شناسایی یک بدافزار جدید اندرویدی با نام Xamalicious

تاریخ ایجاد

اخیراً یک بدافزار جدید اندرویدی به نام Xamalicious کشف شده است که حدود 338،300 دستگاه را از طریق برنامه‌های مخرب در فروشگاه رسمی اندروید یعنی Google Play آلوده کرده است. شرکت McAfee همچنین 14 اپلیکیشن آلوده را در Google Play شناسایی کرده است، که سه مورد از آنها هر کدام بیش از 100،000 نصب داشته‌اند. هرچند که این اپلیکیشن‌ها از Google Play حذف شده‌اند، اما کاربرانی که آن‌ها را از میانه سال 2020 نصب کرده‌اند، ممکن است هنوز هم برنامه مخرب فعالی از Xamalicious در گوشی‌های خود داشته باشند که نیازمند اسکن و پاک‌سازی دستی است.

اپلیکیشن‌های آلوده به Xamalicious عبارتند از:
•    Essential Horoscope for Android  با بیش از 100،000 نصب
•    3D Skin Editor for PE Minecraft  با بیش از 100،000 نصب
•     Logo Maker Pro با بیش از 100،000 نصب
•     Auto Click Repeater با 10،000 نصب
•     Count Easy Calorie Calculator با 10،000 نصب
•     Dots: One Line Connector با 10،000 نصب
•     Sound Volume Extender با 5،000 نصب

همچنین یک مجموعه جداگانه شامل 12 اپلیکیشن مخرب آلوده به Xamalicious وجود دارد که آمار دانلود آن‌ها در دسترس نیست. این اپلیکیشن‌ها از طریق فروشگاه‌های غیررسمی اپلیکیشن به صورت فایل‌های APK قابل دانلود، کاربران را آلوده می‌کنند.
Xamalicious یک بدافزار اندرویدی مبتنی بر NET. است که به صورت جاسازی شده (به شکل 'Core.dll'  و 'GoogleService.dll' ) در داخل برنامه‌های توسعه یافته با استفاده از چارچوب منبع باز  Xamarin، قرار دارد که تجزیه و تحلیل کد آن را دشوارتر می‌کند.
این بدافزار پس از نفوذ به دستگاه آسیب‌دیده، سرویس دسترسی (Accessibility Service) را درخواست می‌دهد. این مجوز به این بدافزار اجازه انجام عملیات اختصاصی مانند مخفی کردن عناصر صفحه نمایش و اختصاص مجوزهای اضافی به خود را می‌دهد. همچنین، این دسترسی بالا به بدافزار این امکان را می‌دهد که فعالیت‌های مخرب متنوعی را در دستگاه آلوده انجام دهد.
در مرحله بعد،  Xamalicious با سرور C2 (فرمان و کنترل) ارتباط برقرار کرده و در صورت تطابق با پیش‌نیازهای جغرافیایی، شبکه، تنظیمات دستگاه و وضعیت روت، دستورالعمل (DLL) مرحله دوم به نام 'cache.bin' را از سرور دریافت می‌کند.

بدافزار Xamalicious توانایی اجرای دستورات زیر را دارد:
•    DevInfo  : جمع‌آوری اطلاعات دستگاه و سخت‌افزار، شامل شناسه  Android، برند، پردازنده، مدل، نسخه سیستم‌عامل، زبان، وضعیت گزینه‌های توسعه‌دهنده، جزئیات SIM و  firmware.
•    GeoInfo : تعیین مکان جغرافیایی دستگاه با استفاده از آدرس IP، جمع‌آوری نام ISP، سازمان، خدمات و یک امتیاز برای شناسایی کاربران غیرمجاز.
•    EmuInfo : فهرست adbProperties برای اطمینان از اینکه مشتری یک دستگاه واقعی یا یک شبیه‌ساز است؛ بررسی پردازنده، حافظه، سنسورها، پیکربندی USB و وضعیت  ADB.
•    RootInfo : شناسایی اینکه دستگاه روت شده است یا خیر با استفاده از روش‌های مختلف و ارائه وضعیت روت.
•    Packages : لیست کلیه برنامه‌های سیستمی و شخصی‌سازی شده نصب شده در دستگاه با استفاده از دستورات سیستم.
•    Accessibility : گزارش وضعیت مجوزهای خدمات دسترسی.
•    GetURL : درخواست پی‌لود مرحله دوم از سرور C2 با ارائه شناسه Android و دریافت وضعیت و احتمالاً یک DLL جمع‌آوری‌شده.

