شرکت امنیتی Barracuda اعلام کرد که یک آسیب‌پذیری در دستگاه‌های ESG(Email Security Gateway) رفع شده است که اخیرا توسط عوامل تهدید در درب پشتی دستگاه‌ها مورد سوءاستفاده قرار گرفته است. آسیب‌پذیری بحرانی که با شناسه CVE-2023-2868 و با شدت بحرانی 9.8 ردیابی شده است، به مدت 7 ماه قبل از کشف و شناسایی اکسپلویت شده است. این آسیب‌پذیری از طریق تزریق فرمان از راه دور در محصول Barracuda Email Security Gateway شکل می‌گیرد. اعتبارسنجی ناقص یک فایل .tar که توسط کاربر وارد می‌شود موجب این آسیب‌پذیری می‌شود. مهاجم از راه دور می‌تواند نام فایل‌ها را به شیوه‌ای خاص قالب‌بندی کند و فرمان از راه دور را با مجوز دسترسی Email Security Gateway اجرا کند. 
در حملات انجام شده، مهاجمان از این آسیب‌پذیری برای دسترسی اولیه به سازمان‌های قربانی سوءاستفاده کردند. پس از کسب دسترسی لازم، بدافزارهای جدید و شناخته شده سفارشی در سازمان‌های قربانی مستقر شدند. بدافزار SALTWATER، یک ماژول حاوی تروجان برای Barracuda SMTP Daemon(bsmtpd) است که به‌عنوان درب پشتی در سازمان‌های قربانی عمل می‌کند. این بدافزار قادر به آپلود و دانلود فایل، اجرای دستور و پروکسی و تونل‌سازی است. SEASPY بدافزار درب‌پشتی دیگری است که با جعل سرویس در شبکه Barracuda، خود را به‌عنوان فیلتر PCAP تثبیت می‌کند و ترافیک پورت 25 را نظارت می‌کند. SEASIDE بدافزار دیگری است که یک ماژول مبتنی بر Lua است و برای ایجاد حفاظ معکوس در دارایی‌های در معرض خطر استفاده می‌شود. 
این آسیب‌پذیری نسخه‌های 5.1.3.001 تا 9.2.0.006 را تحت تاثیر قرار می‌دهد و به مهاجم امکان اجرای کد در تاسیسات حساس را می‌دهد.
به کاربران توصیه می‌شود که در صورتی که اکسپلویت انجام شده باشد، ارتباط با دستگاه ESG را قطع کنند. به مرکز عملیات امنیتی eSentire اطلاع دهند. اعتبارنامه‌های متصل به برنامه‌ ESG را بازنشانی کنند. گزارش¬های مربوط به شاخص‌های شناخته شده که در توصیه Barracuda مشخص شده است را مرور کنند. 
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-2868
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2868
[3] https://www.helpnetsecurity.com/2023/05/25/cve-2023-2868/
[4] https://thehackernews.com/2023/05/alert-hackers-exploit-barracuda-email.html

کمپینی شامل بدافزار بات‌نت Horabot که قبلاً ناشناخته بود، حداقل از نوامبر  2020، کاربران اسپانیایی زبان در آمریکای لاتین را هدف قرار داده و آنها را با یک تروجان بانکی و ابزار هرزنامه آلوده کرده است. البته عوامل تهدید می‌توانند با استفاده از مضامین فیشینگ به زبان انگلیسی، دامنه فعالیت خود را به سایر بازارها نیز گسترش دهند. این بدافزار اپراتورها را قادر می‌سازد تا کنترل حساب‌های ایمیل Hotmail ،Outlook، Gmail یا Yahoo قربانی را در دست بگیرند. همچنین داده‌های ایمیل و کدهای 2FA را که وارد صندوق ورودی می‌شوند را سرقت کنند و ایمیل‌های فیشینگ را از حساب‌های مورد نفوذ، ارسال کنند. عملیات جدید Horabot توسط تحلیلگران Cisco Talos کشف شد که گزارش می‌دهند عامل تهدید پشت آن احتمالاً در برزیل مستقر است. زنجیره آلودگی چندمرحله‌ای با ارسال یک ایمیل فیشینگ با مضمون مالیاتی آغاز می‌شود که دارای یک پیوست HTML است. باز کردن HTML یک زنجیره تغییر مسیر URL را راه‌اندازی می‌کند که قربانی را در یک صفحه HTML میزبانی شده در یک نمونه AWS تحت کنترل مهاجم می‌فرستد.

