دو آسیب‌پذیری، با شدت‌های بالا و متوسط در ابزار CURL شناسایی شده است. از این ابزار جهت انتقال اطلاعات در قالب URL (استاندارد RFC 3986) استفاده می‌شود که برای اجرای دستورات، از کتابخانه libcurl بهره می‌گیرد. همچنی ابزار CURL از تعداد زیادی پروتکل‌ مانند FTP(S)، HTTP(S) ، IMAP(S) پشتیبانی می‌کند.

• CVE-2023-38545: این آسیب‌پذیری‌ دارای شدت بالا می‌باشد و هم کتابخانه libcurl و هم خود ابزار CURL را تحت تاثیر قرار می‌دهد.
• CVE-2023-38546: این آسیب‌پذیری‌ دارای شدت متوسط می‌باشد و فقط روی ابزار CURL قابل بهره‌برداری می‌باشد.

 محصولات تحت تأثیر
تمام نسخه‌های قبل از 8.4.0 ابزار CURL،  تحت تاثیر دو آسیب‌پذیری مذکور قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود هرچه سریع تر  ابزار CURL خود را به نسخه 8.4.0 به روزرسانی کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/security-patch-for-two-new-flaws-in.html
[2] https://blog.qualys.com/vulnerabilities-threat-research/2023/10/05/curl-8-4-0-proactively-identifyi…
[3] https://github.com/curl/curl

مهاجمان کمپینی در مقیاس بزرگ تشکیل داده‌اند که با سوء استفاده از آسیب‌پذیری اخیر Citrix NetScaler، ‌ CVE-2023-3519،  اطلاعات ورود کاربران را به سرقت می‌برد. این آسیب‌پذیری که در ماه جولای گزارش شده است برای مهاجم احراز اصالت‌نشده امکان اجرای کد از راه دور و دسترسی غیرمجاز به اطلاعات ورود کاربران به برخس از نسخه‌های NetScaler را می‌دهد. برای مطالعه بیشتر اینجا کلیک نمایید.

شرکت های نیمه هادی در شرق آسیا با فریب هایی به عنوان شرکت تولید نیمه هادی تایوان (TSMC) که برای ارائه Cobalt Strike beacons طراحی شده‌اند، مورد هدف قرار گرفته اند. مجموعه نفوذ، طبق گفته EclecticIQ، از یک درب پشتی به نام HyperBro استفاده می‌کند که سپس به عنوان مجرایی برای استقرار این نرم‌افزار شبیه‌سازی حمله تجاری و جعبه ابزار پس از بهره‌برداری، استفاده می‌شود.
گفته می شود که یک توالی حمله دیگر از دانلود کننده بدافزاری که قبلاً مستند نشده بود برای استقرار Cobalt Strike استفاده کرده است که نشان می دهد عوامل تهدید چندین رویکرد برای نفوذ به اهداف مورد نظر ابداع کرده اند. این شرکت امنیت سایبری هلندی این کمپین را به دلیل استفاده از HyperBro به یک عامل تهدید مرتبط با چین نسبت داد که تقریباً به طور انحصاری توسط یک تهدیدکننده معروف به Lucky Mouse (aka APT27, Budworm, and Emissary Panda)  مورد استفاده قرار گرفته است.
همچنین همپوشانی‌های تاکتیکی بین دشمن پشت حملات و خوشه دیگری که توسط RecordedFuture تحت نام RedHotel ردیابی شده است، کشف شده است که با گروه هکری به نام Earth Lusca نیز اشتراکاتی دارد. از دلایل دیگری که محققان این کمپین را به چین مرتبط می دانند ناشی از استفاده از سرور وب Cobra DocGuard مورد نفوذ برای میزبانی باینری های مرحله دوم، از جمله ایمپلنت مبتنی بر Go به نام ChargeWeapon، برای توزیع از طریق دانلود کننده است.
Arda Büyükkaya، محقق EclecticIQ، در تحلیلی گفت: «ChargeWeapon برای دسترسی از راه دور و ارسال اطلاعات دستگاه و شبکه از یک میزبان آلوده به یک سرور [command-and-control] تحت کنترل مهاجم طراحی شده است. این اطلاعات به احتمال زیاد توسط عوامل تهدید جمع‌آوری می‌شود تا شناسایی اولیه علیه میزبان‌های آلوده و شناسایی اهداف با ارزش بالا انجام شود.».
شایان ذکر است که یک نسخه تروجانیزه شده از نرم افزار رمزگذاری Cobra DocGuard EsafeNet نیز با استقرار PlugX مرتبط شده است و سیمانتک آن را به یک بازیگر مشکوک چینی با نام رمز Carderbee مرتبط کرده است. در زنجیره حمله مستند شده توسط EclecticIQ، یک سند PDF با مضمون TSMC به عنوان یک طعمه پس از اجرای HyperBro نمایش داده می شود که نشان دهنده استفاده از تکنیک های مهندسی اجتماعی برای فعال کردن ویروس است.

