌پذیری بحرانی روز صفر (CVE-2023-4863) ناشی از ضعف سرریز پشته‌ای بافر کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد متغیر است.
این آسیب‌پذیری به مهاجم راه دور اجازه می‌دهد، از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.
دستکاری با یک ورودی ناشناخته منجر به آسیب‌پذیری سرریز مبتنی بر پشته می‌شود.
شرایط سرریز پشته یک سرریز بافر است که در آن بافری که می‌توان رونویسی کرد، در قسمت پشته حافظه تخصیص داده می شود. به طور کلی به این معنی که بافر با استفاده از روتینی مانند malloc() تخصیص داده شده است.
مرورگر وب همچنین به‌روزرسانی‌های جدید را بررسی می‌کند و به‌طور خودکار بدون نیاز به تعامل کاربر پس از راه‌اندازی مجدد، آنها را نصب می‌کند.
این آسیب‌پذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab در دانشکده Munk دانشگاه تورنتو در چهارشنبه گذشته، 6 سپتامبر گزارش شده است.
کاربران کروم می‌توانند مرورگرهای خود را برای خنثی کردن حملات قبل از انتشار مشخصات فنی اضافی به‌روزرسانی کنند.

محصولات تحت تأثیر
این آسیب‌پذیری در  Google Chrome قبل از نسخه 116.0.5845.187 تاثیرگذار بوده است.

توصیه‌های امنیتی
ارتقاء به نسخه 116.0.5845.187 این آسیب¬پذیری را از بین می‌برد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-…
[2] https://thehackernews.com/2023/09/google-rushes-to-patch-critical-chrome.html
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-4863
[4] https://vuldb.com/?id.239475

یک آسیب‌پذیری امنیتی با شدت بالا در N-Able's Take Control Agent افشاء شده است که می‌تواند توسط یک مهاجم غیرمجاز محلی، برای به دست آوردن امتیازات SYSTEM اکسپلویت شود.
N-Able's Take Control Agent یک راه‌حل کنترل از راه دور مبتنی بر ابر است که برای MSP ها و خدمات فناوری اطلاعات که نیاز به دسترسی ایمن و عیب‌یابی سریع دستگاه‌های پایانی، با ابزارهای فناوری سریع و قدرتمند دارند، ساخته شده است.

جزئیات آسیب‌پذیری
این آسیب‌پذیری که با عنوان CVE-2023-27470 و امتیاز 8.8 ارزیابی شده است، مربوط به آسیب‌پذیری شرط مسابقه Time-of-Check to Time-of-Use (TOCTOU) است که در صورت اکسپلویت موفقیت‌آمیز، می‌تواند برای حذف فایل استفاده شود و بر روی کد ناشناخته فایل BASupSrvcUpdater.exe  تأثیر می‌گذارد.
اکسپلویت چنین آسیب‌پذیری می‌تواند منجر به از دست دادن یکپارچگی شود و به عامل تهدید اجازه می‌دهد به منابع غیرمجاز دسترسی پیدا کند.
زمانی که یک مهاجم بتواند بر وضعیت منبع بین بررسی و استفاده تأثیر بگذارد، یک آسیب‌پذیری امنیتی محسوب می‌شود. این عامل می‌تواند با منابع مشترک مانند فایل‌ها، حافظه یا حتی متغیرهای برنامه‌های چند رشته ای اتفاق بیفتد. آسیب‌پذیری CVE- 2023-27470  از شرایط مسابقه  TOCTOU درTake Control Agent (BASupSrvcUpdater.exe)  بین ثبت چندین رویداد حذف فایل، مانند فایل های  aaa.txtو bbb.txt و هر عمل حذف از یک پوشه خاص با نام C:\ProgramData\GetSupportService_N-Central\PushUpdates ناشی می‌شود.
به بیان ساده، در حالی که BASupSrvcUpdater.exe حذف aaa.txt را ثبت می‌کند، یک مهاجم می تواند به سرعت فایل bbb.txt را با یک لینک نمادین جایگزین کند و فرآیند را به یک فایل دلخواه در سیستم هدایت کند. این عمل باعث می شود که فرآیند به صورت ناخواسته، فایل‌ها را با عنوان NT AUTHORITY\SYSTEM حذف کند. حذف فایل می‌تواند از طریق حمله شرایط مسابقه‌ای که عملکرد بازگشتی نصب‌کننده ویندوز را هدف قرار ‌دهد، برای ایمن کردن یک Command Prompt  افزایش یافته و منجر به اجرای کد شود. اکسپلویت‌های حذف فایل فقط محدود به حملات انکار سرویس نیستند و در واقع می‌توانند به عنوان وسیله‌ای برای دستیابی به اجرای کد بالا عمل کنند.
 چنین اکسپلویت‌هایی را می‌توان با عملکرد بازگرداندن MSI برای معرفی فایل‌های دلخواه ترکیب کرد. سیستم فرآیند ثبت و حذف رویدادها در یک پوشه ناامن، می‌تواند مهاجم را قادر سازد تا لینک‌های نمادین ایجاد کند و فرآیندها را فریب دهد تا اقداماتی را در پرونده‌های ناخواسته اجرا کنند.

محصولات تحت تأثیر
BASupSrvcUpdater.exe  در N-able Take Control Agent از طریق 7,0,41,1141 قبل از نسخه 7,0,43 با ایجاد لینک نمادین،  می‌تواند فایل‌های اختیاری را حذف کند. 

