فا

‫ اخبار

رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

دانلود گزارش امنیتی محصولات سیسکو با درجه حساسیت Critical در سپتامبر 2019

25 شهریور 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
گزارش اصلاحیه امنیتی مایکروسافت در ماه سپتامبر 2019

مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. به‌روزرسانی‌ امنیتی در ماه سپتامبر سال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • ChakraCore
  • Microsoft SharePoint
  • Azure DevOps Server

و همچنین برای Adobe Flash Playerیک بروزرسانی با شناسه ADV190022ارائه شد.

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winverدر CMDنسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

دریافت گزارش اصلاحیه امنیتی مایکروسافت

25 شهریور 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
افشای آسیب‌پذیری روز صفرم افزایش امتیاز در سیستم‌عامل اندروید

محققان #‫Trend_Micro از طریق برنامه‌ی Zero Day Initiative، به وجود یک آسیب‌پذیری در سیستم‌عامل تلفن همراه اندروید پی بردند.
این نقص در درایور Video For Linux 2 (V4L2) وجود دارد. V4L2 یک درایور سیستمی دو لایه‌ای لینوکس است و از روش‌های مشابه به روش‌های درایور لینوکس معمول اما با پارامترهایی که تنها مخصوص درایورهای V4L2 است، استفاده می‌کند. تمامی درایورهای V4L2 ماژولار هستند. این آسیب‌پذیری در حالتی که درایور V4L2 داده‌ها را در اندروید مدیریت می‌کند، وجود دارد. به عبارتی، این آسیب‌پذیری ناشی از عدم اعتبارسنجی وجود یک شئ پیش از آنکه عملیاتی بر روی شئ انجام شود، است.
یک مهاجم می‌تواند با دسترسی محلی به یک دستگاه آسیب‌پذیر از این نقص امنیتی برای افزایش امتیاز تا سطح هسته، سوءاستفاده کند. اگر دسترسی محلی موجود نباشد، ابتدا باید بتواند کد با دسترسی پایین را در سیستم هدف اجرا کند تا بتواند از این آسیب‌‌پذیری سوءاستفاده کند. این نقص می‌تواند با آسیب‌پذیری‌های دیگر زنجیر شود تا کنترل کامل یک دستگاه را در دست گیرد و آلوده‌سازی اولیه را ایجاد نماید.
این آسیب‌پذیری از نظر شدت «بالا» رتبه‌بندی شده است و دارای رتبه‌ی 7.8 در مقیاس 10 است. از آنجاییکه سوءاستفاده‌ی موفق از این آسیب‌پذیری نیاز به دسترسی محلی دارد، احتمالاً شدت آن کاهش می‌یابد.
محققان Trend Micro، وجود این نقص را در 13 مارس 2019 به گوگل گزارش دادند و جزئیات مربوط به آن را پس از انتشار بولتین امنیتی ماه سپتامبر 2019 گوگل که در آن، این نقص را برطرف نساخته بودند، منتشر ساختند.
تاکنون راه حلی برای این آسیب‌پذیری ارایه نشده است. با توجه به ماهیت این آسیب‌پذیری، تنها استراتژی مقابله با آن، محدودکردن تعامل با سرویس است. تنها کلاینت‌ها و کارگزارهایی که یک رابطه‌ی رویه‌ای قانونی با سرویس دارند، باید مجاز به برقرای ارتباط با آن باشند.

25 شهریور 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

سیستم عامل ها را می توان به عنوان قلب سیستم کامپیوتری تعریف کرد. آنها اولین مولفه نرم افزاری هستند که در سیستم بارگذاری می شوند و به سیستم امکان اجرا و کنترل را می دهند. عملکرد سیستم عامل به عنوان مرکز کنترل سیستم نقش آن ها را در امنیت کلی سیستم بسیار مهم کرده است. حال اگر این سیستم عامل به عنوان بخشی اصلی از سرور استفاده شود و پلتفرم زیرین جهت اجرای سرویس های مختلف مانند وب سرور و پایگاه داده را فراهم آورند، نقش امنیتی آن ها بیشتر نیز خواهد شد. این درحالیست که سیستم عامل ها از هزاران خط کد تشکیل شده اند که توسط انسان ها طراحی، توسعه شده است. بنابراین امکان وجود صدها آسیب پذیری در کد سیستم عامل در زمان توسعه سیستم عامل ایجاد می شود.

