چهار آسیب پذیری در لامپ هوشمند TP-Link Tapo L530E و برنامهTapoTP-Link کشف شده است که می‌تواند به مهاجمان اجازه دهد رمز عبور وای‌فای هدف خود را بدزدند.
TP-Link Tapo L530E یک لامپ هوشمند پرفروش در بازار، بخصوص در بازارآمازون است و TP- link Tapo  یک برنامه مدیریت دستگاه هوشمند با 10 میلیون نصب در Google Play است.

• آسیب‌پذیری مربوط به احراز هویت نامناسب در Tapo L503E که به مهاجمان اجازه می‌دهد در مرحله تبادل کلید جلسه، هویت دستگاه را جعل کنند. این آسیب‌پذیری با شدت بالا و امتیاز CVSS v3.1: 8.8  به مهاجم اجازه می‌دهد تا پسوردهای کاربر Tapo را بازیابی کند و دستگاه‌های  Tapo را دستکاری کند.
• آسیب پذیری با شدت بالا و امتیاز CVSS v3.1: 7.6 که مهاجمان می‌توانند آن را از طریق brute-forcing یا با decompile کردن برنامه Tapo بدست آورند.
• آسیب پذیری با شدت متوسط، در مورد عدم تصادفی بودن در طول رمزگذاری متقارن که طرح رمزنگاری قابل پیش بینی باشد.
• آسیب پذیری ناشی از عدم بررسی تازه بودن پیام‌های دریافتی، معتبر نگه داشتن کلیدهای جلسه به مدت 24 ساعت و اجازه دادن به مهاجمان برای پخش مجدد پیام‌ها در آن دوره 

نگران کننده ترین سناریوی حمله جعل هویت لامپ و بازیابی اطلاعات حساب کاربری Tapo با بهره برداری از آسیب پذیری های 1 و 2 است. مهاجم می تواند  با دسترسی به اپلیکیشنTapo،  SSIDو رمز عبور وای‌فای قربانی را استخراج کند و به سایر دستگاه‌های متصل به آن شبکه دسترسی پیدا کند. دستگاه باید در حالت راه اندازی باشد تا موردحمله قرار گیرد. با این حال، مهاجم می‌تواند لامپ را تایید هویت کند و کاربر را وادار به تنظیم مجدد کند تا عملکرد آن را بازیابی کند.
در نهایت، آسیب‌پذیری 4 به مهاجمان اجازه می‌دهد حملات تکراری انجام دهند و پیام‌هایی را که قبلاً برای دستیابی به تغییرات عملکردی در دستگاه شناسایی شده‌اند، تکرار کنند.
به عنوان توصیه کلی برای امنیت اینترنت اشیا، توصیه می‌شود این نوع دستگاه‌ها را از شبکه‌های مهم جدا نگه دارید، از آخرین به‌روزرسانی‌های میان‌افزار موجود و نسخه‌های برنامه همراه استفاده کنید و از حساب‌ها با MFA و رمزهای عبور قوی محافظت کنید.
منابع خبر

کشف آسیب‌پذیری با شناسه CVE-2023-20168 و شدت بالا در فرآیند احراز هویت از راه دور TACACS+ و RADIUS نرم‌افزار Cisco NX-OS که به مهاجم محلی احراز هویت نشده اجازه خواهد داد تا دستگاه تحت تأثیر این آسیب‌پذیری را مجبور به بارگیری مجدد کند. NX-OS یک سیستم‌عامل شبکه برای سوئیچ‌های Ethernet  سری Nexus سیسکو و دستگاه‌های ذخیره‌سازی Fibre Channel سری MDS می‌باشد که از سیستم‌عامل SAN-OS نشات گرفته است. این آسیب‌پذیری با شدت 7.1 به گونه‌ای عمل می‌کند که مهاجم با بهره‌برداری موفق از آن می‌تواند دستگاه تحت تأثیر را بارگیری مجدد کرده و منجر به حمله انکار سرویس (DoS) شود. سیسکو اذعان کرد که اگر گزینهdirected request  برایTACACS+  یا RADIUS فعال باشد، این آسیب‌پذیری به دلیل اعتبارسنجی نادرست ورودی، هنگام پردازش فرآیند احراز هویت اتفاق خواهد افتاد. مهاجم ممکن است با ارائه یک رشته ساختگی هنگام ورود به سیستم در معرض خطر، از این آسیب‌پذیری استفاده کند. برای بررسی این که آیا گزینه directed request برای TACACS+ یا RADIUS پیکربندی شده است یا خیر، دستور زیر را در ترمینال وارد کنید:

show running-config | include directed-request 

اگر نتایج tacacs-server directed-request یا radius-server directed-request بود، دستگاه شما ممکن است تحت تاثیر این آسیب‌پذیری قرار گیرد.
شایان ذکر است که این آسیب‌پذیری فقط از طریق Telnet که به طور پیش‌فرض غیرفعال است یا از طریق اتصال مدیریت کنسول قابل بهره‌برداری می‌باشد و می‌تواند از آن از طریق اتصالات SSH به دستگاه، بهره‌برداری کرد. در صورت فعال بودن گزینه directed request  برای TACACS+، RADIUS یا هر دو، در نسخه آسیب‌پذیر نرم‌افزار Cisco NX-OS، ممکن است محصولات Cisco زیر تحت تأثیر قرار گیرند:

•    Nexus 1000 Virtual Edge for VMware vSphere (CSCwe72673)

•    Nexus 1000V Switch for Microsoft Hyper-V (CSCwe72673)

•    Nexus 1000V Switch for VMware vSphere (CSCwe72673)

•    Nexus 3000 Series Switches (CSCwe72648)

•    Nexus 5500 Platform Switches (CSCwe72674)

•    Nexus 5600 Platform Switches (CSCwe72674)

•    Nexus 6000 Series Switches (CSCwe72674)

•    Nexus 7000 Series Switches (CSCwe72368)

سیسکو همچنین تایید کرده است که این آسیب‌پذیری محصولات زیر را تحت تاثیر قرار نمی‌دهد:

•    Firepower 2100 Series

•    Firepower 4100 Series

•    Firepower 9300 Security Appliances

•    Nexus 9000 Series Fabric Switches in ACI mode

•    Secure Firewall 3100 Series

•    UCS 6200 Series Fabric Interconnects

•    UCS 6300 Series Fabric Interconnects

•    UCS 6400 Series Fabric Interconnects

•    UCS 6500 Series Fabric Interconnects

برای رفع این مشکل، سیسکو SMUهای زیر را منتشر کرده است و به کاربران توصیه می‌کند تا در اسرع وقت به‌روزرسانی‌های امنیتی را اعمال کنند.

منابع خبر

[2] https://gbhackers.com/cisco-nx-os-software-flaw/

دو آسیب‌پذیری جدید برخی از نسخه‌هایJupiter X Core، که یک پلاگین ممتاز برای راه‌اندازی وب‌سایت‌های WordPress و WooCommerce است را تحت تأثیر قرار می‌دهد و امکان به سرقت بردن حساب‌ها و آپلود فایل‌ها بدون تایید هویت را فراهم می‌کند. Jupiter X Core یک ویرایشگر با کاربری آسان و قدرتمند، بخشی از تم Jupiter X است که در بیش از 172000 وب سایت استفاده می شود.
اولین آسیب‌پذیری با ‌عنوان CVE-2023-38388 و امتیاز 9 شناسایی شده است و امکان آپلود فایل‌ها را بدون تایید هویت فراهم می‌کند که می‌تواند منجر به اجرای کد دلخواه بر روی سرور شود. این آسیب‌پذیری در افزونه JupiterX Core Premium تا نسخه 3,3,5 در وردپرس (افزونه وردپرس) یافت شده است و به عنوان بحرانی طبقه‌بندی شده است. مهاجم می تواند با استفاده از این آسیب پذیری، فایل های خطرناکی که می توانند بطور خودکار در محیط محصول پردازش شوند را آپلود یا انتقال دهد.
آسیب‌پذیری دوم با عنوان CVE-2023-38389 و امتیاز 9.8 به مهاجمان بدون تاییدهویت اجازه می‌دهد، تا کنترل هر حساب کاربری وردپرسی را که آدرس ایمیل آن  را بدانند، در دست بگیرند. مشکل اساسی این بود که عملکرد "ajax_handler" در فرآیند ورود به فیس بوک این افزونه به یک کاربر تایید هویت نشده اجازه می داد تا متای "social-media-user-facebook-id" کاربر وردپرس را با هر مقداری از طریق تابع "set_user_facebook_id" تنظیم کند. با توجه به اینکه، این مقدار متا برای تاییدهویت کاربر در وردپرس استفاده می‌شود، مهاجم می‌تواند ازطریق آن برای تایید هویت به عنوان هر کاربر ثبت‌شده در سایت، از جمله مدیران، تا زمانی که از آدرس ایمیل صحیح استفاده کنند اکسپلویت کند.
این آسیب پذیری در افزونه JupiterX Core تا نسخه 3,3,8 در وردپرس (افزونه وردپرس) پیدا شده است و به عنوان بحرانی طبقه بندی شده است.
به کاربران پلاگین JupiterX Core توصیه می شود، برای کاهش خطرات شدید ناشی از این دو آسیب پذیری، پلاگین خود را به نسخه جدید ارتقاء دهند.
منابع خبر

