با توجه به شرایط کنونی کشور و افزایش استفاده از سامانه های آموزش مجازی و جلسات آنلاین، ضروری است که برقراری امنیت این سامانه ها و زیر ساخت مورد استفاده مورد توجه مدیران و کارشناسان امر قرار گیرد. یکی از رایج ترین نرم افزارهای کاربردی در این حوزه Adobe Connect می باشد. متاسفانه در اغلب سامانه های تحت رصد، مشاهده شده است که سامانه بدون تعریف کاربر و اخذ گذرواژه در درسترس است به گونه ای که هر کسی می تواند صرفا با وارد کردن URL سرور و با ورود شماره اتاق جلسه مجازی یا کلاس مجازی وارد شود که منجر به افشا اطلاعات خواهد شد. بنابراین توجه به نکات زیر جهت حفظ امنیت سامانه های مبتنی بر این نرم افزار توصیه می گردد:
- پرهیز جدی از در دسترس قرار دادن سامانه بدون استفاده از اطلاعات نام کاربری و رمز عبور و تعیین سیاست های استفاده از پسورد قوی جهت ورود به سامانه. مدیر سامانه می تواند سیاست های امنیتی لازم را برای شیوه ورود و گذرواژه کاربران در Adobe Connect Central تعیین کند. همچنین ضروری است که تعداد دفعات تلاش ورود ناموفق حتما محدود گردد.
- عدم استفاده از کاربر guest.
- استفاده از SSL جهت حفظ امنیت ترافیک شبکه و همچنین پرهیز از اجبار کاربران به پایین آوردن تنظیمات امنتی یا نسخه مرورگر برای پرهیز از نیاز به SSL.
- عدم راه اندازی سایر سرویس ها بر روی سرور Adobe Connect: توصیه می گردد سرور Adobe Connect به صورت مجزا راه اندازی شود و سرویس های دیگر نظیر domain controller، سرویس دهنده web و یا سرور FTP بر روی ماشین سرور میزبان Adobe Connect اجرا نشوند.
- بروزرسانی و نصب وصله های امنیتی برنامه و سیستم عامل میزبان.
- امن سازی سیستم عامل و استفاده از firewall بر روی سرور میزبان و بستن پورت های بدون استفاده همچنین محدود کردن دسترسی به آدرس های داخل کشور.
- تهیه پشتیبان از اطلاعات و پایگاه داده به صورت اصولی. باید توجه داشت که ویدیوهای تهیه شده از جلسات می توانند حاوی اطلاعاتی ارزشمند باشند و برای مخاطبینی که به هر دلیل موفق به حضور آنلاین نمی شوند مورد استفاده قرار گیرند. البته این کار باید با تمهیدات امنیتی مناسب انجام شود.
- بررسی دوره ای امنیت سیستم و فایلهای لاگ جهت اطمینان از برقراری سیاست های امنیتی و تشخیص هرگونه ناهنجاری یا تلاش برای نفوذ.
#آسیبپذیریهای متعدد امنیتی در #سیسکو بر روی نرمافزارهای Cisco FXOS، Cisco NX-OS و Cisco UCS Manager به یکی از دلایل عدم تأییداعتبار ورودی، ارسال آرگومانهای ساختگی به یکسری دستورات خاص توسط مهاجم و یا امکان ایجاد سرریز بافر، به مهاجم امکان اجرای کد دلخواه با مجوزهای دسترسی کاربر فعلی سیستم را میدهد.
اخیراً چندین آسیبپذیری امنیتی مهم و بحرانی در تجهیزات سیسکو کشف شده است که به مهاجمین اجازه میدهد دستورات دلخواه را با همان دسترسی کاربر مجاز اجرا کنند. این آسیبپذیری بر روی نرمافزار Cisco FXOS، نرمافزار Cisco NX-OS و نرمافزار Cisco UCS Manager تأثیر میگذارد.
Cisco FXOS و UCS Manager – CLI
آسیبپذیری در CLI نرمافزار Cisco FXOS و نرمافزار Cisco UCS Manager Cisco به یک مهاجم احرازهویتشدهی محلی اجازه میدهد تا دستورات دلخواه را بر روی دستگاه کاربر اجرا کند.
