مهاجمان می‌توانند از طریق درخواست‌های مخرب ساخته شده ارسال شده از طریق رابط‌های کاربری مبتنی بر وب دستگاه‌های هدفمند در حملات با پیچیدگی کم که نیازی به تعامل کاربر ندارند، از مشتریان سوءاستفاده کنند. سیسکو توضیح داد: "آسیب‌پذیری‌ها به یکدیگر وابسته نیستند. بهره‌برداری از یکی از آسیب‌پذیری‌ها برای بهره‌برداری از آسیب‌پذیری دیگر لازم نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تأثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد، ممکن است تحت تأثیر آسیب‌پذیری‌های دیگر قرار نگیرد.»
لیست سوئیچ‌های سیسکو آسیب دیده شامل موارد زیر است:
 سوئیچ‌های هوشمند سری 250، سوئیچ‌های مدیریت‌شده سری 350، سوئیچ‌های مدیریت‌شده قابل پشته‌‌سازی سری 350X و سوئیچ‌های مدیریت‌شده قابل پشته‌سازی سری 550X (که در نسخه 2.5.9.16 سفت‌افزار ثابت شده‌اند)
سوئیچ‌های هوشمند تجاری سری 250 و سوئیچ‌های مدیریت‌شده تجاری سری 350 (که در نسخه 3.3.0.16 سفت‌افزار ثابت شده‌اند)
سوئیچ‌های هوشمند تجاری کوچک سری 200، سوئیچ‌های مدیریت‌شده تجاری کوچک سری 300، سوئیچ‌های مدیریتی قابل پشته‌سازی تجاری کوچک سری 500(وصله‌ای موجود نیست)

سیسکو می‌گوید که سفت‌افزار سوئیچ‌های تجاری کوچک سری 200، 300 و 500 وصله نمی‌شوند زیرا این دستگاه‌ها قبلاً وارد فرآیند پایان عمر مفید خود شده‌اند. تیم پاسخگویی به رویداد امنیتی محصولات سیسکو (PSIRT) همچنین فاش کرد که کد سوءاستفاده اثبات ایده برای این نقص‌های امنیتی در دسترس است، که اگر عوامل تهدید با انگیزه، کد مختص به خودشان را ایجاد کنند، می‌تواند منجر به بهره‌برداری فعال شود.
این شرکت هشدار داد که تیم پاسخگویی به حوادث امنیتی محصول (PSIRT) آگاه است که کد سوءاستفاده اثبات ایده برای این نقص‌های امنیتی در دسترس است، که می‌تواند به عوامل تهدید اجازه دهد دستگاه‌های آسیب‌پذیری را که در معرض دسترسی از راه دور قرار دارند، هدف قرار دهند. با این حال، خوشبختانه، PSIRT سیسکو هنوز به شواهدی مبنی بر تلاش برای سوءاستفاده از آسیب‌پذیری‌ها در حملات دست پیدا نکرده است.

 

سازمان‌های دولتی در آسیای مرکزی هدف یک حمله جاسوسی پیچیده قرار گرفته‌اند که از یک نوع بدافزار ناشناخته به‌نام DownEx استفاده می‌کند. دامنه و آدرس‌های IP مرتبط با این بدافزار، در حملات قبلی استفاده نشده‌اند و بدافزار هیچ تشابه کدی با نرم‌افزارهای مخرب قبلی ندارد. این حمله نشان می‌دهد، حملات سایبری جدید پیچیده‌تر شده‌اند و مجرمان سایبری به‌دنبال روش‌های قابل اطمینان‌تری برای حملات خود هستند. برای حمله از یک سند جعلی با تمرکز حمله بر استخراج داده از نسخه کرک شده Microsoft Office 2016 استفاده شده است. کدنویس‌هایbackdoor که DownEx لقب گرفته‌اند آن را به دو زبان پایتون و C++ نوشته‌اند. این حملات از انواع ابزارهای سفارشی برای انجام فعالیت‌های پس از بهره‌برداری استفاده می‌کنند که شامل دو ابزار مبتنی برC/C++(wnet.exe و utility.exe) برای شمارش منابع یک شبکه، یک اسکریپت پایتون(help.py) برای ایجاد یک حلقه ارتباطی بی‌نهایت با سرور C2 و دریافت دستورالعمل‌هایی که برای سرقت فایل‌هایی با پسوندهای خاص، حذف فایل‌های ایجاد شده توسط سایر بدافزارها و یک بدافزار مبتنی بر C++( diagscv.exe) با نام مستعار DownEx که به‌صورت عمده برای استخراج فایل‌ها به سرور C2 طراحی شده است.
بر اساس بردار حمله اولیه، به احتمال زیاد عاملان تهدید از تکنیک‌های مهندسی اجتماعی برای ارسال ایمیل فیشینگ با یک بار مخرب استفاده کرده‌اند که با استفاده از یک فایل آیکون مرتبط با فایل‌های .docs، یک لودر اجرایی را در قالب یک فایل MS Word منتقل می‌کند.
هنگامی که قربانی فایل پیوست را باز می¬کند، دو نوع فایل دانلود می‌شود. یک سند جعلی به قربانی نمایش داده می‌شود و یک فایل مخرب HTML با کد پیوست شده در پس زمینه اجرا می‌شود که برای ارتباط با سرورهای فرمان و کنترل از راه دور(CA) برای بازیابی بار مرحله بعدی طراحی شده است. پس از اجرا، DownEx بصورت جانبی در درایوهای محلی و شبکه منتقل می‌شود تا فایل‌ها را از اسناد Excel، Word، PowerPoint، تصاویر، فایل‌های فشرده و PDF استخراج کند.