یکی از جنبه های قابل توجه این حمله این است که آدرس سرور C2 که در  Cobalt Strike beaconکدگذاری شده است، به عنوان یک CDN قانونی jQuery در تلاش برای دور زدن دفاعیات دیوار آتش پنهان شده است. گزارشی که ماه گذشته توسط وزارت دفاع ایالات متحده منتشر شد، چین را به عنوان یک "تهدید جاسوسی سایبری گسترده و فراگیر" توصیف کرد .

منبع:

یک کمپین جدید اسکیمینگ کارت Magecart صفحات خطای 404 وب‌سایت‌های خرده‌فروشان آنلاین را ربوده و کدهای مخرب را برای سرقت اطلاعات کارت‌اعتباری مشتریان پنهان می کند. این کمپین بر روی سایت‌های مجنتو و ووکامرس متمرکز است و برخی از قربانیان با سازمان‌های مشهور در بخش‌های غذا و خرده‌فروشی مرتبط هستند. برای مطالعه بیشتر اینجا کلیک نمایید.
 

مایکروسافت برای رفع یک آسیب‌پذیری روزصفر با شدت بحرانی (امتیاز 9.8 از ۱۰) و شناسه CVE-2023-364 وصله امنیتی منتشر نموده است.
مهاجم با استفاده از این آسیب‌پذیری می‌تواند از راه دور و با روش Brute Force‌ به رمز عبور کاربران دسترسی پیدا کرده و به وب‌سرور نفوذ کند و سپس دستورات دلخواه خود را اجرا نماید.
در یک حمله مبتنی بر شبکه، مهاجم می‌تواند از طریق حمله‌ی Brute force، رمز حساب‌های کاربری را  به دست آورده و به عنوان کاربرِ سیستم وارد شود. مایکروسافت کاربران را به استفاده از رمزهای عبور قوی و پیچیده تشویق می‌کند که به دست آوردن آن‌ها برای مهاجم سخت‌تر باشد.
اگرچه مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این آسیب‌پذیری منتشر نموده است، اما به مدیران Exchange نیز توصیه می‌کند که به منظور حفاظت از سرورها در برابر حملاتی که با استفاده از اکسپلویت‌های آسیب‌پذیری CVE-2023-21709 قابل انجام هستند، ماژول آسیب‌پذیر Windows IIS Token Cache را به صورت دستی و یا با استفاده از این اسکریپت PowerShell حذف نمایند.
به عنوان بخشی از وصله روز سه‌شنبه این ماه، مایکروسافت یک به‌روزرسانی امنیتی جدید (CVE-2023-36434) منتشر کرده است که به طور کامل نقص CVE-2023-21709 را برطرف می‌کند و به هیچ مرحله اضافی نیاز ندارد.
به گفته‌ی تیم Exchange: "در به‌روزرسانی‌های ماه آگوست 2023، توصیه شد که کاربران از یک راه‌حل دستی یا یک اسکریپت استفاده کرده و ماژول IIS Token Cache را به عنوان راهی برای رفع آسیب‌پذیری CVE-2023-21709 غیرفعال نمایند."
در به‌روزرسانی سه‌شنبه این ماه، تیم ویندوز برای عامل اصلی این آسیب‌پذیری، وصله‌ی امنیتی IIS را به شکل اصلاحیه‌ای برای CVE-2023-36434 منتشر کرده است. توصیه می‌شود وصله‌ی امنیتی ارائه‌شده برای IIS را نصب کنید. پس از اعمال وصله‌های امنیتی می‌توانید ماژول Token Cache را مجدداً در سرورهای Exchange خود فعال نمایید.
از مدیران خواسته شده است که ماژول آسیب‌پذیر IIS را مجدد فعال نمایند. اگر قبلاً Windows IIS Token Cache را به منظور رفع نقص ارتقاء سطح دسترسی در ماه آگوست حذف کرده‌اید، اکنون باید به‌روزرسانی‌های امنیتی را نصب کرده و با استفاده از این اسکریپت یا با اجرای دستور زیر توسط یک حساب کاربری دارای سطح دسترسی بالا، ماژول IIS را دوباره فعال کنید:

New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"

به مدیرانی که هنوز به‌روزرسانی‌های امنیتی ماه آگوست را برای آسیب‌پذیری CVE-2023-21709 اعمال نکرده‌اند، توصیه می‌شود به‌روزرسانی‌های امنیتی اکتبر 2023 ویندوز سرور را نصب نمایند.
مایکروسافت در به‌روزرسانی‌های امنیتی روز سه‌شنبه اکتبر 2023، 104 نقص، شامل 12 مورد بحرانی و 3 آسیب‌پذیری روزصفر را که به طور فعال در حملات مورد سوء استفاده قرار می‌گیرند، وصله کرده است.
طبق بررسی‌های صورت‌ گرفته،  حدود 241792 آی‌پی در ایران دارای  آسیب‌پذیری مذکور هستند.
نرم‌افزار Exchange از IIS استفاده می‌کند بنابراین همه Exchangeها و دیگر وب‌سرویس‌ها در معرض خطر هستند.
توجه: ایران اکسس کردن سرویس‌ها فقط سطح حمله را کاهش می‌دهد و آسیب را برطرف نمی‌کند، لذا هرگز این روش را به عنوان راهکار امنیتی لحاظ نکنید.

منبع خبر:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-gets-better-patch-to-mitigate-cri…

در اواخر ماه آگوست ۲۰۲۳ (شهریور ماه)، آسیب‌پذیری جدیدی در پروتکل HTTP/2 کشف شد که توسط مهاجمان برای انجام حملات DDoS با حجم بالا استفاده می‌شد. این آسیب‌پذیری که با شناسه CVE-2023-44487 و نام Rapid Reset شناخته می‌شود، باعث مصرف منابع و افزایش بار پردازشی سرورهای HTTP/2 شده و ممکن است سرویس‌دهی آن‌ها را مختل کند. آسیب‌پذیری مذکور تا اوایل ماه اکتبر ۲۰۲۳(مهر ماه) در وضعیت روز صفر بوده و هنوز راه‌حل کاملی برای آن ارائه نشده است.
این آسیب‌پذیری که حمله DDoS را به دنبال دارد، به دلیل وجود یک نقص در پیاده‌سازی پروتکل HTTP/2، به وجود آمده است. مهاجم تعداد زیادی درخواست HTTP با استفاده از فریم HEADERS ارسال می‌کند سپس با استفاده از فریم RST_STREAM، اتصال را قطع می‌کند. این الگو را به صورت تکراری و با سرعت بالا اجرا کرده تا حجم زیادی از ترافیک را به سمت سرورهای HTTP/2 هدایت کند. با قرار دادن چندین فریم HEADERS و RST_STREAM در یک اتصال، مهاجم می‌تواند باعث افزایش تعداد قابل توجهی درخواست در ثانیه و استفاده بالای CPU در سرورها شود که در نهایت منجر به درگیر کردن منابع می‌گردد.

