یک آسیب پذیری در پلاگین InstaWP Connect وردپرس کشف شده است و به عنوان بحرانی طبقه بندی شده است. این آسیب پذیری تابع events_receiver از کامپوننت Setting Handler را تحت تاثیر قرار می دهد. 
این آسیب پذیری بحرانی با شناسه CVE-2023-3956 و امتیاز 9.8 ارزیابی شده است. مهاجم تاییدهویت نشده، با استفاده از این آسیب پذیری می تواند پست و طبقه بندی را اضافه، اصلاح یا حذف کند، همچنین، افزونه را نصب، فعال یا غیرفعال کند. علاوه بر این، تنظیمات  را تغییر دهد، کاربر و مدیر را اضافه یا تغییر دهد و یا حذف کند. 
 پلاگین  InstaWP Connectوردپرس، این امکان را فراهم می کند تا وب سایت های وردپرسی برای آزمایش، توسعه و مرحله بندی در چند ثانیه ایجاد شوند. با استفاده از این پلاگین، سایت های وردپرس، در هر نقطه از اینترنت به InstaWP متصل می شوند. پس از اتصال سایت، وب سایت های مرحله بندی با یک کلیک از داخل پنال مدیریت WP ایجاد می شوند. 
InstaWP Connect در برابر دسترسی غیرمجاز به داده ها، تغییر داده ها و از دست دادن داده ها به دلیل بررسی قابلیت از دست رفته، در عملکرد events_receiver آسیب پذیر است.
هنگامی که یک مهاجم تلاش می کند به یک منبع دسترسی پیدا کند یا اقدامی را انجام دهد، نرم افزار بررسی مجوز را انجام نمی دهد و بر محرمانگی، یکپارچگی و دسترس پذیری تاثیر می گذارد. 

آسیب پذیری در پلاگین InstaWP Connect در نسخه های 0.0.9.18 و بالاتر تاثیرگذار است.

 منابع خبر

 

 

عوامل مخرب ناشناس از یک ویژگی جستجوی قانونی ویندوز برای دانلود پیلودهای دلخواه از سرورهای راه دور سوء استفاده می‌کنند و سیستم‌های هدف را با تروجان های دسترسی از راه دور مانند AsyncRAT و Remcos RAT آلوده می‌کنند.

به گفته شرکت Trellix، تکنیک حمله جدید، از کنترل‌کننده پروتکل «search-ms:» URI  بهره می‌برد که به برنامه‌ها و پیوندهای HTML امکان اجرای جستجوهای محلی دلخواه را می‌دهد. همچنین با استفاده از این ویژگی می‌توان پروتکل اپلیکیشن «search:» را فراخوانی کرد. محققین امنیتی Mathanraj Thangaraju و Sijo Jacob در روز پنجشنبه گفتند: مهاجمان، کاربران را به وب‌سایت‌هایی هدایت می‌کنند که از قابلیت search-ms با استفاده از جاوا اسکریپت میزبانی شده در صفحه استفاده می‌کنند. این تکنیک حتی به پیوست‌های HTML نیز گسترش یافته است و سطح حمله را گسترش می‌دهد.
در چنین حملاتی، عوامل تهدید مشاهده شده‌اند که ایمیل‌های فریبنده‌ای را ایجاد می‌کنند که لینک‌ها یا پیوست‌های HTML حاوی URL که کاربران را به وب‌سایت‌های در معرض خطر هدایت می‌کند، جاسازی می‌کنند. این باعث اجرای جاوا اسکریپت می‌شود که از کنترل‌کننده‌های پروتکل URI برای انجام جستجو در سرور تحت کنترل مهاجم استفاده می‌کند.

