بدافزار جدید Avrecon، بطور مخفیانه روترهای اداری/دفتر خانگی کوچک (SOHO) را مورد هدف قرار داده است. این بدافزار اولین بار در می 2021 مشاهده شد و بیش از دو سال است که بدون شناسایی کار می کند و به بیش از 70000 دستگاه نفوذ کرده و یک بات نت با 40000 در 20 کشور ایجاد می کند. 
در زنجیره حملات این بدافزار، یک عفونت موفقیت آمیز با شمارش روتر SOHO قربانی اعمال شده و استخراج اطلاعات آن به یک سرور فرمان و کنترل تعبیه شده (C2) انجام می شود. همچنین، با جستجوی فرآیندهای موجود در پورت 48102 و بازکردن شنونده در آن پورت، اجرای نمونه های دیگر بدافزار روی میزبان را بررسی می کند و یک فرآیند محدود به آن پورت خاتمه می¬یابد. مرحله بعدی، برقراری ارتباط سیستم در معرض خطر با یک سرور جداگانه به نام سرور C2 ثانویه است، تا منتظر دستورات بعدی باشد. 
Avrecon به زبان برنامه نویسی C نوشته شده است و پورت کردن بدافزار برای معماری های مختلف را آسان می کند. علاوه بر این، یک دلیل مهم برای کارآمد بودن چنین حملاتی این است که از زیرساخت های زندگی در لبه هایی استفاده می کنند که از راه حل های امنیتی پشتیبانی نمی کنند. 
شواهد موجود نشان می دهد که بات نت برای کلیک کردن بر روی تبلیغات مختلف فیس بوک و گوگل و برای تعامل باMicrosoft Outlook  استفاده می شود. این عامل، بیانگر تلاش دوجانبه برای انجام تقلب تبلیغاتی و استخراج داده ها است. 
شیوه حمله این بدافزار، شستشوی فعالیت های مخرب با سرقت پهنای باند، بدون تاثیرگذاری بر روی کاربران نهایی است که برای ایجاد یک سرویس پروکسی خانگی و دسترسی به همان سطح خدمات تجاری VPN، متمرکز است.
دلیل موفقیت این گروه حملاتی این است که ماشین های هدف، راه حل های استاندارد تشخیص نقطه پایانی و پاسخ (ERD) را ارائه نمی دهند. مهاجمان ممکن است بر روی دستگاه های نوع SOHO که کاربران کمتر در برابر آسیب‌پذیری‌ها و مواجهه‌های رایج (CVE) وصله می کنند، تمرکز کنند. 

منابع خبر

[2] https://www.bleepingcomputer.com/news/security/avrecon-malware-infects-70-000-linux-routers-to-buil…

[3] https://securereading.com/avrecon-malware-infects-linux-soho-routers

پلاگین ProfileGrid در وردپرس، در برابر تغییرات غیرمجاز داده‌ها آسیب‌پذیر است، زیرا قابلیت بررسی عملکرد profile_magic_check_smtp_connection در آن وجود ندارد. 
آسیب پذیری بحرانی پلاگین ProfileGrid، با شناسه CVE-2023-3713 و امتیاز 8.8 ارزیابی شده است. آسیب پذیری در این پلاگین، این امکان را برای مهاجمان تأیید شده با مجوزهای سطح مشترک یا بالاتر فراهم می کند، تا گزینه های سایت را به روز کنند .مهاجمان می توانند از این آسیب پذیری، برای دستیابی به افزایش دسترسی استفاده کنند.
این آسیب پذیری، در برخی از پردازش های ناشناخته مولفه Option Update Handler پیدا شده است که بر محرمانگی، یکپارچگی و در دسترس بودن تاثیر می گذارد. 
آسیب پذیری CVE-2023-3713 در پلاگین ProfileGrid وردپرس، تا نسخه5.5.1  پیدا شده است.
منابع خبر

[2] https://vuldb.com/?id.234310

اسناد مایکروسافت ورد از آسیب‌پذیری اجرای کد از راه دور سواستفاده می‌کند و با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب می‌کند. کارا لین محقق آزمایشگاه Fortinet FortiGuard گفت: «LokiBot، از سال 2015 به عنوان یک تروجان سرقت اطلاعات شناخته شده است. این آسیب‌پذیری سیستم‌های ویندوز را هدف قرار می دهد و هدف آن جمع آوری اطلاعات حساس از سیستم‌ها است." شرکت امنیت سایبری این آسیب‌پذیری را در می 2023 شناسایی کرده است. این حملات از آسیب‌پذیری‌های CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوء‌استفاده می‌کنند.
فایل Word که با ‌استفاده از آسیب‌پذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی است و در یک فایل XML تعبیه شده است که منجر‌به دانلود یک فایل HTML می شود و LokiBot را رمزگشایی و راه اندازی می کند، سوء استفاده می کند. این آسیب‌پذیری‌ همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.
یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع "Auto_Open" و "Document_Open" یک بد‌افزار ماکرو را اجرا می کند.
اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.
LokiBot، دارای قابلیت‌هایی برای ثبت ضربه‌های کلید، گرفتن اسکرین شات، جمع‌آوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon داده‌ها از انواع کیف پول‌های ارزهای دیجیتال است.
کارا لین می گوید: "LokiBot یک بدافزار قدیمی و گسترده است که سال‌هاست فعال است. عملکردهای آن در طول زمان به بلوغ رسیده است و استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند."
منبع