[2] https://vuldb.com/?id.238000

نسخه جدیدی از باج افزار BlackCat (معروف به ALPHV و Noberus)  که ابزارهایی مانند Impacket و RemCom را برای تسهیل حرکت جانبی و اجرای کد از راه دور تعبیه کرده است، توسط مایکروسافت کشف شده است. تیم هوش تهدیدات این شرکت در مجموعه‌ای از پست‌های X(توئیتر سابق) گفت «ابزار Impacket دارای ماژول های تخلیه اعتبارنامه و اجرای سرویس از راه دور است که می‌تواند برای استقرار گسترده باج افزار BlackCat در محیط‌های هدف استفاده شود. این نسخه BlackCat همچنین دارای ابزار هک RemCom است که برای اجرای کد از راه دور در فایل اجرایی تعبیه شده است. این فایل همچنین حاوی اعتبارنامه‌های هدف به خطر افتاده، سخت کدگذاری (hard-coded) شده است که تهدیدکنندگان برای جابجایی جانبی و استقرار بیشتر باج افزار استفاده می‌کنند».
Redmond گفت که در ژوئیه 2023 شروع به مشاهده نوع جدید در حملات انجام‌شده توسط یک فرد وابسته به BlackCat کرده است. این اتفاق بیش از دو ماه پس‌ازآن صورت گرفت که IBM Security X-Force جزئیات نسخه به روز شده BlackCat به نام Sphynx را فاش کرد که برای اولین بار در فوریه 2023 با بهبود سرعت رمزگذاری و مخفی‌کاری ظاهر شد و به تلاش‌های مستمر تهدیدکنندگان برای پالایش و به کارگیری مجدد باج افزار اشاره کرد. این گروه جرایم سایبری که فعالیت خود را در نوامبر 2021 آغاز کرد، دائماً در حال تکامل است و اخیراً یک API نشت داده منتشر کرده است. بر اساس بررسی Mid-Year Threat Review Rapid7 برای سال 2023، BlackCat به 212 مورد از مجموع 1500 حمله باج افزار نسبت داده‌شده است. این فقط BlackCat نیست، زیرا گروه تهدید باج افزار کوبا (معروف به(COLDRAW نیز مشاهده‌شده است که از یک مجموعه ابزار حمله جامع شامل BUGHATCH، یک دانلود کننده سفارشی، BUGHATCH، یک دانلود کننده سفارشی، BURNTCIGAR، یک قاتل ضد بدافزار؛ Wedgecut، یک ابزار شمارش میزبان؛ متاسپلویت و چارچوب‌های Cobalt Strike استفاده می‌کند.

یکی از حملاتی که در اوایل ژوئن 2023 توسط این گروه انجام شد، گفته می‌شود که CVE-2020-1472 (Zerologon) و CVE-2023-27532 را مورد سوء استفاده قرار داده است، یک نقص با شدت بالا در نرم‌افزار Veeam Backup & Replication که قبلاً توسط گروه FIN7 برای سرقت اطلاعات از فایل‌های پیکربندی توسط این گروه مورد سوءاستفاده قرارگرفته است. شرکت امنیت سایبری کانادایی BlackBerry اعلام کرد که اولین استفاده از یک سوءاستفاده از آسیب‌پذیری Veeam CVE-2023-27532 توسط این گروه است.