توصیه‌های امنیتی
ارتقاء به نسخه 7,0,43 این آسیب¬پذیری را از بین می‌برد.

منابع خبر:

[1] https://thehackernews.com/2023/09/n-ables-take-control-agent.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-27470
[3] https://vuldb.com/?id.239411

یک حمله جدید با نام WiKI-Eve می‌تواند انتقال متن واضح تلفن‌های هوشمند متصل به روترهای مدرن وای‌فای را رهگیری کند و رمزهای عددی را با دقت استنتاج کند که امکان سرقت رمزهای عبور عددی را فراهم می‌کند. حمله WiKI-Eve از BFI استفاده می¬کند.
آسیب¬پذیری BFI تبادل اطلاعات حاوی داده‌هایی به شکل متن واضح است، به این معنی که این داده‌ها را می‌توان بدون نیاز به هک سخت‌افزار یا شکستن کلید رمزنگاری، رهگیری کرد و به آسانی مورد استفاده قرار داد.

جزپیات آسیب‌‌پذیری
حمله WiKI-Eve برای رهگیری سیگنال های Wi-Fi در هنگام وارد کردن رمز عبور طراحی شده است. برای انجام این حمله، مهاجم باید دقیقاً در لحظه ای که هدف، در حال تایپ رمز عبور است و تلاش می‌کند به یک برنامه خاص دسترسی پیدا کند، انجام شود.
 محققان از ابزارهای نظارت بر ترافیک، مانند Wireshark برای ثبت سری زمانی BFI هدف در هنگام ورود رمز عبور استفاده کردند. فشار دادن کلیدها بر روی آنتن‌های Wi-Fi تأثیر می‌گذارد و سیگنال‌های متمایز تولید می‌کند که می‌توان آن‌ها را کنترل کرد و از آنها برای شناسایی تک تک ضربه‌های کلید استفاده کرد.
مهاجم باید با استفاده از یک نشانگر هویت در شبکه، مانند یک آدرس MAC، هدف را شناسایی کند. Eve می‌تواند این اطلاعات را از قبل با نظارت بصری و ترافیک به طور همزمان به دست آورد. ارتباط ترافیک شبکه ناشی از آدرس‌های MAC مختلف با رفتارهای کاربران باید به Eve اجازه دهد تا دستگاه فیزیکی را به ترافیک دیجیتال خود پیوند دهد و بدین ترتیب آدرس MAC را شناسایی کند. در مرحله اصلی حمله، سری زمانی BFI قربانی در هنگام وارد کردن رمز عبور توسط مهاجم با استفاده از ابزار نظارت بر ترافیک مانند Wireshark ضبط می شود. هر بار که کاربر کلیدی را فشار می‌دهد، آنتن‌های وای‌فای پشت صفحه نمایش را تحت تأثیر قرار می‌دهد و باعث می‌شود سیگنال وای‌فای مشخصی تولید شود.

توصیه‌های امنیتی
برای جلوگیری از این حملات، افزایش امنیت در نقاط دسترسی Wifi و برنامه‌های گوشی‌های هوشمند، مانند تصادفی‌سازی صفحه کلید، رمزگذاری ترافیک داده، مبهم‌سازی سیگنال، درهم‌سازی CSI، درهم‌سازی کانال WiFi و موارد دیگر الزامی است.
سیاست‌های رمز عبور قوی مدرن، اغلب به ترکیبی از انواع کاراکتر نیاز دارند. WiKI-Eve برای افرادی که از رمزهای عبور ساده‌تر، به‌ویژه رمزهای عددی استفاده می‌کنند، خطر قابل‌توجهی دارد. این آسیب‌پذیری همچنین، بر نیاز فوری به رمزگذاری مبادلات داده‌های BFI برای امنیت بهتر حریم خصوصی افراد تأکید می‌کند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-ov…
[2] https://cybersecuritynews.com/wiki-eve-wi-fi-passwords/
[3]https://www.bitdefender.com/blog/hotforsecurity/wiki-eve-attack-intercepting-smartphone-keystrokes-…