این آسیبپذیری که به دلیل عدم تأییداعتبار ورودی است، با بهرهبرداری موفقیتآمیز به مهاجم اجازه میدهد تا دستورات دلخواه را در سیستم عامل اصلی با سطح مجوزهای دسترسی حالحاضر کاربر، اجرا کند.
سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است.
Cisco FXOS و UCS Manager Software CLI
این آسیبپذیری در CLI نرمافزار Cisco FXOS و نرمافزار Cisco UCS Manager وجود دارد که به یک مهاجم احرازهویتشدهی محلی اجازه میدهد دستورات دلخواه را اجرا کند.
یک مهاجم میتواند با ارسال آرگومانهای ساختگی به یکسری دستورات خاص، از این آسیبپذیری بهرهبرداری کند که اگر این فرآیند موفقیتآمیز باشد به مهاجم این امکان را میدهد تا دستورات دلخواهی را در سیستمعامل اصلی با مجوزهای کاربر فعلی، اجرا کند.
سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است.
Cisco FXOS و NX-OS نرمافزار - اجرای کد دلخواه
این آسیبپذیری به مهاجمی که احزارهویت نشدهاست اجازه میدهد تا کد دلخواه را با سطح دسترسی روت اجرا کند یا باعث شرایط منع از سرویس(DoS) شود.
بررسی این آسیبپذیری نشان میدهد که یک بهرهبرداری موفقیتآمیز، مهاجم را قادر به ایجاد سرریز بافر میکند و این امر به او اجازه میدهد کد دلخواه را با سطح دسترسی روت اجرا کند و یا باعث ایجاد شرایط DoS در دستگاه آسیبدیده شود.
سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری نیز بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است.
اخیراً #آسیبپذیری بحرانی سرریز بافر که در pppD (Point to Point Protector Daemon)کشف شدهاست به مهاجمین از راه دور، اجازه میدهد از سیستمهای لینوکس بهرهبرداری کنند و مجوزهای دسترسی روت را بدستآورند.
pppD که اغلب برای مدیریت اتصالات شبکه در سیستمعاملهای مبتنی بر یونیکس مورد استفاده قرار میگیرد، همچنین اگر (PPPoE) یا (PPPoA) استفاده شود، از آن برای مدیریت اتصالات پهنباند مانند DSL استفاده میشود.
یک محقق این آسیبپذیری مهم که در پردازش بستههای پروتکل تأیید اعتبار گسترشپذیر (EAP) وجود دارد را در pppd پیدا کرده است.
یک مهاجم غیرمجاز از راه دور ممکن است با بهرهبرداری از این آسیبپذیری بتواند باعث سرریز بافر در پشته شود و به مهاجمین این امکان را میدهد که از راه دور بر فرآیند اجرای کد چیره شوند و کد دلخواه را بر روی سیستم هدف اجرا کنند.
ایلجا وان اسپروندل این آسیبپذیری را که با شناسه CVE-2020-8597 شناخته میشود و با امتیاز CVE 9.3 شناختهمیشود، کشف کرده است. GBHackers در حال حاضر هیچ اکسپلویتکد یا کدمخربی را برای این آسیبپذیری به صورت آنلاین پیدا نکرده است.
در نسخههای 2.4.2 تا 2.4.8 نسخههای مختلف لینوکس، اجرای این آسیبپذیری با پروتکل pppd، تأیید شدهاست.
• Debian GNU/Linux
• Fedora Project
• Red Hat
• SUSE Linux
• Ubuntu
همچنین، شرکتهای زیر در مورد آسیبپذیری اجرای کد از راه دور pppD، بهروزرسانی میشوند.
• Cisco
• NetBSD
• OpenWRT
• Synology
• TP-LINK
علت اصلی آسیبپذیریpppD
آسیبپذیری سرریز بافر بهدلیل خطا در اعتبارسنجی اندازهی ورودی قبل از کپیکردن داده های تهیهشده در حافظه، بر چندین بخش از لینوکس تأثیر گذاشته است.
اعتبارسنجی نادرست اندازهی دادههای ورودی، منجر به کپیکردن اطلاعات دلخواه در حافظه و باعث خرابی حافظه میشود که به مهاجمین اجازهی اجرای کد دلخواه را از راه دور میدهد.
