به دنبال انتشار اسکرین شات‌‌‌‌‌های گروه باج‌افزار ALPHV که داده‌‌‌‌‌های سرقت شده را نشان می‌‌‌‌‌دهد، سرویس جهانیHTC ، یک شرکت مشاوره فناوری اطلاعات و کسب و کار، نقض امنیت سایبری را تایید کرده است. این شرکت، فناوری و راه‌‌‌‌‌حل‌‌‌‌‌های تجاری را برای بخش‌‌‌‌‌های مختلف از جمله مراقبت‌‌‌‌‌های بهداشتی، خودروسازی، تولید و مالی ارائه می‌‌‌‌‌دهد.
در زمان انتشار این خبر، هنوز شرکت HTC به طور رسمی این حادثه را در وب سایت خود اعلام نکرده است، اما آنها حمله سایبری را از طریق یک توییت تأیید کردند و بر تحقیقات مداوم و تلاش‌‌‌‌‌های خود برای محافظت از داده‌‌‌‌‌های کاربران تأکید کردند.
گروه باج‌افزار ALPHV (BlackCat) که نام HTC را در فهرست سایت‌‌‌‌‌های تحت حمله خود اضافه کرده است، نشت داده‌‌‌‌‌های حساس زیر را اعلام نموده است:
•    گذرنامه‌‌‌‌‌ها
•    لیست‌‌‌‌‌های تماس
•    ایمیل‌‌‌‌‌ها
•    اسناد محرمانه
با این وجود هنوز هیچ جزئیاتی در مورد ماهیت حمله یا تعداد افراد آسیب دیده فاش نشده است.
چنین حمله‌ای پس از آن صورت می‌‌‌‌‌گیرد که یکی از زیرمجموعه‌‌‌‌‌های وابسته به ALPHV/BlackCat ادعا کرد که به ارائه‌‌‌‌‌دهنده نرم‌افزار حسابداری Tipalti نفوذ کرده است. گروه Scattered Spider یکی دیگر از زیرمجموعه‌‌‌‌‌های ALPHV/BlackCat نیز اخیراً در حمله‌‌‌‌‌ای که شامل رمزگذاری بیش از 100 هایپروایزر VMware ESXi بود، شرکت MGM Resorts را به خطر انداخت.

محصولات تحت تاثیر
سرویس جهانی HTC در حمله اخیر مورد تهاجم قرار گرفته است. گمان می‌‌‌‌‌رود که HTC احتمالاً از طریق آسیب‌‌‌‌‌پذیری Citrix Bleed مورد حمله قرار گرفته است، به ویژه آنکه در واحد تجاری CareTech این شرکت، یک دستگاه حساس Citrix Netscaler وجود دارد.
 

توصیه‌های امنیتی
هنوز راه نفوذ و ابعاد حمله اخیر گروه ALPHV/BlackCat به شرکت HTC اعلام نشده است، اما حملات اخیر این گروه، اهمیت توجه به روش‌‌‌‌‌های کاری آنها، جهت جلوگیری از حملات مشابه به سایر سازمان‌‌‌‌‌ها را نشان می‌‌‌‌‌دهد.

منابع خبر:

[1] https://www.scmagazine.com/brief/cyberattack-disclosed-by-htc-global-services-following-alphv-black…
[2] https://beyondmachines.net/event_details/htc-global-services-reports-cyberattack-data-leaked-online…

