پروژه امنیت نرم‌افزاری تحت وب (OWASP) لیستی از 10 آسیب‌پذیری حیاتی که اغلب در برنامه‌های پردازش زبان طبیعی در مقیاس بزرگ (large language model  = LLM) دیده می‌شوند را منتشر کرده است. OWASP در این لیست، بر تأثیر بالقوه، سهولت بهره‌برداری و فراگیری این آسیب‌پذیری‌ها تاکید نموده است. نمونه‌هایی از آسیب‌پذیری‌ها عبارتند از تزریق بلادرنگ، نشت داده‌ها، سندباکسینگ ناکارآمد، و اجرای غیرمجاز کد. OWASP بیان داشت که این فهرست با هدف آموزش توسعه دهندگان، طراحان، معماران، مدیران و سازمان‌ها پیرامون این موارد منتشر شده است: ریسک‌های امنیتی بالقوه در زمان استقرار و مدیریت LLM‌ها، افزایش آگاهی از آسیب‌پذیری‌ها، پیشنهاد استراتژی‌های اصلاحی و بهبود وضعیت امنیتی برنامه‌های کاربردی LLM. 
پیدایش رابط‌های چت هوش مصنوعی مولد ساخته شده بر روی LLMها و تأثیر آن‌ها بر امنیت سایبری یک بحث مهم است. نگرانی‌ها در مورد خطرساز شدن این فناوری‌های جدید بسیار زیاد است؛ از مسائل بالقوه اشتراک‌گذاری اطلاعات حساس تجاری با الگوریتم‌های خودآموز پیشرفته گرفته تا عوامل مخربی که از این اطلاعات برای افزایش قابل توجه حملات استفاده می‌کنند. برخی کشورها، ایالت‌های آمریکا و شرکت‌ها در حال بررسی یا ممنوع نمودن استفاده از فناوری هوش مصنوعی مولد مانند ChatGPT در زمینه امنیت داده‌ها، حفاظت و زمینه‌های حفظ حریم خصوصی هستند.
طبق گفته OWASP، در اینجا 10 آسیب‌پذیری اصلی که برروی برنامه‌های LLM تأثیر می‌گذارد، آورده شده است.

1    تزریق‌های بلادرنگ 
OWASP نوشت: تزریق‌های بلادرنگ شامل دور زدن فیلترها یا دستکاری LLM با استفاده از اعلان‌های دقیق ساخته شده است. این تزریق‌ها باعث می‌شوند که مدل، دستورالعمل‌های قبلی را نادیده بگیرد یا اقدامات ناخواسته انجام دهد. این آسیب‌پذیری‌ها می‌توانند منجر به عواقب ناخواسته از جمله نشت داده‌ها، دسترسی غیرمجاز، یا سایر نقض‌های امنیتی شوند. آسیب‌پذیری‌های رایج تزریق بلادرنگ شامل این موارد است: دور زدن فیلترها یا محدودیت‌ها با استفاده از الگوها یا توکن‌های خاص، بهره‌برداری از نقاط ضعف در مکانیسم‌های توکنیزه کردن  یا رمزنگاری  LLM و گمراه کردن LLM برای انجام اقدامات ناخواسته، به وسیله ارائه متن گمراه‌کننده.
OWASP عنوان کرد، یک مثال از سناریوی حمله، دور زدن فیلتر محتوایی توسط کاربر مخرب است. کاربر مخرب این کار را با استفاده از الگوهای خاص زبانی، نشانه‌ها یا مکانیسم‌های رمزگذاری انجام می‌دهد. در نتیجه LLM نمی‌تواند آن‌ها را به عنوان محتوای محدود شده تشخیص دهد و به کاربر اجازه می‌دهد تا اقداماتی که باید مسدود می‌شدند را انجام دهد.
اقدامات پیشگیرانه برای این آسیبپذیری عبارتند از:

•  برای درخواست‌های ارائه‌شده توسط کاربر، اعتبارسنجی و پاک‌سازی دقیق ورودی را اجرا کنید.
•  برای جلوگیری از دستکاری بلادرنگ، از فیلتر context-aware و رمزنگاری خروجی استفاده کنید.
• به طور منظم LLM را به روز رسانی و تنظیم دقیق کنید تا درک آن از ورودی‌های مخرب بهبود یابد.

2    نشت داده‌ها
نشت داده زمانی رخ می‌دهد که یک LLM به طور تصادفی اطلاعات حساس، الگوریتم‌های اختصاصی یا سایر جزئیات محرمانه را از طریق پاسخ‌های خود افشا کند. OWASP گفت: این مساله می‌تواند منجر به دسترسی غیرمجاز به داده‌های حساس یا مالکیت معنوی، نقض حریم خصوصی و سایر نقض‌های امنیتی شود.
آسیب‌پذیری‌های رایج نشت داده‌ها عبارتند از: فیلتر ناقص یا نادرست اطلاعات حساس در پاسخ‌های LLM، انطباق مازاد / به خاطرسپاری  داده‌های حساس در فرآیند آموزشی LLM و افشای ناخواسته اطلاعات محرمانه به دلیل تفسیر نادرست یا خطاهای LLM. 
مهاجم می‌تواند عمداً LLM را با اعلان‌هایی که به دقت ساخته شده‌اند، بررسی کند و سعی کند اطلاعات حساسی را که LLM از داده‌های آموزشی خود حفظ کرده است استخراج کند. یا این‌که یک کاربر قانونی می‌تواند سهواً از LLM سؤالی بپرسد که اطلاعات حساس/محرمانه را افشا کند.
اقدامات پیشگیرانه برای نشت داده‌ها عبارتند از:

• برای جلوگیری از افشای اطلاعات حساس توسط LLM، فیلترینگ خروجی دقیق و مکانیزم‌های context-aware را اجرا کنید.
• از تکنیک‌های حریم خصوصی متمایز یا سایر روش‌های ناشناس‌سازی داده‌ها در طول فرآیند آموزش LLM استفاده کنید تا خطر انطباق مازاد یا به خاطرسپاری را کاهش دهید.
• به طور منظم پاسخ‌های LLM را بررسی و بازبینی کنید تا اطمینان حاصل شود که اطلاعات حساس به طور سهوی افشا نمی‌شوند.

3    سندباکس ناکارآمد 
اگر یک LLM در زمان دسترسی به منابع خارجی یا سیستم‌های حساس، به درستی ایزوله نشده باشد، سندباکس ناکارآمد می‌تواند منجر به بهره‌برداری بالقوه، دسترسی غیرمجاز، یا اقدامات ناخواسته LLM شود. به گفته OSWAP، آسیب‌پذیری‌های سندباکس ناکارآمد عبارتند از: جداسازی ناکارآمد محیط LLM از سایر سیستم‌های حیاتی یا ذخیره‌سازهای داده، محدودیت‌های نامناسبی که به LLM اجازه دسترسی به منابع حساس را می‌دهند و LLMهایی که اقدامات در سطح سیستم را انجام می‌دهند و با سایر فرآیندها در تعامل هستند.
مثالی از حمله می‌تواند یک عامل مخربی باشد که به وسیله ایجاد دستورهایی که به LLM می‌دهد از دسترسی LLM به یک پایگاه‌داده حساس بهره‌برداری می‌کند و اطلاعات محرمانه را استخراج و افشا می‌کند. اقدامات پیشگیرانه عبارتند از:

• جداسازی محیط LLM را از سایر سیستم‌ها و منابع حیاتی.
• محدود کردن دسترسی LLM به منابع حساس و محدود کردن قابلیت‌های آن به حداقل مورد نیاز، برای اهداف از پیش تعیین شده.
• بررسی و بازبینی منظم محیط LLM و کنترل‌های دسترسی، برای اطمینان از تداوم ایزوله‌سازی مناسب.

