Google Paly Protect (یک برنامهی حفاظت در برابر بدافزار که از قبل بر روی دستگاههای اندرویدی رسمی نصب شده است) در سال 2019، بیش از 1.9 میلیارد نصب برنامهی مخرب از منابع غیررسمی مانند فروشگاههای شخص ثالث برنامههای کاربردی را مسدود کرده است. این تعداد در سال 2017 و 2018، 1.6 میلیارد گزارش شده بود.
میشود
این میزان افزایش میتواند دو دلیل داشته باشد. اول اینکه Play Protect در شناسایی و متوقفکردن بدافزارها بهتر از سالهای گذشته عمل کرده است. دلیل دوم میتواند این باشد که کاربران اندرویدی بیشتری به نصب برنامههای آلوده به بدافزار از خارج از Play Store فریب خوردهاند یا از فروشگاههای شخص ثالث برای دسترسی به برنامههایشان استفاده کردهاند، زیرا دسترسی به Play Store برایشان مسدود شده بود.
قابلیت تشخیص اسکن و تشخیص بدافزار در نصب برنامههای غیر گوگلی از ویژگیهای جدید سیستمعامل اندروید است که در ماه می سال 2017 اضافه شده است.
پیش از این، کاربران اغلب برنامههای آلوده به بدافزار را از فروشگاههای شخص ثالث برنامههای کاربردی، سایتهای بزرگسالان، سایتهای آنلاین شرطبندی یا سایتهای مختلف دیگر نصب میکردند.
برای مقابله با این روند رو به رشد، گوگل در ماه می سال 2017، Play Protect را به عنوان یک ویژگی جدید که مطابق با برنامههای فروشگاه رسمی Play است، راهاندازی کرد.
Play Protect در شکل فعلی خود دارای چندین ویژگی و عملکرد است، اما به طور مؤثر به عنوان یک برنامه ضد ویروس داخلی برای دستگاههای Android که دارای مجوز اجرای برنامههای رسمی Google هستند، کار میکند.
به طور پیشفرض، Play Protect در مرحلهی اول، تمامی برنامههای نصب شده در یک دستگاه را در فواصل منظمی اسکن میکند تا مطمئن شود بهروزرسانی برنامه برای کاربر به صورت مخفیانه بدافزار نصب نمیکند. سپس نه تنها برنامههای جدیدی که از Play Store نصب شدهاند را اسکن میکند، بلکه هر برنامهی جدیدی که از هر منبع شخص ثالث نصب شده است را نیز اسکن مینماید.
به گفتهی گوگل، Play Protect در سال 2017 هر روز 50 میلیارد برنامهی کاربردی را اسکن میکرد که این رقم تا سال 2018 نیز حفظ شده است. در ماه نوامبر سال 2018، گوگل با افزایش بدافزارهای شناختهشده (برنامههای بالقوه مضر (PHA))، در پایگاه دادهی Play Protect، سرویس Paly Protect را ارتقا داد. گوگل این کار را با شروع به اسکن تمام اینترنت برای فایلهای APK و فهرستکردن برنامههای مخرب، آغاز کرد، به جای اینکه مانند قبل منتظر بماند تا کاربران در دام یک برنامهی مخرب بیفتند.
به گفتهی گوگل، نرخ اسکن روزانهی Paly Protect امروزه دوبرابر شده است و در حال حاضر بیش از 100 میلیارد برنامهی اندرویدی را روزانه اسکن میکند. دلیل افزایش اسکن روزانهی Paly Protect هم به افزایش تعداد کاربران اندرویدی مربوط میشود و هم به بهبود در ذخیرهسازی دستگاهها. زیرا دستگاهها میتوانند برنامههای بیشتری را نسبت به قبل ذخیره کنند.