حمله انجام شده بدون فایل است، به این صورت که اسکریپت DownEx در حافظه اجرا می‌شود و وارد دیسک نمی‌شود. محققان برای جلوگیری از چنین حملاتی به سازمان‌ها توصیه می‌کنند که روی اجرای ترکیبی از فناوری‌های امنیت سایبری تمرکز کنند تا وضعیت امنیتی خود را بهبود بخشند.
منابع خبر

[1] https://thehackernews.com/2023/05/sophisticated-downex-malware-campaign.html
[2] https://www.arnnet.com.au/article/707123/new-downex-malware-campaign-targets-central-asia
[3] https://www.csoonline.com/article/3696429/new-downex-malware-campaign-targets-central-asia.html

NodeStealer، یک بدافزار تازه کشف شده در متا، توسط فیسبوک به عنوان دزد کوکی های مرورگر شناسایی شد. با توجه به این آسیب‌پذیری، عوامل تهدید می‌توانند ورود غیرقانونی به حساب‌های مختلف در این پلتفرم، از جمله Gmail و Outlook داشته باشند. عوامل تهدید از تاکتیک ضبط کوکی‌هایی استفاده می‌کنند که توکن‌های معتبر سشن کاربر را در خود نگه می‌دارند و آن ها را قادر می سازد تا احراز هویت دو عاملی را دور بزنند که به معنای وارد شدن به حساب‌ کاربر بدون نیاز به اطلاعات اعتبارسنجی یا تعامل با قربانیان است. تیم امنیتی فیسبوک، NodeStealer را در مراحل اولیه کمپین توزیع آن، تنها در عرض دو هفته پس از انتشار اولیه، شناسایی کرد. این شرکت به سرعت به این وضعیت رسیدگی کرد و به کاربران آسیب‌دیده در بازیابی حساب‌هایشان کمک کرد و در نهایت باعث اختلال در عملیات مخرب شد.
 بدافزار Ducktail
طی چندین سال، تیم امنیتی فیسبوک نسخه‌های مختلف Ducktail را که منبعشان کشور ویتنام بود و در پاسخ به اقدامات امنیتی متا و همتایانش در این صنعت سازگاری یافته‌ بود، نظارت و مسدود می نمود.
در زیر، پلتفرم هایی که Ducktail هدف قرار می دهد، ذکر شده است:

• LinkedIn
• Google Chrome
• Microsoft Edge
• Brave
• Firefox
• Dropbox
•  Mega

در اواخر ژانویه 2023، مهندسان فیسبوک بدافزار NodeStealer را کشف کردند و این حملات را به عوامل تهدید ویتنامی نسبت دادند. این بدافزار به دلیل پیاده سازی در جاوا اسکریپت و اجرا از طریق Node.js با عنوان NodeStealer نام گذاری شده است.
راه‌های زیادی وجود دارد که هکرها می‌توانند از تروجان هایی مانند NodeStealer و PDFpower.exe علیه شما استفاده کنند. در بیشتر موارد، این بدافزار به عنوان فرستنده سایر ویروس‌های مخرب مانند Ransomware، Worms یا Spyware استفاده می‌شود. به طور معمول، آلودگی با کمک انواع مختلف محتوای وب با ظاهر قانونی و جذاب اتفاق می افتد. اینها می توانند ایمیل های فیشینگ، پیام های هرزنامه، پیوست های آلوده، تبلیغات مختلف، پیشنهادات و لینک های تغییر مسیر، تورنت ها و حتی نصب کننده های نرم افزار باشند. ایده استتار این است که کاربران را فریب دهد تا باور کنند که آنها واقعاً یک پیشنهاد واقعی را باز می کنند یا برنامه مفیدی را دانلود می کنند که در واقع حاوی اسب تروجان است. درخواست های جعلی به روز رسانی سیستم و اعلان های پاپ آپ نیز ممکن است به عنوان ابزاری برای انتشار عفونت استفاده شوند. با این حال، ترفندها و توانایی های مضر NodeStealer در اینجا متوقف نمی شوند. به خاطر داشته باشید که این یک برنامه بسیار خطرناک است که برای آسیب رساندن و خدمت به منافع سازندگان جنایتکار آن ایجاد شده است. به همین دلیل است که هنگامی که عفونت از طریق یکی از فرستنده های متعدد خود به داخل رایانه شخصی شما راه پیدا کرد، مخفیانه شروع به راه اندازی فرآیندهای مضر مختلف در پس زمینه می کند. متأسفانه تشخیص و حذف این فرآیندهای مضر بدون کمک نرم افزار امنیتی قابل اعتماد تقریباً غیرممکن است زیرا تروجان به ندرت علائم قابل مشاهده ای را نشان می دهد که بتواند آن را از بین ببرد. قبل از اینکه متوجه شوید، NodeStealer ممکن است هر کلیدی را که فشار می دهید ردیابی کند و از هر کاری که انجام می دهید اسکرین شات بگیرد. به این ترتیب ممکن است اطلاعات شخصی شما را بدزدد، به حساب‌ها و جزئیات بانکی شما دسترسی پیدا کند، یا عکس‌ها، فیلم‌ها و سایر داده‌های حساس و شرم‌آور مربوط به کار و زندگی شخصی شما را جمع‌آوری کند. NodeStealer همچنین ممکن است باعث مشکلات جدی مربوط به عملکرد و پایداری سیستم شما شود. با کمک آن، هکرها ممکن است به سیستم عامل شما دسترسی غیرمجاز پیدا کنند و فایل‌ها، پوشه‌های سیستم و اجزای مهم مختلف را خراب، جایگزین یا حذف کنند و کدهای مخرب دیگری را نصب کنند. در واقع NodeStealer‏ یک ویروس است که به عنوان یک اسب تروجان شناخته می شود که با کمک پنهان شدن در ‏سراسر اینترنت توزیع می‌شود. بدافزار‌هایی مانند ‏NodeStealer‏ معمولاً به عنوان فایل‌های به ظاهر امن پنهان ‏می‌شوند که کاربران به میل خود آن‌ها را دانلود می‌کنند، بنابراین به بدافزار اجازه می‌دهند تا امتیازات ‏Admin‏ را ‏در رایانه به‌دست آورند.
 در سایت ویروس توتال گزارش شناسایی این بدافزار بدین صورت می‌باشد:‏

استفاده از Node.js بدافزار NodeStealer را قادر می سازد تا بر روی چندین سیستم عامل از جمله موارد زیر عمل نماید:

• Windows
• macOS
• Linux

بدافزار NodeStealer به عنوان یک فایل اجرایی ویندوز با حجمی بین 46 تا 51 مگابایت توزیع می شود. این فایل به یک سند PDF یا اکسل مبدل شده و به گونه ای ایسته نام گذاری شده است تا کنجکاوی گیرنده را برانگیزد.

تبدیل بدافزار به یک فایل PDF یا اکسل

بدافزار NodeStealer به محض استقرار، از ماژول راه‌اندازی خودکار Node.js برای اضافه کردن یک کلید رجیستری جدید به دستگاه قربانی استفاده می‌کند. این امر به بدافزار برای ایجاد پایداری، کمک می نماید و به آن اجازه می‌دهد که حتی پس از راه‌اندازی مجدد دستگاه نیز فعال بماند. هدف اصلی بدافزار NodeStealer سرقت کوکی‌ها و اطلاعات ورود به حساب‌های Facebook، Gmail و Outlook است که در مرورگرهای وب مبتنی بر Chromium ذخیره می‌شوند، مانند:

• Google Chrome
• Microsoft Edge
• Brave
• Opera

در حالی که این داده ها معمولاً در پایگاه داده SQLite مرورگر وب رمزگذاری می شوند، فرآیند رمزگشایی نسبتاً ساده است و توسط اکثر بدافزارهای مدرن سرقت اطلاعات به کار گرفته می شود. این برنامه‌های بدافزار، کلید رمزگشایی base64-encoded را مستقیماً از فایل  Local State"" مربوط به Chromium بازیابی می‌کنند. به محض این که NodeStealer کوکی‌ها یا اعتبارنامه‌های مرتبط با حساب‌های فیسبوک را شناسایی کرد، وارد مرحله بعدی می‌شود که «شناسایی حساب» نامیده می‌شود. در طول این مرحله، بدافزار از API فیس بوک برای استخراج اطلاعات مربوط به حساب مورد هدف، استفاده می کند. NodeStealer برای جلوگیری از شناسایی توسط سیستم های ضد حمله فیسبوک، از یک تاکتیک فریبنده بهره می گیرد. با استفاده از عناصر کلیدی قربانی که در زیر به آن اشاره شده، NodeStealer درخواست‌های خود را به‌عنوان فعالیت کاربر اصلی جا می زند و با اینکار اهداف مخرب خود را پنهان می‌کند:

• آدرس آی پی
• مقادیر کوکی
• پیکربندی سیستم

کد استخراج اطلاعات حساب­های کاربری توسط بدافزار NodeStealer

این بدافزار بر روی دستیابی به داده های حیاتی از حساب های فیسبوک که به آ ن ها اجازه راه اندازی کمپین های تبلیغاتی را می دهند، تمرکز می کند. عوامل تهدید از این دسترسی برای انتشار اطلاعات نادرست یا هدایت مخاطبان ناآگاه به سایت‌های مخرب مورد استفاده برای انتشار بدافزار استفاده می‌کنند. چگونه می‌توان NodeStealer را به صورت امن و سریع حذف کرد؟ تروجان هایی مانند NodeStealer بسیار مشکل سازتر از یک ویروس کامپیوتری معمولی هستند و به همین دلیل است که برای مقابله موثر با چنین تهدیداتی به یک رویکرد قابل اعتماد نیاز است. بزرگ‌ترین چالش شناسایی فایل‌های مخرب صحیح در سیستم است که اگر دانش کامپیوتری پیشرفته یا حداقل یک ابزار حذف حرفه‌ای ندارید، کار آسانی نیست. هرگز نباید سعی کنید تروجان ها را با حذف فایل های تصادفی از سیستم حذف کنید زیرا ممکن است مشکلات جدی برای رایانه شخصی خود ایجاد کنید و به سیستم عامل آسیب وارد کنید. نحوه حذف NodeStealer بدین‌صورت می‌باشد: ابتدا روی منوی Start در رایانه شخصی ویندوز خود کلیک کنید. در منوی Start، ‎ Programs and Settings را تایپ کنید، روی اولین مورد کلیک کنید و NodeStealer را در لیست برنامه هایی که نشان داده می شود، پیدا کنید. NodeStealer را از لیست انتخاب کرده و بر روی Uninstall کلیک کنید. مراحل موجود در removal wizard را دنبال کنید.
حذف NodeStealer از Chrome: روی سه نقطه در گوشه بالا سمت راست کلیک کنید به ابزارهای بیشتر بروید اکنون افزونه ها را انتخاب کنید و حذف افزونه Node Stealer را انتخاب کنید. برای رهایی از NodeStealer در FF/Edge/etc می‌توان مراحل را بدین‌صورت طی کرد: مرورگر را باز کنید و منو را انتخاب کنید. از منو روی دکمه Add-ons کلیک کنید.به دنبال پسوند NodeStealer بگردید با حذف NodeStealer از افزونه ها، از شر NodeStealer خلاص شوید. نحوه حذف NodeStealer: task manager را باز کنید. به دنبال فرآیند NodeStealer باشید. آن را انتخاب کرده و روی End task کلیک کنید. محل فایل را برای حذف NodeStealer باز کنید.
نحوه uninstall کردن NodeStealer: بر روی دکمه home کلیک کنید. جستجو به‌دنبال Startup Apps و در آنجا به دنبال NodeStealer بگردید و NodeStealer را از Startup Apps با turn off کردن آن حذف نصب کنید.