وردپرس نسخه 6.4.2 را با هدف حل یک آسیب‌پذیری اجرای کد از راه دور (RCE) منتشر کرد. هنگامی که این آسیب‌پذیری با نقص دیگری ترکیب شود، می‌تواند مهاجمان را قادر سازد تا کدهای PHP دلخواه را در وب‌سایت مورد نظر اجرا کنند. وردپرس یک سیستم مدیریت محتوای متن باز (CMS) بسیار محبوب است که جهت ایجاد و مدیریت وب‌سایت‌ها استفاده می‌شود. در حال حاضر بیش از 800 میلیون سایت از وردپرس استفاده می‌کنند که شامل حدود 45 درصد از کل سایت‌های موجود در اینترنت می‌باشد.
تیم امنیتی این پروژه یک آسیب‌پذیری را در هسته 6.4 وردپرس شناسایی کرد که به عنوان یک نقص زنجیره‌ای برنامه‌نویسی مبتنی بر ویژگی (POP) شناخته می‌شود. تحت شرایط خاص، این آسیب‌پذیری پتانسیل اجرای کد PHP دلخواه را دارد.
برای بهره برداری از این نقص امنیتی، باید یک آسیب‌پذیری تزریق شی PHP در سایت مورد نظر وجود داشته باشد. این نقص ممکن است در یک پلاگین، افزونه تم یا مؤلفه دیگر پیدا شود و بهره‌برداری از آن می‌تواند منجر به ایجاد مخاطرات جدی شود.Wordpress  نیز اشاره کرده است: «یک آسیب‌پذیری Remote Code Execution مستقیماً در هسته قابل بهره‌برداری نیست. با این حال، تیم امنیتی احساس می‌کند که هنگام ترکیب با برخی از افزونه‌ها، به‌ویژه در نصب‌های چند سایتی، پتانسیل بالایی وجود دارد.» 
این نقص امنیتی در کلاس «WP_HTML_Token» وجود دارد که در وردپرس 6.4 جهت بهبود تجزیه HTML در ویرایشگر بلوک معرفی شده است. کلاس حاوی یک متد "__destruct" می‌باشد که از"call_user_func" جهت اجرای یک تابع تعریف شده در ویژگی "on_destroy" با "bookmark_name" به عنوان آرگومان استفاده می‌کند. مهاجمی که از یک آسیب‌پذیری تزریق شی بهره‌برداری می‌کند، می‌تواند بر روی این ویژگی‌ها برای اجرای کد دلخواه کنترل داشته باشد.
 

تخریبگر کلاس که به صورت شرطی یک تابع callback را اجرا می کند

توصیه‌های امنیتی
محققان ضمن تأیید شدت بالقوه آسیب‌پذیری که می‌تواند تحت شرایط خاص مورد بهره‌برداری قرار گیرد، به مدیران توصیه می‌کنند که سایت خود را به آخرین نسخه وردپرس(نسخه 6.4.2) به‌روزرسانی کنند.

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/wordpress-fixes-pop-chain-exposing-websites-to-rce-a…;
[2]https://wordpress.org/documentation/wordpress-version/version-6-4-2/ 
[3]https://www.wordfence.com/blog/2023/12/psa-critical-pop-chain-allowing-remote-code-execution-patche…;

مهاجمان می توانند از خدمات رمز امنیتی وب سرویس‌های آمازون (AWS STS) به عنوان راهی جهت نفوذ به حساب‌های ابری و انجام حملات خود بهره‌بردرای کنند. به گفته محققان این سرویس، مهاجمان را قادر می‌سازد تا هویت و نقش‌های کاربر را در محیط‌های ابری جعل کنند. AWS Security Token Service (STS) یک سرویس مبتنی بر وب است که به کاربران اجازه می‌دهد تا اعتبارنامه‌های موقت و با امتیاز محدود را درخواست کنند. این امر به کاربران امکان می‌دهد بدون نیاز به ایجاد هویت مجزای AWS به منابع AWS دسترسی داشته باشند. توکن های STS صادر شده توسط این سرویس برای مدت زمانی بین 15 دقیقه تا 36 ساعت معتبر باقی می‌مانند. 
مهاجمان این توانایی را دارند که با استفاده از تکنیک‌های متنوعی مانند نفوذ بدافزار، افشای اعتبارنامه‌ها در معرض عموم و ایمیل‌های فیشینگ فریبنده، توکن‌های طولانی مدت IAM (مدیریت هویت و دسترسی) را به سرقت ببرند. متعاقباً، این توکن‌های به سرقت رفته برای تعیین نقش‌ها و امتیازات مرتبط با آن‌ها از طریق فراخوان‌های API مورد بهره‌برداری قرار می‌گیرند.
به گفته محققان امنیتی، بسته به سطح مجوز توکن، ممکن است مهاجمان بتوانند از آن جهت ایجاد کاربران IAM اضافی با توکن‌های بلندمدت AKIA استفاده کنند تا در صورت کشف توکن اولیه AKIA و تمام توکن‌های کوتاه‌مدت ASIA که تولید کرده است، شناسایی و باطل ‌شوند. در مرحله بعدی، یک توکن STS تأیید شده توسط MFA جهت تولید چندین توکن کوتاه مدت جدید استفاده می‌شود.

