شرکت Veeam چند به‌روزرسانی امنیتی برای برطرف کردن چهار نقص امنیتی در پلتفرم ONE IT monitoring and analytics خود منتشر کرد که دو تا از آن‌ها دارای شدت بحرانی می‌باشند. آسیب‌پذیری با شناسه CVE-2023-38547 و امتیاز 9.9 در سیستم CVSS v3.1 به مهاجمان اجاز می‌دهد بدون تصدیق هویت اطلاعاتی در مورد اتصال SQL server به دست آورند که Veeam ONE از آن برای دسترسی به پایگاه داده پیکربندی خود استفاه می‌کند. این نقص می‌تواند در نهایت منجر به اجرای کد از راه دور در سرور SQL شود که پایگاه داده پیکربندی در آن میزبانی می‌شود. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. آسیب‌پذیری با شناسه CVE-2023-38548 و شدت 9.8 در سیستم CVSS v3.1 به یک کاربر غیر مجاز که به  Veeam ONE Web Client دسترسی دارد اجازه می‌دهد هش NTLM حساب کاربری استفاده شده توسط Veeam ONE Reporting Service را به دست آورد. این آسیب‌پذیری نسخه 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. آسیب‌پذیری باشناسه CVE-2023-38549 و شدت 4.5 در سیستم CVSS v3.1 در Veeam ONE کشف شده که به یک کاربر با نقش Veeam ONE Power User اجازه دسترسی به توکن یک کاربر با نقش Veeam ONE Administrator از طریق بهره‌برداری از XSS را می‌دهد. بهره‌برداری از این آسیب‌پذیری نیاز به تعامل کاربری با نقش Veeam ONE Administrator دارد. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد.
آسیب‌پذیری با شناسه CVE-2023-41723 و شدت 4.3 در سیستم CVSS v3.1 به یک کاربر با نقش  Veeam ONE Read-Only اجازه مشاهده Dashboard Schedule را می‌دهد. این آسیب‌پذیری نسخه‌های 11، 11a و 12 نرم‌افزار Veeam ONE را تحت تاثیر قرار می‌دهد. در طی ماه‌های گذشته نیز برخی نقص‌های امنیتی بحرانی در نرم‌افزار Veeam backup توسط مهاجمان برای انتشار بدافزار مورد سوء استفاده قرار گرفته است. کاربرانی که از نسخه‌های آسیب‌پذیر استفاده می‌کنند بهتر است سرویس‌های Veeam ONE Monitoring and Reporting را متوقف کرده، و فایل‌های hotfix منتشر شده را نصب نمایند.

روش برطرف سازی
یک hotfix برای برطرف کردن این آسیب‌پذیری‌ها در نسخه‌های زیر در دسترس است:

منابع خبر

گروه Jamf Threat Labs اعلام کرده است که براساس تحقیقات به عمل آمده، احتمالاً بدافزار objCSshell که برای هک ماشین های macOS به کار رفته است، توسط گروه هکری BlueNoroff منتشر شده است. گفته می شود این ابزار بخشی از کمپین بدافزار RustBucket است که در اوایل سال جاری میلادی کشف شده است.
طبق اعلام این گروه، به نظر می رسد بدافزار کشف شده جدید، یک جزء مرحله آخر از یک مجموعه بدافزار چند مرحله ای است که از طریق حملات مهندسی اجتماعی به دست قربانیان رسیده است. برای این منظور قربانیان با مواردی نظیر ارائه مشاوره سرمایه گذاری و یا شغل، اغوا شده و سپس به کمک یک فایل آلوده، زنجیره آلودگی آغاز می شود.
بدافزار ObjCSshellz، همانطور که از نامش پیداست، به زبان Objective-C نوشته شده است و به عنوان یک پوسته راه دور که دستورات شل ارسال شده از سرور مهاجم را اجرا می کند، عمل می کند. این ابزار در عین سادگی، دارای توانمندی های کاربردی بالا برای کمک به مهاجمان است.
انتشار این خبر تنها به فاصله چند روز از اعلام آزمایشگاه‌های امنیتی Elastic صورت پذیرفت که اعلام کرده بود Lazarus از یک بدافزار جدید در macOS به نام KANDYKORN جهت حمله به مهندسان بلاک چین استفاده کرده است. گروه BlueNoroff از زیرمجموعه های گروه Lazarus است.  انتشار یک بدافزار macOS دیگر به نام RustBucket که در واقع یک درپشتی مبتنی بر AppleScript بوده و مسئول انتقال فایل به سیستم قربانی از سرور کنترل شده توسط هکر است، نیز به همین عامل تهدید نسبت داده شده است.
در تحقیات انجام شده، هنوز جزئیاتی در مورد اینکه این بدافزار رسماً علیه چه کسانی استفاده شده است، به دست نیامده است. اما با توجه به حملاتی انجام شده و نام دامنه مورد استفاده مهاجمان، احتمالاً این بدافزار علیه شرکت هایی استفاده شده است که در صنعت ارزهای دیجیتال کار می کنند یا با چنین شرکت هایی همکاری نزدیک دارند. محققان امنیتی SentinelOne، بر این باورند که با توسعه و به اشتراک گذاری بیشتر ابزارهای جدید توسط گروه هایی نظیر 3CX و JumpCloud، افزایش کمپین‌های بدافزار macOS اجتناب‌ناپذیر است.
با توجه به استفاده مهاجمان از حملات مهندسی اجتماعی برای ایجاد زنجیره آلودگی، استفاده از دوره های بازآموزی برای آموزش پرسنل شرکت ها، ضروری است. غیرفعال کردن تبلیغات pop up در مرورگرها، تقویت قوانین دیواره آتش و نصب و بروزرسانی وصله های امنیتی و آنتی ویروس در سیستم های کاربران نیز برای جلوگیری از چنین حملاتی، موثر می باشد.
منابع خبر