4    اجرای کد غیرمجاز
اجرای کد غیرمجاز زمانی اتفاق می‌افتد که مهاجم برای اجرای کدها، دستورات یا اقدامات مخرب در سیستم زیربنایی از طریق اعلان‌های زبان طبیعی، از یک LLM بهره‌برداری کند. آسیب‌پذیری‌های رایج شامل ورودی‌های کاربری پاکسازی نشده یا محدود نشده‌اند؛ ابن آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا اعلان‌هایی ایجاد کنند که سبب اجرای کدهای غیرمجاز، محدودیت‌های ناکارآمد در قابلیت‌های LLM و افشای ناخواسته عملکردها یا رابط‌های سطح سیستم در LLM شوند.
OWASP دو مثال از حمله را ذکر کرد: مهاجمی که اعلانی را ایجاد می‌کند که به LLM دستور می‌دهد که فرمانی را اجرا کند که یک پوسته معکوس را روی سیستم زیربنایی راه‌اندازی می‌کند. این کار به مهاجم دسترسی غیرمجاز می‌دهد و LLM به طور ناخواسته اجازه می‌یابد با یک API سطح سیستم تعامل داشته باشد. در واقع مهاجم این API را برای اجرای اقدامات غیرمجاز در سیستم دستکاری می‌کند.
تیم‌ها می‌توانند با این اقدامات به جلوگیری از اجرای کدهای غیرمجاز کمک کنند:

• برای جلوگیری از پردازش اعلان‌های مخرب یا غیرمنتظره توسط LLM، فرآیندهای اعتبارسنجی و پاکسازی دقیق ورودی را اجرا کنید.
• از سندباکسینگ مناسب اطمینان حاصل کنید و قابلیت‌های LLM را برای منحصر کردن توانایی آن در تعامل با سیستم زیربنایی محدود کنید.

5    آسیب‌پذیری‌های جعل درخواست سمت سرور
آسیب‌پذیری‌های جعل درخواست سمت سرور  (SSRF) زمانی رخ می‌دهند که مهاجم از یک LLM برای انجام درخواست‌های ناخواسته یا دسترسی به منابع محدود شده مانند سرویس‌های داخلی، APIها یا ذخیره‌سازهای داده سوءاستفاده می‌کند. آسیب‌پذیری‌های رایج SSRF عبارتند از: اعتبارسنجی ناکارآمد ورودی، اجازه دادن به مهاجمان برای دستکاری اعلان‌های LLM برای شروع درخواست‌های غیرمجاز و پیکربندی‌های نادرست در تنظیمات امنیتی شبکه یا برنامه و  قرار دادن منابع داخلی در معرض LLM.
برای اجرای حمله، مهاجم می‌تواند یک اعلان ایجاد کند که به LLM دستور بدهد تا از یک سرویس داخلی درخواست کند، کنترل‌های دسترسی را دور بزند و به صورت غیرمجاز به اطلاعات حساس دسترسی یابد. مهاجمان هم‌چنین می‌توانند از یک پیکربندی نادرست در تنظیمات امنیتی برنامه سوءاستفاده کنند که به LLM اجازه می‌دهد با یک API محدود شده تعامل داشته باشد، به داده‌های حساس دسترسی پیدا کند یا آن اطلاعات را تغییر دهد. اقدامات پیشگیرانه عبارتند از:

• برای جلوگیری از اعلان‌های مخرب یا غیرمنتظره از شروع درخواست‌های غیرمجاز، اعتبارسنجی و پاک‌سازی دقیق ورودی را اجرا کنید.
• به طور منظم تنظیمات امنیتی شبکه/برنامه را بررسی و بازبینی کنید تا مطمئن شوید که منابع داخلی به طور سهوی در معرض LLM قرار نمی‌گیرند.

6    اتکای بیش از حد به محتوای تولید شده توسط LLM
به گفته OSAWP، اتکای بیش از حد به محتوای تولید شده توسط LLM  می‌تواند منجر به انتشار اطلاعات گمراه‌کننده یا نادرست، کاهش ورودی انسانی در تصمیم‌گیری و کاهش تفکر انتقادی شود. سازمان‌ها و کاربران ممکن است بدون تأییدیه، به محتوای تولید شده توسط LLM اعتماد کنند؛ که این اعتماد منجر به خطاها، ارتباطات نادرست یا پیامدهای ناخواسته می‌شود. مسائل رایج مربوط به اتکای بیش از حد به محتوای تولید شده توسط LLM شامل این موارد است: پذیرش محتوای تولید شده توسط LLM به عنوان واقعیت و بدون تأییدیه، فرض اینکه محتوای تولید شده توسط LLM عاری از سوگیری یا اطلاعات نادرست است و تکیه بر محتوای تولید شده توسط LLM برای تصمیم‌گیری‌های حیاتی بدون دخالت یا نظارت انسانی.
به عنوان مثال، اگر یک شرکت برای تولید گزارش‌ها و تحلیل‌های امنیتی به یک LLM متکی باشد و LLM گزارشی حاوی داده‌های نادرست تولید کند و شرکت از آن برای اتخاذ تصمیمات امنیتی حیاتی استفاده کند، به دلیل اتکا به محتوای نادرست تولید شده توسط LLM می‌تواند عواقب قابل‌توجهی در پی داشته باشد. 

7    همسویی ناکارآمد هوش مصنوعی
همسویی ناکارآمد هوش مصنوعی  زمانی رخ می‌دهد که اهداف و رفتار LLM با موارد استفاده مورد نظر مطابقت نداشته باشد و منجر به پیامدها یا آسیب‌پذیری‌های نامطلوب شود. از مسائل رایج همسویی ناکارآمد هوش‌مصنوعی می‌توان به این موارد اشاره کرد: اهداف تعریف نشده که منجر به اولویت‌بندی رفتارهای نامطلوب/مضر LLM می‌شوند، عملکردهای پاداش ناهماهنگ یا داده‌های آموزشی که رفتار ناخواسته مدل را خلق می‌کنند و آزمایش و اعتبار ناکارآمد رفتار LLM. 
اگر یک LLM که برای کمک به وظایف مدیریت سیستم طراحی شده است، ناهماهنگ عمل کند، می‌تواند دستورات مضر را اجرا کند یا به اولویت‌بندی اقداماتی بپردازد که عملکرد یا امنیت سیستم را کاهش می‌دهد. تیم‌ها می‌توانند با این اقدامات از آسیب‌پذیری‌های همسویی ناکارآمد هوش‌مصنوعی جلوگیری کنند:

• اهداف و رفتار مورد نظر LLM را در طول فرآیند طراحی و توسعه تعریف کنید.
• اطمینان حاصل کنید که عملکردهای پاداش و داده‌های آموزشی با نتایج مورد نظر هماهنگ هستند و رفتارهای ناخواسته یا مضر را تقویت نمی‌کنند.
•  برای شناسایی و رسیدگی به مسائل همسویی، رفتار LLM را به طور منظم در طیف وسیعی از سناریوها، ورودی‌ها و زمینه‌ها آزمایش و تأیید کنید.

8    کنترل‌های دسترسی ناکارآمد
کنترل‌های دسترسی ناکارآمد  زمانی رخ می‌دهد که کنترل‌های دسترسی یا مکانیسم‌های احراز هویت به درستی پیاده‌سازی نمی‌شوند و به کاربر غیرمجاز اجازه می‌دهند تا با LLM تعامل داشته باشد و به طور بالقوه از آسیب‌پذیری‌ها سوء استفاده کند. عدم اجرای الزامات دقیق احرازهویت برای دسترسی به LLM، اجرای ناکارآمد کنترل دسترسی مبتنی بر نقش  (RBAC) که به کاربران اجازه می‌دهد اقداماتی فراتر از مجوزهای مورد نظر خود انجام دهند و عدم ارائه کنترل های دسترسی مناسب برای محتوا و اقدامات تولید شده توسط LLM، همگی نمونه‌های رایجی از این آسیب‌پذیری هستند.
OWASP عنوان کرد، یک مثال حمله، عامل مخربی است که به دلیل مکانیسم‌های احراز هویت ضعیف به یک LLM دسترسی غیرمجاز پیدا می‌کند و این مجوز به او داده می‌شود که از آسیب‌پذیری‌ها سوءاستفاده کند یا سیستم را دستکاری کند. اقدامات پیشگیرانه عبارتند از:

• مکانیزم‌های احراز هویت قوی، مانند احراز هویت چند عاملی  (MFA) را پیاده‌سازی کنید تا اطمینان حاصل کنید که فقط کاربران مجاز می‌توانند به LLM دسترسی داشته باشند.
• برای جلوگیری از دسترسی یا دستکاری غیرمجاز، برای محتوا و اقدامات ایجاد شده توسط LLM کنترل‌های دسترسی مناسب پیاده سازی کنید.