https://thehackernews.com/2023/07/cybercriminals-exploit-microsoft-word.html

مهاجمان از یک آسیب پذیری بحرانی که اخیرا در پلاگین WooConnerce Payments WordPress افشا شده بود، برای حملات هدفمند گسترده استفاده می کنند. این گروه  حملات، به وب سایت های  Wordfence حمله می کنند. یک فایروال برنامه وب برای سایت های وردپرس گزارش کرده است که این گروه حملات بر روی زیرمجموعه کوچکتری از وب سایت ها تمرکز دارد. 
این آسیب پذیری که با عنوان CVE-2023-28121 و امتیاز 9.8 ارزیابی شده است،  یک مورد دور زدن تایید هویت است که به مهاجمان تایید هویت نشده امکان می دهد، با جعل هویت کاربران برخی اقدامات را حتی با جعل هویت مدیر انجام دهند که منجر به تصاحب سایت می شود. 
اکسپلویت موفقیت آمیز از آسیب پذیری پلاگین WooCommerce Payments وردپرس، به مهاجم تایید هویت نشده، اجازه می دهد درخواست هایی را از طرف یک کاربر با دسترسی بالا مانند مدیر ارسال کند. از این رو، مهاجم از راه دور و تایید هویت نشده می تواند به سایتی که با نسخه آسیب پذیر پلاگین فعال شده است، دسترسی مدیر داشته باشد.
گزارش ها نشان می دهد افزایش درخواست های شمارش پلاگین ها، از چند روز قبل، نشانه هایی از حملات گسترده را شناسایی کرده اند. این درخواست ها یک فایل خاص read.txt را در فهرست wp-content/plugins/woocommerce-payments/ در میلیون ها سایت جستجو می کردند. اگرچه، همه اسکن‌هایی که فایل‌های readme.txt را هدف قرار می‌دهند مخرب نیستند. بااین حال، افزایش جستجوها برای یک پلاگین خاص معمولاً نشان‌دهنده علاقه شدید عوامل تهدید است.
حفره مشترک مشاهده شده در حملات، استفاده از هدر درخواست HTTP "X-Wcpay-Platform-  Checkout-User: 1 است که باعث می شود سایت های حساس هر گونه بار اضافی را به عنوان یک کاربر مدیریتی Wordfence در نظر بگیرند. این حفره برای استقرار پلاگین WP Console استفاده می شود که می تواند برای اجرای کدهای مخرب و نصب یک آپلود کننده فایل برای تنظیم پایداری سایت در معرض آسیب پذیری باشد. 

محصولات تحت تأثیر
نسخه های 4.8.0 تا 5.6.1 پلاگین WooCommerce Payments آسیب پذیر هستند. بیش از 600000  وب سایت وردپرسی وجود دارد که از این پلاگین استفاده می کنند. وصله های مربوط به این آسیب پذیری توسط WooCommerce در مارس 2023 منتشر شد و وردپرس با استفاده از نسخه های آسیب پذیر نرم افزار، بروزرسانی هایی را برای سایت ها صادر کرد.
 منابع خبر

یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب-پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. 
 Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان  CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به-عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر

یک آسیب پذیری در Adobe's ColdFusion شناسایی شده است که به مهاجم اجازه می دهد، از این آسیب پذیری برای اجرای کد از راه دور در سیستم مورد هدف استفاده کند. Adobe به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری بحرانی، با عنوان CVE-2023-38203 منتشر کرده است. یک مهاجم می تواند از این آسیب پذیری، برای اجرای کد خود بر روی یک سیستم آسیب پذیر استفاده کند.
این آسیب پذیری، با امتیاز 9.8 ارزیابی شده است و در نسخه های ColdFusion 2018, 2021, 2023، به عنوان آسیب زدایی از داده های غیر قابل اعتماد مشخص می شود. 
مهاجمان بطور فعال، از آسیب پذیری بحرانی در Adobe's ColdFusion برای دور زدن تایید هویت و اجرای دستورات، از راه دور استفاده می کنند و می توانند پوسته های وب را روی سرورهای آسیب پذیر نصب کنند. اکسپلویت زنجیره ای این آسیب پذیری ها، به مهاجمان این امکان را ایجاد می کند، پس از نصب یک پوسته وب روی نمونه های آسیب پذیر ColdFusion، برای انجام حملات بیشتر استفاده کنند. 
این نوع آسیب پذیری به مهاجم اجازه می دهد، تا داده های ساختگی کد خود را اجرا کند و منجر به از کار افتادن کامل سیستم شود. 
به کاربران ColdFusion توصیه شده است که آخرین به روز رسانی های امنیتی را نصب کنند، تا از سیستم های خود در برابر حملات احتمالی محافظت کنند.
منابع خبر