یک آسیب‌پذیری با شدت متوسط (6.8) و شناسه CVE-2023-20042، در AnyConnect SSL VPN نرم‌افزار Cisco Adaptive Security Appliance (ASA) و نرم‌افزار Cisco Firepower Threat Defense (FTD) شناسایی شده است. این آسیب‌پذیری به طور بالقوه می‌تواند یک مهاجم از راه دور را قادر به انجام حمله منع سرویس (DoS) کند. وصله‌های نرم‌افزاری سیسکو برای رفع این مشکل در دسترس قرار گرفته است.
نقص پیاده‌سازی در فرآیند مدیریت سشن SSL/TLS که می‌تواند تحت شرایط خاصی از انتشار کنترل کننده نشست جلوگیری کند، علت این آسیب‌پذیری بیان شده است. مهاجم ممکن است از این آسیب‌پذیری بهره‌برداری کرده و با ارسال ترافیک SSL/TLS جعلی به یک دستگاه آسیب‌دیده، احتمال نشت کنترل‌کننده سشن را افزایش دهد.
سیسکو اظهار داشت: "بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا در نهایت مجموعه کنترل‌کننده سشن موجود را تخلیه کند، از ایجاد سشن‌های جدید جلوگیری ‌کند و حمله منع سرویس (DoS) را انجام دهد."

شکل زیر نشان می‌دهد که SSL ممکن است برای شناسایی وجود کنترل‌کننده‌های سشن استفاده شود. تعداد بالا و در حال افزایش در SSL نشان دهنده سشن‌های افشا شده است.
 

توصیه امنیتی

سیسکو توصیه می‌کند که کاربران هر چه سریع‌تر به‌روزرسانی نرم‌افزار را اعمال کنند.
 

منبع خبر:
 

[1] https://gbhackers.com/cisco-anyconnect-ssl-vpn-flaw/

به گفته محققان شرکت ESET بات‌‌‌نت‌‌‌های Mozi، یکی از پرکارترین بات‌‌‌نت‌‌‌های دنیا، به شکل ناگهانی ابتدا در هند و به فاصله یک هفته در چین ناپدید شدند. عامل این اتفاق شناسایی نشده است. بدافزار Mozi یک بات‌‌‌نت مهاجم است که از سال 2019 به ابزارهای IoT نظیر مسیریاب‌‌‌ها، ضبط‌‌‌کننده‌‌‌های ویدیوی دیجیتال و سایر ابزارهای متصل به اینترنت حمله کرده است. تیم تحقیقاتی شرکت ESET با اعلام اتفاق رخ داده، اعلام نمود که فردی که پشت این کار بوده است، با فعال کردن یک ابزار kill switch در آگوست 2023، همه بات‌‌‌نت‌‌‌های Mozi را غیرفعال نموده است. با وجود تغییرات رخ داده، بررسی‌‌‌ها نشان می‌‌‌دهد که علی‌‌‌رقم کاهش شدید کارایی، این بدافزار همچنان پایداری خود را حفظ کرده است که نشان‌دهنده حذف عمدی و حساب‌شده آن است. 
براساس تحقیقات، دو فرضیه بالقوه برای این حذف عمدی قابل تصور است؛ نخست اینکه خود سازندگان این بات‌‌‌نت به صورت عمدی اقدام به انجام این کار کرده‌‌‌اند و دوم اینکه این اتفاق در پی اجرای قانون جدیدی در چین که تولیدکنندگان نرم‌‌‌افزار را مجبور به همکاری با دولت می‌‌‌کند، رخ داده است. 

محصولات تحت تاثیر
طبق اعلام شرکت مایکروسافت، Mozi یک بات‌‌‌نت P2P غیرمتمرکز است که از شبکه‌‌‌ای شبیه BitTorrent جهت آلوده کردن دستگاه‌های IoT مانند مسیریاب‌‌‌ها استفاده می‌‌‌کند. این سیستم با بهره‌برداری از کلمه‌‌‌های عبور ضعیف telnet و ده‌ها آسیب‌پذیری اصلاح‌نشده IoT کار می‌کند و برای انجام حملات تکذیب سرویس توزیع شده، استخراج داده‌ها و اجرای فرمان یا فایل‌‌‌های ضمیمه شده مورد استفاده قرار گرفته است. تکامل Mozi امکان دستیابی پایدار به ابزارهای شبکه تولید شده توسط شرکت‌‌‌های Netgear، Huawei و ZTE را فراهم کرده است.

