محققان نوع جدیدی از حمله انکار سرویس (DoS) را کشف کرده‌‏اند که به عنوان حمله D(HE)at شناخته می شود. این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهره‌برداری می‏کند.
پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیش‌‌‌‌‌‌‌‌‌تر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت می‌‌‌‌‌‌‌‌‌گیرد. موجودیت‌‌‌‌‌‌‌‌‌ها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیام‌‌‌‌‌‌‌‌‌های مبادله شده خود استفاده می‌‌‌‌‌‌‌‌‌کنند.
این حمله به دلیل توانایی آن در گرم کردن بیش از حد CPU با وادار کردن قربانی به انجام محاسبات سنگین توان ماژولار است که در مبادله کلید Diffie-Hellman در پروتکل‌های رمزنگاری مانند  TLS، SSH، IPsec  و OpenVPN  استفاده می‌شود.

در شرایط عادی، موجودیت‌‌‌‌‌‌‌‌‌های پروتکل توافق کلید دیفی هلمن عملیات محاسباتی مشابهی انجام می‌‌‌‌‌‌‌‌‌دهند.

طبق شکل 1، موجودیت‌‌‌‌‌‌‌‌‌های آلیس و باب هرکدام دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهند. حمله D (HE)at زمانی رخ می‌‌‌‌‌‌‌‌‌دهد که موجودیتِ شروع کننده پروتکل (در این‌‌‌‌‌‌‌‌‌جا باب)، به جای محاسبه مقدار A، یک مقدار تصادفی برای آلیس ارسال کند. در این صورت باب(بدخواه) هیچ عملیات محاسباتی انجام نخواهد داد اما آلیس(قربانی) دو بار عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد. با تکرار این کار، آلیس بار محاسباتی زیادی متحمل خواهد شد.

طبق شکل 2، کلاینت مخرب هیچ محاسبه‌‌‌‌‌‌‌‌‌ای انجام نمی‌‌‌‌‌‌‌‌‌دهد اما سرور قربانی دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد.
برخی موارد این حمله را تشدید می‌‌‌‌‌‌‌‌‌کند که در ادامه به آن اشاره شده است:
•    طول توان: هرچه مقدار عددی که در توان قرار می‌‌‌‌‌‌‌‌‌گیرد بزرگ‌‌‌‌‌‌‌‌‌تر باشد مسلما توان محاسباتی بیش‏تری لازم است. برخی کتابخانه‌‌‌‌‌‌‌‌‌های رمزنگاری از نماهای طولانی استفاده می‌‌‌‌‌‌‌‌‌کنند که منجر به بار محاسباتی بیش‌‌‌‌‌‌‌‌‌تر می‌‌‌‌‌‌‌‌‌شود. (CVE-2022-40735)
•    اعتبارسنجی کلیدعمومی: برای جلوگیری از حملات محدود کردن زیرگروه کوچک، سرورها باید مرتبه کلید عمومی را تایید کنند. با این حال برخی کتابخانه‌‌‌‌‌‌‌‌‌ها این اعتبار سنجی را بدون توجه به استفاده از یک گروه اول امن انجام می‌‌‌‌‌‌‌‌‌دهند. (CVE-2024-41996)
•    اندازه پارامترها: برخی از کتابخانه‌‌‌‌‌‌‌‌‌ها مانند OpenSSL به طور پیش‌‌‌‌‌‌‌‌‌فرض بزرگترین اندازه پارامتر موجود را دارند که اگر به درستی توسط سرورهای برنامه پیکربندی نشوند، می‌‌‌‌‌‌‌‌‌تواند مورد بهره‌برداری قرار بگیرد.
روش مقابله با حمله D(HE)at
•    به‌‌‌‌‌‌‌‌‌روزسانی پروتکل‌‌‌‌‌‌‌‌‌ها: برای مثال استفاده از پروتکل جدید TLS 1.3
•    پیکربندی کتابخانه‌‌‌‌‌‌‌‌‌ها: تنظیمات کتابخانه‌‌‌‌‌‌‌‌‌ها برای استفاده از نماهای کوچک‌‌‌‌‌‌‌‌‌تر و اندازه پارامترهای کوتاه‌‌‌‌‌‌‌‌‌تر
•    پیاده‌‌‌‌‌‌‌‌‌سازی محدودیت نرخ: محدودیت نرخ بر روی تعداد درخواست Handshake به سرور از طرف یک کلاینت مشخص
•    مانیتورینگ و هشداردهی: راه‌‌‌‌‌‌‌‌‌اندازی سیستم‌‌‌‌‌‌‌‌‌های مانیتورینگ برای تشخیص الگوهای ناهنجار مربوط به درخواست‌‌‌‌‌‌‌‌‌های Handshake که منجر به حمله خواهند شد.