مشاهده شده است که عوامل تهدید RedLine و Vidar (دو بدافزار سرقت اطلاعات) به باج افزار روی آورده اند. در این کمپین‌ها، از فیشینگ برای توزیع محموله‌های اولیه استفاده می‌شود. این محموله ها با گواهی های سطح Extended Validation (EV) امضا شده اند.
محققان Trend Micro در تحلیل جدیدی که این هفته منتشر شد، گفتند: «این نشان می‌دهد که تهدیدکنندگان با چند منظوره کردن تکنیک‌های خود عملیات را ساده می‌کنند».
در حادثه‌ای که توسط این شرکت امنیت سایبری مورد بررسی قرار گرفت، گفته می‌شود که قربانی ناشناس ابتدا یک بدافزار دزد اطلاعات را با گواهی امضای کد EV دریافت کرده است و به دنبال آن باج افزاری را با استفاده از همان تکنیک تحویل، دریافت کرده است. درگذشته، آلودگی‌های QakBot از نمونه‌های امضاشده با گواهی‌های امضای کد معتبر برای دور زدن حفاظت‌های امنیتی استفاده می‌کردند.
حملات با ایمیل‌های فیشینگ شروع می‌شوند که از فریب‌های رایج استفاده می‌کنند. آنها فایل‌های پیوست مخربی را با ظاهر تصاویر PDF یا JPG نشان می‌دهند اما درواقع فایل‌های اجرایی هستند که پس از اجرا، حمله را آغاز میکنند.
درحالی‌که این کمپین، بدافزار دزدی را در ماه ژوئیه به قربانی مذکور ارسال کرده بود، یک پیلود باج افزار در اوایل آگوست پس از آنکه قربانی یک پیام ایمیل حاوی یک پیوست شکایت جعلی تریپ ادوایزر("TripAdvisor-Complaint.pdf.html ") دریافت کرد، به سیستم او راه پیدا کرد. سپس این پیلود گام‌هایی را آغاز کرد که به استقرار باج افزار منتهی شد.
محققان می‌گویند: «در این مرحله، برخلاف نمونه‌های دزد اطلاعاتی که ما بررسی کردیم، فایل‌هایی که برای رها کردن payload باج‌افزار استفاده می‌شوند، گواهی‌های EV نداشتند. با این حال، این دو از عامل تهدید یکسانی سرچشمه می‌گیرند و با استفاده از روش تحویل یکسانی پخش می‌شوند؛ بنابراین می‌توانیم تقسیم کار را بین ارائه‌دهنده payload و اپراتورها فرض کنیم.»
در عین حال، IBM X-Force کمپین‌های فیشینگ جدیدی را کشف کرده است که نسخه بهبودیافته‌ای از یک بارگذار بدافزار به نام DBatLoader را منتشر می‌کند که همین امسال به‌عنوان مجرایی برای توزیع FormBook و Remcos RAR استفاده می‌شد.

قابلیت‌های جدید DBatLoader دور زدن UAC، ماندگاری و تزریق فرایند را تسهیل می‌کند که نشان می‌دهد عاملان تهدید به طور فعال مشغول نگهداری آن هستند تا با استفاده از آن برنامه‌های مخربی که می‌توانند اطلاعات حساس را جمع‌آوری کرده و کنترل از راه دور سیستم‌ها را فعال کنند، ارسال کنند. مجموعه‌ای از حملات اخیر که از اواخر ژوئن شناسایی‌شده‌اند، به‌گونه‌ای طراحی‌شده‌اند که بدافزارهایی مانند Agent Tesla و Warzone RAT. A را نیز ارائه دهند. اکثر پیام‌های ایمیل انگلیسی زبان‌ها را هدف گرفته اند، اگرچه ایمیل‌هایی به زبان‌های اسپانیایی و ترکی نیز مشاهده ‌شده‌اند. در چندین کمپین مشاهده شده، عوامل تهدید کنترل کافی بر زیرساخت ایمیل برای فعال کردن ایمیل‌های مخرب برای عبور از روش‌های احراز هویت ایمیلSPF  DKIM, و DMARC اعمال کردند.

منبع خبر:

https://thehackernews.com/2023/09/cybercriminals-combine-phishing-and-ev.html?m=1

اگر هنوز از یک دستگاه Android TV قدیمی که خریده‌اید استفاده می‌کنید، ممکن است زمان ارتقاء به یک دستگاه‌ بهتر استریمینگ فرا رسیده باشد. اخیرا موجی از نرم‌افزار مخرب منتشر شده که برای آلوده کردن جعبه‌های Android TV ارزان استفاده می‌کنند. اما اکنون به نظر می‌رسد که یک دستگاه باتنت دیگر نیز بر روی برخی از همان دستگاه‌ها کشف شده است.
 

شکل 1- تصویری از جعبه AndroidTV

دستگاه‌های Android TV مورد نظر توسط شرکت‌های AllWinner و RockChip ساخته می‌شوند، دو شرکت مستقر در چین که صدها نقد و بررسی 5 ستاره در آمازون دارند. این دستگاه‌ها می‌توانند برای شروع حملات DDoS قوی استفاده شوند و یا به طور پنهان یک باتنت را دانلود می‌کنند که در پس‌زمینه بر روی تبلیغات کلیک می‌کند تا برای تولید کلاهبرداری تبلیغاتی برای سازنده‌ی دستگاه فراهم شود.
این نرم‌افزار مخرب دو روش انتقال نرم‌افزار مخرب به دستگاه Android TV منتقل شده باشد:
1. به‌روزرسانی فریمور از تولیدکننده‌ها: در این روش، نرم‌افزار مخرب به دستگاه از طریق به‌روزرسانی رسمی فریمور (نرم‌افزار سیستم عامل دستگاه) از سوی تولیدکننده دستگاه اضافه می‌شود. این ممکن است به صورت ناقص یا بدون اطلاع کاربر انجام شود و به عنوان یک بخش از به‌روزرسانی فریمور نفوذ کند.
2. اثر جانبی دانلود برنامه‌های پخش ویدیویی شخص ثالث با وعده‌ی ارائه‌ی محتوای رایگان: در این روش، کاربران دستگاه‌های Android TV برنامه‌های پخش ویدیویی شخص ثالث را از منابع غیررسمی دانلود می‌کنند که وعده‌ی ارائه‌ی محتوای رایگان می‌دهند. این برنامه‌ها ممکن است نرم‌افزار مخرب را به طور پنهانی همراه با خود بیاورند و آن را بر روی دستگاه نصب کنند.
در هر دو روش، نتیجه نهایی این است که دستگاه Android TV ممکن است بدون اطلاع کاربر به عملیات مخربی بپردازد، از جمله انجام حملات DDoS یا اجرای کلاهبرداری تبلیغاتی.
مهم است که بین دستگاه‌های ساخته شده توسط سونی و گوگل - مانند Chromecast with Google TV - و دستگاه‌هایی که Android TV ارزان است، تمایز قائل شویم. اولی از یک نسخه‌ی رسمی از Google TV یا Android TV استفاده می‌کند، در حالی که دستگاه‌های ارزان از پروژه منبع باز Android استفاده می‌کنند که برای هر کسی برای دانلود و تغییر در دسترس است.