سوء استفاده از ChatGPT
کارشناسان امنیتی به سختی انواع بدافزارهایی را که از OpenAI  مربوط به ChatGPT بهره برداری می کنند، بررسی نموده و با آن مبارزه کرده اند. این برنامه‌های مخرب کاربران را با مبدل شدن به ابزارهای مجهز به هوش مصنوعی فریب می‌دهند، اما در عوض، به عنوان دروازه‌ای برای نصب بدافزار عمل می‌کنند. این امر، روند جدیدی است که از چندین ماه گذشته ادامه یافته و تحلیلگران امنیتی فعالانه تلاش خود را برای کاهش تهدید انجام می دهند. از مارس سال 2023، تعداد خانواده‌های بدافزاری که از ChatGPT برای یافتن دسترسی غیرمجاز به حساب‌ها در سراسر اینترنت سوء استفاده می‌کنند، افزایش یافته است.
همچنین برخی گزارش ها حاکی از شناسایی حدود ده خانواده از این قبیل است.

سوء استفاده از ChatGPT

برای مبارزه با انتشار محتوای مخرب، فیسبوک بیش از 1000 URL منحصر به فرد محتوی بدافزار با مضمون ChatGPT را از به اشتراک گذاشته شدن  در پلتفرم خود مسدود کرده است. آن ها به طور فعال این اطلاعات را با همتایان خود در صنعت به اشتراک گذاشته اند و آن ها را قادر می سازند تا اقدامات مناسبی را برای محافظت از 78877پلتفرم ها و کاربران خود انجام دهند.

منابع خبر

[1] https://cybersecuritynews.com/facebook-chatgp-themed-attacks/
[2]  https://howtoremove.guide/nodestealer-virus/

اخیراً دامنه سطح بالا با پسوند.zip  توسط شرکت گوگل در اختیار عموم قرار گرفته است و سازمان‌ها و افراد حقیقی می‌توانند از این به بعد دامنه با این پسوند را به ثبت برسانند. مجرمان سایبری هم اکنون به دلیل ویژگی خاص این دامنه جدید در حال استفاده از آن در حملات فیشینگ هستند. تاکنون بیش از 1230 دامنه با این پسوند به ثبت رسیده است. این دامنه در سال 2014 مورد تایید قرار گرفت اما گوگل آن را در ماه مه 2023 برای ثبت در دسترس قرار داد.
به نظر می‌رسد که گوگل هفته گذشته قیمت این دامنه را به 15 دلار در سال برای ثبت کاهش داده است. کاهش قیمت این دامنه نیز در افزایش علاقه مجرمان سایبری در ثبت این دامنه تاثیر داشته است. از آنجایی که  .zipیک پسوند محبوب به شمار می‌رود، سوء استفاده‌های زیادی برای این نوع دامنه می‌تواند وجود داشته باشد. دامنه‌هایی مانند officeupdate.zip یا microsoft-office.zip تاکنون در کمپین‌های فیشینگ مورد استفاده قرار گرفته‌اند. ویژگی safe browsing مرورگرها در صورت ورود به برخی از چنین دامنه‌هایی به کاربر هشدار خواهد داد.
اگرچه این دامنه ظرفیت بالایی در فیشینگ دارد، اما شرکت‌ها نیز می‌توانند یک نام مناسب برای دانلود بسته‌های نرم‌افزاری خود به ثبت برسانند. بیشتر دامنه‌های ثبت شده هم اکنون فاقد محتوا هستند. در شکل زیر یکی از این صفحات فیشینگ قابل مشاهده است. این صفحه فیشینگ مشابه با یک صفحه ورود به حساب مایکروسافت می‌باشد.
 

لازم به ذکر است که پسوند دیگری به نام  .movنیز اخیراً توسط گوگل برای ثبت در دسترس قرار گرفته که ممکن است باعث ایجاد مشکلات مشابه شود؛ اما این پسوند مانند  .zipمحبوب نیست. کاربران از این پس باید موقع بازدید از لینک‌هایی با پسوند .zip و پسوند فایل‌هایی که ممکن است به صورت لینک در برخی برنامه‌ها نمایش داده شوند باشند دقت کنند، زیرا ممکن است یک برنامه یک فایل با پسوند .zip را به صورت لینک نمایش دهد که کلیک بر روی آن کاربر را به سمت یک دامنه با پسوند .zip هدایت خواهد کرد.

