کشف آسیب‌پذیری Log File در Apache Airflow Celery و Apache Airflow

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2023-46215 و شدت متوسط کشف شده است که هنگام استفاده از پروتکل‌های redis، amqp، rpc، اطلاعات حساس به صورت رمز نشده ثبت می‌شوند. این نقص امنیتی مربوط به اطلاعاتی است که در لاگ‌ها در معرض دید قرار می‌گیرند.

محصولات تحت تأثیر
این آسیب‌پذیری Apache Airflow Celery نسخه‌های 3.3.0 تا 3.4.0 و Apache Airflow  نسخه‌های 1.10.0 تا 2.6.3 را تحت تأثیر قرار خواهد داد.

توصیه‌های امنیتی
 به کاربران توصیه می شود که در اسرع وقت Airflow Celery را به نسخه 3.4.1 و Apache Airflow را به نسخه 2.7.0 ارتقا دهند.

منابع خبر:


[1] https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-46215
[2] https://www.openwall.com/lists/oss-security/2023/10/28/1
 

آلوده شدن بیش از یک میلیون سیستم ویندوزی و لینوکسی به بدافزار خطرناک StripedFly

تاریخ ایجاد

بدافزار StripedFly که پیش از این تصور می‌شد یک کریپتوماینر است در واقع یک پلتفرم جاسوسی پیچیده برای سیستم‌های ویندوزی و لینوکسی بوده است که می‌تواند در حملاتی از جمله حملات باج‌افزاری، جاسوس‌افزاری و حملات تهدید مانای پیشرفته( APT ) مورد استفاده قرار گیرد. این بدافزار در پنج سال فعالیت خاموش خود تاکنون بیش از یک میلیون سیستم‌ ویندوزی و لینوکسی را آلوده کرده است. کسپرسکی این بدافزار را برای اولین بار در سال 2022 میلادی شناسایی کرد اما شواهدی وجود دارد که نشان می‌دهد این بدافزار فعالیتش را به عنوان ماینر ارز دیجیتال از سال 2016 میلادی آغاز کرده است. این بدافزار قابلیت‌های پیشرفته‌ای دارد که عبارتند از:
•    سرقت کلمه عبور
•    ذخیره اسکرین‌شات صفحه قربانی
•    استفاده از روش پنهان‌سازی ترافیک ارتباطی مبتنی بر TOR
•    به‌روزرسانی خودکار
•    اکسپلویت سفارشی آسیب‌پذیری  EternalBlue SMBv1 
•    و  قابلیت‌های انتشار کرم‌گونه در شبکه
زنجیره آلودگی بدافزار StripedFly در شکل زیر نشان داده می‌شود. این بدافزار اولین بار با شناسایی شِل‌کد مخربی که به پردازه WININIT.EXE تزریق شده بود، توسط کسپرسکی اعلام شد. WININIT.EXE فرآیند قانونی سیستم عامل ویندوز است که راه‌اندازی زیرسیستم‌های مختلف را کنترل می‌کند. پس از بررسی شِل‌کد تزریق‌شده، مشخص شد که فایل‌های اضافی مانند اسکریپت‌های پاورشل از سرویس‌های قانونی مانند بیت باکت، گیت هاب و گیت لب دانلود و اجرا می‌شوند. بررسی‌های بیشتر مشخص کرد که سیستم‌های آلوده احتمالا برای اولین بار با استفاده از اکسپلویت سفارشی EternalBlue SMBv1 که کامپیوترهای در معرض اینترنت را هدف قرار می‌داد مورد نفوذ قرار گرفته‌اند. آخرین پیلود این بدافزار (system.img) از یک کلاینت شبکه TOR برای محافظت از شنود ارتباطات شبکه‌اش استفاده کرده است. همچنین قابلیت غیرفعال کردن پروتکل  SMBv1و توزیع و آلوده‌سازی سایر سیستم‌های ویندوز و لینوکس درون شبکه هدف با استفاده از پروتکل‌های SSH و EternalBlue را دارد. 

شکل

StripedFly  برای ماندگاری در سیستم‌های ویندوزی، رفتار خود را بر اساس سطح امتیازاتی که روی آن اجرا می‌شود و وجود پاورشل در سیستم تنظیم می‌کند. در صورت وجود پاورشل، اسکریپت‌هایی را برای ایجاد تسک‌های زمان‌بندی شده یا تغییر کلیدهای رجیستری ویندوز اجرا می‌کند. این کار باعث می‌شود که بدافزار پس از راه‌اندازی مجدد سیستم نیز اجرا شود. در صورت عدم وجود پاورشل، فایلی مخفی در دایرکتوری %APPDATA% ایجاد می‌کند که حاوی کدی برای راه‌اندازی مجدد سیستم است. در سیستم‌عامل لینوکس، برای ماندگاری در سیستم سرویس "sd - pam" را برگزیده است. sd-pam  سرویس systemd  است که برای مدیریت ورود به سیستم استفاده می‌شود. بدافزار از این سرویس برای ایجاد سرویسی جدید استفاده می‌کند که پس از راه‌اندازی مجدد سیستم اجرا ‌شود.
مخازن بیت‌باکت که پیلود نهایی را به سیستم‌های ویندوزی رسانده‌اند نشان می‌دهد که بین آوریل ۲۰۲۳ تا سپتامبر ۲۰۲۳، نزدیک به ۶۰ هزار سیستم آلوده شده است. این بدان معناست که StripedFly هم‌اکنون در حال توزیع بوده و شمار سیستم‌های آلوده در حال افزایش است. برآورد می شود که StripedFly از فوریه ۲۰۲۲ حداقل ۲۲۰ هزار سیستم ویندوز را آلوده کرده که تعداد بسیار قابل‌توجهی است. متاسفانه آمار قبل از آن در دسترس نیست. بدین ‌ترتیب ممکن است StripedFly مدت‌ها قبل از سال ۲۰۲۲ وجود داشته و تعداد سیستم‌های آلوده بسیار بیشتر باشد. کسپرسکی تخمین می‌زند در پنج سال گذشته، بیش از ۱ میلیون سیستم با StripedFly آلوده شده‌اند.