خطرات کمتر شناخته‌شده‌ی قاچاق محتوا
یکی از راه‌هایی که ویروس تروجان از یک دستگاه به دستگاه دیگر منتقل می‌شود، از طریق نرم‌افزارهای پخش غیرقانونی است که معمولاً برای قاچاق فیلم و برنامه‌های تلویزیونی استفاده می‌شوند. این برنامه‌ها قول می‌دهند که به شما دسترسی آسان به جدیدترین فیلم‌ها به محض ارائه دیجیتالی آن‌ها را می‌دهند، اما اغلب از نظر قانونی و از نظر امنیتی مشکلات دارند.
با این حال، اگر از یک دستگاه Android TV یا Google TV از سازندگان قابل اعتماد استفاده می‌کنید و به صورت دقیق از آن برای استریمینگ از برنامه‌های شناخته شده استفاده می‌کنید، جایی برای نگرانی وجود ندارد. این برنامه‌ها ممکن است از داده‌های شما استفاده کنند یا آنها را بفروش برسانند اما برای اهداف بدافزار سایبری استفاده نمی‌شود.

منبع خبر:

https://www.tomsguide.com/news/millions-of-cheap-android-tv-boxes-come-pre-infected-with-botnet-mal…

آسیب‌پذیری‌های امنیتی در کتابخانه برنامه‌نویسی ncurses (که به‌اختصار new curses نیز نامیده می‌شود) برای سیستم‌های لینوکس و مک‌اواس (macOS) که امکان اجرای کد مخرب در سیستم‌های آسیب‌پذیر را می‌دهند، کشف شده است.
 

شکل 1- تصویری از آسیب پذیری در سیستم عامل مک‌اواس

یکی از روش‌هایی که حمله‌کنندگان می‌توانند از آن استفاده کنند، مسموم کردن متغیرهای محیطی (Environment Variables) است. آنها می‌توانند این آسیب‌پذیری‌ها را به هم پیوند دهند تا امتیازات را افزایش دهند و کد را در زمینه برنامه‌های هدف اجرا کنند یا اقدامات مخرب دیگری انجام دهند.
آسیب‌پذیری‌ها به‌صورت کلی با شماره CVE-2023-29491 ثبت شده‌اند (امتیاز CVSS 7.8). مایکروسافت اعلام کرده است که با اپل همکاری کرده و مشکلات خاص مربوط به مک‌اواس را نیز حل کرده است.
متغیرهای محیطی مقادیری هستند که توسط کاربران تعریف می‌شوند و می‌توانند توسط برنامه‌های مختلف در سیستم استفاده شوند. این مقادیر می‌توانند نحوه عملکرد آنها را در سیستم تحت تأثیر قرار دهند. تغییر دادن این متغیرها می‌تواند باعث اجرای عملیات غیرمجاز در برنامه‌ها شود.
بررسی کد و آزمون فازی نشان می‌دهد که کتابخانه ncurses به‌دنبال تعدادی از متغیرهای محیطی می‌گردد، از جمله TERMINFO که می‌توانند آلوده شوند و با آسیب‌پذیری‌های مشخص‌شده ترکیب شوند تا منجر به افزایش سطح دسترسی گردند.
پایگاه داده Terminfo اطلاعات مربوط به ترتیب‌ها و تنظیمات مختلف ترمینال‌های نمایش را در خود ذخیره می‌کند. این اطلاعات به برنامه‌ها کمک می‌کنند تا بتوانند با ترمینال‌های نمایش در تنظیمات مختلف ارتباط برقرار کنند، بدون اینکه نیاز به اطلاعات دقیق و خاص در مورد هر ترمینال خاص داشته باشند.
وجود این پایگاه داده به برنامه‌ها اجازه می‌دهد تا در یک روش کلی و استاندارد از ترمینال‌های نمایش استفاده کنند، بدون اینکه به تفصیلات فنی و ویژگی‌های خاص هر ترمینال برخورد کنند. این امر بسیار مفید است زیرا می‌تواند کاربران و توسعه دهندگان را از جزئیات فنی پنهان کند و به آنها این امکان را بدهد تا برنامه‌های خود را با ترمینال‌های مختلف اجرا کنند بدون اینکه نگرانی از مسائل سازگاری داشته باشند.
این آسیب‌پذیری‌ها شامل نشت اطلاعات از پشته (stack)، ترتیب اشتباه نوع رشته پارامتری، خطای خارج از مرز یک، خطای خارج از مرز حافظه هنگام تجزیه‌وتحلیل پایگاه داده terminfo و یک حمله منع سرویس با رشته‌های لغوشده (denial-of-service) می‌شود.
در زیر به آسیب‌پذیری‌های مختلفی اشاره شده است که ممکن است توسط یک حمله‌کننده به صورت پیاپی و در ترتیب خاصی بهره‌برداری شوند.
- برای ارتقاء امتیازات و دسترسی به قدرت‌های بیشتر در سیستم، حمله‌کننده ممکن است نیاز داشته باشد که آسیب‌پذیری‌ها را به یکدیگر متصل کند. به عبارت دیگر، باید از ترکیب آسیب‌پذیری‌های مختلف استفاده کند.
- نشت اطلاعات از پشته (stack information leak) و سرریز حافظه (heap overflow). حمله‌کننده باید از هر دوی این آسیب‌پذیری‌ها به صورت همزمان استفاده کند تا امتیازات ارتقاء دهنده به دست آورد.
- با استفاده از نشت اطلاعات از پشته، حمله‌کننده می‌تواند داده‌های خواندنی دلخواهی را از حافظه برنامه بخواند. سپس با استفاده از سرریز حافظه، می‌تواند داده‌های نوشتنی دلخواهی را در حافظه برنامه بنویسد و در نتیجه دسترسی به امتیازات بیشتری در سیستم برای انجام عملیات‌های مختلف به دست آورد.

