فا

‫ اخبار

ایجاد‌کننده اطلاع‌رسانی‌ها

جت‌گرام یکی از نسخه‌های غیررسمی تلگرام توسعه‌یافته توسط hoshi (یا شخصی به نام هوشیار) است که پیش‌تر گزارش‌های گوناگونی پیرامون برنامه‌های این توسعه‌دهنده ارائه شده بود. این برنامه همانند سایر نسخه های غیررسمی، اقدامات مخربی را بدون اطلاع کاربر انجام می دهند که از این بین می توان به افزودن اجباری کاربر به یک گروه یا کانال، نمایش پاپ آپ یک صفحه در اینستاگرم، ارسال پیام تبلیغ نصب برنامه در گروه هایی که کاربر در آن عضو است، دانلود یک برنامه بدون اطلاع کاربر و نمایش درخواست نصب اشاره کرد. این اقدامات برخلاف سیاست های حریم خصوصی بوده و از این جهت مخرب تلقی می شود. در گزارش تهیه شده برنامه جت‌گرام مورد بررسی و آزمون قرار گرفته است. جهت مطالعه بیشتر اینجا کلیک کنید.

30 تیر 1399 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

در تاریخ 13 ژوئیه 2020، SAP یک بروزرسانی امنیتی برای مدیریت یک #‫آسیب‌پذیری بحرانی منتشر کرد. این آسیب پذیری با شناسه CVE-2020-6287 بر رویSAP NetWeaver Application Server (AS) Java component LM Configuration Wizard تأثیر می گذارد. یک مهاجم نامعتبر می‌تواند از این آسیب پذیری از طریق پروتکل HTTP، سوء استفاده کند تا کنترل برنامه های مورد اعتماد SAP را به دست بگیرد. این آسیب پذیری به دلیل عدم تأیید هویت در یک مؤلفه وب مربوط به SAP NetWeaver AS برای جاوا، معروف شده است که اجازه چندین فعالیت ممتاز در سیستم SAP را ایجاد می کند.
یک مهاجم از راه دور و غیرمعتبر، در صورت سوء استفاده موفقیت آمیز می تواند از طریق ایجاد کاربران ممتاز و اجرای دستورات سیستم عامل دلخواه با امتیازات حساب کاربری سرویسSAP، (<sid> adm) دسترسی نامحدود به سیستم های SAP را بدست آورد که به منزله دسترسی نامحدود به پایگاه داده SAP می باشد و قادر است فعالیت های نگهداری برنامه، مانند خاموش کردن برنامه های SAP متعهد شده را انجام دهد. محرمانه بودن، یکپارچگی و در دسترس بودن داده ها و فرآیندهای میزبانی شده توسط برنامه SAP، در معرض خطر این آسیب پذیری قرار دارند.
با توجه به اهمیت برنامه های تجاری SAP، آژانس امنیت زیرساخت ها و امنیت سایبری (CISA) به سازمان ها توصیه می‌کند تا وصله‌گذاری سیستم‌های در معرض اینترنت و سپس سیستم‌های داخلی را در اولویت قرار دهند. سازمان هایی که قادر به وصله گذاری فوری نیستند، باید با غیرفعال کردن سرویس LM Configuration Wizard، آسیب پذیری را کاهش دهند. اگر این گزینه ها در دسترس نباشند یا این اقدامات بیش از 24 ساعت به طول انجامد، CISA اکیداً توصیه می کند که فعالیت های SAP NetWeaver AS پایش شود. به دلیل انتشار وصله ها به صورت عمومی امکان سوء استفاده از سیستم های وصله نشده فراهم شده است.