انتظار میرود در آینده، قابلیت Play Protect در شناسایی برنامههای مخرب حتی به بالاتر از 1.9 میلیارد برنامهی کاربردی افزایش یابد. دلیل این انتظار این است که این سرویس در ماه نوامبر سال 2019 زمانی که گوگل با همکاری ESET، Lookout و Zimperium، App Defense Alliance (شریکی جهت بهبود شناسایی بدافزارها برای Play Store و Play Protect)را ایجاد نمود، ارتقای بزرگی یافت.
گوگل اعلام کرده است که Play Protect در حال حاضر بر روی بیش از دو میلیارد دستگاه اندرویدی اجرا می شود.
رمزگشای باجافزار #Ransomwared توسط پژوهشگران شرکت امنیتی Emsisoft بهروزرسانی شد.
این باجافزار از الگوریتم رمزنگاری DES برای رمزگذاری اطلاعات قربانیان خود استفاده میکند و پیام کوتاهی مشابه نسخه قبلی خود منتشر کرده و بر خلاف سایر باجافزارها که باج پولی میگیرند، طلب عکسی غیراخلاقی از قربانی را دارد.
در صورتی که فایلهای رمزشده شما توسط این باجافزار دارای پسوندهای
• .ransomwared
• .iwanttits
میباشند. میتوانید با این رمزگشا فایلهای خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:
https://www.emsisoft.com/ransomware-decryption-tools/ransomwared
#مایکروسافت بهروزرسانیهای امنیتی ماه فوریهی خود را منتشر کرد. بهروزرسانیهای این ماه، اصلاحاتی برای 99 آسیبپذیری ارایه میدهد و بزرگترین بهروزرسانی مایکروسافت تا به امروز بهشمار میرود.
بیشتر نقصهای مهم، مربوط به اجرای کد از راه دور و اشکالات فساد حافظه در سرویسهایی مانند موتور اسکریپت IE، سرویس کنترل از راه دور میز کار، پروندههای LNK و مؤلفهی Media Foundation هستند.
آسیبپذیری فساد حافظهی موتور اسکریت
آسیبپذیری "CVE-2020-0674" یک آسیبپذیری روز صفرم در نحوهی کار موتور رندر Trident در اشیاء در حافظه است. یک مهاجم میتواند از این نقص برای اجرای کد با همان امتیازاتی که به کاربر داده شده است، استفاده کند. استفاده از اینترنت اکسپلورر برای ایجاد این نقص ضروری نیست و روشهای دیگر (مانند اسناد اداری خاص ساختهشده) نیز قابل سوءاستفاده است. این نقص برای اولین بار در اواسط ژانویه توسط مایکروسافت مشاهده شد و تنها نقص بحرانی است که تا به امروز مورد سوء استفاده قرار گرفت.
آسیبپذیری LNK
مهمترین آسیبپذیری اجرای کد از راه دور (RCE) در این ماه، "CVE-2020-0729" است که میتواند متقاعدکردن کاربر برای بازکردن یک اشتراک از راه دور یا قراردادن فایل ".LNK" مخرب روی درایو USB و بازکردن کاربر، مورد سوءاستفاده قرار گیرد. سوءاستفادهی موفقیتآمیز از این آسیبپذیری، میتواند به مهاجمان، حقوق کاربر محلی را اعطا کند.
این نقص، مشابه اشکالی است که توسط بدافزار "Stuxnet" مورد سوءاستفاده قرار گرفته است. Stuxnet برای بهدست آوردن امکانات غنیسازی هستهای ایران در سال 2012 مورد استفاده قرار گرفت.
آسیبپذیریهای کنترل از راه دور میز کار
"CVE-2020-0681" و "CVE-2020-0734" آسیبپذیریهای RCE هستند که در "Windows Remote Desktop Client" وجود دارند. مهاجمان میتوانند هنگام اتصال یک کاربر به یک سرور مخرب، از این آسیبپذیریها سوءاستفاده کنند. این کار به آنها امکان نصب برنامهها، دسترسی و تغییر دادهها و همچنین ایجاد حسابهای جدید با حقوق کامل کاربر را میدهد.