از آنجا که دادهها تأیید نشده و اندازهی آنها نیز ناشناخته است، این آسیبپذیری حافظهی سیستم قربانی را از کار میاندازد. همچنین بوسیلهی اجرای بالقوهی کد دلخواه در سیستم، PPP با سطح مجوز دسترسی بالایی اجرا میشود و با همکاری درایورهای هسته(Kernel) به مهاجمین اجازه میدهد از مجوزهای دسترسی روت برخوردار شوند.
#آسیبپذیری در اجرای SSL مربوط به Intelligent Proximity سیسکو، یک مهاجم غیر مجاز را قادر میسازد تا از راه دور اطلاعاتی را که در دستگاههای ویوئو کنفرانس Webex سیسکو به اشتراک گذاشته شده است را مشاهده کرده و یا تغییر دهد.
شناسه این آسیبپذیری "CVE-2020-3155" و با شدت بالا گزارش شده است.
آسیبپذیری فوق، ناشی از عدم اعتبارسنجی گواهینامه (certificate) سرور SSL است که هنگام برقراری ارتباط با یک دستگاه ویدئو کنفرانس Webex سیسکو و یا collaboration endpoint سیسکو دریافت شده است. یک مهاجم میتواند با استفاده از تکنیکهای man in the middle برای رهگیری ترافیک بین کلاینت آسیبدیده و یک نقطه پایانی (endpoint) و سپس با استفاده از یک certificate جعلی به منظور جعل هویت نقطه پایانی، این آسیبپذیری را مورد اکسپلویت قرار دهد. بسته به تنظیمات نقطه پایانی، یک اکسپلویت میتواند به مهاجمان اجازه دهد تا محتوای ارائه شده و به اشتراک گذاشته شده بر روی آن را مشاهده کنند، محتوایی که توسط قربانی ارائه شده است را تغییر دهند و یا به کنترلهای تماس دسترسی داشته باشند.
محصولات آسیبپذیر
در صورتیکه محصولات سیسکو، یک نرمافزار آسیبپذیر در حال اجرا داشته باشند و قابلیت Proximity در آنها برای اتصال به دستگاههای داخلی فعال شده باشد تحت تآثیر این آسیبپذیری قرار دارند. محصولات آسیبپذیر عبارتند از:
• برنامه هوشمند Proximity سیسکو
• Jabber سیسکو
• Webex Meetings
• Webex Teams
• برنامه Meeting سیسکو
با توجه به اینکه تمام نسخههای این نرمافزارها تحت تآثیر آسیبپذیری ذکر شده قرار میگیرند، در حال حاضر سیسکو هیچ گونه بروزرسانی نرمفزاری را برای رفع این آسیبپذیری منتشر نکرده است.
تشخیص فعال بودن قابلیت Proximity بر روی کلاینتها
درکلاینتهایی با نرمافزارهای ذکر شده در بالا، در صورتیکه در زمان پیکربندی، قابلیت Proximity در آنها فعال شده باشد، تحت تآثیر این آسیبپذیری قرار میگیرند. با این حال برای یک مهاجم که در صدد اکسپلویت این آسیبپذیری است، یک نقطه پایانی نیز باید قابلیت Proximity را فعال کرده باشد.
Jabberسیسکو
دو روش برای تعیین فعال بودن Proximity در Jabber سیسکو وجود دارد:
1. در فایل پیکربندی Jabber یعنی jabber-config.xml، اگر دستور زیر وجود نداشته باشد این قابلیت فعال است:
<EnableProximity>false</EnableProximity>
2. در تنظیمات این برنامه، به بخش Video Device بروید. اگر به صورت خودکار به نزدیکترین دستگاه متصل شد بدین معنی است که قابلیت مذکور در آن فعال است.
Cisco Webex Meetings
در تنظیمات پیشرفته این برنامه، به بخش Video Systems بروید. در صورت تشخیص خودکار دستگاههای مجاور، این ویژگی فعال است.
Cisco Webex Teams
از مرکز کنترل Webex سیسکو به بخشSettings و سپس Device Discovery مراجعه کنید. در صورتیکه برنامه Webex Teams، اجازه اتصال به دستگاه ثبتشده داخلی انتخاب شده را بدهد، نشاندهنده فعال بودن این قابلیت است.
برنامه Meeting سیسکو
قابلیت Proximity همواره فعال است و امکان غیرفعال کردن آن وجود ندارد.