توصیه‌های امنیتی
با وجود انتشار خبر مسرت بخش غیرفعال شدن یکی از مخرب‌‌‌ترین بات‌‌‌نت‌‌‌های موجود، اما همچنان انبوهی از بدافزارهای بات‌‌‌نت به دنبال آسیب‌‌‌پذیری‌‌‌های IoT می‌‌‌گردند. بنابراین لازم است تا کاربران اقدام به نصب آخرین افزونه‌‌‌های امنیتی نرم‌‌‌افزاری برروی دستگاه‌‌‌های خود نموده و با انتخاب کلمه‌‌‌های عبور قوی و جدا کردن شبکه‌‌‌های IoT از شبکه‌‌‌های حساس و حیاتی، امنیت شبکه‌‌‌های خود را تقویت نمایند. عدم استفاده از telnet برای اتصال به دستگاه‌‌‌های تحت شبکه و تقویت قوانین دیواره‌‌‌آتش از موارد موثر دیگر برای جلوگیری از حملات مشابه است.

منابع خبر:

[1] https://cybernews.com/news/zombie-botnet-suddenly-goes-dark-who-killed-it/
[2] https://www.heise.de/news/Sicherheitsforscher-raetseln-Wer-hat-das-Mozi-Botnet-abgeschaltet-9352132…
[3] https://www.darkreading.com/ics-ot/somebody-just-killed-mozi-botnet
[4] https://www.bleepingcomputer.com/news/security/mozi-malware-botnet-goes-dark-after-mysterious-use-o…

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-20886 و شدت 8.8 در VMware   شناسایی شده است که امکان حمله open redirect را برای مهاجم فراهم می‌آورد. یک عامل مخرب مثلا یک پیوند مخرب ممکن است بتواند قربانی را به یک مهاجم هدایت کند و پاسخ SAML  او را برای ورود به عنوان کاربر قربانی بازیابی کند.
قبل از ورود به محیط کاری Workspace ONE UEM باید با داشتن URL Environment  و اعتبارنامه جهت ورود، وارد کنسول شد. پس از اینکه مرورگر  URL Environment کنسول را با موفقیت بارگیری کرد، می‌توان با استفاده از نام کاربری و رمز عبور ارائه شده توسط سرپرست Workspace ONE UEM  وارد سیستم شد. کنسول Workspace ONE UEM نام کاربری و نوع کاربر (SAML یا غیر SAML) را در حافظه پنهان مرورگر ذخیره می‌کند.
        - اگر کاربر SAML باشد، مدیر به ورود SAML هدایت می‌شود.
        - و اگر کاربر SAML نباشد، مدیر باید رمز عبور را وارد کند.
اگر کاربر به لینک مخرب هدایت شود، پاسخ SAML  او برای ورود توسط مهاجم بازیابی می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری VMware Workspace ONE UEM console را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء VMware Workspace ONE UEM console به نسخه‌های وصله ‌شده، به شرح زیر اقدام نمایند:
•    نسخه 2302 ارتقاء به 32.2.0.10
•    نسخه 2212 ارتقاء به 22.12.0.20
•    نسخه 2209 ارتقاء به 22.9.0.29
•    نسخه 2206 ارتقاء به 22.6.0.36
•    نسخه 2203 ارتقاء به 22.3.0.48

منبع خبر:

[1] https://www.vmware.com/security/advisories/VMSA-2023-0025.html

پس از گذشت دو هفته از شناسایی دو آسیب‌پذیری روز صفر به شناسه‌های

•    CVE-2023-20198
•    CVE-2023-20273
 

در محصول IOS XE متعلق به شرکت سیسکو که به هکرها اجازه داد تا به بیش از 40هزار دستگاه نفوذ کنند، شرکت سیسکو با انتشار وصله امنیتی برای هر دو آسیب‌پذیری، به کاربران خود اطمینان خاطر داد که با به¬روزرسانی دستگاه‌های خود در برابر هر دو آسیب‌پذیری امن خواهند بود، اما هکرها با انتشار روش دور زدن مکانیزم امنیتی موجود در وصله امنیتی منتشر شده، نشان دادند که دستگاه‌هایی که این به‌روزرسانی را نیز انجام داده‌اند، هنوز آسیب‌پذیر هستند. 

تحلیل وصله امنیتی
در وصله امنیتی ارائه شده، شرکت سیسکو یک سربرگ (Header) به نام Proxy-Uri-Source به درخواست‌ داخلی اضافه کرده است که از طریق WSMASendCommand ارائه می‌شود. تغییر دیگر، اضافه شدن یک سربرگ در IOSD است، این سربرگ که Proxy-Uri-Source نام دارد در تنظیمات مربوط به کنترل کننده‌های سرور در سرویس Nginx به کار گرفته می‌شود. نکته قابل توجه دیگر در وصله امنیتی، اضافه شدن یکی از کنترل‌کننده‌های HTTP در IOSD است که از آن برای‌ اطمینان از تنظیم درست مقدار سربرگ Proxy-Uri-Source استفاده می‌شود. صحت این سربرگ، زمانی مورد تایید است که مقدار آن برابر با webui_internal باشد. تغییرات صورت گرفته در وصله امنیتی نشان می‌دهد که سیسکو برای امن کردن محصولات آسیب‌پذیر خود در برابر آسیب‌پذیری با شناسه CVE-2023-20198 قصد داشته تا با اعمال این تغییرات تمام درخواست‌های دسترسی به سرویس wsma را از  طریق WSMASendCommand مدیریت کند، تا کاربر مجبور به انجام مراحل احرازهویت موجود در WSMASendCommand باشد. با توجه به تنظیمات اعمال شده روی سرویس Nginx، احتمال دورزدن این وصله امنیتی از طریق تغییر مقدار سربرگ Proxy-Uri-Source به مقدار global برای درخواست‌های خارج از WSMASendCommand وجود دارد. در ادامه تصویر یک درخواست ارسالی و پاسخ دریافتی که در آن  تغییرات اعمال شده در وصله امنیتی قابل مشاهده است را ملاحظه می‌کنید.
 