9    مدیریت نادرست خطا
مدیریت نادرست خطا زمانی رخ می‌دهد که پیام‌های خطا یا اطلاعات دیباگ  به گونه‌ای در معرض دید قرار می‌گیرند که می‌توانند اطلاعات حساس، جزئیات سیستم یا بردارهای حمله احتمالی را برای یک عامل تهدید آشکار کنند. آسیب‌پذیری‌های رایج مدیریت خطا شامل این موارد است: افشای اطلاعات حساس یا جزئیات سیستم از طریق پیام‌های خطا، افشای اطلاعات دیباگ که می‌تواند به مهاجم کمک کند آسیب‌پذیری‌های بالقوه یا بردارهای حمله را شناسایی کند و ناتوانی در رسیدگی به خطاها که به طور بالقوه باعث رفتار غیرمنتظره یا خرابی های سیستم می‌شود.
به عنوان مثال، یک مهاجم می‌تواند از پیام‌های خطای LLM، به منظور جمع‌آوری اطلاعات حساس یا جزئیات سیستم سوءاستفاده کند که این امر او را قادر می‌سازد تا یک حمله هدفمند را انجام دهد یا از آسیب‌پذیری‌های شناخته شده سوء استفاده کند. به گفته OWASP، از طرف دیگر، یک توسعه‌دهنده می‌تواند به‌طور تصادفی اطلاعات دیباگ را در معرض استخراج قرار دهد. همین کار به مهاجم اجازه می‌دهد تا بردارهای حمله احتمالی یا آسیب‌پذیری‌ها را در سیستم شناسایی کند. چنین خطراتی را می‌توان با اقدامات زیر کاهش داد:

• برای اطمینان از کشف، ثبت و رسیدگی به خطاها، مکانیزم های مدیریت خطا را اجرا کنید.
• اطمینان حاصل کنید که پیام‌های خطا و اطلاعات دیباگ، اطلاعات حساس یا جزئیات سیستم را افشا نمی‌کنند. در حالی که اطلاعات دقیق خطا را برای توسعه دهندگان و مدیران ثبت می‌کنید، استفاده از پیام‌های خطای عمومی را نیز برای کاربران در نظر بگیرید.

10    مسمومیت اطلاعات آموزشی
مسمومیت اطلاعات آموزشی  زمانی است که مهاجم داده‌های آموزشی یا رویه‌های تنظیم دقیق یک LLM را دستکاری می‌کند. مهاجم ابن کار را به منظور معرفی آسیب‌پذیری‌ها، درب‌های پشتی یا سوگیری‌هایی که می‌توانند امنیت، اثربخشی یا رفتار اخلاقی مدل را به خطر بیندازند انجام می‌دهد. مسائل رایج مربوط به مسمومیت اطلاعات آموزشی شامل این موارد است: معرفی درب‌های پشتی یا آسیب‌پذیری‌ها به LLM از طریق اطلاعات آموزشی دستکاری شده و تزریق سوگیری‌ها به LLM، که باعث ایجاد پاسخ‌های غیرمنطقی یا نامناسب می‌شود.
این اقدامات می‌تواند به جلوگیری از این خطر کمک کند:

• با به دست آوردن اطلاعات آموزشی از منابع قابل اعتماد و تأیید کیفیت این اطلاعات، از یکپارچگی آن اطمینان حاصل کنید.
• برای حذف آسیب‌پذیری‌ها یا سوگیری‌های احتمالی از اطلاعات آموزشی، تکنیک‌های پاکسازی و پیش‌پردازش قوی داده‌ها را اجرا کنید.
• برای تشخیص رفتار غیرمعمول یا مسائل عملکردی در LLM، از مکانیسم‌های نظارت و هشدار، که به طور بالقوه نشان‌دهنده مسمومیت اطلاعات آموزشی است استفاده کنید.

توصیه‌های امنیتی
کارشناسان متفق القول هستند که رهبران/تیم‌های امنیتی و سازمان‌هایشان مسئول اطمینان از استفاده ایمن از رابط‌های چت هوش مصنوعی مولدی که از LLM استفاده می‌کنند هستند. یکی از تحلیلگران Gigamon، اخیراً به CSO گفت: «تیم‌های امنیتی و حقوقی باید برای یافتن بهترین مسیر رو به جلو برای سازمان‌های خود همکاری کنند تا بدون به خطر انداختن مالکیت معنوی یا امنیتی بتوانند از قابلیت‌های این فناوری‌ها استفاده کنند.
Joshua Kaiser، مدیر اجرایی فناوری هوش مصنوعی و مدیر عامل Tovie AI اضافه کرد: ربات‌های چت مجهز به هوش مصنوعی به به‌روزرسانی‌های منظم نیاز دارند تا بتوانند در برابر تهدیدات، مؤثر بمانند و نظارت انسانی برای اطمینان از عملکرد صحیح LLM ضروری است. علاوه بر این، LLM ها برای ارائه پاسخ های دقیق و بررسی هر گونه مسائل امنیتی نیاز به درک متن محور دارند و باید به طور مرتب آزمایش و ارزیابی شوند تا نقاط ضعف یا آسیب‌پذیری‌های احتمالی آن‌ها شناسایی شود."

منبع خبر

Progress‌ یک آسیب پذیری با شناسه CVE-2023-34362 را در MOVEit Transfer کشف کرده است. MOVEit Transfer یک راه حل انتقال فایل است. MOVEit Transfer توسط انواع سازمان ها، از جمله بانک ها و شرکت های خدمات مالی استفاده می شود. این آسیب پذیری  می تواند منجر به افزایش اختیارات و دسترسی غیرمجاز احتمالی به محیط شود. 
 SQL Injection

SQL Injection باعث می شود که یک مهاجم احراز هویت نشده بتواند به صورت غیر مجاز به پایگاه‌داده یک سرور MOVEit دسترسی پیدا کند تا داده‌های محرمانه را بدزدد. بسته به موتور پایگاه‌داده مورد استفاده (MySQL، Microsoft SQL Server یا Azure SQL)، مهاجم ممکن است بتواند اطلاعاتی در مورد ساختار و محتوای پایگاه‌داده استنباط کند و دستورات SQL را اجرا کند که عناصر پایگاه‌داده را تغییر یا حذف می‌کند. علاوه بر این، به نظر می‌رسد که حمله کنندگان برای حفظ دسترسی خود، یک web shell را بر روی سیستم نصب می‌کنند. Progress Software در تاریخ 31 می 2023، یک به روز رسانی امنیتی منتشر کرده است که مشتریان را ملزم می‌کند که سیستم‌های خود را حداقل در 30 روز گذشته برای شواهد دسترسی غیرمجاز نظارت کنند. 

تاثیر گذاری آسیب‌پذیری MOVEit Transfer

تمام نسخه‌های MOVEit Transfer تحت تأثیر این آسیب‌پذیری قرار دارند. مشتریان نسخه‌های پشتیبانی نشده باید به یکی از نسخه های ثابت پشتیبانی شده زیر ارتقا دهند. بر اساس بررسی‌های انجام شده از این وضعیت تا به امروز، محصولات زیر در برابر این آسیب‌پذیری (تزریق SQL در انتقال MOVEit) در امان هستند:
MOVEit Automation, MOVEit Client, MOVEit Add-in for Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics, and MOVEit Freely.
 در حال حاضر هیچ اقدامی برای محصولات فوق لازم نیست.

اصلاحات توصیه شده
توصیه می‌شود که سازمان‌هایی که از MOVEit Transfer استفاده می‌کنند، نقشه قدم به قدم تهیه شده توسط Progress را دنبال کنند و به‌روز‌رسانی‌های امنیتی فراهم شده را در اسرع وقت نصب کنند. برای بررسی این‌که آیا سیستم‌ها در معرض خطر قرار گرفته‌اند یا خیر، به شاخص های ارائه شده
Indicators of Compromise توجه داشته باشند. 
برای کمک به جلوگیری از سوء‌استفاده موفقیت‌آمیز این آسیب‌پذیری اقدامات زیر را طبق مراحل زیر اعمال کنید:

 1. تمام ترافیک HTTP و HTTPs به محیط MOVEit Transfer خود را غیرفعال کنید.