دانلود پیوست

25 شهریور 1398 برچسب‌ها: مستندات مرجع
آسیب پذیری خطرناک محصولات SIMATIC WinCC ، SIMATIC PCS7 و SIMATIC TIA Portal

طبق مستند منتشر شده شرکت #‫Siemens در تاریخ 2019-09-10 (19/6/98) محصولات SIMATIC WinCC Runtime و SIMATIC PCS7 و SIMATIC WinCC ( همچنین نسخه TIA PORTAL ) دارای آسیب پذیری با درجه اهمیت 9.1 و شماره CVE-2019-10916 هستند که اجازه اجرای کد را برای حمله کننده برروی سیستم های آلوده را فراهم می کند. این آسیب پذیری قابل بهره برداری از راه دور می باشد ( حمله کننده می بایست به project file دسترسی داشته باشد ) و به دلیل ضعف در کد از نوع SQL INJECTION (شماره CWE-89) بوجود آمده است.
محصولات آسیب پذیر به ظرح زیر می باشند :
• تمامی نسخه های SIMATIC PCS 7 V8.0
• تمامی نسخه های SIMATIC PCS 7 V8.1 قبل از V8.1 به همراه WinCC V7.3 Upd 19
• تمامی نسخه های SIMATIC PCS 7 V8.2قبل از V8.2 SP1 به همراه WinCC V7.4 SP1Upd11
• تمامی نسخه های SIMATIC PCS 7 V9.0 قبل از V9.0 SP2 به همراه WinCC V7.4 SP1Upd11
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V13
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V14
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V15
• تمامی نسخه های SIMATIC WinCC Runtime Professional V13
• تمامی نسخه های SIMATIC WinCC Runtime Professional V14 قبل از V14.1 Upd 11
• تمامی نسخه های SIMATIC WinCC Runtime Professional V15 قبل از V15.1 Upd 3
• نسخه SIMATIC WinCC V7.2 و همه نسخه های قبل از آن
• تمامی نسخه های SIMATIC WinCC V7.3 قبل از V7.3 Upd 19
• تمامی نسخه های SIMATIC WinCC V7.4 قبل از V7.4 SP1 Upd 11
• تمامی نسخه های SIMATIC WinCC V7.5 قبل از V7.5 Upd 3
جهت رفع این آسیب پذیری به نکات زیر توجه فرمایید:
بروز رسانی های زیر توسط Siemens منتشر شده که در آن ها این آسیب پذیری مرتفع شده است :
• SIMATIC WinCC Runtime Professional v14: Update to v14.1 Upd 11
• SIMATIC WinCC Runtime Professional v15: Update to v15.1 Upd 3
• SIMATIC PCS7 v8.1: Update WinCC to v7.3 Upd 19
• SIMATIC PCS7 v9.0: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.3: Update WinCC to v7.3 Upd 19
• SIMATIC PCS7 v8.2: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.4: Update WinCC to v7.4 SP1 Upd 11
• SIMATIC WinCC v7.5: Update WinCC to v7.5 Upd 3

23 شهریور 1398 برچسب‌ها: اخبار
به‌روزرسانی کروم برای رفع يک آسيب‌پذيری شديد

شرکت #‫گوگل، مرورگر کروم خود را برای رفع یک نقص شدید که می‌تواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، به‌روز کرد.
این آسیب‌پذیری که با شناسه‌ی "CVE-2019-5869" ردیابی می‌شود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.
Blink یک موتور مرورگر منبع‌باز است که اولین بار در سال 2013 و به‌طور خاص به‌عنوان بخشی از پروژه‌ی کرومیوم و با چارچوب‌های مختلف نرم‌افزاری قابل استفاده‌ی مجدد برای سیستم‌عامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده می‌کند. موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آن‌ها، تبدیل اسناد HTML و سایر منابع صفحه‌ی وب به نمایش‌های بصری در دستگاه‌های کاربران است.
محققان هشدار دادند كه سوءاستفاده‌ی موفقیت‌آمیز از آسیب‌پذیری موجود در Blink می‌تواند به مهاجمان اجازه دهد تا كد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را به‌دست آورند، محدودیت‌های امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انكار سرویس (DoS) شوند.
بسته به امتیازات مرتبط با برنامه، مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را مشاهده یا حذف کرده و آن‌ها را تغییر دهد یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
نقص موجود در Blink می‌تواند با ترغیب کاربر به بازدید از یک صفحه‌ی وب خاص طراحی‌شده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان می‌توانند از راه دور چنین صفحه‌ی وبی را راه‌اندازی کنند و از راه دور به سیستم قربانیان حمله کنند.
این نقص بر نسخه‌های گوگل کروم قبل از 76.0.3809.132 تأثیر می‌گذارد. به‌گفته‌ی محققان، در حال حاضر هیچ گزارشی از سوءاستفاده‌ی گسترده از این آسیب‌پذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخه‌ی 76.0.3809.132 به‌روز کنند.