راهحل
در حال حاضر هیچ راهحلی جهت رفع این آسیبپذیری ارائه نشده است. اما میتوان توصیههای امنیتی زیر را اعمال کرد:
• غیرفعال کردن قابلیت Proximity Pairing
• غیرفعال کردن این قابلیت در دستگاههای ویدئویی Webex و Collaboration Endpoint سیسکو
• غیرفعال کردن تشخیص خودکار Collaboration Endpoint در کلاینتهای Proximity
• انتقال از Collaboration به Cloud
مشاهدات حاکی از آن است که با توجه به شرایط موجود و تعطیلات پیش رو، مدیران شبکه و زیرساخت های فناوری اطلاعات به طور فزاینده ای به دورکاری روی آورده اند و کاربرد پروتکل RDP و سایر پروتکل های دسترسی از راه دور افزایش یافته است.
در این بازه علاوه بر رعایت دقیق تر مواردی که برای ایام تعطیلات طولانی توصیه می گردد، از جمله تهیه نسخ پشتیبان قابل اعتماد، بررسی فایل های log و ... که در پیوست 1 مورد تاکید قرار گرفته است، به طور موکد توصیه می شود که به دلیل تمرکز ویژه مهاجمین بر روی نفوذ به سرویس RDP و مخاطراتی از جمله حملات باج افزاری، اکیدا از استفاده از این سرویس بصورت حفاظت نشده بر بستر شبکه ی اینترنت پرهیز گردد.
در ادامه، ملاحظاتی به شرح ذیل بمنظور ارتقای امنیت سیستم ها در این بازه زمانی پیشنهاد می گردد.
تمهیدات امنیتی که ضروری است در ایام تعطیلات مد نظر قرار گیرند:
تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و موکداً نگهداری اطلاعات پشتیبان بصورت غیر بر خط.
هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.
توجه و بررسی فهرست کاربران و سطح دسترسی آنها به صورت دوره ای
آزمایش و انجام به روزرسانی و نصب وصله های امنیتی ارائه شده.
در استفاده از سرویس های دسترسی از راه دور، اتخاذ تمهیدات امنیتی همچون موارد زیر همواره باید مد نظر قرار گیرد:
اجبار نرم افزاری به تنظیم و استفاده از رمز عبور پیچیده
اجبار نرم افزاری به تغییر دوره ای رمز عبور توسط مدیران و کاربران سیستمها
عدم استفاده از رمز های عبور تکراری
محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم
محدودسازی آدرس مبدا قابل قبول برای اتصال از طریق لیست دسترسی یا سایر تمهیدات
استفاده از VPN و ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات
خودداری از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها
استفاده از احراز هویت 2مرحله ای جهت استفاده از سرویس های دسترسی از راه دور
دقت در عدم آلودگی رایانه مبدا ارتباط مخصوصا رایانه شخصی
لازم به ذکر است که دو ویدیو آموزشی با عناوین "ایمن سازی سرویس RDP با استفاده نرم افزار RDS Knight" و "احراز هویت دومرحله ای در سرویس ریموت دسکتاپ" در آدرس های https://www.aparat.com/v/Q8z0u و https://www.aparat.com/v/ZUndJ برای راهنمایی در انجام برخی از امور فوق الذکر قرار گرفته است.
در انتها یادآور می گردد که مرکز ماهر در طی ایام تعطیلات نیز از راه های ارتباطی زیر آماده دریافت گزارشات و درخواست ها است:
تلفن مرکز ماهر : 42650000-021
نمابر : 22115951-021
پست الکترونیک:
ارسال گزارش رخداد و درخواست امداد: report@cert.ir
آسیب پذیری مذکور در تاریخ 10 مارس 2020 توسط شرکت مایکروسافت منتشر شده است که از نوع RCE میباشد. مهاجم می تواند با ارسال یک پکت خاص به سمت سرور با سرویس دهنده SMBv3 آسیب پذیر، از آن سوءاستفاده نماید. همچنین درمورد کاربران Client، مهاجم باید قربانی را متقاعد کند تا با یک سرور مخرب که توسط مهاجم پیکربندی شده است ارتباط برقرار کند. سوء استفاده مهاجم از آسیب پذیری مذکور به او این امکان را میدهد تا کد دلخواه خود را بر روی سیستم قربانی اجرا کند.