سیستم های تحت تأثیر
این آسیب پذیری به طور پیش فرض در برنامه های SAP اجرا شده بر روی SAP NetWeaver AS Java 7.3 و تمامی نسخه های جدیدتر (تا SAP NetWeaver 7.5) وجود دارد. راه حل های تجاری بالقوه آسیب پذیر SAP، آسیب پذیری های مبتنی بر جاوای SAP را شامل می شوند (اما محدود به این موارد نیست)؛ مانند:
• برنامه ریزی منابع سازمانی SAP،
• مدیریت چرخه عمر محصول SAP،
• مدیریت ارتباط با مشتری SAP،
• مدیریت زنجیره تأمین SAP،
• مدیریت روابط تأمین کننده SAP،
• انبار تجاری SAP NetWeaver،
• هوش تجاری SAP،
• زیرساخت های سیار SAP NetWeaver،
• پورتال سازمانی SAP،
• تنظیم هماهنگی فرآیند / ادغام فرآیند SAP،
• مدیر راه حل SAP،
• زیرساخت توسعه SAP NetWeaver،
• زمانبندی فرآیند مرکزی SAP،
• محیط ترکیب SAP NetWeaver،
• مدیر چشم انداز SAP.

CISA کاربران و سرپرستان محصولات SAP را تشویق می کند که:

  • سیستم های SAP را برای کلیه آسیب پذیری های شناخته شده، از جمله فقدان وصله های امنیتی، پیکربندی خطرناک سیستم و آسیب پذیری در کد سفارشی SAP اسکن کنند.
  • و صله های امنیتی مفقود شده را بلافاصله اعمال کنند و وصله گذاری امنیتی را به عنوان بخشی از یک پروسه دوره ای نهادینه کنند
  • تجزیه و تحلیل سیستم ها برای مجوزهای کاربری مخرب یا مفرط.
  • نظارت بر سیستم ها برای شاخص های سازش ناشی از سوء استفاده از آسیب پذیری ها.
  • نظارت بر سیستم ها برای رفتار مشکوک کاربر، از جمله کاربران ممتاز و غیر ممتاز.
  • برای بهبود وضعیت امنیتی در برابر حملات هدفمند پیشرفته، هوش تهدید در مورد آسیب پذیری های جدید را اعمال کنند.
  • پایه های امنیتی جامع برای سیستم ها تعیین کنند و به طور مداوم بر نقض انطباق نظارت کنند و انحرافات تشخیص داده شده را اصلاح کنند.
  • این توصیه ها در سیستم های SAP در محیط های عمومی، خصوصی و ترکیبی اعمال می شوند.
  • از پیکربندی ایمن چشم انداز SAP خود اطمینان حاصل کنند
  • تنظیمات امنیتی رابط های SAP بین سیستم ها و برنامه ها را شناسایی و تجزیه و تحلیل کنند تا خطرات ناشی از این روابط مورد اعتماد را دریابند

منبع

https://us-cert.cisa.gov/ncas/alerts/aa20-195a

30 تیر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
انتشار وصله جهت رفع آسیب پذیری بحرانی سرویس DNS سرورهای ویندوز

شرکت مایکروسافت در تاریخ July 14 سال 2020 وصله ای برای #آسیب‌پذیری بحرانی در سرویس DNS ویندوزسرور منتشر کرد. این آسیب پذیری، امکان اجرای کد از راه دور (RCE) و همچنین اخذ دسترسی کامل از سرور ویندوز دارای سرویس DNS آلوده را برای مهاجم فراهم می کند. احتمال استفاده از این حفره امنیتی توسط بات نت ها و باج افزار هایی که از متد worm برای انتشار استفاده میکنند بسیار بالا می باشد. این آسیب پذیری با شدت ۱۰ از ۱۰ (CVSS Score) و با شناسه CVE-2020-1350 معرفی شده است و تمامی نسخه های ویندوز از ویندوز 2008 تا 2019 در برابر آن آسیب پذیرند.
مهاجم با استفاده از ایجاد و ارسال درخواست های آلوده به سمت DNS Server میتواند حمله RCEرا به اجرا گذاشته و دسترسی کاملی به سرور اخذ کند. درصورتی که سرور نقش domain controller را در active directory داشته باشد، مهاجم می تواند دسترسی کاملی به کل فضای domain اخذ کرده و تمامی دارایی های موجود در این فضا را در اختیار گیرد.
*اجرای وصله و ایمن سازی را به هیچ وجه به تاخیر نیاندازید و این فرآیند را محدود به سرور هایی که صرفا در فضای اینترنت در دسترس هستند نکنید.
رفع آسیب پذیری:

۱- نصب آخرین آپدیت های ارائه شده روی ویندوز سرور
۲- انجام تغییرات زیر در رجیستری

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Restart نمودن سرویس DNS
لینک های مفید:

[1] https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/

[2] https://support.microsoft.com/help/4569509


25 تیر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار NEPHILIM با توجه به یافته ها و بررسی های محققین حوزه بدافزار اواخر March سال 2020 میلادی انتشار یافته است. هدف اولیه این باج افزار کاربران انگلیسی زبان بوده اما این توانایی را دارد که فایل هایی با عناوین فارسی را نیز بصورت رمزگذاری شده دربیارند. این باج افزار با استفاده از الگوریتم های رمزنگاری پیچیده تمامی فایل های سیستم را به حالت رمزشده تبدیل کرده و پسوند .NEPHILIM را به انتهای آن ها اضافه می کند. همچنین براساس آخرین اطلاعات موجود، این باج افزار نیز همانند باج افزارهای دیگر از طریق ایمیل های اسپم یا فایل های جعلی آپدیت نرم افزارهای قانونی انتشار می یابد. جهت مطالعه بیشتر اینجا کلیک کنید.

24 تیر 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
گزارش تحلیلی بدافزار RXX Ransomware

در چندین سال اخیر که شیوع #‫بدافزارها در دنیای دیجیتال رشد زیادی داشته است باج افزارها رشد زیادی داشته اند و روزانه انواع مختلفی از آن ایجاد و انتشار می یابد. یکی از این باج افزارها RXX از خانواده Crysis می باشد که با رمزگذاری داده ها به منظور دریافت وجه برای ارائه ابزار رمزگشایی عمل می کند. این باج افزار با توجه به یافته ها و بررسی های محققین حوزه بدافزار اوایل March سال 2017 میلادی ایجاد شده، ولی اولین مشاهدات آن در سال 2020 می باشد. این باج افزار در طی فرآیند رمزگذاری، کلیه فایل ها را براساس این الگو تغییر نام می دهد: نام اصلی فایل ، شناسه منحصر به فرد، آدرس ایمیل مجرمان سایبری و.rxx در انتهای هر فایل. همچنین براساس آخرین اطلاعات موجود، این باج افزار نیز همانند باج افزارهای دیگر از طریق پیوست های ایمیل آلوده (ماکرو)، وب سایت های تورنت، تبلیغات مخرب انتشار می یابد. جهت مطالعه بیشتر اینجا کلیک نمایید.

24 تیر 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به رشد چشمگیر در حوزه ی #‫بدافزار در دنیای امروزی متعاقبا باج افزار نیز رشد قابل توجهی داشته است. یکی از این باج افزارها Random Ransome می باشد که برای اولین بار توسط S!Ri در ابتدای آوریل سال 2020 میلادی گزارش شده است اما در بررسی هایی که روی فایل باج افزار صورت گرفته است، زمان کامپایل آن تغییر یافته و به تاریخ 2098 تنظیم شده است.
این باج افزار با افزدون پسوند .Random به انتهای هرفایل آنها را رمزگذاری می کند. به محض اتمام فرآیند رمزگذاری، RANDOM یک فایل متنی ویژه را در هر پوشه ای که حاوی داده های رمزگذاری باشد قرار می دهد و تنها راه بازیابی اطلاعات رمزگذاری شده استفاده از یک کلید رمزگشایی منحصر به فرد است. جهت مطالعه بیشتر اینجا کلیک نمایید.