صفحه بدخواه میزبانی شده روی AWS. منبع: سیسکو

قربانی روی لینک موجود در صفحه کلیک می‌کند و یک بایگانی RAR را دانلود می‌کند که حاوی یک فایل دسته‌ای با پسوند CMD است. این فایل، یک اسکریپت PowerShell را دانلود می‌کند که DLLهای تروجان و مجموعه‌ای از فایل‌های اجرایی قانونی را از سرور C2 واکشی می‌کند. این تروجان‌ها برای دریافت payload از یک سرور C2 متفاوت اجرا می‌شوند. یکی اسکریپت دانلودر PowerShell و دیگری باینری Horabot است.
تروجان بانکی
یکی از فایل‌های DLL موجود در ZIP دانلود شده، «jli.dll» که توسط فایل اجرایی «kinit.exe» بارگذاری می‌شود. این یک تروجان بانکی است که به زبان دلفی نوشته شده است. اطلاعات سیستم (زبان، اندازه دیسک، نرم‌افزار آنتی‌ویروس، نام میزبان، نسخه سیستم‌عامل، آدرس،IP، اعتبارنامه کاربر و داده‌های فعالیت) را هدف قرار می‌دهد.
علاوه بر این، تروجان به اپراتورهای خود قابلیت‌های دسترسی از راه دور مانند انجام عملیات فایل را ارائه می‌دهد و همچنین می‌تواند ثبت کلید، عکس گرفتن از صفحه و ردیابی رویداد ماوس را انجام دهد. هنگامی که قربانی برنامه‌ای را باز می‌کند، تروجان یک پنجره جعلی را در بالای آن قرار می‌دهد تا قربانی را فریب دهد تا داده‌های حساسی مانند اعتبارنامه بانکی آنلاین یا کدهای یک بار مصرف را وارد کند. تمام اطلاعات جمع‌آوری شده از رایانه قربانی از طریق درخواست‌های HTTP POST به سرور فرمان و کنترل مهاجم ارسال می‌شود. سیسکو توضیح می‌دهد که این تروجان چندین مکانیسم ضد تحلیل داخلی دارد تا از اجرای آن در جعبه‌های شنی یا در کنار دیباگرها جلوگیری کند. آرشیو ZIP نامبرده، همچنین حاوی یک ابزار هرزنامه رمزگذاری شده DLL به نام «_upyqta2_J.mdat» است که برای سرقت اطلاعات کاربری سرویس‌های ایمیل محبوب مانند Hotmail، Gmail و Yahoo طراحی شده است.
پس از افشای اعتبارنامه، این ابزار حساب ایمیل قربانی را تصاحب می‌کند، ایمیل‌های هرزنامه تولید می‌کند و آنها را به مخاطبین موجود در صندوق پستی قربانی ارسال می‌کند و تا حدودی به طور تصادفی آلودگی را بیشتر می‌کند. این ابزار همچنین دارای قابلیت‌های keylogging، اسکرین شات و رهگیری یا ردیابی رویداد ماوس است که ازنظر عملکردی با تروجان بانکی همپوشانی دارند، احتمالاً برای افزونگی.
Horabot
پیلود اولیه‌ای که بر روی سیستم قربانی ریخته می‌شود Horabot است، یک بات‌نت مستند مبتنی بر PowerShell که صندوق پستی Outlook قربانی را هدف قرار می‌دهد تا لیست مخاطبین را بدزدد و ایمیل‌های فیشینگ حاوی پیوست‌های مخرب HTML را منتشر کند. این بدافزار برنامه Outlook دسکتاپ قربانی را برای بررسی دقیق دفترچه آدرس و مخاطبین از محتویات صندوق پستی، راه‌اندازی می‌کند. سیسکو در گزارش توضیح می‌دهد: «پس از راه‌اندازی اولیه، اسکریپت [Horabot] به دنبال فایل‌های داده Outlook از پوشه داده‌های برنامه Outlook مربوط به نمایه قربانی می‌گردد. تمام پوشه‌ها و ایمیل‌های موجود در فایل داده Outlook قربانی را برمی‌شمارد و آدرس‌های ایمیل را از فیلدهای فرستنده، گیرندگان، CC و BCC ایمیل‌ها استخراج می‌کند.» تمام آدرس‌های ایمیل استخراج شده در یک فایل Outlook نوشته و کدگذاری شده و به سرور C2 ارسال می‌شوند. هنگامی که فرآیند توزیع ایمیل فیشینگ به پایان رسید، فایل‌ها و پوشه‌های ایجادشده محلی حذف می‌شوند تا هرگونه اثری پاک شود. اگرچه این کمپین Horabot عمدتاً کاربران مکزیک، اروگوئه، برزیل، ونزوئلا، آرژانتین، گواتمالا و پاناما را هدف قرار می‌دهد، اما همان عوامل تهدیدکننده یا همکار می‌توانند با استفاده از مضامین فیشینگ به زبان انگلیسی، دامنه خود را به سایر بازارها در هر زمان گسترش دهند.

منبع:

https://blog.talosintelligence.com/new-horabot-targets-americas/ 

آسیب پذیری سوییچ های سیسکو    
با بررسی های به عمل آمده، به تازگی قطعه کد بهره برداری از آسیب پذیری از نوع rce به صورت عمومی منتشر شده است که ابزار ReportLab که توسط تعداد زیادی از برنامه‌ها برای تولید pdf از ورودی های html استفاده می شود را تحت تاثیر قرار می‌دهد. قطعه کد poc  این آسیب پذیری با شناسه cve-2023-33733 همراه با توضیحات فنی و جزییات آن انتشار یافته است که موجب افزایش تلاش برای بهره برداری ها می گردد. ابزار reportlab توسط پروژه و برنامه های مختلف به عنوان کتابخانه pdf مورد استفاده می گردد و ماهانه توسط برنامه نویسان به طور متوسط 3.5 میلیون بار از python package index  دانلود می گردد. این نقص به علت نقص در تابعی به اسم rl_safe_eval می باشد که وظیفه جلوگیری از اجرا کد مخرب را در برنامه دارد نشئت می گیرد و موجب دسترسی مهاجم به توابع خطرناک داخلی پایتون می شود. نقص تابع مورد نظر موجب گذر از محدودیت های sandbox  برنامه می گردد. تابع rl_safe_eval به عنوان اقدامی برای جلوگیری از یک مشکل مشابه اجرای کد از راه دور که در سال 2019 کشف شد، معرفی گردید بنابراین مهاجمان و محققین مختلفی بر روی روش‌های دور زدن آن تمرکز کردند. Poc منتشر شده تابع داخلی type که به ساخت یک کلاس جدید به اسم word  که از str ارث بری می کند کمک می کند را فراخوانی می‌کند که در آخر موجب دور زدن بررسی های امنیتی و دسترسی به ویژگی هایی مثل code می گردد. سپس در مرحله بعد تابع type خود را فراخوانی می کند و بررسی های امنیتی مربوط به شمارش آرگومان را دور می زند و به مهاجم اجازه دسترسی به تابع type اصلی را برای ایجاد کلاس ها و اشیاء جدید می دهد . این عمل منجر به ساخت یک تابع مخرب می گردد که در صورت اجرا عمل مورد نظر مهاجم را انجام می دهد .

تمامی برنامه ها و محصولاتی که از ابزار reportlab   نسخه ماقبل 3.6.13 در ساختار خود استفاده نموده اند آسیب‌پذیر می‌باشند . 