"CVE-2020-0655" نیز یک آسیبپذیری RCE در خدمات میز کار از راه دور است (که قبلاً به عنوان خدمات پایانه شناخته میشد). هیچگونه نیازی به تعامل با کاربر برای سوءاستفاده از این آسیبپذیری وجود ندارد. مهاجمان میتوانند برای اجرای یک کد دلخواه و بهدستآوردن حقوق کاملی از کاربر، از طریق پروتکل کنترل از راه دور میز کار (RDP)، درخواستهای دستکاریشدهی ویژهای را به سرویس هدف از راه دور از طریق سیستم هدف خود ارسال کنند.
"CVE-2020-0660" یک آسیبپذیری انکار سرویس است که مهاجمان میتوانند در سرورهای RDP Gateway از آن سوءاستفاده کنند. در صورت موفقیت، آنها میتوانند با استفاده از RDP به یک سرور هدف آسیبپذیر متصل شوند و درخواستهای سفارشی ارسال کنند که میتواند باعث شود سرویس RDP روی سیستم هدف از پاسخ دادن، متوقف شود.
آسیبپذیریهای افزایش سطح امتیازات
55 آسیبپذیری برای افزایش امتیاز در این ماه برای بخشهای مختلف ازجمله هستهی ویندوز، جستجوی شاخصبندی، DirectX و ابزار حذف نرمافزارهای مخرب درنظر گرفته شده است. یکی از تهدیدهای جدی، آسیبپذیری "CVE-2020-0692" است که میتواند با اجرای یک حملهی مرد میانی (MITM) برای ارسال درخواست احراز هویت به سرور مایکروسافت Exchange مورد سوءاستفاده قرار بگیرد. این نقص به مهاجمان اجازه میدهد تا کاربر دیگری از Exchange را جعل کنند.
آسیبپذیریهای موجود در SQL
اشکالات قابل ملاحظه در این ماه همچنین شامل دو نقص اجرای کد از راه دور "CVE-2020-0618" و "CVE-2020-0662" در سرورهای 2012، 2014 و 2016 (32 و 64 بیتی) SQL و ویندوز 7، 8.1، 10، بهترتیب سرور 2008 ، 2012 ، 2016 و 2019 هستند.
بهگفتهی محققان، این آسیبپذیریها به مهاجمان اجازه میدهند تا به یک سیستم دسترسی داشته باشند و مطالب را بخوانند یا حذف کنند، تغییراتی ایجاد یا مستقیماً کد را روی سیستم اجرا نمایند. این دسترسی سریع و آسان به یک مهاجم اجازه میدهد تا نهتنها به مهمترین دادههای سازمانی که در سرور SQL ذخیره شده است دسترسی پیدا کند، بلکه این امکان را فراهم میکند تا حملات مخرب اضافی را علیه سایر دستگاههای اطراف انجام دهند.
راهحلهای امنیتی
کاربران میتوانند با نصب بهروزرسانیهای منتشرشده در این ماه، سیستمها را از تهدیدات مربوط به آسیبپذیریهای موجود، محافظت کنند. بهروزرسانیهای این ماه بهصورت عمده تحویل داده میشوند، بنابراین با پذیرش بهروزرسانی، بهطور خودکار وصلههای امنیتی برای 99 نقص، نصب میشوند.
کاربران همچنین میتوانند برنامههای سیستم محافظ خودکار را نصب کنند که اختلالات را به حداقل میرساند و تضمین میکند که برنامههای مهم و دادههای حساس شرکت محافظت و بهروز میشوند.
#موزیلا جدیدترین نسخه از مرورگر فایرفاکس خود را راهاندازی کرده است. فایرفاکس 73 و فایرفاکس ESR 68.5 نقصهای امنیتی شدید را که امکان حمله توسط مهاجم از راه دور را فراهم مینمایند، رفع میکنند.