اقدامات امنیتی
برای جلوگیری از آسیب‌پذیری‌هایی که در کتابخانه ncurses گزارش شده‌اند و از CVE-2023-29491 برای آن‌ها استفاده شده است، می‌توانید اقدامات امنیتی زیر را انجام دهید:

1. به‌روزرسانی کتابخانه: اطمینان حاصل کنید که کتابخانه ncurses در سیستم‌هایتان به آخرین نسخه به‌روزرسانی شده باشد. توصیه می‌شود همیشه از نسخه‌های امنیتی جدید استفاده کنید تا به آسیب‌پذیری‌های موجود در نسخه‌های قدیمی مقاومیت داشته باشید.
2. مانیتور کردن اختیارات اجرایی: به عنوان یک اقدام امنیتی، کاربران معمولی نباید اختیارات اجرایی زیادی داشته باشند. استفاده از ابزار‌های مانیتورینگ اختیارات اجرایی می‌تواند به جلوگیری از اجرای کدهای مخرب توسط کاربران خارج از حداقل نیاز کمک کند.
3. فیلتر کردن متغیرهای محیطی: متغیرهای محیطی (Environment Variables) را به دقت بررسی کنید و از افزودن متغیرهای نامعلوم به آنها پرهیز کنید. از تنظیم متغیرهای محیطی به نحوی که به برنامه‌ها تخلفی امکان‌پذیر نشود، جلوگیری کنید.
4. رفع آسیب‌پذیری‌های مرتبط با متغیرها: به اطمینان از رفع آسیب‌پذیری‌های مرتبط با متغیرهای محیطی مانند CVE-2023-29491 پرداخته و همچنین از نسخه‌هایی از ncurses که این آسیب‌پذیری‌ها برطرف شده باشند، استفاده کنید.
5. مدیریت دسترسی: دسترسی به متغیرهای محیطی مهم را محدود کنید. فقط کاربران و برنامه‌های معتبر باید به متغیرهای محیطی حیاظ داشته باشند.
6. پیاده‌سازی مدیریت دسترسی: از سیستم‌های مدیریت دسترسی مثل SELinux یا AppArmor بهره ببرید تا تحت نظر دقیقتری برای دسترسی به متغیرهای محیطی باشید و عملیات نامعلوم را محدود کنید.

منبع خبر:

https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html

تازه‌ترین آسیب‌پذیری کشف شده در GitHub می‌تواند هزاران مخزن کد را در معرض حملات Repojacking قرار دهد. یافته‌های جدید نشان می‌دهد که این ضعف می‌تواند به یک حمله‌کننده اجازه دهد تا از شرایط رقابتی (Race Condition) در عملیات ایجاد مخزن کد و سپس تغییر نام کاربری در GitHub بهره‌برداری کند. به‌عبارت دیگر، این آسیب‌پذیری موجب مخاطراتی برای جامعه منبع‌باز می‌شود که از جمله آثار آن احتمال تخریب بیش از ۴,۰۰۰ پروژه کد باز در زبان‌هایی مانند Go، PHP و Swift در GitHub است.
پس از اعلام این آسیب‌پذیری، این پلتفرم نگهداری کد که به مالکیت مایکروسافت درآمده است، اخیرا به مسئله پرداخته است.
Repojacking، که به اختصار نهادن مخزن (repository hijacking) نیز خوانده می‌شود، یک تکنیک است که در آن یک عامل تهدیدی قادر به دستکاری یک سازوکار امنیتی به نام بازنامه فضای نام (popular repository namespace retirement) می‌شود و در نهایت کنترل یک مخزن را به‌دست می‌آورد.
روش بالا به اقدام امنیتی اشاره دارد که توسط GitHub برای جلوگیری از حملات Repojacking (یا نهادن مخزن) انجام می‌شود. تاکید شده است که این اقدام امنیتی به‌طور خاص از این موضوع جلوگیری می‌کند ‌که دیگر کاربران بتوانند یک مخزن با همان نامی که در زمانی که حساب کاربری آن تغییر نام می‌کند، بیش از ۱۰۰ کلون (یعنی کپی یا نسخه‌های مشابه) از آن ایجاد کنند.
برای توضیح بیشتر، فرض کنید یک کاربر در GitHub یک حساب به نام victim_user دارد و یک مخزن به نام repo را ایجاد کرده است. در این حالت، نام کاربری victim_user به همراه نام مخزن repo به عنوان بازنامه در نظر گرفته می‌شود. حالا، اگر این کاربر تصمیم بگیرد نام کاربری خود را به renamed_user تغییر دهد، GitHub جلوگیری می‌کند که دیگر کاربران بتوانند یک مخزن با نام repo را با این نام کاربری جدید ایجاد کنند تا زمانی که مخزن repo بیش از ۱۰۰ کلون داشته باشد. بدین ترتیب، ترکیب نام کاربری renamed_user و نام مخزن repo به عنوان بازنامه در نظر گرفته می‌شود و دیگر کاربران نمی‌توانند از این نام استفاده کنند.
هدف از این اقدام امنیتی، جلوگیری از تداخل‌ها و احتمال حملات Repojacking به کمک ایجاد مخزن‌های مخرب با نام‌های مشابه است. این تدابیر امنیتی مهمی هستند تا امنیت و اعتماد کاربران به مخزن‌های نرم‌افزاری موجود در GitHub حفظ شود. اگر این تدابیر امنیتی به آسانی دور زده شوند، این اجازه را به حمله‌کنندگان می‌دهد که حساب کاربری جدیدی با همان نام کاربری ایجاد کرده و مخزن‌های مخربی را بارگذاری کنند و احتمالاً به حملات زنجیره‌تأمین نرم‌افزاری منجر شوند.