تغییرات دیگر موجود در وصله امنیتی منتشر شده، مربوط به آسیب‌پذیری با شناسه  CVE-2023-20273 است. این بهبود با هدف افزایش سطح امنیتی در بررسی معتبر بودن IPهای نسخه 6 است. در این وصله امنیتی فرض بر نامعتبر بودن IPهای نسخه 6 است، مگر آنکه IPهای ارسالی بتوانند از مکانیزم امنیتی ایجاد شده عبور کنند. هر چند در حال حاضر، این روش امن است اما با گذر زمان، هکرها قادر خواهند بود با نوشتن کدهای مخرب و تزریق آن داخل درخواست ارسالی خود با ایجاد اختلال در روند اعتبارسنجی IPهای نسخه 6 این مکانیزم را دور بزنند، در نتیجه این کار راه حلی مطمئن و همیشگی نخواهد بود. در ادامه تصویر کدهای اضافه شده برا ی اعتبار سنجی IPهای نسخه 6 آورده شده است.
 

تحلیل مراحل اجرای حمله
 در  ادامه به بررسی روش به کار رفته توسط هکرها برای دور زدن مکانیزم احرازهویتی خواهیم پرداخت که در وصله امنیتی منتشر شده برای آسیب‌پذیری با شناسه CVE-2023-20198 وجود دارد. در این بررسی مشخص می‌شود که همچنان هکرها قادر هستند با بهره‌برداری از این آسیب‌پذیری، یک حساب کاربری جدید با سطح دسترسی 15 در دستگاه‌های آسیب‌پذیر ایجاد کنند. در نتیجه هکرها از طریق این حساب کاربری ایجاد شده، می‌توانند تمام دستوراتی را که نیاز به بالاترین سطح دسترسی دارند، روی دستگاه آسیب‌پذیر اجرا کنند. 
در گام اول هکرها باید بتوانند که به هر طریق ممکن برای اجرای حمله خود به یکی از دو نقطه زیر در دستگاه هدف دسترسی پیدا کند تا قادر به اجرای کامل حمله باشند.

•    webui_wsma_http
•    webui_wsma_https
 

در گام بعد، هکرها یک درخواست را مطابق آنچه در تصویر زیر نمایش داده شده است، به دستگاه آسیب‌پذیر ارسال می‌کنند تا از طریق آن مکانیزم احرازهویت را دور بزنند و به دستگاه آسیب‌پذیر نفوذ کنند.

 

در تحلیل این درخواست، باید گفت که آنچه باعث می‌شود تا مهاجم با ارسال این درخواست، موفق به دورزدن مرحله احرازهویت شود، در خط اول این درخواست قرار داردکه بصورت زیر است:

•    POST /%2577ebui_wsma_HTTP

نکته این عبارت، در مدل کد شدن حرف W در زمان ارسال این درخواست است، که باعث پذیرفته شدن این درخواست ارسالی به عنوان یک درخواست قابل قبول برای Ngnix می‌شود. در نتیجه مهاجم قادر است بدون احرازهویت به سرویس WMSA موجود در IOSD دسترسی پیدا کند. 
اکنون که مهاجم توانسته به سرویس WMSA دسترسی پیدا کند، زمان آن است تا یک حساب کاربری برای خود ایجاد کرده و از طریق آن دستورات دلخواه خود را روی دستگاه تحت کنترل اجرا کند. برای انجام این کار کافی است دستورات لازم برای پیکربندی و ایجاد حساب کاربری جدید را از طریق درخواست‌های SOAP به دستگاه ارسال کند. درادامه به یک درخواست ساده SOAP که از طریق آن می‌توان یک حساب کاربری جدید ایجاد کرد اشاره شده است. 

•    username <user> privilege 15 secret <password>

هکرها برای تایید صحت روش پیشنهادی خود، بعد از ایجاد دسترسی به دستگاه آسیب‌پذیر از طریق طی کردن مراحل گفته شده، یک حساب کاربری با دسترسی administrator ایجاد کرده‌اند که تصویر آن در ادامه نمایش داده شده است.

 

منابع خبر:

[1]https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-deep-dive-and-poc/
[2]https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-cisco-ios-xe-flaw-many…
[3]https://www.horizon3.ai/cisco-ios-xe-cve-2023-20198-theory-crafting/
[4]https://censys.com/cisco-ios-xe-ten-days-later/

