فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
ایجاد‌کننده اطلاع‌رسانی‌ها

پیرو اطلاع رسانی قبلی، هشدار در خصوص پایگاه‌های داده حفاظت نشده در معرض اینترنت به سرویس دهنده‌ها ارسال شده است. در حال حاضر تعداد سرویس دهنده‌های فعال با کمی کاهش به 31 مورد رسیده است. موارد باقی مانده پس از یک تامل 24 ساعته جهت پیگیری در اختیار مقامات قضایی قرار خواهد گرفت

دیروز، 17:09 برچسب‌ها: اخبار
سوءاستفاده‌ی متعدد از آسیب‌پذیری‌های روز صفرم در افزونه‌های وردپرس

#‫وردپرس امروزه پرکاربردترین فناوری ساخت وب‌سایت در اینترنت است. طبق جدیدترین آمار، بیش از 35٪ از کل وب‌سایت‌های اینترنتی، با نسخه‌های WordPress CMS (سیستم مدیریت محتوا) کار می‌کنند.
وردپرس به دلیل تعداد بسیار زیاد نصب فعال، می‌تواند هدف مناسبی برای حملات گسترده باشد. طی چند ماه گذشته، تلاش برای هک‌کردن سایت‌های وردپرس در مقایسه با سال گذشته، در سطح پایین‌تری قرار داشته است. دلیل این آرامش می‌تواند تعطیلات زمستانی باشد که اغلب منجر به کندشدن جهانی بدافزارها و فعالیت‌های هک می‌شود، زیرا هکرها نیز در این زمان در حال استراحت هستند.
اما در طول دو هفته‌ی گذشته، مجدداً حمله به سایت‌های وردپرس آغاز شده است. چندین شرکت امنیت سایبری متخصص در محصولات امنیتی وردپرس مانند Wordfence ، WebARX و NinTechNet، از تعداد حملات روزافزون به سایت‌های وردپرس گزارش داده‌اند.
تمام حملات جدید ماه گذشته، به جای سوءاستفاده از خود وردپرس، بیشتر بر سوءاستفاده از اشکالات در افزونه‌های وردپرس متمرکز شده‌اند.
در بسیاری از حملاتی که اخیراً اشکالات افزونه را ضبط کردند، هکرها در تلاش بودند که سایت‌ها را قبل از اینکه مدیر سایت فرصتی برای اعمال وصله‌های امنیتی پیدا کند، به سرقت ببرند. برخی از مهاجمان نیز اشکالات روز صفرم را کشف و شروع به کار کردند.
در زیر خلاصه‌ای از کلیه‌ی پویش‌های هک وردپرس که در ماه فوریه‌ی سال جاری اتفاق افتاده‌ و نقص افزونه‌های جدید وردپرس را هدف قرار داده‌اند، ارایه شده است:
• Duplicator
طبق یک گزارش Wordfence، از اواسط ماه فوریه، هکرها از یک اشکال در Duplicator سوءاستفاده کرده‌اند. این افزونه به مدیران سایت اجازه می‌دهد تا محتوای سایت‌های خود را صادر کنند.
این اشکال که در نسخه‌ی 1.3.28 برطرف شده است، به مهاجمان اجازه می‌دهد تا یک نسخه از سایت را صادر کنند. این کار به آن‌ها اجازه می‌دهد تا اطلاعات پایگاه‌داده را استخراج کنند و سپس سرور زیرین MySQL یک سایت وردپرس را به‌سرقت ببرند.
• افزونه‌ی Profile Builder
یک نقص بزرگ در نسخه‌های رایگان و حرفه‌ای افزونه‌ی Profile Builder وجود دارد. این اشکال می‌تواند به هکرها اجازه دهد تا حساب‌های مدیریت غیرمجاز را در سایت‌های وردپرس ثبت کنند.
بیش از 65000 سایت (50،000 سایت با استفاده از نسخه‌ی رایگان و 15،000 سایت با استفاده از نسخه‌ی تجاری) در برابر این حملات آسیب‌پذیر هستند، مگر اینکه این افزونه را به آخرین نسخه به‌روزرسانی کنند.
• Themegrill Demo Importer
هکرهایی که از افزونه‌ی Profile Builder سوءاستفاده می‌کنند، می‌توانند یک اشکال را در ThemeGrill Demo Importer وارد کنند.
این افزونه در بیش از 200،000 سایت نصب شده است و این اشکال به هکرها امکان می‌دهد تا سایت‌هایی را که دارای نسخه‌ی آسیب‌پذیر هستند، پاک کنند و سپس در صورت رعایت برخی شرایط، حساب «مدیر» را به‌دست آورید.
به مدیران توصیه می‌شود این افزونه را به نسخه‌ی 1.6.3 به‌روزرسانی کنند.
• افزونه‌های Themerex
هکرها از یک آسیب‌پذیری روز صفرم در این افزونه برای ایجاد حساب‌های کاربری مدیر در سایت‌های آسیب پذیر سوءاستفاده کردند.
با وجود حملات مداوم، وصله‌ای برای این آسیب‌پذیری در دسترس قرار نگرفت. به مدیران توصیه می‌شود که هرچه سریع‌تر این افزونه را از سایت‌های خود حذف کنند.
• Flexible Checkout Fields for WooCommerce
هکرها برای تزریق بارهای XSS که می‌توانند در داشبورد یک مدیر واردشده به سیستم ایجاد شوند، از یک آسیب‌پذیری روز صفرم که در حال حاضر برطرف شده است، استفاده کردند. بارهای XSS به هکرها این امکان را می‌دهند که حساب‌های مدیریتی را در سایت‌های آسیب‌پذیر ایجاد کنند.
به مدیران وب‌سایت توصیه می‌شود، همه‌ی افزونه‌های وردپرس ذکرشده در این گزارش را به‌روزرسانی کنند، زیرا احتمال سوءاستفاده از آن‌ها در طول سال 2020 و پس از آن، بسیار زیاد است.