همچنین McAfee ارتباطاتی بین Xamalicious و یک اپلیکیشن مخرب تبلیغاتی به نام 'Cash Magnet' پیدا کرده است، که به صورت خودکار با کلیک بر روی تبلیغات، نرم‌افزارهای تبلیغاتی را در دستگاه قربانی نصب کرده و درآمدی برای اپراتورهایش ایجاد می‌کند.
بنابراین، احتمالاً Xamalicious هم عملیات مخرب در تبلیغات را روی دستگاه‌های آلوده انجام می‌دهد که می‌تواند کارایی پردازنده و پهنای باند شبکه را کاهش دهد.
هرچند Google Play از آپلود بدافزار مصون نیست، اما تلاش‌هایی جهت شناسایی و حذف تهدیدات جدیدی که در فروشگاه اپلیکیشن ظاهر می‌شوند، انجام می‌شود، که این امر در پلتفرم‌های غیررسمی و کمتر نظارت شده اتفاق نمی‌افتد.
 

توصیه‌های امنیتی
کاربران اندروید باید از دانلود اپلیکیشن‌ها از منابع ناشناخته خودداری کنند، خود را به اپلیکیشن‌های ضروری محدود کنند، قبل از نصب، نظرات کاربران را به دقت بخوانند، و یک بررسی کلی از توسعه‌دهنده/ناشر اپلیکیشن  انجام دهند تا آلودگی به بدافزارها در دستگاه‌های تلفن همراه خود را به حداقل برسانند.
 

منبع خبر:


[1] https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times…

آسیب‌پذیری اجرای کد از راه دور در محصول DolphinScheduler آپاچی

تاریخ ایجاد

یک آسیب‌پذیری با شناسه‌ CVE-2023-49299 و شدت بالا در Apache شناسایی شده است که به‌دلیل عدم اعتبارسنجی درست ورودی، امکان اجرای کد جاوااسکریپت دلخواه (بدون sandboxed) بر روی سرور (به عنوان root)، را برای مهاجم احراز هویت شده فراهم می‌آورد.


محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache DolphinScheduler نسخه‌های قبل از 3.1.9 را تحت تأثیر قرار می‌دهد.


توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصول Apache DolphinScheduler به نسخه‌ 3.1.9 اقدام نمایند.

منبع خبر:


[1] https://lists.apache.org/thread/tnf99qoc6tlnwrny4t1zk6mfszgdsokm

کشف دو آسیب‌پذیری در نرم‌افزار آپاچی OFBiz

تاریخ ایجاد

آپاچی OFBiz مجموعه‌ای جامع از ابزارها را برای خودکارسازی فرآیندهای سازمان و تجارت الکترونیک را ارائه می‌دهد. OFBiz یک نرم‌افزار منبع باز و بخشی از بنیاد نرم‌افزاری آپاچی است و یک انتخاب برتر برای شرکت‌هایی است که به دنبال راه‌حل‌های قابل اعتماد و مقیاس‌پذیر هستند. با این حال، اخیراً دو آسیب‌پذیری امنیتی در این نرم‌افزار شناسایی شده است.
نقص اول با شناسه CVE-2023-50968، یک آسیب‌پذیری خواندن ویژگی‌های فایل و حمله SSRF است که با شدت «مهم» ارزیابی شده و امکان خواندن ویژگی‌های فایل یا امکان دسترسی غیرمجاز به جزئیات فایل را برای مهاجم فراهم می‌کند. همچنین، راه‌هایی را برای حملات SSRF باز می‌کند، به طوری‌که مهاجمان ممکن است سرور را با ارسال درخواست‌های تقلبی فریب دهند.
آسیب‌پذیری دوم با شناسه CVE-2023-51467، یک نقص اجرای کد از راه دور (RCE) است که با شدت «بحرانی» ارزیابی شده و به مهاجم اجازه اجرای کد از راه دور و بدون احراز هویت را می‌دهد و مهاجم می‌تواند کنترل سیستم را به‌ دست آورد.