مرورگر فایرفاکس ESRنسخهی گسترشیافتهی پشتیبانی فایرفاکس است که برای استقرار گسترده طراحی شده است. هر دو نسخهی فایرفاکس، شش آسیبپذیری را برطرف میکنند. دو مورد از این اشکالات (CVE-2020-6800 و CVE-2020-6801) دارای شدت بالا هستند که به یک مهاجم راه دور اجازه میدهند تا با جلب کاربران برای بازدید از یک وبسایت خاص و استفاده از نقصهای فساد حافظهی مرورگر، کد را در دستگاههای هدف اجرا کند.
مکانیسمهای ایمنی حافظه، سیستمها را از اشکالات نرمافزاری متنوعی که به حافظه وصل هستند مانند سرریز بافر و سایر موارد، محافظت میکند. طبق تجزیه و تحلیلهای انجامشده، یک مهاجم راه دور میتواند با ترغیب یک قربانی به مراجعه به یک وبسایت دستکاریشده، از یکی از این آسیبپذیریها سوءاستفاده کند و سپس از «بردارهای حملهی ناشناخته» برای اجرای کد دلخواه روی سیستم آسیبپذیر استفاده کند یا باعث انکار سرویس (DoS) شود.
یکی دیگر از نقصهای شدید برطرفشده در فایرفاکس 73 (CVE-2020-6796) که دارای نمرهی 8.8 از 10 در مقیاس CVSS v3 است، از بررسی مرزهای از دسترفته (روشی برای تشخیص اینکه آیا یک متغیر قبل از استفاده دارای محدوده است یا خیر) در فرایند خواندن حافظهی مشترک درون فرایند والدین ناشی میشود.
بهگفتهی موزیلا، یک فرایند محتوا میتواند حافظهی اشتراکی را تغییر داده و باعث ایجاد نوشتن خارج از محدوده شود. این امر میتواند باعث فساد حافظه و خرابی قابل سوءاستفاده شود.
نقص دیگری (CVE-2020-6799) که با شدت متوسط توسط فایرفاکس 73 مورد بررسی قرار گرفته است، ناشی از خطایی هنگام بازکردن پیوندهای PDF از برنامههای دیگر است (هنگامی که فایرفاکس بهعنوان پیشفرض بازکنندهی PDF پیکربندی شده است). طبق گفتهی موزیلا، این نقص به مهاجم از راه دور اجازه میدهد تا با متقاعدکردن یک قربانی به بازدید از یک سایت دلخواه، یک کد دلخواه را اجرا کند یا یک DoS را انجام دهد.
سایر نقصهای با شدت متوسط شامل اشکالی هستند که یکی از آنها میتواند منجر به تزریق جاوا اسکریپت (CVE-2020-6798) شود و دیگری میتواند افزونههای راهاندازی یک برنامهی دلخواه در رایانههای قربانی (CVE-2020-6797 ) را اعطا کند.
کاربران میتوانند آخرین نسخهی فایرفاکس را از لینک زیر بارگیری کنند.
https://www.mozilla.org/en-GB/firefox/download/thanks/
بهروزرسانی ماه فوریهی فایرفاکس از ماه ژانویهی آن شدیدتر است و آسیبپذیریهای اساسی را که بهطور فعال در وب مورد بهرهبرداری قرار میگیرند، وصله میکند.
محققان امنیتی، یک حفرهی امنیتی در درایورهای مادربرد گیگابایت شناسایی کردند که میتواند منجر به آلودهشدن سیستم کاربر به باج افزاری به نام رابینهود شود.
این حفرهی امنیتی که با شناسهی "CVE-2018-19320" بهثبت رسیده است، در یک درایور سطح هستهی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را میدهد.
بهطور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار میافتند. بهمنظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیادهسازی کرده است که فقط درایورهای هسته با هماهنگی مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیبپذیر شناختهشدهی گیگابایت را نصب کرده و از یک آسیبپذیری شناختهشده برای غیرفعالکردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت میشود و تهدیدی برای کاربران آنها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازهی نصب آنرا میدهد.