[2] https://digital.nhs.uk/cyber-alerts/2023/cc-4358

[3]https://vulnera.com/newswire/critical-vulnerability-in-coldfusion-addressed-as-adobe- releases-another-key-patch

پلاگین ثبت نام کاربر وردپرس، بدلیل وجود یک کلید رمزنگاری سخت و عدم اعتبارسنجی نوع فایل، در برابر آپلود فایل آسیب پذیر است. این آسیب پذیری با شناسه CVE-2023-3342 و امتیاز 9.9 ارزیابی شده است که بیش از 60000 نصب فعال دارد. 
عدم اعتبارسنجی نوع فایل در عملکرد ur_upload_profile_pic، این پلاگین را در برابر آپلود فایل های ساختگی آسیب پذیر کرده است. مهاجم تایید هویت نشده می تواند، با قابلیت های مشترک یا بالاتر فایل های ساختگی، از جمله فایل¬های  PHPرا در سرور سایت آسیب پذیر آپلود کند و منجر به اجرای کد از راه دور شود. 
این آسیب پذیری تا نسخه 3.0.2  موجود و در نسخه  3.0.2.1برطرف شده است.
به کاربران توصیه می شود، تایید هویت دو مرحله ای را در وردپرس فعال کرده و رمزهای عبور را تغییر دهند، بخصوص اگر از همان ترکیب های اعتبار، در سایت های دیگر استفاده شده باشد. همچنین، توصیه می شود سایت هایشان را به آخرین نسخه وصله شده ثبت نام کاربر، به روز رسانی کنند.
منابع خبر

دو آسیب پذیری امنیتی جدید، بر مدل های ماژول های ارتباطیRockwell Automation ControlLogix EtherNet/IP (ENIP) تاثیر می گذارند. این آسیب پذیری ها می توانند از طریق دستیابی به اجرای کد از راه دور و انکار سرویس (DoS) اکسپلویت شوند. نتایج و تاثیر اکسپلویت این آسیب پذیری ها، بسته به پیکربندی سیستم ControlLinux متفاوت است، اما می تواند منجر به انکار یا از دست دادن کنترل، دید، سرقت داده های عملیاتی یا دستکاری کنترل برای پیامدهای مخرب بر روی سیستم شود. 
آسیب پذیری CVE-2023-3595 با امتیاز 9.8، در محصولات ارتباطی Rockwell Automation 1756 EN2* and 1756 EN3* ControlLogix communication products وجود دارد که به مهاجم اجازه می دهد، از طریق پروتکل صنعتی مشترک (CIP) ساخته‌شده به‌طور مخرب، کد از راه دور را با پایداری روی سیستم هدف اجرا کند. 
این آسیب پذیری علاوه بر به خطر افتادن خود ماژول آسیب‌پذیر، می‌تواند به مهاجم اجازه دهد، فرآیند صنعتی را همراه با زیرساخت‌های حیاتی زیربنایی تحت تأثیر قرار دهد، که ممکن است منجر به اختلال یا تخریب احتمالی شود.آسیب‌پذیری دیگری با شناسهCVE-2023-3596، در محصولات ارتباطی Rockwell Automation  1756-EN4* Ethernet/IP  وجود دارد که می‌تواند به مهاجم اجازه دهد، با اعلام سیستم هدف از طریق پیام‌های CIP ساختگی، به‌طور مخرب سرویس را انکار کند.
این آسیب پذیری ها در صورتی که با موفقیت اکسپلویت شوند، امکان دسترسی از راه دور به حافظه در حال اجرای ماژول و انجام فعالیت های مخرب را، برای مهاجم فراهم می کنند. دستگاه های آسیب پذیر شامل

