بینگ چت که یکی از محصولات نرم‌افزاری شرکت مایکروسافت است، به‌دلیل مشکل امنیتی نفوذ تبلیغات مخرب، مورد بازنگری قرار گرفت.
بینگ چت، یک نرم‌افزار متن و تصویر جهت تعامل کاربران در فضای مجازی است که با استفاده از هوش مصنوعی (AI) توسط موتور GPT-4 از OpenAI تغذیه می‌شود. این برنامه در فوریه 2023 عرضه شد و تعداد قابل‌توجهی کاربر به آن پیوستند. بینگ چت پس از  شش ماه عرضه‌، بیش از یک میلیارد چت را ثبت کرد.
افزایش محبوبیت این نرم‌افزار باعث جذب تبلیغات از سوی فعالان این عرصه شد تا از این طریق تعداد زیادی از کاربران را به خود جذب کنند؛ اما این موضوع منجر شده است تا راهی برای سوءاستفاده‌های احتمالی توسط مهاجمان از این طریق ایجاد شود.
یکی از روش‌های مورد استفاده جهت نمایش تبلیغات در مکالمات بینگ چت، نمایش یک تبلیغ آنی است  که حاوی یک لینک مخرب می‌باشد و کاربران بدون آگاهی از این موضوع بر روی تبلیغات گمراه‌کننده کلیک خواهند کرد.
پیامدهای چنین تبلیغات گمراه‌کننده‌ای نگران‌کننده است. وقتی کاربران بر روی این لینک‌ها کلیک می‌کنند، به وب‌سایت‌های جعلی هدایت می‌شوند که به‌شدت شبیه به وب‌سایت‌های رسمی هستند. هدف نهایی از این روش‌ها، جلب نظر قربانیان برای دانلود برنامه‌هایی است که به‌نظر بی‌خطر می‌آید، اما در واقعیت دارای عناصر مخربی است.
نمایش تبلیغات آنلاین که حاوی لینک‌های مخرب است برای سودجویانی که قصد دارند کاربران را به وب‌سایت‌هایی که بدافزار در آن‌ها وجود دارد، هدایت کنند هدف سودآوری به شمار می‌آید.

توصیه‌های امنیتی
متخصصان امنیتی به کاربران توصیه کردند هنگام استفاده از مرورگرهای وب از ابزارهای امنیتی با قابلیت محافظت در وب، مسدود کردن تبلیغات و تشخیص بدافزار جهت ارتقاء سطح امنیت آنلاین خود استفاده کنند.
محققان همچنین اعلام کردند که این نقض امنیتی را به مایکروسافت گزارش داده‌ و بر اهمیت تداوم اقدامات پیشگیرانه در حفاظت از محیط جستجو و تبلیغات آنلاین تأکید نموده‌اند.

منبع خبر:

https://www.infosecurity-magazine.com/news/bing-ai-faces-malware-threat-ads/

گوگل به‌تازگی یک به‌روزرسانی امنیتی اضطراری جدید برای مرورگر کروم منتشر کرده است تا پنجمین آسیب‌پذیری روز-صفر (Zero-Day) با شناسه CVE-2023-5217 و شدت 8.8 (بالا) در این مرورگر را در سال جاری برطرف کند. این آسیب‌پذیری بسیار مشکل‌آفرین است، زیرا هکرها یک راه برای بهره‌برداری از آن در حملات خود ابداع کرده‌اند لذا ضروری است کاربران در اسرع وقت اقدام به به‌روزرسانی مرورگرکروم خود کنند.
تیم کروم شرکت گوگل در یک اعلان امنیتی توضیح داد آخرین نسخه از مرورگر خود (نسخه 117.0.5938.132) برای ویندوز، مک و لینوکس شامل 10 اصلاح امنیتی است تا سه آسیب‌پذیری با شدت بالا را برطرف کند. ممکن است چند روز یا حتی چند هفته طول بکشد تا این به‌روزرسانی امنیتی اضطراری به همه کاربران کروم ارائه شود.
از میان سه آسیب‌پذیری مورد توجه در این به‌روزرسانی امنیتی اضطراری، CVE-2023-5217  ناشی از ضعف (heap buffer overflow) در رمزگذاری VP8 در libvpx است.
این نقص توسط کلمنت لسین، محقق امنیتی گروه تجزیه و تحلیل تهدید گوگل (TAG)  در روز دوشنبه، 25 سپتامبر 2023 گزارش شد. محققان Google TAG که در زمینه یافتن و گزارش بهره‌برداری‌های روز صفر در حملات هدفمند نرم‌افزارهای جاسوسی که توسط مهاجمان تحت حمایت دولت‌ها و گروه‌های هکری فعالیت می‌کنند فاش کردند که آسیب‌پذیری مذکور جهت نصب نرم‌افزارهای جاسوسی مورد بهره‌برداری قرار گرفته است.
پیش از این Google TAG به همراه محققان آزمایشگاه Citizen، فاش کردند که سه حمله روز صفر دیگر توسط شرکت اپل در پنجشنبه گذشته وصله شده که این حملات جهت نصب نرم‌افزار جاسوسی Cytrox's Predator  بین ماه مه و سپتامبر 2023 مورد استفاده قرار گرفته بودند.
گوگل دو هفته پیش‌تر، یک حمله روز صفر دیگر (چهارمین مورد از ابتدای سال) با شناسه CVE-2023-4863 را نیز رفع کرد. اگرچه در ابتدا این مشکل به عنوان یک نقص مرورگر کروم معرفی شد، لیکن در مرحله بعد،  یک CVE دیگر با شناسه CVE-2023-5129) و شدت بحرانی 10 به این نقص اختصاص داده شد و به عنوان یک آسیب‌پذیری امنیتی مهم در کتابخانه libwebp دسته‌بندی شد. این کتابخانه‌ توسط تعداد زیادی محصول از جمله Signal، 1Password، Mozilla Firefox، Microsoft Edge، و Safari Apple و همچنین مرورگر اصلی وب اندروید مورد استفاده قرار می‌گیرد.