منبع خبر:

https://cybersecuritynews.com/dheat-attack

یک آسیب‌پذیری به شماره شناسه CVE-2024-7269 و شدت ۸.۷ که یک نقص از نوع XSS ذخیره‌شده است، در فرم «به‌روزرسانی جزئیات شخصی» نرم‌افزار ConnX ESP HR Management کشف شده است. این نقص که به دلیل پاکسازی نادرست ورودی‌ها در زمان تولید صفحات وب رخ می‌دهد،  به مهاجمان اجازه می‌دهد تا کدهای مخرب جاوااسکریپت را در فرم‌های ورودی تزریق کرده و آن‌ها را در مرورگر کاربران اجرا کنند. این امر می‌تواند به سرقت اطلاعات حساس، اجرای عملیات غیرمجاز، یا تغییر نمایش صفحات وب منجر شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه‌های قبل از ۶.۶ نرم‌افزار ConnX ESP HR Management شناسایی شده است.

توصیه‌های امنیتی
به‌روزرسانی به نسخه ۶.۶ موجب رفع این آسیب‌پذیری می‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-7269

یک آسیب‌پذیری به شماره شناسه CVE-2024-8030 و شدت ۹.۸ که یک نقص بحرانی در افزونه‌های Ultimate Store Kit Elementor Addons، Woocommerce Builder، EDD Builder، Elementor Store Builder، Product Grid، Product Table و Woocommerce Slider کشف شده است. این آسیب‌پذیری به مهاجمان غیرمجاز امکان تزریق اشیاء PHP از طریق deserialization ورودی‌های نامعتبر از طریق کوکی _ultimate_store_kit_wishlist را می‌دهد. نبود زنجیره POP در خود افزونه به این معنی است که آسیب‌پذیری با توجه به حضور افزونه‌ها یا تم‌های اضافی در سیستم هدف، قابل بهره‌برداری است. در صورت وجود زنجیره POP، مهاجم می‌تواند فایل‌های دلخواه را حذف کند، به داده‌های حساس دسترسی پیدا کند، یا کد دلخواه را اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری تمام محصولات زیر را تا نسخه‌های 2.0.3 تحت‌تاثیر قرار می‌دهد:
    •    Ultimate Store Kit Elementor Addons
    •    Woocommerce Builder
    •    EDD Builder
    •    Elementor Store Builder
    •    Product Grid
    •    Product Table
    •    Woocommerce Slider
 

توصیه‌های امنیتی
مطمئن شوید که افزونه‌های تحت تأثیر را به نسخه‌هایی بالاتر از 2.0.3 که این آسیب‌پذیری در آن‌ها رفع شده است، به‌روزرسانی کرده‌اید.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8030

به‌تازگی یک آسیب‌پذیری به شماره شناسه CVE-2024-8225 و شدت ۸.۹ در نسخه 15.11.0.20 از دستگاه Tenda G3 شناسایی شده است. این آسیب‌پذیری در تابع formSetSysTime فایل /goform/SetSysTimeCfg رخ می‌دهد و به دلیل یک سرریز بافر مبتنی بر پشته به وجود می‌آید که می‌تواند از طریق دستکاری آرگومان sysTimePolicy فعال شود. این نقص امنیتی به مهاجمان اجازه می‌دهد تا از راه دور کد دلخواه را روی سیستم آسیب‌دیده اجرا کنند که می‌تواند منجر به کنترل کامل دستگاه شود.

محصولات تحت‌تأثیر
این آسیب‌پذیری به طور خاص مدل Tenda G3 با نسخه 15.11.0.20 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
تاکنون راهکاری برای رفع این آسیب‌پذیری ارائه نشده است اما پیشنهاد می‌شود که اقدامات زیر انجام گیرد:
•    دسترسی به پورت‌ها و سرویس‌های غیرضروری را محدود کنید. اطمینان حاصل کنید که تنها ترافیک مورد نیاز به دستگاه‌ها اجازه دسترسی دارد.
•    دسترسی از راه دور به رابط‌های مدیریتی دستگاه‌ها را محدود کرده و از مکانیزم‌های احراز هویت قوی استفاده کنید. 