دانلود گزارش
پشتیبانگیری یکی از مهمترین راهحلهای محافظت دادهها (حتی شاید مهمترین) در برابر باج افزارها است، اما اگر بهدرستی از این شیوه استفاده نشود، مهاجمین از آن علیه شما استفاده میکنند.
اخیراً اپراتورهای DoppelPaymer Ransomware در سایت نشت اطلاعات خود، بدون پرداخت هزینه نرم افزار پشتیبانگیری Veeam، نام کاربری ادمین و رمزعبور متعلق به یک قربانی را منتشر کردند.
این امر نه به معنای افشای اطلاعات برای دیگران و حملات بیشتر، بلکه هشداری برای قربانی بود که اپراتورهای باج افزار به شبکهی آنها از جمله نسخههای پشتیبان آنها، دسترسی کامل دارند.
بعد از دیدن این اطلاعات، با اپراتورهای خانوادههای DoppelPaymer و Maze Ransomware ارتباط برقرار شد تا چگونگی هدف قرارگرفتن پشتیبانهای قربانی مشخص شود و نتایج بسیار تعجبآور بود.
لازم به ذکر است که در این مطلب به نرمافزار پشتیبانگیری Veeam پرداختهشدهاست. نه به این دلیل که نسبت به سایر نرمافزارها از امنیت کمتری برخوردار است، بلکه به این دلیل که یکی از محبوبترین محصولات پشتیبانگیری است و توسط اپراتورهای باجافزار ذکر شده است.
مهاجمین ابتدا از نسخهی پشتیبان ابری کاربر برای سرقت اطلاعات آنها استفاده میکنند.
در طول حملات باج افزار، مهاجمین یک میزبان فردی را از طریق فیشینگ، بدافزار یا سرویسهای کنترل از راهدور، در معرض خطر قرار میدهند. پس از بدستگرفتن دسترسی یک سیستم، به طور جانبی در سراسر شبکه گسترش مییابند تا اینکه به اعتبارنامه ادمین و کنترلکننده دامنه، دسترسی پیدا کنند. با استفاده از ابزاری مانند Mimikatz، اعتبارنامهها را از active directory کپی میکنند.
طبق گفته Nero Consulting، یک شرکت مشاورهی MSP و IT مستقر در اطراف نیویورک که در این مطلب نیز کمک کردهاست، از آنجایی که برخی از ادمینها Veeam را طوری پیکربندی میکنند که از احرازهویت ویندوز استفاده کند، به مهاجمین امکان میدهند که دسترسی نرمافزار پشتیبانگیری را بدست آورند
اخیراً مهاجمان برای اجرای خودکار یک بدافزار دانلود کننده به نام #Ostap که پیشتر بهکارگیری آن توسط بدافزار Trickbot مشاهده شده بود، از Remote Desktop ActiveX Control در ویندوز 10 و مستندات ورد استفاده میکنند. ویژگی Remote Desktop ActiveX Control به مایکروسافت اجازه میدهد تا مرتباً سیستم عامل را برای محافظت هر چه بیشتر از سیستم بهروزرسانی کند؛ اما در این حمله از این ویژگی برای اجرا ماکروهای مخرب که حاوی بدافزار دانلودکنندهی Ostap هستند، استفاده شده است. در این گزارش به بررسی عملکرد این بدافزار میپردازیم.
1 آغاز کار با فیشینگ
بدافزار دانلود کننده Ostap، از طریق مستند word آلوده به کد ماکرو و حاوی تصویری که رمزنگاری شده است، کاربران را به سمت فعال کردن ماکرو در مستند ورد سوق میدهند. فایل ورد مخرب از طریق ایمیلهای فیشینگ به دست قربانی میرسد. شکل زیر نمونه ایمیل فیشینگ به همراه فایل ورد مخرب پیوست شده به آن را نشان میدهد.
اخیراً #بدافزار جدیدی با ایجاد backdoor از طریق هشدارهای جعلی گواهی امنیتی منتشر میشود. این تکنیک جدید قربانیان را هنگام بازدید از سایتها مجبور به نصب یک بهروزرسانی گواهی امنیتی مخرب میکند.