شکل

این بدافزار، به عنوان یک فایل اجرایی باینری یکپارچه با مولفه‌های قابل اتصال عمل می‌کند و به نظر می‌رسد با عملیات‌های حملات APT تطابق دارد. برخی از ماژول‌های این بدافزار عبارتند از:
•    Configuration storage: پیکربندی بدافزار را به صورت رمزگذاری شده ذخیره می‌کند.
•    Upgrade/Uninstall: به روز رسانی یا حذف را بر اساس دستورات سرور C2 مدیریت می‌کند.
•    Reverse proxy: اجازه دسترسی از راه دور به شبکه قربانی را می‌دهد. 
•    Miscellaneous command handler: دستورات مختلف اعم از اجرای پاورشل و ذخیره اسکرین‌شات را اجرا می‌کند.
•    Credential harvester: داده‎های حساس کاربران مانند کلمات عبور و نام‌های کاربری افراد را اسکن و جمع‌آوری می‌کند.
•    Repeatable tasks : وظایف خاصی را تحت شرایط خاصی انجام می‌دهد، برای نمونه ضبط صدا.
•    Recon module : اطلاعات دقیق سیستم را به سرور C2 ارسال می‌کند.
•    SSH infector: از اعتبارنامه‌های SSH برای نفوذ به سیستم‌های دیگر استفاده می‌کند.
•    SMBv1 infector: با استفاده از اکسپلویت سفارشی EternalBlue به سایر سیستم‌های ویندوز نفوذ می‌کند. این کار ممکن است با استفاده از آلودگی از طریق کرم‌ها باشد. 
•    Monero mining module : استخراج monero، در حالی که به عنوان فرآیند در chrome.exe استتار شده است.
حضور ماینر کریپتو Monero باعث انحراف افکاری عمومی برای ماهیت واقعی این بدافزار شده بود. در ابتدا StripedFly  به عنوان یک بدافزار استخراج ارز دیجیتال در نظر گرفته می‌شد. این تصور ناشی از این واقعیت بود که بدافزار دارای ماینر Monero بود که از پردازنده سیستم آلوده برای استخراج ارز دیجیتال استفاده می‌کرد. با این حال، تحقیقات بیشتر نشان داد که StripedFly توانایی‌های دیگری نیز دارد. در گزارش کسپرسکی اشاره شده است که پیلود بدافزار شامل مولفه ‌های مختلفی است که هر یک برای هدفی خاص طراحی شده‌اند. این مولفه‌ها به تفکیک اهدافشان عبارتند از:
•    مولفه استخراج Monero؛
•    مولفه سرقت اطلاعات؛
•    مولفه بهره‌برداری از آسیب‌پذیری‌های سیستم؛
•    مولفه اجرای حملات باج‌افزاری.
علت وجود مولفه استخراج Monero آن است که ارز دیجیتالMonero، تا اواسط سال 2018 به اوج ارزش خود رسید (542.33 دلار) ؛ این در حالی است که در سال 2017، 10 دلار بود. ارزش بالای ارز دیجیتال Monero  باعث می‌شود که استخراج این ارز برای مهاجمان جذاب باشد. لیکن وجود این مولفه برای بدافزار مزیتی دیگر داشت. کارشناسان امنیتی تاکید دارند که ماژول استخراج، عامل اصلی بود که باعث شد بدافزار، برای مدت طولانی قابل شناسایی نباشد. مهاجمان از مولفه استخراج Monero برای پنهان کردن فعالیت‌های مخرب خود استفاده می‌کردند. 
همچنین ارتباطاتی میان این بدافزار و باج افزارThunderCrypt   شناسایی شد که نشان می‌دهد ممکن است هر دو بدافزار توسط یک گروه توسعه‌دهنده ایجاد شده باشند. متاسفانه این امر بیانگر آن است که مهاجمان می‌توانند از چندین بدافزار برای رسیدن به اهداف خود استفاده کنند. 
با توجه به گستردگی بدافزار توصیه می‌شود سیستم خود را نسبت به وجود علائم آلودگی به این بدافزار بررسی نمایید. 
ارتباط با سرور فرماندهی و کنترل:

 

gpiekd65jgshwp2p53igifv43aug2adacdebmuuri34hduvijr5pfjad[.]onion ghtyqipha6mcwxiz[.]onion

ajiumbl2p2mjzx3l[.]onion

ارتباطات شبکه‌ای با:

 

bitbucket[.]org/JulieHeilman/m100-firmware-mirror/downloads/
bitbucket[.]org/upgrades/um/downloads/
bitbucket[.]org/legit-updates/flash-player/downloads
gitlab[.]com/JulieHeilman/m100-firmware-mirror/raw/master/
gitlab[.]com/saev3aeg/ugee8zee/raw/master/
github[.]com/amf9esiabnb/documents/releases/download/
tcp://pool.minexmr[.]com:4444
tcp://mine.aeon-pool[.]com:5555
tcp://5.255.86[.]125:8080
tcp://45.9.148[.]21:80
tcp://45.9.148[.]36:80
tcp://45.9.148[.]132:8080

وجود فایل‌هایی با هش‏های زیر در سیستم:

system.img

b28c6d00855be3b60e220c32bfad2535 18f5ccdd9efb9c41aa63efbe0c65d3db 2cdc600185901cf045af027289c4429c 54dd5c70f67df5dc8d750f19ececd797 d32fa257cd6fb1b0c6df80f673865581 c04868dabd6b9ce132a790fdc02acc14 c7e3df6455738fb080d741dcbb620b89 d684de2c5cfb38917c5d99c04c21769a a5d3abe7feb56f49fa33dc49fea11f85 35fadceca0bae2cdcfdaac0f188ba7e0

delta.dat

00c9fd9371791e9160a3adaade0b4aa2 41b326df0d21d0a8fad6ed01fec1389f

delta.img

506599fe3aecdfb1acc846ea52adc09f 6ace7d5115a1c63b674b736ae760423b

ota.dat

2e2ef6e074bd683b477a2a2e581386f0 04df1280798594965d6fdfeb4c257f6c

ota.img

abe845285510079229d83bb117ab8ed6 090059c1786075591dec7ddc6f9ee3eb

ThunderCrypt

120f62e78b97cd748170b2779d8c0c67 d64361802515cf32bd34f98312dfd40d

منبع خبر

 

https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/ 


 

سرقت اطلاعات ایمیل و کلمه عبور مرورگر سافاری دستگاه‌های اپل از طریق حمله جدید iLeakage

تاریخ ایجاد

حمله iLeakage که بر روی تمامی دستگاه‌های اخیر اپل قابل اجرا می‌باشد می‌تواند اطلاعات حساس را از مرورگر وب سافاری استخراج کرده و منجر به افشای آن‌ها شود. محققان دانشگاهی از روش جدیدی که از API جاوا اسکریپت  window.open استفاده می‌کند و به صفحه مهاجم اجازه می‌دهد تا فضای آدرسی مشابه صفحات قربانی دلخواه را به اشتراک بگذارد، استفاده کرده‌اند. کد اثبات مفهوم برای این حمله در جاوا اسکریپت و WebAssembly ارائه شده است. همچنین ویدئویی منتشر شده است که در آن نشان داده می‌شود که چگونه پیام‌های جیمیل در مرورگر سافاری یک دستگاه آی‌پد با استفاده از حمله iLeakage بازیابی شدند. شرط اساسی برای انجام حمله این است که کاربر قربانی با صفحه مهاجم تعامل داشته باشد. محققان از همین روش جهت بازیابی رمز عبور یک حساب کاربری آزمایشی اینستاگرام استفاده کردند که به طور خودکار در مرورگر وب سافاری با استفاده از سرویس مدیریت رمز عبور LastPass درج شده بود. جزئیات بیشتر در خصوص این حمله و روش‌هایی که جهت دور زدن اقدامات کاهش‌دهنده اپل از آن استفاده می‌شود، در مقاله به نشانی زیر موجود است:


https://ileakage.com/files/ileakage.pdf


محصولات تحت تأثیر
حمله iLeakage همه دستگاه‌های اپل را که از سال 2020 عرضه شده‌اند و از پردازنده‌های ARM سری A و سری M اپل پشتیبانی می‌کنند، تحت تاثیر قرار می‌دهد. به عبارت دیگر، تمام انواع دستگاه‌های iPhone و Mac تولیدی شرکت اپل از سال 2020 تحت تاثیر این حمله قرار گرفته‌اند. از این حمله می‌توان جهت بازیابی اطلاعات با دقت تقریباً زیاد از سافاری، فایرفاکس، Tor و Edge در iOS استفاده کرد. این حمله تا حد زیادی غیرقابل شناسایی است و هیچ ردی از خود بر روی سیستم قربانی به شکل log‌ها، باقی نمی‌گذارد (احتمالاً به غیر از ورود یک صفحه وب مهاجم به حافظه پنهان مرورگر). با این وجود، محققان تاکید می‌کنند که انجام این حمله دشوار است و به دانش پیشرفته‌ای نیاز دارد.