منبع

https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html

یک آسیب‌پذیری با شناسه CVE-2023-36845 و شدت 9.8 در سیستم‌عامل Junos شرکت Juniper Networks  کشف شد که بر روی دستگاه‌های Juniper SRX firewalls و EX switches تأثیر می‌گذارد. این آسیب‌پذیری به مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور کد دلخواه خود را اجرا کند. همچنین مهاجم می‌تواند با تنظیم یک متغیر محلی، مجوز واردکردن و اجرای کد را داشته باشد. این آسیب‌پذیری امکان دستکاری متغیر محلی PHP را فراهم می‌کند و با استفاده از دو ویژگی مهم PHP یعنی auto_prepend_file  و  allow_url_include، امکان اجرای کد PHP را بدون نیاز به بارگذاری فایل فراهم می‌کند. درواقع با استفاده از یک دستورالعمل، از تنظیمات محلی ویژه PHP به نام PHPRC و امکان CGI جهت اجرای کد PHP  از راه دور بدون نیاز به بارگذاری فایل، بهره‌برداری می‌شود. این حمله نیاز به احراز هویت ندارد و امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند بهره‌برداری از این آسیب‌پذیری ممکن است منجر به سرقت اطلاعات محرمانه، نصب باج‌افزار  (Ransomware) یا گسترش حمله به شبکه داخلی شود. 
محصولات تحت تأثیر
آسیب‌پذیری مذکور،  سیستم‌عامل Junos سری EX و SRX را تحت تأثیر قرار می‌دهد:
•    تمام نسخه‌های قبل از 20.4R3-S9
•    نسخه‌های 21.1 از21.1R1  به بعد
•    نسخه‌های 21.2 قبل از 21.2R3-S7
•    نسخه‌های 21.3 قبل از 21.3R3-S5 
•    نسخه‌های 21.4 قبل از 21.4R3-S5
•    نسخه‌های 22.1 قبل از 22.1R3-S4
•    نسخه‌های 22.2 قبل از  22.2R3-S2
•    نسخه‌های 22.3 قبل از 22.3R2-S2 و 22.3R3-S1
•    نسخه‌های 22.4 قبل از 22.4R2-S1 و 22.4R3
•    نسخه‌های 23.2 قبل از 23.2R1-S1 و 23.2R2
 توصیه‌های امنیتی
توصیه می‌شود جهت کاهش تهدیدات احتمالی اجرای کد از راه دور، کاربران در اسرع وقت سرور Juniper Networks Junos OS  را به آخرین نسخه به‌روزرسانی کنند، همچنین Juniper Networks پیشنهاد کرده است کهJ-Web  را غیرفعال یا دسترسی آن را فقط به میزبان‌های قابل اعتماد محدود کنند.
 منابع خبر

چهار آسیب پذیری امنیتی یافت شده در نرم افزار ScrutisWeb، دستگاه های خودپرداز را در معرض هک از راه دور قرار می دهد.این آسیب پذیری ها می توانند برای نفوذ از راه دور به دستگاه های خودپرداز، آپلود فایل های دلخواه و حتی راه اندازی مجدد پایانه ها مورد سوء استفاده قرار گیرند. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده  (CISA) گفت: «استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به مهاجم اجازه آپلود و اجرای فایل های دلخواه را بدهد». ScrutisWeb یک راه حل مبتنی بر مرورگر وب برای نظارت بر خودپرداز بانکی، از جمله جمع آوری وضعیت سیستم اطلاعات، تشخیص هشدارهای کم بودن کاغذ، خاموش کردن یا راه اندازی مجدد پایانه، و تغییر داده ها از راه دور است.

جزئیات چهار آسیب پذیری به شرح زیر است:

• CVE-2023-33871  (امتیاز  CVSS: 7.5): یک آسیب‌پذیری پیمایش دایرکتوری که می‌تواند به کاربر احراز هویت نشده اجازه دهد مستقیماً به هر فایل خارج از وب‌روت سرور دسترسی داشته باشد.
• CVE-2023-35189 (امتیاز CVSS: 10.0): یک آسیب‌پذیری اجرای کد از راه دور که می‌تواند به کاربر احراز هویت نشده اجازه آپلود یک بار مخرب و اجرای آن را بدهد.
• CVE-2023-35763 (امتیاز CVSS: 5.5) : یک آسیب‌پذیری رمزنگاری که می‌تواند به کاربر احراز هویت نشده اجازه دهد رمزهای عبور رمزگذاری‌شده را در متن ساده رمزگشایی کند.
• CVE-2023-38257 (امتیاز CVSS: 7.5): یک آسیب‌پذیری مرجع مستقیم شی ناامن که می‌تواند به کاربر احراز هویت نشده اجازه دهد اطلاعات نمایه، از جمله نام‌های ورود کاربر و رمزهای عبور رمزگذاری‌شده را مشاهده کند.
•   CVE-2023-35189 شدیدترین آسیب‌پذیری است، زیرا به کاربری که احراز هویت نشده است این امکان را می‌دهد هر فایلی را آپلود کند و سپس دوباره آن را از یک مرورگر وب مشاهده کند در نتیجه دستور injection انجام شود.

