فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
Reductor بدافزاری که ترافیک HTTPS را سرقت می کند

در آوریل 2019، #‫بدافزار جدیدی کشف شد که ارتباطات وب رمزگذاری شده را به روشی چشمگیر به خطر می‌اندازد. تجزیه و تحلیل این بدافزار این اجازه را داد تا تأیید کنند که اپراتورها یک سری کنترل خاص روی کانال شبکه‌ی هدف دارند و می‌توانند نصب کننده‌های قانونی را با موارد آلوده در حال اجرا جایگزین کنند.

اسم این نسل جدید از بدافزار را که کشف کرده‌اند Reductorاست که اجازه می‌دهد مهاجم ترافیک پروتکل HTTPرا توسط آسیب پذیری موجود در فرآیند تولید اعداد تصادفی یک مرورگر که برای اطمینان از اتصال خصوصی بین مشتری و سرور استفاده می‌شود دستکاری کند. Reductorپس از یک مسیر .pdbدر برخی از نمونه‌ها به جا مانده است. علاوه بر کارکردهای معمول تابع RAT، مانند: بارگذاری، بارگیری و اجرای فایل ها ، نویسندگان Reductorتلاش زیادی را برای دستکاری در صدور گواهینامه‌های دیجیتال و علامت گذاری برون مرزی ترافیک TLSبا شناسه‌های مرتبط با میزبان انجام می‌دهند.

تیم جهانی تحقیقاتی و تجزیه و تحلیل (GReATGReAT) در کاسپرسکی، این بدافزار را کشف کرده‌اند. طبق گفته‌ی آن ها هنگامی‌که کسی از طریق این بدافزارآلوده شود، از Reductorبرای جاسوسی از فعالیت مرورگر قربانی استفاده می‌شود. محققان گفتند که از Reductorبرای جاسوسی سایبری از اشخاص دیپلماتیک که عضوی از جمهوری های پس از اتحاد جمایر شوروی هستند و به عنوان کشورهای مستقل مشترک المنافع شناخته می‌شوند، استفاده می‌شود. این محققان گفتند Reductorارتباط نزدیکی با تروجان COMpfunدارد.

برای مطالعه کامل کلیک نمایید

4 آبان 1398 برچسب‌ها: اخبار
وصله‌ی هشت آسیب‌پذیری با شدت بالا در Foxit Reader

هشت #‫آسیب‌پذیری با شدت بالا در Foxit Readerکه نرم‌افزار معروف PDFاست وجود دارد که در حال حاضر وصله‌های آن‌ها توسط شرکت Foxit Software(شرکت پشتیبان Foxit Reader) وصله شده‌اند. این نقص‌ها در نسخه‌های ویندوزی Foxit Readerوجود دارند و به یک مهاجم راه‌دور اجازه می‌دهند کد دلخواه را در سیستم‌های آسیب‌پذیر اجرا کنند.

شرکت Foxit Softwareنسخه‌ی Foxit Reader 9.7را جهت رفع مشکلات امنیتی احتمالی، منتشر ساخته است و اصرار دارد مشتریانش ابزار خود را به آخرین نسخه، به‌روزرسانی کنند.

شدیدترین این نقص‌ها که با شناسه‌ی CVE-2019-5031ردیابی می‌شود و دارای امتیاز CVSS 8.8از 10.0است، در روش تعامل Foxit Readerبا موتور جاوااسکریپت (برنامه‌ای که کد جاوااسکریپت را اجرا می‌کند) وجود دارد. Foxit Readerمی‌تواند برای اسناد تعاملی و فرم‌های پویا از جاوااسکریپت پشتیبانی کند. به عنوان مثال، هنگامی که یک کاربر، یک سند PDFرا باز می‌کند، Foxit Readerمی‌تواند جاوااسکریپت را اجرا کند؛ اما، هنگامی که نسخه‌های خاصی از موتور جاوااسکریپت (نسخه 7.5.45و نسخه‌های پیشین در موتور V8 JavaScript) در نسخه‌ی 9.4.1.16828 Foxit Readerاستفاده می‌شوند، می‌توانند منجر به اجرای کد دلخواه و انکار سرویس شوند. دلیل این امر این است که در نسخه‌ی متأثر Foxit Reader، بازکردن موتور جاوااسکریپت منجر به اختصاص حجم زیادی حافظه می‌شود که به سرعت، تمام حافظه‌های موجود را مصرف می‌کند. این امر معمولاً منجر به شناسایی یک حالت خارج از حافظه می‌شود و فرایند خاتمه می‌یابد.