به طور خاص، قوانین فایروال را تغییر دهید تا ترافیک HTTP و HTTPs به MOVEit Transfer در پورت‌های ۸۰ و ۴۴۳ را تا زمان اعمال پچ رد کند. لازم است توجه داشته باشید که تا زمانی که ترافیک HTTP و HTTPS دوباره فعال نشود:

• کاربران نمی‌توانند به رابط کاربری وب MOVEit Transfer وارد شوند.
• وظایف MOVEit Automation که از میزبان اصلی(native) MOVEit Transfer استفاده می‌کنند، کار نخواهند کرد.
• API های REST، Java و .NET کار نخواهند کرد.
•  افزونه MOVEit Transfer برای Outlook کار نخواهد کرد.

توجه داشته باشید که پروتکل‌های SFTP و FTP/s همچنان به صورت عادی کار خواهند کرد مدیران هنوز می‌توانند با استفاده از دسکتاپ از راه دور برای دسترسی به دستگاه ویندوز و سپس با دسترسی به href="https://localhost/"> >،  به MOVEit Transfer دسترسی پیدا کنند.

 2.  بررسی، حذف و بازنشانی

  - فایل‌ها و حساب‌های کاربری غیرمجاز را حذف کنید:

• هر گونه فایل به شکل human2.aspx (یا هر فایلی با پیشوند human2) و فایل‌های اسکریپت .cmdline را حذف کنید.
• در سرور MOVEit Transfer، به دنبال هر فایل جدیدی که در دایرکتوری C:\MOVEitTransfer\wwwroot\ ایجاد شده است، بگردید.
• در سرور MOVEit Transfer، به دنبال فایل‌های جدیدی که در دایرکتوری C:\Windows\TEMP[random]\ با پسوند [.]cmdline ایجاد شده‌اند، بگردید.
• در سرور MOVEit Transfer، به دنبال فایل‌های APP_WEB_[random].dll  جدیدی که درC:\Windows\Microsoft.NET\Framework64\[version]\Temporary ASP .NET Files\root\[random]\[random]\ ایجاد شده‌اند، بگردید:
  •  IIS را متوقف کنید (iisreset /stop)
  •  تمام فایل‌های APP_WEB_[random].dll که در C:\Windows\Microsoft. NET\Framework64\[version]\Temporary ASP. NET Files\root\[random]\[random]\ قرار دارند را حذف کنید.
  •   IIS را شروع کنید (iisreset /start). 
• حساب‌های کاربری غیرمجاز را حذف کنید.
• تمام جلسات فعال را حذف کنید. مراحل حذف تمام جلسات در زیر ذکر شده:
  • به عنوان مدیر سیستم وارد شوید.
  • به Session Manager بروید
  • «Remove All Sessions» را انتخاب کنید
• لاگ‌ها را برای دانلود غیرمنتظره فایل‌ها از IP های ناشناس یا تعداد زیادی فایل دانلود شده بررسی کنید. لاگ‌های IIS را برای هر رویداد شامل GET /human2.aspx بررسی کنید. تعداد زیاد و یا حجم زیاد داده ممکن است نشان‌دهنده دانلود غیرمنتظره فایل باشد.
•  در صورت لزوم، لاگ‌های Azure را برای دسترسی غیرمجاز به Azure Blob Storage Keys بررسی کنید.

  - اعتبارنامه‌های حساب سرویس را بازنشانی کنید:
        اعتبارنامه‌های حساب سرویس برای سیستم‌های تحت تأثیر و حساب سرویس MOVEit را بازنشانی کنید. 
 3. پچ را اعمال کنید.
 4. تأیید رفع آسیب‌پذیری (می ۲۰۲۳) برای MOVEit Transfer 
          برای تأیید اینکه فایل‌ها با موفقیت حذف شده‌اند و هیچ حساب غیرمجازی باقی‌نمانده است، مراحل 2A را دوباره دنبال کنید. اگر شاخص‌های نفوذ را پیدا کنید، باید دوباره اعتبارنامه‌های حساب سرویس را بازنشانی کنید.
 5.برای اعمال آخرین رفع آسیب‌پذیری‌ها به MOVEit Transfer Critical Vulnerability – CVE-2023-35708 مراجعه کنید.
 6. تمام ترافیک HTTP و HTTPs به محیط MOVEit Transfer خود را فعال کنید.
 7. نظارت مداوم:‌ شبکه، نقاط پایانی و لاگ‌ها را برای IoCs (شاخص‌های نفوذ) نظارت کنید.
منابع:

مالکیت وبسایت WordPress.com توسط شرکت Automattic، با همکاری تیم امنیت وردپرس، شروع به نصب اجباری یک پچ امنیتی بر روی میلیون‌ها وبسایت، به منظور رفع یک آسیب‌پذیری بحرانی در افزونه Jetpack کرده است. Jetpack یک افزونه بسیار محبوب است که امکانات رایگانی را ارائه می‌دهد که شامل بهبودهای امنیتی، عملکرد و مدیریت وبسایت می‌شود، از جمله پشتیبان‌گیری از سایت، محافظت در برابر حملات نیروی کلمه عبور، ورود امن، اسکن بدافزار و غیره است. بر اساس مخزن رسمی افزونه وردپرس، این افزونه توسط شرکت Automattic حدود 5 میلیون نصب فعال دارد.  شرکت در حین یک بازرسی امنیتی داخلی، یک آسیب‌پذیری در رابط برنامه‌نویسی API در دسترس در Jetpack از نسخه 2.0، که در سال 2012 منتشر شد، پیدا کرده است.
نسخه هایی که در این بروزرسانی منتشر شده موارد زیر است. اگر از این نسخه ها استفاده می‌شود، سایت آسیب پذیر نیست.

2.0.9, 2.1.7, 2.2.10, 2.3.10, 2.4.7, 2.5.5, 2.6.6, 2.7.5, 2.8.5, 2.9.6, 3.0.6, 3.1.5, 3.2.5, 3.3.6, 3.4.6, 3.5.6, 3.6.4, 3.7.5, 3.8.5, 3.9.9, 4.0.6, 4.1.3, 4.2.4, 4.3.4, 4.4.4, 4.5.2, 4.6.2, 4.7.3, 4.8.4, 4.9.2, 5.0.2, 5.1.3, 5.2.4, 5.3.3, 5.4.3, 5.5.4, 5.6.4, 5.7.4, 5.8.3, 5.9.3, 6.0.3, 6.1.4, 6.2.4, 6.3.6, 6.4.5, 6.5.3, 6.6.4, 6.7.3, 6.8.4, 6.9.3, 7.0.4, 7.1.4, 7.2.4, 7.3.4, 7.4.4, 7.5.6, 7.6.3, 7.7.5, 7.8.3, 7.9.3, 8.0.2, 8.1.3, 8.2.5, 8.3.2, 8.4.4, 8.5.2, 8.6.3, 8.7.3, 8.8.4, 8.9.3, 9.0.4, 9.1.2, 9.2.3, 9.3.4, 9.4.3, 9.5.4, 9.6.3, 9.7.2, 9.8.2, 9.9.2, 10.0.1, 10.1.1, 10.2.2, 10.3.1, 10.4.1, 10.5.2, 10.6.2, 10.7.1, 10.8.1, 10.9.2, 11.0.1, 11.1.3, 11.2.1, 11.3.3, 11.4.1, 11.5.2, 11.6.1, 11.7.2, 11.8.5, 11.9.2, 12.0.1, 12.1.1.

توصیه:
باید نسخه Jetpack را به به‌روز کرد تا امنیت وبسایت تأمین شود. نسخه‌های قابل پچ شدن هر نسخه از Jetpack از نسخه 2.0 به بعد را منتشر شده است. بیشتر وبسایت‌ها به صورت خودکار به نسخه‌ای امن به‌روز شده‌اند یا به‌زودی خواهند شد. این اولین بار نیست که وردپرس از روش‌های خودکار برای انتشار به‌روزرسانی‌های امن برای رفع مسائل بحرانی در پلاگین‌ها یا نصب‌های وردپرس استفاده می‌کند. Automattic گفته است ، موردی در خصوص اکسپلویت این آسیب پذیری مشاهده نکرده است اما ممکن است بعد از افشای عمومی، مورد توجه هکرها قرار بگیرد.
 