توصیه‌های امنیتی
به کاربران توصیه می‌شود ثبت داده‌های رویداد CloudTrail را فعال کنند، رویدادهای role-chaining و روش‌های بهره‌برداری از احراز هویت چند عاملی (MFA) را شناسایی و به‌طور منظم کلیدهای دسترسی را برای کاربران طولانی‌مدت IAM به‌روزرسانی کنند.

منبع خبر:

https://thehackernews.com/2023/12/alert-threat-actors-can-leverage-aws.html 

جدیدترین نوع بات‌نت P2Pinfect اکنون بر روی آلوده کردن دستگاه‌هایی با پردازنده‌های 32 بیتی MIPS (Microprocessor without Interlocked Pipelined Stages) مانند روترها و دستگاه‌های IoT تمرکز کرده‌ است. تراشه‌های MIPS به دلیل عملکرد موثر و طراحی ساده به طور گسترده در سیستم‌هایی مانند روترها، residential gateways و کنسول‌های بازی ویدئویی استفاده می‌شوند. P2Pinfect در جولای 2023 به عنوان یک Worm جدید مبتنی بر Rust کشف شد که سرورهای Redis آسیب‌پذیر به نقص امنیتی با شناسه  CVE-2022-0543 را مورد هدف قرار می داد.
آخرین حملات مشاهده شده بر روی هانی‌پات‌های Cado، سرورهای SSH را که از اعتبارنامه‌های ضعیف استفاده می‌کنند، اسکن کرده و سعی می‌کنند یک فایل باینری طراحی شده برای معماری MIPS را از طریق SFTP و SCP آپلود کنند. تجزیه و تحلیل‌ها نشان می‌‎دهد که P2Pinfect جدید، یک فایل باینری ELF 32 بیتی بدون اطلاعات اشکال‌زدایی است که دارای یک DLL ویندوز 64 بیتی است. این DLL به عنوان یک ماژول قابل بارگیری برای Redis عمل می‌کند و این قابلیت را برای بدافزار فراهم می‌کند تا دستورات پوسته (shell command) را بر روی میزبان در معرض خطر اجرا کند. ELF (فرمت اجرایی و پیوندپذیر) یک فرمت فایل رایج برای فایل‌های اجرایی، کتابخانه‌های مشترک و حتی حذف‌ هسته(core) در سیستم‌عامل‌های شبه یونیکس است.
 

 Windows که در آن فایل باینری قابل اجرا جاسازی شده است

جدیدترین نوع P2Pinfect مکانیسم‌های فرار پیچیده و چندوجهی را پیاده‌سازی می‌کند که تشخیص و تجزیه و تحلیل آن را بسیار چالش‌برانگیزتر می‌کند. توسعه مداوم P2Pinfect و گسترش هدف گذاری بدافزار نشان دهنده سطح بالایی از مهارت های کدنویسی و عزم نویسندگان آن است. در حال حاظر هدف اصلی از توسعه آن نامشخص است ولی این اهداف می‌تواند شامل استخراج ارزهای دیجیتال، راه اندازی حملات منع سرویس توزیع‌شده (DDoS)، تسهیل پروکسی ترافیک و سرقت داده باشد.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/stealthier-version-of-p2pinfect-malware-targets-mips…
[2]https://thehackernews.com/2023/12/new-p2pinfect-botnet-mips-variant.html 