دیروز، 11:25 برچسب‌ها: اخبار
انتشار به‌روزرسانی‌های امنیتی برای چندین محصول VMware

#VMware سه آسیب‌پذیری جدی در محصولات خود از جمله یک نقص مهم در Workstation و Fusion را که می‌تواند برای اجرای کد دلخواه از سیستم‌عامل مهمان بر روی میزبان مورد سوءاستفاده قرار بگیرد، برطرف کرد.
اولین نقص مهم، با شناسه‌ی "CVE-2020-3947" ردیابی می‌شود و در نتیجه‌ی یک اشکال سوءاستفاده پس از آزادسازی در مؤلفه‌ی "vmnetdhcp" ایجاد می‌شود.
سوءاستفاده‌ی موفقیت‌آمیز از این مسئله ممکن است منجر به اجرای کد بر روی میزبان از مهمان شود یا ممکن است به مهاجمان اجازه دهد تا شرایط انکار سرویس "vmnetdhcp" را در دستگاه میزبان، ایجاد کنند.
یکی دیگر از آسیب‌پذیری‌های وصله‌شده، نقصی با شناسه‌ی "CVE-2020-3948" است. این نقص یک مسئله با شدت بالا است که به مهاجمین محلی اجازه‌ی دسترسی به یک ماشین مجازی مهمان لینوکس (VM) با ابزارهای VMware نصب شده، می‌دهد تا بتوانند امتیازات خود را افزایش دهند.
VMهای مهمان لینوکس که در VMware Workstation و Fusion کار می‌کنند، دارای آسیب‌پذیری محلی هستند که به دلیل مجوز پرونده در Cortado Thinprint ، افزایش یافته است.
سوءاستفاده از این نقص فقط درصورتی امکان‌پذیر است که چاپ مجازی در مهمان VM فعال شود (چاپ مجازی به‌طور پیش فرض در Workstation و Fusion فعال نمی‌شود).
هر دو ضعف بر Workstation نسخه‌ی 15.x بر روی هر سیستم‌عامل و Fusion نسخه‌ی x.11 در macOS تأثیر می‌گذارند. وصله‌ها به ترتیب شامل نسخه‌های 15.5.2 و 11.5.2 هستند.
آخرین آسیب‌پذیری که به‌عنوان "CVE-2019-5543" ردیابی شده است، یک مسئله‌ی افزایش امتیاز با شدت بالا است که بر Workstation، VMware Horizon Client و کنسول از راه دور (VMRC) در ویندوز تأثیر می‌گذارد.
این حفره‌ی امنیتی به یک مهاجم محلی اجازه می‌دهد تا مانند هر کاربری دستوراتی را اجرا کند. دلیل وجود این آسیب‌پذیری این است که پوشه‌ی حاوی پرونده‌های پیکربندی‌شده برای سرویس داوری USB VMware توسط همه‌ی کاربران قابل نوشتن است.
وصله‌های این نقص در نسخه‌ی 15.5.2 برای Workstation، 5.3.0 برای VMware Horizon Client و نسخه‌ی 11.0.0 در VMRC برای ویندوز گنجانده شده‌اند.
به کاربران و مدیران توصیه می‌شود با توجه به محصول مورد استفاده‌ی خود، به‌روزرسانی‌های لازم را اعمال کنند.

