فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
ایجاد‌کننده اطلاع‌رسانی‌ها

حملات باج‌افزاری از آسیب‌زننده‌ترین حملات سایبری سال‌های اخیر هستند که لطمات جدی به کسب و کارها و سازمان‌های مختلف در داخل و خارج کشور زده‌اند. شدت تاثیر این حملات به حدی است که در شماری از کشورها، استراتژی‌های مشخصی برای پیگیری و پاسخگویی به این حملات و مهاجمین پشت پرده تدوین و ابلاغ شده است. رعایت شماری از اقدامات پیشگیرانه می‌تواند مانع از دست رفتن اطلاعات و یا محدودسازی اطلاعات از دست رفته شود. این نکات عبارتند از:

  • تهیه و نگهداری کپی‌های پشتیبان از اطلاعات بصورت آفلاین. لازم به توجه است این نسخه پشتیبان لزوما باید بصورت کاملا آفلاین بوده و بطور فیزیکی از شبکه و سیستم‌ها جدا باشد. وجود هرگونه ارتباط آنلاین نظیر NAS متصل به شبکه، هارد اکسترنال متصل به پورت USB یا پارتیشن NAS متصل به سرورها می‌تواند در هنگام وقوع حمله منجر به از بین رفتن کپی پشتیبان به همراه داده‌های اصلی گردد.
  • بررسی و صحت‌سنجی مداوم نسخه‌های پشتیبان آفلاین
  • جداسازی (Segmentation) شبکه به زیرشبکه‌های کوچک و با دسترسی محدود و کنترل شده
  • اعمال سیاست‌های سخت‌گیرانه در دسترسی‌های لبه‌ی شبکه به ویژه مسدودسازی دسترسی‌های مدیریتی راه دور نظیر RDP/SSH/Telnet و کنسول‌های مدیریتی تحت وب تجهیزات مختلف
  • مسدودسازی پیوست‌های خطرناک در سرویس‌ دهنده‌های ایمیل سازمان
  • عدم استفاده از نرم‌افزارهای نامطمئن به‌ویژه برنامه‌های کرک شده و نامعتبر
  • نصب و بروزرسانی آنتی ویروس در سطح همه‌ی سیستم‌های متصل به شبکه
  • رصد و پایش سرور اکتیودایرکتوری به عنوان مهم‌ترین سیستم در سطح شبکه
  • بروزرسانی پیوسته‌ی نرم‌افزارها و سیستم‌های عامل‌ها
  • از دستکاری سیستم آلوده تا حد امکان خودداری شود. اگر از داده‌ی پشتیبان وجود دارد بهتر است تا زمانیکه بدافزار پاکسازی نشده از بازیابی خودداری شود. چرا که وجود بدافزار ممکن است منجر به آلودگی مجدد شده و پشتیبانها نیز از دست بروند.
  • حین حادثه رایانه‌های آلوده سریعا خاموش شده و از راه‌اندازی مجدد آن از طریق سیستم عامل خود دستگاه خودداری شود.
  • حین حادثه تمامی هارد‌ها و رسانه‌های ذخیره‌سازی به صورت فیزیکی از مدار خارج شوند.
دیروز، 18:27 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب‌پذیری با شناسه CVE-2021-44515 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان احراز هویت به سرویس دهنده را از را دور بزند و به صورت مستقیم کد دلخواه خود را بر روی سرور Desktop Central MSP اجرا نماید. متخصصان امنیت هشدار داده اند که با پیوستن این آسیب پذیری به زنجیره دو آسیب پذیری دیگر که اخیرا انتشار یافته یعنی CVE-2021-44077, CVE-2021-40539 می تواند باعث شود که مهاجمان، زیر ساخت های شبکه یک سازمان را به خطر بی اندازند.
تمامی نسخه های قبل از 12002 مستعد این آسیب پذیری است.
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا نسخه مورد استفاده خود را به آخرین نسخه به روز نمایند.
مدیران و مسئولان مربوطه می توانند با استفاده از فایل RCEScan.bat قرار داده شده در لینک زیر از صحت آلوده بودن یا آلوده نبودن سیستم خود اطمینان حاصل نمایند.

