فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
هشدار! دو آسیب‌پذیری بحرانی RCE در rConfig

هشدار مهم و فوری برای کسانی که از ابزار محبوب مدیریت پیکربندی شبکه‌ی #‫rConfigبرای محافظت و مدیریت دستگاه‌های شبکه خود استفاده می‌کنند.

به تازگی، جزئیات و کد اثبات مفهومی برای دو #‫آسیب‌پذیری مهم و بحرانی اجرای کد از راه دور (remote code execution) در ابزار rConfigمنتشر شده است. در یکی از این آسیب‌پذیری‌ها، مهاجم غیر مجاز می‌تواند از راه دور سرورهای مورد هدف را به خطر انداخته و به دستگاه‌های شبکه متصل شود.

rConfigکه به زبان PHPنوشته شده است، یک ابزار اُپن‌سورس برای مدیریت پیکربندی دستگاه‌های شبکه است که مهندسان شبکه را قادر می‌سازد دستگاه‌های شبکه را پیکربندی نمایند و به صورت مکرر از پیکربندی‌ها اسنپ‌شات بگیرند.

از این ابزار برای مدیریت بیش از 3.3 میلیون دستگاه شبکه از جمله سوئیچ‌ها، روترها، فایروال‌ها، load-balancerو بهینه‌سازهای WANاستفاده می‌شود.

آنچه که موجب نگرانی بیشتر می‌شود این است که هر دوی این آسیب‌پذیری‌ها تمام نسخه‌های rConfigاز جمله آخرین نسخه آن یعنی 3.9.2 را تحت تأثیر قرار داده و تاکنون نیز هیچ وصله امنیتی برای آنها منتشر نشده است.

هر یک از این آسیب‌پذیری‌ها در یک فایل جداگانه‌ی rConfigقرار دارند، اولین آسیب‌پذیری با شناسه "CVE-2019-16662" می‌تواند از راه دور و بدون نیاز به احراز هویت، مورد اکسپلویت قرار گیرد. در حالیکه آسیب‌پذیری دیگر با شناسه " CVE-2019-16663" قبل از اینکه مورد اکسپلویت قرار بگیرد به احراز هویت نیاز دارد.

  • آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده (CVE-2019-16662) در فایل ajaxServerSettingsChk.php
  • آسیب‌پذیری اجرای کد از راه دور احراز هویت شده (CVE-2019-16663) در فایل search.crud.php

برای اکسپلویت هر دو مورد، یک مهاجم تنها کافیست از طریق یک پارامتر GET ناقص که برای اجرای دستورات مخرب بر روی سرور مورد هدف طراحی شده است، به فایل‌های آسیب‌پذیر دسترسی پیدا کند.

همانگونه که در تصویر فوق قابل مشاهده است، کد اثبات مفهومی به مهاجمان اجازه می‌دهد تا یک شِل از راه دور را از سرور قربانی دریافت کنند و به واسطه آن هر دستور دلخواهی را بر روی آن سرور با همان امتیازات برنامه وب، اجرا کنند.

در عین حال، یک محقق امنیتی دیگر این آسیب‌پذیری‌ها را مورد تجزیه و تحلیل قرار داده و کشف کرد که آسیب‎پذیری RCEدوم نیز می‌تواند بدون نیاز به احراز هویت در نسخه‌های قبل از نسخه 3.6.0 rConfigمورد اکسپلویت قرار گیرد.

با این حال، پس از بررسی کد منبع rConfig، مشخص شد که نه تنها rConfig 3.9.2دارای آسیب‌پذیری‌ است بلکه تمام نسخه‌های آن دارای آسیب‌پذیری می‌باشند. علاوه بر این، آسیب‌پذیری CVE-2019-16663نیز می‌تواند پس از تأیید هویت در تمام نسخه‌های قبل از rConfig 3.6.0مورد اکسپلویت قرار گیرد.

  1. توصیه امنیتی

در صورتی که از ابزار rConfigاستفاده می‌کنید، توصیه می‌شود تا زمان انتشار وصله‌های امنیتی، آن را به طور موقت از سرور خود حذف کنید.

منبع خبر:

https://thehackernews.com/2019/11/rConfig-network-vulnerability.html

دیروز، 08:21 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار: به‌روزرسانی‌های مهم برای پردازنده‌ها و کارت‌های گرافیک، و سایر محصولات اینتل

#‫اینتل برای محصولات خود، به‌روزرسانی‌های امنیتی منتشر کرده است که برخی از آنها دارای درجه اهمیت «بالا» هستند. درایور کارت‌های گرافیک و سفت‌افزار اینتل از جمله این محصولات هستند. بهره‌برداری از اکثر این #‫آسیب‌پذیری‌ها نیازمند دسترسی فیزیکی یا محلی است، اما از آنجا که این آسیب‌پذیری‌ها در سطح پایین‌تر از سیستم‌عامل قرار دارند، تشخیص آنها توسط ضدویروس مشکل است و بنابراین اِعمال به‌روزرسانی‌ها توصیه می‌شود.

