فا

‫ اخبار

سوءاستفاده‌ی‌ هکرها از یک آسیب‌پذیری روزصفرم در افزونه‌ی‌ وردپرس

به صاحبان سایت‌های #‫WordPress که از افزونه‌ی "Total Donations" استفاده می‌کنند، توصیه می‌شود که این افزونه را از سرورهای خود حذف کنند تا از سواستفاده‌ی هکرها برای بهره‌برداری از یک آسیب‌پذیری وصله‌نشده در کد آن جلوگیری کنند.
این آسیب‌پذیری روز صفرم (CVE-2019-6703)، همه‌ی نسخه‌های Total Donations ازجمله 2.0.5 را تحت تأثیر قرار می‌دهد. Total Donations یک افزونه‌ی تجاری است که صاحبان سایت از آن برای جمع‌آوری و مدیریت کمک‌های مالی از پایگاه‌های کاربران مربوطه‌ی خود استفاده می‌کنند.
به گفته‌ی محققان، کد این افزونه شامل چندین عیب طراحی است که به‌طور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار می‌دهد.
این افزونه حاوی نقطه‌ی پایانی AJAX است که می‌تواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطه‌‌ی پایانی AJAX در یکی از فایل‌های افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمی‌برد؛ زیرا مهاجمان می‌توانند به‌طور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه می‌تواند سایت‌ها را در برابر سوءاستفاده محافظت کند.
نقطه‌ی پایانی AJAX به مهاجم اجازه می‌دهد تا مقادیر تنظیمات هسته‌ی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافت‌شده از طریق افزونه را تغییر دهد و حتی لیست‌های Mailchimp (که این افزونه به‌عنوان ویژگی جانبی پشتیبانی می‌کند) را بازیابی کند.
به‌گفته‌ی محققان، تمام تلاش‌ها برای تماس با توسعه‌دهنده‌ی این افزونه بی‌فایده است. به‌نظر می‌رسد که سایت توسعه‌دهنده در ماه مه سال 2018 غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شده‌اند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایت‌های فعال با پایگاه‌های کاربری بزرگ نصب شده است و می‌تواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایت‌ها توصیه می‌شود که این افزونه را به‌طور کلی از سایت‌های خود حذف کنند تا از حملات در امان بمانند.

24 بهمن 1397 برچسب‌ها: اخبار
هشدار: آسیب‌پذیری‌هایی با درجه اهمیت بالا در Cisco RV320/RV325


تجهیزات Cisco Small Business RV320, RV325 Dual Gigabit Wan VPN Router دارای دو #‫آسیب‌_پذیری با درجه اهمیت بالا هستند که یکی از آنها از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.

آسیب‌پذیری نشت اطلاعات حساس
این آسیب‌پذیری با شناسه CVE-2019-1653 در رابط تحت وب تجهیزات مذکور نهفته است و به مهاجم احرازهویت نشده راه دور، اجازه استخراج اطلاعات حساس را می‌دهد. این آسیب‌پذیری ناشی از کنترل دسترسی نامناسب URLها است. مهاجم می‌تواند بدین وسیله به اطلاعات پیکربندی یا اشکال‌زدایی (debug) تجهیز دست یابد.
آسیب‌پذیری تزریق دستور
این آسیب‌پذیری که شناسه CVE-2019-1652 به آن اختصاص یافته است نیز ریشه در رابط تحت وب این تجهیزات دارد. منشاء آسیب‌پذیری، اعتبارسنجی نادرست ورودی کاربر است. مهاجم می‌تواند با ارسال درخواست مخرب POST از این نقص بهره‌برداری کند. با بهره‌برداری موفق می‌توان دستورات دلخواه را در قالب کاربر root روی shell لینوکس تجهیز اجرا کرد. بهره‌برداری از این آسیب‌پذیری نیازمند احراز هویت است.
کد بهره‌برداری از آسیب‌پذیری‌های فوق به طور عمومی منتشر شده است. همان طور که گفته شد، می‌توان با استفاده از آسیب‌پذیری اول، اطلاعات تجهیز از جمله اطلاعات کاربری درهم‌سازی (hash) شده را استخراج نمود. سپس می‌توان با شکستن hash، اطلاعات کاربری را به دست آورده و از آسیب‌پذیری دوم بهره‌برداری نمود.
راه حل
#‫سیسکو برای رفع آسیب‌پذیری‌های نامبرده، بروزرسانی‌هایی برای سفت‌افزار تجهیزات فوق منتشر کرده است که در جدول زیر نمایش داده شده است. همان طور که در جدول مشاهده می‌شود، برای مصونیت از هر دو آسیب‌پذیری باید از نسخه 1.4.2.20 به بالا استفاده نمود. این نسخه از اینجا قابل دریافت است.
آسیب‌پذیری نسخه آسیب‌پذیر نسخه به‌روز شده
CVE-2019-1653 1.4.2.15, 1.4.2.17 1.4.2.19
CVE-2019-1652 1.4.2.15-1.4.2.19 1.4.2.20