دیروز، 11:22 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫گوگل در به‌روزرسانی ماه مارس سال 2020 خود بیش از 70 آسیب‌پذیری، از جمله یک نقص بحرانی در Media Framework را وصله کرده است.
این نقص بحرانی به عنوان بخشی از سطح وصله‌ی امنیتی 01-03-2020 که در مجموع 11 آسیب‌پذیری در framework، Media framework و سیستم را برطرف می‌سازد، وصله شده است
این آسیب‌پذیری بحرانی، یک نقص اجرای کد راه‌دور است که با شناسه‌ی CVE-2020-0032 ردیابی می‌شود و دستگاه‌هایی که نسخه‌های 8.0، 8.1، 9 و 10 را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهد. این نقص به یک مهاجم راه‌دور اجازه می‌دهد با استفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
دو نقص دیگری که در Media Framework برطرف شده‌اند عبارتند از دو نقص افزایش امتیاز (CVE-2020-0033) و افشای اطلاعات (CVE-2020-0034). هر دوی این نقص‌ها از نظر شدت «بالا» رتبه‌بندی شده‌اند و تنها دستگاه‌هایی که Android 10 را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهند.
باقی هفت آسیب‌پذیری برطرف‌شده در سطح وصله‌ی امنیتی 01-03-2020، سیستم و تمامی ویژگی‌ها را تحت‌تأثیر قرار می‌دهند و از شدت بالایی برخوردارند. این آسیب‌پذیری‌ها عبارتند از دو نقص افزایش امتیاز و پنج نقص افشای اطلاعات.
دومین بخش از مجموعه وصله‌های ماه مارس سال 2020 گوگل به صورت سطح وصله امنیتی 05-03-2020 برای دستگاه‌ها منتشر شده است و شامل 60 آسیب‌پذیری است. این نقص‌ها بر سیستم، اجزای هسته، FPC، MediaTek، Qualcomm و اجزای متن بسته‌ی Qualcomm اثر می‌گذارند.
آسیب‌پذیری که بر سیستم اثر می‌گذارد، یک آسیب‌پذیری افزایش امتیاز است که با شناسه‌ی CVE-2019-2194 ردیابی می‌شود و از شدت بالایی برخوردار است و بر دستگاه‌هایی که Android 9 را اجرا می‌کنند، اثر می‌گذارد.
تمامی چهار نقصی که بر اجزای هسته اثر می‌گذارند، می‌توانند منجر به افزایش امتیاز شوند. این آسیب‌پذیری‌ها بر USB، شبکه و اتصال‌دهنده تأثیر می‌گذارند.
در این سطح وصله‌ی امنیتی، شش آسیب‌پذیری در FPC Fingerprint TEE وصله شده‌اند که سه مورد از آن‌ها از شدت بالایی برخوردار هستند و منجر به افزایش امتیاز می‌شوند، در حالیکه سه مورد دیگر دارای شدت متوسطی هستند و سوءاستفاده از آن‌ها ممکن است منجر به افشای اطلاعات شود.
تمامی نقص‌های وصله‌شده در اجزای متن‌بسته‌ی Qualcomm در سطح وصله امنیتی 05-03-2020 از شدت بالایی برخوردار هستند. این نقص‌ها بر WLAN، USB، صوتی و گرافیک‌ها اثر می‌گذارند. در مجموع به 40 آسیب‌پذیری در اجزای متن بسته‌ی Qualcomm در بولتین امنیتی اندرویدی ماه مارس سال 2020 اشاره شده است که 16 مورد از آن‌ها از شدت بحرانی برخوردار هستند و مابقی از نظر شدت، «بالا» رتبه‌بندی شده‌اند.