مراجع

سه آسیب‌پذیری حیاتی در RenderDoc کشف شده‌است. RenderDoc یک دیباگر گرافیکی است که از چندین سیستم عامل از جمله ویندوز، لینوکس، اندروید و Nintendo Switch پشتیبانی می‌کند. این نرم‌افزار جایگاه برجسته‌ای در عرصه نرم‌افزارهای توسعه بازی دارد، زیرا به طور یکپارچه با موتورهای نرم‌افزاری پیشرو در صنعت بازی مانند Unity و Unreal ادغام می‌شود. طبق یافته‌های متخصصان امنیت سایبری از واحد تحقیقات تهدیدQualys ، سه آسیب‌پذیری در RenderDoc شناسایی شده است که یکی از آن‌ها، آسیب‌پذیری ارتقاء دسترسی  و دو مورد دیگر، آسیب‌پذیری سرریز بافر مبتنی بر پشته  است.

اولین مورد از این نقص‌ها که با نام CVE-2023-33865 پیگیری شده است، یک آسیب‌پذیری symlink است که یک مهاجم محلی بدون نیاز به امتیازی خاص می‌تواند از آن سوءاستفاده نماید؛ این آسیب‌پذیری به طور بالقوه امتیازات کاربر RenderDoc را به مهاجمان اعطا می‌کند. دومین آسیب‌پذیری که با نام CVE-2023-33864 ردیابی شده است، شامل یک ته‌ریز عددصحیح  است که منجر به سرریز بافر مبتنی بر پشته می‌شود. مهاجم می‌تواند به صورت از راه دور از این آسیب‌پذیری برای اجرای کد دلخواه بر روی ماشین میزبان بهره‌برداری نماید. سومین آسیب‌پذیری که با نام CVE-2023-33863 پیگیری شده است، یک سرریز عددصحیح  است که منجر به سرریز بافر مبتنی بر پشته می‌شود. در حالی‌که Qualys عنوان کرده‌است که تا کنون هیچ تلاشی برای بهره‌برداری انجام نشده است، مهاجم می‌تواند به صورت از راه دور از این نقص برای اجرای کد دلخواه برروی ماشین قربانی سوءاستفاده نماید. مدیر تحقیقات آسیب‌پذیری در Qualys توضیح داد: «این سه آسیب‌پذیری، نوعی یادآوری برای مراقبت و احتیاط دائمی هستند که در دنیای دیجیتالی امروز مورد نیاز است. این کارشناس امنیتی هم‌چنین تاکید کرد که درک این آسیب‌پذیری‌ها، به عنوان اولین قدم برای تقویت پدافند شرکت‌ها قلمداد می‌شود.

 منبع خبر

https://www.infosecurity-magazine.com/news/vulnerabilities-discovered/

دولت‌ها و نهاد‌های دیپلماتیک در خاورمیانه و جنوب آسیا هدف یک تهدید جدید و پیشرفته به نام GoldenJackal هستند. دامنه هدف‌گیری این کمپین، قربانیان را با بدافزار‌های طراحی شده، آلوده می‌کند. این بدافزار داده‌ها را سرقت میکند، از طریق درایو‌های قابل جابجایی در سراسر سیستم‌ها پخش می‌شود و نظارت بر دستگاه قربانی را انجام می‌دهد. گروه GoldenJackal مظنون به این است که حداقل چهار سال فعال بوده، اگرچه اطلاعات کمی در مورد این گروه وجود دارد. کسپرسکی بیان کرده است که قادر به تعیین منشا یا وابستگی آن به عوامل تهدید شناخته شده نیست، اما شیوه عمل این مهاجم، انگیزه جاسوسی را نشان می‌دهد. ویژگی اصلی این گروه به خاطر مجموعه بدافزارهای دات نتی آنها، از جمله JackalControl ،JackalWorm  ، JackalSteal  ، JackalPerInfo   و JackalScreenWatcher است.

• بدافزار JackalSteal: پیاده سازی برای یافتن فایل‌های مورد علاقه، از‌جمله مواردی که در درایو‌های USB قابل جابجایی قرار دارند و انتقال آنها به سرور راه دور استفاده می‌شود.
• بدافزار JackalWorm: کرمی است که برای آلوده کردن سیستم‌ها با استفاده از درایو‌های USB قابل جابجایی و نصب تروجان JackalControl طراحی شده است.
• بدافزار JackalPerInfo: بد‌افزاری که دارای ویژگی‌هایی برای جمع آوری فراداده‌های سیستم، محتویات فولدر، برنامه‌های نصب شده و فرآیند‌های در حال اجرا و اعتبارنامه‌های ذخیره شده در پایگاه‌های داده مرورگر وب است.
• بدافزار JackalScreenWatcher: ابزاری برای گرفتن عکس از صفحه بر اساس بازه زمانی از پیش تعیین شده و ارسال آنها به یک سرور تحت کنترل مهاجم است.

 این مجموعه بدافزارها برای اهداف زیر در نظر گرفته شده است.

• کنترل ماشین هدف
• پخش از طریق درایورهای قابل حمل
• استخراج فایلهای خاص از سیستم هدف
• سرقت اعتبارنامه ها
• جمع آوری اطلاعات از سیستم هدف
• جمع آوری اطلاعات از فعالیت های وب قربانی
• گرفتن عکس از دسکتاپ

در طول بررسی این گروه، محققان متوجه شدند که اغلب روش آلوده سازی قربانیان، از طریق نصب کننده های جعلی skype و فایلهای word بوده است. نصب‌کننده جعلی اسکایپ یک فایل اجرایی .NET با نام skype32.exe و در حدود ۴۰۰ مگابایت است. این فایل یک نرم‌افزار افشاگر (Trojan) به نام JackalControl و یک نصب‌کننده اصلی اسکایپ برای تجارت استفاده می‌شد را شامل می‌شود. آلودگی از طریق فایلهای Word با استفاده از اکسپلویت Follina  و از طریق تکنیک remote template injection  یک صفحه مخرب HTML صورت می‎گرفت. شکل زیر یه نمونه از فایل مخرب Word را نشان میدهد.

نام این سند "" Gallery of Officers Who Have Received National And Foreign Awards.docx  بود و به عنوان یک اطلاعات معتبر ظاهر می‌شد. نکته ای دارد که اولین توصیفی از آسیب‌پذیری Follina در تاریخ 29 مه 2022 منتشر شد و این سند به نظر می‌رسد در تاریخ 1 ژوئن، دو روز پس از انتشار، تغییر داده شده و برای نخستین بار در تاریخ 2 ژوئن شناسایی شد.این سند به گونه‌ای پیکربندی شده بود که از یک وبسایت معتبر و هک شده بارگذاری می‌شد:
صفحه دانلود شده، نسخه اصلاح شده PoC است که در مخزن گیتهاب قابل دسترس است. مهاجم مقدار متغیر IT_BrowseForFile را به مقدار زیر تغییر داده است:

اگر این کد را رمزگشایی شود، به کد زیر می رسد:

فعالیت GoldenJackal به استفاده از وبسایت‌های WordPress مورد هک شده به عنوان روشی برای میزبانی منطق مرتبط با C2 مشخص می‌شود. مهاجمان یک فایل PHP مخرب را بارگذاری می‌کنند که به عنوان یک رله برای ارسال درخواست‌های وب به سرور C2 اصلی استفاده می‌شود. شواهدی از آسیب‌پذیری‌های استفاده شده برای مورد هک کردن این وبسایت‌ها نیست. با این حال، مشاهده شده است که که بسیاری از وبسایت‌ها از نسخه‌های قدیمی از WordPress استفاده می‌کردند و برخی از آن‌ها نیز قبلاً توسط هکرها یا فعالیت‌های جرمی تحت تاثیر قرار گرفته بودند. به همین دلیل، ارزیابی شود که آسیب‌پذیری‌های استفاده شده برای نفوذ به این وبسایت‌ها، آسیب‌پذیری‌های شناخته شده است. صفحه وب از طریق اینترنت پاسخی جعلی با عنوان "Not Found" ارسال می‌کند. کد وضعیت پاسخ HTTP "200" است، اما محتوای بدنه HTTP یک صفحه "Not found" را نشان می‌دهد.