آسیب‌پذیری با شناسه CVE-2023-20275، شدت متوسط و امتیاز 4.1 در ویژگی  AnyConnect SSL VPN نرم‌افزار Cisco Adaptive Security Appliance و Cisco Firepower Threat Defense  شناسایی شده است. این آسیب‌پذیری ناشی از یک نقص در فرآیند اعتبارسنجی آدرس IP منبع داخلی بسته‌ها پس از رمزگشایی است، که به یک مهاجم اجازه می‌دهد با ارسال بسته‌های جعلی با آدرس IP دلخواه از طریق تونل، از این آسیب‌پذیری بهره‌برداری کند.

محصولات تحت تأثیر
محصولات زیر تحت تأثیر این آسیب‌پذیری قرار دارند:
•    Cisco Adaptive Security Appliance (ASA)
•    Cisco Firepower Threat Defense (FTD)
آسیب‌پذیری فوق تنها  زمانی محصولات نام برده را تحت تأثیر قرار می‌دهد که ویژگی AnyConnect SSL VPN در آنها فعال باشد. اما خود ویژگی AnyConnect clientless SSL VPN تحت تأثیر این آسیب‌پذیری قرار ندارد.
برای تشخیص اینکه آیا AnyConnect SSL VPN در Cisco ASA Software فعال است یا خیر؟ از دستور show running-config webvpn در حالت privileged EXEC استفاده می‌شود. شکل زیر، خروجی این دستور را برای دستگاهی نشان می‌دهد که این ویژگی در آن فعال است:
 

 تشخیص فعال بودن ویژگی AnyConnect SSL VPN در Cisco ASA Software

توصیه‌های امنیتی
برای رفع این آسیب‌پذیری، سیسکو نسخه‌هایی برای به‌روزرسانی نرم‌افزارهای تحت تأثیر منتشر کرده است که مشکلات امنیتی مرتبط با این آسیب‌پذیری را حل می‌کند. برای دریافت به‌روزرسانی محصولات، به سایت سیسکو مراجعه نمایید.

منبع خبر:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-…

CISA در خصوص بهره‌برداری مهاجمان از یک آسیب‌پذیری مهم در Adobe ColdFusion با شناسه CVE-2023-26360 و شدت 9.8 برای دسترسی اولیه به سرورهای هشدار داد. نقص امنیتی امکان اجرای کد دلخواه را بر روی سرورها را فراهم می‌کند. سرورها به همراه نسخه‌های آسیب‌پذیر به شرح ذیل می‌باشد:

•    Adobe ColdFusion 2018 Update 15 and older
•    Adobe ColdFusion 2021 Update 5 and earlier

طبق گزارش CISA، مهاجمان با استفاده از دستورات HTTP POST که به مسیر دایرکتوری مرتبط با ColdFusion هدایت می‌شوند، از این آسیب‌پذیری جهت استقرار بدافزار بهره‌برداری می‌کنند. مهاجمان یک فرآیند کامل را به همراه ارزیابی‌های شبکه انجام دادند. متعاقباً، آن‌ها یک پوسته وب (web shell) به نام "config.jsp" را جاسازی کردند که به آن‌ها امکان تزریق کد به فایل پیکربندی ColdFusion و بازیابی اعتبارنامه‌ها را می‌دهد. اقدامات آن‌ها شامل حذف فایل‌های مورد استفاده در حمله جهت پنهان کردن ردپای خود بود و همچنین فایل‌هایی را در دایرکتوری C:\IBM تولید کردند تا عملیات مخرب را بدون شناسایی فعال کنند. در موردی دیگر ، مهاجمان اطلاعات حساب کاربری را قبل از استقرار یک فایل متنی جمع آوری کردند که پس از رمزگشایی، خود را به عنوان یک تروجان دسترسی از راه دور به نام "d.jsp" نشان می‌دهد. پس از آن، تلاش برای استخراج فایل‌های رجیستری و جزئیات مدیریت حساب امنیتی (SAM) انجام می‌‌‌‌شد. 
 