آخرین آسیب‌پذیری وصله‌شده در سطح وصله امنیتی 05-03-2020، یک نقص با شدت «بالا» در اجزای MediaTek است که سوءاستفاده از آن ممکن است منجر به افزایش امتیاز شود. این نقص که با شناسه‌ی CVE-2020-0069 ردیابی می‌شود، در درایور MediaTek Command Queue وجود دارد. به گفته‌ی XDA-Developers، این آسیب‌پذیری ابتدا در ماه آوریل سال 2019 افشا شد و با وجود اینکه یک ماه بعد توسط Mediatek وصله شد، بیش از یک سال است که در میلیون‌ها دستگاه اندرویدی که دارای تقریباً دو دوجین تراشه‌ی MediaTek هستند، قابل سوءاستفاده است. حال این نقص توسط مجرمان سایبری تحت حملات فعال است. حال MediaTek به گوگل روی آورده است تا ایراد موجود در وصله‌اش را برطرف سازد و میلیون‌ها دستگاه را در برابر این سوءاستفاده‌ی امنیتی بحرانی ایمن سازد. سوءاستفاده‌ی دیپلماتیک، یک اسکریپت به نام “MediaTek-su” است که به کاربران دسترسی superuser در شل (shell) را اعطا می‌کند. این اسکریپت همچنین SELinux (ماژول هسته‌ی لینوکس که کنترل دسترسی را برای فرایندها فراهم می‌آورد) را بر روی حالت مجاز بسیار ناامن تنظیم می‌کند. حمله‌ی موفق ناشی از سوءاستفاده از این آسیب‌پذیری می‌تواند قابل توجه باشد. هر برنامه‌‌ای می‌تواند هر مجوزی که می‌خواهد را به خودش بدهد و با یک شل ریشه‌ای، تمامی فایل‌های دستگاه، حتی آنهایی که در شاخه‌های داده‌های شخصی برنامه‌ها ذخیره شده‌اند، قابل دسترسی هستند. از آنجاییکه این آسیب‌پذیری، یک آسیب‌پذیری سخت‌افزاری است نمی‌تواند با به‌روزرسانی هوایی گوگل برای سیستم‌عامل اندروید، وصله شود. اگر کاربری دارای تراشه‌ی MediaTek در دستگاه اندرویدی خود باشد، باید یک امنیت تلفن‌همراه به دستگاه خود اضافه کند تا تشخیص دهد دستگاهش چه زمانی توسط شخص ثالث root شده است و بدین طریق کاربر را از حملاتی که از این آسیب‌پذیری سوءاستفاده می‌کنند، حفظ کند. تیم‌های امنیتی و فناوری اطلاعات باید دستگاه‌های اندرویدی دارای تراشه‌های MediaTek که آسیب‌پذیر هستند را شناسایی کنند. اگر سازمانی دارای دستگاه آسیب‌پذیری باشد که توسط کارمندانش استفاده می‌شود، این دستگاه‌ها باید نظارت شده و در نهایت دستگاه دیگری جایگزینشان شود.
گوگل در ماه مارس سال 2020 همچنین یک بولتین امنیتی بزرگ برای دستگاه‌های Pixel منتشر ساخته است که بیش از 50 آسیب‌پذیری دیگر را که در دستگاه‌های گوگل که سطح وصله امنیتی 05-03-2020 و پس از آن را اجرا می‌کنند، وصله شده‌اند، توصیف می‌کند.
این آسیب‌پذیری‌ها شامل سه نقص در framework، چهار مورد در media framework، شانزده مورد در سیستم، 24 مورد در اجزای هسته، چهار مورد در اجزای Qualcomm و دو مورد در اجزای متن بسته‌ی Qualcomm هستند. این آسیب‌پذیری‌های برطرف‌شده، شامل نقص‌های اجرای کد راه‌دور، افزایش امتیاز و افشای اطلاعات هستند که اکثر آن ها از شدت متوسطی برخوردار هستند.