صادر کنندههای گواهی امنیتی (CA)، گواهی نامههای امنیتی SSL/TLS را برای بهبود امنیت آنلاین با ایجاد رمزنگاری کانالهای ارتباطی بین مرورگر و سرور -مخصوصاً برای دامنههای ارائه دهنده خدمات تجارت الکترونیکی- و تایید هویت (برای ایجاد اعتماد در یک دامنه) منتشر میکند.
با وجود نمونههای سوءاستفاده از گواهی امنیتی، کلاهبرداری و جا زدن مجرمان سایبری به عنوان مدیران اجرایی برای به دست آوردن گواهیهای امنیتی برای امضای دامنههای تقلبی یا بارگذاری بدافزار، رویکرد جدید فیشینگ در حال سوءاستفاده از مکانیزم گواهیهای امنیتی است.
1 درباره بدافزار
اخیراً محققان امنیتی از شرکت Kaspersky گزارش دادند این تکنیک جدید در انواع سایتها مشاهده شده و اولین تاریخ سوءاستفاده آن در تاریخ 16 ژانویه 2020 گزارش شده است.
قربانیان هنگام بازدید از سایتها با صفحه زیر روبرو میشوند:
این پیغام ادعا میکند که تاریخ اعتبار گواهی امنیتی سایت به پایان رسیده است، و از قربانیان خواسته میشود یک بهروزرسانی گواهی امنیتی را برای رفع این مشکل نصب کنند.
این پیغام شامل یک iframe است و محتوای آن از طریق یک اسکریپت jquery.js از یک سرور کنترل و فرمان شخص ثالث بارگیری میشود؛ در حالی که نوار URL هنوز آدرس دامنه مجاز را نمایش میدهد.
طبق گفته محققان اسکریپت jquery.js، یک iframe که دقیقاً اندازه صفحه است را نمایش میدهد. در نتیجه کاربر به جای صفحه اصلی، یک صفحه ظاهراً واقعی را مشاهده میکند که خواستار نصب یک بهروزرسانی گواهی امنیتی است.
اگر قربانی روی گزینه بهروزرسانی کلیک کند، بارگیری فایل Certificate_Update_v02.2020.exe آغاز میشود. پس از نصب آن، مهاجم یکی از دو نوع نرمافزارهای مخرب Mokes یا Buerak را در سیستم قربانی اجرا میکند.
بدافزار Mokes یک backdoor برای macOS/Windows است، که توسط شرکت امنیت سایبری پیشرفته شناخته شده است، و قادر به اجرای کد، گرفتن screenshot، سرقت اطلاعات رایانه ای از جمله فایلها،
فایلهای صوتی و فیلمها، ایجاد یک backdoor و استفاده از رمزنگاری AES-256 برای پنهان کردن فعالیتهای خود است. تروجان Buerak نیز یک تروجان تحت ویندوز است که قادر به اجرای کد، دستکاری فعالیتهای در حال اجرا و سرقت محتوا است؛ این تروجان پایداری خود را از طریق کلیدهای رجیستری حفظ کرده و روشهای مختلف آنالیز و تکنیکهای sandboxing را تشخیص میدهد.
در هفته اخیر، سازمان صادر کننده گواهی امنیتی Let's Encrypt اعلام کرد که قصد ابطال بیش از سه میلیون گواهی امنیتی به دلیل باگ در کد پس زمینه که باعث میشود سیستمهای کنترل از بررسی فیلدهایCAA چشمپوشی کنند، را دارد. اکنون خطای برنامه نویسی رفع شده است، اما صاحبان دامنههای قربانی باید درخواست دامنههای جدید بدهند.
2 مراجع
[1] https://www.zdnet.com/article/backdoor-malware-is-being-spread-through-fake-security-certificate-alerts/
یک #آسیبپذیری روز صفرم بحرانی که سرویسهای Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار میدهد امکان ثبت دامنههای مخرب homograph توسط مهاجمان را فراهم میکند. ثبت موفقیتآمیز این دامنهها که ظاهری مشابه دامنهها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنههای homograph متعددی که گواهینامههای HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنههای مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنهها را میتوان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنههای زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنههای اصلی هستند و این موضوع میتواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان میتواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنههای فوق نشان میدهد که ثبت دامنههایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکانپذیر است.
این آسیبپذیری همهی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده میکنند را تحت تاثیر قرار میدهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، میتوان این آسیبپذیری را یک آسیبپذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/