ابزارهایی که مهاجم در اولین حمله استفاده کرده است

توصیه‌های امنیتی
جهت کاهش مخاطرات ناشی از این نقص امنیتی، شرکت CISA ارتقاء ColdFusion را به آخرین نسخه موجود، اعمال تقسیم‌بندی شبکه، راه‌اندازی فایروال یا WAF و اجرای سیاست‌های signed software execution  توصیه می‌کند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/hackers-breach-us-govt-agencies-using-adobe-coldfusi…;

طبق تحقیقات اخیر چند نقص نرم‌افزاری در سنسور اثر انگشت دستگاه‌ها شناسایی شده است تا مهاجمان صفحه Windows Hello authentication را دور زده و به محیط شخصی کاربر دست پیدا کنند. این تحقیقات نشان می‌دهند چیپست Match on Chip (MoC) که در سنسور‌ اثر انگشت شرکت‌های‌ Goodix، Synaptics و ELAN به کار رفته‌اند، دارای این نقص نرم‌افزاری هستند. این سنسورها در لپ‌تاپ‌های Dell Inspiron 15، Lenovo ThinkPad T14 و Microsoft Surface Pro X به کار گرفته شده‌اند. محققین درباره این نقص نرم‌افزاری اذعان داشتند: «چیپست MoC باید موجب جلوگیری از ایجاد تغییرات در اثر انگشت ذخیره شده در حافظه گردد، در واقع این چیپست باید موجب شود تا اثر انگشت فقط از حسگر اصلی دریافت و با اثر انگشت ذخیره شده در پایگاه داده حسگر تطبیق داده شود. این چیپست باید از دریافت اثرانگشت از هر حسگر دیگری جلوگیری کند که متاسفانه MoC به دلیل وجود این نقص نرم‌افزاری، در انجام این عمل ناتوان است. همچنین MoC قابلیت جلوگیری از به اشتراک گذاشتن داده رد و بدل شده بین پایگاه داده و حسگر را ندارد.» نقص فنی در سنسور‌های ELAN به صورت زیر آمده است:
•    آسیب‌پذیری در برابر جعل اثر انگشت ناشی از عدم پشتیبانی (SDCP) و منتقل کردن شناسه‌های امنیتی به صورت متن واضح (clear text).
•    ELAN اجازه می‌دهد تا دستگاه‌های متصل به درگاه USB خود را به عنوان سنسور اثرانگشت معرفی کند.

نقص فنی در سنسورهای synaptics به صورت زیر عمل می‌کند:
•    پشتیبانی از حالت (SDCP) به صورت پیش‌فرض غیر فعال است.
•    استفاده از پروتوکل Transport Layer Security (TLS) جهت جلوگیری از حملات احتمالی و محافظت از اطلاعات رد و بدل شده بین حسگر و داده‌های ذخیره شده مربوطه.

سنسور Goodix با داشتن پایگاه‌داده‌های متفرق از یکدیگر و پشتیبانی ازسیستم‌عامل‌های ویندوز و لینوکس، از امنیت بالاتری برخوردار بوده و توانایی انجام عملیات زیر را خواهد داشت:

•    Boot to Linux.
•    Enumerate valid IDs.
•    Enroll attacker's fingerprint using the same ID as a legitimate Windows user.
•    MitM the connection between the host and sensor by leveraging the cleartext USB communication.
•    5-Boot to Windows.
•    Intercept and rewrite the configuration packet to point to the Linux DB using our MitM.
•    Login as the legitimate user with attacker's print.