محصولات آسیب‌پذیر
تمام نسخه‌های آپاچی OFBiz تا قبل از نسخه 18.12.11 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
آسیب‌پذیری‌های فوق در نسخه 18.12.11 از نرم‌افزار OFBiz وصله شده‌اند و کاربران می‌توانند سیستم‌های خود را به این نسخه به‌روزرسانی کنند.
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری‌های مطرح شده در  آپاچی OFBiz، می‌توانید اقدامات امنیتی زیر را انجام دهید:
•    به‌روزرسانی نرم‌افزار به نسخه وصله‌شده
•    پیکربندی صحیح
•    کنترل دسترسی
•    پیکربندی دیواره آتش به‌ نحوی که دسترسی به سرویس‌ها و پورت‌های غیرضروری محدود شود.

منابع خبر:


[1] https://meterpreter.org/cve-2023-51467-cve-2023-50968-critical-security-vulnerabilities-in-apache-o…
[2] https://www.cve.org/CVERecord?id=CVE-2023-51467

کشف آسیب‌پذیری SQLI در نرم‌افزار Library Management System

تاریخ ایجاد

به گفته محققان امنیتی، در نرم‌افزار Library Management System متعلق به شرکت code-projects  یک آسیب‌پذیری شناسایی شده است. این آسیب‌پذیری با شناسه CVE-2023-7111، مهاجم را قادر می‌سازد که حمله تزریق بر روی پایگاه‌داده (SQLI) را در این نرم‌افزار اجرا کند. مهاجم برای استخراج اطلاعات از پایگاه‌داده، باید تمام مراحل زیر را به صورت کامل طی کند.
•    مهاجم ابتدا باید درخواست ارسالی خود  به این نرم افزار را از یک پروکسی (Proxy) مانند burpsuit عبور دهد. این درخواست باید حاوی پارامتر category باشد. با این پارامتر، مهاجم می‌تواند پی‌لودهای SQLI خود را در پایگاه‌داده تزریق کند.

Library Management System

•    اکنون که مهاجم پارامتر آسیب‌پذیر را پیدا کرده است، با استفاده از ابزار Sqlmap و با هدف استخراج اطلاعات، اقدام به پیاده‌سازی حمله SQLI می‌کند. در ادامه، دستور استفاده شده در ابزار  Sqlmap توسط مهاجم آورده شده است. همانطور که در دستور زیر مشخص است پی‌لودهای تزریق شده بر روی پارامتر category اعمال می‌گردد. همچنین مهاجم برای دور زدن WAF از دستکاری randomcase که به طور اتفاقی، کارکترهای پی‌لود را با حروف بزرگ و کوچک در درخواست‌ها ارسال می‌کند، بهره برده است.

python sqlmap.py -r r.txt -p category --risk 3 --level 5 --threads 1 --random-agent tamper=between,randomcase --proxy="http://127.0.0.1:8080" --dbms mysql --batch --current-db

•    پس از اجرای دستور بالا، مهاجم خروجی زیر را دریافت خواهد کرد. آنچه در این خروجی برای مهاجم اهمیت دارد، نام پایگاه‌داده فعلی ( current database: 'libsystem') است.

Library Management System

•    در پایان، مهاجم با اطلاعات به دست آمده از این خروجی و استفاده از سایر تنظیمات‌ ابزار Sqlmap، می‌تواند اطلاعات این پایگاه‌داده را استخراج کند. (تنظیماتی مانند --tables و نظایر آن)
 

محصولات تحت تأثیر
به گفته محققان امنیتی، نسخه 2.0 این نرم‌افزار در معرض این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی
  شرکت توسعه دهنده این نرم‌افزار، هنوز وصله امنیتی رسمی خود را برای مقابله با این آسیب‌پذیری ارائه نکرده است. با توجه به نوع این حمله (SQLI) از جمله راهکارهای ممکن برای مقابله با آن، می‌توان به موارد زیر اشاره کرد:
•    تعریف لیست سفید/ سیاه برای ورودی‌هایی که مقادیر آن توسط کاربر مشخص می‌گردد.
•    به منظور جلوگیری از تزریق پارامترهای مخرب، باید ورودی‌هایی که کاربر در درخواست خود ارسال می‌کند، اعتبار سنجی و صحت سنجی گردد.
•    استفاده از دیواره آتش (WAF)