https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip

نحوه اجرای این تکه برنامه به شکل زیر می باشد.
ابتدا فایل را در یکی از مسیر های زیر کپی کرده و مطابق شکل از طریق Command Prompt آن را اجرا می نمایم :

\ManageEngine\UEMS_CentralServer\bin folder

or

ManageEngine\DesktopCentral_Server\bin folder

دیروز، 14:21 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌گردد اقدامات زیر صورت پذیرد:

  • عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت. تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نگردد. یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی 24*7، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.
  • دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ی NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده. لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.
  • بررسی و غیرفعال‌سازی قابلیت Directory Listing غیر ضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها.
  • دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگزاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و ... .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج گردند.
  • سرویس دهنده‌ها‌ی رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی سال‌های اخیر مورد سواستفاده جدی قرار گرفته‌‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل گردد.
  • از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLo، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و ... اطمینان حاصل نمایید. این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP مبدا مجاز محدود گردند.
  • از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها بر روی سرور وب خودداری نمایید.
  • جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ی سرویس‌های فعال بر روی بلوک‌های IP سازمان خود به صورت مداوم اقدام نموده و سرویس‌های مشاهده شده‌ی غیرضروری را از دسترسی خارج نمایید.

لازم به ذکر است این موارد به هیچ عنوان جایگزین فرایندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده شده می‌باشند.

13 آذر 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب پذیری در Zoho ManageEngine ServiceDesk Plus  

#‫آسیب‌پذیری با شناسه CVE-2021-44077 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان اجرای کد دلخواه را می‌دهد. آسیب پذیری مذکور از عملکرد ناسالم و ناشناخته فایل /RestAPI نشات گرفته که سه اصل محرمانگی، یکپارچگی و دسترس‌پذیری را تحت تاثیر خود قرار می‌دهد.

نسخه های آسیب پذیر
تمامی نسخه‌های قبل از 11306 مستعد این آسیب‌پذیری هستند.
راه حل
به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نسخه مورد استفاده خود را به آخرین نسخه به‌روز نمایند.
منبع

آسیب‌پذیری روزصفر در Windows 10

تعدادی وصله‌ی امنیتی غیررسمی به منظور محافظت از کاربران ویندوزی در برابر #‫آسیب‌پذیری روزصفر ارتقاء سطح دسترسی محلی (Local Privilege Escalation)‬ که به آن LPE نیز گفته می‌شود منتشر شده است. این آسیب‌پذیری در سرویس Mobile Device Management وجود دارد و سیستم‌های دارای سیستم‌عامل Windows 10 نسخه 1809 و بالاتر را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری امنیتی با شناسه CVE-2021-24084، زیرمجموعه تنظیمات "Access work or school" است و وصله‌ی امنیتی منتشر شده توسط مایکروسافت در ماه فوریه را که برای رفع این نقصِ افشای اطلاعات بود، دور می‌زند. یک محقق امنیتی به نام Abdelhamid Naceri (که آسیب‌پذیری اولیه را گزارش کرده بود)، در این ماه کشف کرد که این نقصِ ناقص‌وصله‌شده، می‌تواند برای به دست آوردن سطح دسترسی ادمین، پس از افشای عمومی این باگ مورد سوءاستفاده قرار گیرد.
Mitja Kolsek، یکی از بنیانگذاران 0patch توضیح داد:"آنچه از HiveNightmare/SeriousSAM به دست می‌آید این است که اگر بدانید کدام فایل‌ها را باید بردارید و با آن‌ها چکار کنید، آن‌گاه می‌توان یک افشای فایل دلخواه را به افزایش سطح دسترسی محلی ارتقاء داد." در حالی که مایکروسافت به احتمال زیاد متوجه افشای Naceri در ماه ژوئن شده است، این شرکت هنوز باگ LPE را اصلاح نکرده و سیستم‌های ویندوز 10 با آخرین به‌روزرسانی‌های امنیتی نوامبر 2021 را در معرض حملات قرار می‌دهد.
خوشبختانه مهاجمان تنها در صورتی می‌توانند از این نقص بهره‌برداری کنند که دو شرط زیر برآورده شود:

  • System protection باید در درایو C فعال باشد و حداقل یک نقطه بازیابی ایجاد شود، اینکه System protection به طور پیش‌فرض فعال است یا خیر، به پارامترهای مختلفی بستگی دارد.
  • حداقل یک حساب کاربری administrator محلی باید در سیستم فعال باشد، یا حداقل اطلاعات یک حساب کاربری عضو گروه "Administrator" باید در حافظه نهان ذخیره شده باشد.

تا زمانی که مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع این نقص منتشر کند (احتمالاً در Patch Tuesday ماه آینده)، سرویس 0patch micropatch، وصله‌های رایگان و غیررسمی را برای همه نسخه‌های Windows 10 آسیب‌پذیر منتشر کرده است (Windows 10 21H2 نیز تحت تأثیر قرار گرفته است اما هنوز توسط 0patch پشتیبانی نمی‌شود). نسخه‌های تحت تأثیر این آسیب‌پذیری عبارتند از:

  • Windows 10 v21H1 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v20H2 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v2004 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1909 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1903 (32 & 64 bit) updated with November 2021 Updates
  • Windows 10 v1809 (32 & 64 bit) updated with May 2021 Updates

Kolsek افزود: "ویندوز سرورها تحت تأثیر این آسیب‌پذیری قرار ندارند، چرا که عملکرد آسیب‌پذیر در آن‌ها وجود ندارد. این در حالی است که برخی از ابزارهای similar diagnostics بر روی سرورها وجود دارند، اما از آنجا که تحت هویت کاربر اجرا می‌شوند نمی‌توانند مورد بهره‌برداری قرار بگیرند." همچنین Windows 10 v1803 و نسخه‌های قدیمی‌تر ویندوز به نظر نمی‌رسد که تحت تأثیر قرار گرفته باشند و در حالی که عملکرد 'Access work or school' را دارند، چون رفتار متفاوتی نشان می‌دهند، بنابراین نمی‌توانند مورد بهره‌برداری قرار گیرند. Windows 7 نیز اصلاً 'Access work or school' را ندارد. 0patch تا زمانی که مایکروسافت یک وصله‌ رسمی برای این نقص منتشر کند، میکروپچ‌های رایگان برای این آسیب‌پذیری ارائه می‌دهد. کاربرانی که می‌خواهند میکروپچ‌ها را نصب کنند، می‌توانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند. این شرکت اشاره کرد که نیازی به راه‌اندازی مجدد کامپیوتر نخواهد بود.

https://www.bleepingcomputer.com/news/security/new-windows-10-zero-day-gives-admin-rights-gets-unofficial-patch/

https://securityaffairs.co/wordpress/125061/security/unofficial-patches-cve-2021-24084-zeroday.html?utm_source=rss&utm_medium=rss&utm_campaign=unofficial-patches-cve-2021-24084-zeroday

آسیب پذیری در QNAP به شناسه CVE-2021-38685 & CVE-2021-38686

آسیب‌پذیری در QNAP با شناسه CVE-2021-38685 و شدت خطر CVSS 9.8 به مهاجم راه دور امکان اجرای فرمان بر روی دستگاه‌های آسیب‌پذیر را می‌دهد. علاوه بر این آسیب پذیری دیگر CVE-2021-38686 با شدت خطر 8.8 شناسایی شده است که از ضعف در مکانیزم احراز هویت سرویس‌دهنده نشأت می‌گیرد.
نسخه های آسیب پذیر
تمامی نسخه‌های قبل از نسخه QVR 5.1.6 و build 20211109 آسیب‌پذیر می باشند.

راه حل
به مدیران و مسئولان مرتبط اکیدا توصیه می‌شود تا در اسراع وقت نسخه نرم‌افزار خود را به آخرین نسخه به روز نمایند.