راه حل جلوگیری از بهره برداری از این نقص بروز رسانی ابزار reportlab به نسخه 3.6.13 می باشد :

Pip install reportlab==3.6.13

منابع

https://socradar.io/cve-2023-33733-vulnerability-in-reportlab-allows-bypassing-sandbox-restrictions/

افزونه وردپرس «Gravity Forms» در برابر تزریق شی PHP 
یک آسیب پذیری امنیتی جدید با شناسه CVE-2023-28782 و امتیاز ۸.۳ در افزونه پریمیوم وردپرس «Gravity Forms» کشف شده است. در‌حال حاضر بیش از ۹۳۰۰۰ وب سایت از خدمات افزونه وردپرس استفاده می‌کند و این آسیب‌پذیری ساختار امنیت افزونه و یکپارچگی وب‌سایت‌ها را تهدید میکند. آسیب‌پذیری CVE-2023-28782 در برابر تزریق شیء PHP آسیب‌پذیر است. این آسیب‌پذیری خطر قابل توجهی را برای کاربران ایجاد می کند.
Gravity Forms یک فرم سفارشی است که صاحبان وب‌سایت ها برای ایجاد صفحه پرداخت، ثبت نام، آپلود فایل یا هر فرم دیگری استفاده می‌کنند. این فرم ها برای تعاملات یا تراکنش‌های بین بازدیدکننده‌ و سایت مورد نیاز است. Gravity Forms در وب سایت خود ادعا می‌کند که توسط طیف گسترده‌ای از شرکت‌های بزرگ از جملهAirbnb، ESPN، Nike، NASA ، PennState و Unicef استفاده می شود. این آسیب‌پذیری همه افزونه‌ها را از نسخه‌ی 2.7.3 و پایین‌تر تحت تأثیر قرار می‌دهد. این نقص توسط PatchStack  در ۲۷ مارس ۲۰۲۳ کشف شد و توسط فروشنده با انتشار نسخه 2.7.4 رفع شد که این نسخه در ۱۱ آوریل ۲۰۲۳ در دسترس قرار گرفت. به مدیران وب‌سایت‌هایی که از Gravity Forms استفاده می‌کنند توصیه می‌شود که در اسرع وقت به‌روزرسانی امنیتی موجود را اعمال کنند.
 جزئیات نقص
علت اصلی این آسیب‌پذیری، تابع maybe_unserialize  است. که از عدم بررسی ورودی ارائه شده توسط کاربر برای تابع 'maybe_unserialize' ناشی می شود و می تواند با ارسال داده ها به فرم ایجاد شده با Gravity Forms  فعال شود. PatchStack در گزارش‌اش هشدار می دهد: "از آنجایی که PHP امکان سریال سازی اشیاء را فراهم می کند، یک کاربر احراز هویت نشده می تواند رشته های سریال شده ad-hoc را به یک تماس غیر سریالی آسیب پذیر ارسال کند و در نتیجه یک شیء(های) PHP دلخواه به محدوده برنامه تزریق شود." توجه داشته باشید که این آسیب‌پذیری می‌تواند در نصب یا پیکربندی پیش‌فرض افزونه Gravity Forms فعال شود. هر کاربر احراز هویت نشده می‌تواند با ارسال به یک فیلد فهرست در فرمی که با استفاده از Gravity Forms ایجاد شده است، تزریق شی PHP را راه‌اندازی کند.
 

در کل، پیامدهای آسیب‌پذیری CVE-2023-28782، با توجه به عدم وجود زنجیره POP(property-oriented programming) قابل ‌توجه در پلاگین آسیب‌پذیر در زمان این افشاگری، به‌طور قابل‌توجهی محدود است. با این حال، زمانی که یک افزونه یا تم اضافی یک زنجیره POP را در سایت وردپرس معرفی می کند، خطر تشدید می شود. این setup  نامطمئن به طور بالقوه مهاجم را با توانایی حذف فایل های دلخواه، تهیه داده های حساس یا اجرای کد بسته به زنجیره POP موجود، مسلح می کند. خوشبختانه، اقدامات سریعی برای کاهش این آسیب پذیری فاجعه بار انجام شده است. در Gravity Forms نسخه 2.7.4 به این موضوع پرداخته شده و این نقص را برطرف کرده‌اند.
همچنین مهم است که به‌روزرسانی‌ها را در همه افزونه‌های فعال در سایت وردپرس خود اعمال کنید، زیرا رفع‌ آسیب‌های امنیتی ممکن است بردارهای حمله مانند زنجیره‌های POP را که می‌توانند در این مورد برای راه‌اندازی حملات آسیب‌رسان مورد استفاده قرار گیرند، حذف کنند.