منابع خبر:


[1] https://www.cve.org/CVERecord?id=CVE-2023-7111
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-7111
[3] https://vuldb.com/?id.249006

کشف آسیب‌پذیری Row Hammer در پروتکل openssh

تاریخ ایجاد

به تازگی، محققان امنیتی موفق به کشف یک آسیب‌پذیری حیاتی در پروتکل openssh با شناسه CVE-2023-51767 و شدت بالا (7.0) شده‌‌‌‌‌‌‌اند. OpenSSH، مخفف Open Secure Shell، مجموعه ای از ابزارهای شبکه ایمن مبتنی بر پروتکل  (SSH (Secure Shell  است. این ابزارها، یک کانال امن را بر روی یک شبکه ناامن در معماری سرویس گیرنده-سرور فراهم می‌‌‌‌‌‌‌کنند و دسترسی و ارتباط از راه دور ایمن بین رایانه‌‌‌‌‌‌‌ها را مهیا می‌‌‌‌‌‌‌کنند. مشخص شده است که این مجموعه در برابر نوع جدیدی از حمله به نام حمله Row Hammer آسیب‌‌‌‌‌‌‌پذیر است و خطرات امنیتی قابل توجهی دارد.
حمله Row Hammer، با دسترسی مکرر به یک مکان خاص در حافظه باعث می‌شود که بیت‌های ذخیره‌شده در آنجا ناپایدار شوند. در پی آن، مهاجم قادر به خواندن اشتباه محتویات حافظه رایانه قربانی خواهد بود که می‌‌‌‌‌‌‌تواند موجب دسترسی غیرمجاز به اطلاعات حساس یا حتی کنترل کامل سیستم شود. طبق این گزارش، این آسیب‌پذیری در بخشی است که OpenSSH، رمز عبور را در احراز هویت مدیریت می‌کند. هنگامی که کاربر سعی می‌‌‌‌‌‌‌کند وارد سیستم شود، OpenSSH رمز عبور وارد شده را در حافظه ذخیره می‌‌‌‌‌‌‌کند. اگر مهاجم بداند این رمز عبور در کجای حافظه قرار دارد، می‌تواند مکرراً به آن مکان دسترسی پیدا کند و باعث شود بیت‌ها برگردند و رمز عبور را به چیز دیگری تغییر داده و به سیستم دسترسی پیدا کند، حتی اگر رمز عبور صحیح را نداند. این آسیب‌پذیری به صورت ‌ویژه نگران‌کننده است، چرا که می‌تواند توسط مهاجمی که قبلاً کاربر دارای مجوز در سیستم هدف بوده است، مورد بهره‌برداری قرار گیرد. به عبارت دیگر، مهاجم نیازی به نفوذ به سیستم ندارد و تنها لازم است در وهله اول، مجوز دسترسی به آن را داشته باشد. لذا مهاجمان از این آسیب‌پذیری در محیط‌هایی که کاربران اغلب حساب‌های کاربری را به اشتراک می‌گذارند یا مجوزهای محدودی دارند، بهره‌برداری می‌‌‌‌‌‌‌کنند.
در مخزن GitHub openssh/libopenssh، در متن فایل C به نام auth-passwd.c اشاره شده است که این فایل، بخشی  از پروژه رسمی OpenSSH است. چنانچه در متن زیر دیده می شود، این فایل شامل اجرای تابع auth_password است که مطابق زیر برای احراز هویت کاربران با استفاده از رمز عبور به کار می‌‌‌‌‌‌‌رود.