NuGet ابزاری Opec source جهت مدیریت پکیج‌ها و توزیع نرم‌افزار است که امکان دانلود و اجرای کتابخانه‌های .NET برای پروژه‌هایشان توسعه‌دهندگان را فراهم می‌آورد. NuGet به ویژه در میان کاربران ویندوزی بسیار محبوب است و میلیون‌ها توسعه‌دهنده در سراسر جهان از آن استفاده می‌کنند.
کمپین جدیدNuGet Typosquatting ، پکیج‌های مخربی منتشر می‌کند که از ویژگی یکپارچه‌سازی(integration) MSBuild Visual Studio برای اجرای کد و نصب بدافزار  به صورت مخفیانه بهره‌برداری می‌کند.
  این بسته‌ها اسامی مشابهی با بسته‌های قانونی NuGet دارند و توسعه‌دهندگان را فریب می‌دهند تا آن‌ها را نصب کنند، پس از نصب، کد مخرب را اجرا می‌کنند و بدین‌ترتیب کنترل سیستم را به دست گرفته، قادر خواهند بود داده‌ها را سرقت و یا حملات دیگری را پیاده کنند. 
در این کمپین، از پکیج‌های typosquatting متنوعی جهت نصب مخفیانه بدافزار استفاده شده است. برخی از پکیج‌های مشاهده شده در این کمپین عبارتند از: 
•    CData.NetSuite.Net.Framework
•    CData.Salesforce.Net.Framework
•    Chronos.Platforms
•    DiscordsRpc
•    Kraken.Exchange
•    KucoinExchange.Net
•    MinecraftPocket.Server
•    Monero
•    Pathoschild.Stardew.Mod.Build.Config
•    SolanaWallet
•    ZendeskApi.Client.V2
نمونه‌ای از پکیج‌های مخرب در شکل زیر نمایش داده شده است که پس از اجرا، کد فایل اجرایی را از یک آدرس خارجی گرفته و آن را اجرا می‌کند.

 

کد مخرب داخل فایل targets

اگرچه طبق گزارش محققان امنیتی، پکیج‌های NuGet مشاهده شده حذف شده‌اند اما باید توجه داشت که مهاجمان به طور مداوم روش‌های خود را اصلاح می‌کنند تا حملات را مخفیانه‌تر انجام دهند. در کمپین اخیر، مهاجمان  بلافاصله پس از حذف بسته‌های قبلی، سعی در بارگذاری بسته‌های جدیدی داشتند که نشان می‌دهد قصد ادامه‌ی حملات را دارند و توسعه‌دهندگان می‌بایست با احتیاط بیشتری از پکیج‌های NuGet استفاده کنند. 

منبع خبر:

https://www.bleepingcomputer.com/news/security/malicious-nuget-packages-abuse-msbuild-to-install-ma…

محققان امنیتی نسخه‌‌‌های اصلاح شده‌‌‌ای از واتساپ (نسخه اندروید) را کشف کرده‌اند که دارای یک ماژول جاسوسی به نام CanesSpy می‌باشد. این نسخه‌های مخرب برنامه پیام‌رسان، از طریق وب‌سایت‌های تایید نشده‌‌‌ای که چنین نرم‌افزارهای اصلاح‌شده را تبلیغ می‌کنند و همچنین کانال‌های تلگرامی که عمده مخاطبان آنها عرب و آذربایجانی هستند، منتشر شده‌اند. یکی از این کانال‌‌‌های تلگرامی دو میلیون کاربر دارد.
محققان امنیتی کسپرسکی اعلام کرده‌‌‌اند که این نسخه‌‌‌های آلوده شده به تروجان حاوی اجزای مشکوک (یک سرویس و یک گیرنده پخش) هستند که در نسخه اصلی واتساپ وجود ندارند. به صورت خاص، افزونه‌های جدید برای فعال کردن ماژول نرم‌افزار جاسوسی هنگامی که تلفن روشن می‌‌‌شود یا شروع به شارژ می‌کند، طراحی شده‌اند. در ادامه، ماژول جدید اقدام به برقراری تماس با سرور فرمان و کنترل (C2) می‌کند و  اطلاعاتی در مورد دستگاه در معرض خطر مانند IMEI، شماره تلفن، کد کشور تلفن همراه و کد شبکه تلفن همراه را ارسال می‌‌‌کند.
بدافزار CanesSpy همچنین جزئیات مربوط به مخاطبین و حساب‌های قربانی را هر پنج دقیقه ارسال می‌‌‌کند و علاوه بر آن هر دقیقه منتظر دریافت دستورالعمل‌‌‌های بیشتر از سرور C2 است. این تنظیمات قابل پیکربندی مجدد هستند. ایجاد دسترسی جهت ارسال فایل‌ها از حافظه خارجی (به عنوان مثال، کارت SD قابل جابجایی)، مخاطبین، ضبط صدا از میکروفون و تغییر سرورهای C2 از جمله توانایی‌‌‌های این بدافزار می‌‌‌باشد.

محصولات تحت تاثیر
این واقعیت که پیام‌‌‌های ارسال شده به سرور C2 همگی به زبان عربی هستند نشان می دهد که توسعه‌دهنده این عملیات یک عرب زبان است. ارزیابی‌‌‌های بیشتر نشان می‌‌‌دهد که این نرم افزار جاسوسی از اواسط آگوست 2023 فعال بوده است و این کمپین عمدتاً آذربایجان، عربستان سعودی، یمن، ترکیه و مصر را هدف قرار داده است. سال گذشته، شرکت متا همچنین علیه سه توسعه‌دهنده در چین و تایوان به دلیل توزیع برنامه‌های غیررسمی واتساپ، از جمله HeyMods، شکایتی را طرح کرد و ادعا نمود که  فعالیت‌‌‌های این شرکت‌‌‌ها منجر به به خطر افتادن بیش از یک میلیون حساب کاربری شده است. 
توسعه این بدافزار نشان دهنده بهره‌برداری مداوم از نسخه‌‌‌های اصلاح شده سرویس‌‌‌های پیام‌‌‌رسان همانند تلگرام و واتساپ، با هدف توزیع بدافزار بین کاربران ناشناس می‌‌‌باشد.