چند آسیب‌پذیری در درایورهای ویندوز کارت گرافیک اینتل وجود دارند که می‌توانند باعث ارتقاء دسترسی، منع سرویس و نشت اطلاعات شوند.

نقص‌های امنیتی سفت‌افزار، پردازنده‌ها، Intel® Server Board، Intel® Server Systemو Intel® Compute Moduleرا تحت تاثیر قرار می‌دهند. این آسیب‌پذیری‌ها نیز می‌توانند منجر به ارتقاء دسترسی، منع سرویس و نشت اطلاعات گردند. به طور دقیق‌تر این محصولات عبارت اند از:

  • 8th Generation Intel(R) Core™ Processor
  • 7th Generation Intel® Core™ Processor
  • Intel(R) Pentium® Silver J5005 Processor
  • Intel(R) Pentium® Silver N5000 Processor
  • Intel(R) Celeron® J4105 Processor
  • Intel(R) Celeron® J4005 Processor
  • Intel® Celeron® N4100 Processor
  • Intel® Celeron® N4000 Processor
  • Intel® Server Board
  • Intel® Server System
  • Intel® Compute Module

سایر محصولات آسیب‌پذیر نیز عبارت اند از:

  • Intel® Accelerated Storage Manager
  • Intel® USB 3.0 Creator Utility
  • Intel® SGX SDK
  • Intel® Matrix Storage Manager
  • Intel® CSME and Intel® Active Management Technology™
  • Intel® Server Platform Services
  • Intel® Trusted Execution Engine

برای مشاهده توصیه‌های امنیتی اینتل و نحوه به‌روزرسانی به منبع خبر مراجعه فرمایید.

منبع: https://www.intel.com/content/www/us/en/security-center/default.html

18 آذر 1398 برچسب‌ها: اخبار
آسیب پذیری ارتقای سطح دسترسی در فریمورک Django

این #‫آسیب‌پذیری با درجه حساسیت بالا در فریمورک معروف Djangoبا شناسه CVE-2019-19118در 11 آذر 1398 منتشر شد. مهاجم با بهره برداری از این آسیب‌پذیری می‌تواند سطح دسترسی‌خود را ارتقا داده و دست به عملیات غیرمجاز بزند. نسخه‌های قبل از 2.2.8 و 2.1.5 این فریمورک آسیب‌پذیر هستند.

از نسخه 2.1 Djangoبه بعد در یک مدل آدمین Djangoکه یک مدل parentبا مدل‌هایinline مرتبطش را نمایش می‌دهد، کاربر اجازه تغییر در مدل parentرا ندارد اما می‌تواند مدل inlineرا ویرایش کند؛ در نتیجه یک viewفقط-خواندنی برای مدل parentو یک فرم قابل ویرایش برای مدل inlineنمایش داده می‌شود.

این فرم‌ها اجازه تغییرات مستقیم در مدل parentرا نمی‌دهد اما تابع save()مدل parentرا فراخوانی می‌کند و متعاقباً سبب فراخوانی سیگنال handlerهای قبل و بعد از ذخیره‌سازی می‌شوند. به عنوان کاربری که اجازه‌ی تغییر یک مدل خاص را ندارد و به دنبال آن نباید اجازه فراخوانی سیگنال‌های مربوط به ذخیره‌سازی را داشته باشد، این یک ارتقای سطح دسترسی محسوب می‌شود.

برای رفع این آسیب‌پذیری کد رابط آدمین Djangoکه مجوزها را کنترل می‌کند تغییر کرده است. آن دسته از برنامه نویسانی که برنامه‌هایشان تحت تاثیر این تغییر قرار گرفته است بایستی inlineهای استفاده شده در مدل‌های parentرا با فرم‌ها وview هایی که عملکردشان بطور صریح پیاده‌سازی شده است، جایگزین کنند.

جدول زیر اطلاعات مربوط به نسخه‌های آسیب‌پذیر و غیرآسیب‌پذیر python-djangoرا نشان می‌دهد:

Source Package

Release

Version

Status

python-django (PTS)

jessie

1.7.11-1+deb8u3

fixed

jessie (security)

1.7.11-1+deb8u7

fixed

stretch (security), stretch

1:1.10.7-2+deb9u6

fixed

buster, buster (security)

1:1.11.23-1~deb10u1

fixed

bullseye

1:1.11.23-1~deb10u1

vulnerable

sid

2:2.2.8-1

fixed

برای اطلاعات بیشتر در مورد این آسیب‌پذیری به لینک زیر مراجعه نمایید:

https://security-tracker.debian.org/tracker/CVE-2019-19118

16 آذر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

تیمی از محققان امنیتی از #‫آسیب‌پذیری جدیدی در سیستم عامل‌های لینوکس و شبه Unix شامل FreeBSD، OpenBSD، macOS، iOS و اندروید پرده برداشتند که به مهاجمان از راه دور اجازه جاسوسی و مداخله در اتصالات رمزنگاری شده VPN را می‌دهد.