نقص فنی در سنسورهای Goodix به صورت زیر عمل می‌کند:
•    اگر میزبان پکت ناشناسی را به سنسور ارسال کند، می‌توان مشخص کرد که سنسور از چه پایگاه‌داده‌ای هنگام تشخیص اثرانگشت  استفاده کند.

توصیه‌های امنیتی
•     کمپانی‌های سازنده پروتکل (SDCP) را به صورت پیش‌فرض در پایگاه‌داده خود فعال بگذارند.
•     کمپانی‌ها از صحت کارکرد حسگر‌ها توسط کارشناسان مجرب اطمینان حاصل کنند.

منبع خبر :

https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html

آسیب‌پذیری‌های جدیدی در روترهای Sierra OT/IoT کشف شده‌اند که می‌توانند زیرساخت‌های حیاتی را تهدید کنند. این آسیب‌پذیری‌ها شامل موارد زیر می‌باشند:
•    اجرای کد از راه دور
•    دسترسی غیرمجاز
•    اسکریپت‌نویسی بین‌سایتی
•    دور زدن فرایند احراز هویت
•    انجام حملات منع سرویس

این روترها به دلیل پشتیبانی از چندین شبکه و عملکرد 3G/4G/5G، در زمینه‌های صنعتی مورد توجه قرار گرفته‌اند. همچنین، این روترها به دلیل استفاده از WiFi با سرعت بالا، در زمینه‌های صنعتی مورد توجه قرار گرفته‌اند. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان جهت کنترل روترها و دسترسی به شبکه‌های داخلی استفاده شوند. به عنوان مثال، مهاجم می‌تواند از آسیب‌پذیری اجرای کد از راه دور جهت بارگذاری کد مخرب در روتر استفاده کند. این کد مخرب می‌تواند برای انجام اقدامات مخرب مانند کنترل روتر، سرقت داده‌ها یا ایجاد اختلال در شبکه استفاده شود.
از بین مشکلات امنیتی کشف شده، فقط یک آسیب‌پذیری با شدت بحرانی (امتیاز CVSS 9.8) وجود دارد. هشت آسیب‌پذیری دیگر با شدت بالا (امتیاز CVSS 7.5 تا 8.4) و دوازده آسیب‌پذیری دیگر با شدت متوسط (امتیاز CVSS 4.3 تا 6.9) شناسایی شده‌اند.

•    CVE-2023-41101 (اجرای کد از راه دور در OpenDNS - شدت بحرانی 9.6)
•    CVE-2023-38316 (اجرای کد از راه دور در OpenDNS - شدت بالا 8.8)
•    CVE-2023-40463 (دسترسی غیرمجاز در ALEOS - شدت بالا 8.1)
•    CVE-2023-40464 (دسترسی غیرمجاز در ALEOS - شدت بالا 8.1)
•    CVE-2023-40461 (اسکریپت‌نویسی بین‌سایتی در ACEmanager - شدت بالا 8.1)
•    CVE-2023-40458 (حمله منع سرویس در ACEmanager - شدت بالا 7.5)
•    CVE-2023-40459 (حمله منع سرویس در ACEmanager - شدت بالا 7.5)
•    CVE-2023-40462 (حمله منع سرویس در ACEmanager مرتبط با TinyXML - شدت بالا 7.5)
•    CVE-2023-40460 (اسکریپت‌نویسی بین‌سایتی در ACEmanager - شدت بالا 7.1)

احتمال بهره‌برداری بدون نیاز به تأیید اعتبار از چندین مورد از آسیب‌پذیری‌های OpenNDS وجود دارد. این احتمال به این دلیل است که سناریوهای حمله، شامل مشتریانی هستند که سعی می‌کنند به شبکه یا سرویس متصل شوند.

توصیه‌‎های امنیتی
اقدامات توصیه شده جهت محافظت از روترهای Sierra AirLink در برابر آسیب‌پذیری‌های جدید عبارتند از:
•    گواهی‌های پیش‌فرض SSL باید تغییر داده شوند.
•    سرویس‌های غیر ضروری باید غیرفعال یا محدود شوند.
•    باید یک فایروال وب در همه سازمان‌هایی که از برنامه‌های وب استفاده می‌کنند، پیاده‌سازی شود.
•    باید یک شناسه OT/IoT-aware جهت نظارت بر ترافیک شبکه نصب شود.