توصیه‌های امنیتی
با توجه به اینکه هدف حملات DDoS، عمدتاً لایه ۷ شبکه است، بسیاری از شرکت‌های بزرگ فناوری اطلاعات، لایه ۷ خود را مورد حفاظت قرار داده و به‌روزرسانی‌های امنیتی منتشر کرده‌اند تا مشتریان خود را در برابر تأثیرات این حملات محافظت کنند. در حال حاضر، بهترین روش جهت جلوگیری از این حملات، استفاده از وصله های امنیتی موجود و تغییرات پیکربندی و سایر روشهای کاهش آسیب پذیری است که در ذیل به برخی از آن ها اشاره شده است:

• اطمینان حاصل کنید که ابزارها و سرویس‌هایی امنیتی، جهت محافظت، شناسایی و پاسخ‌‌گویی به این حمله در سطح سرور و شبکه فعال باشند.
• توصیه می‌شود از سرویس‌های محافظت از حملات DDoS (لایه 7) استفاده کرده و حدالامکان از WAF استفاده شود.
• توصیه می‌شود از سرویس‌های محافظت از حملات DDoS برای DNS، ترافیک شبکه (لایه 3) و فایروال API استفاده گردد.
• اطمینان حاصل کنید که سرویس‌های محافظت از حملات DDoS شما خارج از مرکز داده‌تان قرار دارد زیرا اگر ترافیک به مرکز داده شما برسد، کاهش مخاطره این حملات دشوار خواهد بود.
• اطمینان حاصل کنید که وصله‌های منتشر شده برای وب‌سرور و سیستم‌عامل در همه سرورها و به‌روزرسانی‌ها اعمال شود.
• به عنوان آخرین مورد، توصیه می‌شود جهت کاهش مخاطرات احتمالی،  HTTP/2  و  HTTP/3که در حال حاضر مورد استفاده بوده و احتمالاً آسیب‌پذیر است را به صورت موقت غیرفعال کنید. البته باید توجه داشت که اگر خواهان Downgrade نسخهها به HTTP/1 باشید ممکن است مشکلات عملکردی قابل توجهی را در پیش رو داشته باشید، لذا این مورد توصیه نمی‌شود.
• استفاده از یک cloud-based DDoS L7 منیز می تواند مفید واقع شود.

منابع خبر:

[1] https://blog.cloudflare.com/zero-day-rapid-reset-http2-record-breaking-ddos-attack/
[2]https://cloud.google.com/blog/products/identity-security/google-cloud-mitigated-largest-ddos-attack…
[3] https://aws.amazon.com/security/security-bulletins/AWS-2023-005/
[4] https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/
[5] https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
[6]https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-at…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-44487

شرکت مایکروسافت از بهره‌برداری از یک آسیب‌پذیری مهم در دیتاسنتر و سرور Confluence شرکت Atlassian که به تازگی افشا شده خبر داد. کانفلوئنس یک ابزار مدیریت پروژه و همکاری برای اشتراک‌گذاری، ذخیره و کار بر روی موارد مختلف است که با استفاده از زبان برنامه نویسی جاوا (Java)، طراحی شده و می‌تواند بر روی سیستم‌عامل‌های مختلف نصب شود.

جزئیات آسیب‌پذیری
این آسیب‌پذیری که شناسه CVE-2023-22515 و شدت 9.8 به آن اختصاص داده شده است، یک نقص بحرانی افزایش سطح دسترسی در دیتاسنتر و سرور Confluence است. هر دستگاهی با اتصال شبکه به یک برنامه آسیب‌پذیر، می‌تواند از این آسیب‌پذیری برای ایجاد یک حساب کاربری administrator در برنامه، بهره‌برداری کند.
آسیب‌پذیری مذکور به مهاجمان اجازه می‌دهد که از راه دور، حساب‌های کاربری Confluence administrator غیر مجاز ایجاد کرده و به سرورهای Confluence دسترسی پیدا کنند.