23 شهریور 1398 برچسب‌ها: اخبار
رفع آسيب‌پذيری‌های امنيتی برخی از محصولات UCS سيسکو

#‫سیسکو به‌روزرسانی‌ امنیتی جهت رفع 17 #‫آسیب‌پذیری‌ با شدت «بالا» و «بحرانی» در چندین محصول خود منتشر ساخته است. یک مهاجم راه‌دور می‌تواند با سوءاستفاده از برخی از این آسیب‌پذیری‌ها، کنترل کامل سیستم را در دست گیرد. این آسیب‌پذیری‌ها برخی از محصولات سیستم محاسباتی یکپارچه‌ی (UCS) این شرکت، از جمله کنترل‌کننده‌ی مدیریت یکپارچه (IMC)، UCS Director و UCS Director Express برای داده‌های بزرگ را تحت‌تأثیر قرار می‌دهند.
بسیاری از این آسیب‌پذیری‌ها، کنترل‌کننده‌ی مدیریت یکپارچه (IMC) که یک کنترل‌کننده‌ی مدیریت مبتنی بر برد است را تحت‌تأثیر قرار می‌دهند. این کنترل‌کننده، مدیریت کارگزار تعبیه‌شده‌ای را برای کارگزارهای سیستم محاسباتی یکپارچه‌ی سیسکو فراهم می‌آورد.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو یافت شده‌اند؛ اما برخی از آن‌ها توسط محققی به نام Perdro Ribeiro گزارش شده‌اند.
Ribeiro جزئیات مربوط به سه آسیب‌پذیری از نقص‌های موجود در محصولات سیسکو را به همراه ماژول‌های Metasploit جهت سوءاستفاده از آن‌ها منتشر ساخته است.
یکی از این نقص‌ها، آسیب‌پذیری با شناسه‌ی CVE-2019-1935 است که از نظر شدت «بحرانی» رتبه‌بندی شده است و به یک مهاجم راه دور اجازه می‌دهد بااستفاده از حساب کاربری SCP (scpuser) که دارای اعتبارنامه‌‌های پیش‌فرض است، به واسط خط فرمان (CLI) یک سیستم آسیب‌پذیر وارد شود. کاربر SCP برای تشخیص و پشتیبانی از تکنیک‌ها طراحی شده است و به طور معمول نباید به GUI یا مدیر پوسته (shelladmin) دسترسی پیدا کند. اما Ribeiro دریافت که این کاربر می‌تواند از طریق SSH دارای گذرواژه‌ی پیش‌فرض، در صورتی که توسط مدیر سیستم تغییر نیافته باشد، وارد سیستم شود.
نقص دیگری که توسط Ribeiro شناسایی شده است، آسیب‌پذیری با شناسه‌ی CVE-2019-1936 است. این آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده است و به یک مهاجم احرازهویت‌نشده اجازه می‌دهد دستورات دلخواه در پوسته‌ی زیرین Linux را با مجوزهای ریشه‌ای، اجرا کند. این آسیب‌پذیری برای اینکه مورد سوءاستفاده قرار گیرد نیاز به کاربر احرازهویت‌شده دارد. دورزدن احرازهویت نیاز به سوءاستفاده از آسیب‌پذیری بحرانی دیگری دارد. این آسیب‌پذیری دارای شناسه‌ی CVE-2019-1937 است و به مهاجم راه‌دور و احرازهویت‌نشده اجازه می‌دهد تا با دسترسی به یک نشانه‌ی (token) نشست معتبر با امتیازات مدیریتی، احرازهویت را دور بزند. یک مهاجم می‌تواند با ارسال یک سری درخواست‌های مخرب به دستگاه هدف، به این نشانه دست یابد.
به گفته‌ی Ribeiro، آسیب‌پذیری‌های CVE-2019-1936 و CVE-2019-1937 می‌توانند توسط یک مهاجم راه‌دور و بدون امتیاز در سیستم هدف، زنجیر شوند تا کدی را به عنوان ریشه اجرا کنند و کنترل کامل محصول متأثر را در دست گیرند.
Ribeiro دو ماژول metasploit نیز منتشر ساخته است. یک ماژول که از دورزدن و تزریق دستور و دیگری که از گذرواژه‌ی پیش‌فرض SSH سوءاستفاده می‌کند.