این آسیب‌پذیری به شناسه CVE-2019-14899 در پشته شبکه سیستم عامل‌های متعددی واقع شده است و در در هر دو جریان‌های TCP IPv4 و IPv6 امکان بهره برداری دارد.

از آنجایی که این آسیب‌پذیری وابسته به تکنولوژی VPN استفاده شده نیست؛ مهاجم با پروتکل‌های شبکه‌های خصوصی مجازی مانند OpenVPN، WireGuard، IKEv2/IPSec کار می‌کند.

این آسیب‌پذیری می‌تواند توسط یک مهاجم در شبکه (متصل به یک نقطه دسترسی[1] یا متصل به شبکه‌ی قربانی) تنها با ارسال بسته‌های متعدد به دستگاه قربانی و بررسی پاسخ‌ها (حتی اگر رمزنگاری شده باشند) مورد بهره برداری قرار بگیرد.

به گفته‌ی محققان این آسیب‌پذیری تاثیرات گوناگونی روی سیستم عامل‌های مختلف دارد به عنوان مثال این حمله روی دستگاه‌های macOS/iOS به صورتی که در ادامه توضیح داده شده است کار نمی‌کند؛ با این حال این باگ به مهاجمان اجازه می‌دهد تا:

یافتن آدرس ip مجازی قربانی که توسط سرور VPN به آن اختصاص داده شده است با ارسال بسته‌های SYN-ACK به دستگاه قربانی (زمانیکه SYN-ACK به یک ip مجازی صحیح ارسال شود دستگاه قربانی پاسخ RST می‌دهد در غیر ایم صورت مهاجم پاسخی دریافت نمی‌کند)
دریافتن اینکه آیا اتصال فعالی به یک وبسایت مشخص وجود دارد یا خیر
تعیین کردن تعداد دقیق ack و seq با شمردن بسته‌های رمزنگاری شده و یا بررسی حجم آنها
تزریق داده به اتصالات جریان‌های TCP و ربودن اتصال

در دستگاه‌های macOS/iOS مهاجم باید از یک پورت باز برای یافتن ip مجازی قربانی استفاده کند. در آزمایش این آسیب‌پذیری، محققان، از پورت 5223 که برای iCloud، iMessage، FaceTime، Game Center و Photo Stream استفاده می‌شود، استفاده کردند.

محققان این آسیب‌پذیری را بر روی سیستم عامل‌های زیر با موفقیت آزمایش کردند:

Ubuntu 19.10 (systemd)
Fedora (systemd)
Debian 10.2 (systemd)
Arch 2019.05 (systemd)
Manjaro 18.1.1 (systemd)
Devuan (sysV init)
MX Linux 19 (Mepis+antiX)
Void Linux (runit)
Slackware 14.2 (rc.d)
Deepin (rc.d)
FreeBSD (rc.d)
OpenBSD (rc.d)

به گفته‌ی محققان اکثر توزیع‌های لینوکس که آزمایش شده‌اند آسیب‌پذیرند خصوصا نسخه‌های منتشر شده بعد از 28 نوامبر.

درحالیکه محققان جزییات فنی این آسیب‌پذیری را منتشر نکرده‌اند، تصمیم دارند ک یک تحلیل عمیق در رابطه با این حفره امنیتی و پیاده‌سازی‌های مرتبط با آن ارائه ارائه دهند.


منبع:

https://thehackernews.com/2019/12/linux-vpn-hacking.html


16 آذر 1398 برچسب‌ها: اخبار
آسیب پذیری وصله نشده‌ی Strandhogg در اندروید مورد بهره برداری قرار گرفت

این #‫آسیب‌_پذیری که در برنامک‌های مخرب اندرویدی تعبیه می‌شود برای سرقت اطلاعات بانکی و دیگر اطلاعات شخصی کاربران مورد استفاده قرار گرفته است. آسیب‌پذیری Strandhoggدر قابلیت چندکاره (multitasking) اندروید قرار دارد که می‌تواند توسط برنامک مخربی که در گوشی موبایل نصب است به شکل هر برنامک معتبر دیگری، حتی برنامک‌های سیستمی درآید. به عبارتی زمانیکه کاربر آیکن برنامک معتبر را لمس می‌کند، بدافزاری که آسیب‌پذیری Strandhoggرا اکسپلویت می‌کند می‌تواند این taskرا شنود و به اصطلاح hijackکند و یک رابط کاربری تقلبی به جای برنامک معتبر بارگذاری کند؛ کاربران هم با تصور اینکه برنامک همان برنامک معتبر است اطلاعات حساس و شخصی ( مانند نام کاربری و رمز عبور در صفحات ورود) خود را در برنامک مخرب وارد می‌کنند.