منبع

https://www.ghacks.net/2023/05/15/googles-zip-top-level-domain-is-already-used-in-phishing-attacks/…

 آسیب‌پذیری بحرانی اجرای کد از راه دور در Ruckus Wireless Admin panel امکان اجرای کد از راه دور و همچنین CSRF و SSRF را برای مهاجمان فراهم می‌کند. شناسه CVE-2023-25717 با امتیاز 9.8 و سطح بحرانی به این آسیب‌پذیری اختصاص یافته است. مهاجمان هم اکنون از این آسیب‌پذیری برای انتشار بات‌نت‌های DDoS استفاده می‌کنند. بدافزار AndoryuBot که برای اولین بار در فوریه امسال مشاهده گردید، از طریق اجرای درخواست‌های HTTP GET از این باگ بهره‌برداری می‌کند. این بدافزار پس از آلوده کردن دستگاه، از آن برای اجرای حملات DDoS استفاده می‌کند.

 این آسیب‌پذیری در نسخه‌های 10.4 و پایین‌تر Ruckus Wireless Admin وجود دارد. در صورتی که از محصولات Ruckus استفاده می‌کنید، توصیه می‌شود در اسرع وقت نسبت به نصب وصله‌های امنیتی منتشر شده اقدام نمایید.

منابع:

https://www.bleepingcomputer.com/news/security/critical-ruckus-rce-flaw-exploited-by-new-ddos-botne…
https://vulnera.com/newswire/cisa-issues-warning-on-critical-ruckus-bug-exploited-by-ddos-botnet/
https://nvd.nist.gov/vuln/detail/CVE-2023-25717
https://support.ruckuswireless.com/security_bulletins/315
https://cybir.com/2023/cve/proof-of-concept-ruckus-wireless-admin-10-4-unauthenticated-remote-code-…

تیم Team82، پنج آسیب پذیری در روترهای Netgear Nighthawk RAX30 را کشف کرده است. این شامل دستگاه‌های هوشمند کوچک دفتر کاری و خانگی از جمله روترها، دستگاه‌های ذخیره‌سازی شبکه، مراکز خانه هوشمند، اسپیکرهای هوشمند، تلفن همراه و غیره بود.NETGEAR همه پنج آسیب پذیری کشف شده توسط Team82 را رفع کرده است. سه آسیب پذیری با شدت بالا، دور زدن احراز هویت و دستیابی به اجرای کد از راه دور را فراهم می‌کنند.
سواستفاده‌های موفق از این نقایص، می‌تواند به مهاجمان اجازه دهد تا بر فعالیت‌های اینترنتی کاربران نظارت کنند، اتصالات اینترنتی را ربوده و ترافیک را به وب‌سایت‌های مخرب هدایت کنند یا بدافزار را به ترافیک شبکه تزریق کنند. همچنین، یک مهاجم می‌تواند از این آسیب پذیری‌ها برای دسترسی و کنترل دستگاه‌های هوشمند متصل به شبکه استفاده کند (مانند دوربین‌های امنیتی، ترموستات‌های هوشمند و قفل‌های هوشمند)، تنظیمات روتر از جمله شناسه کاربری و رمزعبور یا تنظیمات DNS را تغییر دهد، یا از یک شبکه کامپیوتری تحت کنترل خود برای حملات به دستگاه‌های یا شبکه‌های دیگر استفاده کند.

لیست نقص‌ها به شرح زیر است:

با توجه به شکل بالا در یک PoC زنجیره بهره‌برداری که توسط این شرکت امنیت سایبری مشخص شده است، نشان می‌دهد که می‌توان رشته ایرادات را مشخص کرد که برای استخراج شماره سریال دستگاه و در‌نهایت دسترسی روت به آن، استفاده می‌شوند. به گفته کاتز  : این پنج CVE را می‌توان به هم متصل کرد تا روتر‌های آسیب‌دیده RAX30 را به خطر بیاندازند، که شدید‌ترین آنها اجرای کد از راه دور پیش از احراز هویت را در دستگاه امکان‌پذیر می‌سازد.
توصیه: به‌کاربران روتر‌های Netgear RAX30 توصیه می‌شود برای رفع نقص‌ها و کاهش خطرات احتمالی، به نسخه فریمور 1.0.10.94 که توسط این شرکت شبکه در 7 آوریل 2023 منتشر شد، بروزرسانی کنند.
منبع

https://claroty.com/team82/research/chaining-five-vulnerabilities-to-exploit-netgear-nighthawk-rax3…