توصیه‌های امنیتی
همانند بسیاری از آسیب‌پذیری‌های روزصفر اخیری که توسط شرکت اپل برطرف شده‌اند، مهم‌ترین کاری که می‌توانید در این وضعیت انجام دهید، به‌روزرسانی کروم به نسخه 117.0.5938.132 است.
 همچنین جهت بررسی دستی به‌روزرسانی‌ها می‌توانید بر روی منوی سه نقطه کلیک کنید، تنظیمات را باز کرده و سپس به قسمت درباره کروم بروید. گوگل همچنین از یک سیستم هشدار با رنگ‌های متفاوت جهت اعلام در دسترس بودن به‌روزرسانی‌های جدید برای مرورگر خود استفاده می‌کند. این سیستم به‌صورت یک حباب نمایان می‌شود که در کنار نام کاربری شما قرار می‌گیرد و رنگ آن بر اساس زمان انتشار به‌روزرسانی تغییر می‌کند. حباب سبز به معنی این است که به‌روزرسانی دو روز قبل ارائه شده است، حباب نارنجی به‌معنی به‌روزرسانی چهار روز قبلی و حباب قرمز نمایش‌دهنده این است که به‌روزرسانی حداقل یک هفته پیش انتشار یافته است. اگر نیاز به کمک بیشتر دارید، می‌توانید به راهنمای به‌روزرسانی گوگل کروم مراجعه کنید.

شکل 1- علامت انتشار به‌روزرسانی درمرورگر گوگل کروم

شایان ذکر است که کاربران علاوه بر اعمال به‌روزرسانی، باید از یک آنتی‌ویروس نیز برای کامپیوتر یا دستگاه اندرویدی خود استفاده کنید چراکه با استفاده از آنتی‌ویروس و همچنین نصب به‌روزرسانی‌های امنیتی منتشر شده، می‌توانید از انواع حملات سایبری محافظت کنید.

منابع خبر:

[1] https://www.tomsguide.com/news/billions-at-risk-from-google-chrome-security-flaw-update-your-browse…
[2] https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-da…
[3] https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html?m=1

بدافزار کنترل از راه دور Gh0st RAT، یک نرم‌افزار مخرب معروف است که به‌طور گسترده توسط مهاجمان مورد استفاده قرار می‌گیرد و کد آن به‌صورت عمومی در دسترس می‌باشد.
محققان  به تازگی نسخه‌ای از Gh0st RAT را کشف کرده‌اند که به منظور حمله به سرورهای MS-SQL،  از یکrootkit  مخفی استفاده می‌کند. این rootkit  مخفی کار بدافزار را پنهان و از حذف آن جلوگیری خواهد کرد.
Rootkit بدافزاری است که فعالیت خود را در سیستم‌عامل کامپیوتر یا دستگاه دیگری مخفی می‌کند تا توانایی کنترل از راه دور آن را به‌دست آورد. این نوع بدافزار به‌طور معمول توسط نفوذکنندگان یا مهاجمان به منظور انجام فعالیت‌های مخرب یا سرقت اطلاعات حساس استفاده می‌شود.
HiddenGh0st نوعی از Gh0st RAT است که توانایی سرقت اطلاعات QQ Messenger را دارد و از سال 2022 کشف شده است.
پژوهشگران امنیت سایبری به‌تازگی گزارش داده‌اند که بدافزار HiddenGh0st به‌صورت فعال به سمت سرورهای MS-SQL و MySQLای که تنظیمات نامناسبی داشتند، حمله می‌کند. این تنظیمات شامل عدم مراقبت یا عدم مدیریت سرورهای MS-SQL و MySQL است که در ادامه به برخی از این موارد اشاره می‌شود:
1. عدم به‌روزرسانی نرم‌افزارها: عدم به‌روزرسانی سیستم‌عامل، پایگاه‌داده‌ها و نرم‌افزارهای مرتبط با سرورها می‌تواند به آسیب‌پذیری‌های امنیتی منجر شود.
2. استفاده از رمزهای عبور ضعیف: استفاده از رمزهای عبور ضعیف یا پیش‌فرض برای دسترسی به سرورها، که به‌راحتی توسط حملاتی مانند HiddenGh0st قابل تخمین هستند.
3. اجازه دسترسی به افراد غیرمجاز: تعیین دسترسی‌های نامناسب برای کاربران یا سیستم‌های خارجی به سرورها، ممکن است به دسترسی غیرمجاز مهاجم منجر شود.
4. عدم نظارت مداوم: عدم نظارت و ممانعت از فعالیت‌های غیرمعمول یا حملات به سرورها، می‌تواند امنیت سیستم را تخریب کند.
5. ترکیب کردن سرورهای آسیب‌پذیر در شبکه: اگر سرورهای آسیب‌پذیر در شبکه‌ای با سرورهای حیاتی ترکیب شوند، امکان شناسایی حملات و محافظت از سرورهای حیاتی کاهش می‌یابد.
HiddenGh0st از رمزنگاری، رمزگشایی و اجرای فایل PE خود در حافظه استفاده می‌کند تا از این طریق شناسایی نشود.
داده‌های جمع‌آوری‌شده عبارتند از:
-    اطلاعات نسخه ویندوز
-    سرعت پردازنده (CPU)
-    تعداد واحدهای پردازشی مرکزی (CPUs)
-    آدرس IP عمومی
-    آدرس IP خصوصی
-    نام میزبان سیستم آلوده
-    تعداد دوربین‌های وب
-    زمان تاخیر اتصال به اینترنت
-    سرعت رابط شبکه
-    ظرفیت حافظه
-    ظرفیت دیسک محلی
-    لیست محصولات امنیتی نصب‌شده
-    شماره ورود به QQ Messenger
-    وضعیت اتصال به اینترنت (MODEM، LAN، PROXY)