24 تیر 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
آسیب‌پذیری‌های اجرای کد از راه دور در کتابخانه Codecs ویندوز

شرکت مایکروسافت دو به‌روزرسانی امنیتی را جهت وصله دو آسیب‌پذیری موجود در کتابخانه codecsویندوز منتشر کرد. #‫آسیب‌پذیری‌ های مذکور با شناسه CVE-2020-1425 و CVE-2020-1457 بر کتابخانه codecs ویندوز در توزیع‌های ویندوز 10 و ویندوز سرور 2019 اثر می‌گذارند. شرکت مایکروسافت همچنین اظهار داشت که از این دو نقض امنیتی می‌توان توسط یک فایل تصویری دست‌کاری شده خاص بهره‌برداری کرد. اگر این تصاویر در برنامه‌هایی باز شود که از کتابخانه codecsویندوز، برای مدیریت محتوای چندرسانه‌ای استفاده می‌کند‌، مهاجم می‌تواند کد مخرب خود را روی سیستم ویندوز اجرا کرده و کنترل کاملی بر آن به دست آورد.جهت مطالعه بیشتر اینجا کلیک کنید.

24 تیر 1399 برچسب‌ها: هشدارها و راهنمایی امنیتی, اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

اجرای کد از راه دور در دستگاه‌های F5 BIG-IP، دولت‌ها، ارائه دهندگان فضای ابری، ISPها، بانک‌ها و بسیاری از شرکت‌های Fortune 500را در معرض حملات احتمالی قرار می‌دهد. F5 Networksیکی از بزرگترین شرکت‌های ارائه‌دهنده تجهیزات شبکه در سراسر جهان، این هفته یک مشاوره امنیتی را منتشر کرده است که به مشتریان خود توصیه می‌کند که یک نقص امنیتی خطرناک را که به احتمال زیاد مورد اکسپلویت قرار گرفته است، وصله نمایند. این #‫آسیب‌پذیری، محصول BIG-IPاین شرکت را تحت تاثیر قرار می‌دهد. BIG-IPدستگاه‌های چندمنظوره شبکه هستند که می‌توانند به عنوان سیستم‌های شکل‌دهی ترافیک وب، لود بالانسرها، فایروال‌ها، دروازه‌های دسترسی (access gatewaysrate limiterها یا SSL middlewareکار کنند. BIP-IPیکی از محبوبترین محصولات شبکه است که به صورت روزانه در شبکه‌های دولتی در سراسر جهان، در شبکه‌های مربوط به ارائه‌دهندگان خدمات اینترنت، در مراکز داده محاسبات ابری و به طور گسترده در شبکه‌های سازمانی مورد استفاده قرار می‌گیرد. جهت مطالعه بیشتر اینجا کلیک نمایید.

15 تیر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

در پی نقص بحرانی موجود در فایروال PAN-OS با شناسه "CVE-2020-2021" که به واسطه آن مهاجمان قادرند فرآیند احراز هویت را در این فایروال دور بزنند، شرکت Palo Alto اقدام به رفع این #‫آسیب‌پذیری کرده است. هنگامی که احراز هویت SAML فعال و قابلیت ‘Validate Identity Provider Certificate’ غیرفعال باشد، تأیید هویت نادرست در PAN-OS SAML، مهاجم را قادر می‌سازد تا به منابع شبکه دسترسی پیدا کند. گفتنی است که برای اکسپلویت این آسیب‌پذیری، مهاجم باید به سرور آسیب‌پذیر دسترسی داشته باشد.