منابع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
https://software.cisco.com/download/home/284005929/type/282465789/release/1.4.2.20

14 بهمن 1397 برچسب‌ها: اخبار
بررسی بدافزارهای پوشفا، باسابقه‌ترین خانواده‌ی بدافزار اندرویدی ایرانی

بدافزارهای دسته " #‫پوشفا " را شاید بتوان ازجمله قدیمی ترین و پرانتشارترین #‫بدافزار های اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مرداد ماه 96 در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود. متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها دردسترس نیست اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل 1 نسخه از بدافزار در صدها کانال تلگرامی در طی 17 ماه گذشته، انتظار می رود چندین میلیون از دستگاه های اندرویدی ایرانی به بدافزارهای پوشفا آلوده شده باشند. تاکنون بیش از 200 نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

دانلود گزارش

9 بهمن 1397 برچسب‌ها: اخبار
هشدار WordPress در خصوص نسخه‌‌های تاریخ گذشته‌ی PHP

در دسامبر سال گذشته، #‫سیستم_مدیریت_محتوا(CMS) متن‌باز و رایگان اعلام کرد 85% از وب‌سایت‌هایی که WordPress 5.0 را اجرا می‌کنند، از PHP 5.0 یا بیشتر استفاده می‌کنند.
PHP 5.6 پایین‌ترین نسخه‌ی PHP است که سایت‌های WordPress به آن نیاز دارند و به مدیران سایتی که نسخه‌های تاریخ گذشته‌ی PHP را استفاده می‌کنند، هشدار داده می‌شود. این هشدار حاوی لینکی (در قالب یک دکمه) به یک صفحه جدید نیز است که دارای اطلاعات مربوط به چگونگی به‌روزرسانی PHP است.
WordPress هنوز هم به‌روزرسانی‌های امنیتی و رفع اشکالات را برای وب‌سایت‌هایی که می‌خواهند از نسخه‌ی PHP 5.5 یا پایین‌تر استفاده کنند، ارایه می‌دهد. البته این سایت‌ها نمی‌توانند بدون آنکه ابتدا به نسخه‌ی پشتیبانی‌شده‌ی PHP جابه‌جا شوند، به آخرین نسخه‌ی WordPress ارتقا یابند.
WordPress 5.1 که قرار است 21 فوریه منتشر شود، اولین فاز پروژه Health Check را نیز پیاده‌سازی می‌کند. هدف این پروژه، بهبود ثبات و عملکرد کل اکوسیستم WordPress است. CMS همچنین شامل مکانیزمی برای شناسایی خطای مهلک ناشی از به‌روزرسانی نسخه‌ی PHP خواهد بود و آن‌ها را در بخش‌های طراحی‌شده‌ی خاصی از WordPress از این خطاها نجات خواهد داد.
اگرچه فرایند به‌روزرسانی ساده است و پلاگین‌ها و تم‌ها محبوب معمولاً به خوبی حفظ می‌شوند، ممکن است برخی از افزونه‌ها هنوز با آخرین نسخه‌‌های PHP سازگار نباشند که این امر می‌تواند منجر به خراب‌شدن سایت WordPress پس از به‌روزرسانی شود.
WordPress زمانی که یک خطای مهلک رخ می‌دهد، پلاگین و تم سازگار با آن را تشخیص خواهد داد ‌و در حالی که اطلاعات مربوط به افزونه را در قسمت مدیریت ارایه می‌‌دهد، آن را متوقف می‌سازد. افزونه‌ها پس از رفع مشکل می‌توانند ادامه یابند.
در WordPress 5.1، اگر مدیران سعی در نصب پلاگین‌هایی داشته باشند که به نسخه‌ی PHP بالاتری نسبت به نسخه‌ی فعلی نیاز داشته باشد، به آن‌ها هشدار می‌دهد. علاوه‌براین، CMS دکمه را برای نصب آن پلاگین‌ها غیرفعال خواهد ساخت. در آینده، به‌روزسانی پلاگین محدود خواهد شد (تم‌ها را نیز تحت‌تأثیر قرار می‌دهد).
در حال حاضر WordPress قصد دارد اگر نسخه‌ی PHP، پایین‌تر از 5.6 باشد، به مدیران هشدار دهد؛ اما ممکن است این مسئله به زودی تغییر کند. پایین‌ترین نسخه‌ی PHP که هنوز به‌روزرسانی امنیتی دریافت می‌کند، نسخه‌ی 7.1 است و حداقل نسخه‌ی مورد نیاز PHP تا پایان سال جاری ممکن است به 7 برسد.