توصیه‌های امنیتی
برای جلوگیری از تهدیدات بدافزار Gh0st RAT و HiddenGh0st و دیگر تهدیدات امنیتی مشابه، کاربران باید توصیه‌های امنیتی زیر را در نظر داشته باشند:
1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل و تمام نرم‌افزارهای شما به‌روز باشند. به‌روزرسانی‌های امنیتی را فوراً اعمال کنید.
2. نصب آنتی‌ویروس: نصب یک آنتی‌ویروس معتبر و به‌روز و اسکن منظم فایل‌ها و برنامه‌های دانلود‌ شده را توصیه می‌کنیم.
3. فعال‌سازی دیواره آتش (Firewall): از یک دیواره آتش استفاده کنید تا ترافیک شبکه را کنترل کنید و دسترسی به سیستم شما را محدود کنید.
4. مدیریت دسترسی‌ها: دسترسی به پوشه‌ها و فایل‌های حساس را محدود کنید و فقط به افرادی که لازم است، دسترسی دهید.
6. مدیریت سرویس‌ها: سرویس‌ها و برنامه‌های غیرضروری را غیرفعال کنید و فقط سرویس‌های مورد نیاز را اجرا کنید.

منبع خبر:

https://cybersecuritynews.com/hiddengh0st-malware/

یک مقاله تحقیقاتی جدید منتشر شده که به انجام یک حمله Side-Channel (کانال جانبی) اشاره دارد که مهاجم می‌توانند از آن بهره‌برداری کرده و اطلاعات بصری حساس را از کارت‌های گرافیکی مدرن GPU در هنگام بازدید از یک وب‌سایت مخرب نشر دهد.
Side-Channel ها در زمینه امنیت سایبری به‌منظور انتقال اطلاعات یا نفوذ به سیستم‌ها و برنامه‌ها مورد استفاده قرار می‌گیرد و از نقاط ضعف غیرمستقیم در سیستم‌ها یا فرآیندها بهره‌برداری می‌کنند و به مهاجمان اجازه می‌دهند اطلاعات حساس را به‌صورت غیرمجاز به‌دست آورند.
این روش تحت عنوان GPU.zip توسط چهار دانشگاه آمریکایی منتشر و شبیه‌سازی حمله بر اساس یک حمله سرقت پیکسل با فیلتر SVG از طریق مرورگر Chrome در جهت اهداف تحقیقاتی انجام شده است.
این حمله ناشی از استفاده از روش‌های غیرمستند فشرده‌سازی توسط تولیدکنندگان مانند اینتل و AMD بوده است، این فشرده‌سازی‌ها زمانی انجام می‌شوند که برنامه نرم‌افزاری فشرده‌سازی را درخواست نکرده است. در کنار مزایای عملکردی فشرده‌سازی، می‌توان به نشت داده کانال جانبی به عنوان یک نقص در آن اشاره کرد.
اینتل و AMD این نوع فشرده‌سازی ریسکی را در GPUهای مدرن خود به ‌عنوان بخشی از راهبرد بهینه‌سازی جهت صرفه‌جویی در پهنای باند حافظه و افزایش عملکرد آن‌ها بدون استفاده از نرم‌افزار اضافی انجام می‌دهند.
 

نتایج تست‌های صورت گرفته برای تعدادی GPU

مهاجم می‌تواند اطلاعات مخفی را در درخواست‌ها و پاسخ‌های HTTP/HTTPS به‌صورت بیت به بیت نشان دهد و چون میزان فشرده‌سازی معمولاً به داده‌های نهان وابسته است، این حمله می‌تواند اطلاعات تصویری حساس را با خواندن پیکسل به پیکسل دزدیده و انتقال دهد.
علاوه بر این، نمونه حمله بر روی وب‌سایت ویکی‌پدیا برای دزدیدن نام کاربری با استفاده از یک فریم (iframe) انجام شد. نتایج حمله برای حمله کانال  جانبی Ryzen در 30 دقیقه و برای GPUهای اینتل در 215 دقیقه به‌دست آمد. اگرچه این حملات بیشتر زمان می‌برد، اما دقت آن‌ها به ترتیب 97٪ و 98.3٪ بوده است.
 

