محققین امنیتی شرکت Aqua مهاجمان جدیدی در ارتباط با Kinsing شناسایی کرده‌اند که از آسیب‌پذیری جدید لینوکس با نام Looney Tunables بهره‌برداری کرده و و با افزایش سطح دسترسی خود، فضاهای ابری را مورد حمله قرار می‌دهند. دامنه این حملات روز به روز گسترش یافته و ممکن است در آینده نزدیک حملات مختلف و متنوع‌تری از این گروه مشاهده شود.
این شرکت در گزارش جدید که ارائه داده است بیان کرد که: «به طرز جالبی، مهاجمان با استخراج اعتبار از ارائه‌دهندگان خدمات ابری (CSP)، دامنه حملات خود را در این فضای گسترش می‌دهند.» بهره‌برداری فعال از Looney Tunables (CVE-2023-4911) به مهاجمان اجازه می‌دهد تا امتیاز و سطح دسترسی root را در سیستم‌های مبتنی‌بر لینوکس بدست آورند. این مهاجمان سابقه‌ای طولانی در بخش حملات و بهره‌برداری از نقص‌های امنیتی افشا شده دارند و اخیراً از یک آسیب‌پذیری با شدت بالا (CVE-2023-32315) در Openfire جهت دستیابی و اجرای کد بصورت راه‌دور استفاده کرده‌اند.
آخرین مجموعه حملات شناسایی شده نیز مستلزم بهره‌برداری از یک نقص بحرانی است که منجر به اجرای کد از راه‌دور در PHPUnit (CVE-2017-9841) شده و از سال 2021 توسط گروه Cryptojacking برای دستیابی و دریافت دسترسی اولیه استفاده می‌شود. این امر با بررسی دستی محیط قربانی برای Looney Tunables با استفاده از یک بهره‌برداری مبتنی‌بر پایتون که توسط محققی با نام مستعار bl4stry در توئیتر منتشر شده است، دنبال می‌شود. Kinsing یک فایل PHP را دانلود و اجرا می‌کند، در ابتدا، این بهره‌برداری پنهان می‌شود اما پس از مدتی خود را نشان داده و کدهای جاوااسکریپت را اجرا و فعالیت‌های قابل بهره-برداری که در آن تعبیه شده است را اجرا می‌کند. کدهای جاوااسکریپت یک Web Sell است که دسترسی Backdor را به سرور فراهم می‌کند و به مهاجمان اجازه می‌دهد تا عملیات مدیریت فایل، اجرای فرمان و جمع‌آوری اطلاعات بیشتر در مورد سروری که روی آن کار می‌کند را داشته باشند. با توجه به اطلاعات مشاهده شده به نظر می‌رسد که هدف نهایی این حمله استخراج اعتبارنامه‌های مربوط به ارائه‌دهندگان خدمات ابری برای حملات بعدی است که یک تغییر تاکتیک قابل توجه از الگوی استقرار بدافزار Kinsing و راه‌اندازی ماینر ارزی است. همچنین بررسی‌ها نشان می‌دهد که نمونه بدست آمده از آخرین تحلیل، اولین نمونه از Kinsing است که به دنبال جمع‌آوری چنین اطلاعاتی است و این پیشرفت حاکی از گسترش دامنه عملیات آن‌ها بوده و نشان می‌دهد که عملیات Kinsing ممکن است در آینده نزدیک متنوع و تشدید شود و در نتیجه تهدید برای محیط‌های ابری ایجاد کند.

توصیه‌های امنیتی
بررسی‌های صورت گرفته نشان می‌دهد که مهاجمان از آسیب‌پذیری‌های کشف شده در سیستم‌عامل لینوکس بهره‌برداری می‌کنند و در آینده احتمال دارد دامنه حملات گسترش یابد، لذا توصیه می‌شود که وصله‌های امنیتی ارائه شده نصف شود و هرچه زودتر این سیستم‌عامل به نسخه جدید آن ارتقاء یابد.

منابع خبر:

[1] https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html

کدهای QR، بارکدهایی دو بعدی هستند که می‌توانند داده‌های پیچیده از جمله URL، آدرس‌های ایمیل و شماره سریال را رمزگذاری کنند. آن‌ها به طور گسترده در حوزه‌های مختلف از جمله تبلیغات، بازاریابی و سیستم‌های پرداخت استفاده می‌شوند. کدهای QR در سال‌های اخیر به طور فزاینده‌ای محبوب شده‌اند و میلیون‌ها نفر برای پرداخت، اسکن منوها و دسترسی به اطلاعات از آن‌ها استفاده می‌کنند. این استفاده گسترده، آن‌ها را به هدفی جذاب برای مجرمان سایبری تبدیل کرده است. مهاجمان دو روش حمله برجسته را برای بهره برداری از کدهای QR ترجیح می‌دهند: Quishing و QRLJacking. از بین این دو نوع حمله، حملات Quishing به دلیل ماهیت گسترده خود در حال افزایش هستند. 
در ماه‌های اخیر افزایش قابل توجهی در حملات فیشینگ کد QR مشاهده شده است. در این نوع از حملات از کدهای QR جهت فریب کاربران ناآگاه به منظور دسترسی به وب‌سایت‌های مخرب یا دانلود بدافزار استفاده می‌شود. به عنوان نمونه در یکی از این حملات، مهاجمان از طریق کد QR با استفاده از مهندسی اجتماعی، کاربران را به سایت‌های جمع‌آوری اعتبار هدایت می‌کند. ایمیلی که ادعا می‌شد از طرف مایکروسافت ارسال شده و حاوی یک کد QR بود برای کاربران ارسال شده بود. در این ایمیل ادعا می‌شد که احراز هویت چند عاملی مایکروسافت منقضی شده و کاربران باید مجددا احراز هویت کنند.
 

آمارها نشان می‌دهد که این نوع از حملات از ماه اوت تا سپتامبر سال 2023 میلادی افزایش 587 درصدی داشته است. همچنین در ماه اکتبر یک جهش ناگهانی در این نوع از حملات مشاهده شده است. شیوع حملات Quishing گواهی بر ماهیت در حال تکامل تهدیدات سایبری است. 

توصیه‌های امنیتی
به منظور مقابله با حملات  Quishing، هنگام مواجهه با کد QR در ایمیل‌ها، هوشیاری کاربران بسیار مهم است و اقدامات پیشگیرانه زیر توصیه می‌شود: 
•    قبل از اسکن QR کد، فرستنده اصلی ایمیل را بررسی کنید.
•    از فناوری OCR (تشخیص کاراکتر نوری) برای ترجمه کدها به URL اصلی استفاده کنید. 
•    پیش نمایش URL کد QR را قبل از باز کردن آن بررسی کنید تا ببینید آیا درست به نظر می رسد یا خیر.
•    اگر کد QR، شما را به وب‌سایتی هدایت می‌کند که اطلاعات شخصی یا اعتبارنامه‌های ورود را می‌خواهد بسیار محتاط باشید.

منبع خبر:

https://www.hackread.com/qr-code-quishing-check-point-attack-spike/

شرکت ZDI چهار آسیب‌پذیری روز صفر در Microsoft Exchange را افشاء کرده است. این آسیب‌پذیری‌ها در 23 سپتامبر به مایکروسافت گزارش شده و طبق سیاستی که ZDI دارد، سازنده 90 روز فرصت دارد اصلاحیه را اعمال کند. مایکروسافت این آسیب‌پذیری‌ها را تایید کرده است. مهاجم جهت بهره‌برداری از این آسیب‌پذیری‌ها به احراز هویت نیاز دارد:

آسیب‌پذیری ZDI-23-1578 :  اولین آسیب‌پذیری با شدت 7.5 به مهاجمان اجازه می‌دهد تا از راه دور کد دلخواه خود را بر روی Microsoft Exchange آسیب‌دیده اجرا کنند. در این آسیب‌پذیری وجود یک نقص در کلاس ChainedSerializationBinder  به‌ دلیل عدم اعتبارسنجی مناسب داده‌های ارائه‌شده توسط کاربر، می‌تواند منجر به از بین بردن فرآیند سریال کردن داده‌های غیرقابل اعتماد شود و امکان اجرای کد در SYSTEM  را برای مهاجم فراهم می‌آورد.
آسیب‌پذیری ZDI-23-1579 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، از راه دور امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد DownloadDataFromUri و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‌دهد و این آسیب‌پذیری دارای شدت 7.1 می‌باشد.
آسیب‌پذیری ZDI-23-1580 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، از راه دور امکان امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد DownloadDataFromOfficeMarketPlace و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‌دهد. این آسیب‌پذیری دارای شدت 7.1 می‌باشد.
آسیب‌پذیری ZDI-23-1581 : در این آسیب‌پذیری مهاجم احرازهویت‌شده، امکان افشای اطلاعات حساس را دارد. آسیب‌پذیری در متد CreateAttachmentFromUri و از نوع SSRF است و به دلیل عدم اعتبارسنجی کافی یک URI قبل از دسترسی به منابع رخ می‎دهد. این آسیب‌پذیری دارای امتیاز 7.1 است.

توصیه امنیتی
توصیه می‌شود تا زمانیکه آسیب‌پذیری‌ها اصلاح شوند، تعامل با Exchange را محدود کنید. همچنین با توجه به اینکه، برای بهره‌برداری از این آسیب‌پذیری‌ها نیاز به احرازهویت مهاجم می‌باشد و امکان دارد از روش‌هایی مانند فیشینگ، خرید اعتبارنامه‌ها از بلک‌مارکت‌ها و غیره استفاده کند. همچنین ویژگی احرازهویت چند عاملی را برای Exchange  فعال کنید.

 منابع و مراجع:

[1]https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-the…
[2]https://www.itsecuritynews.info/zdi-discloses-four-zero-day-flaws-in-microsoft-exchange/
[3] https://www.zerodayinitiative.com/advisories/ZDI-23-1578
[4] https://www.zerodayinitiative.com/advisories/ZDI-23-1579
[5] https://www.zerodayinitiative.com/advisories/ZDI-23-1580
[6]  https://www.zerodayinitiative.com/advisories/ZDI-23-1581

Citrix به کاربرانش هشدار داده است که فوراً نسبت به نصب به‌روزرسانی منتشر شده برای همه دستگاه‌های NetScaler (ADC و Gateway) اقدام نمایند. این وصله، برای رفع آسیب‌پذیری CVE-2023-4966 منتشر شده است.  آسیب‌پذیری مذکور با شدت 9.4 امکان بهره‌برداری از راه دور را به مهاجمان احراز هویت نشده خواهد داد. مهاجم برای بهره‌برداری به کمک این آسیب‌پذیری نیازی به تعامل کاربران نخواهد داشت، در حالی که Citrix هیچ شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری در اختیار نداشت، اما Mandiant از بهره‌برداری گسترده از این مشکل امنیتی خبر داد.  به گفته این شرکت امنیت سایبری، مهاجمان از اواخر آگوست به عنوان یک آسیب‌پذیری zero-day به منظور سرقت اطلاعات احراز هویت حساب‌های کاربری استفاده می‌کرده است.   همچنین مواردی مشاهده شده است‫ که از CVE-2023-4966 جهت نفوذ به زیرساخت‌های نهادهای دولتی و شرکت‌های IT بهره‌برداری شده است.  بدین ترتیب Citrix در بیانیه‌ جدیدی به مدیران هشدار داد: «ما اکنون گزارش‌هایی از حوادثی در اختیار داریم که مربوط به سرقت session‌های مختلف است. همچنین گزارش‌های معتبری از حملات هدفمندی که از این آسیبپذیری بهره‌برداری می‌‌کنند دریافت کرده‌ایم».   ‬‬‬‬‬‬

محصولات تحت تأثیر
Citrix در 23 اکتبر جزئیات بهره‌برداری را منتشر کرد. توصیه آن‌ها نشان می‌دهد که آسیب‌پذیری با شناسه CVE-2023-4966 بر نسخه‌های زیر تأثیر می‌گذارد:
* NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
* NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
* NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
* NetScaler ADC 13.1-FIPS before 13.1-37.164
* NetScaler ADC 12.1-FIPS before 12.1-55.300
* NetScaler ADC 12.1-NDcPP before 12.1-55.300
برای اینکه دستگاه قابل بهره‌برداری باشد، باید به عنوان یک Gateway (سرور مجازی VPN، ICA Proxy، CVPN، RDP Proxy) یا AAAvirtualserver (که یک پیکربندی بسیار رایج است) پیکربندی شود. Citrix نشان داده است که مشتریانی که از خدمات ابری مدیریت شده توسط Citrix یا احراز هویت تطبیقی مدیریت شده توسط Citrix استفاده می‌کنند، نیازی به انجام هیچ اقدامی ندارند.

 توصیه امنیتی
Citrix توصیه کرده است در صور‫تی که از NetScaler ADC به عنوان Gateway یا سرور مجازی AAA استفاده می‌کنید، در اسرع وقت به‌روزرسانی‌ها را نصب نمایید. همچنین بهتر است تمامی sessionهای فعال را با استفاده از دستورات زیر حذف نمایید:‬‬‬

جهت جلوگیری از افشای‌اطلاعات حساس در NetScaler ADC و NetScaler Gateway، می‌توانید اقدات امنیتی زیر را اعمال کنید:

1-    به‌روزرسانی: اطمینان حاصل کنید که نرم‌افزار و سیستم‌عامل دستگاه‌های NetScaler ADC و Gateway به‌روزرسانی شده باشند. این امر شامل اعمال تمامی بسته‌های امنیتی و به‌روزرسانی‌های ارائه شده توسط Citrix می‌شود.
2-    پیکربندی امن: از تنظیمات امنیتی مناسب برای دستگاه‌های NetScaler استفاده کنید. مطمئن شوید که تنظیمات دسترسی، رمزنگاری، فایروال و سایر تنظیمات مربوطه به درستی پیکربندی شده‌اند.
3-    رصد و ضبط وقایع: اطلاعات بیشتر درباره فعالیت‌ها و رویدادهای سیستم را به منظور تشخیص هرگونه نقص‌ها یا تهدیدهای امنیتی ثبت کنید. استفاده از ویژگی‌های رصد و ضبط وقایع در NetScaler می‌تواند کمک کند تا فعالیت‌های ناشناس و غیرمجاز شناسایی شوند.
4-    محدود کردن دسترسی‌ها: تنظیم فیلترهای دسترسی مناسب برای محدود کردن دسترسی به سرویس‌ها و منابع حساس در NetScaler ADC و Gateway. این امر شامل محدود کردن دسترسی به پورت‌ها، آدرس‌های IP و دستورات مشخص می‌شود.
5-    آموزش و آگاهی: کارمندان و مدیران دستگاه‌های NetScaler را آموزش دهید و آگاهی آن‌ها را در خصوص روش‌های امنیتی و اقدامات پیشگیرانه بالا ببرید. همچنین، از روش‌های مدیریت و نظارت مناسب بر کاربران و دستگاه‌ها استفاده کنید.

منابع و مراجع:

[1]https://www.rapid7.com/blog/post/2023/10/25/etr-cve-2023-4966-exploitation-of-citrix-netscaler-info…
[2]https://www.linkedin.com/posts/rayasamaneh_%D8%B1%D8%A7%DB%8C%D8%A7%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D…

یک نقص امنیتی در دوربین‌‌‌های سری WyzeCam v1 گزارش شده است که به مهاجمان اجازه می‌دهد از راه دور به ویدیوهای ذخیره شده این دوربین‌ها دسترسی داشته باشند. اگرچه تولید این دوربین متوقف شده است، این نقص تقریباً از سه سال رفع نشده باقی مانده است و این دوربین‌‌‌ها در بسیاری مکان‌ها فعال هستند. با این حال، این آسیب‌پذیری تنها در صورتی می‌تواند مورد بهره‌برداری قرار گیرد که مهاجمان بتوانند به شبکه محلی WiFi دسترسی پیدا کنند. این نقص امنیتی، که مستقیماً شناسه CVE به آن اختصاص داده نشده است، به دو آسیب‌پذیری دور زدن احراز هویت (CVE-2019-9564) و اجرای کد از راه دور بر اساس سرریز بافر (CVE-2019-12266) مربوط می‌شود.
این نقص امنیتی، به مهاجمان اجازه می‌دهد از راه دور و از طریق وب، سروری را که پورت 80 آن باز است، شنود شود. سپس با دورزدن احراز هویت، امکان دسترسی به SD Card دوربین فراهم می‌‌‌شود که ممکن است اطلاعاتی مربوط به تصویربرداری دوربین یا اطلاعات دیگری روی آن ذخیره شده باشد. در حالی که این آسیب‌پذیری در ماه آوریل برطرف شد، بسیاری از کاربران ممکن است همچنان از نسخه‌های قدیمی‌ استفاده کنند که در برابر این نقص آسیب‌پذیر هستند.
 

محصولات تحت تأثیر
این آسیب‌پذیری تمام نسخه‌های نرم‌افزارهای دوربین‌های Cam V1 قدیمی را تحت تأثیر قرار می‌دهد.
 

توصیه‌های امنیتی
با توجه به انتشار نسخه جدید ضروری است که کاربران هرچه سریع‌تر، WyzeCam v1 را به آخرین نسخه بروزرسانی کنند. همچنین توصیه می‌شود پسورد‌های قوی برای شبکه WiFi در نظر گرفته شود.

منابع خبر:
 

[1]https://wonderfulengineering.com/a-wyze-cam-flaw-lets-hackers-remotely-access-your-saved-videos-and…
[2] https://9to5mac.com/2022/03/31/wyze-cam-security-flaw
[3]https://www.howtogeek.com/113800/wyze-left-some-security-cameras-vulnerable-to-hackers-but-its-comp…
[4] https://www.iphoneincanada.ca/2022/03/31/wyze-cam-v1-security-flaw-still-gives-hackers-access-to-sa…

شرکت سیسکو، یکی از بزرگ‌ترین تولیدکنندگان تجهیزات شبکه، اخیراً ۲۷ آسیب‌پذیری را در محصولات امنیتی شبکه‌ای خود برطرف کرده است. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای اجرای کد دلخواه، انجام حملات انکار سرویس، تغییر تنظیمات امنیتی و دسترسی به اطلاعات حساس استفاده شوند. 
این آسیب‌پذیری‌ها در محصولات مختلفی مانند سیسکو ASR، سیسکو ASA، سیسکو FMC، سیسکو FTD، سیسکو IOS و سیسکو IOS XE وجود دارند که در ادامه به‌صورت دقیق‌تر به آن‌ها اشاره می‌شود. یکی از جدی‌ترین نقص‌ها، آسیب‌پذیری تزریق کد در FMC(Firewall Management Center) سیسکو با شناسه CVE-2023-20048 و شدت بحرانی 9.9 می‌باشد که به دلیل پیکربندی نامناسب مجوزهای ارسالی از طریق سرویس رابط وب ایجاد شده است. همچنین باید به آسیب‌پذیری اجرای کد دلخواه در رابط کاربری وب سیسکو IOS XE که دارای شناسه CVE-2023-3470 و شدت 9.8 است، اشاره کرد. این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد که با ارسال درخواست‌های وب مخرب به دستگاه‌های مبتنی بر سیسکو IOS XE، کد دلخواه خود را بر روی آن‌ها اجرا کنند.

محصولات تحت تأثیر
_ امکان اجرای حمله انکار سرویس در سیسکو IOS XE برای دستگاه‌های سیسکو ASR  :
•    CVE-2023-3471
امکان اجرای حمله انکار سرویس در سیسکو IOS XE با استفاده از بسته‌های مخرب:
•    CVE-2023-3472
•    CVE-2023-3473
•    CVE-2023-3474
•    CVE-2023-3475
•    CVE-2023-3476
•    CVE-2023-3477
•    CVE-2023-3478
•    CVE-2023-3479
_ امکان اجرای حمله انکار سرویس در سیسکو IOS با استفاده از بسته‌های مخرب:
•    CVE-2023-3480
•    CVE-2023-3481
•    CVE-2023-3482
•    CVE-2023-3483
•    CVE-2023-3484
•    CVE-2023-3485
•    CVE-2023-3486
•    CVE-2023-3487

- امکان اجرای حمله انکار سرویس در سیسکو ASA و FTD با استفاده از بسته‌های مخرب:
•    CVE-2023-3488
•    CVE-2023-3489
•    CVE-2023-3490
•    CVE-2023-3491
•    CVE-2023-3492
•    CVE-2023-3493
•    CVE-2023-3494
•    CVE-2023-3495
•    CVE-2023-3496
•    CVE-2023-3497
_ تغییر تنظیمات امنیتی در سیسکو ASA و FTD با استفاده از درخواست‌های وب مخرب:
•    CVE-2023-3498
_ دسترسی به اطلاعات حساس در سیسکو ASA و FTD با استفاده از درخواست‌های وب مخرب:
•    CVE-2023-3499
•    CVE-2023-3500
•    CVE-2023-3501

محصولات تحت تأثیر
شرکت سیسکو توصیه می‌کند که مشتریان، به‌روزرسانی‌های امنیتی منتشر شده را در اسرع وقت اعمال کنند.

منابع و مراجع:

[1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x 
[2] https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-security-advisorie…
[3] https://www.securityweek.com/cisco-patches-27-vulnerabilities-in-network-security-products
 

یک کمپین جدید با نام EleKtra-Leak از سرویس مدیریت هویت و دسترسی (identity and access management) وب سرویس آمازون (Amazon Web Service)، که در مخازن عمومی GitHub مورد استفاده قرار می‌گیرد، جهت تسهیل فعالیت‌های کریپتوجک بهره‌برداری می‌کند. در این نوع از حملات از ماینرها برای انجام فعالیت‌های مخرب بهره‌برداری می‌شود.
محققین شرکت Palo Alto Networks با اعلام خبر بهره‌برداری از سرویس AWS IAM اعلام کرده‌اند که در نتیجه این سوء استفاده، مهاجم قادر به ایجاد چندین نمونه AWS Elastic Compute (EC2) بوده و از آن‌ها برای عملیات‌های طولانی مدت کریپتوجک استفاده کرده است. این عملیات که حداقل از دسامبر 2020 فعال است، برای استخراج Monero از 474 نمونه منحصر به فرد EC2 آمازون بین 30 آگوست تا 6 اکتبر 2023 طراحی شده است. بخشی از موفقیت حمله اخیر به دلیل بهره‌برداری در ویژگی اسکن مخفی GitHub و سیاست AWSCompromisedKeyQuarantine  است که برای جلوگیری از سوء استفاده یا در معرض خطر قرار گرفتن اعتبار IAM در اجرا یا راه‌اندازی نمونه‌های EC2 مورد استفاده قرار می‌گیرد. 
یکی از جنبه‌های مهم حملات، هدف‌گیری خودکار اعتبارنامه‌های AWS IAM در عرض چهار دقیقه پس از در معرض دید قرار گرفتن اولیه آن‌ها در GitHub است که نشان می‌دهد مهاجمان به‌ صورت برنامه‌ریزی شده‌ای، مخازن را بررسی می‌کنند تا کلیدهای در معرض دید را به دست آوردند. همچنین مشاهده شده است که مهاجم در تلاشی برای جلوگیری از تجزیه و تحلیل بیشتر، حساب‌های AWS را در فهرست موارد بلاک‌شده‌ قرار می‌دهد تا اعتبارنامه‌های IAM را منتشر کند.
شواهدی وجود دارد که نشان می‌دهد مهاجم ممکن است با یک کمپین کریپتوجک دیگر که توسط Intezer در ژانویه 2021 فاش شده بود، در ارتباط باشد. این کمپین سرویس‌های Docker با امنیت ضعیف را با استفاده از همان نرم‌افزار استخراج سفارشی مورد هدف قرار داده بود.
همچنین مهاجم ممکن است بتواند کلیدهای AWS در معرض دید که به طور خودکار توسط AWS شناسایی نمی‌شوند را پیدا کرده و متعاقباً این کلیدها را خارج از خط مشی AWSCompromisedKeyQuarantine کنترل کند. در زنجیره‌های حمله کشف‌شده، اعتبارنامه‌های AWS به سرقت رفته برای انجام عملیات شناسایی حساب کاربری و به دنبال آن ایجاد گروه‌های امنیتی AWS و راه‌اندازی چندین نمونه EC2 در مناطق مختلف، از طریق یک VPN، استفاده شده است.

محصولات تحت تاثیر
حمله اخیر حاکی از بهره‌برداری از اعتبارنامه‌های IAM سرویس AWS در GitHub می‌باشد. به این ترتیب امکان بهره‌برداری از نمونه‌های c5a.24xlarge AWS نیز فراهم می‌آید. این نمونه‌ها به دلیل داشتن توان پردازش بالا، امکان استخراج رمزارزها را در فاصله زمانی کوتاه فراهم می‌آورند. 

توصیه‌های امنیتی
برای کاهش چنین حملاتی، به سازمان‌هایی که به‌طور تصادفی اعتبارنامه‌های AWS IAM را افشا می‌کنند، توصیه می‌شود که فوراً اتصال‌های API مورد استفاده کلیدها را لغو، آن‌ها را از GitHub repository حذف کنند و رویدادهای شبیه‌سازی GitHub repository را برای هرگونه عملیات مشکوک بررسی نمایند.

منابع خبر:

[1] https://thehackernews.com/2023/10/elektra-leak-cryptojacking-attacks.html
[2] https://www.darkreading.com/cloud/elektra-leak-attackers-harvest-aws-cloud-keys-github-campaign
[3] https://unit42.paloaltonetworks.com/malicious-operations-of-exposed-iam-keys-cryptojacking/

یک انجمن ویدئویی فرانسوی در Torrent  به نام World-in-HD  (WiHD)، در اثر یک اشتباه، ایمیل‌ها و گذرواژه‌های همه کاربران و مدیران خود را افشا کرد.
تیم تحقیقاتیCybernews  اخیرأ کشف کرده است که WiHD، یک ردیاب محبوب در فیلم‌های HD در Torrent، به طور ناخواسته اطلاعات ده‌ها هزار کاربر خود را افشا کرده است. ابزار WiHD یک ردیاب خصوصی است که به توزیع محتوای ویدئویی با کیفیت بالا اختصاص دارد. کاربرانی که ثبتنام کرده‌اند می‌توانند به سریال‌های تلویزیونی، فیلم‌ها، انیمیشن‌ها و سایر محتواهای فرانسوی و انگلیسی زبان دسترسی داشته باشند.
برخلاف ردیاب‌های عمومی Torrent، ردیاب‌های خصوصی اغلب فقط به صورت invitation-only عمل می‌کنند و ظاهراً استانداردهای سطح بالایی برای محتوای آپلود شده دارند. به دلیل فضای انحصاری ردیاب WiHD، بعضاً دعوت‌نامه‌های به آن به قیمت بیش از 100 دلار به فروش می‌رسد که این موضوع سبب ناراحتی گروه‌های کاربران شده است. با این حال، تیم Cybernews یک کلاستر Elasticsearch در معرض عموم را در WiHD کشف کردند که فاقد هرگونه کلمه عبور بوده است. ElasticSearch یک ابزار محبوب جهت مدیریت داده‌های با حجم‌ زیاد می‌باشد.

محصولات تحت تاثیر
به گفته تیم Cybernews، اطلاعات 97327 حساب کاربری طی این نشت اطلاعاتی، افشا شده است که شامل اطلاعات حساب‌های هر دو گروه مشتریان و مدیران WiHD است. داده‌های لو رفته عبارتند از:
•    ایمیل‌های کاربران
•    آدرس‌های IP
•    اطلاعات خدمات
•    نام‌های کاربری
•    کلمات عبور رمز شده برای همه کاربران Torrent
نشت اطلاعات حساس کاربر خطرات امنیتی قابل توجهی در پی خواهد داشت؛ برای مثال، عوامل مخرب می‌توانند آدرس‌های IP را با آدرس‌های ایمیل ترکیب کرده و مکان‌ کاربر را تشخیص دهند. همچنین مهاجمان می‌توانند فعالیت‌های غیرقانونی مختلف، از جمله ردیابی و شناسایی کاربران و راه‌اندازی حملات فیشینگ هدفمند را انجام دهند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود رعایت نکات امنیتی در پیکربندی Elasticsearch را در دستور کار خود قرار دهند.

منابع خبر:

[1]https://cybernews.com/security/wihd-data-leak-exposes-torrent-users/?utm_source=signal&utm_medium=p…
[2] https://securityaffairs.com/153296/deep-web/wihd-data-leak.html
[3] https://www.itsecuritynews.info/wihd-leak-exposes-details-of-all-torrent-users/

شرکت استرالیایی Atlassian در بولتن امنیتی خود هشداری مبنی بر وجود یک آسیب‌پذیری بحرانی در محصولات Confluence Data Center و Confluence Server منتشر کرده است.
این آسیب‌پذیری دارای شناسه CVE-2023-22518، شدت 9.1 و از نوع Improper Authorization است. درواقع آسیب‌پذیری های Improper Authorization زمانی رخ می‌دهد که مهاجم قصد دارد به منبعی دسترسی داشته باشد یا عملی را انجام دهد. مهاجم با این آسیب‌پذیری امکان تخریب داد‌ها را خواهد داشت اما روی محرمانگی تاثیر گذار نیست و امکان استخراج داده ها وجود ندارد.آسیب‌پذیری در ارزیابی امنیتی خود شرکت کشف شده است و به گفته شرکت، حمله فعالی توسط این آسیب‌پذیری مشاهده نشده است.

محصولات تحت تأثیر
تمام نسخه های Confluence Data Center و Confluence Server تحت تاثیر این آسیب‌پذیری قرار گرفتند. سایت‌های Atlassian Cloud  تحت تاثیر این آسیب‌پذیری نیستند. اگه سایت Confluence شما از طریق دامنه atlassian.net  قابل دسترس است، توسط Atlassian میزبانی می‌شود و تحت تاثیر آسیب‌پذیری قرار نمی‌گیرد.

توصیه امنیتی
شرکت Atlassian به‌روزرسانی‌های امنیتی برای رفع آسیب‌پذیری در مرکز داده Confluence و نرم‌افزار سرور خود منتشر کرده است و نسخه‌های اصلاح شده محصول Confluence Data Center and Server عبارتند از:
•    7.19.16
•    8.3.4
•    8.4.4
•    8.5.3
•    8.6.1
همچنین توصیه شده، تا زمانیکه نسخه‌های وصله‌شده را اعمال نکرده‌اید، Confluenceهایی که از طریق اینترنت قابل مشاهده هستند را غیرقابل دسترس کنید.
مهر ماه 1402 نیز یک آسیب‌پذیری بحرانی با شناسه  CVE-2023-22515 در این محصول اصلاح شد که توسط گروه هکری چینی Storm-0062 معروف به DarkShadow یا Oro0lxy مورد بهره‌برداری قرار گرفته بود. همچنین با این آسیب‌پذیری زیر ساخت های باج افزار Trigona  را نیز هک کرده بودند.

در صورتی که قادر به ارتقاء نسخه Confluence Data Center and Server  خود نیستید، می‌توانید اقدامات موقتی زیر را انجام دهید:
1.    تهیه بکاپ
2.    در صورت امکان، اینترنت ابزار خود را قطع کنید و ابزارهایی که از اینترنت عمومی قابل دسترسی هستند، از دسترسی شبکه خارجی محدود شوند.
3.    اگر قادر به محدود کردن دسترسی شبکه خارجی یا ارتقاء نسخه نیستید، می‌توانید اقدامات موقتی زیر را با مسدود کردن دسترسی بهConfluence  اعمال کنید:
•    /json/setup-restore.action
•    /json/setup-restore-local.action
•    /json/setup-restore-progress.action
برای انجام این اقدامات، شما می‌توانید تغییرات زیر را در فایل‌های پیکربندی Confluence انجام دهید:
در هر گره، فایل /<confluence-install-dir>/confluence/WEB-INF/web.xml را ویرایش کنید و بلوک کد زیر را قبل از تگ </web-app> در انتهای فایل اضافه کنید:
 

سپس Confluence را مجددا راه‌اندازی کنید. توجه داشته باشید که این اقدامات موقتی هستند و جایگزین ارتقاء به نسخه وصله‌شده نخواهند بود.

 منابع و مراجع:

[1]https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-co…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-22518

اخیرا بدافزار جدیدی با نام "KandyKorn" کاربران سیستم عامل macOS را هدف حمله قرار داده است. این بدافزار که مرتبط با گروه هکری لازاروس بوده، مهندسین بلاک‌چین یک پلتفرم صرافی ارز دیجیتال را هدف قرار می‌دهد و پس از آلوده‌سازی، اطلاعات گسترده‌ای از سیستم از آدرس‌های کیف پول دیجیتال بدست اورده تا کلیدهای خصوصی تاریخچه معاملات را به سرقت برند. مهاجمان با جعل هویت کاربران جامعه ارزهای دیجیتال در کانال‌های discord، ماژول‌های مبتنی بر پایتون را منتشر و زنجیره آلودگی چندمرحله‌ای KandyKorn را راه‌اندازی کرده‌اند. به طور خلاصه، KandyKorn یک درب پشتی پنهان خاص است که قابلیت بازیابی داده، لیست کردن دایرکتوری، دانلود/آپلود فایل، حذف امن، خاتمه‌دهی به پردازه‌ها و اجرای فرمان را دارد. حمله درDiscord  با حملات مهندسی اجتماعی علیه قربانیان آغاز می‌شود و آنها را به دانلود یک آرشیو ZIP  مخرب با نام «Cross-platform Bridges.zip» سوق می‌دهد. قربانی، فریب خورده و تصور می‌کند که یک ربات آربیتراژ قانونی طراحی شده برای تولید سود خودکار از تراکنش‌های ارز دیجیتال را دانلود می‌کند. فایل زیپ دانلود شده در سیستم حاوی یک اسکریپت پایتونی با نام Main.py است که 13 ماژول پایتونی دیگر را که در فایل زیپ هستند به برنامه وارد می‌کند و به این ترتیب پیلود اولیه یعنی Watcher.py را اجرا می‌کند. اسکریپت Watcher.py در واقع یک دانلود کننده است که یک اسکریپت پایتونی دیگر با نام testSspeed.py را همراه با یک فایل پایتونی دیگر به نام FinderTools از یک آدرس گوگل درایو در سیستم دانلود می‌کند. FinderTools وظیفه واکشی و اجرای فایل باینری مبهم‌سازی شده «SugarLoader» با نام‌های .sld و.log و تحت عنوان فایل‌های اجرایی Mach-O را بر عهده دارد. SugarLoader با سرور فرماندهی و کنترل ارتباط برقرار می‌کند و پیلود نهایی، KandyKorn، را در حافظه بارگیری و اجرا می‌کند. نمایی از این زنجیره چندمرحله‌ای در شکل 1 نمایش داده شده است.
 

 کسب ماندگاری در macOS
در مرحله پایانی حمله، از بارگذاری به نام HLoader استفاده می‌شود. این بارگذار خود را به عنوان Discord جا می‌زند و از تکنیک‌های امضای کد باینری macOS استفاده می‌کند. محققین امنیتی اعلام کرده‌اند که شیوه مورد استفاده برای ماندگاری تاکنون درmacOS مشاهده نشده بوده است. HLOADER وظیفه کسب ماندگاری برای SugarLoader در سیستم را برعهده دارد. به این منظور پس از راه‌اندازی، عملیات زیر را انجام می‌دهد (شکل 3):
•    نام خود را از Discord به MacOS.tmp تغییر می‌دهد.
•    فرمت فایل باینری Discord قانونی را از .lock به Discord تغییر نام می‌دهد.
•    فایل های Discord و .log را با استفاده از NSTask.launchAndReturnError اجرا می‌کند.
•    نام هر دو فایل را به نام اولیه خود تغییر می‌دهد.
 KandyKorn 
KandyKorn پیلود پیشرفته مرحله نهایی است که برای سرقت اطلاعات از سیستم آلوده به کار برده می‌شود. این پیلود به عنوان یک سرویس در پشت زمینه فعالیت می‌کند و منتظر دریافت فرمان از سرور فرماندهی و کنترل می‌ماند. فرمان‌هایی که این بدافزار از سرور دریافت می‌کند شامل موارد زیر است: 
•    خاتمه‌دهی به برنامه
•    جمع‌آوری اطلاعات سیستم
•    فهرست گیری از دایرکتوری‌ها 
•    انتقال فایل از/به سرور فرماندهی و کنترل
•    حذف امن فایل‌ها با رونویسی صفر 
•    لیست همه پردازه‌های در حال اجرا 
•    خاتمه‌دهی به پردازه‌های خاص
•    اجرای دستورهای سیستم از طریق شبه ترمینال و دریافت خروجی 
•    راه‌اندازی یک شِل تعاملی 
•    بازیابی پیکربندی فعلی 
•    به روز رسانی پیکربندی سرور فرماندهی و کنترل
•    توقف عملیات بدافزار به صورت موقت 
منبع خبر