توصیه‌های امنیتی
این حملات می‌توانند جهت نشت داده‌های حساس از پردازنده‌های مدرن مورد استفاده قرار گیرند. به عنوان نمونه دیگری از چنین حملات، می‌توان به کشف حمله RowPress که در واقع نوعی از حمله RowHammer به تراشه‌های DRAM است، اشاره نمود.
حمله iLeakage در 12 سپتامبر 2022 به طور خصوصی به اپل گزارش شد و این شرکت اقدامات کاهشی زیر را برای macOS ارائه داده است:
1)    ترمینال را باز کنید و defaults write com.apple.Safari IncludeInternalDebugMenu 1 را اجرا کنید تا منوی Debug پنهان سافاری فعال شود.
2)    سافاری را باز کنید و به منوی Debug که به تازگی قابل مشاهده است بروید.
3)    گزینه WebKit Internal Features را انتخاب کنید.
4)    لیست را پیمایش کرده و گزینه Swap Processes on Cross-Site Window Open را فعال کنید.

 

1

منوی تنظیمات اشکال‌زدایی سافاری (ileakage.com)

باید توجه داشت که اعمال این تغییرات ممکن است باعث ایجاد برخی بی ثباتی‌ها در دستگاه کاربران شود. اگر کاربران بخواهند آن را غیرفعال کنند، می‌توانند از منوی Debug با اجرای دستور com.apple.Safari IncludeInternalDebugMenu 0 در ترمینال، این کار را انجام دهند. 

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/new-ileakage-attack-steals-emails-passwords-from-app…
[2] https://thehackernews.com/2023/10/ileakage-new-safari-exploit-impacts.html
[3]https://www.helpnetsecurity.com/2023/10/27/ileakage-attack-mac-address-leakage/#:~:text=iLeakage%20….

کشف آسیب‌پذیری بحرانی در Mirth Connect و امکان افشای اطلاعات

تاریخ ایجاد

ابزار Mirth Connect یک پلتفرم یکپارچه‌سازی داده‌های Open source و محصول شرکت NextGen HealthCare می‌باشد. این ابزار در صنعت مراقبت‌های بهداشتی جهت برقراری ارتباط و تبادل داده‌ها بین سیستم‌های مختلف، به شیوه‌ای استاندارد استفاده می‌شود. این آسیب‌پذیری با شناسه CVE-2023-43208   منجر به اجرای کد از راه دور توسط مهاجم احراز هویت نشده خواهد شد.
ناوین سانکاوالی از Horizon3.ai در گزارشی اعلام کرد که آسیب‌پذیری اخیر یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت است و به راحتی قابل بهره‌برداری می‌باشد. مهاجمان به احتمال زیاد می‌توانند از این آسیب‌پذیری برای ایجاد دسترسی اولیه یا به خطر انداختن داده‌های حساس مراقبت‌های بهداشتی بهره‌برداری کنند. 
نسخه‌های Mirth Connect تحت تاثیر این آسیب‌پذیری، مربوط به سال‌های 2015-2016 هستند و به همین دلیل جزئیات فنی بیشتری درباره این نقص منتشر نشده است. با این وجود اینطور به نظر می‌رسد که آسیب‌پذیری با شناسه CVE-2023-43208 در واقع تلاشی جهت دور زدن وصله‌های منتشر شده برای آسیب‌پذیری با شناسه CVE-2023-37679 (امتیاز CVSS: 9.8)، می‌باشد. آسیب‌پذیری با شناسه CVE-2023-37679 یک آسیب‌پذیری بحرانی اجرای فرمان از راه دور ( RCE) در نرم افزار است که به مهاجمان اجازه می‌دهد تا دستورات دلخواه را بر روی سرور میزبان اجرا کنند. در حالی که تیم‌های نگهداری و پشتیبانی Mirth Connect اعلام کرده‌ بودند که CVE-2023-37679 فقط بر سرورهای با نسخه 8 جاوا تأثیر می‌گذارد، تجزیه و تحلیل Horizon3.ai نشان داد که همه نمونه‌های Mirth Connect، صرف نظر از نسخه جاوا، مستعد این نقص امنیتی می‌باشند.

محصولات تحت تأثیر
براساس تحقیقات صورت گرفته، نسخه‌های Mirth Connect مربوط به سال‌های 2015-2016 در معرض این آسیب‌پذیری قرار دارند. هر چند متاسفانه در وب‌سایت شرکت NextGen HealthCare، هیچ هشدار خاصی در خصوص لزوم توجه به این آسیب‌پذیری دیده نشده است. تنها مطلب موجود در وب‌سایت این شرکت، به بهبود امنیت نسخه 4.4.1 اشاره دارد:
» Mirth Connect از کتابخانه XStream استفاده می‌کند که دارای یک خطر امنیتی بالقوه است و اجازه می‌دهد انواع اشیاء مختلف از طریق آن پردازش شوند. بنابراین در نسخه جدید و با استفاده از یک لیست اشیاء مجاز، به جای فهرستی از موارد غیرقابل قبول، شرایط پذیرش را محدودتر نموده‌ایم. انواع مجاز آن‌هایی هستند که برای عملکرد Mirth Connect کاملاً ضروری هستند.»
همچنین براساس اخبار منتشر شده در وب سایت این شرکت، در نسخه جدید، به دلیل آسیب‌پذیری‌های عنوان شده در OpenSSL 3.0.2 از OpenSSl 3.1.3 استفاده شده است.