توصیه‌های امنیتی
1. اعمال به‌روزرسانی برای نرم‌افزارها و درایورها: همواره اطمینان حاصل کنید که سیستم عامل و درایورهای گرافیکی شما به‌روز باشند. سازندگان درایورها ممکن است آپدیت‌هایی را برای رفع آسیب‌پذیری‌های امنیتی عرضه کنند.
2. استفاده از مرورگرهای امن: از مرورگرهای معتبر و به‌روز و با امنیت بالا برای مرور وب استفاده کنید. مرورگرهایی مانند Google Chrome، Mozilla Firefox و Microsoft Edge به‌روزرسانی‌های امنیتی منظمی دارند.
3. استفاده از افزونه‌های امنیتی: افزونه‌های مرورگری مانند NoScript یا uBlock Origin می‌توانند به شما کمک کنند تا تبلیغات مخرب و اجرای اسکریپت‌های ناخواسته را مسدود کنید.
4. محافظت از اطلاعات حساس: اطلاعات حساس خود را در مرورگر به اشتراک نگذارید و از ورود به سایت‌های ناشناخته یا مشکوک خودداری کنید.

 منبع خبر:

https://cybersecuritynews.com/gpu-side-channel-vulnerability/

بدافزار جدید ZenRAT کاربران ویندوز را از طریق نرم‌افزار مدیریت رمز عبور جعلی مورد هدف قرار می‌دهد. نسخه جدیدی از نرم‌افزار مخرب ZenRAT در فضای سایبری مشاهده شده است که از طریق بسته‌های نصب جعلی نرم‌افزار مدیریت کلمات عبور Bitwarden توزیع می‌شود.
این نرم‌افزار مخرب به‌طور خاص، کاربران ویندوز را مورد هدف قرار داده و افرادی را که از میزبان‌های دیگر استفاده می‌کنند، به یک صفحه وب بی‌خطر هدایت می‌کند. این نرم‌افزار مخرب یک تروجان (RAT) از راه دور ماژولار با قابلیت سرقت اطلاعات است.
ZenRAT در وب‌سایت‌های جعلی که وانمود می‌کنند به Bitwarden مرتبط هستند، میزبانی می‌شود، اگرچه مشخص نیست که چگونه ترافیک به دامنه‌های مختلف هدایت می‌شود. چنین نرم‌افزار مخربی در گذشته از طریق حملات فیشینگ، بدافزار تبلیغانی یا حملات مرتبط با موتورهای جستجو (SEO) منتشر شده است.
بارگیری بسته (Bitwarden-Installer-version-2023-7-1.exe) از crazygameis[.]com، یک نسخه تروجانی از بسته نصب استاندارد Bitwarden است که شامل یک فایل اجرایی مخرب .NET  (ApplicationRuntimeMonitor.exe) می‌باشد.
یکی از جنبه‌های قابل‌توجه حمله به این شکل است که کاربرانی که از سیستم‌های غیر ویندوزی استفاده می‌کنند، به وب‌سایت جعلی شامل مقاله‌ای منتشر شده  از سال 2018 در opensource.com هدایت می‌شوند. این مقاله درباره «چگونگی مدیریت کلمات عبور با استفاده از Bitwarden» می‌باشد.
علاوه بر این، کاربران سیستم عامل ویندوز که بر روی لینک‌های دانلود مخصوص سیستم‌عامل‌های Linux یا macOS در صفحه دانلود کلیک می‌کنند، به وب‌سایت معتبر Bitwarden با آدرس vault.bitwarden.com هدایت می‌شوند.
پس از بررسی و تحلیل اطلاعات فایل installer مشخص شد که مهاجم در تلاش است تا نرم‌افزار مخرب را به‌عنوان "Speccy" که یک نرم‌افزار تولید شده توسط شرکت Piriform است و برای سیستم‌های ویندوز طراحی شده است، نشان دهد. این نرم‌افزار به کاربران امکان مشاهده و نمایش جزئیات و اطلاعات مربوط به سخت‌افزار و نرم‌افزار روی کامپیوترهای شخصی خود را می‌دهد. به عبارت دیگر، Speccy به کاربران کمک می‌کند تا اطلاعات مختلفی از جمله اطلاعات سیستمی مانند نوع و مدل سخت‌افزارها، دما، وضعیت دیسک‌ها و اطلاعات نرم‌افزاری مانند نسخه سیستم‌عامل و برنامه‌های نصب شده را بررسی و مشاهده کنند. این ابزار معمولاً به منظور اطلاع از وضعیت سیستم و رفع مشکلات عملکردی و عیب‌یابی در سیستم‌های ویندوز مورد استفاده قرار می‌گیرد.
امضای دیجیتال مورد استفاده برای امضای فایل‌های اجرایی، نه تنها نامعتبر است بلکه ادعا می‌شود که توسط Tim Kosse، یک دانشمند کامپیوتر معروف آلمانی که برای توسعه نرم‌افزار FTP رایگان FileZilla شناخته می‌شود، امضا شده است.
با اجرای ZenRAT، اطلاعاتی از جمله نام CPU، نام GPU، نسخه سیستم‌عامل، اطلاعات اعتبار مرورگر و نرم‌افزارهای نصب شده و نرم‌افزارهای امنیتی از میزبان جمع‌آوری می‌شود و به یک سرور کنترل دستور (C2) اداره شده توسط مهاجم با آدرس 85.186.72.14 ارسال می‌شوند.
ZenRAT طوری تنظیم شده است که گزارشات خود را به سرور به‌صورت متن ساده ارسال خواهد کرد. این گزارشات شامل بررسی‌های سیستمی انجام شده توسط نرم‌افزار مخرب و وضعیت اجرای هر ماژول است.