شایان ذکر است که با کلیک بر روی پیوند، هشداری نمایش داده می‌شود که "Windows Explorer را باز کنم؟"، با زدن دکمه تأیید، نتایج جستجوی فایل‌های میانبر مخرب میزبانی شده از راه دور در Windows Explorer به صورت فایل‌های PDF یا سایر نمادهای قابل اعتماد نمایش داده می‌شوند، درست مانند نتایج جستجوی محلی.
با استفاده از این تکنیک زیرکانه، کاربر متوجه نمی‌شود که فایل‌های ارائه شده به او، فایل‌های راه دور هستند. در نتیجه، کاربر احتمال بیشتری دارد که فایل را با فرض اینکه از سیستم خودش است باز کند و ناآگاهانه آن را اجرا کند.
اگر قربانی روی یکی از فایل‌های میانبر کلیک کند، منجر به اجرای یک کتابخانه پیوند پویا (DLL)  با استفاده از ابزار regsvr32.exe می‌شود. در گونه دیگری از این کمپین، از فایل‌های میانبر برای اجرای اسکریپت‌های PowerShell استفاده می‌شود که به نوبه خود، پیلودهای اضافی را در پس‌زمینه دانلود می‌کنند در حالی که یک سند PDF فریبنده را به قربانیان نمایش می‌دهند.
صرف نظر از روش مورد استفاده، آلودگی‌ها منجر به نصب AsyncRAT و Remcos RAT می‌شود که مسیری را برای عوامل تهدید ارائه می‌دهد تا از راه دور میزبان‌ها را کنترل کنند، اطلاعات حساس را سرقت کنند و حتی دسترسی را به مهاجمان دیگر بفروشند.
برای جلوگیری از این حملات، ضروری است که از کلیک کردن روی URLهای مشکوک یا دانلود فایل از منابع ناشناخته خودداری شود.

منبع

https://thehackernews.com/2023/07/hackers-abusing-windows-search-feature.html

 

محققان امنیت سایبری Aqua یک کمپین جدید کشف کردند که با پیکربندی نادرست سرورهایApache Tomcat، بدافزارهای بات‌نت Mirai را انتشار داده و یا از این طریق به استخراج ارز دیجیتال می‌پردازند. Apache Tomcat، یک سرور رایگان و منبع باز می‌باشد که از فناوری‌های Jakarta Servlet، Expression Language و WebSocket پشتیبانی کرده و یک محیط وب سرور “pure Java” HTTP  را ارائه می‌کند و به طور گسترده در Cloud، Big data وWebsite استفاده می‌شود. Aqua  طی دو سال، بیش از 800 حمله به هانی‌پات‌های سرور Tomcat خود شناسایی کرد که 96 درصد این حملات از طریق بات‌نت Mirai صورت گرفته‌ است؛ از بین این حملات،20 درصد (152مورد) آن‌ها از شل اسکریپت " neww" و 24 آی‌پی استفاده کرده‌اند و 68 درصد نیز از آی‌پی 104.248.157[.]218. حملات خود را انجام داده‌اند. بدافزار مذکور از هاست‌های آلوده، جهت سازماندهی حملات منع سرویس توزیع شده (DDoS) استفاده می‌کند.

مهاجم پس از ورود موفقیت‌آمیز، یک فایل WAR را با وب‌شل cmd.jsp مستقر کرده و از این طریق اجرای فرمان از راه دور را در سرور Tamcat که در معرض خطر است، امکان‌پذیر می‌کند. کل زنجیره حمله شامل دانلود و اجرای شل اسکریپتneww  می‌باشد که سپس با استفاده از دستور rm –rf حذف خواهد شد. در تصویر زیر، جریان حمله را مشاهده می‌کنید:

فایل WAR حاوی فایل‌های ضروری برنامه‌های کاربردی تحت‌وب از جمله HTML، CSS، Servlets و Classes می‌باشد.
در این حملات مهاجم با مجوز معتبر، به مدیریت برنامه وب نفوذ می‌کند، وب‌شل پنهان شده را در فایل WAR آپلود کرده و دستورات را از راه دور اجرا و حمله را آغاز می‌کند. شایان ذکر است که یافته‌ها حاکی از استخراج ارزهای دیجیتال با افزایش 399 درصدی و 332 میلیون حمله cryptojacking  در سراسر جهان در نیمه اول سال 2023 می‌باشد.
این بدافزار سرورهای Apache Tomcat و به تبع آن Cloud، Big data و Website را تحت تأثیر خود قرار می‌دهد.
تحلیلگران امنیت سایبری رعایت نکات زیر را جهت کاهش چنین حملاتی توصیه می‌کنند:
•    اطمینان از پیکربندی صحیح تمام محیط‌ها و ابزارها
•    اطمینان از اسکن مکرر محیط‌های خود در برابر تهدیدات ناشناخته
•    توانمندسازی توسعه‌دهندگان، DevOps و تیم‌های امنیتی با ابزارهای ابری (cloud-native) جهت اسکن آسیب‌پذیری‌ها و بررسی پیکربندی‌های نادرست 
•    استفاده از راه‌حل‌ها و تشخیص مناسب در زمان اجرا و پاسخ به موقع به آن‌ها
منبع خبر

https://gbhackers.com/hackers-attack-apache-tomcat-servers/

 

 

دو خانواده بدافزار جدید اندرویدی به نام‌های CherryBlos و FakeTrade در Google Play کشف شدند که هدفشان سرقت اعتبارنامه ارزهای دیجیتال و سرقت وجوه یا کلاهبرداری بود. گونه‌های بدافزار جدید توسط Trend Micro کشف شدند که هر دو را با استفاده از زیرساخت‌های شبکه و گواهی‌های مشابه مشاهده کردند که نشان می‌دهد عوامل تهدید یکسانی آنها را ایجاد کرده‌اند. برنامه‌های مخرب از کانال‌های توزیع مختلف، از جمله رسانه‌های اجتماعی، سایت‌های فیشینگ و برنامه‌های خرید فریبنده در Google Play، فروشگاه برنامه رسمی اندروید استفاده می‌کنند.
بدافزار CherryBlos برای اولین بار در آوریل 2023، در قالب یک فایل APK (بسته اندرویدی) که در تلگرام، توییتر و یوتیوب تبلیغ شده بود، تحت پوشش ابزارهای هوش مصنوعی یا استخراج‌کننده سکه توزیع شد.
ویدیوی YouTube در حال تبلیغ یک برنامه حامل CherryBlos (Trend Micro)

نام‌های مورد استفاده برای APKهای مخرب GPTalk، Happy Miner، Robot999، و SynthNet هستند که از وب‌سایت‌های زیر با نام‌های دامنه منطبق دانلود شده‌اند:

 

 