منابع

محققان یک تکنیک حمله جدید را ابداع کرده‌اند که می‌تواند با استفاده از بروتفورس اثرانگشت برروی گوشی‌های هوشمند، احرازهویت کاربر را دور بزند و کنترل دستگاه‌ را به دست بگیرد. این رویکرد که BrutePrint نام دارد، محدودیت‌هایی را که برای مقابله با تلاش‌های ناموفق احراز هویت بیومتریک اعمال می‌‌شوند، دور می‌زند. BrutePrint این کار را با مجهر بودن به دو آسیب‌پذیری روز صفر در چارچوب احرازهویت اثرانگشت گوشی‌های هوشمند (SFA) انجام می‌دهد. این نقص‌ها که عبارتند از Cancel-After-Match-Fail (CAMF) و Match-After-Lock (MAL)، از عیب‌های منطقی در چارچوب احراز هویت استفاده می‌کنند، که این‌عیب ها به دلیل محافظت ناکافی از داده‌های اثرانگشت در رابط محیطی سریالی (SPI) حسگرهای اثر انگشت ایجاد می‌شوند.
در اینجا BrutePrint به عنوان واسطه‌ای بین حسگر اثرانگشت و  TEE [محیط مورد اعتماد اجرا] عمل می‌کند. هدف اصلی، ارائه تعداد نامحدودی از تصاویر اثرانگشت است، تا زمانی که مطابقت ایجاد شود. با این حال، این پیش‌فرض را در نظر می‌گیرد که عامل تهدید از قبل دستگاه قربانی را در اختیار گرفته باشد. علاوه بر این، مهاجم باید دارای پایگاه داده‌ای از اثرانگشت و یک راه‌اندازی شامل یک برد میکروکنترلر و یک کلیک خودکار باشد که بتواند داده‌های ارسال شده توسط حسگر اثر انگشت را ربوده تا حمله را با قیمتی کمتر از 15 دلار به انجام برساند. اولین آسیب‌پذیری ذکر شده که این حمله را ممکن می‌سازد CAMF است که با غیرفعال کردنchecksum اطلاعات مربوط به اثرانگشت، تحمل سیستم در برابر خطاهای انجام شده را افزایش می‌دهد و در نتیجه تلاش‌های نامحدودی را در اختیار مهاجم قرار می‌دهد. از سوی دیگر، آسیب‌پذیری MAL برای استنتاج تطابق تصاویر اثرانگشت برروی دستگاه‌ قربانی، از یک کانال جانبی استفاده می‌کند. حتی زمانی‌که دستگاه، پس از تلاش‌های مکرر برای ورود به سیستم، وارد حالت قفل‌شده می‌شود، MAL باز هم می‌تواند به کار خود ادامه دهد.
محققان توضیح دادند:« اگرچه حالت قفل بیشتر در Keyguard و به منظور غیرفعال‌سازی باز کردن قفل بررسی می‌شود، اما نتیجه احراز هویت توسط TEE انجام می‌شود. از آن‌جایی که نتیجه احرازهویت موفقیت‌آمیز بلافاصله پس از مشاهده یک نمونه منطبق، برگردانده می‌شود، حملات کانال جانبی از رفتارهایی مانند زمان پاسخ و تعداد تصاویر به دست آمده می‌توانند نتیجه را استنتاج کنند.» در یک راه‌اندازی آزمایشی، BrutePrint در 10 مدل مختلف از تلفن‌های هوشمند از جمله Apple، Huawei، OnePlus، OPPO، Samsung، Xiaomi و vivo مورد ارزیابی قرار گرفت. به این حمله اجازه داده شد که در دستگاه‌های Android و HarmonyOS تلاش‌های بی‌نهایتی را برای ورود انجام دهد و در دستگاه‌های iOS، ده تلاش اضافی داشته باشد.
 منبع خبر

گونه جدیدی از بدافزار مخفی سرقت اطلاعات به نام Bandit Stealer، به دلیل توانایی در هدف قرار دادن تعداد زیادی مرورگر وب و کیف پول‌ ارزهای دیجیتال، توجه محققان امنیت مجازی را به خود جلب کرده است.Trend Micro در گزارش خود عنوان کرد: "این بدافزار، پتانسیل آن را دارد که به پلتفرم‌های دیگر گسترش یابد زیرا با استفاده از زبان برنامه‌نویسی Go توسعه یافته است و احتمالاً امکان سازگاری بین پلتفرم‌ها را فراهم می‌کند." این بدافزار در حال حاضر روی هدف قرار دادن ویندوز، با استفاده از یک ابزار خط‌فرمان  قانونی به نام runas.exe متمرکز شده‌است. این ابزار به کاربران اجازه می‌دهد تا برنامه‌ها را به عنوان یک کاربر دیگر و با مجوزهای مختلفی اجرا کنند. هدف این بدافزار، افزایش امتیازات و اجرا شدن در دستگاه قربانی با داشتن دسترسی‌های مدیریتی  است. در نتیجه این بدافزار اقدامات امنیتی برای جمع‌آوری داده‌های گسترده را به طور مؤثری دور می‌زند. با این وجود، کاهش کنترل دسترسی مایکروسافت برای جلوگیری از اجرای غیرمجاز ابزار، به معنای تلاشی برای اجرای باینری بدافزار به عنوان یک مدیر است، که این امر مستلزم ارائه اعتبارات لازم است.
Trend Micro عنوان کرد: « کاربران می‌توانند برنامه‌ها با استفاده از دستور runas.exe، به‌ عنوان مدیر یا هر حساب کاربری دیگری با امتیازات مناسب را اجرا کنند. در نتیجه کاربران با استفاده از این دستور، محیط امن‌تری را برای اجرای برنامه‌های حیاتی فراهم می‌کنند یا وظایف سطح سیستم را انجام می‌دهند. این ابزار منحصرا در شرایطی مفید است که حساب کاربری فعلی، از امتیازات کافی برای اجرای یک دستور یا برنامه خاص برخوردار نباشد». Bandit Stealer برای تعیین اینکه آیا در یک سندباکس  یا در یک محیط مجازی اجرا شود، بررسی‌هایی را ترتیب داده است. این بدافزار هم‌چنین با استفاده از تغییرات رجیستری ویندوز، خود را در دستگاه قربانی ماندگار می‌کند. در واقع این کار را قبل از شروع فعالیت‌های مربوط به جمع‌آوری داده‌های خود انجام می‌دهد که این فعالیت‌ها شامل جمع‌آوری داده‌های شخصی و مالی ذخیره‌شده در مرورگرهای وب و کیف پول‌های ارز دیجیتال است.
گفته می‌شود که Bandit Stealer از طریق ایمیل‌های فیشینگ حاوی یک فایل قطره‌چکان  توزیع می‌شود. این فایل قطره‌چکان، در همان حین که یک پیوست به ظاهر بی‌خطر مایکروسافت‌ورد را به عنوان مانور حواس‌پرتی باز می‌کند، باعث ایجاد آلودگی در پس‌زمینه می‌شود.