توصیه‌های امنیتی
1. دانلود نرم‌افزار از منابع معتبر:
   - همیشه نرم‌افزارها و برنامه‌ها را از منابع معتبر و رسمی دانلود کنید. در خصوص Bitwarden، توصیه می‌شود از وب‌سایت رسمی آن (vault.bitwarden.com) استفاده کنید.
2. تایید امضای دیجیتال:
   - هنگام دانلود یک نرم‌افزار، امضای دیجیتال را بررسی کنید تا از معتبر بودن آن اطمینان حاصل کنید. اگر امضای دیجیتال نامعتبر یا نادرست باشد، نرم‌افزار را نصب نکنید.
3. آگاهی از دامنه‌های جعلی:
   - توجه نمایید به چه دامنه‌ای از وب‌سایت می‌روید. از وب‌سایت‌های جعلی یا مشکوک دوری کرده و تنها به وب‌سایت‌های معتبر دسترسی داشته باشید.

منبع خبر:

https://thehackernews.com/2023/09/new-zenrat-malware-targeting-windows.html

شرکت گوگل یک آسیب پذیری امنیتی  libwebp با شناسه  CVE-2023-5129  را به عنوان آسیب‌پذیری روز صفر اعلام کرد که در حملات مختلفی مورد بهره‌برداری قرار گرفته است. این شرکت در ابتدا آسیب-پذیری مذکور را به جای اختصاص دادن به کتابخانه منبع باز libwebp که جهت رمزگذاری و رمزگشایی تصاویر در قالب WebP استفاده می‌شود، به‌عنوان یک ضعف کروم با‌عنوان CVE-2023-4863  افشا کرد.

جزئیات آسیب‌پذیری
آسیب‌پذیری CVE-2023-5129 با شدت بحرانی 10 ارزیابی و به عنوان یک نقص امنیتی مهم در  libwebp  شناسایی شده است، همچنین پیامدهای قابل توجهی برای پروژه‌های دیگر با استفاده از کتابخانه منبع باز libwebp  در پیش دارد.
این آسیب‌پذیری شامل یک سرریز بافر پشته در WebP است و مهاجم را قادر می‌سازد تا نوشته‌های حافظه خارج از محدوده را، با استفاده از صفحات HTML ساخته شده به‌طور مخرب اجرا کند. این نوع بهره‌برداری می‌تواند عواقب شدیدی همچون اجرای کد و دسترسی غیرمجاز به اطلاعات حساس داشته باشد.
مشکل اساسی CVE-2023-5129  اجرای ناقص الگوریتم کدگذاری هافمن است. به عبارت ساده‌تر، این اشکال منجر به آسیب‌پذیری شده و شرایطی برای مهاجم فراهم می‌آرود تا سرریز بافر پشته‌ای را راه‌اندازی کند. این سرریز، به وی اجازه می‌دهد تا کدهای غیرمجاز را روی سیستم‌های آسیب‌پذیر اجرا کند. آسیب‌پذیری مذکور به قدری قابل توجه است که با امتیاز CVSS 10.0 ارزیابی شده است که نشان‌دهنده ماهیت بحرانی آن است. از این رو، پتانسیل بالایی جهت فراهم آوردن مخاطراتی همچون راه‌اندازی سرریز بافر پشته‌ای، اجرای کد دلخواه، به خطر انداختن سیستم‌ها، نقض داده‌ها، اختلال در سرویس‌ها و افزایش دسترسی توسط مهاجمان را در پی خواهد داشت. این عامل، بر اهمیت حیاتی وصله سریع و رسیدگی به چنین آسیب‌پذیری‌هایی برای محافظت از محیط‌های دیجیتال در برابر تهدیدات احتمالی تأکید می‌کند.

محصولات تحت تأثیر
آسیب‌پذیری با شناسه CVE-2023-5129  بر نسخه¬های Google Chrome قبل از 116,0,5845,187 و نسخه‌های 0.5.0 تا 1,3,1  Libwebp تأثیر می‌گذارد.

 توصیه‌های امنیتی
برای مقابله با این نقص امنیتی مهم اعمال آخرین به‌روزرسانی‌های امنیتی بهترین روش مقابله می‌باشد.