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8225

یک آسیب‌پذیری به شماره شناسه CVE-2024-45346 و شدت ۸.۸ که یک ضعف امنیتی در اپلیکیشن XiaomiGetApps است کشف شده است. این آسیب‌پذیری به دلیل نقص در منطق تایید اعتبار رخ می‌دهد. منطق تایید اعتبار، که معمولاً برای اطمینان از دسترسی معتبر کاربران به منابع محافظت‌شده استفاده می‌شود، در این مورد به گونه‌ای طراحی شده است که مهاجمان می‌توانند آن را دور بزنند. به عبارت دیگر، مهاجم بدون اینکه نیاز به احراز هویت یا ورود به سیستم داشته باشد می‌تواند با بهره‌برداری از این آسیب‌پذیری کد مخرب را از راه دور اجرا کند.

محصولات تحت‌تأثیر
این آسیب‌پذیری در نسخه 30.2.7.0 وجود دارد.

توصیه‌های امنیتی
بروزرسانی به نسخه 30.6.0.2 موجب رفع آسیب‌پذیری فوق می‌شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-45346

اخیرا یک بدافزار لینوکسی به نام 'sedexp' شناسایی شده است که از سال ۲۰۲۲ به صورت مخفیانه با استفاده از تکنیک جدیدی که هنوز در چارچوب MITRE ATT&CK قرار نگرفته از شناسایی فرار می‌کند. این بدافزار به مهاجمان اجازه می‌دهد تا از راه دور به سیستم قربانی دسترسی پیدا کنند و هدف اصلی آن جمع‏آوری اطلاعات کارت‏های اعتباری است. محققان اشاره می‌کنند که این بدافزار از سال ۲۰۲۲ به‌طور فعال مورد استفاده قرار گرفته است. پیش از این، تنها دو موتور آنتی-ویروس توانسته بودند سه نمونه sedexp را به عنوان فایل مخرب شناسایی کنند.
بدافزار با نام kdevtmpfs در سیستم اجرا می‎‏شود که مشابه نام یک فرایند سیستمی معتبر است. به این ترتیب شناسایی آن با استفاده از روش‌های متداول را دشوارتر می‌سازد. تکنیک استفاده شده در این بدافزار برای کسب ماندگاری در سیستم استفاده از قوانین udev است.
Udev یک مدیر دستگاه‌های جانبی برای کرنل لینوکس است. در فـایـل سیـستم لـیـنوکس، شـاخـه‌ای بـه نام /dev وجود دارد که در آن تمامی ابزارهای سخت‏افزاری سیستم لیست شده‌اند. برای مثال پارتیشن‌های دیسک سـخـت یــا درایـوهای CD-ROM با نشانی dev/hdX/ در این شاخه وجود دارند. قوانین udev، فایل‌های پیکربندی متنی هستند که تعیین می‌کنند مدیر چگونه باید با دستگاه‌ها یا رویدادهای خاص برخورد کند. این فایل‌ها در مسیر '/etc/udev/rules.d/' یا '/lib/udev/rules.d/' قرار دارند. این قوانین شامل سه پارامتر هستند:
•    عملیات مورد نظر ("ACTION== "add)
•    نام دستگاه ("KERNEL== "sdb1)
•    و اینکه چه اسکریپتی باید هنگام برآورده شدن شرایط مشخص اجرا شود ("RUN+="/path/to/script).
 

بدافزار sedexp قانون udev زیر را بر روی سیستم‌های قربانی اضافه می‌کند:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
هرگاه دستگاه جدیدی به سیستم اضافه شود این قانون فعال می‌شود و شرایط زیر را بررسی می‏کند:  
•    آیا مقدار ENV{MAJOR}، 1 است (این حالت مربوط به دستگاه‏هایی مانند /dev/mem, /dev/null, و  /dev/zero است.)
•    سپس بررسی می‏کند آیا مقدار ENV{MINOR} عدد 8 است (این حالت مربوط به /dev/random است.)