 توصیه‌های امنیتی
واتساپ به نوبه خود نسخه‌های غیررسمی را جعلی می‌داند و هشدار می‌دهد که ممکن است خطر حمل بدافزاری را به همراه داشته باشد که می‌تواند حریم خصوصی و امنیت مشتریان را نقض کند. به همین دلیل این شرکت از کاربران درخواست کرده که صرفاً از نسخه‌‌‌های منتشر شده رسمی توسط خود متا استفاده نمایند.
به گفته محققان امنیتی، نسخه‌‌‌های اصلاح شده واتساپ بیشتر از طریق فروشگاه‌‌‌های برنامه اندرویدی نامعتبر منتشر می‌‌‌شوند که اغلب فاقد غربالگری امنیتی لازم هستند و بدافزار را حذف نمی‌‌‌کنند. برخی از این منابع، مانند کانال‌‌‌های تلگرام، از محبوبیت قابل توجهی برخوردار هستند، اما این موضوع تضمینی برای ایمنی نیست. بنابراین توصیه اکید می‌‌‌شود تا کاربران در صورت نیاز به یک پیام‌‌‌رسان یا هر نرم‌‌‌افزار با قابلیت اتصال به اینترنت، حتماً نسبت به دریافت آن، صرفاً از فروشگاه‌‌‌های معتبر اقدام کنند. لازم به ذکر است که این توصیه مطلق نیست و  شرکت کسپراسکای، به تازگی یک نسخه اصلاح شده نرم‌‌‌افزار تلگرام برروی گوگل پلی را کشف نمود که حاوی ماژول‌‌‌های جاسوسی بود.

منابع خبر:

[1] https://thehackernews.com/2023/11/canesspy-spyware-discovered-in-modified.html
[2] https://securityaffairs.com/153564/mobile-2/whatsapp-mods-canesspy-spyware.html
[3] https://malwaretips.com/threads/canesspy-spyware-discovered-in-modified-whatsapp-clients.126918/

این هفته، service now در سایت پشتیبانی‌اش اعلام کرد که پیکربندی نادرست این نرم‌افزار می‌تواند منجر به دسترسی ناخواسته به اطلاعات حساس شود.
این موضوع برای شرکت‌هایی که از service now استفاده می‌کنند، دغدغه بزرگی‌ست چرا که این آسیب‌پذیری ممکن است منجر به نشت اطلاعات عمده‌ای از جمله داده‌های حقوقی آنها شود. Sevice now از آن زمان اقداماتی را برای برطرف کردن این نقص امنیتی آغاز کرده‌است.
ServiceNow یک پلتفرم مبتنی بر ابر است که برای اتوماسیون مدیریت خدمات فناوری اطلاعات، مدیریت عملیات فناوری اطلاعات، و مدیریت کسب و کار فناوری اطلاعات برای خدمات مشتری، و همچنین منابع انسانی، عملیات امنیتی و غیره استفاده می‌شود.
این برنامه SaaS(Software as a Service) به دلیل ماهیت زیرساختی‌اش، توسعه‌پذیری به عنوان پلتفرم توسعه و دسترسی به داده‌های محرمانه و اختصاصی در سراسر سازمان، یکی از برترین برنامه‌های کاربردی برای کسب و کار در نظر گرفته می‌شود.
یکی از بخش‌های مهم این نرم‌افزار، Simple List است که یک ویجت رابط است که داده های ذخیره شده در جداول را جمع آوری کرده و از آنها در داشبورد استفاده می‌کند.
پیکربندی پیش‌فرض SimpleList به کاربران احرازهویت نشده اجازه دسترسی از راه دور به داده‌های درون جدول‌ها را می‌دهد. این جداول اطلاعات حساسی را از جمله محتوای تیکت‌های IT‌، پایگاه‌های اطلاعات طبقه‌بندی‌شده درون‌سازمانی، جزئیات اطلاعات کارکنان و... در بر می‌گیرند.
این پیکربندی‌های نادرست در واقع از زمان معرفی لیست‌های کنترل دسترسی (Access Control) در سال 2015 وجود داشته است  و البته هنوز اتفاقی که از این مشکل برآمده باشد گزارش نشده‌ است.  با این وجود، با توجه به انتشار تحقیقات انجام‌شده در مورد نشت اطلاعات، این مشکل می‌تواند بیش از پیش اطلاعات سازمان‌ها و شرکت‌ها را به خطر بیاندازد.
این نشتی، صرفاً حاصل یکی از پیکربندی‌های پیش‌فرض بود و صدها پیکربندی دیگر موجودند که می‌توانند در معرض حملات کنترل‌دسترسی، نشت اطلاعات، هجمه‌ی بدافزار و دیگر موارد قرار بگیرند و باید ایمن‌سازی شوند.
سازمان‌هایی که از راه‌حل‌های مدیریت وضعیت امنیتی SaaS SSPM(SaaS Security Posture Management solution)  استفاده می‌کنند، راحت‌تر می‌توانند پیکربندی‌های نادرست و خطرناک را تشخیص داده و سازگاری یا عدم‌سازگاری‌ آن‌ها را بررسی کنند.
باید این نکته را مدنظر قرار داد که این مشکل، ناشی از یک آسیب‌پذیری در کد برنامه نیست بلکه از یک پیکربندی داخل نرم‌افزار نتیجه شده ‌است.
این پدیده در کنترل‌های امنیتی در یک ویجت لیست کنترل دسترسی ServiceNow به نام Simple list‌ ریشه دارد که رکورد‌ها را در یک جدول که به سادگی قابل خواندن باشد قرار می‌دهد. این جدول‌ها داده‌ها را از منابع مختلفی مرتب کرده و با تنظیمات پیش‌فرضی که آنها را به صورت عمومی منتشر می‌کنند پیکربندی می‌شوند.
1.    هنگام استفاده از ServiceNow کاربران از لیست‌های کنترل دسترسی(ACL(Access Control Lists)) استفاده می‌کنند که دسترسی به جدول‌ها و ستون‌ها در پلتفرم‌های مختلف را محدود می‌کنند.
2.    تنظیمات ServiceNow به صورت پیش‌فرض بر deny قرار داده شده یعنی هرگونه فقدان ACL در برابر یک منبع یا سلسله‌مراتب بالاتر از آن، منجر به عدم اجازه دسترسی می‌شود.
3.    هریک از ACL‌ها یک Three-part check دارند که هر چک “خالی” به true، معادل اجازه دسترسی تفسیر می‌شوند.
4.    مشتریان می‌توانند یک ACL با چک “خالی” را برای “نقش‌ها”، “شرایط” و “اسکریپت‌ها” تنظیم کنند.
5.    در صورتی که یک ACL به این شکل ساخته شود، سیستم ACL زیربنایی، به هر کاربر از جمله کاربر مهمان، اجازه دسترسی به منبع مورد نظر را می‌دهد.
6.    اگر یک کاربر احراز هویت نشده ‌باشد، نرم‌افزار شدیداً صفحاتی که کاربر می‌تواند بخواند را کنترل می‌کند و یک لیست بسیار محدود از صفحاتی که اجازه رویت آن‌ها به کاربر داده می‌شود ایجاد می‌کند.
7.    شرکت‌هایی که منابعی دارند که از پورتال‌های عمومی پشتیبانی می‌کنند، مثلا ابزارک‌های پورتال خدماتی که فعال هستند و به صورت عمومی تنظیم شده‌اند، یک استثنا از این کنترل هستند. زیرا طبق تنظیمات اولیه طراحی نرم‌افزار، برای کاربران احراز‌هویت نشده نیز قابلیت دسترسی دارند و از این رو مکانیزم‌های کنترلی رو آن‌ها اعمال نمی‌شوند.
8.    از میان پورتال‌هایی که بیان شد، ویجت پورتال ویژه SimpleList‌ در دسته‌ای قرار می‌گیرد که مکانیزم‌های کنترلی بر آن اعمال نمی‌شوند.