این نقص (CVE-2023-21492) بر دستگاه‌های تلفن همراه سامسونگ که دارای اندروید 11، 12 و 13 هستند تأثیر می‌گذارد و به دلیل درج اطلاعات حساس در فایل‌های گزارش رخ می‌دهد. اطلاعات افشا شده می‌تواند توسط مهاجمان محلی با امتیازات بالا برای انجام یک دور زدن ASLR استفاده شود که این امر می‌تواند بهره‌برداری از مشکلات مربوط به مدیریت حافظه را ممکن سازد. در به‌روزرسانی‌های امنیتی این ماه، سامسونگ با اطمینان از این‌که نشانگرهای هسته دیگر در فایل‌های گزارش چاپ نمی‌شوند، به این مشکل پرداخته است. این شرکت در توصیه نامه انتشار بقای امنیتی (SMR) در تاریخ می 2023 می گوید: «سامسونگ مطلع شد که یک بهره‌برداری قابل مهاری برای این مشکل وجود دارد.»
در حالی که سامسونگ جزئیاتی در مورد بهره‌برداری CVE-2023-21492 ارائه نکرده است، چنین آسیب‌پذیری‌های امنیتی اغلب به عنوان بخشی از زنجیره‌های پیچیده بهره‌برداری در حملات بسیار هدفمند مورد سوء استفاده قرار می‌گیرند. به عنوان مثال، در ماه مارس، گروه تجزیه و تحلیل تهدیدات گوگل (TAG) و عفو بین‌الملل دو سری از حملات اخیر را افشا کردند که از زنجیره‌های بهره‌برداری از نقص‌های اندروید، iOS و کروم برای نصب نرم‌افزارهای جاسوسی تجاری استفاده می‌کردند که یکی از کمپین‌ها، کاربران سامسونگ در امارات متحده عربی را هدف قرار می‌داد.
پس از این‌که CISA این آسیب‌پذیری را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری خود اضافه کرد، به آژانس‌های اجرایی غیرنظامی فدرال ایالات متحده (FCEB) به مدت سه هفته مهلت داده شد تا دستگاه‌های اندرویدی سامسونگ خود را در برابر حملات ‌بهره برداری کننده از CVE-2023-21492 ایمن کنند. این امر، مطابق با دستورالعمل عملیاتی الزام‌آوری (BOD 22-01) است که در نوامبر 2021 صادر شد و آژانس‌های فدرال را ملزم می‌کند تا قبل از انقضای ضرب الاجل، تمام نقص‌های اضافه شده به لیست KEV مرتبط با CISA را برطرف کنند.
در حالی که هدف اصلی دستورالعمل فوق، آژانس‌های فدرال ایالات متحده است، اما اکیداً توصیه می‌شود که شرکت‌های خصوصی نیز رسیدگی به آسیب‌پذیری‌های فهرست شده در لیست باگ‌های مورد بهره‌برداری در حملات سازمان امنیت سایبری را در اولویت قرار دهند.
CISA گفت: «این نوع آسیب‌پذیری‌ها حامل حملات مکرر برای عاملان مخرب سایبری هستند و خطرات قابل‌توجهی برای شرکت فدرال ایجاد می‌کنند.»

منابع خبر

CISA اخیراً دو آسیب‌پذیری فعال را در کاتالوگKEV  (آسیب‌پذیری‌های شناخته شده) گنجانده است. این آسیب‌پذیری ها در تجهیزات TP-Link و پایگاه داده اوراکل با شناسه های CVE-2023-1389 و CVE-2023-21839 شناسایی شده اند. سازمان‌ها و شرکت‌ها در نتیجه آسیب‌پذیری‌هایی از این نوع، مستعد سوءاستفاده توسط عوامل تهدید هستند و در نتیجه با تعداد قابل توجهی از خطرات مواجه هستند. آسیب‌پذیری با شناسه CVE-2023-1389 و امتیاز CVSS:  8.8 شدت بالا با تزریق دستور در TP-Link Archer AX-21 قابل بهره برداری است. آسیب پذیری CVE-2023-21839  امتیاز CVSS:  7.5 و شدت زیاد آسیب‌پذیری نامشخص سرور  WebLogic اوراکل است. نسخه‌های میان‌افزار TP-Link Archer AX21 (AX1800) قبل از 2023.02.19 build 1.1.4حاوی یک آسیب‌پذیری تزریق فرمان به شکل country از نقطه پایانی /cgi-bin/luci;stok=/locale در رابط مدیریت وب بود. به طور خاص، پارامتر country عملیات نوشتن قبل از استفاده در یک فراخوانی به popen() پاکسازی نشده بود، به مهاجمی که احراز هویت نشده اجازه می‌دهد دستوراتی را که به صورت root اجرا می‌شوند، با یک درخواست POST ساده تزریق کند.
روترهای TP-Link با ساختار Archer AX-21 به دلیل باگ در تزریق دستور در برابر اجرای کد از راه دور آسیب¬پذیر هستند.( CVE-2023-1389)
همان طور که Trend Micro's Zero Day Initiative گزارش داده است، از 11 آوریل 2023، عوامل تهدید مرتبط با بات نت Mirai، از این آسیب پذیری بهره برداری کرده اند.
در نسخه‌های سرور Oracle WebLogic که در زیر آمده، آسیب‌پذیری با شدت بالا گزارش شده است:

حملات موفقیت‌آمیز این آسیب‌پذیری می‌تواند منجر به دسترسی غیرمجاز به داده‌های حیاتی یا دسترسی کامل به تمام ‏داده‌های قابل دسترسی ‏Oracle WebLogic Server‏ شود.، بدون هیچ مجوزی دسترسی پیدا کرد. اثرات این آسیب‌پذیری در محرمانگی(Confidentiality) می‌باشد و این مولفه را به خطر می‌اندازد. با این حال، برای این باگ، یک وصله در ژانویه 2023 به عنوان بخشی از انتشار به‌روزرسانی این شرکت منتشر شد.
این آسیب‌پذیری به‌راحتی قابل بهره‌برداری توسط مهاجم غیرمجاز با دسترسی به شبکه از طریق ‏T3‎، ‏IIOP‏ قابل انجام است ‏و می‌توان  به راحتی از آسیب‌پذیری ناشناخته موجود در سرورOracle WebLogic ‎‏ برای به خطر انداختن آن سوء استفاده ‏کرد.‏ اگرچه سوء استفاده‌های PoC برای این آسیب‌پذیری در دسترس هستند، هیچ موردی از سوء استفاده مخرب در حوزه عمومی گزارش نشده است.
BOD 22-01 کاتالوگ KEV (آسیب پذیری های مورد بهره برداری شناخته شده) را به عنوان یک لیست پویا از CVE ها ایجاد کرد که خطرات قابل توجهی برای شرکت فدرال ایجاد می کند. در حالی که CISA خواستار محافظت از شبکه ها در برابر این تهدیدات فعال شد، آژانس های FCEB (شاخه اجرایی غیرنظامی فدرال) باید وصله ها و اصلاحات ارائه شده توسط فروشندگان را تا 22 مه 2023 اجرا کنند.

منبع خبر

https://cybersecuritynews.com/warning-tp-link-apache-and-oracle-vulnerabilities

محققان امنیتی Patchstack هشدار داده‌اند که افزونه‌های وردپرس «Advanced Custom Fields» و «Advanced Custom Fields Pro» در معرض خطر حملات XSS قرار دارند.  این افزونه‌های وردپرسی که در میلیون‌ها وب‌سایت نصب شده‌اند، ممکن است در برابر نقض‌های امنیتی آسیب‌پذیر باشند.
افزونه‌های«Advanced Custom Fields» و «Advanced Custom Fields Pro» بیلدرهای فیلد سفارشی معروف در وردپرس هستند و با بیش از 2 میلیون نصب فعال، پایگاه کاربری قابل توجهی را جمع‌آوری کرده‌اند. آسیب‌پذیری XSS توسط محقق Patchstack با شناسه «CVE-2023-30777» قابل پیگیری است. برای مطالعه بیشتر اینجا کلیک نمایید.
 

یک آسیب‌پذیری با شناسه CVE-2023-20126 و شدت بحرانی (9.8) در رابط مدیریت مبتنی بر وب آداپتورهای تلفن2 پورت SPA112می‌تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا کد دلخواه را روی دستگاه آسیب‌پذیر اجرا کند. این آسیب‌پذیری به‌دلیل عدم وجود فرآیند احرازهویت در عملکرد ارتقای سخت افزار است. یک مهاجم می تواند با استفاده از این آسیب پذیری، با ارتقای دستگاه آسیب پذیر به یک نسخه ساخته شده از میان افزار سوءاستفاده کند. مهاجم با یک اکسپلویت موفق می تواند کد دلخواه را روی دستگاه آسیب پذیر با دسترسی دلخواه اجرا کند.

این آسیب پذیری تمامی نسخه های میان افزار برای آداپتورهای تلفن  2پورت Cisco SPA112 را تحت تاثیر قرار می دهد. سیسکو به روز رسانی‌های میان افزاری را برای این آسیب پذیری منتشر نکرده است و بدون هیچ راه حلی از کاربران خواسته است از دستگاه جدیدتری استفاده کنند.
 منابع خبر

[2] https://www.cve.org/CVERecord?id=CVE-2023-20126