این رابط کاربری تقلبی در نتیجه‌ی سوء استفاده از شروط انتقال حالت taskمانند taskAffinityو allowTaskReparentingرخ می‌دهد.

در بهره‌برداری‌های پیشرفته‌تر می‌توان با دستکاری در Eventهایی مثلCallbackها کاربر حاضر در یک برنامک بانکی که توسط خود آن برنامک به برنامک دیگری هدایت شده بود در هنگام بازگشت و هنگام زدن دکمهBack بجای بازگشت به برنامک بانکی به یک برنامک مخرب که مشابه برنامک بانکی است هدایت کند (UI Phishing ).

اگرچه هیچ راه موثر و قابل اعتمادی برای کشف و مسدودسازی حملات task hijackingوجود ندارد با این حال کاربران می‌توانند با توجه به ناهمخوانی‌هایی از قبیل موارد زیر حمله را تشخیص دهند:

  • برنامکی که نام کاربری و رمز عبور را در آن وارد کردید مجدداً درخواست ورود نام کاربری و رمزعبور می‌کند.
  • درخواست مجوزی روی صفحه ظاهر می‌شود بدون اینکه مشخص کند درخواست از سمت کدام برنامک است.
  • با ضربه زدن روی دکمه ها و رابط کاربری درون برنامک هیچ اتفاقی رخ نمی‌دهد.
  • دکمه بازگشت طوری که انتظار می‌رود عمل نمی‌کند.

https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html

https://t.me/offsecmag

13 آذر 1398 برچسب‌ها: اخبار
آسیب‌پذیری جدید PHP و امکان هک شدن سایت‌های درحال اجرا بر روی سرورهای Nginx!

#‫آسیب_پذیری جدید در وب سایت­های مبتنی بر PHPبر روی سرورهای NGINXکشف شده است.

اگر برای بهبود عملکرد و کارایی اینگونه وب­سایت­ها، قابلیت PHP-FPMرا فعال کرده‌اید، بدانید که در معرض آسیب‌پذیری جدیدی قرار دارید که در آن مهاجمان غیرمجاز می‌توانند از راه دور سرور وب‌سایت شما را هک کنند.

به این آسیب‌پذیری شناسه "CVE-2019-11043" اختصاص داده شده است و وب‌سایت‌هایی با پیکربندی خاصی از PHP-FPM(که ظاهراً غیرمعمول هم نیست) را تحت تأثیر قرار می‌دهد. قابلیت PHP-FPMپیاده‌سازی دیگری از PHP FastCGIاست که پردازش‌هایی پیشرفته و بسیار کارآمد را برای اسکریپت‌های نوشته شده در زبان برنامه‌نویسی PHPارائه می‌دهد.

علت اصلی این آسیب‌پذیری، مشکل حافظه underflow"env_path_info" در ماژول PHP-FPMاست و ترکیب آن با سایر نقص‌ها می‌تواند مهاجمان را قادر سازد تا از راه دور کد دلخواه خود را بر روی وب‌سرورهای آسیب‌پذیر اجرا کنند.

آسیب‌پذیری مذکور، توسط یک محقق امنیتی در Wallarmبه نام Andrew Danauدر زمان برگزاری یکی از مسابقات Capture The Flag(CTF)کشف شد و وی با همکاری دو تن از محققان دیگر به نام‌های Omar Ganievو Emil Lernerتوانستند آن را به صورت یک اکسپلویت اجرای کد از راه دور توسعه دهند.

کدام یک از وب‌سایت‌های مبتنی بر PHPدر برابر مهاجمان آسیب‌پذیرند؟

اگرچه اکسپلویت کد اثبات مفهومی (PoC) آسیب‌پذیری مورد بحث به صورت عمومی متتشر شده است اما به طور خاص برای هدف قرار دادن سرورهای آسیب‌پذیر در حال اجرای نسخه‌های PHP 7+طراحی شده است، با این وجود، نسخه‌های پیشین PHPنیز تحت تأثیر این آسیب‌پذیری قرار دارند.

به طور خلاصه، یک وب‌سایت آسیب‌پذیر خواهد بود اگر:

  • وب‌سرور NGINXبه صورتی پیکربندی شده باشد که درخواست‌های صفحات PHPرا به پردازنده PHP-FPMارسال کند.
  • دستور "fastcgi_split_path_info" در این پیکربندی وجود داشته و شامل یک عبارت معمولی باشد که با نماد '^' شروع می‌شود و با نماد '$' خاتمه می‌یابد.
  • متغیر PATH_INFOبا دستور fastcgi_paramتعریف شده است.
  • دستوری شبیه به "try_files $uri =404"و یا "-f $uri" برای مشخص کردن وجود یا عدم وجود یک فایل، وجد نداشته باشد.