از آنجایی که این جداول SimpleList هسته ServiceNow هستند، مشکل در فقط یک تنظیمات خاص نبود که بتوان به‌راحتی آن را برطرف کرد. باید در موقعیت‌های مختلفی درون نرم‌افزار و با حفظ ترکیبی که با ویجت رابط کاربری داشتند و در مورد تمام حساب‌های کاربری اصلاح می‌شد. آنچه که این پدیده را حتی پیچیده‌تر می‌کرد، این بود که تغییر یک تنظیمات خاص به تنهایی می‌توانست تمام جریانات کاری(workflow) متصل به simple list‌ را برهم بزند که منجر به تخریب شدید پردازه‌های فعلی می‌شد.
 

توصیه‌های امنیتی
مطابق آنچه ServiceNow در مقاله‌ای در مورد این آسیب‌پذیری منتشر کرد، ارزیابی قرارگیری در معرض و اقدامات اصلاحی شامل موارد ذیل می‌شوند:

•    بررسی لیست‌های کنترل دسترسی‌ای که یا خالی و یا حاوی نقش “عمومی(public)” هستند.
•     بازبینی ویجت‌های عمومی و تغییر وضعیت نقش “عمومی” در موقعیت‌هایی که با موارد استفاده‌ آنها مطابقت ندارد.
•     به کارگیری اقدامات کنترل دسترسی سخت‌گیرانه‌تر با استفاده از کنترل‌های داخلی ارائه شده توسط ServiceNow، مانند کنترل دسترسی آدرس IP یا تأیید اعتبار تطبیقی.
•     نصب افزونه ServiceNow Explicit Roles. ServiceNow بیان می‌کند که این افزونه از دسترسی کاربران خارجی به داده‌های داخلی جلوگیری می‌کند و نمونه‌هایی که از این افزونه استفاده می‌کنند تحت تأثیر این مشکل قرار نمی‌گیرند. (این افزونه تضمین می‌کند که هر ACL (لیست کنترل دسترسی) حداقل نیاز به یک نقش را اعلام می‌کند.)

این مراحل اصلاحی توصیه شده همچنان می‌تواند برای سازمان‌هایی که در معرض خطر هستند استفاده شود حتی پس از اینکه اصلاح شوند، همچنان توصیه می‌شود که مجددا این مراحل چک شوند تا امنیت کامل سازمان تضمین شود.

جلوگیری خودکار از نشت داده:
سازمان‌ها و شرکت‌هایی که از راه‌حلSSPM  استفاده می‌کنند، مانند نرم‌افزار Adaptive Shield، می‌توانند پیکربندی ServiceNow و هر نرم‌افزار SaaS‌ دیگری را ببیند و آسیب ناشی از هر نقصی را کاهش دهند.