 منابع خبر:

[1] https://thehackernews.com/2023/09/new-libwebp-vulnerability-under-active.html
[2]https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-…
[3] https://dataconomy.com/2023/09/28/google-cve-2023-5129-libwebp

به تازگی آسیب‌پذیری با شناسه CVE-2023-42115 با شدت بحرانی (9.8) در ایمیل‌سرور محبوب Exim شناسایی شده است. این آسیب‌پذیری که در تمامی نسخه‌های برنامه Exim mail transfer agent (MTA) وجود دارد برای مهاجمان، امکان اجرای کد از راه دور در سرورهایی که در معرض اینترنت هستند را فراهم می‌کند. مهاجم برای بهره‌برداری از این آسیب‌پذیری نیازی به احراز هویت ندارد. هم اکنون حدود 3.5 میلیون سرور exim در  دنیا و در حدود 20 هزار مورد در ایران وجود دارد.
آسیب‌پذیری مذکور به دلیل اعتبارسنجی نامناسب داده‌های ورودی کاربران، در مؤلفه مربوط به احراز هویت آن‌ها می‌باشد. در حال حاضر هنوز وصله امنیتی برای این آسیب‌پذیری منتشر نشده و تنها توصیه امنیتی جهت مصون ماندن از مخاطرات احتمالی این آسیبب‌پذیری، محدود کردن دسترسی به میل‌سرور Exim از طریق اینترنت است.

منبع خبر:

[1] https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rc…
[2] https://www.zerodayinitiative.com/advisories/ZDI-23-1469/

محققان امنیت سایبری بدافزاری به نام Deadglyph کشف کردند که در حملات سایبری جاسوسی یک گروه تهاجمی به نام Stealth Falcon مورد استفاده قرار گرفته است.
معماری Deadglyph به‌عنوان یک معماری غیرمعمول شناخته شده است چراکه شامل یک فایل باینری native x64 و یک فایل .NET می‌باشد، این ترکیب غیرمعمول است زیرا معمولاً تنها از یک زبان برنامه‌نویسی برای پیاده‌سازی نرم‌افزار‌های مخرب استفاده می‌شود. این تفاوت ممکن است به معنای توسعه جداگانه این دو مؤلفه باشد و در عین حال از ویژگی‌های منحصر بفرد زبان‌های برنامه‌نویسی متفاوتی که بکار گرفته شده، بهره می‌برد.
 

شکل 1- معماری Deadglyph

همچنین، این امکان وجود دارد که استفاده از زبان‌های برنامه‌نویسی مختلف یک تاکتیک عمدی است تا تحلیل را مشکل‌تر کند و اجازه ندهد به سادگی به آن دست پیدا کرد. بر خلاف دیگر بدافزارهای backdoor  سنتی، دستورات به‌صورت ماژول‌های اضافی از یک سرور تحت کنترل دریافت می‌شوند که به این برنامه امکان ایجاد پردازه‌های جدید، خواندن فایل‌ها و جمع‌آوری اطلاعات از سیستم‌های تخریب شده را می‌دهد.
Stealth Falcon (یا FruityArmor) در ابتدا توسط Citizen Lab در سال 2016 فاش شد و با حملات جاسوسی هدفمندی در خاورمیانه شناخته شد. این حملات با استفاده از لینک‌های مخصوص که به اسناد حاوی ماکرو متصل بودند و به‌منظور اجرای دستورات دلخواه صورت می‌گیرند.
تحقیقات بعدی توسط رویترز در سال 2019 عملیات پروژه راون را فاش کرد که اعضای آن شامل گروهی از مهاجمان سابق ایالات متحده بود که توسط شرکت امنیتی به نام DarkMatter جهت جاسوسی استخدام شده بودند.
احتمالا Stealth Falcon  و اعضای دخیل در پروژه راون به دلیل مشابهت در تاکتیک‌ها و هدف‌گیری‌ها یک گروه هستند. این گروه همچنین از آسیب‌پذیری‌های روز صفر ویندوز مانند CVE-2018-8611 و CVE-2019-0797 استفاده کرده‌اند. در آوریل 2020 اعلام شد که این گروه جاسوسی بیشترین تعداد آسیب‌پذیری‌های روز صفر را نسبت به هر گروه دیگری از سال 2016 تا 2019 استفاده کرده است.
در همان زمان، ESET جزئیات استفاده از یک backdoor  به نام Win32/StealthFalcon را نیز توضیح داد که از سرویس انتقال پس‌زمینه ویندوز (BITS) جهت ارتباط و به آوردن کنترل کامل سیستم قربانی استفاده کرده است.
روش دقیقی که برای ارسال این برنامه استفاده می‌شود در حال حاضر ناشناخته است، اما جزء اولیه که اجرای آن را فعال می‌کند یک بارگذار شل‌کد است که شل‌کد را از رجیستری ویندوز استخراج و بارگذاری می‌کند که به‌عنوان ماژول x64 و یک اجراکننده شناخته می‌شود.
سپس اجراکننده با بارگذاری یک مولفه .NET به نام Orchestrator ادامه می‌دهد تا با سرور کنترل ارتباط برقرار ‌کند. دستوراتی که از سرور دریافت می‌شود به‌صورت ماژول‌های اجرایی به انجام می‌رسند و می‌توانند در یکی از سه دسته‌ تسک‌های Orchestrator ، اجراکننده و آپلود انجام شوند.
بعضی از وظایف اجراکننده شامل ایجاد فرآیند، دسترسی به فایل و جمع‌آوری اطلاعات متا دستگاه است. ماژول تایمر جهت پرس و جوی دوره‌ای سرور C2 به همراه ماژول شبکه استفاده می‌شود که از طریق درخواست‌های POST HTTPS ارتباط C2 را پیاده‌سازی می‌کند.
تسک‌های آپلود، همان‌طور که از نامش پیداست، بهbackdoor  این امکان را خواهد داد تا خروجی دستورات و خطاها را بارگذاری کنند.
Deadglyph از مکانیزم‌های ضد-تشخیصی متعددی بهره می‌برد، از جمله نظارت مداوم بر فرآیندهای سیستم و پیاده‌سازی الگوهای شبکه تصادفی. علاوه بر این، این بدافزار توانایی حذف خود را دارد تا احتمال تشخیص آن در موارد خاصی را به حداقل برسد.