Trend Micro عنوان کرد که نصب کننده جعلی Heart Sender را نیز شناسایی کرده‌است. Heart Sender سرویسی است که فرآیند ارسال ایمیل‌های هرزنامه  و پیام‌های SMS، به گیرندگان متعدد را خودکارسازی می‌کند. این سرویس کاربران را فریب می‌دهد تا بدافزار تعبیه شده را راه‌اندازی کنند. این توسعه زمانی صورت گرفت که شرکت امنیت مجازی، یک سارق اطلاعات مبتنی بر Rust را کشف کرد که ویندوز را مورد هدف قرار می‌داد. این سارق اطلاعات، از یک GitHub Codespaces webhook استفاده می‌کرد که توسط مهاجم، به‌عنوان کانال نفوذی برای دریافت اعتبارات مرورگر وب، کارت‌های اعتباری، کیف پول‌های ارز دیجیتال و توکن‌های Steam و Discord قربانی کنترل می‌شد. این بدافزار، در یک تاکتیک نسبتاً غیر معمول، کلاینت نصب شده Discord را دستکاری می‌کند تا کد جاوا اسکریپت طراحی شده برای ضبط اطلاعات از برنامه را تزریق نماید، و بنابراین با همین روش به پایداری در سیستم دست می‌یابد.

این یافته‌ها همچنین در مورد چندین نوع بدافزار دیگر مانند Luca، StrelaStealer، DarkCloud، WhiteSnake و Invicta Stealer نیز صدق می‌کنند. برخی از این بدافزارها از طریق ایمیل‌های هرزنامه و نسخه‌های جعلی نرم‌افزارهای مشهور منتشر می‌شوند. یکی دیگر از روندهای قابل توجه، استفاده از ویدیوهای یوتیوب برای تبلیغ نرم‌افزارهای کرک شده از طریق کانال‌های در معرض خطر با میلیون‌ها دنبال‌کننده است. داده‌های جمع‌آوری‌شده از سارقان می‌تواند از بسیاری جهات برای اپراتورها سودمند باشد و به آن‌ها امکان سوءاستفاده از اهدافی مانند سرقت هویت، سود مالی، نقض داده‌ها، حملات پرکردن اعتبارنامه و تصاحب حساب‌ها را می‌دهد. این پیشرفت‌ها نشان دهنده سیر تکاملی بدافزارهای سارق به یک تهدید مرگبارتر هستند، درست مانند بازار بدافزار به عنوان یک سرویس (MaaS) که این پیشرفت‌ها را به راحتی در دسترس قرار می‌دهد و موانع ورود مجرمان سایبری را از سر راه برمی‌دارد. در واقع، داده‌هایی که توسط Secureworks Counter Threat Unit (CTU) جمع‌آوری‌ می‌شود، به یک «بازار سرقت اطلاعاتی رو به رشد»، با حجم بالایی از گزارش‌های سرقت رفته تبدیل می‌شود. 
با وجود پیچیدگی روزافزون، اکوسیستم MaaS نیز در حالت نوسانی قرار گرفته است، و اقدامات قانونی، عاملان تهدید را بر آن داشته تا warez خود را در تلگرام بفروشند.
منبع خبر

در حین پیاده‌سازی بخش Open Authorization مربوط به برنامه Expo.io یک آسیب‌پذیری بحرانی امنیتی افشا شده است. این آسیب‌پذیری با شناسه CVE-2023-28131 پیگیری شده و در سیستم امتیازدهی CVSS  دارای درجه شدت 9.6 است. یک عامل تهدید می‌تواند از این نقص در پلتفرم‌های مختلفی مانند فیس‌بوک، گوگل یا توییتر، برای انجام اقدامات خودسرانه از طرف کاربر در معرض خطر، سوءاستفاده کند. 
Expo نیز شبیه به Electron، یک پلتفرم منبع باز برای توسعه برنامه‌های بومی در سطح جهانی است. این پلتفرم بر روی اندروید، iOS و وب اجرا می‌شود. شایان ذکر است که برای موفقیت آمیز بودن حمله، سایت‌ها و برنامه‌هایی که از Expo استفاده می‌کنند، باید تنظیمات AuthSession Proxy برای تک ورود  (SSO) را با استفاده از ارائه‌دهنده شخص ثالثی مانند Google و Facebook پیکربندی کرده باشند.
به عبارت دیگر، از این آسیب‌پذیری می‌توان برای ارسال توکن مخفی مرتبط با ارائه‌دهنده ورود  (مانند فیس‌بوک) به یک دامنه تحت کنترل عامل استفاده کرد. همچنین برای به دست گرفتن کنترل حساب قربانی می‌توان از این آسیب‌پذیری بهره گرفت. این کار، با فریب دادن کاربر مورد نظر برای کلیک بر روی یک لینک ساختگی خاص انجام می‌شود و به کمک ابزاری مانند ایمیل، پیام‌های SMS یا یک وب‌سایت مشکوک، صورت می‌گیرد.
Expo اعلام کرد که پس از افشای معتبر آسیب‌پذیری، در عرض چند ساعت یک اصلاح بسیار فوری را منتشرکرده است. همچنین توصیه می‌شود که کاربران برای فعال کردن ویژگی‌های SSO، به جای استفاده از پروکسی‌های AuthSession API، مستقیما از طرح‌های ثبت URL لینک عمیق  با ارائه‌دهندگان احراز هویت شخص ثالث که در شکل زیرمثالی از آن آمده است، استفاده کنند.
 