یک برنامه مخرب Synthnet نیز در فروشگاه Google Play آپلود شد، و قبل از آنکه گزارش و حذف شود، تقریباً هزار بار دانلود شد. CherryBlos یک دزد ارز دیجیتال است که از مجوزهای سرویس Accessibility برای دریافت دو فایل پیکربندی از سرور C2، تأیید خودکار مجوزهای اضافی و جلوگیری از کشتن برنامه تروجان شده توسط کاربر سوء استفاده می‌کند.
CherryBlos از طیف وسیعی از تاکتیک‌ها برای سرقت اعتبار و دارایی‌های ارزهای دیجیتال استفاده می‌کند که تاکتیک اصلی آن بارگذاری رابط‌های کاربری جعلی است که از برنامه‌های رسمی تقلید می‌کنند تا با استفاده از فیشینگ، اعتبارنامه دریافت کنند. 
اما یک ویژگی جالب‌تر، استفاده از OCR است. به عنوان مثال، هنگام راه‌اندازی کیف پول‌های ارز دیجیتال جدید به کاربران عبارت/رمز عبور بازیابی شامل ۱۲ کلمه یا بیشتر داده می‌شود که می‌تواند برای بازیابی کیف پول در رایانه استفاده شود. برخی کاربران از این رمز، عکس می‌گیرند، هر چند این کار توصیه نمی‌شود. این بدافزار می‌تواند با استفاده از OCR، رمز را از این عکس‌ها استخراج کند.
تحلیلگران Trend Micro اتصالاتی به یک کمپین در Google Play پیدا کردند که در آن 31 برنامه کلاهبرداری که مجموعاً "FakeTrade" نامیده می‌شود از زیرساخت‌ها و گواهی‌های شبکه C2 یکسان با برنامه‌های CherryBlos استفاده می‌کردند. این برنامه‌ها از تم‌های خرید یا فریب‌های پول‌سازی استفاده می‌کنند که کاربران را فریب می‌دهد تا تبلیغات تماشا کنند، با اشتراک‌های ممتاز موافقت کنند، یا کیف پول درون‌برنامه‌ای خود را پر کنند و هرگز به آن‌ها اجازه دریافت پاداش‌های مجازی را ندهند.
این برنامه‌ها از رابط کاربری مشابهی استفاده می‌کنند و عموماً کاربران مالزی، ویتنام، اندونزی، فیلیپین، اوگاندا و مکزیک را هدف قرار می‌دهند در حالی که بیشتر آنها بین سال‌های 2021 تا 2022 در Google Play آپلود شده‌اند. گوگل به BleepingComputer گفت: «ما ادعاهای امنیتی و حریم خصوصی علیه برنامه‌ها را جدی می‌گیریم و اگر اپلیکیشنی سیاست‌های ما را نقض کرده باشد، اقدام مناسب را انجام خواهیم داد». اما از آنجا که تا به حال هزاران کاربر این اپ‌ها را دانلود کرده‌اند، پاک کردن دستی آنها از روی دستگاه لازم است.

منبع:

https://www.bleepingcomputer.com/news/security/new-android-malware-Uses-ocr-to-steal-credentials-fr…

 

یک آسیب‌پذیری bypass تایید هویت در Ivanti EPMM به کاربران غیرمجاز اجازه می‌دهد تا بدون تایید هویت مناسب، به عملکرد یا منابع محدود برنامه دسترسی داشته باشند. این آسیب پذیری با شناسه CVE-2023-35078 و امتیاز 10.0 که رویIvanti Endpoint Manager Mobile تاثیر می گذارد، اکسپلویت شده است.
در صورت اکسپلویت موفق آسیب پذیری، مهاجم تایید هویت نشده و راه دور می تواند به اطلاعات شخصی کاربران دسترسی داشته باشد و تغییرات محدودی در سرور ایجاد کند. CVE-2023-35078  یک آسیب‌پذیری bypass احراز هویت است که اجازه می‌دهد API احراز هویت نشده از راه دور، به مسیرهای خاص دسترسی داشته باشد. مهاجم با دسترسی به این مسیرهای API  می‌تواند به اطلاعات شناسایی شخصی (PII) مانند نام، شماره تلفن و سایر جزئیات دستگاه تلفن همراه کاربران در یک سیستم آسیب‌پذیر دسترسی داشته باشد. مهاجم همچنین می‌تواند پیکربندی را از طریق bypass تایید هویت تغییر دهد و از طریق ایجاد یک حساب اداریEPMM ، تغییرات بیشتری در یک سیستم آسیب‌پذیر ایجاد کند.
3    محصولات تحت تأثیر
آسیب‌پذیری CVE-2023-35078 همه نسخه‌های پشتیبانی‌شده، از جمله نسخه‌های 11.4، 11.10،11.9 ، 11.8 و نسخه های قدیمی تر را تحت تأثیر قرار می‌دهد. 
وصله های امنیتی برای رفع آسیب پذیری Ivanti EPMM (MobileIron) منتشر شده است. با ارتقاء به نسخه-های 11.8.1.1، 11.9.1.1،  11.10.00,02این آسیب پذیری رفع خواهد شد. 
منابع خبر

 