16 شهریور 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها


برای دومین بار در سال جاری، آسیب پذیری حیاتی از نوع RCE (با امکان حمله از راه دور) در سرویس‌دهنده‌ی ایمیل #‫EXIM شناسایی شده است. با سواستفاده از این آسیب‌پذیری مهاجم می تواند کد های مخرب خود را با سطح دسترسی root بر روی سرور میزبان اجرا کند.
نسخه های آسیب پذیر معرفی شده، شامل 4.92.1 و همه نسخه های قبل از آن می باشد.
در حال حاضر اطلاعات بیشتری از این آسیب پذیری بدست نیامده است. در صورت استفاده از این سرویس‌دهنده لازم است بی درنگ نسبت به بروزرسانی نسخه Exim خود به 4.92.2 اقدام نمایید. عمده سرویس دهنده‌های آسیب‌پذیر متعلق به شرکت‌های میزبانی (هاستینگ) است.

15 شهریور 1398 برچسب‌ها: اخبار
آغاز اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر

اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر در سامانه کلاه سفید با شرکت دو وبسایت متعلق به سازمان فناوری اطلاعات آغاز شد. وبسایت‌های شرکت کننده در مسابقه:
https://nama.ito.gov.ir
https://irannoafarin.ir
جزییات بیشتر از نحوه برگزاری مسابقه در صفحه اختصاصی آن در سامانه کلاه سفید در دسترس است:
https://kolahsefid.cert.ir/Contest/250.html

13 شهریور 1398 برچسب‌ها: اخبار
سوءاستفاده‌ی بدافزار Asruex از آسيب‌پذيری‌های قديمی جهت آلوده‌سازی اسناد PDF و Word

طبق گزارش‌های Trend Micro، نوع جدیدی از فعالیت‌های درب‌پشتی #‫Asruex مشاهده شده است که #‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار می‌دهد.
Asruex ابتدا در سال 2015 کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ی WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درب‌پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد.
آسیب‌پذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ی ActiveX در نسخه‌های 2003، 2007 و 2010 است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود.
آسیب‌‌پذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته بود.
با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درب‌پشتی آن باشد، این قابلیت‌های منحصربه‌فرد آلوده‌سازی ، شناسایی حملات را به طور بالقوه دشوارتر می‌سازد.
به گفته‌ی Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده است که سازمان‌هایی که نسخه‌های وصله‌ی نشده‌ی Adobe Reader 9.x تا پیش از 9.4 و نسخه‌های Acrobat 8.x تا پیش از 8.2.5 را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد.
Asruex برای آلوده‌کردن ماشین‌ها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌‌کند.
نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود.
اگر این فایل PDF توسط نسخه‌های قدیمی‌تر Adobe Reader و Adobe Acrobat باز شود، آلوده‌ساز را در پس‌زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می‌شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب‌پذیری CVE-2010-2883 در حین افزودن فایل میزبان سوء‌استفاده می‌کند، استفاده می‌شود. این بدافزار شامل چندین ویژگی ضد اشکال‌زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system32\kernel32.dll، آن را تشخیص می‌دهد و همچنین با بازبینی نام‌های رایانه، نام کاربر، توابع صادرشده توسط ماژول‌های بارگذاری‌شده، پروسه‌های در حال اجرا و رشته‌های خاص در نام‌های دیسک، بررسی می‌کند که آیا در یک محیط جعبه شنی اجرا می‌شود یا خیر. پس از گذراندن این بررسی‌ها، درب‌پشتی بدافزار نصب می‌شود و سرقت اطلاعات می‌تواند آغاز شود.
فایل PDF همچنین یک DLL که مناسب قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است، به حافظه‌ی پردازش ویندوز تزریق می‌کند.
آسیب‌پذیری CVE-2012-0158 از سوی دیگر به مهاجمان اجازه می‌دهد کد دلخواه را از طریق یک سند Word یا وب‌سایت، از راه دور اجرا کنند. فرایند آلوده‌سازی این سند مشابه فایل‌های PDF است.
این بدافزار علاوه بر فایل‌های PDF و اسناد Word، فایل‌های اجرایی را نیز آلوده می‌سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می‌کند و آن را به صورت بخش .EBSS خودش، ضمیمه می‌کند. بنابراین می‌تواند هم آلوده‌ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا نماید.
این نوع بدافزار به دلیل استفاده از آسیب‌پذیری‌هایی که بیش از 5 سال پیش کشف شده‌اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان‌دهنده‌ی آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده‌اند، می‌دانند هنوز کاربرانی هستند که نسخه‌های جدیدتری از نرم‌افزار Adobe Acrobat و Adobe Reader را وصله یا به‌روزرسانی نکرده‌اند. لذا، وجود چنین بدافزارهایی نیاز سازمان‌ها به استفاده از بهترین شیوه‌ها برای به‌روزرسانی و وصله‌کردن نرم‌افزارهای دارای آسیب‌پذیری‌های بحرانی را تأکید می‌کنند.

12 شهریور 1398 برچسب‌ها: اخبار
صفحات: 1 2 »