دیروز، 11:21 برچسب‌ها: اخبار
بررسی تروجان Milum

حمله #WildPressure نهادهای مرتبط با صنعت را در خاورمیانه هدف قرار می‌دهد. در آگوست 2019 آزمایشگاه Kaspersky، کمپین مخربی که یک تروجان کاملاً فرّار C++ به نام Milum منتشر می‌کرد را کشف کرد. همه قربانیان ثبت شده این تروجان، سازمان‌های واقع در خاورمیانه بودند. برخی از آنها به بخش صنعت مرتبط بودند. موتور اختصاصی تهدید Kaspersky هیچ شباهت کدی با کمپین‌های شناخته شده مشاهده نکرده است؛ و تا کنون اهداف مشابهی یافت نشده است. در واقع سه نمونه یکسان در یک کشور اتفاق افتاده است. بنابراین ما حملات را هدف قرار داده و در حال حاضر این عملیات را WildPressure نام‌گذاری کرده‌ایم. زمان همه حملات مارس 2019 می‌باشد. در واقع تا قبل از 31 مه 2019 هیچگونه آلودگی ثبت نشده است، بنابراین به نظر نمی‌رسد که تاریخ جعل شده باشد. در این کمپین، اپراتورها از OVH اجاره‌ای و سرورهای خصوصی مجازی Netzbetrieb و یک دامنه ثبت شده توسط سرویس پروکسی ناشناس استفاده می‌کنند.

دانلود پیوست

دیروز، 10:18 برچسب‌ها: اخبار, گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

دانلود پیوست

دیروز، 10:07 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

آخرین و جدیدترین بروزرسانی مربوط به یک #‫آسیب‌پذیری با شناسه CVE-2018-0291 و شدت بالا در پردازنده پکت ورودی SNMP(Simple Network Management Protocol) مربوط به نرم‌افزار NX-OS سیسکو در تاریخ 27 مارس 2020 منتشر شد. در این آسیب‌پذیری یک مهاجم تایید هویت شده می‌تواند از راه دور و به صورت غیرمنتظره موجب ری‌استارت شدن برنامه SNMP بر روی یک دستگاه آسیب‌دیده شود.
پروتکل SNMP، یک پروتکل لایه برنامه است که یک چارچوب استاندارد و یک زبان مشترک برای نظارت و مدیریت دستگاه‌های شبکه فراهم می‌کند. این پروتکل یک قالب پیام برای ارتباط بین مدیران SNMP و ایجنت‌ها (agents) تعریف می‌کند.
این آسیب‌پذیری به دلیل اعتبارسنجی نادرست واحدهای داده‌ی پروتکل SNMP در پکت‌های SNMP اتفاق می‌افتد. مهاجم می‌تواند با ارسال یک بسته جعلی SNMP به یک دستگاه آسیب‌دیده، از این آسیب‌پذیری بهره‌برداری نماید. یک اکسپلویت موفقیت‌آمیز به مهاجم اجازه می‌دهد تا برنامه SNMP را چندین مرتبه ری‌استارت کرده و منجر به راه‌اندازی مجدد در سطح سیستم و اجرای حمله DoS شود.
در حال حاضر هیچ راه‌حلی برای رفع این آسیب‌پذیری ارائه نشده است اما سیسکو بروزرسانی‌های نرم‌افزاری را منتشر کرده است.
محصولات نام برده در زیر، در صورتیکه دارای نسخه آسیب‌پذیر نرم‌افزار NX-OS باشند، تحت تاثیر این آسیب‌پذیری قرار می‌گیرند:
• Nexus 2000 Series Switches
• Nexus 3000 Series Switches
• Nexus 3500 Platform Switches
• Nexus 3600 Platform Switches
• Nexus 5500 Platform Switches
• Nexus 5600 Platform Switches
• Nexus 6000 Series Switches
• Nexus 7000 Series Switches
• Nexus 7700 Series Switches
• Nexus 9000 Series Switches in standalone NX-OS mode
• Nexus 9500 R-Series Line Cards and Fabric Modules
• UCS 6100 Series Fabric Interconnects
• UCS 6200 Series Fabric Interconnects
• UCS 6300 Series Fabric Interconnects


سیسکو تایید کرده است که این آسیب‌پذیری بر روی محصولات زیر تاثیر نمی‌گذارد:
• Firepower 2100 Series
• Firepower 4100 Series Next-Generation Firewall
• Firepower 9300 Security Appliance
• MDS 9000 Series Multilayer Switches
• Nexus 1000V Series Switches
• Nexus 1100 Series Cloud Services Platforms
• Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) mode