یک آسیب پذیری بحرانی با دسترسی Super Admin بر دستگاه های MikroTik تاثیر می گذارد. بیش از 900000 روتر RouterOS در معرض خطر هستند و توصیه می شود مدیران و کاربران وصله های موجود را اعمال کنند. 
این آسیب پذیری با شناسه CVE-2023-30799 و امتیاز 9.1 یک آسیب پذیری بحرانی به شمار می رود. مهاجم از راه دور و تایید هویت می تواند دسترسی ادمین را در رابطه با Winboxیا HTTP افزایش دهد. آسیب پذیری افزایش دسترسی که بر روی MikroTik RouterOS تاثیر می گذارد، توسط مهاجم می تواند برای اجرای کد و دسترسی دستگاه های آسیب پذیر اکسپلویت می شود. 
از آنجاییکه رابط های وب RouterOS و Winbox از طرح های رمزگذاری سفارشی استفاده می کنند، مهاجمان می توانند پس از کنترل دستگاه، رابط کاربری RouterOS را دور بزنند. 
مهاجمان برای اکسپلویت این آسیب پذیری و بدست آوردن دسترسی فوق مدیر، نیاز به دسترسی قبلی به یک حساب مدیریت دارند. از آنجاییکه دریافت اعتبار برای سیستم های RouterOS پیچیده نیست، دسترسی به یک حساب کاربری به همان اندازه آسان است. سیستم یک خط مشی رمز عبور قوی اعمال نمی کند. بنابراین، مدیران می توانند از رمزهای عبور ساده استفاده کنند که به راحتی در یک حمله brute force شکسته می شوند. علاوه براین، این سیستم فقط محافظت از نیروی brute force را در رابط SSH  ارائه می دهد. 

مهاجمان راه دور و تاییدهویت شده می توانند آسیب پذیری CVE-2023-39799 را درMikroTik RouterOS Long-term تا نسخه 6.49.8 اکسپلویت کنند. 
به مدیران و کاربران روترهای MikroTik توصیه می شود که به نسخه ثابت ارتقا دهند و بطور کلی سطح حمله را به حداقل برسانند، تا از این نوع و حملات مشابه توسط بازیگران راه دور جلوگیری کنند. از طریق حذف رابط های اداری MikroTik از اینترنت، محدود کردن آدرس های IP مدیران، یا با غیرفعال کردنWindows و رابط های وب می توانند جلوگیری از حملات را انجام دهند. همچنین باید SHH را برای استفاده از کلیدهای عمومی و خصوصی و غیرفعال کردن رمزهای عبور پیکربندی کنند. 
منابع خبر

 

اپل به روزرسانی‌های امنیتی جدیدی برای iOS، iPadOS، macOS، tvOS، watchOS و Safari  منتشر کرده است. در این به روزرسانی‌ها، چندین آسیب‌پذیری‌ امنیتی مربوط به دسته‌های مختلف کرنل، WebKit، Find My و Apple Neural Engine وصله می‌شوند. دو مورد از این آسیب‌پذیری‌ها به صورت فعالی در حملات علیه دستگاه‌های iOS مورد سوء استفاده قرار می‌گرفته‌اند. CVE-2023-38606 شناسه یکی از این آسیب‌پذیری‌ها است که در کرنل اپل شناسایی شده و امکان تغییر در وضعیت کرنل را فراهم می‌کند و به طور بالقوه کنترل آن را به مهاجم می‌دهد. این آسیب‌پذیری برای نسخه‌های قبل از iOS 15.7.1 به طور فعال اکسپلویت می‌شود. شایان ذکر است که CVE-2023-38606 یکی از آسیب‌پذیری‌هایی است که در حملات بدافزاری کمپین « Operation Triangulation» مورد استفاده قرار می‌گیرد. آسیب‌پذیری دیگر، CVE-2023-37450 است که یک نقص امنیتی در موتور مرورگر WebKit است که در آن پردازش محتوای وب ممکن است منجر به اجرای کد دلخواه توسط مهاجم شود. 