محصولات تحت تأثیر
دیتاسنتر و سرور Confluence شرکت Atlassian تحت تاثیر آسیب‌پذیری فوق قرار دارند.
سایت‌های Cloud این شرکت، تحت تاثیر آسیب‌پذیری قرار ندارند. در صورتی که سایت Confluence شما از طریق دامنه atlassian.net قابل دسترسی است، توسط Atlassian میزبانی می‌شود و در برابر این نقص، آسیب‌پذیر نیست.

توصیه‌های امنیتی
این آسیب‌پذیری در نسخه‌های زیر رفع شده است:
•    8.3.3 یا بالاتر
•    8.4.3 یا بالاتر
•    8.5.2 یا بالاتر
به سازمان‌هایی که از Confluence استفاده می‌کنند، توصیه می‌شود که برای کاهش هر گونه تهدید احتمالی، آن را به جدیدترین نسخه‌ ارتقا دهند، و تا قبل از آن، برنامه را از اینترنت عمومی جدا کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/microsoft-warns-of-nation-state-hackers.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-22515

زبان VBScript یک زبان برنامه نویسی اسکریپتی است که توسط مایکروسافت برای ویندوز و اینترنت اکسپلورر طراحی شده است. این زبان به منظور ساخت صفحات وب، برنامه‌ها و خودکارسازی استفاده می‌شود اما از این زبان جهت دریافت بدافزار به سیستم‌های کاربران نیز استفاده می‌شود و به این دلیل است که مهاجم با سوءاستفاده از زبان VBScript می‌تواند به سیستم‌عامل و فایل‌های کاربر دسترسی پیدا کرده و از آن، جهت اجرای بدافزا و کد مخرب و  یا سرقت اطلاعات بهره‌برداری کند؛ از این رو شرکت مایکروسافت در یک به‌روزرسانی امنیتی، VBScript را در ویندوز 10، ویندوز 8.1 و ویندوز 7 مسدود کرد. این کار جهت جلوگیری از سوءاستفاده مهاجمان از VBScript جهت نصب و دریافت بدافزار بر روی سیستم‌های کاربران است. VBScript معمولا در صفحات وب، فایل‌های HTML و فایل‌های VBS اجرا می‌شود.
این زبان در سال ۱۹۹۶ توسط مایکروسافت به عنوان یک جایگزین برای JScript معرفی شد. گرچه باید اشاره کرد که VBS یک ویژگی بسیار خوب است اما با این حال، باتوجه به سوءاستفاده‌ها و تاثیر منفی که می‌تواند بر عملکرد سیستم داشته باشد، بهتر است آن را در ویندوز غیرفعال کرد.
در این گزارش به چند نمونه از این آسیب‌پذیری که مهاجم از طریق VBScript، سیستم قربانی را مورد هدف قرار می‌دهد اشاره شده است که این امر به مهاجمان اجازه می‌دهد تا با استفاده از فایل‌های RTF یا XML یا وب‌سایت‌های خاص، کد خود را در IE اجرا کنند که در ادامه به چند نمونه از آن‌ها اشاره شده است:
- شناسه CVE-2018-8174: این آسیب‌پذیری منجر به دستکاری نادرست حافظه در IE با فایل RTF با فایل‌های VBScript پنهان شده است.
- شناسه CVE-2019-1367: این آسیب‌پذیری منجر به دستکاری نادرست حافظه در IE با فایل XML با فایل‌های VBScript پنهان شده است.
- شناسه‌های CVE-2020-0674 و CVE-2020-1058: این آسیب‌پذیری‌ها منجر به ایجاد خطای حافظه در VBScript با یک وب سایت خاص شده‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود جهت حفاظت از سیستم‌های خود، توصیه می‌شود سیستم‌عامل ویندوز و IE را به‌روز نگه دارند و از VBScript در صفحات وب خود استفاده نکنند. همچنین در صورت نیاز می‌توان VBScript را به صورت دستی در ویندوز مسدود کرد.