در صورتی که این شرایط برقرار بود اسکریپت بدافزار asedexpb را اجرا می‌کند. این قانون تضمین می‏کند هرگاه dev/random/ در سیستم اجرا شود بدافزار اجرا می‏شود. dev/random/ یک جزء اساسی سیستم در لینوکس است و بسیاری از پردازه‏ها و برنامه‏ها برای اجرای عملیات رمزنگاری، ارتباطات امن و تولید اعداد تصادفی از آن استفاده می‏کنند. این فایل در هر مرتبه ریبوت سیستم عامل بارگذاری می‏شود و بنابراین ماندگاری بدافزار در سیستم را تضمین می‏کند.  
علاوه بر این، بدافزار قابلیت دستکاری در حافظه را دارد تا فایل‏هایی که sedexp دارند را از نتیجه فرمان‏های ls و find حذف کند و به این ترتیب فرایند شناسایی را دشوارتر کند.
اطلاعات سه نمونه از این بدافزار که تاکنون شناسایی شده به شرح زیر است:

SHA256    43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
SHA256    94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
SHA256    b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648

منبع خبر:

https://cybersecuritynews.com/linux-malware-sedexp

یک آسیب‌پذیری با شناسه CVE-2024-8231 و شدت 8.7 (بحرانی) در Tenda O6 1.0.0.7(2054) کشف شده است. متغیر  v2، v3، v4، v6  پارامترهای  ip، localPort، publicPort، برنامه را با درخواست POST دریافت می کند وکاربر می‌تواند ورودی این پارامترها را کنترل کند و باعث سرریز بافر شود براساس بردار حمله این آسیب‌پذیری CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست(AC:L)، حمله موفقیت‌آمیز به شرایط استقرار و اجرای سیستم آسیب‌پذیر بستگی ندارد (AT:N)، مهاجم برای انجام حمله نیازبه حساب کاربری با سطح دسترسی پایین دارد (PR:L) و به تعامل با کاربر نیاز ندارد (UI:N)، محرمانگی کاملاً از بین می‌رود و در نتیجه تمام اطلاعات موجود در سیستم آسیب‌پذیر در اختیار مهاجم قرار می‌گیرد، از طرف دیگر، دسترسی تنها به برخی از اطلاعات محدود به دست می‌آیدو اطلاعات افشا شده تأثیر مستقیم و جدی دارد. VC:H))، از دست دادن کامل یکپارچگی و پروتکل‌های امنیتی وجود دارد. (VI:H)، مهاجم می‌تواند با دسترسی کامل به منابع موجود در سیستم آسیب‌پذیر برخی از دسترسی ها را از بین ببرد والبته پیامد مستقیم و جدی را برای سیستم آسیب‌پذیر ایجاد کند( VA:H)، از دست دادن یکپارچگی در سیستم بعدی وجود ندارد واینکه تنها به سیستم آسیب‌پذیر محدود می‌شود( SI:N)وهیچ تاثیری بر در دسترس بودن آن وجود ندارد ( SA:N).

محصولات تحت تأثیر
این آسیب‌پذیری تابع VirtualSet فایل /goform/setPortForward  را تحت تأثیر قرار می‌دهد.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8231
[2] https://github.com/abcdefg-png/AHU-IoT-vulnerable/blob/main/Tenda/web-bridge/O6V3.0/fromVirtualSet…

یک آسیب‌پذیری به شماره شناسه CVE-2024-8161  و شدت ۹.۸ که یک نقص امنیتی بحرانی در نرم‌افزار ATISolutions CIGES است شناسایی شده است و به مهاجمین اجازه می‌دهد که از طریق تزریق دستورات SQL به پایگاه داده دسترسی پیدا کنند. این آسیب‌پذیری ناشی از عدم اعتبارسنجی کافی ورودی‌ها است، که به مهاجم امکان می‌دهد تا پرس‌وجوهای دلخواه خود را به پایگاه داده ارسال کند و به اطلاعات حساس دسترسی یابد.