در یک سناریوی حمله فرضی، یک حریف می‌تواند CVE-2023-38257 و CVE-2023-35763 را برای ورود به کنسول مدیریتی ScrutisWeb به‌عنوان مدیر، مجهز کند. این کنسول همچنین اجازه می‌دهد تا دستگاه‌های خودپرداز را به حالت مدیریت رها کند، فایل‌ها را در آنها آپلود کند، آنها را راه‌اندازی مجدد کند و آنها را به طور کامل خاموش کند."

علاوه بر این، CVE-2023-35189 می تواند برای حذف فایل های گزارش در ScrutisWeb برای پوشاندن مسیرها استفاده شود. 

 این نرم‌افزار نقش یک "Remote Access Trojan" یا "RAT" را دارا می‌باشد که به وسیله عامل تهدید خودش از طریق پلتفرم‌های تلگرام و دیسکورد برای فروش عرضه می‌شود. بعد از نصب بر روی سیستم‌های ویندوز قربانی، این نرم‌افزار مخرب به صورت پنهانی اطلاعات حساس را جمع‌آوری می‌کند و سپس این اطلاعات را به ربات تلگرامی عامل تهدید ارسال می‌کند. این کار به عامل تهدید دسترسی غیرمجاز به اطلاعات حساس قربانی را فراهم می‌کند.
شرکت امنیت سایبری Uptycs که این نرم‌افزار مخرب را در اواخر ماه گذشته کشف کرده است، گفته است که این نرم‌افزار به دقت طراحی شده است تا تاریخچه مرورگر وب، نشان‌ها (bookmarks)، کوکی‌ها، اطلاعات کارت اعتباری، کلیدهای فشرده شده (keystrokes)، تصاویر صفحه نمایش، فایل‌های با پسوندهای خاص، و اطلاعات از برنامه‌هایی مانند Steam و Telegram را جمع‌آوری کند. این ابزار با قیمت ۱۵۰ روبل برای دسترسی هفتگی و ۵۰۰ روبل برای مجوز دائمی ارائه می‌شود و همچنین نسخه‌ی محدود و رایگانی نیز دارد.

QwixxRAT  یک نرم‌افزار دودویی مبتنی بر زبان برنامه‌نویسی C# است که با ویژگی‌های مختلف ضد-تجزیه و تحلیل ارائه می‌شود تا به صورت پنهانی عمل کرده و از تشخیص جلوگیری کند. این شامل یک تابع Sleep برای ایجاد تأخیر در فرآیند اجرا و همچنین چک‌های اجرا برای تشخیص اینکه آیا در یک محیط شناور یا مجازی عمل می‌کند، است.
توابع دیگر به آن اجازه می‌دهد که برای لیستی خاص از پردازه‌ها (مانند "taskmgr"، "processhacker"، "netstat"، "netmon"، "tcpview" و( "wireshark"  نظارت داشته باشد و در صورت شناسایی، فعالیت خود را تا زمانی که فرآیند خاتمه یابد متوقف کند.
 

همچنین در QwixxRAT یک ابزار clipper نیز وجود دارد که به صورت پنهانی به اطلاعات حساسی که در کلیپ‌بورد دستگاه کپی شده است دسترسی می‌یابد. هدف از این کار انجام انتقالات غیرقانونی از کیف‌پول‌های رمزارزی می‌باشد.
دستیابی به کنترل و کنترل دستوراتCommand-and-control یا (C2) از طریق یک ربات تلگرام انجام می‌شود. از طریق این ربات تلگرام دستورات ارسال می‌شوند تا عملیات جمع‌آوری اطلاعات اضافی نظیر ضبط صدا و وب‌کم و حتی خاموش یا راه‌اندازی مجدد دستگاه آلوده انجام شود. 
فاش شدن این اطلاعات در هفته‌های پس از آنکه شرکت سایبراینت (Cyberint) جزئیات دو نسخه دیگر از نرم‌افزارهای RAT  به نام‌های RevolutionRAT و Venom Control RAT را اعلام کرد. این دو نسخه نیز در کانال‌های مختلف تلگرام با ویژگی‌های جمع‌آوری و انتقال داده و اتصال به مرکز کنترل و کنترل (C2) تبلیغ می‌شوند.
همچنین، این اطلاعات بعد از کشف یک کمپین جاری اعلام شده است که از سایت‌های تخریب شده به عنوان پلتفرم‌های در معرض خطر استفاده می‌کند تا با استفاده از کد جاوا اسکریپت مخرب یک به‌روزرسانی جعلی مرورگر Chrome ارائه دهد. هدف از این عملیات ترغیب قربانیان به نصب ابزار نرم‌افزاری مدیریت از راه دور با نام NetSupport Manager RAT است. استفاده از یک ترفند به‌روزرسانی مرورگر تقلبی با SocGholish یا FakeUpdates هم‌راستایی دارد، اما شواهد قطعی که ارتباط مستقیم بین دو نوع فعالیت را نشان دهد، هنوز محوطه‌ای از تحقیقات است.
 Trellix اظهار می‌کند: سوءاستفاده از RATهای آماده در دسترس همچنان ادامه دارد چرا که این ابزارهای قدرتمندی هستند که قادر به تأمین نیازهای مخربان برای انجام حملات و دستیابی به اهدافشان می‌باشند. وی ادامه می‌دهد: اگرچه این RATها ممکن است به طور مداوم به‌روز نشوند، اما ابزارها و تکنیک‌ها برای ارسال این بارهای مخرب به قربانیان احتمالی به تدریج پیشرفت خواهند کرد.