جیمز آید از Expo عنوان کرد که: «این آسیب‌پذیری به مهاجم بالقوه این امکان را می‌دهد که کاربر را فریب دهد تا بر روی یک لینک مخرب کلیک کند. سپس کاربر به ارائه‌دهنده احراز هویت شخص ثالث وارد می‌شود و به این ترتیب سهواً اعتبارات احراز هویت شخص ثالث خود را فاش می‌نماید. این مشکل به این خاطر است که قبل از اینکه کاربر صراحتاً تأیید کند که به URL بازخوانی  اعتماد دارد یا خیر، auth.expo.io این URL بازخوانی برنامه را ذخیره می‌کند.» 
این افشاء به دنبال کشف مشکلات مشابهی با OAuth در سایت‌های Booking.com و Kayak.com اتفاق افتاد. این مشکلات می‌توانستند برای کنترل حساب کاربران، مشاهده کامل اطلاعات شخصی یا اطلاعات کارت بانکی آن‌ها و انجام اقدامات از جانب قربانی مورد استفاده قرار گیرند. 
این یافته‌ها، هفته‌ها پس از آن به دست آمد که شرکت امنیت سایبری سوئیسی Sonar یک نقص پیمایش  مسیر و تزریق SQL در سیستم مدیریت محتوای سازمانی Pimcore  را با کد (CVE-2023-28438) شرح داد. با استفاده از این نقص یک مهاجم می‌تواند با مجوزهای وب سرور، با اجرای کد PHP دلخواه روی سرور، سوء استفاده‌هایی را انجام دهد.
Sonar، یک آسیب‌پذیری اسکریپت بین‌سایتی ذخیره‌شده و تایید نشده را افشا کرد که بر نسخه‌های LibreNMS 22.10.0 و قبل از آن تأثیر می‌گذارد. این آسیب‌پذیری می‌تواند با فعال کردن پروتکل ساده مدیریت شبکه  (SNMP) برای اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

تیمی از محققان جورجیاتک، گونه جدیدی از حملات به نام «Hot Pixels» را توسعه داده‌اند که می‌تواند پیکسل‌ها را از محتوای نمایش داده شده در مرورگر قربانی بازیابی نموده و به کمک آن، به تاریخچه بازدید دست پیدا کند. این حمله از زمان‌های محاسباتی وابسته به داده بر روی سیستم‌های مدرن مبتنی بر تراشه  (SoC ها) و واحدهای پردازش گرافیکی  (GPU) بهره‌برداری نموده، سپس از آن‌ها برای استخراج مخفیانه اطلاعات از صفحات وب بازدید شده در مرورگرهای کروم و سافاری استفاده می‌کند. حتی در صورت فعال بودن آخرین اقدامات متقابل کانال جانبی ، باز هم این حمله رخ می‌دهد. محققان دریافتند که پردازنده‌های مدرن در تلاش‌اند تا در کنار سرعت‌های اجرایی بالا، بتوانند نیازهای مصرف برق و محدودیت‌های اتلاف گرما را نیز تعدیل کنند. که همین مساله، منجر به الگوهای رفتاری متمایزی می‌شود که به دستورالعمل‌ها و عملیات خاصی می‌انجامد. این الگوها از طریق اندازه‌گیری‌های حسگر داخلی قابل دسترسی هستند. آن‌ها اغلب از طریق نرم‌افزار، به راحتی قابل دسترسی هستند و بسته به نوع دستگاه، می‌توانند با دقتی بالای 94٪ به تشخیص آن‌چه در دستگاه قربانی مشاهده می‌شود کمک کنند.

محققان با تجزیه و تحلیل اندازه‌های فرکانس، توان و دما در دستگاه‌های مدرن، به این نتیجه رسیدند که پردازنده‌هایی که به صورت منفعل خنک ‌شده‌اند ، می‌توانند اطلاعات را از طریق توان و فرکانس به بیرون نشت دهند، در حالی‌که تراشه‌هایی که به صورت فعال خنک‌ شده‌اند ، داده‌ها را از طریق خوانش دما و توان افشا می‌کنند. محققان با استفاده از تراشه‌های Apple M1، هسته‌های Cortex-X1 Arm موجود در داخل دستگاه Google Pixel 6 Pro و Qualcomm Snapdragon 8 Gen 1 موجود بر روی OnePlus 10 Pro آزمایشی انجام دادند. آن‌ها نقاط گلوگاه  (محدودیت‌های حرارتی) را ترسیم کردند و بارهای کاری  را با معیارهای متمایز فرکانس و توان مصرفی مرتبط کردند. در مرحله بعد، تیم تحقیقاتی، با کانال‌های نشت وابسته به داده‌ها، برروی پردازنده‌های گرافیکی یکپارچه و محرمانه، از جمله پردازنده‌های M1 و M2 اپل، AMD Radeon RX 6600، Nvidia GeForce RTX 3060 و Intel Iris Xe آزمایشی انجام دادند. محققان یک بررسی دقیق و توصیفی درباره این موضوع انجام دادند که چگونه رفتارهای پردازشی مختلف بر عوامل قابل مشاهده مانند مصرف برق، دما و فرکانس تاثیر می‌گذارد. آن‌ها از این داده‌ها به عنوان پایه‌ای برای ارزیابی حمله «Hot Pixels» استفاده کردند.

 "Hot Pixels" چگونه کار می‌کند
حمله «Hot Pixels» بر روی آخرین نسخه‌های کروم و سافاری با پیکربندی‌های پیش‌فرض آن‌ها، از جمله تمام اقدامات متقابل کانال جانبی، آزمایش شد. راه‌اندازی، توان و دمای پردازنده‌ها را محدود می‌کند. بنابراین داده‌های مربوط به رنگ پیکسل‌های نمایش داده‌شده در صفحه نمایش قربانی (سفید یا سیاه) از طریق فرکانس پردازنده به بیرون درز می‌کند. مکانیسم حمله شامل اعمال فیلترهای SVG برای القای اجرای وابسته به داده بر روی CPU یا GPU سیستم قربانی است. پس از آن از جاوا اسکریپت برای اندازه‌گیری زمان و فرکانس محاسبات به منظور استنتاج رنگ پیکسل استفاده می‌شود. محققان برای سرقت پیکسل‌ها از سایت هدف، در صفحه‌ای که توسط مهاجم کنترل می‌شود از یک عنصر iframe استفاده می‌کنند. محتویات iframe، که حاوی اطلاعات حساسی در مورد قربانی هستند، نامرئی‌اند، اما می‌توان با اعمال فیلتر SVG در بالای آن و اندازه‌گیری زمان‌های رندر، آن را محاسبه کرد.