اطلاعات آسیب‌پذیری‌های وصله شده در این به روز رسانی به شرح زیر است: 

o    این قابلیت در دستگاه‌هایی با قابلیت Apple Neural Engine موجود است:
  iPhone 8  و ماقبل ،  iPad Pro (نسل 3) و ماقبل، iPad Air (نسل 3) و ماقبل، iPad mini (نسل 5)
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط: 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان خواندن اطلاعات حساس مکانی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری مرتبط: 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند وضعیت کرنل را تغییر دهد. طبق گزارش‌های اعلامی اپل این آسیب‌پذیری در نسخه‌های iOS قبل از iOS 15.7.1. به صورت فعالی اکسپلویت می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری امکان اجرای کد دلخواه با مجوز سطح کرنلی برای مهاجم فراهم می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    Kernel

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری مهاجم می‌تواند امتیازات خود را ارتقا دهد. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند دسترسی روت بدست آورد.  
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند منجر به حمله منع دسترسی شود.   
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک برنامه می‌تواند از فضای سندباکس خود خارج شود.    
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری یک وب‌سایت می‌تواند  Same Origin Policy را  دور بزند. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

•    WebKit

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود. طبق گزارش‌های اعلامی اپل این آسیب‌پذیری به صورت فعالی اکسپلویت می‌شود.
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به اجرای کد دلخواه می‌شود.
o    شناسه آسیب‌پذیری‌های مرتبط 

o    موجود در iPhone 8  و ماقبل ،  iPad Pro (تمامی مدل‌ها)، iPad Air (نسل 3) و ماقبل، iPad (نسل 5) و ماقبل، iPad mini (نسل 5) و ماقبل
o    با سوء استفاده از این آسیب‌پذیری، پردازش یک صفحه وب منجر به افشای اطلاعات حساس می‌شود. 
o    شناسه آسیب‌پذیری‌های مرتبط 

   منبع خبر

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

جزییات جدیدی از بدافزار Decoy dog بعنوان یک ارتقاء قابل توجه روی تروجان Pupy RAT،  منتشر شده است که طی آن، از DNS یک سازمان برای  حملات C&C استفاده می نماید.  بدافزار Decoy dog مجموعه ای کامل از قابلیت های قدرتمند و ناشناخته را در خود جای داده است، مانند قابلیت انتقال controller که به حمله کننده این اجازه را می‌دهد تا بدون شناسایی شدن، زمانی طولانی‌تری ماشین هدف را کنترل کند. نقاط پایانی (End points) سازمانی که توسط این بدافزار در معرض خطر قرار می‌گیرد، از طریق پرس‌و‌جوهای DNS و پاسخ‌های آدرس IP با یک کنترل‌کننده (یعنی سرور) ارتباط برقرار می‌کند و دستورالعمل‌ها را از آن دریافت می‌کند. در واقع ترافیک DNS برای انتقال ارتباطات بین کلاینت‌ها و سرورها می‌تواند مورد سوء استفاده قرار می‌گیرد.
کمبود اطلاعات در مورد سیستم‌های قربانی و آسیب‌پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند، Decoy Dog را به یک تهدید مداوم و جدی تبدیل می‌کند. در حال حاضر بهترین دفاع در برابر این بدافزار، تمرکز بر روی DNS است. توصیه می شود سازمان‌ها با استراتژی استفاده ازDNS بعنوان محافظ قوی در برابر این نوع تهدیدات پنهان پیش بروند و تمام درخواست های سمت DNS را به دقت مورد آنالیز قرار دهند. 

https://www.infosecurity-magazine.com/news/decoy-dog-malware-upgraded/

https://www.bleepingcomputer.com/news/security/mysterious-decoy-dog-malware-toolkit-still-lurks-in-…