مراجع

یک آسیب‌پذیری با شدت بحرانی و با شماره CVE-2023-24489 در نرم‌افزار Citrix ShareFile  کشف شده است. CISA هشدار می‌دهد که یک آسیب‌پذیری بحرانی در سرویس انتقال فایل امن Citrix ShareFile  توسط فرد یا افراد ناشناخته هدف قرار گرفته و این ضعف را به فهرست آسیب‌پذیری‌های امنیتی شناخته‌شده که در محیط‌های واقعی بهره‌برداری می‌شوند، اضافه کرده است.
Citrix ShareFile  همچنین به نام Citrix Content Collaboration نیز شناخته می‌شود، یک راه‌حل انتقال فایل مدیریت‌شده و سرویس ذخیره‌سازی ابری SaaS است که به مشتریان و کارمندان اجازه می‌دهد تا به صورت امن فایل‌ها را بارگذاری و دانلود کنند.
این سرویس همچنین یک راه‌حل 'کنترل‌کننده مناطق ذخیره‌سازی' ارائه می‌دهد که به مشتریان شرکتی این امکان را می‌دهد تا تنظیمات ذخیره‌سازی داده‌های خصوصی خود را برای میزبانی فایل‌ها (بر روی محلی یا در پلتفرم‌های ابری پشتیبانی‌شده مانند Amazon S3 و Windows Azure.) تنظیم کنند.
Citrix توضیح می‌دهد: "یک آسیب‌پذیری در کنترل‌کننده مناطق ذخیره‌سازی ShareFile مدیریت‌شده توسط مشتریان کشف شده است که در صورت بهره‌برداری می‌تواند به یک حمله‌کننده غیراحراز هویت اجازه دهد تا به صورت از راه دور به کنترل‌کننده مناطق ذخیره‌سازی ShareFile مدیریت‌شده توسط مشتریان نفوذ کند." شرکت امنیت سایبری AssetNote آسیب‌پذیری را به Citrix اعلام کرده است و در یک مقاله تکنیکی هشدار داده است که این ضعف ناشی از چندین خطای کوچک در اجرای رمزنگاری AES در ShareFile است. محققان AssetNote توضیح می‌دهند: "تحقیقات ما به ما این امکان را داد که با بهره‌برداری از یک باگ رمزنگاری به نظر نادرست، اجرای دلخواه فایل بدون احراز هویت و اجرای کد از راه دور را دستیابی کنیم." با استفاده از این آسیب‌پذیری، یک عامل تهدید می‌تواند یک وب‌شل را به دستگاه بارگذاری کند تا به کنترل کامل بر روی ذخیره‌سازی و تمامی فایل‌های آن دست یابد.
CISA  هشدار می‌دهد که عامل‌های تهدید غالباً از این نوع آسیب‌پذیری‌ها بهره می‌برند و یک خطر قابل توجه برای شرکت‌های فدرالی ایجاد می‌کنند. هرچند CISA همین هشدار را در بسیاری از راهنماها به اشتراک می‌گذارد، اما آسیب‌پذیری‌هایی که بر روی راه‌حل‌های انتقال فایل مدیریت‌شده (MFT) تأثیر می‌گذارند واقعاً مورد نگرانی است، زیرا عوامل تهدید به طور فزاینده از آنها به منظور دزدیدن داده‌ها در حملات اخاذی به شرکت‌ها استفاده می‌کنند. یک عملیات رمزنگاری به نام Clop به طور ویژه در هدف قرار دادن بهره‌برداری از این نوع آسیب‌پذیری‌ها را پیش گرفته است، و از سال 2021، زمانی که از آسیب‌پذیری روز صفر در راه‌حل Accellion FTA بهره‌برداری کرد، از آنها در حملات دزدیدن داده‌های گسترده استفاده کرده‌اند.
از آن زمان به بعد،  Clop با استفاده از آسیب‌پذیری‌های روز صفر در SolarWinds Serv-U، GoAnywhere  MFT و به تازگی‌تر حملات گسترده‌ای به سرورهای MOVEit Transfer، به چندین کمپین دزدیدن داده پرداخته است.
بهره‌برداری فعال:
به عنوان بخشی از مقاله تکنیکی AssetNote، محققان اطلاعات کافی را به اشتراک گذاشتند تا عوامل تهدیدی بتوانند برای ضعف Citrix ShareFile CVE-2023-24489 استفاده‌های خود را توسعه دهند. بلافاصله بعد از آن، محققان دیگر نسخه‌های خود از ابزارهای بهره‌برداری را در GitHub منتشر کردند.
در تاریخ 26 ژوئیه، شرکت GreyNoise شروع به مانیتورینگ تلاش‌های بهره‌برداری از آسیب‌پذیری کرد. پس از هشدار CISA در این مورد، GreyNoise  گزارش خود را به‌روزرسانی کرد و گفت که تلاش‌های بسیاری توسط آدرس‌های IP مختلف انجام شده است.
GreyNoise  با  بررسی اینکه آیا یک سرور ShareFile آسیب‌پذیر است توسط 72 آدرس IP را مشاهده کرده است، اکثریت آنها از کره جنوبی و دیگران از فنلاند، انگلیس و ایالات متحده هستند.