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">          
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL %FILE PATH% was not found on this server.</p>
<hr>
<address>%SERVER%</address>
</body></html>

محققان اعلام کردند که این گروه را نمی‌توانند به بازیگر شناخته شده ای نسبت دهند. اما در طول تحقیق متوجه برخی از شباهت‌ها بین GoldenJackal و Turla را شده‌اند. به طور خاص، شباهتی در الگوریتم تولید شناسه یکتا برای قربانی‌ها که تا حدودی با الگوریتم استفاده شده توسط Kazuar همپوشانی دارد را مشاهده کرده است. در Kazuar، مقدار هش MD5 از یک رشته پیش‌تعیین شده به دست می‌آید و سپس با یک Seed چهار بایتی یکتا از دستگاه XOR می‌شود. این Seed با دریافت شماره سریال حجمی که سیستم عامل در آن نصب شده است، به دست می‌آید.

public static Guid md5_plus_xor(string string_0) {
byte[] bytes = BitConverter.GetBytes(parameter_class.unique_pc_identifier);
byte[] array = MD5.Create().ComputeHash(get_bytes_wrapper(string_0));
for (int i = 0; i < array.Length; i++) {
    byte[] array2 = array;
    int num = i;
    array2[num] ^= bytes[i % bytes.Length];
  }
  return new Guid(array);
}

علاوه بر این، استفاده از ابزارهای توسعه‌یافته در .NET و از وب‌سایت‌های WordPress دستکاری شده به عنوان نقاط کنترل مرکزی (C2)، تاکتیک‌های متداولی در تنظیم پیشرفته Turla است. هر چند، ارتباط بین GoldenJackal و Turla را با اطمینان کم ارزیابی شده است، زیرا هیچ‌کدام از این ویژگی‌ها به صورت منحصر به فرد برای هر دو گروه تهدیدی نیست. استفاده از وب‌سایت‌های WordPress دستکاری شده تنها یک تاکتیک منحصر به فرد برای Turla نیست. این تکنیک نیز در فعالیت‌های گروه‌های دیگری مانند BlackShadow، یک APT فعال در خاورمیانه که از نرم‌افزارهای .NET استفاده می‌کند، مشاهده شده است. اشتراک کدها مربوط به یک تابع واحد در یک برنامه .NET است که با استفاده از یک دیکامپایلر به راحتی قابل کپی است. احتمالاً GoldenJackal از آن الگوریتم به عنوان یک پرچم نادرست استفاده کرده است. فرضیه دیگر این است که توسعه‌دهندگان پشت JackalControl تحت تأثیر Turla قرار گرفته و تصمیم به تکثیر الگوریتم تولید UID کرده‌اند. اهداف مشترک هم می‌توان اینگونه در نظر گرفت که ، قربانی ها از سطح بالایی برخودارند و مورد علاقه گروههای مختلف هستند.

IOCهای گزارش  شده:

مراجع

 

باند باج‌افزار Clop به BleepingComputer گفته است که پشت حملات سرقت داده MOVEit Transfer هستند، جایی که یک آسیب‌پذیری zero-day برای نفوذ به سرورهای چند شرکت و سرقت داده‌ها مورد سوءاستفاده قرارگرفته است. این موضوع انتساب یکشنبه شب مایکروسافت به گروه هکری را تأیید می‌کند که آن‌ها با نام Lace Tempest دنبال می‌کنند، همچنین به‌عنوان TA505 و FIN11 شناخته می‌شود. نماینده Clop همچنین تأیید کرد که آن‌ها در 27 می، در طول تعطیلات طولانی روز یادبود ایالات‌متحده، همان طور که قبلاً توسط Mandiant فاش شده بود، از این آسیب‌پذیری بهره‌برداری کردند. انجام حملات در روزهای تعطیل یک تاکتیک رایج برای عملیات باج‌افزار Clop است که قبلاً حملات سوءاستفاده در مقیاس بزرگ را در طول تعطیلات انجام داده است، زمانی که کارکنان حداقل هستند. به‌عنوان مثال، آنها دقیقاً در شروع تعطیلات کریسمس 2020 از آسیب‌پذیری روز صفر مشابهی در محصول Accellion FTA برای سرقت داده‌ها سوءاستفاده کردند.
در حالی که Clop تعداد سازمان‌های نقض شده در حملات MOVEit Transfer را اعلام نکرد، اما می‌گوید که در صورت عدم پرداخت باج، قربانیان در سایت نشت داده‌هایشان نمایش داده می‌شوند. علاوه بر این، گروه باج‌افزار تأیید کرد که آنها شروع به اخاذی از قربانیان نکرده‌اند، احتمالاً از زمان برای بررسی داده‌ها و تعیین اینکه چه چیزی ارزشمند است و چگونه می‌توان از آن برای افزایش تقاضای باج از سوی شرکت‌های مورد نفوذ استفاده کرد، استفاده می‌کند.
در حملات اخیر کلاپ به GoAnywhere MFT، این باند بیش از یک ماه منتظر بود تا درخواست‌های باج به سازمان‌ها را ایمیل کند. در انتها و بدون اینکه BleepingComputer سوالی در این مورد بپرسد، باند باج‌افزار گفت که آن‌ها هر گونه اطلاعاتی را که از دولت‌ها، ارتش و بیمارستان‌های کودکان در طول این حملات به سرقت رفته بود، حذف کرده‌اند.
کلوپ در ایمیل خود به BleepingComputer گفت: «من می‌خواهم فوراً به شما بگویم که به ارتش، بیمارستان‌های کودکان، دولت و غیره مانند این ما حمله نمی‌کنیم و اطلاعات آنها پاک‌شده است.»
BleepingComputer هیچ راهی برای تأیید صحت این ادعاها ندارد و مانند هر حمله سرقت داده، همه سازمان‌های تحت تأثیر باید طوری با آن برخورد کنند که گویی داده‌ها در معرض خطر سوءاستفاده هستند. در حالی که Clop به‌عنوان یک عملیات باج‌افزار شروع شد، این گروه قبلاً به BleepingComputer گفته بود که از رمزگذاری دور می‌شوند و به جای آن اخاذی از طریق سرقت اطلاعات را ترجیح می‌دهند.
2    اولین قربانیان
ما همچنین اولین افشاگری‌های خود را از سازمان‌هایی دیدیم که در حملات سرقت داده MOVEit Clop مورد نفوذ قرار گرفتند. Zellis، ارائه‌دهنده راهکار‌های حقوق و دستمزد و منابع انسانی در بریتانیا تأیید کرد که به دلیل این حملات دچار نقض اطلاعات شده است که بر برخی از مشتریانش نیز تأثیر گذاشته است.
 Zellis به BleepingComputer گفت: «تعداد زیادی از شرکت‌ها در سراسر جهان تحت تأثیر آسیب‌پذیری روز صفر محصول MOVEit Transfer Progress Software قرارگرفته‌اند. ما می‌توانیم تأیید کنیم که تعداد کمی از مشتریان ما تحت تأثیر این مشکل جهانی قرارگرفته‌اند و ما فعالانه برای پشتیبانی از آن‌ها تلاش می‌کنیم. هیچ یک از نرم‌افزارهای متعلق به Zellis تحت تأثیر قرار نگرفته‌اند و هیچ حادثه یا خطری برای هیچ بخش دیگری از دارایی‌های فناوری اطلاعات ما وجود ندارد.»
«زمانی که از این حادثه مطلع شدیم، اقدام فوری انجام دادیم، سروری را که از نرم‌افزار MOVEit استفاده می‌کرد، قطع کردیم و یک تیم پاسخگوی حوادث امنیتی خارجی متخصص را برای کمک به تجزیه و تحلیل فارنزیک و نظارت مستمر درگیر کردیم. همچنین به ICO، DPC و NCSC  در بریتانیا و هم در ایرلند اطلاع داده‌ایم.»
شرکت Aer Lingus به BleepingComputer تأیید کرد که از طریق نفوذ Zellis MOVEit دچار نقض شده است. در بیانیه ایر لینگوس آمده است: «با این حال، تأییدشده است که هیچ جزئیات مالی یا بانکی مربوط به کارمندان فعلی یا سابق Aer Lingus در این حادثه به خطر نیفتاده است. همچنین تأیید شده است که هیچ اطلاعات تماس تلفنی مربوط به کارمندان فعلی یا سابق Aer Lingus به خطر نیفتاده است.»
همان طور که توسط The Record گزارش‌شده است، بریتیش ایرویز نیز تأیید کرده است که نقض Zellis آن‌ها را تحت تأثیر قرار داده است. متأسفانه، همان طور که با حملات قبلی Clop به پلتفرم‌های انتقال فایل مدیریت شده دیدیم، احتمالاً با گذشت زمان شاهد یک جریان طولانی از افشای شرکت‌ها خواهیم بود.
باند باج‌افزار Clop سه شنبه شب ادعا کرد که داده‌های "صدها شرکت" را به سرقت برده است و در صورت عدم پرداخت باج، انتشار اطلاعات سرقت شده سازمان‌ها را از 14 ژوئن آغاز خواهد کرد.
در حملات قبلی GoAnywhere و Accellion FTA، عوامل تهدید خواسته‌های اخاذی خود را به مدیران شرکت ایمیل کردند.