7 بهمن 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Jemd خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 16 دسامبر 2018 میلادی گزارش شده است. این باج‌افزار، از الگوریتم AES برای رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند. نکته جالب در مورد باج‌افزار Jemd این است که هیچ تغییری در نام فایل‌ها ایجاد نکرده و پسوندی به آن‌ها اضافه نمی‌کند. همچنین تا زمانی که فایل باج‌افزار در سیستم قربانی فعال باشد، نمی‌توان هیچ عملی(تغییرنام،کپی و...) بر روی فایل‌های رمزگذاری شده انجام داد.

دانلود پیوست

7 بهمن 1397 برچسب‌ها: گزارشات تحلیلی
بررسی و تحلیل باج افزار BlackRouter Dark Ransomware

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از ظهور فعالیت سایبری جدید مهاجمین فارسی زبان در شبکه‌های اجتماعی در زمینه توسعه و انتشار باج‌افزار خبر می‌دهد. طبق آخرین مشاهدات صورت گرفته، این فعالیت در قالب RaaS (باج‌افزار به عنوان یک سرویس) در گروه‌ها و کانال‌های تلگرامی در حال شکل‌گیری و رشد بوده است. با توجه اینکه امروزه کدمنبع اغلب باج‌افزارها در فضای سایبری (از جمله ‌وب تاریک) موجود بوده و قابل سفارشی‌سازی است، معمولاً مهاجمین با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روش‌های مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آن‌ها بهره می‌برند. یکی از فعالیت‌های اخیر این افراد در شبکه‌های اجتماعی فارسی‌زبان، تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. فعالیت این پروژه در زمان نگارش این گزارش متوقف گردیده است. لازم به توضیح است که در این گزارش، از ذکر مشخصات و اسامی افراد و گروه‌ها، خودداری گردیده است.

برای دریافت متن کامل کلیک نمایید

3 بهمن 1397 برچسب‌ها: اخبار, گزارشات تحلیلی
گزارش تحلیل بدافزار اندرویدی FREEnet – گزارش تحلیلی دریافتی از مرکز مدیریت و پاسخگویی به رخدادهای امنیتی فاوا همراه اول MCI-CERT

گزارش پیوست حاصل بررسی و تحلیل دقیق صورت گرفته توسط تیم CERT #‫همراه_اول (MCI-CERT) بر روی بدافزار اندرویدی منتشر شده تحت عنوان #‫FREEnet است. این گزارش مشروح جهت بهره‌برداری عمومی علاقمندان این حوزه منتشر می‌گردد. مرکز ماهر به عنوان سرت ملی، آمادگی دارد نسبت به انتشار گزارشات خوب سایر مراکز پاسخگویی به رخدادهای سایبری و فعالین حوزه امنیت در کشور اقدام نماید.

2 بهمن 1397 برچسب‌ها: اخبار
انتشار به‌روزرسانی حیاتی برای دروپال

دو #‫آسیب‌پذیری بحرانی در سیستم مدیریت محتوای دروپال (Drupal) کشف شده که به‌روزرسانی‌هایی برای حل آنها منتشر شده است. یکی از این دو، آسیب‌پذیری تزریق شیء مربوط به کتابخانه PEAR Archive_Tar است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری دوم از نوع اجرای کد راه دور است و از PHP نشات می‌گیرد.
آسیب‌پذیری تزریق شیء
دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده می‌کند. به تازگی یک بروزرسانی امنیتی برای یک آسیب‌پذیری این کتابخانه ارائه شده است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور با شناسه CVE-2018-1000888، در کلاس Archive_Tar نهفته است. مهاجم می‌تواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد. با این کار، unserialization اتفاق می‌افتد. با استفاده از تزریق شیء می‌توان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد.
فایل phar نوعی فایل آرشیو است که برای بسته‌بندی اپلیکیشن‌های PHP مورد استفاده قرار می‌گیرد.
اجرای کد راه دور
پیاده‌سازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیب‌پذیری کد راه دور است که با استفاده از لینک‌های نامطمئن phar:// فعال می‌شود. برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تاثیر این آسیب‌پذیری باشند.
در به‌روزرسانی دروپال، .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل می‌شود. همچنین برای PHP نسخه 5.3.3 به بالا، پیاده‌سازی پیش‌فرض PHP با یک پیاده‌سازی توسط دروپال جایگزین شده و در نسخه‌هایPHP پایین‌تر، به طور پیش‌فرضphar stream wrapper غیرفعال شده است.

راه حل:
Drupal Core را به آخرین نسخه به‌روزرسانی کنید: اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده می‌کنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید.

نسخه در حال استفاده

نسخه به‌روز شده

8.6.x

8.6.6

8.5.xیا ماقبل

8.5.9

7.x

7.62

1 بهمن 1397 برچسب‌ها: اخبار