پیکربندی آسیب‌پذیر NGINXو PHP-FPMمی‌تواند به صورت زیر باشد:

در این مثال، از دستور " fastcgi_split_path_info" برای تقسیم URLصفحات PHPوب به دو بخش استفاده می‌شود، بخش اول یک موتور PHP-FPMبرای فهمیدن نام اسکریپت و بخش دوم شامل اطلاعات مسیر آن است.

اکسپلویت اجرای کد از راه دور در PHP FPMچگونه عمل می‌کند؟

به گفته محققان، عبارتی که دستور " fastcgi_split_path_info" را تعریف می‌کند، با استفاده از کاراکتر خط جدید می‌تواند به گونه‌ای دستکاری شود که در نهایت تابع تقسیم کننده URLتمامی اطلاعات مسیر را خالی کند.

در مرحله بعد، از آنجا که یک اشاره‌گر محاسباتی در کد FPMوجود دارد که به اشتباه " env_path_info" را بدون تأیید وجود فایلی بر روی سرور، یک پیشوند مساوی با مسیر اسکریپت phpتلقی می‌کند، این مسئله می‌تواند توسط یک مهاجم برای بازنویسی داده‌ها در حافظه با درخواست URLهای خاص ساخته شده از وب‌سایت‌های مورد هدف اکسپلویت شود.

برای مطالعه کامل کلیک نمایید

12 آذر 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
لزوم بروزرسانی مرورگر گوگل کروم به دنبال آسیب‌پذیری روز صفرم در این مرورگر

به گزارش Hacker News، شرکت گوگل با انتشار نسخه 78.0.3904.87 کروم، به میلیاردها کاربر خود هشدار داد که برای وصله دو آسیب‌پذیری با شدت بالا، مرورگر خود را بروزرسانی کنند. در یکی از این آسیب‌پذیری‌ها مهاجمان می‌توانند کامپیوترها را در سراسر جهان اکسپلویت نمایند.

تیم امنیتی کروم بدون انتشار جزئیات فنی این آسیب‌پذیری‌ها، تنها بیان می‌کند که آنها از نوع use-after-freeمی‌باشند و یکی از این آسیب‌پذیری‌ها با شناسه " CVE-2019-13720" بخش‌های مربوط به صدا در این مرورگر و آسیب‌پذیری دیگر با شناسه " CVE-2019-13721" کتابخانه PDFiumرا تحت تأثیر خود قرار خواهد داد.

آسیب‌پذیری use-after-freeنوعی تخریب حافظه است که با تخریب یا تغییر داده‌های موجود در حافظه، یک کاربر غیرمجاز را قادر می‎سازد تا سطح دسترسی و امتیازات خود را در سیستم یا نرم‌افزار آسیب‌دیده افزایش دهد.

بنابراین، به واسطه هردو آسیب‌پذیری مذکور، مهاجمان می‌توانند از راه دور با ترغیب کاربران مورد هدف برای بازدید از یک وب‌سایت مخرب، امتیازاتی را بر روی مرورگر کروم بدست آورند، از محافظت‌های sandboxبگریزند و نیز کد مخرب خود را بر روی سیستم‌های مورد هدف اجرا نمایند.

از اینرو لازم است کاربرانی که از مرورگر کروم در کامپیوترهای ویندوز، مک و لینوکس استفاده می‌کنند سریعاً مرورگر خود را به آخرین نسخه آن بروزرسانی نمایند.

حملات فعال در آسیب‌پذیری روز صفرم گوگل کروم

آسیب‌پذیری روز صفرم در مرورگر کروم توسط محققان کسپرسکی به نام‌های Anton Ivanovو Alexey Kulaevکشف و گزارش شده است، آسیب‌پذیری مربوط به مؤلفه‌های صوتی در برنامه کروم در سراسر جهان مورد اکسپلویت قرار گرفته است، البته در حال حاضر هویت مهاجمان مشخص نیست.

تیم امنیتی گوگل کروم بیان کرد که این شرکت از گزارش‌های منتشر شده مبنی بر اکسپلویت آسیب‌پذیری " CVE-2019-13720" آگاه است.

use-after-freeیکی از رایج‌ترین آسیب‌پذیری‌هایی است که در چند ماه گذشته در مرورگر کروم کشف و وصله شده است.. حدود یک ماه پیش، شرکت گوگل بروزرسانی امنیتی فوری را برای این مرورگر منتشر کرد تا در مجموع 4 آسیب‌پذیری use-after-freeرا در مؤلفه‌های مختلف آن رفع نماید. در شدیدترین آن آسیب‌پذیری‌ها، یک مهاجم از راه دور می‌تواند کنترل کامل سیستم آسیب‌دیده را بدست گیرد.