                                    ایمیل اخاذی Clop در طول حملات Accellion 

برای کسانی که تحت تأثیر حملات سرقت داده MOVEit Transfer قرارگرفته‌اند، Clop اکنون رویکرد متفاوتی را در پیش‌گرفته است و به سازمان‌های تحت تأثیر گفته است که اگر می‌خواهند در مورد باج مذاکره کنند، با آنها تماس بگیرند.

منبع:

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-ext…
 

Google Drive یکی از پرکاربردترین پلتفرم‌های ذخیره‌سازی ابری است و به دلیل محبوبیت و قابلیت‌های بی‌شمارش، بسیار مورد هدف عوامل تهدید قرار می‌گیرد. سرقت داده  یک روش رایج است که عوامل مخرب پس از ورود به یک پلتفرم از آن استفاده می‌کنند. این روش، به عنوان یک بردار حمله رایج برای سرقت اطلاعات عمل می‌کند. تیم تحقیقاتی Mitiga اخیراً یک تحقیق جامع در مورد تکنیک‌های استخراج داده در Google Workspace انجام داده‌است و اهمیت این پلتفرم و روش حمله را برجسته کرده است. تحقیق مذکور با تلاش‌های مداوم تیم تحقیقاتی برای کشف و درک حملات ابری و حملات نرم‌افزار به‌عنوان سرویس  (SaaS) و اقدامات قانونی هماهنگ است.

حمله به Google Drive

هدف عوامل مخرب، غالبا سوءاستفاده از آسیب‌پذیری‌های موجود در Google Drive به منظور دسترسی غیرمجاز به فایل‌های حساس و داده‌های کاربری است. کارشناسان تجزیه و تحلیل عمیقی انجام دادند و یک نقص امنیتی مهم در Google Workspace کشف کردند. این آسیب‌پذیری به عوامل تهدید اجازه می‌دهد تا بدون اینکه هیچ رد قابل شناسایی از خود بر جای بگذارند، به‌طور مخفیانه داده‌ها را از Google Drive استخراج کنند. Google Workspace برای نظارت و ردیابی اقدامات مختلف انجام شده در منابع Google Drive مربوط به شرکت، از " Drive log events" استفاده می‌کند و با این کار، شفافیت رو به رشدی را ارائه می‌دهد.

امنیت Google Workspace

Google Workspace رویدادهای مربوط به دامنه‌های خارجی، مانند اشتراک‌گذاری یک شی با کاربران خارج از سازمان و تضمین جامع ردیابی و نظارت را ثبت می‌کند. این رویدادها برای ارائه یک رکورد کامل از تعاملات با کاربران خارجی ضبط و ثبت می‌شوند. کاربرد این عمل محدود به اقداماتی است که توسط کاربران دارای مجوز پولی انجام می‌شود. همین مساله، باعث ایجاد محدودیت است اما این محدودیت یک چالش کلیدی است که باید برطرف شود. به همه کاربران Google Drive در ابتدا مجوز "Cloud Identity Free" به عنوان گزینه پیش‌فرض ارائه می‌شود. این مجوز در اکوسیستم Google Drive به کاربر، دسترسی و عملکرد اولیه را ارائه می‌دهد. در اینجا، مدیران باید مجوز پولی را برای در دسترس قرار دادن ویژگی‌های مازاد، به کاربران اختصاص دهند؛ به‌ویژه مجوز «Google Workspace Enterprise Plus».

مجوزهای پولی و پیش‌فرض

توصیه می‌گردد:
•    تحت «رویدادهای ثبت مدیریت »، باید تمام رویدادهای مربوط به واگذاری مجوز و لغو آن را کنترل نمود.
•    انجام منظم جستجوی تهدیدات در Google Workspace، به ویژه برای شناسایی و بررسی این فعالیت خاص ضروری است.
•    می‌توان با انجام این جستجوهای پیشگیرانه، تهدیدات احتمالی و نقض‌های امنیتی را به طور موثری شناسایی نموده و کاهش دهید.
•    به منظور شناسایی مؤثر مواردی که فایل‌ها از یک درایو مشترک به یک درایو خصوصی کپی می‌شوند و متعاقباً دانلود می‌شوند، نظارت بر رویدادهای "source_copy" امری بسیار مهم است.

منبع خبر

https://cybersecuritynews.com/google-drive-security-flaw/
 

گوگل یک سری به‌روزرسانی‌های امنیتی را برای وصله کردن یک نقص با شدت بحرانی در مرورگر وب کروم خود منتشر کرده است. گفته می‌شود که این نقص امنیتی به طور فعال مورد استفاده مهاجمان قرار می‌گیرد. این آسیب‌پذیری که با شناسه CVE-2023-3079 پیگیری می‌شود، به‌عنوان یک باگ type confusion در موتور جاوا اسکریپت V8 شناخته شده است. بر اساس پایگاه داده ملی آسیب‌پذیری «type confusion در موتور جاوا اسکریپت V8 در گوگل کروم نسخه های قبل از 114.0.5735.110، به مهاجم از راه دور اجازه می‌داد تا به‌طور بالقوه به وسیله یک صفحه دستکاری شده HTML، از خرابی heap سوءاستفاده کند».
گوگل، از ابتدای سال جدید میلادی، در مجموع سه آسیب‌پذیری روز صفر با بهره‌برداری فعال را در کروم شناسایی و مدیریت کرده است. به جز آسیب‌پذیری ذکر شده در این گزارش، دو آسیب‌پذیری دیگر عبارتند از:
•    CVE-2023-2033 (امتیاز CVSS: 8.8) - Type Confusion در V8
•    CVE-2023-2136 (امتیاز CVSS: 9.6) - سرریز عدد صحیح  در Skia

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، گوگل کروم خود را به نسخه 114.0.5735.110 برای ویندوز و نسخه 114.0.5735.106 برای macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi توصیه می‌شود که به محض دسترسی به سیستم، اصلاحات لازم را اعمال کنند.

منبع خبر

https://thehackernews.com/2023/06/zero-day-alert-google-issues-patch-for.html

تیم تشخیص و پاسخ با مدیریت Carbon Black، از افزایش فعالیت TrueBot خبرداده است. TrueBot برای اولین بار در سال 2017 کشف شده است. Carbon Black در شناساییTrueBotو بررسی فعالیت آن بسیار موثر بوده است. TrueBot، بات‌نت تروجان دانلود کننده‌ای است که از سرورهای فرمان و کنترل برای جمع‌آوری اطلاعات در سیستم‌های آسیب‌پذیر استفاده می‌کند و آن سیستم را به‌عنوان نقطه اجرای حملات بیشتر به‌کار می-گیرد. هدف اصلی TrueBot، دانلود بارهای اضافی و اجرای آنها در سیستم‌های آسیب‌پذیر است. دو مولفه بارگذاری کننده و دانلود کننده در تجزیه وتحلیل انواع TrueBot شناسایی شده است. 
TrueBot ممکن است از طریق فریب‌های به‌روزرسانی نرم افزار، حملات خود را انجام دهد. با دانلود فایل update.exe از Google Chrome این بدافزار به سیستم نفوذ کرده و سپس فایل اجرایی به یک آدرسIP آلوده به TrueBot متصل می‌شود تا فعال شود. پس از برقراری ارتباط فایل اجرایی با دامنه فرمان و کنترل، استخراج داده‌ها انجام می‌شود. 
TrueBot می‌تواند آسیب‌پذیری بسیار خطرناکی برای هر شبکه ایجاد کند. در صورت آلوده شدن سازمانی به این بات‌نت، این آلودگی به سرعت در سراسر شبکه پخش می‌شود. طبق گزارش PCrisk، TrueBot که به-عنوان Silence.Downloader نیز شناخته می‌شود، یک برنامه مخرب است که دارای قابلیت‌های بات‌نت، بارکننده و تزریق‌کننده است. تنوع قابل توجهی در زنجیره توزیعTrueBot وجود دارد که می‌تواند شامل مواردی مانند دانلود، نصب برنامه‌ها و کامپوننت‌های مخرب اضافی باشد. مهاجمانی که از این نرم‌افزار مخرب استفاده می‌کنند، ممکن است برای اجرای اهداف خود تغییرات دیگری نیز اعمال نمایند.
توصیه‌های امنیتی
برای حفاظت از حملات بات‌نت TrueBox، توصیه می‌شود همه سیستم‌عامل‌ها و نرم‌افزارها کاملا به روز و وصله شده باشند. همچنین توصیه می‌شود در صورتی که نرم‌افزاری به اینترنت نیاز ندارد، به آن متصل نباشد. درصورت اتصال سیستم به اینترنت، بهتر است احراز هویت چندعاملی برقرار باشد. این روش از به خطر افتادن اعتبار جلوگیری می‌کند. همچنین اتصالات شبکه باید به‌دقت بررسی شود و دامنه‌هایی که توسط اتصالات کمی مورد دسترسی قرار گرفته‌اند، همانند دامنه‌هایی که تعداد اتصالات بیشتری دارند، مورد بررسی قرار گیرند. درنهایت، نرم‌افزار امنیتی باید علاوه بر نقاط پایانی، در تمام سطوح داده‌های ورودی به-ویژه ایمیل‌ها و سرورها استقرار یابد.
منابع خبر