result = sys_auth_passwd(ssh, password);
OpenSSH

این خط برنامه، نتیجه فراخوانی تابع sys_auth_passwd را که در فایل دیگری به نام auth.c تعریف شده است، برمی گرداند. تابع بررسی می‌‌‌‌‌‌‌‌کند که آیا رمز عبور داده شده با رمز ذخیره شده در سیستم برای کاربر مرتبط با پارامتر authctxt مطابقت دارد یا خیر.
فایل منبع C دیگری به نام monitor.c در همان مخزن GitHub وجود دارد که شامل پیاده‌‌‌‌‌‌‌‌سازی کلاس مانیتور است که برای همگام‌‌‌‌‌‌‌‌سازی دسترسی به اشیاء در یک محیط چند‌‌‌‌‌‌‌‌رشته‌ای استفاده می‌‌‌‌‌‌‌‌شود. خط خاصی از کد که آسیب‌‌‌‌‌‌‌‌پذیری از آن استفاده می‌‌‌‌‌‌‌‌کند عبارت است از:

authenticated = mm_answer_pam_account

این خط پس از اینکه پروتکل احراز هویت، با موفقیت کاربر را تأیید کرد اجرا می‌شود. در متن زیر ساختار نمونه مانیتور نشان داده شده است که کلاسی است که دسترسی به اشیاء را در یک محیط چند رشته‌ای همگام می‌‌‌‌‌‌‌‌کند.

OpenSSH

 

محصولات آسیب‌پذیر
تمامی نسخه‌های قبل از 9.6 از این آسیب‌پذیری تأثیر می‌پذیرند.

توصیه‌های امنیتی
لازم است که تمام کاربران، هرچه سریع‌تر نسخه OpenSSH  را به نسخه 9.7 یا جدیدتر ارتقاء دهند.
 
منابع خبر:


[1] https://github.com/openssh/openssh-portable/blob/8241b9c0529228b4b86d88b1a6076fb9f97e4a99/auth-pass…
[2]https://github.com/openssh/openssh-portable/blob/8241b9c0529228b4b86d88b1a6076fb9f97e4a99/monitor.c…
[3] https://access.redhat.com/security/cve/CVE-2023-51767

 

آسیب‌پذیری در Exim با امکان ارسال پیام‌های جعلی به سرور

تاریخ ایجاد

یک آسیب‌پذیری امنیتی در Exim با شناسه CVE-2023-51766 و شدت متوسط 7.5 شناسایی شده است. این آسیب‌پذیری به مهاجمان از راه دور امکان ارسال پیام‌های ایمیل جعلی به سرور Exim را می‌دهد که منجر به دور زدن مکانیزم‌های حفاظت SPF (Sender Policy Framework) می‌شود. مشکل اصلی مربوط به یک خطا در انتهای خطوطی به غیر از <CR><LF> است. به عبارت دیگر، اگر یک سیستم، انتهای یک خط متنی را با استفاده از کاراکترهایی به جز<CR><LF>  تشخیص دهد، ممکن است تنظیمات SPF که بر اساس استانداردهای مشخص شده برای ارسال ایمیل‌ها می‌باشد، به درستی عمل نکند و مهاجم بتواند از این نقص امنیتی بهره‌برداری کند.

محصولات تحت تأثیر
این آسیب‌پذیری در Exim نسخه‌های 4.00 تا 4.97 وجود دارد.

توصیه‌های امنیتی
تا کنون راه‌حل رسمی برای این آسیب‌پذیری اعلام نشده است، بنابراین به سازمان‌ها و کاربران توصیه می‌شوند که اقدامات امنیتی را تشدید و اجرا کنند. هرچند هنوز بدافزاری برای بهره‌برداری از این آسیب‌پذیری شناخته نشده است؛ اما احتیاط و نظارت برای تحولات احتمالی توصیه می‌شود.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2023-51766
[2] https://www.cybersecurity-help.cz/vdb/SB2023122404