دقت اندازه‌گیری‌ها بین 60 تا 94 درصد و زمان لازم برای رمزگشایی هر پیکسل بین 8.1 تا 22.4 ثانیه بود. "نشت‌کننده‌ترین" دستگاه AMD Radeon RX 6600 بود، در حالی که به نظر می‌رسد بهترین دستگاه‌های محافظت شده متعلق به اپل باشند.

Safari به دلیل مسدود کردن انتقال کوکی برروی عناصر iframe که منشأ مشابهی با صفحه اصلی ندارند، تحت تأثیر حمله ای که در بخش قبل شرح داده شد، قرار نمی‌گیرد. از این رو، پیکسل‌های بارگذاری شده در iframe حاوی هیچ داده کاربری نیستند. با این حال، محققان دریافتند که Safari در برابر یک زیرشاخه از حمله Hot Pixels آسیب‌پذیر است که می‌تواند با شنود تاریخچه مرور کاربران، حریم خصوصی آن‌ها را به خطر بیاندازد. روش ابداع شده شامل قرار دادن لینک صفحات حساس برروی سایت تحت کنترل مهاجم و سپس استفاده از تکنیک فیلتر SVG برای استنتاج رنگ است. هایپرلینک‌های سایت‌های بازدید شده باید رنگ متفاوتی نسبت به هایپرلینک‌هایی داشته باشند که قربانی هرگز بازدید نکرده‌است، بنابراین اصول اولیه Hot Pixels را می‌توان برای اطلاع از تاریخچه مرور قربانی به کار برد. همچنین، از آن‌جایی که کل هایپرلینک دارای رنگی یکسان است، بازیابی تنها یک پیکسل از هر هایپرلینک کافی است، بنابراین لیست‌های بسیار بزرگی از لینک‌ها را می‌توان در مدت کوتاهی تجزیه کرد . دقت داده‌های به سرقت رفته در این حمله در آیفون 13 به 99.3 درصد رسید. تنها 2.5 درصد از یافته‌ها، دارای نتیجه منفی کاذب بود. نرخ بازیابی به ازای هر 50 هایپرلینک، 183 ثانیه بود

محققان یافته‌های خود را در اختیار اپل، Nvidia، AMD، Qualcomm، اینتل و گوگل قرار دادند. همه فروشندگان این مشکلات را تصدیق نموده و در تلاش برای کاهش آن هستند. حملات Hot Pixels فقط بر روی دستگاه‌هایی که به سرعت به وضعیت پایداری از مصرف برق می‌رسند، مانند گوشی‌های هوشمند، خوب عمل می‌کنند، اگرچه توان عملیاتی نشت داده‌ها معمولاً کم است. با این حال، فروشندگان و ذینفعان متاثر از این حملات، از قبل در مورد راه‌حل‌هایی برای مشکلات گزارش‌شده، مانند محدود کردن استفاده از فیلترهای SVG در iframe در استاندارد HTML، بحث نموده‌اند. تیم Chrome قبلاً روی پیاده‌سازی مکانیسم جداسازی کوکی‌ها که در Safari یافت شده بود، کار می‌کرد. این مکانیسم از بارگیری کوکی‌ها در iframe های بدون پشتوانه جلوگیری می‌کند. همچنین پیشنهادهایی برای محدود کردن دسترسی به حسگرهایی که خوانش های حرارتی، توان و فرکانسی را برای کاربران غیرمجاز در سطح سیستم عامل فاش می کنند، وجود دارد.

منبع
 

https://www.bleepingcomputer.com/news/security/hot-pixels-attack-checks-cpu-temp-power-changes-to-s…

محققان ESET، یک تروجان دسترسی از راه دور (RAT) جدید را در فروشگاه Google Play پیدا کردند که در یک برنامه ضبط صفحه نمایش اندروید پنهان شده بود. این برنامه ده‌ها هزار بار نصب شده بود. برنامه «iRecorder - Screen Recorder»، درحالی‌که برای اولین بار در سال 2021 به فروشگاه اضافه شد‌، از طریق یک به‌‌روزرسانی مخرب که تقریباً یک سال بعد منتشر شد، به تروجان آلوده شد. نام‌گذاری این برنامه، درخواست مجوز برای ضبط صدا و دسترسی به فایل‌ها را در دستگاه‌‌های آلوده آسان‌‌تر می‌نمود زیرا طبیعتا از یک ابزار ضبط صفحه نمایش انتظار می‌رود که چنین مجوزهایی را درخواست نماید. این برنامه قبل از حذف، در فروشگاه Google Play بیش از 50000 بار نصب شده بود و کاربران را در معرض آلودگی‌های بدافزاری قرار داد. استفانکو یکی از محققان ESET گفت: «به دنبال اطلاع‌رسانی ما در مورد رفتار مخرب iRecorder، تیم امنیتی Google Play آن‌را از فروشگاه حذف کرد. با این حال، توجه به این نکته که این برنامه را همچنان می‌‌توان در مارکت‌‌های جایگزین و غیررسمی اندروید یافت نیز حائز اهمیت است. توسعه‌‌دهنده iRecorder برنامه‌‌های دیگری را نیز در Google Play ارائه می‌‌کند، اما آن‌ها حاوی کد مخرب نیستند.