توصیه‌های امنیتی

1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل و نرم‌افزارهای شما به‌روز هستند. به‌روزرسانی‌ها اغلب اقدامات امنیتی را ارائه می‌دهند که می‌توانند از آسیب‌پذیری‌ها جلوگیری کنند.
2. آنتی‌ویروس: نصب یک برنامه آنتی‌ویروس با قابلیت به‌روزرسانی خودکار می‌تواند به شما کمک کند تا بدافزارها را تشخیص داده  و از ورود آنها به سیستم جلوگیری کنید.
3. هویت و دسترسی محدود: دسترسی به سیستم و داده‌های حساس را به کاربران معتبر محدود کنید.
4. آموزش کارکنان: کارکنان را در مورد تهدیدات امنیتی و نحوه رفتار در مقابل ایمیل‌ها و پیام‌های مشکوک آموزش دهید. حملات پیشرفته معمولاً از راه‌های مهندسی اجتماعی برای نفوذ استفاده می‌کنند.
5. مانیتورینگ فعال: نظارت مستمر بر فعالیت‌های سیستمی و شبکه، می‌تواند به میزان قابل توجهی از ورود مهاجمان و بدافزارها به سیستم جلوگیری کند.
6. استفاده از فایروال: نصب یک فایروال سخت‌افزاری یا نرم‌افزاری می‌تواند از ورود ناخواسته به سیستم جلوگیری کند و ترافیک مشکوک را مسدود سازد.
7. پشتیبانی و بازیابی داده: سیستم منظم پشتیبان‌گیری از داده‌های مهم خود ایجاد کنید و برای دسترسی و بازیابی داده‌ها، تدابیر امنیتی را به کار گیرید. این موضوع می‌تواند در مواجهه با حملات رمزگذاری‌شده یا حذف داده‌ها مفید باشد.
8. بررسی مرتب ایمیل‌ها: ایمیل‌ها و پیوست‌های مشکوک را به‌ دقت بررسی کنید و هیچگاه پیوست‌های منابع نامعتبر را دانلود نکنید.
9. استفاده از شبکه VPN: در صورت امکان، از یک شبکه مجزا استفاده کنید تا اطلاعات شما از دسترسی غیرمجاز محافظت شود.
10. حفاظت از اطلاعات و ورودی‌های رجیستری: به‌دقت کنترل کنید که چه اطلاعاتی به رجیستری وارد می‌شود و از داده‌ها و اطلاعات مهم حفاظت کنید.

همچنین، به یاد داشته باشید هیچ سیستمی به‌طور کامل از تهدیدات امنیتی محافظت نمی‌کند، بنابراین ترکیب تدابیر متعدد و ایجاد یک فرهنگ امنیتی در سازمان شما حائز اهمیت است. همچنین توسعه‌دهندگان امنیتی و محققان امنیتی باید کماکان در حال بررسی تهدیدات امنیتی جدید باشند تا بتوانند در اسرع وقت، تهدیدات را شناسایی و از بروز آن‌ها جلوگیری کنند.

منبع خبر:

https://thehackernews.com/2023/09/deadglyph-new-advanced-backdoor-with.html

یک آسیب‌پذیری بحرانی با شناسه CVE-2023-42793 و شدت 9.8 در نرم‌افزار (CI/CD) JetBrains TeamCity  کشف شده که می‌تواند توسط مهاجم احراز هویت نشده منجر به بهره‌برداری و افشای کد منبع(source code) شود و امکان اجرای کد از راه دور بر روی سیستم هدف را فراهم می‌آورد.
JetBrains TeamCity یک برنامه قوی و عالی است که توسط کمپانی مشهور JetBrains با امکانات جامع و کامل برای ویندوز عرضه شده است. نرم‌افزاری که در محیط‌های توسعه نرم‌افزار قادر است به اعضای تیم برنامه‌نویسی کمک نماید تا هر کاربری بتواند کدهای خود را با ورژن‌کنترل‌های مختلفی همچون SVN, GIT و غیره در سرور ذخیره و با استفاده از کامپایلری Build کند.
مهاجمان با استفاده از سطح دسترسی دلخواه می‌توانند کدمنبع، سرویس‌های محرمانه و رمز‌های خصوصی را به سرقت برده یا کنترل سرویس‌های مرتبط را به دست بگیرند و نرم‌افزارهای خروجی را آلوده کنند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به دسترسی به pipe-lineها و تزریق کد دلخواه توسط مهاجم شود که این مسئله یکپارچگی و زنجیره تأمین را شدیداً به خطر خواهد انداخت.
 