چند ماه پیش نیز، گوگل پس از اطلاع از اکسپلویت آسیب‌پذیری روز صفرم شبیه به use-after-freeدر کروم که FileReaderاین مرورگر را تحت تأثیر قرار می‌داد بروزرسانی امنیتی دیگری را منتشر کرد.

جزئیات فنی اکسپلویت روز صفرم کروم

یک روز پس از انتشار بروزرسانی گوگل برای رفع دو آسیب‌پذیری با شدت بالا در کروم، شرکت امنیت سایبری کسپرسکی جزئیات فنی بیشتری را در مورد این آسیب‌پذیری‌ها به این شرکت گزارش داد.

به گفته محققان، مهاجمان یک سایت خبری به زبان کره‌ای را مورد حمله قرار دادند. آنها کد اکسپلویتی را بر روی این سایت قرار داده و به واسطه آن، کامپیوترهای بازدید کننده از این سایت که از نسخه‌های آسیب‌پذیر کروم استفاده می‌کنند را مورد حمله خود قرار می‌دادند.

گفته می‌شود که این اکسپلویت پس از اکسپلویت آسیب‌پذیری CVE-2019-13720کروم، در مرحله اول یک بدافزار را بر روی سیستم‌های مورد هدف نصب می‌کند و پس از آن به یک سرور کنترل و فرمان (command-and-control) کدگذاری شده و راه دور برای بارگیری payloadنهایی متصل می‌شود.

محققان Operation WizardOpiumعنوان کردند که این حمله سایبری هنوز به گروه خاصی از هکرها نسبت داده نشده است. با این حال، محققان شباهت‌هایی را در کد این اکسپلویت و گروه هکر Lazarusمشاهده کردند.

برای کسب اطلاعات بیشتر در مورد عملکرد اکسپلویت آسیب‌پذیری تازه وصله شده‌ی کروم، می‌توانید به گزارش جدیدیکه توسط کسپرسکی منتشر شده است مراجعه نمایید.

وصله جدید در دسترس است، سریعاً گوگل کروم را بروزسانی کنید!

برای وصله دو آسیب‌پذیری امنیتی مذکور، شرکت گوگل انتشار نسخه 78.0.3904.87 مرورگر کروم را برای سیستم‌عامل‌های ویندوز، مک و لینوکس را آغاز کرده است.

  1. توصیه امنیتی

اگرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد، اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند بروزرسانی را به صورت دستی شروع کنید.

علاوه بر این، به کاربران این مرورگر توصیه می‌شود در سریع‌ترین زمان ممکن تمام نرم‌افزارهای سیستم خود را به عنوان یک کاربر غیرمجاز اجرا کنند.

منبع خبر:

https://thehackernews.com/2019/11/chrome-zero-day-update.html

12 آذر 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
اجرای کد دلخواه و افزایش سطح دسترسی در ویندوز توسط مهاجمان به دنبال آسیب‌پذیری امنیتی در آنتی‌ویروس McAfee

#‫آسیب پذیری امنیتی کشف شده در آنتی ویروس McAfeeبا شناسه اختصاص داده شده "CVE-2019-3648" می‌باشد و در تاریخ 5 آگوست 2019 به شرکت McAfeeگزارش داده شده است. این آسیب‌پذیری توسط آزمایشگاه‌های SafeBreachدر تمام نسخه‌های McAfeeکشف شد. برای اکسپلویت این آسیب‌پذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید.

مهاجم می‌تواند از آسیب‌پذیری مذکور برای دور زدن مکانیسم‌های حفاظتی McAfeeو دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان "NT AUTHORITY\SYSTEM"اجرا می‌شوند، استفاده کند.

از طریق این آنتی‌ویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITY\SYSTEM” که دارای مجوز SYSTEMاست، اجرا می‌شوند.

به گفته محققان، آنتی‌ویروس McAfeeبه عنوان "NT AUTHORITY\SYSTEM" در تلاش است تا فایل wbemcomn.dll را از مسیر (c:\Windows\System32\wbem\wbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32مربوط است و نه به پوشه ystem32\Wbem.

این مسئله محققان را قادر می‌سازد تا یک DLLدلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسم‌های امنیتی این آنتی‌ویروس را دور بزنند. دلیل این امر نیز این است که پوشه‌های این آنتی‌ویروس توسط یک درایور سیستم‌فایل mini-filterمحافظت می‌شوند که حتی توسط یک مدیر، عملیات نوشتن را محدود می‌کند.

این آسیب‌پذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfeeمی‌دهد.