منبع‌خبری:

https://www.bleepingcomputer.com/news/security/sierra-21-vulnerabilities-impact-critical-infrastruc…

چندین برنامه‌های مخرب اندروید که حاوی بدافزار می‌باشند در Google Play یافت شده است و نزدیک به 10 میلیون بار بر روی دستگاه‌های تلفن همراه نصب شده‌اند. این برنامه‌ها به عنوان ابزارهای ویرایش تصویر، صفحه کلید مجازی، بهینه‌ساز سیستم و موارد دیگر ظاهر می‌شوند. اما در واقعیت هدف آن‌ها ارسال تبلیغات مزاحم، اشتراک کاربران در خدمات ویژه و حتی سرقت حساب‌های شبکه اجتماعی کاربران است. این برنامه‌های مخرب توسط تیم آنتی‌ویروس Dr. Web کشف شده‌اند. گوگل اکثر برنامه‌های ارائه شده را حذف کرده است، اما همچنان برنامه‌های مخرب قابل دانلود و نصب در Google Play وجود دارند. باید توجه داشت  اگر برنامه‌ای بر روی دستگاه نصب شده است، باید آن‌ها را به صورت دستی از دستگاه حذف کرد و یک اسکن آنتی‌ویروس جهت بررسی برای هر گونه آثار مخرب از دستگاه انجام شود.
این برنامه‌ها از کاربران می‌خواهند که خود را به لیست صرفه‌جویی در مصرف انرژی اضافه کنند. همانطور که در شکل زیر مشاهده می‌کنید، این امر موجب خواهد شد که حتی پس از بسته شدن برنامه توسط کاربر، برنامه مخرب به کار خود ادامه دهد و در پس‌زمینه فعالیت کند.

برنامه‌های مخرب و درخواست مجوز برای حذف از لیست صرفه‌جویی در باتری

این برنامه‌های مخرب تلاش می‌کنند تا نماد‌های خود را از صفحه برنامه‌ها (app drawer) پنهان کنند یا خود را با نمادهای مهم سیستم مانند "SIM Toolkit" جایگزین کنند. این اقدام به منظور عدم شناسایی توسط کاربران و ابزارهای امنیتی انجام می‌شود.

تلاش برای فریب کاربران با جایگزینی نماد

برنامه‌های مخرب دیگری هم شناسایی شده‌اند که با نصب آن‌ها، کاربران بطور ناخواسته و بدون اطلاع، به خدمات پرداختی اشتراک متصل می‌شوند. این اشتراک باعث کسر هزینه‌هایی از موبایل کاربران می‌شود.

 دو نمونه از برنامه‌های مخرب در Play Store

سرقت اطلاعات کاربری فیسبوک توسط ویرایشگر تصویر محبوب 

توصیه‌های امنیتی
برنامه‌های مخرب اندروید همیشه راهی برای ورود به Google Play پیدا می‌کنند و گاهی ممکن است این برنامه‌ها برای ماه‌ها در آن‌جا بمانند. بنابراین، نباید به راحتی به هیچ برنامه‌ای اعتماد کرد. همچنین جهت کاهش اثر این تهدیدات، رعایت نکات زیر توصیه شده است:
•    نظرات و امتیازات کاربران بررسی شود.
•    وب‌سایت توسعه‌دهنده دیده شود.
•    سیاست حفظ حریم خصوصی خوانده شود.
•    در هنگام نصب به مجوزهای درخواستی توجه شود.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-android-malware-apps-installed-10-million-times-…