شکل 1: تزریق pay-load جهت بهره‌برداری از آسیب‌پذیری

محصولات تحت تأثیر
نسخه‌های قبل از 2023.05.4 نرم‌افزار JetBrains TeamCity تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
کمپانی JetBrains به کاربران توصیه می‌کند در اسرع وقت نرم‌افزار خود را به آخرین به‌روزرسانی منتشرشده یعنی نسخه 2023.05.4 ارتقاء دهند. همچنین این شرکت افزونه‌ای با وصله امنیتی مختص این آسیب‌پذیری منتشر نمود تا کاربرانی که از نسخه‌های قدیمی‌تر نرم‌افزار TeamCity‌ (8.0 و بالاتر) استفاده می‌کنند و فعلا قدر به اعمال به‌روزرسانی منتشر شده نیستند، نقص امنیتی مذکور را در از این طریق برطرف کنند.

منابع:

[1] https://thehackernews.com/2023/09/critical-jetbrains-teamcity-flaw-could.html
[2] https://youtu.be/O2p-6I8RK5c?si=df51hOF6cnP1frql   
[3]https://blog.jetbrains.com/teamcity/2023/09/cve-2023-42793-vulnerability-post-mortem/

جزئیات آسیب‌پذیری
یک آسیب‌پذیری امنیتی با شناسه CVE-2023-20223 و شدت 8.6 در Cisco DNA Center شناسایی شده است که از راه دور امکان دسترسی غیرمجاز را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری امنیتی می‌تواند به مهاجم اجازه دهد تا داده‌ها را در دستگاه قربانی مشاهده کرده و آن‌ها را تغییر دهد.
Cisco DNA Center (Cisco Digital Network Architecture Center)، یک پلتفرم مدیریت شبکه توسعه یافته شرکت سیسکو (Cisco) می‌باشد که جهت مدیریت اتوماسیون شبکه‌های سازمانی و ایجاد شبکه‌های معتمد و امن بر اساس مفهوم Software-Defined Networking (SDN) و Intent-Based Networking (IBN) طراحی شده است. به‌طور کلی، Cisco DNA Center به سازمان‌ها کمک می‌کند تا شبکه‌های پیچیده‌ را به‌ صورت مؤثرتر و امن‌تر مدیریت کرده و از مزایای تکنولوژی‌های نوین شبکه مانند SDN و IBN استفاده کنند.
این آسیب‌پذیری امنیتی مربوط به عدم کنترل دسترسی کافی درخواست‌های API می‌باشد. مهاجم می‌تواند با استفاده از درخواست‌های API به‌طور دقیق، به دستگاه آسیب‌پذیری‌پذیر حمله کند و با بهره‌برداری موفق از آسیب‌پذیری مذکور داده‌های مدیریتی را در دستگاه تحت تأثیر، به صورت غیرمجاز بخواند و یا تغییر دهد.

محصولات تحت تأثیر
 Cisco به تازگی به‌روزرسانی‌های نرم‌افزاری رایگانی برای نسخه‌های تحت تأثیر این آسیب‌پذیری منتشر کرده است که به‌طور موثر اثرات آن را کاهش می‌دهد.
 

شایان ذکر است که این آسیب‌پذیری بر روی Cisco DNA Centerای که قابلیت Disaster Recovery بر روی آن فعال باشد، تأثیر خواهد گذاشت. ویژگی Disaster Recovery به‌طور پیش‌فرض غیرفعال می‌باشد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء پلتفرم Cisco DNA Center به نسخه‌های وصله‌شده اقدام کنند و مشتریانی که نمی‌توانند پلتفرم خود را به نسخه‌های وصله‌شده ارتقاء دهند، جهت کاهش این آسیب‌پذیری می‌توانند از روش‌های موقتی که در ادامه به آن‌ها اشاره شده است، استفاده کنند چراکه این راه‌حل‌ها ممکن است مخاطرات احتمالی را تا زمان ارتقاء Cisco DNA Center کاهش دهد. همچنین شرکت Cisco توصیه می‌کند کاربران در صورت نیاز، با مرکز پشتیبانی فنی این شرکت (TAC) تماس گرفته، راهنمایی و پشتیبانی لازم را دریافت کنند.

• بررسی تنظیمات امنیتی: تنظیمات امنیتی Cisco DNA Center را بررسی و به‌روز کنید. این بررسی‌ها شامل کنترل‌های دسترسی، فایروال‌ها و سایر تنظیمات امنیتی می‌باشند.
• غیرفعال کردن Disaster Recovery (در صورت لزوم): اگر از قابلیت Disaster Recovery استفاده نمی‌کنید یا به استفاده از آن نیاز ندارید، می‌توانید این ویژگی را غیرفعال کنید. این کار ممکن است به کاهش آسیب‌پذیری کمک کند.
• مدیریت دسترسی: اطمینان حاصل کنید که تنها افراد مجاز، به Cisco DNA Center دسترسی داشته و مدیریت دسترسی‌ها به دقت صورت گرفته است.

منابع خبر:

[1]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-ins-acc…
[2] https://cybersecuritynews.com/cisco-dna-center-vulnerability/
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-20223