[2] https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html

اخیراً یک تکنیک جدید فیشینگ شناسایی شده است که در آن از دامنه‌های .ZIP استفاده و با نمایش پنجره‌های جعلی WinRAR یا Windows File Explorer در مرورگر، کاربران را قانع می‌کنند تا فایل‌های مخرب را اجرا کنند. اوایل این ماه، گوگل امکان ثبت دامین‌های TLD ZIP مانند bleepingcomputer.zip  را برای میزبانی وبسایت‌ها و آدرس‌های ایمیل ارائه کرد. از زمان ارائه این TLD، بحث‌های زیادی پیرامون اینکه آیا این موضوع یک اشتباه است و ممکن است برای کاربران خطرات امنیتی ایجاد کند، به وجود آمده است.  در حالی که برخی از کارشناسان معتقدند که نگرانی‌ها بیش از حد افزایش یافته‌اند، اما نگرانی اصلی این است که برخی از وبسایت‌ها به طور خودکار یک رشته که با '.zip' ختم می‌شود، مانند setup.zip، را به یک لینک قابل کلیک تبدیل می‌کنند که می‌تواند برای ارسال بدافزار یا حملات فیشینگ استفاده شود. به عنوان مثال، اگر شما به کسی دستورالعمل‌هایی درباره دریافت یک فایل به نام setup.zip ارسال کنید، توییتر به طور خودکار setup.zip را به یک لینک تبدیل خواهد کرد، که باعث می‌شود مردم فکر کنند باید بر روی آن کلیک کنند تا فایل را دریافت کنند. 

به عنوان مثال وقتی بر روی آن لینک کلیک می‌کنید، مرورگر شما سعی می‌کند به سایت https://setup.zip متصل شود، که ممکن است شما را به سایت دیگری هدایت کند، یک صفحه HTML نمایش دهد یا شما را به دریافت یک فایل دعوت کند. با این حال، مانند سایر حملات بدافزار یا فیشینگ، برای اقدام به باز کردن یک فایل، ابتدا باید یک کاربر را متقاعد کنید، که ممکن است چالش‌برانگیز باشد.
یک ابزار فیشینگ قدرتمند به نام فشرده‌ساز فایل در مرورگر (File Archiver in the Browser) توسط تحقیق‌گر امنیتی به نام آقای mr.d0x توسعه داده شده است. این ابزار به شما امکان می‌دهد نمای کذبی از نرم‌افزار فشرده‌ساز فایل مانند WinRAR و پنجره‌های بررسی فایل در ویندوز را در مرورگر ایجاد کنید که در دامین‌های .zip نمایش داده می‌شوند تا کاربران را به فکر این بیاندازد که فایل .zip را باز کرده‌اند. این ابزار قادر به تعبیه یک پنجره جعلی WinRAR به طور مستقیم در مرورگر است که هنگام باز شدن یک دامین با پسوند .zip، به نمایش در می‌آید و به کاربران این احساس را می‌دهد که یک فایل فشرده ZIP را باز کرده‌اند و در حال حاضر فایل‌های داخل آن را مشاهده می‌کنند. اگرچه وقتی در مرورگر نمایش داده شود بسیار زیبا به نظر می‌رسد، اما در حالتی که به صورت پنجره Popup  نمایش داده شود، واقعا جلوه می‌کند، زیرا شما می‌توانید نوار آدرس و نوار پیمایش را حذف کنید و فقط یک پنجره WinRAR به نمایش درآورید که بر روی صفحه نمایش نمایش داده می‌شود، همانطور که در زیر نشان داده شده است.

برای افزایش قابلیت قانع کردن پنجره جعلی WinRAR، تحقیق‌گران یک دکمه جعلی با عنوان "اسکن امنیتی" پیاده‌سازی کرده‌اند که هنگام کلیک بر روی آن، نمایش می‌دهد که فایل‌ها اسکن شده‌اند و هیچ تهدیدی شناسایی نشده است.

هر چند این ابزارک در هنگام نمایش هنوز نوار آدرس مرورگر را نشان می‌دهد، اما احتمالاً برخی از کاربران را فریب خواهد داد و فکر می‌کنند که این یک بایگانی معتبر WinRAR است. علاوه بر این، استفاده از CSS و HTML خلاقانه می‌تواند برای بهبود بیشتر این ابزارک استفاده شود. مهندس محمد دوکس همچنین نسخه دیگری را ایجاد کرده است که یک پنجره جعلی از نمایشگر پرونده‌های ویندوز در مرورگر نمایش می‌دهد و به تظاهر از باز کردن یک فایل ZIP می‌پردازد. این قالب بیشتر به عنوان یک پروژه در حال پیشرفت محسوب می‌شود و بعضی از موارد در آن وجود ندارد
 

این ابزارک فیشینگ می‌تواند هم برای سرقت اطلاعات ورودی (credential theft) و هم برای ارسال نرم‌افزارهای مخرب استفاده شود. اگر کاربر بر روی یک فایل PDF در پنجره جعلی WinRar دوبار کلیک کند، ممکن است او را به صفحه‌ای دیگر هدایت کند که درخواست ورود به حساب کاربری را برای مشاهده صحیح فایل مورد نظر مطرح می‌کند. همچنین، این ابزارک می‌تواند برای ارسال نرم‌افزارهای مخرب استفاده شود؛ به طوری که یک فایل PDF نمایش داده می‌شود ولی وقتی کاربر بر روی آن کلیک می‌کند، مرورگر فایلی با نام مشابه و با پسوند .exe را دانلود می‌کند. به عنوان مثال، پنجره بایگانی جعلی ممکن است یک فایل document.pdf نمایش دهد، اما هنگام کلیک، مرورگر فایل document.pdf.exe را دانلود می‌کند. با توجه به اینکه ویندوز به طور پیش فرض پسوندهای فایل را نشان نمی‌دهد، کاربر در پوشه دانلود خود فقط یک فایل PDF مشاهده خواهد کرد و ممکن است بدون اینکه بفهمد که این یک فایل اجرایی است، بر روی آن دوبار کلیک کند. نکته‌ی جالب این است که ویندوز در جستجوی فایل‌ها، در صورت عدم یافتن فایل، سعی می‌کند رشته‌ی جستجو شده را در مرورگر باز کند. اگر آن رشته یک دامنه معتبر باشد، سایت مربوطه در مرورگر باز می‌شود؛ در غیر اینصورت، نتایج جستجو از طریق بینگ نمایش داده می‌شود. در صورتی که کسی یک دامنه با پسوند zip با نامی مشابه یک نام فایل معمولی ثبت کند و کاربری در ویندوز جستجویی انجام دهد، سیستم عامل به صورت خودکار سایت مربوطه را در مرورگر باز می‌کند.
اگر این سایت میزبان ابزارک فیشینگ "File Archivers in the Browser" باشد، ممکن است کاربر را در اشتباه بیندازد و فکر کند که WinRar یک بایگانی ZIP واقعی را نشان می‌دهد. این تکنیک نشان می‌دهد که چگونه دامنه‌های zip می‌توانند برای ایجاد حملات فیشینگ و ارسال نرم‌افزارهای مخرب یا سرقت اطلاعات ورودی مورد استفاده قرار گیرند.
 مراجع