به دنبال کشف مجموعه‌‌‌‌‌‌‌‌ای از آسیب‌‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌‌های مختلف در سیستم عامل SUSE،  نسخه به‌‌‌‌‌‌‌‌روز شده هسته این سیستم‌عامل با شناسه اعلامی SUSE-SU-2023:4654-1 منتشر گردید.
مجموعه آسیب‌‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌‌های زیر در نسخه جدید برطرف شده است:
•    CVE-2022-23820: شکست در تأیید اعتبار بافر ارتباطی AMD SMM ممکن است به مهاجم اجازه دهد تا SMRAM را خراب کند که به طور بالقوه منجر به اجرای کد دلخواه می‌‌‌‌‌‌‌‌شود.
•    CVE-2021-46774: عدم اعتبارسنجی درست ورودی در ABL ممکن است یک مهاجم را قادر به نوشتن دلخواه DRAM کند که به طور بالقوه منجر به اجرای کد و افزایش سطح دسترسی می‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20533: اعتبار سنجی ناکافی آدرس DRAM در واحد مدیریت سیستم ( SMU) ممکن است به مهاجمی که از DMA استفاده می‌‌‌‌‌‌‌‌کند اجازه دهد از/به آدرس DRAM نامعتبر بخواند/بنویسد و منجر به انکار سرویس شود.
•    CVE-2023-20519: یک آسیب‌پذیری Use-After-Free در مدیریت یک صفحه محتوای SNP guest ممکن است به یک هایپرویزور مخرب اجازه دهد تا به عنوان عامل مهاجرت guest ظاهر شود و منجر به از دست دادن یکپارچگی guest شود.
•    CVE-2023-20566: اعتبارسنجی نامناسب آدرس در ASP با SNP فعال ممکن است به طور بالقوه به مهاجم اجازه دهد یکپارچگی حافظه guest را به خطر بیندازد.
•    CVE-2023-20521 : TOCTOU در بارگذار بوت ASP ممکن است به مهاجمی با دسترسی فیزیکی اجازه دهد تا پس از تأیید محتوای حافظه، رکوردهای SPI ROM را دستکاری کند، و منجر به از دست دادن محرمانگی یا انکار سرویس ‌‌‌‌‌‌‌‌شود.
•    CVE-2021-46766: پاک‌‌‌‌‌‌‌‌سازی نادرست داده‌‌‌‌‌‌‌‌های حساس در بارگذار بوت ASP ممکن است کلیدهای مخفی را در معرض دید یک مهاجم قرار دهد که به ASP SRAM دسترسی دارد و منجر به از دست رفتن محرمانگی ‌‌‌‌‌‌‌‌شود.
•    CVE-2022-23830: هنگامی‌‌‌‌‌‌‌‌که SNP فعال است ممکن است پیکربندی SMM، همانطور که در نظر گرفته شده است، تغییرناپذیر نباشد و منجر به از دست دادن یکپارچگی حافظه guest ‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20526: عدم اعتبارسنجی درست ورودی در بارگذار بوت ASP ممکن است یک مهاجم با دسترسی فیزیکی را قادر سازد تا محتویات حافظه ASP را در معرض دید قرار دهد و به از دست دادن محرمانگی منجر ‌‌‌‌‌‌‌‌شود.
•    CVE-2021-26345: عدم اعتبارسنجی مقدار در APCB ممکن است به مهاجمی که دسترسی فیزیکی دارد، اجازه دهد تا رمز APCB را دستکاری کند تا شرایط خواندن حافظه خارج از محدوده را فراهم آورد و در نهایت منجر به انکار سرویس ‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20592: مشکل با دستورالعمل INVD با نام CacheWarpAttack (bsc#1215823).

توصیه‌های امنیتی
کاربران سیستم‌‌‌‌‌‌‌‌عامل SUSE در اولین فرصت هسته سیستم‌‌‌‌‌‌‌‌عامل خود را به نسخه جدید ارتقاء دهند.

منبع خبر:

[1] https://linuxsecurity.com/advisories/suse/suse-2023-4654-1-important-kernel-firmware-fbjynlcvckgs