 تلاش برای سوء استفاده از CVE-2023-24489

اگرچه هیچ بهره‌برداری یا دزدیدن داده‌ای که به صورت عمومی شناخته‌شده با این ضعف مرتبط نشده است، اکنون CISA از نهادهای Federal Civilian Executive Branch (FCEB) می‌خواهد تا تا تاریخ 6 سپتامبر 2023 پچ‌های این خطا را اعمال کنند.
با این حال، به دلیل طبیعت بسیار هدفمند این آسیب‌پذیری‌ها، به شدت توصیه می‌شود که تمام سازمان‌ها بلافاصله بروزرسانی‌ها را اعمال کنند.

مراجع

استفاده تهدیدکنندگان از Cloudflare R2 برای میزبانی صفحات فیشینگ طی شش ماه گذشته شاهد افزایش 61 برابری بوده است. جان مایکل، محقق امنیتی Netskope، گفت: «اکثر کمپین‌های فیشینگ اعتبارنامه ورود مایکروسافت را هدف قرار می‌دهند، اگرچه برخی از صفحات هم هستند که Adobe، Dropbox و سایر برنامه‌های ابری را هدف قرار می‌دهند».

Cloudflare R2، مشابه Amazon Web Service S3، Google Cloud Storage و Azure Blob Storage، یک سرویس ذخیره‌سازی داده برای ابر است. این در حالی است که تعداد کل برنامه‌های ابری که دانلود بدافزار از آن‌ها آغاز می‌شود به 167 افزایش‌یافته است و مایکروسافت OneDrive، Squarespace، GitHub، SharePoint و Weebly در پنج رده بالاتر قرار دارند.
کمپین‌های فیشینگ شناسایی شده توسط Netskope نه تنها از Cloudflare R2 برای توزیع صفحات فیشینگ استاتیک سوءاستفاده می‌کنند، بلکه با استفاده از سرویس Turnstile این شرکت، (جایگزینی برای CAPTCHA)، چنین صفحاتی را در پشت موانع ضد ربات قرار می‌دهند تا از شناسایی فرار کنند.
با انجام این کار، از دسترسی اسکنرهای آنلاین مانند urlscan.io به سایت واقعی فیشینگ جلوگیری می‌کند، زیرا آزمایش CAPTCHA منجر به شکست می‌شود. به‌عنوان یک لایه اضافی برای فرار از شناسایی، سایت ‌های مخرب طوری طراحی شده‌اند که محتوا را تنها در صورت رعایت شرایط خاص بارگذاری کنند.
مایکل گفت: «این وب‌سایت مخرب نیاز دارد تا از طرف یک سایت مورد ارجاع قرار گیرد که در URL یک مهر زمانی برای نمایش صفحه فیشینگ واقعی داشته باشد. از سوی دیگر، سایت ارجاع دهنده نیاز دارد تا یک سایت فیشینگ را به عنوان پارامتر دریافت کند». در صورتی که هیچ پارامتر URL به سایت ارجاع دهنده ارسال نشود، بازدیدکنندگان به www.google[.]com هدایت می‌شوند. 
این اتفاقات یک ماه پس از آن صورت می‌گیرد که این شرکت امنیت سایبری جزئیات یک کمپین فیشینگ را فاش کرد که مشخص شد صفحات ورود جعلی خود را در AWS Amplify برای سرقت اطلاعات بانکی کاربران و مایکروسافت 365 به همراه جزئیات پرداخت کارت از طریق Bot API تلگرام میزبانی می‌کرد.