با توجه به اینکه سوئیچ‌های سری Nexus 4000 سیسکو و Nexus 5010 یا Nexus 5020 به پایان عمر خود رسیده‌اند بنابراین شرکت سیسکو در مورد اینکه آیا این سوئیچ‌ها تحت تاثیر آسیب‌پذیری مذکور قرار می‌گیرند یا خیر، هیچ بررسی و تحقیقی به عمل نیاورده است.
این آسیب‌پذیری تمام نسخه‌های SNMP (نسخه‌های1 ، 2c و 3) را تحت تاثیر قرار می‌دهد و مهاجم می‌تواند با راسال یک پکت خاص SNMP به دستگاه آسیب‌پذیر از طریق پروتکل IPv4 یا IPv6، آسیب‌پذیری ذکر شده را مورد اکسپلویت قرار دهد. لازم به ذکر است که تنها از طریق ترافیک هدایت شده به سیستم آسیب‌دیده می‌توان این آسیب‌پذیری را اکسپلویت کرد.
برای اکسپلویت این آسیب‌پذیری از طریق نسخه 2c یا قبل تر SNMP، مهاجم باید از رشته جامع فقط خواندنی SNMP برای سیستم آسیب‌دیده اطلاع داشته باشد. این رشته رمز عبوری است که برای محدود کردن دسترسی‌های read-only و read-write به داده‌های SNMP روی دستگاه اعمال می‌شود. این رشته‌ها مانند تمام رمزهای عبور، باید با دقت انتخاب شوند تا از بی اهمیت نبودن آنها اطمینان حاصل شود. همچنین آنها باید در فواصل منظم و مطابق با سیاست‌های امنیتی شبکه، تغییر کنند. به عنوان مثال زمانیکه مدیر شبکه نقش‌ها را تغییر می‌دهد یا اینکه سازمان را ترک می‌کند.
برای اکسپلویت در نسخه 3 SNMP، مهاجم باید دارای اعتبار کاربر در سیستم‌ آسیب‌دیده باشد.
راه‌حل
در حال حاضر راه حلی برای رفع این آسیب‌پذیری ارائه نشده است اما به عنوان یک راه‌حل پیشگیرانه، مدیران می‌توانند یک لیست کنترل دسترسی (ACL) را بر روی یک SNMP پیکربندی کنند تا درخواست‌های دریافتی SNMP را فیلتر کرده تا اطمینان حاصل شود که نمونه‌برداریSNMP تنها توسط کلاینت‌های قابل اعتماد انجام می‌شود.
برای مشاهده بروزرسانی‌های نرم‌افزاری منتشر شده توسط شرکت سیسکو می‌توانید به لینک زیر مراجعه نمایید.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxossnmp

دیروز، 10:02 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

در راستای برنامه از قبل اعلام شده مرکز ماهر جهت رصد بانک‌های اطلاعاتی، نخستین گزارش این رصدها شامل ۳۶ پایگاه داده Elasticsearch فاقد احراز هویت شناسایی شده و مشخصات و اطلاعات آنها تحلیل شده است.این پایگاه داده ها مجموعا حاوی ۱۶.۸۵۳.۲۱۷ رکورد اطلاعاتی بوده‌اند که اطلاع‌رسانی به مالکان آن‌ها آغاز شده است. چنانچه مالک پایگاه داده مشخص نباشد اطلاع‌رسانی به میزبان پایگاه داده انجام می‌شود.مالکان این پایگاه‌های داده موظفند در اسرع وقت نسبت به از دسترس خارج نمودن آن‌ها اقدام کنند. رصد بعدی این پایگاه‌ها در تاریخ ۱۶ فروردین انجام خواهد شد و مواردی که تا آن زمان جمع‌آوری نشده باشند؛ به مراجع قضایی جهت پی‌گیری بعدی معرفی خواهند شد.

15 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

بدافزار موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده است. عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخه‌اصلاح شده افزونه‌های ویروس کرونا که به وبسایت backdoor تزریق می‌کند را منتشر می‌کنند. خانواده آلودگی‌های WP-VCD به صورت افزونه‌های پوچ یا غیرمجاز وردپرس منتشر می‌شوند که حاوی کد اصلاح شده‌ای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایلهای مختلف PHP تزریق می‌کند.
هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش می‌کند سایر سایت‌ها روی host مشترک را به خطر بیندازد و می‌تواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعمل‌های جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی که برای عاملان تهدید درآمد ایجاد می‌کند، می‌باشد.