روش‌های دور زدن احرازهویت دو یا چند عاملی

تاریخ ایجاد

نقض‌های امنیتی قابل‌توجهی MFA (احرازهویت چند عاملی) را دور زده و احرازهویت کسب وکارها را به خطر انداخته است. SE Labs توصیه می‌کند تلاش‌های خود را برای مقابله با حملات  به سیستم‌های محافظت شده توسط (Multi-factor authentication)MFA  یا  2FA (two-factor authentication)، در پاسخ به افزایش فعالیت مهاجم برای بهره‌برداری از نقاط شکست، با اجرای سیاست قوی، محافظت قوی از end-pointih و آموزش کاربران افزایش دهید. گرچه هنوز از روش‌های قدیمی مهندسی اجتماعی، بدافزارها و فیشینگ استفاده می‌شود و بسیاری از کاربران معتقدند کهMFA  عملاً شکست‌ناپذیر است، ولی ضعیف‌ترین حلقه‌ی دفاعی در یک سازمان یا شرکت می‌باشد. MFA هنوز یکی از بهترین اقدامات امنیتی است که مردم می‌توانند از زمان اختراع رمزعبور تا کنون استفاده کنند، اما وقتی سازمان‌ها دفاع خود را با استفاده از آن تقویت می‌کنند، مهاجمان تکنیک‌ها پیچیده‌تری جهت دور زدن آن بکار می‌گیرند. بنابراین مراکز امنیتی سازمان‌ها باید به مخاطرات MFA توجه کنند و به ویژه به‌دنبال ارتقاء روش‌های احراز هویت مبتنی بر SMS باشند.
«تأیید ورود به سیستم» به روش MFA به‌دلیل انجام یک کلیک ساده، در بین کاربران بسیار محبوب است. همچنن، این روش مورد علاقه مهاجمان نیز هست. هنگامی که مهاجمان اطلاعات‌کاربری به سرقت رفته را از طریق روش‌های شناسایی خود یا خریداری از دارک وب (dark web) بدست می‌آورند، این اطلاعات را به طور مکرر وارد می‌کنند، تا زمانی که کاربری را که حواسش پرت شده یا خسته از دریافت چندین پیام است، به دام بیندازند. گاهی مهاجمان از ایمیل‌های فیشینگ استفاده می‌کنند تا کاربران غیرمحتاط را متقاعد کنند که رمزعبور یک‌بارمصرف خود را در یک وب‌سایت جعلی وارد کنند. یا حتی با به‌دست آوردن و سرقت کپی سیم‌کارت‌، به سادگی کدها را مستقیماً دریافت می‌کنند. 
روش دیگر سرقت کردن session یا کوکی است. در این روش مهاجم به هیچ وجه نیازی به شرکت در فرآیند MFA ندارد. در حالی که چندین روش مختلف برای انجام این حمله وجود دارد، با توجه به افزایش استفاده از رمزگذاری در وب‌سایت‌ها، ممکن است برای سرقت کوکی‌ها ابتدا از بدافزارها استفاده شود. هنگامی که مهاجم این اطلاعات را در اختیار داشته باشد، فقط باید منتظر بماند تا قربانی به درستی وارد سیستم شود و سپس اتصال را تصاحب کند.

منبع خبر:


https://www.helpnetsecurity.com/2023/12/26/tactics-bypass-mfa

آسیب‌پذیری‌ در D-Link و امکان افشای اطلاعات حساس

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2023-7163 و شدت بحرانی 10.0 در D-Link شناسایی شده است. این نقص امنیتی ناشی از آن است که بسیاری از سرورهای Probe جعلی و کنترل‌شده توسط مهاجم در سرور Core ایجاد می‌شوند، که رابط کاربری وب D-View 8 و مجموعه MongoDB DView8_Probe را آلوده می‌کند. اگر یک سرور Probe کنترل شده (یعنی برای کشف شبکه) توسط کاربران D-View 8 استفاده شود، اطلاعات دستگاه جعلی را می‌توان به سرور اصلی ارسال و در آن ذخیره کرد و در نتیجه امکان افشای اطلاعات و حمله انکار سرویس را برای مهاجم فراهم می‌سازد 

محصولات تحت تأثیر
این آسیب‌پذیری D-View 8 نسخه 2.0.2.89را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
هنوز راهکار امنیتی برای این آسیب‌پذیری منتشر نشده است.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-7163

کشف آسیب‌پذیری‌ در محصول Asp.Net Zero

تاریخ ایجاد

یک آسیب‌پذیری با شناسه‌ CVE-2023-48003 در Asp.Net Zero شناسایی شده است که از راه دور امکان Open Redirect از طریق تزریق HTML در پیام‌های کاربر را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند قربانیان را از طریق "<meta http-equiv="refresh" در پیام‌های WebSocket  به هر URL دلخواه هدایت کنند. هنگامی که پیام ارسال شده توسط مهاجم در داشبورد کاربر قربانی ظاهر می‌شود، امکان تغییر مسیر بدون تعامل فعال می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Asp.Net Zero نسخه‌های قبل از 12.3.0 را تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصول Asp.Net Zero به نسخه‌ 12.3.0 اقدام نمایند.