شرکت McAfeeاین آسیب‌پذیری را در تمام نسخه‌های آنتی‌ویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22را جهت رفع این آسیب‌پذیری نصب کنند. در این آسیب‌پذیری و در نسخه کلاینت ویندوز آنتی‌ویروس McAfee، مهاجمان می‌توانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEMدسترسی پیدا کنند.

حساب کاربری SYSTEMیک حساب کاربری داخلی است که توسط سیستم‌عامل ویندوز برای مدیریت سرویس‌هایی که تحت ویندوز اجرا می‌شوند، استفاده می‌شود.

این آسیب‌پذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plusو McAfee Internet Securityنسخه 16.0.R22و قبل از آن را تحت تأثیر قرار می‌دهد.

منبع خبر:

https://gbhackers.com/vulnerability-mcafee-antivirus/

12 آذر 1398 برچسب‌ها: اخبار
گزارش آسیب پذیری درسیستم مدیریت محتوا Wordpress

#‫آسیب_پذیری جدید کشف شده در سیستم مدیریت محتوای Wordpressاز نوع information disclosure به شماره CWE-200می­باشد که در تاریخ 17-11-2019 شناسایی شده است. این آسیب پذیری به نفوذگر امکان دسترسی به نام و نام کاربری عضو وب سایت را میسر می­سازد.

کلیه نسخ پایین تر از Wordpress 5.3دارای این آسیب ­پذیری هستند. و تاکنون اطلاعاتی درمورد شماره CVEاین آسیب پذیری منتشر نشده است.

در صورت بهره ­برداری از آسیب­ پذیری مذکور، نفوذگر قادر است اطلاعات بیشتری درمورد وب­سایت هدف بدست آورد که می تواند در حملات دیگر مانند Bruteforce نیز تاثیرگذار باشد.

روش پیش­گیری از نشت این اطلاعات، بروزرسانی نسخهWordpress به نسخه های بالاتر از 5.3 می­باشد.

منبع :

https://www.exploit-db.com/exploits/47720

11 آذر 1398 برچسب‌ها: اخبار
10 بدافزار مخرب در ماه اکتبر 2019

بدافزارهای مخرب شناسایی شده در ماه اکتبر 2019، با ماه قبل همخوانی زیادی دارد و بار دیگر Emotet به ترکیب اضافه می‌شود. 10 بدافزار مخرب 72% کل فعالیت­های مخرب را در ماه اکتبر را شامل می­شوند که نشان می­دهد این 10 مورد، سرعت آلودگی به بدافزارها را افزایش می‌دهند. آلودگی­های Emotetو متعاقب آن TrickBotبیشترین فعالیت را در ماه انجام داده و %40 از کل اعلان‌های بدافزار را تشکیل می‌دهند.

در اکتبر 2019، بدافزارهای دسته چندگانه که ترکیبی از بدافزارها هستند، بیشترین هشدارها را در لیست 10 بدافزار برتر به خود اختصاص دادند. افزایش شدید در دسته‌های چندگانه و malspamبه کمپین‌های توزیع مجدد Emotetنسبت داده می شود زیرا Emotet ، TrickBotرا بر روی سیستم‌های آلوده اعمال می­کند. همچنین آلودگی­های ZeuSو TrickBotافزایش فعالیت در دسته‌های چندگانه در پنج ماه گذشته را نشان می‌دهد. Emotet ، Dridex ، Kovter ، Ursnifو NanoCoreباعث افزایش آلودگی­های مربوط به دسته malspamدر ماه اکتبر می‌شوند. احتمال زیادی وجود دارد که با شروع فعالیت‌های توزیع Emotet ، malspamهمچنان ادامه یابد.

خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:

Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0stدر این خانواده قرار دارند.

Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMinerو Trickbotحداقل در دو خانواده بدافزاری فعالیت دارند.

Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Cerberو Kovterدر این خانواده قرار دارند.

Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMBیا PowerShellاز راه دور، بهره‌برداری می‌کنند. بدافزارهای WannaCryو Brambulدر این خانواده قرار دارند.

Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.

لیست ده بدافزار مخرب این ماه به صورت زیر است:

Trickbot: یک تروجان بانکی ماژولار است که توسط تروجان Emotetو از طریق کمپین‌های malspamگسترش پیدا کرد. این تروجان بانکی پس از نصب شدن، تروجان بانکی IcedIDرا دانلود می‌کند. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://howtoremove.guide/trickbot-malware-removal/

https://blog.malwarebytes.com/detections/trojan-trickbot/

Emotet: یک infostealerماژولار است که تروجان‌های بانکی را بارگیری یا رها می‌کند. می‌توان آن را از طریق لینک‌های بارگیری مشکوک یا پیوست‌ها، مانند PDFیا اسناد Wordبه‌صورت گسترده تکثیر شوند. Emotetهمچنین ماژول‌های پراکندگی را به منظور پخش در سراسر شبکه در اختیار دارد. در دسامبر سال 2018، Emotetبا استفاده از یک ماژول جدید که از محتوای ایمیل خارج می‌شود، مشاهده شد.