منبع

https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html

یک آسیب‌پذیری با شدت بالا و با شماره CVE-2023-40477 در نرم‌افزار WinRAR کشف شده است. نرم‌افزار WinRAR، ابزار محبوب فشرده‌سازی فایل برای ویندوز که توسط میلیون‌ها نفر استفاده می‌شود، تصحیح شده است. این آسیب‌پذیری با باز کردن یک بایگانی به سادگی می‌تواند دستورهایی را در یک کامپیوتر اجرا کند.
این آسیب‌پذیری می‌تواند به حمله‌کنندگان از راه دور اجرای کد دلخواه در سیستم هدف پس از باز کردن یک فایل RAR با ترتیب خاص را فراهم کند. این آسیب‌پذیری توسط محقق "goodbyeselene" از Zero Day Initiative کشف شد که در تاریخ 8 ژوئن 2023 این ضعف را به تولید کننده، یعنی RARLAB، گزارش کرد.
به گزارش ZDI این آسیب‌پذیری به حمله‌کنندگان از راه دور امکان اجرای کد دلخواه در نصب‌های تحت تأثیر RARLAB WinRAR را می‌دهد. تعامل کاربر مورد نیاز است تا از این آسیب‌پذیری بهره‌برداری شود، به این معنی که هدف باید یک صفحه مخرب را بازدید کند یا یک فایل مخرب را باز کند. اشکال خاص در فرآیند حجم‌های بازیابی وجود دارد. این مشکل از عدم اعتبارسنجی مناسب داده‌های ارائه‌شده توسط کاربر ناشی می‌شود که می‌تواند منجر به دسترسی به حافظه فراتر از انتهای یک بافر اختصاص‌یافته شود. یک حمله‌کننده می‌تواند با بهره‌برداری از این آسیب‌پذیری، کد را در متن فرآیند فعلی اجرا کند. از آنجایی که حمله کننده  نیاز دارد قربانی را فریب دهد تا یک بایگانی را باز کند، امتیاز شدت آسیب‌پذیری به 7.8 کاهش می‌یابد. با این حال، از دیدگاه عملی، فریب کاربران به انجام اقدام مورد نیاز نباید بسیار چالش برانگیز باشد، و با توجه به ابعاد بزرگ پایگاه کاربران WinRAR، حمله‌کنندگان فرصت‌های فراوانی برای بهره‌برداری موفق دارند.
کاهش دسترسی:
RARLAB نسخه 6.23 از WinRAR را که به طور موثر از آسیب‌پذیری CVE-2023-40477  پشتیبانی می‌کند، منتشر کرد. بنابراین، به کاربران WinRAR به شدت توصیه می‌شود که فوراً به بروزرسانی امنیتی موجود اقدام کنند.
علاوه بر تصحیح کد پردازش حجم‌های بازیابی RAR4، نسخه 6.23 به یک مشکل مربوط به بایگانی‌های با ترتیب خاص که منجر به شروع نادرست فایل می‌شود، نیز پرداخته است که نیز به عنوان یک مشکل با شدت بالا در نظر گرفته می‌شود. همچنین باید توجه داشت که مایکروسافت در حال حاضر دارد پشتیبانی برای فایل‌های RAR، 7-Zip و GZ را در ویندوز 11 تست می‌کند، بنابراین نرم‌افزار‌های شخص ثالث مانند WinRAR در این نسخه دیگر لزومی ندارند مگر اینکه ویژگی‌های پیشرفته‌ای مورد نیاز باشند.
کسانی که همچنان از WinRAR استفاده می‌کنند، باید نرم‌افزار را به‌روز نگه دارند، زیرا آسیب‌پذیری‌های مشابه در گذشته توسط هکرها برای نصب نرم‌افزارهای مخرب بهره‌برداری شده‌اند.
علاوه بر این، احتیاط در مورد فایل‌های RAR که باز می‌کنید و استفاده از ابزار آنتی‌ویروسی که قادر به اسکن بایگانی‌ها باشد، تدابیر خوبی برای افزایش امنیت خواهد بود.

مراجع

https://www.zerodayinitiative.com/advisories/ZDI-23-1152/