در حملات انجامشده، مهاجم از طریق این درایور آسیبپذیری گیگابایت، یک درایور دیگر را به سیستم تزریق میکند که قادر به از کار انداختن محصولات امنیتی، عبور از لایههای امنیتی ویندوز و نصب باجافزار رابینهود است.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل میکنند:
• نفوذ به شبکه شرکت هدف،
• نصب درایور مشروع Gigabyte GDRV.SYS،
• بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
• سوءاستفاده از این دسترسی برای غیرفعالسازی موقت امضای دیجیتال درایور در ویندوز،
• استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعالسازی یا متوقفکردن آنتیویروسهای میزبان آلوده،
• راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
قربانیان این باجافزار باید برای رمزگشایی فایلهای خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا میرود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستمهای دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرمافزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.
Adobe در بهروزرسانی ماه فوریهی سال 2020، 42 آسیبپذیری در پنج نرمافزار معروف خود را برطرف ساخته است که 35 مورد از آنها از نظر شدت بحرانی رتبهبندی شدهاند.
چهار نرمافزار از پنج نرمافزار متأثر لیستشده در ذیل، حداقل به یک آسیبپذیری بحرانی که منجر به اجرای کد راه دور میشود و به مهاجمان اجازهی کنترل کامل سیستمهای آسیبپذیر را میدهد، آسیبپذیر هستند. این پنج نرمافزار عبارتند از:
• Adobe Framemaker
• Adobe Acrobat and Reader
• Adobe Flash player
• Adobe Digital Edition
• Adobe Experience Manager
نرمافزار Framemaker (نرمافزار پیشرفتهی پردازش سند)، شامل 21 نقص بحرانی خطای بافر، سرریز heap، خرابی حافظه و نوشتن خارج از محدود است که سوءاستفاده از آنها منجر به حملات اجرای کد میشود. نسخههای 2019.0.4 و پیش از آن نرمافزار Framemaker در Windows تحتتأثیر این آسیبپذیریها قرار گرفتهاند.
Adobe Acrobat and Reader شامل 12 آسیبپذیری بحرانی سرریز heap، خطای بافر، نقصهای استفاده پس از آزادسازی و افزایش امتیاز که منجر به اجرای کد راهدور و نوشتن دلخواه سیستمفایل میشوند، 3 آسیبپذیری مهم خواندن خارج از محدوده که منجر به افشای اطلاعات میشوند و دو آسیبپذیری متوسط فرسودگی پشته که منجر به نشت حافظه میشوند، است. نسخههای Adobe Acrobat DC، Reader DC، Acrobat/Reader 2017 و Acrobat/Reader 2015 در ویندوز و macOS. تحتتأثیر این آسیبپذیریها قرار گرفتهاند.
بهروزرسانی ماه فوریه سال 2020 Adobe، یک نقص بحرانی در Adobe Flash Palyer را نیز وصله کرده است. این نقص بحرانی سردرگمی نوع که با شناسهی CVE-2020-3757 ردیابی میشود، اگر مورد سوءاستفاده قرار گیرد میتواند منجر به اجرای کد دلخواه شود. نسخههای 32.0.0.321 و پیش از آن نرمافزار Adobe Flash Player در Windows، MacOS، Linux و Chrome OS تحتتأثیر این آسیبپذیری قرار گرفتهاند.
Adobe همچنین دو آسیبپذیری قابل توجه در نرمافزار Adobe Digital Edition، نسخهی 4.5.11 در ماشینهای ویندوزی را نیز در بهروزرسانی ماه فوریه سال 2020 خود برطرف ساخته است. آسیبپذیری اول که با شناسهی CVE-2020-3759 ردیابی میشود، یک نقص امنیتی مهم بافر است که سوءاستفاده از آن منجر به نشت اطلاعات میشود. آسیبپذیری دوم که شدیدتر نیز است با شناسهی CVE-2020-3760 ردیابی میشود و یک نقص بحرانی تزریق دستور است که سوءاستفاده از آن میتواند منجر به اجرای کد راهدور شود.