 منابع خبر

شرکت سیسکو در خصوص یک آسیب پذیری بحرانی در Cisco SD-WAN vManage هشداری را صادر کرده است. این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز 9.1 در محصولات سیسکو یافت شده است. یک آسیب‌پذیری در اعتبارسنجی درخواست برای رابط برنامه‌نویسی برنامه‌های کاربردی (REST API) نرم‌افزار Cisco  SD-WAN vManage  وجود دارد که می‌تواند به یک حمله‌کننده غیرمجاز، اجازه دسترسی به مجوزهای خواندن یا محدود خواندن/نوشتن به پیکربندی نمونه Cisco SD-WAN vManage متأثر را بدهد.
این آسیب‌پذیری به دلیل عدم اعتبارسنجی کافی درخواست‌ها هنگام استفاده از ویژگی REST API به وجود می‌آید. یک حمله‌کننده می‌تواند از طریق ارسال درخواست API منحصربه‌فرد به یک نمونه vManage متأثر، از این آسیب‌پذیری بهره‌برداری کند. در صورت موفقیت آمیز بودن حمله، حمله‌کننده قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco  vManage  متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیب‌پذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد. این APIها برای موارد زیر استفاده می‌شوند. 
•    نظارت بر وضعیت دستگاه
•    پیکربندی دستگاه
•    بدست آوردن اطلاعات آماری از دستگاه
نسخه های تحت تاثیر و اصلاح شده :
 

سیسکو اعلام کرده است که اطلاعاتی در خصوص اکسپلویت یا حملات استفاده شده برای این آسیب پذیری ندارد.
 برای بررسی اینکه آیا به این APIها درخواستی ارسال شده است می‌توان فایل لاگ که در مسیر زیر قرار دارد را بررسی کنید :

/var/log/nms/vmanage-server.log

با دستور CLI زیر میتونید این فایل رو مشاهده کنید :

vmanage# show log /var/log/nms/vmanage-server.log

اگه در نتایج عبارت Request Stored in Map is (/dataservice/client/server) for user (admin) بود، یعنی درخواست‌هایی به REST API ارسال شده  است.

توصیه :
سیسکو به‌روزرسانی‌های نرم‌افزاری را منتشر کرده است که این آسیب‌پذیری را رفع می‌کند. راه‌حل‌های موقتی برای رفع این آسیب‌پذیری وجود ندارد. همچنین گفته شده که می‌توانید با فعال کردن access control list) ACL) دسترسی به vManage رو محدود کنید.

مراجع

کمپانی Zimbra هشداری در خصوص اصلاح دستی آسیب پذیری XSS در سرورهای ایمیل Zimbra Collaboration Suite (ZCS)  صادر کرده است. زیمبرا به مدیران توصیه کرد که به صورت دستی یک آسیب‌پذیری روز صفر را که به صورت فعال، در هدف قرار دادن و نفوذ به سرورهای ایمیل زیمبرا Collaboration Suite (ZCS)  استفاده می‌شود، رفع کنند. این پلتفرم توسط 200 هزار کسب و کار در 140 کشور دنیا مورد استفاده قرار میگیرد که بخشی از آنها سازمانهای دولتی و مالی هستند. این یک آسیب پذیری از نوع reflected XSS است و در Zimbra Collaboration Suite نسخه 8.8.15  رخ میدهد و محرمانگی و یکپارچگی داده ها را تحت تاثیر قرار می‌دهد. اصلاحیه آن قرار است در انتشار اصلاحیه جولای منتشر شود. آسیب پذیری توسط محققین Google Threat Analysis Group گزارش شده است. این  کمپانی در خصوص اینکه این آسیب پذیری مورد سوء استفاده قرار گرفته است مطلبی را نگفته است.  اما Maddie Stone از Google Threat Analysis Group اعلام کرده است که آسیب پذیری هنگام اکسپلویت در یه حمله هدفمند کشف و به صورت روز صفر است. در حالی که زیمبرا هنوز پچ‌های امنیتی را برای رفع آسیب‌پذیری به صورت فعال ارائه نداده است، اما یک راه حل را برای تصحیح دستی ارائه کرده است که مدیران می‌توانند از آن برای حذف برداشت حمله استفاده کنند. برای رفع آسیب‌پذیری در تمام گره‌های صندوق پستی به صورت دستی، مدیران باید مراحل زیر را انجام دهند:
1.    نسخه پشتیبانی از فایل زیر را بگیرید.

2.    این فایل را ویرایش کنید و به خط شماره ۴۰ بروید.
3.     مقدار پارامتر را به مقدار زیر به‌روزرسانی کنید

 <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>. 

4.    قبل از به‌روزرسانی، خط به صورت زیر بوده است.

 <input name="st" type="hidden" value="${param.st}"/> 

5.    با اضافه کردن تابع escapeXml کمک می کنید تا ورودی کاربر ،که از برخی کاراکترهای خاصی که در XML markup استفاده می‌شوند رو پاکسازی کنید و در نتیجه جلوی XSS رو بگیرید.
 

مراجع