منابع خبر:

[1]Microsoft to kill off VBScript in Windows to block malware delivery https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-m…
[2]Microsoft Vbscript : Security vulnerabilities, CVEs - CVEdetails.com. https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-20672/Microsoft-Vbscript.html.
[3] NVD - CVE-2018-8174. https://nvd.nist.gov/vuln/detail/CVE-2018-8174.
[4] 4 critical vulnerabilities in Microsoft VBScript Engine. https://www.securitynewspaper.com/2020/05/13/4-critical-vulnerabilities-in-microsoft-vbscript-engin….
[5] undefined. https://blog.0patch.com/2018/05/a-single-instruction-micropatch-for.html
[6] https://www.tomshardware.com/how-to/disable-vbs-windows-11

چند آسیب‌پذیری بحرانی با شدت 9.8 در روترهای 4G ER2000 و پلتفرم مبتنی بر ابر ConnectedIO کشف شده است که مهاجم می‌تواند از این طریق زیرساخت‌های ابری را تهدید کرده و کدهای مخرب را از راه  دور در دستگاه قربانی اجرا کرده و تمام داده‌های کاربر را افشا کند.

جزئیات آسیب‌پذیری
آسیب‌پذیری‌های کشف شده برای روترهای 3G/ مهاجم را قادر خواهد ساخت هزاران شبکه داخلی را در معرض تهدیدات شدید قرار دهد تا در نهایت کنترل و رهگیری ترافیک مبادله شده را در دست گرفته و در آن‌ها نفوذ کنند. آسیب‌پذیری‌هایی که بر روی پلتفرم ConnectedIO نسخه 2.1.0 و نسخه‌های قبلی، روترهای 4G ER2000 و سرویس¬های ابری تأثیرگذار هستند به مهاجمان اجازه دهد تا کدهای خود را بدون نیاز به دسترسی خاصی و بصورت مستقیم اجرا کنند.
این آسیب‌پذیری‌ها در پروتکل¬های ارتباطی (یعنی MQTT) که برای اتصال دستگاه‌ها و فضای ابری استفاده می‌شود، یافت شده‌اند. از جمله می‌توان به استفاده از اعتبارنامه‌های احرازهویت hard-code شده برای ثبت یک دستگاه rouge و دسترسی به پیام¬های MQTT حاوی رمزعبور روتر، SSID و شناسه دستگاه، اشاره کرد.
پیامد اصلی آسیب‌پذیری‌های کشف شده آن است که مهاجم نه تنها می‌تواند با استفاده از شماره¬های IMEI فاش شده دستگاه مورد نظر خود را جعل کند، بلکه آن‌ها را مجبور به اجرای دستورات دلخواه خود از طریق پیام‌های MQTT می‌کند.
این امر از طریق یک bash command با کد عملیاتی "1116" امکانپذیر است که یک دستور از راه دور "as-is" را اجرا می¬کند. Moshe بیان کرد که این دستور به هیچ احرازهویتی نیاز نداشته و به مهاجم اجازه می-دهد تا دستورات دلخواه را در همه دستگاه قربانی اجرا کند.
جزئیات آسیب‌پذیری‌های کشف شده بصورت زیر هستند:

• CVE-2023-33375 (CVSS score: 9.8) – یک آسیب¬پذیری سرریز بافر مبتنی¬بر پشته در پروتکل ارتباطی که به مهاجمان اجازه می¬دهد تا کنترل دستگاه را در دست بگیرند.
• CVE-2023-33376 (CVSS socre: 9.8) – یک آسیب¬پذیری تزریق آرگمان در پیام فرمان جداول IP در پروتکل ارتباطی که به مهاجمان این امکان را می‌دهد تا دستورات دلخواه خود را بر روی دستگاه قربانی اجرا کنند.
• CVE-23-33377 (CVSS score 9.8) – یک آسیب‌پذیری تزریق کد در خط فرمان فایروال و در بخشی از پروتکل ارتباطی که از این طریق مهاجمان قادر هستند دستورات سیستم‌عامل دلخواه خود را بر روی دستگاه قربانی اجرا کنند.
• CVE-2023-33378 (CVSS score: 9.8) – یک آسیب‌پذیری تزریق آرگمان در پیام فرمان AT در پروتکل ارتباطی می‌باشد که مهاجمان را قادر می‌سازد تا دستورات دلخواه خود را بر روی دستگاه قربانی اجرا کنند.

مهاجم در صورت بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند خطری جدی برای هزاران شرکت در سراسر جهان ایجاد کند.
شایان ذکر است که این آسیب‌پذیری‌ها در حالی افشا شده‌اند که آسیب‌پذیری‌های دیگری نیز در دستگاه‍‍‍‌های ذخیره‌ساز متصل به شبکه (NAS) شرکت Synology و Western Digital فاش شده است که مهاجمان می‌توانند از آن¬ها جهت جعل هویت و کنترل دستگاه¬ها و همچنین سرقت داده‌های ذخیره¬شده بهره‌برداری کنند.

محصولات تحت تأثیر
شرکت‌ها، سازمان و افرادی که از روترهای 4G ER2000 شرکت ConnectedIO و پلتفرم ابری آن‌ها استفاده می‌کنند، آسیب‌پذیر هستند.

توصیه امنیتی
کارشناسان امنیتی توصیه کرده‌اند در اسرع وقت نسبت به اعمال به‌روزرسانی منتشر شده توسط شرکت ConnectedIO اقدامات لازم را انجام دهند.

منابع خبر:

[1] High-Severity Flaws in ConnectedIO's 3G/4G Routers Raise Concerns for IoT Security (thehackernews.com)
[2] ConnectedIO’s 3/4G Routers Vulnerability Execute Malicious Code (cybersecuritynews.com)

چندین کمپین Balada Injector بیش از 17000 سایت وردپرس را با استفاده از نقص‌های شناخته شده در افزونه‌های تم ممتاز به خطر انداخته و آنها را آلوده کرده است. Balada Injector یک عملیات عظیم است که در دسامبر 2022 توسط دکتر وب کشف شد و از اکسپلویت‌های مختلفی برای پلاگین‌های شناخته‌شده وردپرس و نقص‌های موضوعی برای تزریق درب‌پشتی لینوکس استفاده می‌کند. درپشتی بازدیدکنندگان وب‌سایت‌های در معرض خطر را به صفحات پشتیبانی فناوری جعلی، برنده‌های تقلبی در قرعه‌کشی و کلاهبرداری‌های اعلان فشار هدایت می‌کند، بنابراین یا بخشی از کمپین‌های کلاهبرداری است یا خدماتی است که به کلاهبرداران فروخته می‌شود.
در آوریل 2023، Sucuri گزارش داد که Balada Injector از سال 2017 فعال بوده است و تخمین زده است که نزدیک به یک میلیون سایت وردپرس را در معرض خطر قرار داده است. عوامل تهدید از نقص برنامه‌نویسی متقابل CVE-2023-3169 (XSS) در tagDiv Composer، ابزاری همراه برای تم‌های روزنامه tagDiv و Newsmag برای سایت‌های وردپرس استفاده می‌کنند. طبق آمار عمومی EnvatoMarket، Newspaper بیش از 137000 فروش و Newsmag بیش از 18500 فروش دارد، بنابراین سطح حمله 155500 وب‌سایت است، بدون احتساب نسخه‌های غیرقانونی. این دو مضامین ممتاز (پرداختی) هستند که اغلب توسط پلتفرم‌های آنلاین پررونق که عملکردهای سالم را حفظ می‌کنند و ترافیک قابل توجهی را جمع‌آوری می‌کنند، استفاده می‌شوند.
آخرین کمپین با هدف قرار دادن CVE-2023-3169 در اواسط سپتامبر، اندکی پس از افشای جزئیات آسیب‌پذیری و انتشار PoC آغاز شد. مدیران در Reddit گزارش دادند که بسیاری از سایت‌های وردپرس به یک افزونه مخرب به نام wp-zexit.php آلوده شده‌اند.