منبع خبر:


https://github.com/passtheticket/vulnerability-research/blob/main/aspnetzero_html_injection_via_web…;  

کشف آسیب‌پذیری در سرورهای SSH لینوکس

تاریخ ایجاد

سرورهای SSH لینوکس یک هدف مورد توجه برای حملات سایبری می‌باشند. این پروتکل جهت مدیریت و نگهداری سرورها ضروری است، همچنین می‌تواند برای دسترسی غیرمجاز به سرور استفاده شود. مهاجمان برای حمله به سرورهای SSH لینوکس، مراحل زیر را دنبال می‌کنند:

1. شناسایی سرورها: اولین قدم، شناسایی سرورهای SSH لینوکس است. مهاجمان می‌توانند این کار را با اسکن IP انجام دهند. اسکن IP به مهاجمان اجازه می‌دهد تا تمام سرورهایی که پورت SSH را روی آن‌ها باز کرده‌اند، شناسایی کنند.
2. جمع‌آوری مجوزها و اطلاعات حساب: پس از شناسایی سرورها، مهاجمان باید مجوزها و اطلاعات حساب SSH را برای دسترسی به آن‌ها جمع‌آوری کنند. مهاجمان می‌توانند این کار را با استفاده از حملات brute-force انجام دهند. 
     *حملات brute-force از مجموعه بزرگی از کلمات از پیش تعریف شده به عنوان رمزهای عبور احتمالی استفاده و تمام ترکیبات ممکن از رمزهای عبور را امتحان می‌کنند تا زمانی که رمز عبور صحیح پیدا شود.
3. نصب ابزارها: پس از اینکه مهاجم به سرور دسترسی پیدا کرد، ابزارهای مورد نیاز جهت انجام حمله را نصب می‌کنند. این ابزارها می‌توانند برای اهداف مختلفی مانند حدس زدن مجوزها و اطلاعات حساب، انتخاب سرورهای دیگر و راه‌اندازی استخراج ارز دیجیتال و حملات DDoS استفاده شوند.
مهاجمان می‌توانند از سرورهای SSH لینوکس برای اهداف مختلفی استفاده کنند. برخی از اهداف رایج عبارتند از:

•    سرقت اطلاعات: مهاجمان می‌توانند از سرورهای SSH جهت سرقت اطلاعات حساس مانند اطلاعات مشتری، اطلاعات مالی یا اسرار تجاری استفاده کنند.
•    انتشار بدافزار: مهاجمان می‌توانند از سرورهای SSH جهت انتشار بدافزار مانند ویروس‌ها، کرم‌ها و تروجان‌ها استفاده کنند.
•    حملات DDoS: مهاجمان می‌توانند از سرورهای SSH جهت انجام حملات DDoS استفاده کنند که به طور عمدی ترافیک شبکه را مسدود می‌کنند تا وب سایت‌ها یا خدمات آنلاین را از دسترس خارج کنند.
توصیه‌های امنیتی
جهت محافظت از سرورهای SSH لینوکس در برابر حملات سایبری، می‌توان اقدامات زیر را انجام داد:
•    استفاده از رمزهای عبور قوی: یک رمز عبور قوی باید حداقل 12 کاراکتر داشته باشد و شامل ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها باشد.
•    تغییر پورت SSH: پورت پیش فرض SSH 22 است. تغییر پورت SSH می تواند از حملات brute force جلوگیری کند زیرا مهاجمان باید پورت جدید را نیز اسکن کنند.
•    غیرفعال کردن ورود غیرمجاز کاربر با دسترسی root : کاربر با دسترسی root دارای بیشترین دسترسی در سیستم است و غیرفعال کردن ورود با دسترسی root می‌تواند از دسترسی غیرمجاز مهاجمان به سیستم جلوگیری کند.
•    استفاده از فایروال: فایروال می‌تواند جهت مسدود کردن ترافیک غیرمجاز به سرور استفاده شود.

منبع‌خبر:


https://thehackernews.com/2023/12/warning-poorly-secured-linux-ssh.html