1 افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر می‌کند.
اخیراً گروه MalwareHunter نمونه‌هایی از افزونه‌های وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نام‌گذاری شده‌اند را منتشرکرد.
این افزونه‌های وردپرس، فایل‌های zip هستند که حاوی افزونه‌های تجاری معتبر به نام « COVID-19 Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-19» بودند.


پس از اینکه BleepingComputer آنها را تجزیه و تحلیل کرد، مشخص شد که افزونه‌ها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشته‌های مختلف رمزنگاری شده با پایه 64 است که معمولاً با افزونه‌های WP-VCD همراه هستند.


پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه 64 در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره می‌کند. سپس کد را به فایل /wp-includes/post.php اضافه می‌کند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود.


همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه 64 دیگر اضافه می‌کند.


با این تغیرات فایل، کد WP-VCD مجدداً به سرور C2 متصل می‌شود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش می‌دهد یا به سایت‌های دیگر تغییر مسیر انجام می‌دهد، استفاده می‌شوند.
2 محافظت از سایت در برابر WP-VCD
همانطور که بد‌افزار WP-VCD توسط افزونه‌های غیرمجاز وردپرس منتشر می‌شود، بهترین راه جلوگیری از آن این است که از سایت‌های غیرمجاز افزونه بارگیری نشود. از آنجا که افزونه‌ها می‌توانند به راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح ‌شوند، بارگیری و نصب افزونه‌های غیرمجاز همیشه یک فعالیت خطرناک است. اکیداً توصیه می‌شود که افزونه‌های وردپرس فقط از سایت‌های مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.

10 فروردین 1399 برچسب‌ها: اخبار
بدافزار TrickMo

بدافزار TrickBot احراز هویت دو مرحله‌ای را در خدمات بانکی اینترنتی از طریق موبایل دور می‌زند. نویسندگان بدافزار در پشت پرده تروجان بانکی TrickBot یک نرم‌افزار اندرویدی ایجاد کرده‌اند که می‌تواند کد احراز هویت یک بار مصرف ارسال شده توسط پیامک یا ارسال اعلان‌ (ایمن‌تر) به مشتریان بانکی اینترنتی را قطع کرده و عملیات کلاهبرداری خود را تکمیل کند.
این برنامه اندرویدی که توسط محققان IBM X-Force، TrickMo نامیده شده، در حال توسعه است و منحصراً کاربران آلمانی که سیستم آنها قبلاً به بدافزار TrickBot آلوده شده‌اند را هدف گرفته است. به گفته محققان IBM، هنگامی که TrickBot اولین بار در سال 2016 پدیدار شد، آلمان یکی از اولین موارد حمله بود. در سال 2020، به نظر می‌رسد که کلاهبرداری گسترده بانکی TrickBot یک پروژه در حال انجام است که به مهاجمان کمک می‌کند تا از حساب‌های در معرض خطر، درآمد کسب کنند.
نام TrickMo اشاره مستقیمی به یک نوع مشابه بدافزار بانکی اندروید به نام ZitMo دارد که در سال 2011 توسط گروه مجرمان سایبری Zeus برای از کار انداختن سیستم احراز هویت دو مرحله‌ای از طریق پیامک توسعه یافته بود.
روش‌های تکامل یا رشد قابلیت‌های تروجان بانکی برای ارائه انواع دیگر بدافزارها اصلاح شده است؛ از جمله سرقت اطلاعات توسط باج افزار Ryuk، سرقت کیف پول‌های بیت‌کوین و دریافت ایمیل‌ها و اعتبارنامه‌ها.

1 سواءستفاده از قابلیت دسترسی اندروید برای Hijack کردن کدهای OTP
این مسئله ابتدا در سپتامبر گذشته توسط گروه CERT-Bund مشاهده شد. بدافزار TrickMo پس از نصب نرم‌افزار در دستگاه اندرویدی قربانی، طیف گسترده‌ای از اعداد احراز هویت معاملات بانکی (TAN)، شامل گذرواژه یکبار مصرف (OTP)، TAN موبایلی (mTAN) و کدهای احراز هویت pushTAN را قطع می‌کند.
مشاور گروه CERT-Bund در ادامه اظهار داشت كه سیستم‌های ویندوز آلوده شده توسط TrickBot از حملات man-in-the-browser برای یافتن شماره تلفن همراه و انواع دستگاه‌های آنلاین بانکی، به منظور واداشتن آنها برای نصب یک برنامه امنیتی جعلی (که TrickMo نام دارد) استفاده می‌کند