 این افزونه به عوامل تهدید اجازه می‌دهد تا کد PHP را از راه دور ارسال کنند که در فایل /tmp/i ذخیره‌شده و اجرا شود. این حملات همچنین با تزریق کد به قالب‌هایی که کاربران را به سایت‌های کلاهبرداری تحت کنترل مهاجم هدایت می‌کرد، مشخص می‌شد. در آن زمان، یکی از نمایندگان tagDiv تایید کرد که از این نقص آگاه بودند و به مردم گفت که آخرین تم را برای جلوگیری از حملات نصب کنند.
tagDiv توضیح داد: "ما از این موارد آگاه هستیم. این بدافزار می تواند وب‌سایت هایی را که از نسخه های تم قدیمی استفاده می‌کنند، تحت تاثیر قرار دهد."
Sucuri شش موج حمله متمایز را مشاهده کرده است که برخی از آنها انواع مختلفی نیز دارند و در زیر خلاصه می شوند:
1-  به خطر انداختن سایت های وردپرس با تزریق اسکریپت‌های مخرب از stay.decentralappps[.]com.این نقص باعث انتشار کدهای مخرب در صفحات عمومی ‌می‌شد. بیش از 5000 سایت تحت‌تاثیر دو نوع (4000 و 1000) قرار گرفتند.
2-  استفاده از اسکریپت مخرب برای ایجاد حساب‌های مدیر وردپرس. در ابتدا از یک نام کاربری 'greeceman' استفاده می‌شد، اما مهاجمان بر اساس نام میزبان سایت، به نام‌های کار‌بری تولید شده خودکار روی آوردند.
3- از ویرایشگر تم وردپرس برای جاسازی درهای پشتی در فایل تم های روزنامه 404.php برای تداوم پنهان استفاده کنید.
4- مهاجمان به نصب پلاگین wp-zexit که قبلا ذکر شد روی آوردند که رفتار مدیر وردپرس را تقلید می‌کرد و درب پشتی را در رابط Ajax وب‌سایت، پنهان می‌کرد.
5-معرفی سه دامنه جدید و افزایش تصادفی سازی در میان اسکریپت ها، URL ها و کدهای تزریق شده، ردیابی و شناسایی را چالش برانگیزتر کرد. یک تزریق خاص از این موج در 484 سایت مشاهده شد.
به طور کلی، Sucuri می گوید Balada Injector را در بیش از 17000 سایت وردپرس در سپتامبر 2023 شناسایی کرده است که بیش از نیمی (9000) با بهره برداری از CVE-2023-3169 به دست آمده است.
امواج حمله به سرعت بهینه‌سازی شدند، که نشان می‌دهد عوامل تهدید می‌توانند به سرعت تکنیک‌های خود را برای دستیابی به حداکثر تأثیر تطبیق دهند. برای دفاع در برابر Balada Injector توصیه می‌شود افزونه tagDiv Composer را به نسخه 4.2 یا بالاتر ارتقا دهید که آسیب پذیری ذکر شده را برطرف می‌کند. همچنین، تمام تم ها و افزونه های خود را به روز نگه دارید، حساب های کاربری غیر فعال را حذف کنید و فایل های خود را برای درهای پشتی مخفی اسکن کنید.
اسکنر بدون دسترسی Sucuri اکثر انواع Balada Injector را شناسایی می‌کند، بنابراین ممکن است بخواهید از آن برای اسکن نصب وردپرس خود برای به خطر افتادن استفاده کنید.

 مراجع