منبع

https://california18.com/qnap-two-closed-security-holes-in-qnap-vs-series-nvr/1736012021

حمله هکرها به سرورهای Exchange با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon برای انتشار بدافزار

هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار داده‌اند. هکرها با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا لینک‌های حاوی پیام‌های مخرب، زنجیره آلوده‌سازی را وسیع‌تر می‌کنند. عوامل تهدید از تعدادی تکنیک که جهت گمراه‌سازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده می‌کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر می‌رسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کرده‌اند که برای توزیع ایمیل‌های مخرب بین کاربران داخلی یک شرکت استفاده می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل‌های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند:

Microsoft Office Files (.doc, .xls, .ppt)

Rich Text Format (.rtf)
Portable Document Format (.pdf)
Single File Web Page (.mht)
Compiled HTML (.chm)
Compiled Help File (.chm or .hlp)
Shell Executable files (.exe, .com, or .bat)

در این حملات آسیب پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از:

CVE-2021-34473: The pre-auth path confusion

CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
CVE-2021-26855: The pre-authentication proxy vulnerability

توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.
منابع

ایجاد‌کننده اطلاع‌رسانی‌ها

گزارشی از 300 مورد خدمت ارائه شده توسط مرکز ماهر در آبان ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

ایجاد‌کننده اطلاع‌رسانی‌ها
  • وصله آسیب‌پذیری با شدت بالا 8.8 و شناسه CVE-2021-34991 در تجهیزات SOHO شرکت تجهیزات شبکه Netgear. این آسیب‌پذیری به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
  • وصله چندی آسیب‌پذیری (6 آسیبپذیری روزصفرم، 6 آسیب‌پذیری بحرانی و 49 آسیب‌پذیری مهم) در محصولات مایکروسافت در ماه نوامبر 2021. مهمترین آن‌ها آسیب‌پذیری اجرای کد از راه دور در سرورهای Microsoft با شناسه CVE-2021-42321 و آسیب‌پذیری دور زدن سازوکارهای امنیتی در Microsoft Excel با شناسه CVE-2021-42292
  • وصله ‫آسیب‌پذیری در GitLab Community Edition (CE) و Enterprise Edition (EE) شرکتGitLab با شناسهCVE-2021-22205 (شدت خطر10 ) که به مهاجم راه دور امکان اجرای کد دلخواه را می‌دهد
  • وصله آسیب‌پذیری‌ها در محصولاتCisco Adaptive Security Appliance (ASA)، Cisco Firepower Threat Defense (FTD) و (Cisco Firepower Management Center (FMC از شرکت سیسکو که بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به حملات منع سرویس و حملات Authenticated Directory Traversal در دستگاه‌های آسیب‌پذیر خواهد شد.


1 آذر 1400 برچسب‌ها: اخبار, مهم‌ترین اخبار ماهانه
هشدار: آسیب‌پذیری موجود در تجهیزات Netgear

شرکت تجهیزات شبکه Netgear در به‌روزرسانی اخیر یک #‫آسیب‌پذیری شدت بالا را در تجهیزات SOHO خود وصله نمود. این آسیب‌پذیری در برخی تجهیزات Netgear با شدت 8.8 و شناسه CVE-2021-34991 وجود دارد که به مهاجم حاضر در شبکه مجاور (LAN) امکان اجرای کد با دسترسی روت را بر روی تجهیزات آسیب‌پذیر فراهم می‌کند.
تجهیزات آسیب‌پذیر در زیر آورده شده است:

به کاربران توصیه می‌شود در اسرع وقت نسبت به نصب جدیدترین نسخه ثابت‌افزار (Firmware) تجهیز خود اقدام نمایند. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است.
جهت مشاهده نسخه ثابت‌افزاری که آسیب‌پذیری در آنها برطرف شده است به پیوند زیر مراجعه نمایید:

29 آبان 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
صفحات: 1 2 3 4 5 ... » »»