https://www.cisecurity.org/blog/top-10-malware-october-2019/

ZeuS: یک تروجان بانکی است که همه نسخه‌های ویندوز را تحت‌تاثیر قرار می‌دهد. این تروجان با اجرای keystroke logging و form grabbingمی‌تواند اطلاعات حساس بانکی را سرقت کند و بعد از قرار گرفتن بر روی سیستم قربانی، باج‌افزار CryptoLockerرا هم بر روی آن قرار می‌دهد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://malwaretips.com/blogs/zeus-trojan-virus/

https://www.2-spyware.com/remove-zeus-trojan.html

Dridex: این بدافزار ویندوزی که همچنین با عنوان‌های Bugatو Cridexشناخته می‌شود، یک تروجان بانکی است که با ماکروهای Microsoft Word & Excelو از طریق پیوست‌ ایمیل‌ها گسترش می‌یابد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://blog.malwarebytes.com/detections/trojan-dridex/

https://howtoremove.guide/dridex-virus-malware-removal-trojan/

Kovter:یک بدافزار کلاهبرداری بدون فایل و دانلودگر است که با مخفی شدن در کلیدهای رجیستری، از شناسایی شدن جلوگیری می‌کند. این بدافزار قابلیت سرقت اطلاعات شخصی، دانلود بدافزارهای دیگر و دادن دسترسی‌های غیر مجاز به مهاجمان را هم دارد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.bleepingcomputer.com/virus-removal/remove-kovter-trojan

https://blog.malwarebytes.com/detections/trojan-kovter/

https://howtoremove.guide/trojan-kovter/

Cryptowall: باج‌افزاری است که معمولاً از طریق malspamبا پیوست‌های مخرب ZIP، آسیب‌پذیری‌های Javaو تبلیغات مخرب توزیع و تکثیر می‌شود. پس از آلودگی سیستم، CryptoWallفایل‌ها، منابع شبکه و درایوهای قابل جابجایی سیستم را اسکن می‌کند. همچنین بر روی سیستم‌های 32 بیتی و 64 بیتی قابل اجرا است. برای توضیحات بیشتر به لینک زیر مراجعه کنید:

https://www.cisecurity.org/blog/top-10-malware-october-2019/

https://www.knowbe4.com/cryptowall

Gh0st: یک تروجان دسترسی از راه دور می‌باشد که توسط سایر بدافزارها و برای ایجاد یک در پشتی در میزبان آلوده گسترش می‌یابد و توانایی بدست گرفتن کنترل کامل دستگاه آلوده را دارا می‌باشد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.virusresearch.org/gh0st-rat-removal/

https://howtoremove.guide/gh0st-rat/

NanoCore: یک تروجان دسترسی از راه دور می‌باشد که از طریق اسپم‌ها و فایل‌های پیوست اکسل گسترش می‌یابد. این بدافزار دارای دستوراتی برای دانلود و اجرای سایر فایل‌ها، مشاهده وب‌سایت‌ها و ایجاد کلیدهایی در رجیستری برای دوام و پایداری بیشتر است. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.pcrisk.com/removal-guides/14031-nanocore-rat-virus

https://howtoremove.guide/nanocore-rat

Cerber: این باج‌افزار قادر به رمزگذاری پرونده‌ها در حالت آفلاین است و به دلیل تغییر نام کامل فایل‌ها و افزودن پسوند تصادفی به آن‌ها شناخته شده است. در حال حاضر شش نسخه از Cerberوجود دارد که هر کدام بطور خاص تکامل یافته و از شناسایی شدن توسط الگوریتم‌های یادگیری ماشین فرار می‌کنند. در حال حاضر، ابزار رمزگشایی فقط برای نسخه اول این باج‌افزار در دسترس می‌باشد:

https://howtoremove.guide/cerber-ransomware-virus-removal/

https://www.2-spyware.com/remove-cerber-virus.html

: Tinbaبا نام مستعار(Tiny Banker) یک تروجان بانکی است که به دلیل حجم پرونده‌های کوچک مشهور است. Tinbaاز تزریق وب برای جمع‌آوری اطلاعات قربانیان از صفحات ورود به سیستم و فرم‌های وب استفاده می کند و در درجه اول از طریق کیت‌های اکسپلویت تکثیر می‌شود. این تروجان آخرین بار در لیست 10 بدافزار مخرب در ژوئن 2019 حضور داشت. برای کسب اطلاعات بیشتر می‌توانید به لینک‌ زیر مراجعه کنید:

https://www.lifewire.com/what-is-tiny-banker-trojan-aka-tinba-4769557

منبع خبر:

https://www.cisecurity.org/blog/top-10-malware-july-2019/

9 آذر 1398 برچسب‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»