توصیه‌های امنیتی
با توجه به سهولت بهره‌برداری از این آسیب‌پذیری، توصیه می‌شود که در اسرع وقت ابزار Mirth Connect، به‌ویژه در مواردی که از طریق اینترنت در دسترس عموم هستند، به نسخه 4.4.1 که در 6 اکتبر 2023 منتشر شده است به‌روزرسانی شود تا تهدیدات احتمالی در این زمینه کاهش یابد. 

منابع خبر:


[1] https://thehackernews.com/2023/10/critical-flaw-in-nextgens-mirth-connect.html
[2] https://www.nextgen.com//solutions/interoperability/mirth-integration-engine/mirth-connect-downloads
[3] https://github.com/nextgenhealthcare/connect/wiki/4.4.1---What's-New

استفاده هکرها از درب پشتی مبتنی بر GO برای سرقت اطلاعات از سازمان های دولتی و صنعتی

تاریخ ایجاد

براساس گزارشات ارائه شده توسط کسپرسکی، یک بدافزار درب پشتی جدید مبتنی بر GO کشف شده است که سازمان های دولتی و صنعتی را مورد حمله قرار داده و داده های مهم و حساس این سازمان ها را به سرقت می برد. همچنین بدلیل ماندگاری آن در سیستم می تواند در عملیات های جاسوسی نیز کاربر داشته باشد. 
شرکت کسپرسکی برای اولین بار این کمپین را در ژوئن 2023 شناسایی کرده است درحالیکه در اواسط آگوست، نسخه جدیدتری از این درب پشتی شناسایی شده که نشان دهنده بهینه سازی مداوم حملات است.
نقطه شروع این حمله، یک ایمیل حاوی فایل آرشیو (Nullsoft) مخرب ARJ با نام finalsonvy_kontrol_2023_180529.rar است. این فایل حاوی یک سند Pdf مخرب است که برای فریب کاربر استفاده می شود و یک اسکریپت NSIS دارد که پیلود اولیه را از آدرس fas-gov-ru[.]com واکشی کرده و راه‌اندازی می‌کند. بارگذاری این پیلود بدافزاری نیز در مسیر C:/Program Data/Microsoft/DeviceSync با نام UsrRunVGA.exe صورت می گیرد.

شکل

کسپرسکی در این باره گفته است که این حمله فیشینگ دو درب پشتی دیگر با نام های Netrunner و Dmcserv را توزیع می کند که بدافزارهایی با پیکربندی های مختلف سرور C2 هستند. این اسکریپت فایل های اجرایی مخرب را در یک مسیر مخفی کپی و راه اندازی می کند و برای حفظ حالت ماندگاری در سیستم، خود را به Start Menu سیستم اضافه می کند.
در کل عملکرد درب‌پشتی شامل موارد زیر است:
•    لیست‌کردن فایل‌ها و پوشه‌ها در یک مسیر مشخص
•    انتقال فایل‌ها به سیستم به سرور C2
•    دریافت محتوای Clipboard و ارسال آن به سرور C2
•    گرفتن اسکرین‌شات از سیستم و ارسال آن به سرور C2
•    جستجوی دیسک برای فایل‌هایی با پسوندهای مشخص مانند .doc، .ppt، .xls، .pdf، .pem و غیره

 

برای جلوگیری از شناسایی توسط راه حل‌های نظارت شبکه تمام داده‌های مبادله شده بین سیستم و سرور C2 با استفاده از الگوریتم AES رمزگذاری می‌شود. همچنین برای جلوگیری از تحلیل، نام کاربری، نام سیستم و لیست مسیرها را برای شناسایی محیط اجرایی مجازی و حقیق بررسی می کند تا در صورت تشخیص محیط مجازی از حالت اجرا خارج شود.

در اواسط ماه آگوست، کسپرسکی نوع جدید از این درب پشتی را شناسایی کرد که تغییرات جزئی مانند حذف برخی از بررسی های اولیه و افزودن قابلیت های جدید سرقت فایل را به همراه داشت. مهمتر از همه در نسخه جدید ماژولی اضافه شده است که رمزعبورهای ذخیره شده کاربر را در 27 مدل مرورگر و ایمیل-سرورهای مختلف مورد هدف قرار می دهد. کلید رمزگذاری AES نیز در نسخه جدید بروز شده و الگوریتم رمزنگاری نامتقارن RSA برای محافظت از ارتباط قرمان و کلاینت C2 اضافه شده است.
با توجه به نقطه شروع حمله و کارکرد بدافزار توصیه می شود که کاربران از باز کردن ایمیل های مشکوک خودداری کرده و از یک آنتی ویروس معتبر با پایگاه امضاء به روز شده در سیستم های نقاط پایانی استفاده کنند.
منبع

https://www.bleepingcomputer.com/news/security/hackers-backdoor-russian-state-industrial-orgs-for-d…

رفع آسیب‌پذیری بحرانی در سرور vCenter

تاریخ ایجاد

به کمک VMware می‌توان شبکه‌های مجازی پیچیده‌ای را راه‌اندازی نمود و انواع نرم‌افزارها را در بسیاری از محیط‌ها به طور همزمان اجرا کرد و تمامی این موارد را می‌توان تنها روی یک سیستم انجام داد. با استفاده از VMware می‌توان بدون نیاز به انجام عملیات پارتیشن بندی دوباره هارد، سیستم‌عامل جدیدی را نصب کرد و نیز بدون نیاز به بوت کردن مجدد سیستم، بین سیستم‌عامل‌های نصب شده جا به جا شد.
شرکت VMware‌ به‌روزرسانی‌ امنیتی را جهت رفع یک آسیب‌پذیری بحرانی که می‌تواند منجر به اجرای کد از راه دور در سرور‌های vCenter‌ شود، منتشر کرده است. همچنین برای آسیب‌پذیری دیگری با عنوان افشای جزئی اطلاعات نیز وصله‌ای ارائه کرده است.
سرور vCenter‌، محصولی است که به شما توانایی پیکربندی، پیاده‌سازی و مدیریت ماشین مجازی را از یک مکان خاص می‌دهد. از vCenter جهت مدیریت چندین هاست ESXi استفاده می‌شود. سرور vCenter خود یک ماشین مجازی است که به هنگام نصب vSphere پیاده‌سازی می‌شود.
هر محیط مجازی به حداقل یک سرور vCenter نیاز دارد. هنگامی‌که vCenter نصب شد، از طریق یک GUI قابل ‌دسترسی بوده و بدین ترتیب می‌توان تمام بخش‌های مجازی شده را مدیریت کرد. از vCenter برای مدیریت ماشین‌های مجازی، مدیریت دامنه و همچنین مدیریت زیرساخت استفاده می‌شود.

vCenter قطب مرکزی مدیریت vSphere suit در VMware‌ است و به ادمین‌ها در اداره و رصد زیرساخت‌هایی که مجازی‌سازی شده‌اند کمک می‌کند.
vSphere suit قالبی از نرم‌افزارهای مجازی‌سازی است، که شامل ESXi، vCenter server و دیگر اجزائی است که اعمال مختلفی را در محیط vSphere‌ پوشش می‌دهند.
در ماه ژوئن، VMware‌ نقص‌های بحرانی در vCenter server را وصله کرده ‌بود که خطر اجرای کد و دورزدن فرآیند احراز هویت را کاهش می‌داد. همچنین پس از بهره‌برداری از آسیب‌پذیری Zero-Day در سیستم‌عامل ESXi از vSphere suit، پس از هشدار به کاربران، وصله‌ای برای آن منتشر کرد.

آسیب‌پذیری اجرای کد از راه دور، که شناسه CVE-2023-34048 و شدت 9.8  به آن اختصاص داده شده است، برآمده از یک نقص نوشتن خارج از دامنه (out-of-bounds write) در پیاده‌سازی پروتکل DCE/RPC در vCenter است. در آسیب‌پذیری out-of-bounds write، داده‌ها قبل از شروع یا بعد از پایان بافر مورد نظر نوشته می‌شوند.
مهاجمان می‌توانند با حملاتی با پیچیدگی پایین که به تعامل با کاربر هم نیازی ندارد از این آسیب‌پذیری از راه دور بهره‌برداری کنند؛ البته شرکت اذعان کرده که هیچ سرنخی مبنی بر اینکه در حال حاضر از این نقص امنیتی در حملات استفاده می‌شود در دسترس نیست.
دیگر آسیب‌پذیری که با شناسه CVE-2023-3456 و شدت 4.3 ردیابی می‌شود می‌تواند توسط کاربرانی بدون دسترسی‌های ادمین برای دستیابی به اطلاعات حساس مورد بهره‌برداری قرار گیرد.
 

محصولات تحت تأثیر
به طور کلی VMware vCenter server و VMware cloud functions از آسیب‌پذیری‌هایی که شرح آن‌ها بیان شد، تاثیر می‌پذیرند.
پورت‌های شاخص که به بهره‌برداری‌های احتمالی از این آسیب‌پذیری مربوط می‌شوند عبارتند از:

 2012/tcp _

 2014/tcp _

 2020/tcp _

توصیه‌های امنیتی
شرکت VMware اعلام کرده‌ است:« از آنجا که آسیب‌پذیری CVE-2023-34048، بحرانی به حساب می‌آید، وصله‌ای به صورت عمومی حتی برای محصولاتی که منقضی شده‌اند و دیگر به صورت فعال پشتیبانی نمی‌شوند نیز ارائه شده ‌است. از جمله این موارد می‌توان به سرور vCenter نسخه‌های 6.7U3، 6.5U3 و VCF 3.x اشاره کرد.
همچنین وصله‌هایی برای سرورهای 8.0U1 و وصله‌هایی برای سرورهای Async vCenter: VCF5.x, 4.x منتشر شده‌اند.»
با توجه به اینکه هنوز راه‌حلی جهت رفع آسیب‌پذیری‌های فوق در دسترس نیست، VMware  از تمام ادمین‌ها می‌خواهد تا دسترسی محلی شبکه به اجزای مدیریتی و زیرساختی vSphere از جمله اجزای شبکه و حافظه را به شدت تحت نظارت و کنترل بگیرند.
 