حمله Repojacking
روش حمله Repojacking توسط Checkmarx بین ایجاد یک مخزن و تغییر نام کاربری به منظور دستیابی به Repojacking از یک شرایط رقابتی ممکن استفاده می‌کند. این روش به طور خاص، شامل مراحل زیر می‌شود:
۱. قربانی نام فضای victim_user/repo را در اختیار دارد.
۲. قربانی نام کاربری victim_user را به renamed_user تغییر می‌دهد.
۳. مخزن victim_user/repo اکنون بازنامه شده است.
۴. یک عامل تهدیدی با نام کاربری attacker_user به طور همزمان یک مخزن به نام repo ایجاد کرده و نام کاربری خود را به victim_user تغییر می‌دهد.
مرحله آخر با استفاده از درخواست API برای ایجاد مخزن و درخواست انتقال نام کاربری برای تغییر نام انجام می‌شود. این یافته تقریباً نه ماه پس از اینکه GitHub یک آسیب‌پذیری مشابه در دور زدن معافیت Repojacking کشف کرد و به حملات Repojacking درها باز کرد.
کشف این آسیب‌پذیری نوین در عملیات ایجاد مخزن و تغییر نام کاربری در GitHub نقاط ضعف مداوم مرتبط با سازوکار «بازنامه نام فضای نام معروف» را برجسته می‌کند.

منبع خبر:

https://thehackernews.com/2023/09/critical-github-vulnerability-exposes.html

این یک آسیب‌پذیری با شناسه CVE-2023-36845 در Juniper Networks Junos OS بر روی سری EX و SRX است. این آسیب‌پذیری به حمله‌کننده از راه دور و بدون نیاز به احراز هویت اجازه می‌دهد تا کد را از راه دور اجرا کند. با استفاده از یک درخواست ساخته‌شده که متغیر PHPRC را تنظیم می‌کند، حمله‌کننده می‌تواند محیط اجرای PHP را تغییر دهد و اجازه واردکردن و اجرای کد را داشته باشد. 
این مشکل تأثیرگذار بر Juniper Networks Junos OS بر روی سری EX و SRX است و بر روی نسخه های زیر تأثیر می‌گذارد:
•    تمام نسخه‌های پیش از 20.4R3-S9
•    نسخه‌های 21.1 از 21.1 R1 به بعد
•    نسخه‌های 21.2 پیش از 21.2R3-S7
•    نسخه‌های 21.3 پیش از 21.3R3-S5
•    نسخه‌های 21.4 پیش از 21.4R3-S5
•    نسخه‌های 22.1 پیش از 22.1R3-S4
•    نسخه‌های 22.2 پیش از 22.2R3-S2
•    نسخه‌های 22.3 پیش از 22.3R2-S2، 22.3R3-S1
•    نسخه‌های 22.4 پیش از 22.4R2-S1، 22.4R3
•    نسخه‌های 23.2 پیش از 23.2R1-S1، 23.2R2.

همچنین یک حمله‌کننده از راه دور و بدون نیاز به احراز هویت ممکن است دسترسی به اجرای کد از راه دور را به دست آورده و از طریق آن سرور را به‌طور کامل مورد آسیب‌پذیر قرار دهد. این موضوع ممکن است منجر به دزدیده شدن اطلاعات محرمانه، نصب باج‌افزار (Ransomware)، یا گسترش حمله به شبکه داخلی شود. حمله‌کننده با نام "Sniper" قادر به استخراج اطلاعات مهم به عنوان شواهد از سیستم هدف است.
برای رفع این آسیب‌پذیری، توصیه می‌شود که سرور Juniper Networks Junos OS به آخرین نسخه بروزرسانی شود.