داشبورد Adaptive Shield‌ با فریم‌ورک سازگاری: پیکربندی نادرست ویجت فهرست عمومی ServiceNow KB1553688

نرم‌افزارهای مدیریت وضعیت امنیتی، هرزمان پیکربندی خطرناکی وجود داشته‌ باشد به تیم امنیتی اپلیکیشن هشدار می‌دهند که به آن‌ها این امکان را می‌دهد که تنظیمات لازم را اعمال کنند و جلوی هرگونه نشت اطلاعات را بگیرند. به این شیوه، شرکت‌ها به درک بهتری از سطوح حمله امنیتی و میزان خطر موجود و وضعیت امنیتی درمورد پلتفرم‌های خود می‌رسند. 
 

منبع خبر:
 

[1] https://thehackernews.com/2023/10/servicenow-data-exposure-wake-up-call.html?m=1&nbsp;

محققان امنیتی شرکت Elastice Security کمپین سایبری جدیدی شناسایی کرده‌‌‌‌اند که از فایل‌های پکیج‌‌‌‌ ویندوز (MSIX) در برنامه‌‌‌‌های کاربردی مانند Brave، Microsoft Edge، Google Chrome، Grammarly و Cisco Webex استفاده کرده و بدافزار جدیدی با نام GhostPulse را توزیع می‌‌‌‌کنند.
طبق گزارش منتشر شده از این شرکت: «MSIX یک فرمت پکیج‌‌‌‌ ویندوز است که توسعه‌‌‌‌دهندگان از آن برای بسته‌‌‌‌بندی، توزیع و نصب برنامه‌‌‌‌های کاربردی خود برای کاربران ویندوز استفاده می‌‌‌‌کنند که متشکل از دو فرمت قبلی Appx و MSI است. با این حال، MSIX نیاز به دسترسی به گواهی‌‌‌‌های امضاء کد خریداری شده دارد و از آن‌‌‌‌ها برای گروهی از منابع قابل دسترس استفاده می‌‌‌‌کند.»
با راه‌‌‌‌اندازی فایل MSIX یک صفحه جدید باز می‌‌‌‌شود که از کاربران می‌‌‌‌خواهد روی دکمه Install کلیک کنند. این کار منجر به اجرای اسکریپت مخرب روی سیستم می‌‌‌‌شود که با اجرای آن یک بدافزار به نام GhostPulse از یک سرور راه‌‌‌‌ دور با آدرس manojsinghnegi[.]com به سیستم نفوذ می‌‌‌‌کند.
این فرآیند طی چندین مرحله صورت می‌‌‌‌گیرد، اولین مرحله پیلود یک فایل آرشیو TAR است که حاوی یک فایل اجرایی بوده و با عنوان Oracle VM VirtualBox Service (VBoxSVC.exe) شناخته می‌‌‌‌شود اما در واقع یک فایل باینری می‌‌‌‌باشد که با Notepad++ (gup.exe) همراه است.
همچنین در فایل آرشیو TAR یک فایل handoff.wav وجود دارد که یک نسخه تروجان شده از libcurl.dll بوده و با بهره‌برداری از gup.exe از تکنیک بارگذاری جانبی DLL استفاده کرده و برای انتقال فرآیند آلودگی در مرحله بعدی بارگذاری می‌‌‌‌شود. Powershell فایل باینری VBoxSVC.exe را اجرا کرده و از دایرکتوری فعلی DLL مخرب libcurl.dll را بارگیری می‌‌‌‌کند. با به حداقل رساندن ردپای کدهای مخرب رمزگذاری شده روی دیسک، مهاجم می‌‌‌‌تواند از اسکن توسط آنتی‌‌‌‌ویروس و روش‌‌‌‌های مبتنی ‌‌‌‌بر ML فرار کند.
در مرحله بعدی فایل DLL دستکاری شده یک پیلود رمزگذاری شده را بسته‌‌‌‌بندی کرده و از طریق mshtml.dll رمزگشایی و اجرا می‌‌‌‌شود، این اجرا منجر به بارگذاری بدافزار اصلی یعنی GhostPulse خواهد شد.
GhostPulse به عنوان یک loader عمل کرده و از تکنیک دیگری به صورت فرآیند doppelgänging برای شروع اجرای بدافزار نهایی استفاده می‌‌‌‌کند که شامل بدافزارهای Lumma، Vider، Rhadamanthys، SectopRAT و NetSupport RAT است.
 

توصیه‌‌‌‌‌های امنیتی
تحلیل‌‌‌‌‌های صورت گرفته بر روی این بدافزار نشان می‌‌‌‌‌دهد که نقطه ورود این بدافزار ایمیل‌‌‌‌‌های آلوده و کلیک بر روی تبلیغات جعلی هستند که باعث آلودگی سیستم و یا شبکه سازمانی می‌‌‌‌‌شوند. لذا توصیه می‌شود که از کلیک بر روی این تبلیغات و باز کردن ایمیل‌‌‌‌‌های ناشناخته و هرزنامه خودداری کرده و از یک آنتی‌‌‌‌‌ویروس معتبر استفاده شود.
 

منبع خبر:
 

[1] https://thehackernews.com/2023/10/hackers-using-msix-app-packages-to.html