Adobe Experience Manager (راهحل جامع مدیریت محتوا برای ساخت وبسایتها، برنامههای تلفن همراه و فرمها) در این بهروزرسانی شامل هیچ نقص امنیتی بحرانی نبوده است؛ اما یک نقص مهم تخلیه منبع که با شناسهی CVE-2020-3741 ردیابی میشود وصله شده است. این نقص بر نسخههای 6.5 و 6.4 از این نرمافزار اثر میگذارد و سوءاستفاده از آن منجر به حملات انکار سرویس میشود.
اگرچه هیچ یک از آسیبپذیریهای نرمافزارهای Adobe که در ماه جاری برطرف شدهاند به صورت علنی افشا نشده یا مورد سوءاستفاده قرار نگرفتهاند؛ اما به کاربران این نرمافزارها شدیداً توصیه میشود آخرین نسخههای ایننرمافزارهای آسیبدیده را دانلود و نصب کنند.
اگر سیستمی بهروزرسانی ماه فوریه سال 2020 Adobe را به طور خودکار دریافت نکرده است، لازم است کاربر به صورت دستی با انتخاب Check for Updates” “Help در نرمافزار Adobe خود برای Windows، macOS، Linux و Chrome OS، این بهروزرسانی را نصب کند.
علاوهبراین، به کاربران توصیه میشود برخی از روشهای اساسی امنیت سیستم زیر به کار گرفته شود:
• اجرای تمامی نرمافزارها با حداقل امتیازات مورد نیاز،
• خودداری از دانلود یا استفادهی فایلها از منابع غیرقابل اعتماد یا ناشناس،
• عدم بازدید از سایتهای غیر قابل اعتماد یا مشکوک،
• مسدودکردن دسترسی خارجی در سطح شبکه به تمامی سیستمهای بحرانی، مگر اینگه دسترسی خاصی لازم باشد.
#مایکروسافت آخرین بهروزرسانی را برای آسیبپذیریهای نرم افزارها و سیستمعاملهای این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارشهای آسیبپذیریهای امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی میکند و اطلاعات را به عنوان بخشی از تلاشهای مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستمهای کاربران فراهم مینماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت میکند.
بهروزرسانی امنیتی در ماه فوریه سال 2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی و مهم بوده است.
• Microsoft Edge (Edge HTML - based)
• Internet Explorer
• Windows
• Chakra Core
وصله امنیتی هر کدام از آسیبپذیریها بر اساس نسخه خاصی از سیستمعامل نوشته شده است. کاربر میبایست با استفاده از فرمان winver در CMD نسخه سیستمعامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.
دو #آسیبپذیری با درجه اهمیت «بالا» در پروتکل Cisco Discovery Protocol یا #CDP محصولات مختلف سیسکو وجود دارد که میتواند به اجرای کد دلخواه یا منع سرویس منجر شوند. پروتکل CDP، تجهیزات سیسکو که مستقیماً به هم متصل هستند را قادر میسازد تا اطلاعات مربوط به یکدیگر را کشف کنند.
یک آسیبپذیری با شناسه CVE-2020-3119 در نرمافزار سیستمعامل NX-OS وجود دارد که میتواند به یک مهاجم احراز هویت نشده مجاور ، اجازه اجرای کد دلخواه را بدهد یا باعث ریبوت شدن تجهیز شود. این آسیبپذیری ناشی از عدم اعتبارسنجی مناسب در فیلدهای خاصی از پیامهای CDP است. مهاجم میتواند با ارسال یک بسته CDP با طراحی خاص شرایط سرریز پشته را سبب شده و در نهایت روی سیستم با دسترسی مدیریتی، کد اجرا کند. امتیاز CVSS 3.0 این آسیبپذیری برابر است با 8.8 که درجه اهمیت آن «بالا» محسوب میشود.