آسیب‌پذیری مذکور دارای شدت بحرانی و CVSS 3.x base score of 10 بوده و کمپانی مربوطه اعلام کرده است که در صورت عدم استفاده از SAML در فرآیند احراز هویت و نیز غیر فعال بودن قابلیت Validate Identity Provider Certificate در SAML Identity Provider Server Profile، این آسیب‌پذیری اکسپلویت نخواهد شد. به گفته شرکت Palo Alto، در خصوصGlobalProtect Gateways, GlobalProtect Portal Clientless VPN, Prisma Access Prisma Access و Prisma Access، مهاجم غیرمجاز، با دسترسی شبکه‌ به سرورهای تحت تاثیر این آسیب‌پذیری و درصورتیکه توسط احراز هویت پیکربندی شده و سیاست‎‌های امنیتی، مجاز باشد می‌تواند به منابع محافظت شده شبکه دسترسی پیدا کند؛ همچنین این منابع می‌توانند از طریق احراز هویت SAML-based single sign-on (SSO)، از خطر این آسیب‌پذیری به دور باشند.
در حملات صورت گرفته علیه PAN-OS و رابط‌های وب Panorama، آسیب‌پذیری مذکور می‌تواند توسط یک مهاجم غیر مجاز با دسترسی شبکه به PAN-OS و رابط‌های وب Panorama، اکسپلویت شود تا مهاجم به عنوان ادمین وارد سیستم شده و اقدامات مربوطه در حوزه اختیارات ادمین را انجام دهد که در بدترین حالت این آسیب‌پذیری دارای شدت بحرانی و CVSS 3.x base score of 10 می‌باشد، اما اگر رابط‌های وب تنها به یک شبکه منحصربفرد دسترسی داشته باشند، رتبه این آسیب‌پذیری به CVSS Base Score of 9.6 کاهش خواهد یافت.
خبر خوب این است که شبکه‌های Palo Alto از حملات ناشی از اکسپلویت این آسیب‌پذیری اطلاعات موثقی دریافت و منتشر نکرده‌اند. وجود نام کاربری غیرمعمول و یا آدرس‌های IP منبع در لاگ‌ها باید به عنوان زنگ خطری مورد توجه قرار گیرد. گفتنی است این آسیب‌پذیری توسط Salman Khan از تیم Cyber Risk and Resilience ، Cameron Duck و تیم سرویس‌های Identity دانشگاه Monash گزارش شده است. به گفته یکی از محققان امنیتی، احتمالأ APTها به زودی سعی در اکسپلویت نقصِ Palo Alto Networks موجود در PAN-OS خواهند داشت.
آسیب‎پذیری مذکور بر روی PAN-OS 9.1 و نسخه‌های قبل از PAN-OS 9.1.3، PAN-OS 9.0 و نسخه‌های قبل از PAN-OS 9.0.9 و PAN-OS 8.1، نسخه‌های قبل از PAN-OS 8.1.15 و تمام نسخه‌های (PAN-OS 8.0 (EOL تأثیر می‌گذارد، گفتنی است که این آسیب‌پذیری بر روی PAN-OS 7.1 تأثیر نمی‌گذارد.
در حالت کلی مشتریان می‌توانند موارد زیر را بررسی کنند تا مشخص شود که آیا تحت تاثیر آسیب‌پذیری قرار گرفته‌اند یا خیر:
• لاگ‌های احراز هویت
• لاگ‌های User-ID
• ACC Network Activity Source/Destination Regions (Leveraging the Global Filter feature)
• Custom Reports (Monitor > Report)
• لاگ‌های GlobalProtect (در نسخه PAN-OS 9.1.0 و بالاتر)
اما با توجه به اهمیت این آسیب‌پذیری و نیز بالا بودن شدت آن، هرچه سریع‌تر نسبت به وصله دستگاه‌های تحت‌تأثیر این آسیب‌پذیری بخصوص اگر پروتکل SAML مورد استفاده قرار گرفته است، اقدام کنید.
منابع

[1] https://securityaffairs.co/wordpress/105351/hacking/critical-flaw-firewall-pan-os.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-2021
[3] https://securityaffairs.co/wordpress/105388/hacking/pan-os-flaw-uscybercom.html

15 تیر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

بدافزار ouruv7 با اندازه 988 کیلوبایت در تاریخ 13 Jan سال 2020 ایجاد شده است. این #‫بدافزار فایل­های کاربر را در ساختاری به صورت زیر رمز می­کند. Filename.extension.Email=[Honeylock@protonmail.com]ID=[ id].odveta این بدافزار در اجراهای مختلف id های مختلفی برای قربانی تولید می­کند. #‫باج_افزار ouruv7 در هر پوشه­ ای که فایل­های آن را رمز کرد، فایل متنی با نام Unlock-Files.txt ایجاد می­کند. جهت مطالعه تحلیل این بدافزار اینجا کلیک نمایید.

13 تیر 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
صفحات: 1 2 3 »