بدافزار مورد بحث که AhRat نام‌گذاری شده است، مبتنی بر یک تروجان دسترسی از راه دور اندرویدی منبع‌باز معروف به نام AhMyth است. این تروجان دارای طیف گسترده‌ای از قابلیت‌ها، از جمله ردیابی مکان دستگاه‌های آلوده، سرقت گزارش‌های تماس، مخاطبین و پیام‌های متنی، ارسال پیام‌های کوتاه، گرفتن عکس و ضبط صدای پس‌زمینه است. اما به همین قابلیت‌ها محدود نمی‌شود. پس از بررسی دقیق‌تر، ESET دریافت که برنامه مخرب ضبط صفحه نمایش، تنها از زیرمجموعه‌ای از قابلیت‌های RAT استفاده می‌کند، زیرا فقط برای ایجاد و استخراج صداهای ضبط‌ شده محیطی و سرقت فایل‌هایی با پسوندهای خاص کاربرد دارد که به فعالیت‌های جاسوسی احتمالی اشاره می‌کند.
این اولین نمونه از نفوذ بدافزار اندروید مبتنی بر AhMyth به فروشگاه Google Play نیست. ESET جزئیاتی درباره برنامه دیگری که در سال 2019 توسط AhMyth به تروجان آلوده شده بود را منتشر کرد. این برنامه با ظاهر شدن در  قالب یک برنامه پخش رادیویی، فرآیند بررسی اپلیکیشن  گوگل را دو بار فریب داد. استفانکو گفت: « AhMyth پیش از این توسط Transparent Tribe، که با نام APT36 نیز شناخته می‌شد، مورد استفاده قرار می‌گرفت. APT36 یک گروه جاسوسی سایبری است که به دلیل استفاده گسترده از تکنیک‌های مهندسی اجتماعی و هدف قرار دادن سازمان‌های دولتی و نظامی در جنوب آسیا شناخته شده است. با این وجود، ما نمی‌توانیم نمونه‌های فعلی را به هیچ گروه خاصی نسبت دهیم.
به روز رسانی: یکی از سخنگویان گوگل پس از انتشار مقاله، بیانیه زیر را به اشتراک گذاشت: وقتی برنامه‌هایی را که خط‌مشی‌های ما را نقض می‌کنند، می‌یابیم اقدامات لازم را انجام می‌دهیم. کاربران همچنین توسط Google Play Protect محافظت می‌شوند. Google Play Protect می‌تواند به کاربران در مورد برنامه‌های مخرب شناسایی شده در دستگاه‌های اندرویدی هشدار دهد.

https://www.bleepingcomputer.com/news/security/new-ahrat-android-malware-hidden-in-app-with-50-000-…

کمتر از یک ماه پس از رفع آسیب پذیری با شناسه cve-2023-28771 با شدت خطر 9.8 که منجر به اجرا قطعه کد دلخواه مهاجم به صورت راه دور می گردد، اخیرا شرکت ZYXEL بروز رسانی نرم افزاری مربوط به دو محصول vpn و فایروال خود به منظور رفع دو آسیب پذیری جدید را منتشر کرده است. با بررسی های به عمل آمده توسط مرکز آپا دانشگاه بوعلی سینا همدان بروز رسانی های نرم افزاری مذکور مربوط به دو شناسه آسیب پذیری cve-2023-33009 و cve-2023-33010 با شدت خطر 9.8 می باشند که به دنبال بهره برداری از آن ها، مهاجم می تواند در قسمت عملکرد اعلان ها و پردازش ID با ارسال ورودی های نا معتبر به این محصولات منجر به انجام حمله انکار سرویس گردد و در ادامه قطعه کد مورد نظر خود را اجرا کند که پس از این حمله می تواند به شبکه دسترسی کامل داشته باشد.  با توجه به اینکه قطعه کد مخرب به صورت عمومی انتشار یافته و در دسترس عموم می باشد و همچنین با در نظر داشتن استفاده بیش از18000 مورد در فضای اینترنت و تعداد بسیار زیادی در فضای اینترنت داخلی کشور ازمحصولات این شرکت در کشور  بایستی برای جلوگیری از سو استفاده از این نقص اقدام نمود.  پس از انجام بررسی های به عمل آمده ، ایران در صدر لیست استفاده کنندگان از محصولات ZYXEL وجود دارد بنابراین می بایست در اسرع وقت توسط کارشناسان فناوری اطلاعات سازمان ها این موارد رفع گردد و از خطرات فاجعه بار احتمالی در آینده جلوگیری گردد.

محصولات آسیب پذیر عبارت اند از:
محصول ATP نسخه ZLD v4.32 تا v5.36
محصول USG FLEX نسخه ZLD v4.50 تا v5.36
محصول USG FLEX50  و USG20-VPN نسخه ZLD v4.25  تا v5.36
محصول VPN  نسخه ZLD v4.25 تا v4.73
محصول ZyWALL/USG نسخه ZLD v4.25 تا v4.73
راه حل
Zyxel به کاربران محصولات آسیب‌دیده توصیه نموده که در اسرع وقت جدیدترین به روز رسانی‌های امنیتی را اعمال کنند تا خطر سوءاستفاده مهاجمان از این دو نقص را از بین ببرند.
دستگاه‌هایی که نسخه‌های آسیب‌پذیر ذکر شده در بالا را اجرا می‌کنند توسط کسب‌وکارهای کوچک تا متوسط برای محافظت از شبکه‌ و اجازه دسترسی ایمن به شبکه (VPN ها) برای کارمندان از راه دور یا مستقر در خانه استفاده می‌شوند. عوامل تهدید مراقب هرگونه نقص مهم موثر بر چنین دستگاه‌هایی هستند، زیرا با بهره‌گیری این نقص‌ها می‌توانند دسترسی آسان به شبکه‌های شرکتی را تسهیل کنند. یک محقق امنیت سایبری گزارش داد که نقص تزریق دستوری که Zyxel در اپریل برطرف کرده بود، به طور فعال مورد بهره‌برداری قرار گرفته و این بار نیز همان فایروال و محصولات VPN را تحت تأثیر قرار می‌دهد. سال گذشته، CISA در مورد اعمال نفوذ مهاجمان از نقص اجرای کد از راه دور در فایروال و دستگاه‌های VPN کمپانی Zyxel هشداری را منتشر کرد و از مدیران سیستم خواست تا در اسرع وقت وصله‌های سفت‌افزاری را اعمال کنند.
 

 منابع

https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-…