محصولات تحت‌تأثیر
نسخه‌های قبل از 2.15.5 سیستم‌های CIGES تحت تاثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی
توصیه می‌شود که کاربران نسخه CIGES خود را به آخرین نسخه (2.15.5 یا بالاتر) به‌روزرسانی کنند، زیرا این نسخه شامل اصلاحات لازم برای جلوگیری از این آسیب‌پذیری است. همچنین، اعمال فیلترهای مناسب برای ورودی‌های کاربر و استفاده از مکانیزم‌های امنیتی مانند تزریق‌های آماده (prepared statements) می‌تواند به کاهش خطرات ناشی از SQL Injection کمک کند. مانیتورینگ و بررسی منظم لاگ‌های سیستم نیز می‌تواند به شناسایی و جلوگیری از حملات احتمالی کمک کند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8161

آسیب‌پذیری با شناسه CVE-2024-8073 و شدت ۹.۸ یک نقص امنیتی بحرانی در فایروال  Hillstone Networks است که ناشی از اعتبارسنجی نامناسب ورودی‌ها می‌باشد. این آسیب‌پذیری به مهاجمین اجازه می‌دهد دستورات مخرب را از راه دور اجرا کنند، که می‌تواند منجر به دسترسی غیرمجاز به سیستم و اطلاعات حساس شود. به دلیل این نقص، مهاجمین می‌توانند به ‌طور کامل کنترل سیستم را به دست بگیرند و عملیات دلخواه خود را اجرا کنند.

محصولات تحت‌تأثیر
این آسیب‌‌‌‌‌‌‌‌‌‌پذیری نسخه‌‌‌‌‌‌‌‌‌‌های 5.5R6-2.6.7 تا 5.5R6-2.8.13 را تحت‌تأثیر قرار می‌دهد.

توصیه‌های امنیتی
آسیب‌‌‌‌‌‌‌‌‌‌پذیری ذکر شده با ارتقاء فایروال به نسخه 5.5R6-2.8.14 و بالاتر رفع می‌‌‌‌‌‌‌‌‌‌شود.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8073

BYOB  یک ابزار تحقیقاتی و آموزشی متن‌باز است که به منظور ایجاد و مدیریت بات‌نت‌ها و تست نفوذ طراحی شده است. این ابزار دارای ماژول‌های مختلفی برای انجام فعالیت‌های مخرب مانند استخراج داده‌ها، رمزنگاری فایل‌ها، ضبط صفحه نمایش و بسیاری فعالیت‌های دیگر است. این ابزار در نقطه پایان استخراج اطلاعات (exfiltration endpoint) که به صورت یک سرویس تحت وب در سرور کنترل (C2) پیاده‌سازی شده است دارای آسیب‌پذیری بحرانی نوشتن فایل دلخواه Arbitrary File Write  با شدت ۹.۸ و شناسه  CVE-2024- 4525 است.
در BYOB، نقطه پایان استخراج اطلاعات در فایل api/files/routes.py  پیاده‌سازی شده است. بات‌ها از این نقطه پایان برای ارسال داده‌های استخراج‌شده به سرور C2 استفاده می‌کنند. این داده‌ها می‌تواند شامل اطلاعات محرمانه، رمزهای عبور و اطلاعات شبکه باشد. سرور  C2 با استفاده از تابع   file_add در این فایل داده‌های ارسالی از بات‌ها را دریافت، ذخیره و پردازش می‌کند. به دلیل پیاده‌سازی نادرست مکانیزم‌های اعتبارسنجی ورودی در این تابع مهاجم می‌تواند از طریق ارسال درخواست HTTP با پارامترهای خاص، بدون احراز هویت، فایل‌هایی را به سرور آپلود کرده و به پایگاه داده SQLite دسترسی و فایل‌های موجود شامل داده‌های استخراج شده و لاگ‌ها و غیره را بازنویسی کند.

محصولات تحت تاثیر
نسخه ۲.۰ که آخرین نسخه این ابزار است تحت تاثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
با توجه به متن باز بودن ابزار برای آموزش و ارتقاء امنیت سایبری و جلوگیری از بهره‌برداری، باید  به‌روزرسانی و به درستی ایمن‌سازی شود. رعایت موارد زیر در توسعه و سفارشی‌سازی پیشنهاد می‌گردد:
•    برای جلوگیری از دور زدن احراز هویت فقط بات‌های مجاز بتوانند به سرور C2 داده ارسال کنند.
•    برای جلوگیری از آپلود فایل‌های مخرب یا بازنویسی داده‌های مهم، پارامترهای ورودی به درستی اعتبارسنجی گردند.
•    برای انتقال داده‌های حساس از رمزگذاری داده‌ها استفاده گردد.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-45256