شرکت Atlassian به‌روزرسانی‌هایی را جهت رفع سه نقص امنیتی در محصولات Confluence Data Center & Server و Bamboo Data Center منتشر نمود. بهره‌برداری از این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد دستورات دلخواه خود را بر روی سیستم هدف اجرا کند که این محرمانگی، یکپارچگی و دسترس پذیری را تحت تاثیر قرار می‌دهد. آسیب‌پذیری با شناسه CVE-2023-22508 و شدت 8.5 در نسخه 7.4.0 از Confluence Data Center & Server ایجاد شده که در نسخه 8.2.0 برطرف شده است. آسیب‌پذیری با شناسه CVE-2023-22505 و شدت 8.0 در نسخه 8.0.0 از Confluence Data Center & Server به وجود آمده و در نسخه‌های 8.3.2 و 8.4.0 برطرف شده است. این دو آسیب‌پذیری توسط یک کاربر کشف شده و از طریق برنامه Bug Bounty به این شرکت گزارش شده‌اند. برای بهره‌برداری از این آسیب‌پذیری‌ها نیازی به تعامل قربانی نیست، امام مهاجم باید دسترسی به یک حساب کاربری معتبر را داشته باشد. یک آسیب‌پذیری تزریق و اجرای کد با شناسه CVE-2023-22506 و شدت 7.5 در نسخه 8.0.0 از Bamboo Data Center به وجود آمده است و به مهاجمی که تصدیق هویت انجام داده اجازه می‌دهد اقدامات انجام شده توسط System Call را تغییر داده و کدهایی را از راه دور اجرا نماید. این آسیب‌پذیری از طریق برنامه تست نفوذ این شرکت کشف شده و در نسخه‌های 9.2.3 و 9.3.1 برطرف شده است. برای بهره‌برداری از این آسیب‌پذیری نیازی به تعامل قربانی نیست.
در ژانویه امسال نیز به روزرسانی‌هایی برای برطرف کردن آسیب‌پذیری با شناسه CVE-2023-22501 و شدت 9.4 در Jira Service Management Server and Data Center منتشر شده بود. با توجه به این موضوع سازمان‌هایی که از محصولات این شرکت استفاده می‌کنند ممکن است مورد توجه هکرها قرار بگیرند و توصیه می‌شود در اسرع وقت نسبت به نصب آخرین نسخه از این محصولات اقدام نمایند.
منابع:

 

اسکریپت acme.sh یک ابزار قدرتمند و ساده پروتکل ACME است که به طور کامل به زبان Unix shell نوشته شده و با شل‌های bash، dash و sh سازگاری دارد. این اسکریپت به نصب، تمدید و لغو گواهینامه‌های SSL کمک می‌کند. این اسکریپت به دسترسی روت نیاز ندارد ولی اجرای آن به صورت روت گاهی اوقات ممکن است بهتر باشد. یک کاربر چندی پیش متوجه شد که وب‌سایت https://www1.hi.cn/en/ با استفاده از اسکریپت acme.sh اقدام به تزریق دستورات دلخواه در فرایند دریافت گواهینامه امنیتی می‌کند. این درحالی است که چنین چیزی یک آسیب‌پذیری محسوب می‌شود و این شرکت به جای گزارش دادن این آسیب‌پذیری تصمیم گرفته از آن به عنوان یک ویژگی استفاده کند!
در واقع HiCA خروجی دستورات curl را به bash پایپ می‌کند که با این کار اسکریپت acme.sh دستوراتی را از یک سرور راه دور اجرا می‌کند و این یک نقض RFC 8555 و عدم شفافیت محسوب می‌شود. البته تاکنون گزارشی مبنی بر اجرای کد مخرب توسط این اسکریپت منتشر نشده است. شناسه CVE-2023-38198 با شدت 9.8 به این آسیب‌پذیری اختصاص داده شده است. در صورتی که از اسکریپت acme در پروژه‌های خود استفاده می‌کند، توصیه می‌شود آخرین نسخه این اسکریپت را دریافت نمایید.

منابع: