کشف چند نقص امنیتی مهم OAuth در پلتفرم‌های Grammarly، Vidio و Bukalapak

تاریخ ایجاد

چند نقص امنیتی مهم در اجرایOpen Authorization  (OAuth) سرویس‌های آنلاین محبوب مانند Grammarly، Vidio و Bukalapak، کشف شده است که به مهاجم اجازه خواهد داد به توکن‌های دسترسی، دست یابند و اطلاعات حساب‌های کاربری را به سرقت برد. این نقص‌ها در بازه زمانی فوریه و آوریل 2023 برطرف شده است.
OAuth یک الگوی احراز هویت پیچیده اما امن می‌باشد. این استاندارد معمولاً به عنوان مکانیزمی جهت دسترسی بین برنامه‌ها استفاده می‌شود و به وب‌سایت‌ها یا برنامه‌ها اجازه می‌دهد بدون داشتن رمز عبور، به اطلاعات کاربران در سایر وب‌سایت‌ها مانند فیس‌بوک دسترسی داشته باشند. زمانی که OAuth برای ارائه احراز هویت سرویس استفاده می‌شود، هرگونه نقض امنیتی در آن می‌تواند منجر به سرقت هویت، کلاهبرداری مالی و دسترسی به اطلاعات شخصی مختلف از جمله شماره کارت اعتباری، پیام‌های خصوصی، سوابق سلامت و موارد دیگر، بشود. 
 

1

شکل 1) مکانیزم احراز هویت به کمک توکن OAuth

2

شکل 2) پیاده‌سازی اشتباه و ناقص مکانیزم تایید توکن OAuth و امکان بهره‌برداری از آن

نقص امنیتی شناسایی‌شده در Vidio ناشی از عدم تأیید توکن است، به این معنی که مهاجم می‌تواند از یک توکن دسترسی تولید شده در برنامه دیگر استفاده کند. در یک سناریوی حمله احتمالی، مهاجم می‌تواند یک وب‌سایت مخرب را ایجاد کند که یک گزینه ورود به سیستم را از طریق فیس‌بوک و به منظور جمع‌آوری توکن‌های دسترسی و متعاقباً استفاده از آن‌ها علیه Vidio.com (که دارای شناسه برنامه 92356 است) ارائه می‌دهد، در نتیجه امکان تصاحب کامل حساب نیز فراهم می‌آید.
شرکت امنیتی API اعلام کرده که مشکل مشابهی را در تأیید توکن Bukalapak.com از طریق ورود به فیسبوک کشف کرده است که می‌تواند منجر به دسترسی غیرمجاز به حساب کاربران شود.
در Grammarly، مشخص شد که وقتی کاربران سعی می‌کنند با استفاده از گزینه "Sign in with Facebook" به حساب‌ کاربری خود وارد شوند، یک درخواست HTTP POST به auth.grammarly.com ارسال می‌شود تا با استفاده از یک کد مخفی احراز هویت آن‌ها را تأیید کند. هرچند Grammarly مانند Vidio و Bukalapak مستعد حمله استفاده مجدد توکن نیست، با این وجود در برابر نوع دیگری از حملات، آسیب‌پذیر است که در آن درخواست POST را می‌توان تغییر داد تا کد مخفی را با یک توکن دسترسی به دست آمده از وب سایت مخرب فوق الذکر جهت دسترسی به حساب کاربری جایگزین کند. 

محصولات تحت تأثیر
کلیه وب‌سایت‌ها و محصولاتی که از مکانیزم ورود OAuth استفاده می‌کنند، در صورت عدم پیاد‌ه‌سازی و یا پیاده‌سازی اشتباه مکانیزم تایید توکن، در معرض مخاطرات و جعل احراز هویت و سرقت اطلاعات کاربران هستند. مکانیزم OAuth مورد استفاده بسیاری از شرکت‌های بزرگ حوزه IT/ICT، نظیر مایکروسافت، می-باشد و وب‌سایت‌های زیادی در حال حاضر از این سرویس جهت احراز هویت کاربران خود استفاده می‌کنند.
همچنین باتوجه به محبوبیت و کاربرد زیاد ابزار Grammarly در ایران (به صورت افزونه به MS Word اضافه می‌شود و برای کنترل اشتباهات نگارشی در متون انگلیسی بکار گرفته می‌شود)، لازم است تا کاربران توصیه‌های امنیتی را جدی بگیرند.

توصیه‌های امنیتی
لازم است تا کدهای احراز هویت کلیه وب‌سایت‌ها و ابزارهای سخت‌افزاری و نرم‌افزاری کاربر OAuth از منظر مکانیزم تایید توکن مورد بازبینی جدی امنیتی قرار بگیرد و در صورت نیاز دستورالعمل‌های امنیتی لازم جهت جلوگیری از وقوع رخدادهای مشابه، در دستور کار قرار گیرند.

منابع خبر:


[1] https://thehackernews.com/2023/10/critical-oauth-flaws-uncovered-in.html
[2] https://learn.microsoft.com/en-us/connectors/custom-connectors/troubleshoot
 

ساخت backdoor با نام FireBird توسط تیم هکری DoNot

تاریخ ایجاد

تیم هکری DoNot از یک backdoor جدید مبتنی بر دات‌نت به نام Firebird، در حملات خود استفاده کرده است. تیمDoNot  که با نام‌های APT-C-35، Origami Elephant و SECTOR02 نیز شناخته می‌شود، احتمالاً دارای منشأ هندی است و حملاتش را از مسیر ایمیل‌های فیشینگ و برنامه‌های اندرویدی، جهت انتشار بدافزارها ترتیب می‌دهد. به نظر می‌رسد که این حمله به نوعی پاسخی به حمله ماه قبل تیم‌های هکری پاکستانی با نرم‌افزارهای آلوده شده به تروجان ویندوزی ElizaRAT می‌باشد. با این وجود تیم هکری DoNot سابقه حمله به یک شرکت مخابراتی در نروژ، فعالیت در جنوب آسیا و منطقه کشمیر و حمله به دولت‌ها، وزارت‌های امور خارجه، سازمان‌های نظامی و سفارت‌خانه‌ها را در کارنامه خود دارد.
شرکت امنیت سایبری کسپرسکی که یافته‌هایش را در گزارش روندهای APT خود در سه ماهه سوم 2023 منتشر کرده است، اعلام کرده که زنجیره‌های حمله جهت ارائه یک نرم‌افزار دانلودکننده به نام CSVtyrei پیکربندی شده‌اند که به دلیل شباهت، نام Vtyrei بر آن گذاشته شده است. این شرکت روسی گفت: «وجود کدهای غیرکاربردی در نمونه‌های مورد بررسی حاکی از تلاش‌های توسعه مداوم در این ابزار می‌باشد.» ابزار Vtyrei (با نام مستعار BREEZESUGAR) به یک دنباله و نرم‌افزار اشاره دارد که قبلاً جهت ارائه یک چارچوب بدافزار معروف به RTY مورد استفاده قرار گرفته است. متخصصان امنیتی در بررسی این حملات توسط ابزار ConfuserEx، یک backdoor جدید مبتنی بر دات نت به نام Firebird را کشف نموده‌اند. این backdoor از یک لودر اصلی و حداقل سه پلاگین تشکیل شده است. گفتنی است تمام نمونه‌های آنالیز شده از طریق ConfuserEx، سطح محافظت شده قوی را نشان دادند که منجر به نرخ تشخیص بسیار پایین این backdoor می‌شود. 
این افشاگری به دنبال کشف فعالیت مخرب جدیدی توسط Zscaler ThreatLabz صورت گرفته که توسط تیم هکری پاکستانی Transparent Tribe (معروف به APT36)  انجام شده است. این گروه بخش‌های دولتی هند را با استفاده از مجموعه‌ای از بدافزارهای به‌روز شده، شامل تروجان ویندوزی ElizaRAT که قبلاً مستند نشده است، هدف قرار داده‌اند. سودیپ سینگ، یک محقق امنیتی هندی، ماه گذشته خاطرنشان کرد: «ElizaRAT به‌عنوان یک کد باینری .Net ارائه می‌شود و یک کانال ارتباطی C2 را از طریق تلگرام ایجاد می‌کند که به مهاجم امکان کنترل کامل سیستم قربانی را خواد داد».

محصولات تحت تأثیر
اگرچه در حال حاضر تمرکز حملات انجام شده بر بهره‌بردرای و حمله به ساختارهای ویندوزی بنا نهاده شده است، اما نشانه‌ها حاکی از آن است که گروه هکری DotNet، نیم نگاهی به حمله به سیستم‌های لینوکسی نیز دارد. به عنوان نمونه شرکت Zscaler اعلام کرده‌است که مجموعه کوچکی از فایل‌های ورودی دسکتاپ را شناسایی کرده است که راه را برای اجرای کدهای باینری‌ ELF مبتنی بر پایتون، از جمله GLOBSHELL برای استخراج فایل و PYSHELLFOX برای سرقت داده‌های نشست‌ها از مرورگر فایرفاکس را هموار می‌کند.

توصیه‌های امنیتی
اگرچه حملات اخیر به نوعی نشأت گرفته از روابط سیاسی متشنج دو کشور پاکستان و هند می‌باشد، اما به دلیل وفور کاربرد .Net و ویندوز در کشور و همچنین سرمایه‌گذاری هندی‌ها در بندر چابهار، امکان نفوذ و هدف قرار دادن آن در ایران نیز دور از انتظار نیست. اسکن دقیق نرم‌افزارها و ایمیل‌های با منشاء هند و پاکستان، به‌ویژه نرم‌افزارهای ویندوزی، و به‌روز نگاه داشتن سیاست‌های امنیتی شبکه، مهم‌ترین توصیه‌های امنیتی در کشف و مقابله با حملات اخیر می‌باشد.

منابع خبر:


[1] https://thehackernews.com/2023/10/donot-teams-new-firebird-backdoor-hits.html
[2] https://www.scmagazine.com/brief/afghanistan-pakistan-subjected-to-donot-team-attacks-with-new-back…
[3] https://www.enigmasoftware.com/firebirdbackdoor-removal/

کشف نوع جدید بدافزار ExelaStealer که منجر به سرقت داده‌های خصوصی خواهد شد!

تاریخ ایجاد

یک ابزار سرقت اطلاعات جدید به نام ExelaStealer در سال 2023 کشف شده و به جمع بدافزارهای معروف دیگری مانند RedLine، Raccoon و Vidar پیوست.
شرکت FortiGuard Labs، یک شرکت تحقیقاتی پیشرو در زمینه امنیت سایبری، برای نخستین بار در ماه آگوست خبر از کشف یک بدافزار جدید به نام ExelaStealer داد، اما اکنون این شرکت یافته‌‌‌‌‌های بیشتری را در مورد این تهدید جدید فاش کرده است. 
ابزار ExelaStealer یک بدافزار منبع باز است که می‌‌‌‌‌تواند با پرداخت هزینه، شخصی‌‌‌‌‌سازی شود. این ابزار به زبان پایتون نوشته شده است، اما در صورت نیاز می‌‌‌‌‌تواند از زبان‌‌‌‌‌های دیگری مانند جاوا اسکریپت نیز استفاده کند. بدافزار ExelaStealer به دلیل استراتژی تبلیغاتی خود در دارک‌وب مورد توجه قرار گرفته است. توسعه‌دهندگان هر دو نسخه رایگان و پولی را با قیمت‌‌‌‌‌های متفاوت، بسته به ویژگی‌‌‌‌‌های آن، ارائه داده‌‌‌‌‌اند. این تبلیغات توسط شخصی به نام quicaxd ارسال می‌‌‌‌‌شود که به نظر می‌‌‌‌‌رسد توسعه‌‌‌‌‌دهنده و فروشنده اصلی ExelaStealer باشد.
 

1

شکل 1) تبلیغاتی که جزئیات قابلیت‌های اصلی بدافزار و برخی از گزینه‌های ساخت را نشان می‌دهد.

2

شکل 2) تبلیغ بدافزار ExelaStealer توسط quicaxd

همانطور که در شکل 2 نشان داده شده است، هزینه ماهانه استفاده از این ابزار 20 دلار، هزینه 3 ماه استفاده 45 دلار و هزینه استفاده مادام العمر آن 120 دلار آمریکا می‌‌‌‌‌‌باشد. کانال تلگرامی این بدافزار حداقل تا ماه آگوست فعال بوده است، هر چند ظاهراً این کانال در حال حاضر دیگر در دسترس نیست. این کانال امکان خرید نسخه‌‌‌‌‌‌های پولی را فراهم می‌‌‌‌‌‌آورد؛ همچنین یک لینک GitHub  نیز برای دسترسی به نسخه متن باز این ابزار در این کانال قرار گرفته است.

3

شکل 3) کانال تلگرامی تبلیغات بدافزار ExelaStealer توسط quicaxd

برای ساخت ExelaStealer، باید به کد منبع و یک میزبان مبتنی بر ویندوز دسترسی داشت. فایل اصلی Exela.py است که توسط فایل obf.py رمزنگاری شده است تا تجزیه و تحلیل آن دشوارتر شود.
 

4

شکل 4) کد منبع Exela.py

پس از دانلود کد منبع باز این بدافزار، فرایند ساخت آن با استفاده از یک فایل دسته‌‌‌‌‌‌‌ای به زبان پایتون به نام builder.py آغاز می‌‌‌‌‌‌‌شود.
 

5

شکل 5) فایل‌‌‌‌‌‌‌‌های ساخت ExelaStealer

فایل سازنده از یک فایل به نام obf.py در ایجاد ارتباطات ضروری، جهت رمزنگاری در کد بدافزار به کمک فایل Obfuscated.py و سخت‌‌‌‌‌‌‌‌‌تر کردن روند آنالیز آن استفاده می‌‌‌‌‌‌‌‌‌کند. 
 

6

شکل 6) obf.py فرایند اصلی رمزنگاری کد را مدیریت می‌‌‌‌‌‌‌‌‌کند

روش آلوده‌‌‌‌‌‌‌‌‌سازی استفاده شده توسط ExelaStealer مشخص نیست، اما می‌تواند شامل روش‌های مختلفی مانند فیشینگ، حفره‌های آب (watering holes) یا سایر روش‌های ارسال بدافزار باشد. مقدار رشته دودویی زیر به عنوان یک ظرف و مرحله ابتدایی استقرار عمل می‌‌‌‌‌‌‌‌‌کند. با اجرای این رشته، فایل اجرایی sirket-ruhsat-pdf.exe ایجاد شده و ضمناً یک نمایشگر فایل PDF جهت نمایش یک سند فریبنده BNG 824 ruhsat.pdf به کاربر، راه اندازی می‌‌‌‌‌‌‌‌‌شود. هر دو فایل در ریشه درایو C قرار می‌‌‌‌‌‌‌‌‌گیرند.


sirket-ruhsat-pdf.exe (f96bc306a0e3bc63092a04475dd4a1bac75224df242fa9fca36388a1978ce048)
 

7

شکل 7) فایل‌‌‌‌‌‌‌‌‌های تازه ایجاد شده sirket-ruhsat-pdf.exe و BNG 824 ruhsat.pdf

فایل sirket-ruhsat-pdf.exe به صورت خودکار سعی می‌‌‌‌‌‌‌‌‌کند یک نمایشگر سازگار پیدا کند و "BNG 824 ruhsat.pdf" را اجرا کند. این فایل PDF یک کپی از گواهی ثبت نام خودروی داچیا داستر ترکیه است. این سند کاملاً خوش خیم و یک فریب بصری ساده برای کاربر است.

8

شکل 8) سند pdf فریب از یک مدرک ثبت خودرو ترکیه‌‌‌‌‌‌‌‌‌ای

فایل sirket-ruhsat-pdf.exe یکPyInstaller  قابل اجرا است و به عنوان یک ابزار، مشابه pyinstxtractor می‌‌‌‌‌‌‌‌‌تواند محتویات آرشیو را جهت بررسی استخراج نماید.
 

9

شکل 9) محتویات آرشیو PyInstaller  برای sirket-ruhsat-pdf.exe

فایل اجرایی به احتمال زیاد با یک گواهی تقلبی یا نامعتبر امضا شده است و از نام «Runtime Broker» استفاده می‌کند که یک فرآیند قانونی مایکروسافت است. 
شکل 10 نسخه کامپایل شده فایل "Obfuscated.py" را نشان می‌‌‌‌‌‌‌‌‌دهد. با استفاده از ابزاری مانند pycdc  (یک دی‌‌‌‌‌‌‌‌‌کامپایلر/دی‌‌‌‌‌‌‌‌‌اسمبلر بایت-کدهای پایتونی موجود در آدرس https://github.com/zrax/pycdc)، کد موجود در Obfuscated.pyc را می‌‌‌‌‌‌‌‌‌توان دی‌‌‌‌‌‌‌‌‌کامپایل کرد.
 

10

شکل 10) فایل دی کامپایل شده Obfuscated.pyc

نام تمامی متغیرها و توابع به صورت پیچیده‌ای رمز شده و مبهم هستند و زمان زیادی برای رمزگشایی آن‌ها صرف شده است. این داده رمز شده که به blob معروف شده است، در انتهای کد و به وسیله یک تابع، رمزگشایی و اجرا می‌‌‌‌‌‌‌‌‌شود. در شکل 11، بخشی از محتوای رمز شده و تابع رمزگشایی آن دیده می‌‌‌‌‌‌‌‌‌شود. 
 

11

شکل 11) تابع رمزگشایی blob در Obfuscated.pyc

در بررسی و آنالیزهای پویا مشخص شد که با تکمیل اولین فعالیت sirket-ruhsat-pdf.exe، این بدافزار خود را در یک پروسه جدید جایگزین نموده است.
 

12

شکل 12) اجرای نسخه دوم sirket-ruhsat-pdf.exe

در ادامه ExelaStealer  دو دستور زیر را اجرا می‌‌‌‌‌‌‌‌‌کند:


•    C:\Windows\system32\cmd.exe /c "ver"
•    wmic csproduct get uuid


این دستورات نسخه ویندوز و شناسه UUID (Universally Unique Identifier)  سیستم میزبان را بر می‌گردانند. در ادامه یک دستور PowerShell رمز شده با base-64 اجرا می‌‌‌‌‌‌‌‌‌شود که با رمزگشایی این دستور مشخص شد که این دستور اقدام به گرفتن عکس از وضعیت جاری صفحه نمایش می‌‌‌‌‌‌‌‌‌کند. در ادامه با استفاده از مجموعه دستورات زیر، اطلاعات Clipboard ویندوز، اطلاعات پایه سیستم، اطلاعات پایه دیسک سخت، اطلاعات کاربر، وضعیت دیواره آتش و حتی وضعیت و پروفایل WLAN جمع‌‌‌‌‌‌‌‌‌آوری می‌‌‌‌‌‌‌‌‌شود:


• powershell.exe -Command " $clipboardData = Get-Clipboard -Format Image $destinationPath = \"C:\Users\user\AppData\Local\Temp\00000000-0000-0000-0000-D05099DB2397\last_clipboard_image.png\" $clipboardData.Save($destinationPath)"
•    C:\Windows\system32\cmd.exe /c "echo ####System Info#### & systeminfo & echo ####System Version#### & ver & echo ####Host Name#### & hostname & echo ####Environment Variable#### & set & echo ####Logical Disk#### & wmic logicaldisk get caption,description,providername & echo ####User Info#### & net user & echo ####Startup Info#### & wmic startup get caption,command & echo ####Firewallinfo#### & netsh firewall show state "
•    netsh wlan export profile
•    C:\Windows\system32\cmd.exe /c "netsh wlan show profile


این اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری شده، قبل از ارسال به TA، در یک پوشه که با نام UUID دستگاه و در مسیر C:\Users\<user>\AppData\Local\Temp\ ایجاد شده است، ذخیره می‌‌‌‌‌‌‌‌‌شود. همه فایل‌‌‌‌‌‌‌‌‌های متنی موجود در این مسیر دارای لینکی به کانال تلگرامی TA می‌‌‌‌‌‌‌‌‌باشد.
 

13

شکل 13) داده‌‌‌‌‌‌‌‌‌های جمع‌آوری‌شده و ذخیره‌شده توسط ExelaStealer در دیسک سخت محلی

14

شکل 14) نمونه داده‌‌‌‌‌‌‌‌‌های جمع آوری شده از Clipboard ویندوز

در نهایت اطلاعات جمع‌‌‌‌‌‌‌‌‌آوری‌شده در قالب یک فایل فشرده Zip با نام مشابه نام فولدر ذخیره‌‌‌‌‌‌‌‌‌سازی (UUID دستگاه) گردآوری‌شده و در زمان مناسب به کمک یک Discord webhook (https://discord.com/developers/docs/resources/webhook) به کانال Discord تحت کنترل TA ارسال می‌‌‌‌‌‌‌‌‌شوند.
بدافزار ExelaStealer یک ابزار سرقت اطلاعات جدید و همه کاره است که می تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد.

محصولات تحت تأثیر
بدافزار ExelaStealer سیستم‌های مبتنی بر ویندوز را مورد هدف قرار می‌دهد و انواع مختلفی از اطلاعات مانند رمز عبور، کارت‌های اعتباری، کوکی‌ها، جلسات و کلیدهای فشرده شده را به سرقت می‌برد. اطلاعات به سرقت رفته می‌‌‌‌‌‌‌‌‌تواند تهدیدی جدی برای داده‌‌‌‌‌‌‌‌‌ها و حریم خصوصی کاربران باشد. این اطلاعات می‌‌‌‌‌‌‌‌‌توانند  برای حملات آتی مورد استفاده قرار بگیرند.

توصیه‌های امنیتی
براساس یافته‌‌‌‌‌‌‌‌‌های شرکت Fortinet، نسخه فعلی بدافزار ExelaStealer رد پاهای زیر را از خود برجای می-گذارد:


•    W32/ExelaStealer.0943!tr
•    W32/ExelaStealer.C93A!tr

توصیه می‌‌‌‌‌‌‌‌‌شود تا کاربران ویندوزی فایل‌‌‌‌‌‌‌‌‌های دریافتی خود را منحصراً از منابع معتبر دریافت نمایند. ضمناً تمامی فایل‌‌‌‌‌‌‌‌‌ها، قبل از باز و اجرا شدن، باید توسط یک آنتی ویروس به‌روز اسکن شود. فعال کردن گزینه‌‌‌‌‌‌‌‌‌های امنیتی اضافی نظیر فایروال، جهت مسدودسازی انتقال ترافیک به آدرس‌‌‌‌‌‌‌‌‌های مورد انتظار این بدافزار، برروی سیستم‌‌‌‌‌‌‌‌‌های شخصی نیز توصیه می‌‌‌‌‌‌‌‌‌گردد.
لیست و مشخصات فایل‌‌‌‌‌‌‌‌‌های همراه با این بدافزار در جدول زیر آورده شده است.

جدول 1) فهرست IOCهای مبتنی بر فایل

15

جدول 2) فهرست IOCهای مبتنی بر شبکه

16

منابع خبر:


[1] https://cybersecuritynews.com/new-exelastealer-attack-windows/
[2] https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field
 

کشف آسیب‌پذیری با شدت بالا در IBM

تاریخ ایجاد

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-33839 و شدت 7.2 درIBM شناسایی شده است که امکان اجرای دستورات دلخواه بر روی سیستم‌عامل از طریق ارسال یک درخواست ساختگی خاص منظوره را برای مهاجم احراز هویت شده از راه دور فراهم می‌آورد. 
IBM Security Verify Governance  یک راه حل مدیریت هویت یکپارچه مبتنی بر اجزای شبکه (network appliance-based) است که از قوانین، فعالیت‌ها و فرآیندهای کسب و کار محور استفاده می کند و به مدیران در کسب و کار، حسابرسان و مدیران ریسک این امکان را می‌دهد تا بر دسترسی‌ها و رعایت مقررات لازم در سراسر برنامه‌ها و خدمات سازمانی نظارت کنند.

محصولات تحت تأثیر
این آسیب‌پذیری IBM Security Verify Governance نسخه 10.0 را تحت تأثیر خود قرار خواهد داد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاءIBM Security Verify Governance  به نسخه‌10.0.2 اقدام نمایند. 

منبع خبر:


https://www.ibm.com/support/pages/node/7057377&nbsp;

استفاده از تکنیک بارگذاری جانبی DLL توسط تروجان QuasarRAT

تاریخ ایجاد

QuasarRAT یک تروجان متن‌‌‌باز مبتنی‌‌‌بر C# است که مهاجم برای آن از تکنیک بارگذاری جانبی DLL استفاده کرده که ازاین طریق اقدام به جمع‌‌‌آوری اطلاعات حساس و مهم در هاست‌‌‌های ویندوزی می‌‌‌کند. این بدافزار از فایل‌‌‌های معتبر سیستم مانند cftmon.exe و calc.exe بعنوان بخشی از زنجیره حمله استفاده کرده و سیستم‌‌‌های مختلفی را آلوده می‌‌‌سازد.
QuasarRAT یک تروجان دسترسی از راه‌‌‌دور متن‌‌‌باز است که با استفاده از تکنیک بارگذاری جانبی DLL  جهت دورزدن آنتی‌‌‌ویروس استفاده کرده و بطور مخفیانه داده‌‌‌های مهم را در هاست‌‌‌های ویندوزی به سرقت می‌‌‌برد. این تروجان که با نام‌‌‌های CinaRAT و Yggdrasil نیز شناخته می‌‌‌شود با استفاده C# توسعه داده شده است و قادر است اطلاعات مختلف و حساس سیستم مانند لیست برنامه‌‌‌های درحال اجرا، فایل‌‌‌ها، کلیدها و حروف تایپ شده، اسکرین‌‌‌شات‌‌‌ها و دستورات Shell را جمع‌‌‌آوری کرده و برای مهاجم ارسال کند.
محققین امنیتی Uptycs در گزارشی اعلام کردند که این بدافزار به cftmon.exe و calc.exe وابسته بوده و بعنوان بخشی از زنجیره حمله از آن‌‌‌ها استفاده می‌‌‌کند.
بارگذاری جانبی DLL تکنیک محبوبی است که توسط بسیاری از مهاجمان برای اجرای پی‌لودهای مخرب با نصب یک فایل DLL جعلی با نام یک فایل سالم بکار گرفته می‌‌‌شود. MITRE در رابطه با روش حمله خاطرنشان کرد که: «مهاجمان احتمالاً از بارگذاری جانبی DLL بعنوان ابزاری جهت مخفی‌‌‌سازی اقدامات مخرب در قالب یک فرآیند قانونی و مورد اعتماد سیستم استفاده می‌‌‌کنند.»
نقطه شروع حمله مستند شده توسط Uptycs یک فایل ISO شامل سه فایل دیگر بصورت زیر است:
•    یک فایل باینری با نام cftmon.exe که به نام eBill-997358806.exe تغییر داده شده است.
•    یک فایل MsCftMonitor.dll که به monitor.ini تغییر نام داده است.
•    یک فایل مخرب با نام MsCftMonitor.dll

QuasarRAT


محققان این شرکت می‌‌‌‌گویند که: «هنگامی که فایل eBill-997358806.exe اجرا می‌‌‌‌شود، با استفاده از تکنیک بارگذاری جانبی DLL فایل دیگری را با نام MsCftMonitor.dll بارگیری می‌‌‌‌کند که کدهای مخرب در آن پنهان شده است.»
کدهای مخرب مخفی شده یک فایل اجرایی با نام FileDownloader.exe است که به منظور راه‌‌‌‌اندازی مرحله بعدی به Regasm.exe (فایل سالم و معتبر ویندوز) تزریق می‌‌‌‌شود؛ Calc.exe نیز Secure32.dll را از طریق این تکنیک تزریق و پی‌لود نهایی QuasarRAT را راه‌‌‌‌اندازی می‌‌‌‌کند.
این تروجان به نوبه خود با یک سرور از راه‌‌‌‌دور برای ارسال اطلاعات سیستم ارتباط برقرار می‌‌‌‌کند و حتی یک پروکسی معکوس برای دسترسی از راه‌‌‌‌دور به نقطه پایانی راه‌‌‌‌اندازی می‌‌‌‌کند.
هویت مهاجم و بردار دسترسی اولیه مورد استفاده برای انجام حمله بصورت دقیق مشخص نیست اما این احتمال وجود دارد که از طریق ایمیل‌‌‌‌های فیشینگ منتشر شده و ضروری است که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌‌‌‌های مشکوک باشند.

 توصیه‌‌‌‌های امنیتی
تمام کاربران عادی و سازمانی در برابر بدافزارها در معرض خطر قرار دارند و  با توجه به اینکه این بدافزار از طریق حمله فیشینگ به سیستم نفوذ می‌‌‌‌کند، لذا توصیه می‌‌‌‌شود که کاربران مراقب ایمیل‌‌‌‌ها، لینک یا پیوست‌های مشکوک باشند.


 منبع خبر:


https://thehackernews.com/2023/10/quasar-rat-leverages-dll-side-loading.html
 

هدف قرار دادن نوت‌بوک Jupyter توسط کمپین Cryptojacking Qubitstrike

تاریخ ایجاد

محققان کمپین حمله جدیدی را کشف کرده‌‌اند که نمونه‌‌های نوت‌بوک Jupyter را به خطر می‌‌اندازد و بدافزار cryptojacking را بر روی آن مستقر می‌‌کند. این عملیات از Discord برای عملیات کنترل و فرمان استفاده می‌کند و اطلاعات AWS و Google Cloud را از سرورهای در معرض خطر به سرقت می‌برد.
محققان Cado Security که در در زمینه ارزیابی امنیت ابری و پاسخگویی به حوادث فعالیت دارند، در گزارشی اعلام کردند: «Qubitstrike یک کمپین بدافزار نسبتاً پیچیده است که توسط مهاجمان با تمرکز ویژه بر بهره‌برداری از خدمات ابری هدایت می‌‌شود. نوت‌بوک‌های Jupyter معمولاً در محیط‌های ابری مستقر می‌شوند و ارائه‌دهندگانی مانند Google و AWS آن‌ها را به‌عنوان خدمات مدیریت‌شده ارائه می‌کنند.

محققان شرکت Cado Security مشاهده کرده‌‌اند که مهاجمان Qubitstrike به هانی‌‌پات‌های نوت‌بوک Jupyter  که عمداً محافظت نشده‌اند متصل می‌‌شوند و از ویژگی دسترسی ترمینال جهت باز کردن رابط خط فرمان Bash استفاده می‌‌کنند و به صورت دستی مجموعه‌‌ای از دستورات را برای دریافت اطلاعات CPU سیستم، اطلاعات کاربر وارد شده به سیستم و اخذ دسترسی root از طریق دستور su، در صورت نصب ابزار curl، اجرا کرده‌‌اند.
این مرحله با اجرای یک فرمان کدگذاری شده با base64 زمانی به اوج خود می‌‌رسد که از curl برای دانلود یک اسکریپت Bash به نام mi.sh از یک حساب کاربری در codeberg.org، یک پلت‌فرم میزبانی Git که مشابه GitHub است، استفاده می‌‌شود. اسکریپت در یک پوشه موقت ذخیره شده، سپس اجرا و در نهایت حذف می‌‌شود.
اسکریپت mi.sh سیستم را برای استقرار ابزارهای اضافی، به ویژه نسخه‌‌ای از برنامه استخراج ارز دیجیتال XMRig، تنظیم می‌‌کند. ابتدا، اسکریپت ابزارهای curl و wget را در سیستم تغییر نام می‌دهد تا در زمان استفاده از آن‌ها، ابزارهای شناسایی در سیستم تحریک نشوند. همچنین این اسکریپت فرآیندهای در حال اجرا را جهت کشف حضور کریپتوماینرهای رقیب، اسکن کرده و در صورت وجود، آن‌ها را از بین می‌‌برد. این اسکریپت همچنین اتصالات به یک لیست کدگذاری شده از آدرس‌‌های IP مرتبط با عملیات رمزنگاری را نیز از بین می‌‌برد. از دیگر اقدامات انجام شده توسط این اسکریپت، یافتن و حذف لاگ‌‌های مختلف سیستم است و با ثبت چندین کار cron و افزودن کلید SSH مهاجم به سیستم، بقا و مانایی خود را در سیستم تضمین می‌‌کند. 
مهم‌تر از همه، این اسکریپت روت‌‌کیتی به نام Diamorphine را دانلود و اجرا می‌‌کند که این روت‌‌کیت به عنوان یک ماژول هسته عمل می‌‌کند که با دستور insmod بارگذاری شده و هدف آن مخفی کردن فرآیندهای مهاجم در سیستم است. اگر دستور insmod از کار بیفتد، مهاجمان Diamorphine را از مبداء به عنوان یک فایل اشتراک‌گذاری شده لینوکس کامپایل کرده و سپس از روش LD Preload برای ثبت آن با پیونددهنده پویا استفاده می‌کنند، در نتیجه هر بار که یک فایل اجرایی جدید روی سیستم راه‌اندازی شود، فایل مخرب اجرا می‌شود.
به گفته محققان Cado: "Diamorphine در محافل بدافزار لینوکس به خوبی شناخته شده است، به طوری که این روت‌‌کیت در کمپین‌‌های TeamTNT و اخیراً Kiss-a-dog مشاهده شده است. کامپایل بدافزار هنگام تحویل متداول است و برای فرار از EDR و سایر مکانیزم‌‌های تشخیص استفاده می‌‌شود."
در نهایت، اسکریپت mi.sh دایرکتوری‌های محلی را برای توکن‌های دسترسی به AWS و Google Cloud جستجو کرده و هر یک را که پیدا کند، به یک گروه تلگرامی ارسال خواهد کرد. محققان Cado عمداً یک توکن AWS را روی سیستم هانی‌پات خود قرار دادند و مشاهده کردند که بلافاصله در تلاش برای دسترسی به حساب AWS مرتبط می‌باشد. بدافزار Qubitstrike همانند SSH عمل می‌‌کند و به کمک اسکریپت سعی می‌‌کند به تمام آدرس IPهای لیست‌شده در فایل میزبان SSH، در سیستم متصل شده و mi.sh را به آن‌ها انتقال دهد.
با بررسی مخزن Codeberg که میزبان اسکریپت mi.sh بود، محققان اسکریپت‌‌ها و بارهای اضافی از جمله یک جاگذاری به نام kdfs.py که به زبان پایتون نوشته شده بود را کشف کردند. پس از اجرا بر روی یک سیستم، مشخص شده که این جاگذاری به عنوان یک بات عمل می‌‌کند که به سرور و کانال Discord می‌پیوندد و منتظر دستورات است. همچنین از دانلود و آپلود فایل‌‌ها از طریق قابلیت پیوست Discord پشتیبانی می‌‌کند. محققان می‌‌گویند: نام سرور مورد استفاده «NETShadow» و کانالی که بات اطلاعات را به آن ارسال می‌کند «victims» است. سرور همچنین کانال دیگری با عنوان «ssh» دارد. با این حال، بررسی‌‌ها نشان داده که این کانال خالی بوده است. همه کانال‌ها دقیقاً همزمان در 2 سپتامبر 2023 ساخته شدند که نشان می‌دهد فرآیند ایجاد خودکار بوده است. نام کاربری بات Qubitstrike است و به همین دلیل این نام برای این بدافزار انتخاب شده است.
محققان Cado حدس می زنند که kdfs.py ممکن است ابتدا در برخی از سیستم‌ها اجرا شود و سپس برای استقرار mi.sh مورد استفاده قرار گیرد. با این حال، در سیستم هانی‌پات آن‌ها، ربات kdfs.py هرگز مستقر نشد. در حالی که هدف نهایی حمله، استقرار یک ماینر XMRig بر روی سیستم‌های در معرض خطر بود، بدیهی است که دسترسی مهاجمان محدود به این هدف نبوده و می‌توانند به فعالیت‌‌های دیگر نیز بپردازند.

محصولات تحت تأثیر
نوت‌‌بوک Jupyter یک پلت فرم محاسباتی تعاملی مبتنی بر وب است که از بیش از 40 زبان برنامه‌‌نویسی پشتیبانی می‌‌کند و جهت تجسم داده‌‌ها، یادگیری ماشین، تبدیل داده‌‌ها، شبیه‌‌سازی عددی، مدل‌‌سازی آماری و مدیریت خروجی‌های محاسباتی مختلف استفاده می‌‌شود. این برنامه، یک برنامه منبع باز است که می‌‌تواند بر روی سرورها مستقر شده و از سال گذشته به عنوان نقطه ورودی برای سایر کمپین‌‌های حمله مبتنی بر ابر استفاده شده است؛ زیرا ویژگی‌های قدرتمندی از جمله اجرای دستور را در معرض نمایش قرار می‌دهد.
مشکل اصلی در نوت‌‌بوک Jupyter تنها یک آسیب‌پذیری نیست، بلکه ماهیت خود سرویس است؛ یک پلت‌فرم منبع باز و مشترک که کاربران در آن تمایل دارند کد را در یک محیط بسیار قابل تنظیم و ماژولار به اشتراک بگذارند و اجرا کنند. بسیاری از جذابیت‌های استفاده از نوت‌بوک‌های Jupyter، نمونه‌سازی نمونه‌های کوچک کد، یا اجرای نسخه‌های سبک وزن از الگوریتم‌های خاص است. 
طبق تحقیقات اخیر، مشخص شده است که اگر دسترسی در نوت‌‌بوکJupyter  به درستی محدود نشده باشد، امکان ایجاد یک بردار دسترسی اولیه جدید از طریق آن وجود دارد که هکرها می‌‌توانند از آن برای به خطر انداختن محیط‌‌های ابری سازمانی استفاده کنند. در نمونه اخیر، در ماه سپتامبر 2023، یک هکر با IP تونس، با استفاده از این ابزار و تنها در 195 ثانیه، تلاش دوگانه‌‌ای برای رمزنگاری و به خطر انداختن امنیت فضای ابری انجام داده است و امنیت هانی‌‌پات ابری Cado را به خطر انداخت.
تمامی سرویس‌‌های ارائه‌دهنده خدمات نوت‌‌بوک Jupyter، بویژه ارائه‌‌دهندگان سرویس‌‌های ابری می‌‌توانند تحت تاثیر این حمله قرار بگیرند. به عنوان نمونه، خدمات وب آمازون و Google Cloud به کاربران اجازه می‌‌دهند تا نوت‌‌بوک Jupyter را به عنوان یک سرویس مدیریت شده اجرا کنند و یا کاربران می‌‌توانند آن را روی یک نمونه ماشین مجازی استاندارد اجرا کنند. بعلاوه سرویس Microsoft Azure Cosmos DB دارای ویژگی Cosmos DB Jupyter Notebook است.

توصیه‌های امنیتی
محققان شرکت Cado Security از کاربران نوت‌بوک Jupyter می‌خواهد تا امنیت سرورهای Jupyter را بررسی کنند و توجه ویژه‌ای به دیواره آتش و پیکربندی‌های گروه امنیتی داشته باشند. در حالت ایده‌آل، نوت‌‌بوک‌‌ها نباید در معرض اینترنت عمومی قرار گیرند و اگر قرار است در معرض دید باشند، باید علاوه بر محدود کردن دسترسی به مجموعه‌‌ای از IPهای مجاز، مطمئن شد که فرایند احراز هویت برای دسترسی استفاده‌‌کنندگان فعال شده باشد.

منابع خبر:


[1]https://www.csoonline.com/article/656288/cryptojacking-campaign-qubitstrike-targets-exposed-jupyter…
[2] https://www.darkreading.com/cloud/jupyter-notebook-cloud-credential-theft
 

آسیب‌پذیری در React Developer Tools

تاریخ ایجاد

به تازگی آسیب‌‌‌‌پذیری جدیدی در React Developer Tools نسخه 4.27.8 کشف شده است. در این آسیب‌پذیری به دلیل عدم اعتبارسنجی URL، مهاجم قادر است با بهره‌برداری از آن‌‌‌، حملات DDoS را اجرا نماید. 
React Developer Tools ابزاری کاربردی برای توسعه‌‌‌دهندگان جهت بررسی مولفه‌‌‌های React است که با استفاده از آن می‌توانند ویژگی‌‌‌ها و وضعیت این مولفه‌‌‌ها را اصلاح و هرگونه مشکلات موجود در عملکرد آن را مشخص کنند. توسعه‌‌‌دهندگان با استفاده از این ابزار می‌‌‌توانند به راحتی عملکرد برنامه‌‌‌های React را بهینه کرده و تجربه کاربری روان و کارآمدی را برای کاربران فراهم نمایند.
React Developer Tools یک شنونده پیام (message listener) را در یک اسکریپت محتوا ثبت می‌‌‌کند که توسط یک صفحه وب فعال در مرورگر قابل دسترسی است. زمانی‌‌‌که کد شنونده، URL مشتق شده از پیام دریافتی را درخواست می‌‌‌کند، URL اعتبارسنجی نمی‌‌‌شود و به یک صفحه وب مخرب اجازه می‌‌‌دهد تا URLها را از طریق مرورگر قربانی به طور دلخواه واکشی کنند.
یکی از روش‌‌‌های بهره‌برداری از این آسیب‌‌‌پذیری، ایجاد کلیک‌‌‌های تبلیغاتی است که مهاجمان را قادر می‌‌‌‌‌‌سازد تا با استفاده از آن به درآمدزایی برسند. این روش همچنین می‌‌‌تواند با مرورگرهای دیگر ترکیب شده و بدون اطلاع یا رضایت کاربر قربانی، منجر به حمله DDoS شود. در واقعیت این احتمال وجود دارد که صفحه وب مخرب به طور خودکار پیام‌‌‌هایی را بدون نیاز به تعامل کاربر به افزونه ارسال کند.

محصولات تحت تأثیر
تمامی وب‌‌‌‌‌سایت‌‌‌‌‌هایی که از React Developer Tools نسخه 4.27.8 استفاده می‌‌‌‌‌کنند تحت تاثیر این آسیب‌پذیری قرار دارند. 
 

توصیه امنیتی
آسیب‌‌‌‌‌‌پذیری مورد بحث در نسخه 4.28.4 رفع شده است و کاربران می‌‌‌‌‌‌توانند با بروزرسانی به این نسخه از خطرات احتمالی جلوگیری کنند.
 

منبع خبر:

[1] https://cybersecuritynews.com/react-developer-tools-flaw/

 

کشف آسیب‌پذیری روزصفر در نرم‌افزار Cisco IOS XE

تاریخ ایجاد

یک آسیب‌پذیری روزصفر در نرم‌افزار Cisco IOS XE با شناسه CVE-2023-20273 و شدت 7.2 کشف شده است که امکان ارتقاء سطح دسترسی از راه‌دور را برای مهاجم فراهم خواهد آورد.
سیسکو در خصوص این آسیب‌پذیری جدید هشدار داده و اذعان داشته است که نقص امنیتی مذکور بطور فعال توسط مهاجمان جهت استقرار کدهای مخرب مبتنی ‌بر Lua در دستگاه‌های حساس مورد بهره‌برداری قرار می‌گیرد. این آسیب‌پذیری قابل ردیابی بوده و به ارتقاء سطح دسترسی در ویژگی رابط کاربری وب مربوط می‌شود و همراه با آسیب‌پذیری با شناسه CVE-2023-20198 بعنوان بخشی از یک زنجیره بهره‌برداری بکار گرفته می‌شود.
به گفته محققان امنیتی شرکت سیسکو: «مهاجم ابتدا از آسیب‌پذیری CVE-2023-20198 جهت اخذ دسترسی اولیه سوءاستفاده کرده، سپس خط فرمان privilege 15 را جهت ایجاد یک حساب کاربری محلی با رمزعبور بکار خواهد گرفت. این دستور به کاربر اجازه می‌دهد تا با سطح دسترسی کاربر عادی وارد سیستم شده سپس از ویژگی‌های کاربری وب دیگر سوءاستفاده کند و سطح دسترسی خود را از کاربر محلی به کاربر root ارتقاء دهد، که این امر با بهره‌برداری موفق از آسیب‌پذیری CVE-2023-20273 امکان‌پذیر خواهد بود.»
آژانس امنیت سایبری زیرساخت آمریکا نیز بیان کرده است که: « مهاجم احرازهویت‌نشده، می‌تواند از راه‌دور از این آسیب‌پذیری بهره‌برداری کرده و کنترل سیستم را در دست بگیرد. بطور خاص این آسیب‌پذیری به مهاجم اجازه می‌دهد تا یک حساب کاربری با سطح دسترسی بالا ایجاد کرده و کنترل کاملی بر دستگاه‌ قربانی داشته باشد.»
بهره‌برداری موفق از نقص امنیتی مذکور می‌تواند از راه‌دور به مهاجمان امکان دسترسی بدون محدودیت به روترها و سوئیچ‌ها، نظارت بر ترافیک شبکه، تزریق و هدایت ترافیک شبکه و استفاده از آن بعنوان یک اتصال دائمی به شبکه را بدلیل عدم وجود راه‌حل‌های نظارتی بدهد.

محصولات تحت تأثیر
نسخه‌های 17.6، 17.3 و 16.12 نرم‌افزار Cisco IOS XE در برابر این نقص امنیتی آسیب‌پذیر می‌باشند و بررسی‌های صورت گرفته نشان می‌‌دهد که بیش از 41 هزار دستگاه سیسکو که نرم‌افزار IOS XE را اجرا می-کنند و در برابر این نقص امنیتی آسیب‌پذیر هستند؛ البته طبق اظهارات شرکت سیسکو، تعداد این دستگاه-ها در 19 اکتبر به حدود 37 هزار رسیده است

توصیه امنیتی
 به کاربران توصیه می‌شود در اسرع وقت نسخه 17.9 نرم‌افزار Cisco IOS XE را بر روی سیستم خود نصب کنند و تا قبل از اعمال آن، ویژگی HTTP سیستم خود را نیز غیرفعال کنند تا امکان بهر‌برداری از این آسیب‌پذیری برای آن‌ها به حداقل برسد.


منبع خبر:


https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html

 

کشف چند آسیب‌پذیری‌ بحرانی در SolarWinds ARM

تاریخ ایجاد

محققان امنیتی سه آسیب‌پذیری اجرای کد از راه دور در محصولSolarWinds Access Rights Manager (ARM) کشف کرده‌اند که مهاجمان با کمک آن‌ها می‌توانند دستورات دلخواه خود را با سطح دسترسی SYSTEM اجرا کنند.
ابزار SolarWinds ARM برای کمک به مدیران فناوری در زمینه اطلاعات و امنیت در تهیه سریع و آسان، حذف، مدیریت و سطوح حق دسترسی کاربر به سیستم‌ها، داده‌‌ها و فایل‌‌ها طراحی شده است . قابلیت یکپارچه‌سازی اکتیودایرکتوری، کنترل مبتنی بر نقش، بازخورد بصری و... از قابلیت‌های این ابزار می‌باشد.
محققان پروژه Trend Micro Zero Day Initiative (ZDI) در تاریخ 22 ژوئن از وجود هشت آسیب‌پذیری در محصولات SolarWinds خبر دادند که سه مورد از آن‌ها شدت بحرانی دارند.

  •  آسیب‌پذیری با شناسه CVE-2023-35182 و شدت 9.8 به مهاجمان اجازه می‌دهد از راه دور و بدون نیاز به تصدیق هویت، کدهای دلخواه را با سطح دسترسی SYSTEM اجرا کنند. این آسیب‌پذیری به دلیل deserialization ( به معنی تبدیل یک رشته از بیت‌ها به رشته‌های موازی) داده‌های غیر قابل اطمینان در متد createGlobalServerChannelInternal ایجاد شده است.
  •  آسیب‌پذیری با شناسه CVE-2023-35185 و شدت 9.8 به دلیل عدم اعتبارسنجی در مسیرهای ارائه شده توسط کاربر در متد OpenFile، به مهاجمان اجازه می‌دهد از راه دور و بدون نیاز به تصدیق هویت کدهای دلخواه را با سطح دسترسی SYSTEM اجرا کنند.
  • آسیب‌پذیری با شناسه CVE-2023-35187 و شدت 9.8 نیز به دلیل عدم تایید اعتبار مسیرهای ارائه شده توسط کاربر در متد OpenClientUpdateFile دسترسی اجرای کد از راه دور را بدون نیاز به تصدیق هویت برای یک مهاجم فراهم می‌کند.

منظور از اجرای کد با سطح دسترسی SYSTEM این است که کدها با بالاترین سطح دسترسی بر روی ماشین اجرا می‌شوند زیرا SYSTEM یک حساب کاربری داخلی است که برای سیستم عامل و سرویس‌های آن رزرو شده است. مهاجمان با به دست آوردن این سطح از دسترسی می‌توانند کنترل کاملی بر روی تمامی فایل‌های ماشین داشته باشند.
سایر آسیب‌پذیری‌های کشف شده نیز شدت بالا دارند و اجازه افزایش سطح دسترسی را به کاربران می‌دهند. 
 

توصیه امنیتی
این آسیب‌پذیری‌ها در نسخه 2023.2.1 نرم‌افزار Access Rights Manager برطرف شده‌اند. توصیه می‌شود کاربران در اسرع وقت نسبت به نصب به‌روزرسانی‌ امنیتی منتشر شده برای این ابزار اقدام نمایند.
 

منابع خبر:


[1] https://www.zerodayinitiative.com/advisories/ZDI-23-1564/
[2] https://www.zerodayinitiative.com/advisories/ZDI-23-1565/
[3] https://www.zerodayinitiative.com/advisories/ZDI-23-1567/
[4]https://www.bleepingcomputer.com/news/security/critical-rce-flaws-found-in-solarwinds-access-audit-…
 

کشف آسیب‌پذیری در ابزارreconFTW

تاریخ ایجاد

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-46117 و شدت 9.6 در ابزارreconFTW  شناسایی شده است که به‌دلیل اعتبار سنجی نادرست زیر دامنه‌های بازیابی‌شده امکان اجرای کد از راه دور  (RCE) را برای مهاجم فراهم می‌آورد. reconFTW  ابزاری جهت اسکن و کشف آسیب‌پذیری‌ها با استفاده از بهترین مجموعه ابزارها می‌باشد.
مهاجم می‌تواند با ایجاد یک ورودی مخرب CSP در دامنه خود، از این آسیب‌پذیری بهره‌برداری کند و بهره‌برداری موفق از آن نیز منجر به اجرای کددلخواه در متن اپلیکیشن خواهد شد و مهاجم از این طریق سیستم هدف را به خطر می‌اندازد.

محصولات تحت تأثیر
نقص امنیتی مذکور، نسخه‌های قبل از 2.7.1 ابزار reconftw را تحت تأثیر خود قرار خواهد داد.

 توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء  ابزار reconFTW به نسخه‌ 2.7.1.1 اقدام نمایند. 

منابع خبر:


[1] https://github.com/six2dez/reconftw/security/advisories/GHSA-fxwr-vr9x-wvjp  

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-46117