آسیبپذیری دیگر با شناسه CVE-2020- شناخته می شود و نرمافزارهای FXOS، IOS XR و NX-OS را تحت تأثیر قرار میدهد. مهاجم احراز هویت نشده مجاور با استفاده از این آسیبپذیری میتواند سیستم هدف را ریبوت کند و در نتیجه باعث منع سرویس شود. علت وجود این آسیبپذیری وجود نداشتن یک بررسی ضروری در هنگام بررسی پیامهای CDP است. مهاجم میتواند با ارسال یک بسته CDP بدخواهانه منجر به پر شدن حافظه و در نتیجه ریبوت شدن تجهیز شود. امتیاز CVSS 3.0 این آسیبپذیری برابر است با 7.4 که درجه اهمیت آن «بالا» محسوب میشود.
لذا برای رفع این دو آسیبپذیری باید نرمافزار تجهیزات خود را بروزرسانی کنید. اگر بروزرسانی برای شما میسر نیست و به پروتکل CDP نیاز ندارید، آن را به طور عمومی (global) غیرفعال کنید تا راه حمله به کلی بسته شود. اگر به پروتکل CDP تنها روی برخی پورتها نیاز ندارید، آن را روی همان پورتها غیرفعال کنید تا امکان حمله کاهش یابد.
در این گزارش، به بررسی برنامه #فیلترشکن، از دسته بدافزارهای #پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویسهای ارزشافزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن میتواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد. این بدافزار در تلگرام توسط گستردههای تبلیغاتی در چندین کانال منتشر شده و ممکن است قربانیان زیادی داشته باشد. در ادامه به بررسی بیشتر بدافزار فیلترشکن پرداخته شده است.
بررسی برنامه فیلترشکن
نام |
نام بسته |
حجم فایل |
نام توسعهدهنده |
SHA 256 |
فیلترشکن |
com.apppush.vpnapp |
3.27 MB |
androiddev |
e19b9360644c706ae95b623d677b342101a19ecf219a2a5e5571630acfc1f3d2 |
یک محقق امنیتی جزییات فنی از #آسیبپذیریهای چندگانه با حساسیت بالا را در پیامرسان واتساپ منتشر کرد که با بهرهبرداری از آنها امنیت میلیونها کاربر به خطر خواهد افتاد و یک مهاجم از راه دور میتواند با ارسال یک پیام مخرب به قربانی در برنامه واتساپ فایلهای موجود در سیستم ویندوزی یا mac کاربر را سرقت کند.این آسیبب پذیری با شناسه CVE-2019-18426 که توسط محقق PerimeterX به نام Gal Weizman کشف شده است، در نسخه وب واتساپ واقع شده است.
1 دربارهی این آسیبپذیری
این آسیبپذیری نشان میدهد در نسخه وب واتساپ یک آسیبپذیری خطرناک از نوع open-redirect وجود دارد که میتواند با ارسال یک پیام مخرب به حملات cross-site scripting ختم شود.
درنتیجه اگر پیام مخرب توسط قربانی در نسخه وب واتساپ در مرورگر باز شود امکان اجرای کد از راه دور در context برنامه وجود دارد؛ اگر پیام در برنامه نسخه desktop باز شود نیز کد مخرب در گیرندهی سیستم و در context برنامه اجرا میشود. علاوه بر این به دلیل اشتباه در تنظیم (misconfigure) محتوای سیاستهای امنیتی دامین نسخه وب واتساپ، امکان بارگذاری payloadهای XSS با استفاده از iframe از یک وب سایت دیگر در اینترنت که تحت کنترل مهاجم است، وجود دارد. به گفتهی این محقق اگر قوانین CSP بهتر تنظیم شده بودند، قدرت عمل XSS کاهش پیدا میکرد. با دور زدن قوانین CPS مهاجم میتواند اطلاعات باارزشی از قربانی سرقت کند و payloadهای XSS را به راحتی بارگذاری کند.