مراجع

در نرم‌افزار OneView شرکت HP، سه نقص امنیتی شناسایی شده‌اند که ممکن است از راه دور برای دور زدن احراز هویت، افشای اطلاعات حساس و حملات انکار سرویس مورد سوء استفاده قرار گیرند.
HPE OneView یک نرم افزار مدیریت زیرساخت فناوری اطلاعات به صورت یکپارچه است که عملیات فناوری اطلاعات را خودکار می‌کند و مدیریت زیرساخت از جمله محاسبات، ذخیره سازی و شبکه را ساده می‌کند.
آسیب پذیری‌های فاش شده با شماره‌های زیر ثبت شده‌اند:  

• CVE-2023-30908 - دور زدن احراز هویت از راه دور
• CVE-2023-2650 - انکار سرویس

CVE-2023-30908 – انحراف از احراز هویت از راه دور
در این آسیب‌پذیری با امتیاز CVSS 9.8، حمله‌کننده می‌تواند از طریق دور زدن احراز هویت به دسترسی غیرمجاز به HPE OneView دست پیدا کند. این آسیب‌پذیری به دلیل نحوه مدیریت اطلاعات اعتبار کاربران در HPE OneView ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.
CVE-2023-2650 – انکار سرویس
حمله‌کننده از راه دور ممکن است از این آسیب‌پذیری به منظور انجام حمله انکار سرویس روی HPE OneView بهره‌برداری کند. این آسیب‌پذیری به دلیل نحوه OpenSSL در دستور OBJ_obj2txt() ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر
HPE OneView – قبل از نسخه v8.5 و v6.60.05 patch

 رفع مشکل
برای رفع این آسیب‌پذیری‌ها در نرم‌افزار Hewlett Packard Enterprise OneView نسخه‌های 8.5 به بالا و نسخه 6.60.05 LTS، HPE از به‌روزرسانی نرم‌افزار زیر استفاده کرده است.

• Hewlett Packard Enterprise OneView v8.5 یا نسخه‌های بالاتر
• Hewlett Packard Enterprise OneView v6.60.05 LTS

HPE پچ‌های رفع مشکلات برای نسخه‌های تحت تأثیر HPE OneView منتشر کرده است. برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری‌ها، کاربران باید به‌روزرسانی‌ها را اعمال کنند.

منبع خبر:

https://cybersecuritynews.com/hpe-oneview-vulnerability/

یک بدافزار انتشار جدید به نام HijackLoader در محیط سایبری به منظور ارسال انواع مختلفی از بدافزارهای مخرب مانند DanaBot، SystemBC و RedLine Stealer کشف گردیده است.
اگرچه HijackLoader شامل ویژگی‌های پیشرفته نمی‌شود، اما از این قابلیت برخوردار است که از انواع ماژول‌ها برای درج کد و اجرا استفاده کند، زیرا از یک معماری ماژولار استفاده می‌کند و این ویژگی در بیشتر منتشرکننده‌ها وجود ندارد.
این بدافزار شامل استفاده از syscalls برای اجتناب از نظارت توسط راه‌حل‌های امنیتی، نظارت بر فرآیندهای مرتبط با نرم‌افزارهای امنیتی بر اساس یک فهرست سیاه‌ جاسازی (Embedded Blocklist) شده و به تعویق انداختن اجرای کد تا حداکثر ۴۰ ثانیه در مراحل مختلف است.
بردار دسترسی اولیه برای نفوذ به اهداف در حال حاضر شناخته نشده است. این بارگذار دارای یک ماژول اصلی ابزاردهی است که اجرای کد و درج کد انعطاف‌پذیر را با استفاده از ماژول‌های جاسازی شده فراهم می‌کند.
پایداری در سیستم قربانی توسط ایجاد یک فایل میانبر (LNK) در پوشه راه‌اندازی ویندوز و اشاره به یک کار BITS (Background Intelligent Transfer Service) تحقق می‌یابد.
HijackLoader یک بارگذار ماژولار با تکنیک‌های جلوگیری است که انواع گزینه‌های بارگذاری برای بارهای مخرب فراهم می‌کند. علاوه بر این، هیچ ویژگی پیشرفته‌ای ندارد و کیفیت کد آن ضعیف است.
این افشا به معرفی نسخه به‌روزشده‌ای از بدافزار دزدی اطلاعات به نام RisePro از طریق خدمت‌دهنده دانلود بدافزار با پرداخت به نام PrivateLoader توسط Flashpoint همراه شد.
فروشنده در تبلیغات خود ادعا کرده است که بهترین جنبه‌های 'RedLine' و 'Vidar' را انتخاب کرده تا یک دزدی قدرتمند ایجاد کند.
 RisePro که به زبان C++ نوشته شده است، طراحی شده است تا اطلاعات حساس را از رایانه‌های آلوده جمع‌آوری کرده و به صورت گزارش‌ها به سرور کنترل فرمان و کنترل (C&C) ارسال کند. این بدافزار برای فروش اولین بار در دسامبر ۲۰۲۲ ارائه شد.
همچنین یک بدافزار جدید دزدی اطلاعات که با استفاده از Node.js نوشته شده و در یک فایل اجرایی قرار داده شده و از طریق تبلیغات فیس‌بوک با موضوع مدل زبان بزرگ (LLM) و وب‌سایت‌های تقلبی به عنوان ویرایشگر ویدیو CapCut شرکت ByteDance شناخته می‌شود، کشف شده است.
زمانی که اجرا می‌شود، کوکی‌ها و اعتبارهای خود را از چندین مرورگر وب مبتنی بر کروم سرقت می‌کند، سپس اطلاعات را به سرور C&C و به ربات تلگرام ارسال می‌کند و هنگامی که سرور C&C پیامی به مشتری ارسال می‌کند، عملکرد سرقت مجدداً اجرا می‌شود. مرورگرهای هدف شامل Google Chrome، Microsoft Edge، Opera (و OperaGX) و Brave هستند.
این دومین بار است که وب‌سایت‌های تقلبی CapCut مشاهده شده‌اند که امکان سرقت اطلاعات را ارائه می‌دهند. در ماه مه ۲۰۲۳، Cyble دو زنجیره حمله متفاوتی را کشف کرد که از نرم‌افزار به عنوان یک تلفیق‌کننده برای گول زدن کاربران ناشناخته برای اجرای Offx Stealer و RedLine Stealer استفاده می‌کردند.
تحولات و رخدادهای مختلفی که در حوزه جرم سایبری و حملات اینترنتی اتفاق می‌افتد، تصویری از یک سیستم پویا را نشان می‌دهند. این سیستم شامل تعاملات و فعالیت‌های متعددی از جمله ایجاد و گسترش نرم‌افزارهای مخرب، روش‌های جدیدی برای نفوذ به سیستم‌ها و شبکه‌ها، استفاده از تکنیک‌های تازه برای جلب توجه و سایر عوامل مرتبط با جرم سایبری می‌باشد.
این سیستم به طور مداوم در حال تکامل و تغییر است و عوامل تهدیدی در آن برای نفوذ به سازمان‌ها و انجام عملیات پس از نفوذ از طریق عفونت‌های دزدی از اطلاعات به عنوان یک برداشت حمله اصلی استفاده می‌کنند. این تغییرات و تحولات نشان‌دهنده پیچیدگی و پویایی جرم سایبری در دنیای امروز و نیاز به تصمیم‌گیری‌ها و اقدامات امنیتی مداوم برای مقابله با این تهدیدات است.
بدافزار مبتنی بر پایتون با استفاده از Pyinstaller بسته‌بندی شده است، که می‌تواند برای ترکیب کد مخرب و تمام وابستگی‌های آن به یک فایل اجرایی واحد استفاده شود.
بدافزار تمرکز خود را بر روی چندین کار مهم مرتبط با متغیرهای امنیتی در سیستم عامل ویندوز دارد:
1.  غیرفعال کردن Windows Defender: این بدافزار سرقت اطلاعات سعی دارد این نرم‌افزار آنتی‌ویروس را غیرفعال کند.
2.  تنظیم مجدد تنظیمات Windows Defender:  بدافزار تلاش می‌کند تنظیمات ویندوز Defender را به نفع خود تغییر دهد. این ممکن است شامل تغییر تنظیمات اسکن و تنظیمات حفاظت در زمینه‌های مختلف امنیتی باشد. این تغییرات معمولاً برای اجتناب از تشخیص بدافزار توسط نرم‌افزار آنتی‌ویروس ویندوز Defender انجام می‌شود.
3.  پیکربندی پاسخ به تهدیدات خود:  بدافزار سرقت اطلاعات اقدام به تنظیم پاسخ‌های خود به تهدیدات ممکن در سیستم می‌کند. این به این معناست که اگر سیستم یا نرم‌افزارهای امنیتی سعی در تشخیص یا حذف آن کنند، بدافزار ممکن است به صورت خودکار تنظیمات خود را تغییر دهد تا شناسایی نشود و از مراقبت‌های امنیتی فرار کند.
این عملیات‌ قصد دارند تا بدافزار را در سیستم فعال نگه دارند و از شناسایی و حذف آن توسط نرم‌افزارهای امنیتی ویندوز Defender جلوگیری کنند، به این ترتیب از ادامه فعالیت‌های مخرب خود بر روی سیستم قربانی مطمئن شوند.
به نظر می‌رسد که این بدافزار برای دزدی و انتقال اطلاعات طراحی شده است، در حالی که از شناسایی توسط ابزارهای امنیتی و همچنین محدوده‌های تحلیل پویا پنهان می‌شود.

توصیه‌های امنیتی
1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل، نرم‌افزارها، و برنامه‌های امنیتی شما به‌روزرسانی شده باشند. بسیاری از بدافزارها از ضعف‌ها و آسیب‌پذیری‌های پیشین استفاده می‌کنند.
2. استفاده از آنتی‌ویروس: نصب یک نرم‌افزار آنتی‌ویروس قوی و به‌روز و تنظیم آن برای اسکن و شناسایی بدافزارها می‌تواند به شما کمک کند تا از نفوذ جلوگیری کنید.
3. مراقبت از فایل‌ها و ضمیمه‌ها: هرگز فایل‌ها و ضمیمه‌های ناشناخته و از منابع ناشناخته در ایمیل‌ها یا پیام‌های مستقیم دانلود یا اجرا نکنید.
4. جلوگیری از اجرای کدهای ناشناخته: اجازه ندهید به‌صورت خودکار کدها و اسکریپت‌های ناشناخته اجرا شوند. ممکن است از ویروس‌های معمولاً کد‌های اجراشونده در ایمیل‌ها یا در وبسایت‌ها استفاده کنند.

منبع خبر:

https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html