منابع خبر:


[1]https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-code-execution-flaw-in-vcenter…
[2]https://www.vmware.com/security/advisories/VMSA-2023-0023.html

آسیب‌پذیری با شدت بالا در Linux Kernel

تاریخ ایجاد

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-5717 و شدت 7.8 در Linux Kernel شامل مؤلفه Linux Kernel Performance Events (perf) شناسایی شده است که امکان نوشتن خارج از محدوده جهت بالابردن سطح دسترسی مهاجم در سیستم را فراهم می‌آورد. اگر ()perf_read_group فراخوانی شود در حالی که sibling_list یک رویداد کوچکتر از sibling_list فرزند آن باشد، می‌تواند خارج از بافر اختصاص داده شده درج شود.

محصولات تحت تأثیر
این آسیب‌پذیری مولفه Linux Kernel Performance Events (perf) در Linux Kernel را تحت تأثیر خود قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء  Linux Kernel خود اقدام نمایند:

  • 32671e3799ca2e4590773fd0e63aaa4229e50c06 


منبع خبر:


[1]https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/kernel/events?id=32671e37…  

کشف آسیب‌پذیری در فایروال Pfsense

تاریخ ایجاد

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-29973 در Pfsense شناسایی شده است که به‌دلیل عدم بررسی محدویت‌های استخراج داده در یک سرور وب‌سایت، امکان ایجاد چندین کاربر مخرب در فایروال را برای مهاجم فراهم می‌آورد. کنترل مهاجم بر روی فایروال از راه دور از طریق ssh با نام کاربری مخرب و رمز عبور، یک مسئله‌ای حائز اهمیت برای هر سازمان می‌باشد.

محصولات تحت تأثیر
این آسیب‌پذیری Pfsense CE نسخه 2.6.0 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
از آنجا که نقص امنیتی مذکور، پروتکل‌ها و سیاست‌های رمز عبور را مورد هدف قرار می‌دهد، توصیه به رعایت نکات زیر لازم می‌باشد:
•    اعمال محدویت رعایت حداقل و حداکثر طول کاراکترهای رمزعبور
•    عدم استفاده مجدد از یک رمز عبور تکراری
•    عدم استفاده از رمزهای عبور رایج و قابل حدس
•    عدم استفاده از یک رشته متنی مشخص در رمز عبور (مانند شناسه کاربری و ...)
•    استفاده از رمزهای عبور پیچیده که به مجموعه کاراکترهای ترکیبی نیاز دارند (ترکیب حروف، اعداد و علائم)
افزایش تعداد کاراکترهای رمزعبور حدس زدن و به سرقت بردن آن را سخت‌تر می‌کند و ممکن است برای سیستم‌هایی که بر احراز هویت تک عاملی تکیه دارند مناسب باشد؛ اما متأسفانه، به خاطر سپردن رمز عبور پیچیده ممکن است دشوار باشد و کاربر را تشویق به انتخاب رمز عبور کوتاه یا مدیریت اشتباه رمز عبور کند.
از دیگر معایب این روش آن است که به دلیل استفاده قابل حدس از نمادهای مختلف توسط کاربران، غالبا پیچیدگی کلی رمز عبور افزایش نخواهد یافت و انتخاب یک عبارت عبور خوب آسان نیست و حتی می‌توان رمزهای عبور ضعیف ایجاد کرد. ممکن است برای تشویق گذرواژه‌های طولانی و غیرقابل پیش‌بینی، به برخی درخواست‌ها نیاز باشد.
•    انتخاب رمزعبور تصادفی
•    اعمال منقضی شدن رمز عبور پس از یک بازه زمانی مشخص
در زمانی که استفاده از رمزهای عبور پیچیده و طولانی مورد نظر نیست، تغییر دوره‌ای آن می‌تواند روشی کارآمد باشد.
در کلیه موارد فوق‌الذکر، رعایت سایر نکات امنیتی از جمله خودداری از ذخیره رمزعبور، عدم استفاده از کلمات مشخص، نمادها و یا استفاده از رمزهای عبور رایج  و غیره باید رعایت شود.

منبع خبر:


[1] https://www.esecforte.com/cve-2023-29973-no-rate-limit

انتشار به‌روزرسانی جعلی مرورگر گوگل کروم و استقرار بدافزار جدید FakeUpdateRU

تاریخ ایجاد

محققان امنیتی در خصوص کمپین جدید به‌روزرسانی مرورگر کروم جعلی هشدار دادند که از بدافزار جدیدی به نام FakeUpdateRU برای فریب کاربران و دانلود یک تروجان دسترسی از راه دور استفاده می-کند. این کمپین پس از اینکه بدافزار قبلاً وب‌سایت‌های متعددی را تحت تأثیر قرار داده بود، آشکار شد که بعداً توسط Google نیز مورد توجه قرار گرفت.
به گفته محققان Sucuri، این بدافزار هم بر سایت‌های وردپرس و هم بر پلتفرم‌های CMS تأثیر می‌گذارد. به این صورت که: 
•    بدافزار فایل اصلی index.php را بازنویسی می‌کند تا محتوای وب‌سایت را با یک پوشش مخرب جایگزین کند.
•    در برخی موارد، بدافزار در فایل‌های index.html تحت پوشه wp-content تزریق شده است.
•    برخی از این وب‌سایت‌های آلوده حاوی کد جاوا اسکریپت بودند که برای ارتباط با کانال تلگرام استفاده می‌شود.
•    مهاجمان از تلگرام جهت مدیریت اعلان‌ها، استفاده خواهند کرد.
اخیراً، محققان Sekioa کمپین مشابهی را مشاهده کردند که از بدافزار جدید ClearFake استفاده کرده است. راهکارها و روش‌های مورد استفاده در کمپین مشابه کمپین‌های SocGholish و FakeSG بود که عمدتاً حول محور استفاده از روش‌های مهندسی اجتماعی و فریب کاربران برای نصب به‌روزرسانی‌های جعلی مرورگر وب بود.

محصولات تحت تاثیر
بررسی‌ها نشان می‌دهد که حمله اخیر مبتنی بر فریب کاربران جهت دانلود نسخه‌های جعلی و آلوده مرورگر کروم شرکت گوگل بوده است. اما با توجه به سوابق پیشین آن، امکان آلوده بودن ابزارهای مشابه نیز وجود دارد.

توصیه‌های امنیتی
ظهور یک بدافزار جدید جعلی به‌روزرسانی Google Chrome یادآور این است که ارتقاء مرورگر/ها با استفاده از رویه‌های استاندارد از اهمیت بالایی برخوردار است. به کاربران توصیه می شود که به طور مرتب بر افزونه‌ها و تم‌های مورد استفاده در سایت‌های خود نظارت کنند. پشتیبان‌گیری منظم از وب‌سایت‌ها و پیاده‌سازی صحیح پیکربندی‌های فایروال جهت جلوگیری از حملات بدافزارهایی مانند FakeUpdateRU بسیار مهم است.

منبع خبر:


[1] https://cyware.com/news/fakeupdateru-new-malware-camouflaged-as-fake-chrome-update-ae537160

آسیب‌پذیری روز صفر در نرم‌افزار Roundcube Webmail

تاریخ ایجاد

یک گروه هکری به نام Winter Vivern از یک نقص روز صفر در نرم‌افزار وب میل Roundcube برای جمع‌آوری پیام‌‌‌های ایمیل از حساب‌‌‌های قربانیان استفاده می‌کند.
محققان امنیتی ESET در گزارشی عنوان کردند که این گروه عملیات خود را با استفاده از آسیب‌پذیری روز صفر در Roundcube افزایش داده است و قبلاً هم از آسیب‌پذیری‌های شناخته‌شده در Roundcube و Zimbra استفاده کرده که اثبات‌های مفهومی برای آن‌ها به صورت آنلاین در دسترس هستند. Winter Vivern در گذشته نیز با بهره‌برداری از نقص دیگری در Roundcube (CVE-2020-35730)، این نرم‌افزار open-source را هدف قرار داده است.

آسیب‌پذیری امنیتی جدید با شناسه CVE-2023-5631 و شدت 5.4، یک نقص XSS ذخیره شده است که می‌‌‌تواند به مهاجم اجازه دهد تا راه دور کد جاوا اسکریپت دلخواه را بارگیری کند.
اجرای حمله با یک پیام فیشینگ آغاز می‌شود که شامل یک payload رمزگذاری شده با Base64 در کد منبع HTML است که با استفاده از نقص XSS، از طریق یک سرور راه دور به یک تزریق جاوا اسکریپت رمزگشایی می‌شود. به طور خلاصه، با ارسال یک پیام ایمیل جعلی خاص، مهاجمان می‌توانند کد جاوا اسکریپت دلخواه را در چارچوب پنجره مرورگر کاربر Roundcube بارگیری کنند. هیچ عملیات دستی دیگری به جز مشاهده پیام در مرورگر وب مورد نیاز نیست!
جاوا اسکریپت مرحله دوم (checkupdate.js) یک loader است که اجرای یک payload نهایی جاوا اسکریپت را تسهیل می‌‌‌کند و به مهاجم اجازه می‌‌‌دهد پیام‌‌‌های ایمیل را به یک سرور فرمان و کنترل (C2) منتقل کند.

Roundcube

شکل 1) نمونه کد جاوا اسکریپت تولید شده

محصولات تحت تأثیر
نسخه‌های 1.4.15، 1.5 تا قبل از 1.5.5 و 1.6 تا قبل از 1.6.4 نرم‌افزار Roundcube تحت تاثیر این آسیب‌پذیری قرار دارند.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود تمام نسخه‌های 1.4، 1.5 و  1.6 این نرم‌افزار را به نسخه‌های جدید به‌روزرسانی کنند.
 

منابع خبر:

[1] https://thehackernews.com/2023/10/nation-state-hackers-exploiting-zero.html
[2] https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
[3] https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15