یافتن اطلاعات دستگاه‌های آنلاین بانکی
اما با توجه به تهدیدات امنیتی ناشی از احراز هویت مبتنی بر پیام کوتاه (پیام‌ها می‌توانند توسط برنامه‌های شخص ثالث سرکش به راحتی hijack شوند و همچنین نسبت به حملات SIM-swapping آسیب‌پذیر هستند)، از این پس بانک‌ها به طور فزاینده از ارسال اعلان برای کاربران که حاوی جزییات عملیات و شماره TAN هستند استفاده خواهند کرد.
بدافزار TrickMo برای رفع مشکل نگهداری اعلان‌های برنامه، از قابلیت دسترسی اندروید سوءاستفاده کرده و می‌تواند از صفحه برنامه ‌فیلم ضبط کند، داده‌های نمایش داده شده روی صفحه را پاک کند، بر برنامه‌های در
حال اجرا نظارت کرده و حتی خود را به عنوان نرم‌افزار دریافت پیامک پیش‌فرض تنظیم کند، همچنین می‌تواند از حذف برنامه توسط کاربران دستگاه‌های آلوده جلوگیری کند.
1 طیف گسترده‌ ویژگی‌ها
پس از نصب، TrickMo قادر است با ایجاد تعامل با دستگاه یا دریافت پیامک جدید پایدار شود. علاوه بر این، با ایجاد یک مکانیسم تنظیمات دقیق به یک مهاجم از راه دور اجازه می‌دهد با صدور دستوراتی با استفاده از سرور C2 یا یک پیامک، ویژگی‌های خاص را روشن یا خاموش کند (به طور مثال مجوزهای دسترسی، وضعیت ضبط، وضعیت نرم‌افزار دریافت پیامک).
هنگامی که بدافزار در حال اجراست، طیف گسترده‌ای از اطلاعات را بدست می‌آورد، شامل:

  • اطلاعات شخصی دستگاه
  • پیامک‌ها
  • ضبط برنامه‌های هدف برای رمزعبور یک بار مصرف (TAN)
  • تصاویر

این بدافزار برای جلوگیری از بدگمانی هنگام سرقت کدهای TAN، قفل صفحه را فعال کرده و از این طریق از دسترسی کاربران به دستگاه‌های هدف خود جلوگیری میکند؛ در واقع، از یک صفحه به‌روزرسانی اندرویدی جعلی برای پنهان کردن عملیات سرقت OTP استفاده می‌کند. در نهایت این کار با عملکردهای خود تخریبی و حذف انجام می‌شود و به گروه مجرمان سایبری اجازه می‌دهد تا با استفاده از TrickMo، پس از یک عملیات موفقیت‌آمیز ردپای حضور خود را از یک دستگاه پاک کنند.
گزینه kill نیز می‌تواند توسط پیامک فعال شود، اما محققان IBM دریافتند که امکان رمزگشایی دستورات پیامکی رمزشده با استفاده از یک کلید خصوصی RSA کدنویسی شده و تعبیه شده در کد منبع وجود دارد، بدین ترتیب امکان تولید کلید عمومی و ایجاد پیامک می‌تواند ویژگی خود تخریبی را ایجاد کند. همچنین این مسئله به این معناست که بدافزار می‌تواند از طریق پیامک از راه دور حذف شود. فرض می‌شود که نسخه بعدی برنامه می‌تواند استفاده از رشته‌های کلید رمزگذاری شده برای رمزگشایی را اصلاح کند.
محققان IBM به این نتیجه رسیدند که تروجان TrickBot یکی از فعال‌ترین انواع بدافزار بانکی در عرصه فضای مجازی در سال 2019 بود. طبق تحقیقات، TrickMo به منظور کمک به TrickBot در تخریب جدیدترین روش‌های احراز هویت مبتنی بر TAN طراحی شده است. یکی از مهمترین ویژگی‌هایTrickMo قدرت ضبط برنامه است؛ این همان چیزی است که به TrickBot توانایی غلبه بر اعتبار سنجی‌های جدید برنامه pushTAN که توسط بانک‌ها گسترش یافته را می‌دهد.

10 فروردین 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
صفحات: 1 2 3 4 5 ... » »»