به گفته‌ی Cisco Talos، در یک سناریوی حمله، یک سند PDFدستکاری‌شده‌ی خاص می‌تواند یک وضعیت خارج از حافظه که به صورت صحیح مدیریت نشده است، ایجاد کند و منجر به اجرای کد دلخواه شود. جهت سوءاستفاده از این آسیب‌پذیری، لازم است مهاجم یک کاربر را به بازکردن یک فایل مخرب فریب دهد. فعال بودن افزونه‌ی پلاگین مرورگر نیز می‌تواند منجر به سوءاستفاده از این آسیب‌پذیری شود.

سایر آسیب‌پذیری‌های با شدت بالا در Foxit Reader، دارای امتیاز 7.8از 10در مقیاس CVSSهستند. تمامی این آسیب‌پذیری‌ها به مهاجم راه‌دور اجازه‌ی دسترسی به قربانیان را می‌دهند. Foxitبه کاربران ویندوز که دارای نسخه‌ی 9.6.0.25114و پیش از آن هستند توصیه می‌کند، Foxit Readerرا به 9.7و پس از آن ارتقا دهند.

سه مورد از این نقص‌ها (CVE-2019-13326، CVE-2019-13327، CVE-2019-13328)، مربوط به روش پردازش فیلدهای درون اشیای AcroFormهستند. AcroForm، فایل‌های PDFهستند که شامل فیلدهای فرم هستند و داده‌ها می‌توانند وارد این فیلدها شوند. این مشکلات از عدم اعتبارسنجی وجود یک شیء پیش از انجام عملیات بر روی شئ ناشی می‌شوند. مهاجم می‌تواند از این آسیب‌‌پذیری به‌منظور اجرای کد، در متن فرایند فعلی، سوءاستفاده کند.

چهار آسیب‌پذیری با شدت بالای دیگر در Foxit Reader، مربوط به روش مدیریت فایل‌های TIF (CVE-2019-13329)، فایل‌های JPG (CVE-2019-13330,CVE-2019-13331)و الگوهای فرم XFA (CVE-2019-13332)توسط Foxit Readerهستند. XFAمخفف XML Forms Architecture و خانواده‌ای از مشخصات اختصاصی XMLاست که توسط JetFormجهت بهبود پردازش فرم‌های وب ارایه شده است.

این نقص‌ها به مهاجمین راه‌دور اجازه می‌دهند تا کد دلخواه را در نصب‌های متأثر Foxit Readerاجرا کنند. اما در همه‌ی آن‌ها، هدف ابتدا باید به یک صفحه مخرب مراجعه یا یک پرونده مخرب را باز کند.

28 مهر 1398 برچسب‌ها: اخبار
رمزگشای باج‌افزار STOP/Djvu

#‫رمزگشا ی باج‌افزار STOP/Djvuتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

#‫باج‌افزار STOPبرای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvuنسخه جدیدتر آن می‌باشد که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvuمی‌شناسند. این باج‌افزار در سال جاری میلادی، بیشترین تعداد قربانی را در سطح جهان به خود اختصاص داده است. طبق اعلام شرکت Emsisoft، این رمزگشا حدوداً ۷۰ درصد قربانیان را پوشش داده و این قربانیان می‌توانند فایل‌های خود را بدون پرداخت باج بازگردانند.

این رمزگشا برای قربانیان باج‌افزار STOP/Djvuبا ویژگی‌های زیر به درستی عمل نموده است.

قربانیانی که پسوند فایل های رمز شده آن‌ها به شرح زیر است:

  1. پسوندهای با حروف بزرگ مثل KEYPASS
  2. پسوندهای دارای کلمه pumaمانند puma, pumas, pumaxو ...
  3. پسوندهای نسبتا قدیمی مانند djvu, roland, verastoو ...
  4. پسوندهای جدید مانند gero, meds, bootو ...

در صورتی که فایل‌های رمز شده شامل دو مورد اول می باشند. می‌توانید با این رمزگشا فایل های خود را رمزگشایی کنید. به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید.

https://www.emsisoft.com/ransomware-decryption-tools/stop-puma

و یا در صورتی که فایل‌های رمز شده شامل دو مورد بعدی می‌باشند، می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید. به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید.

https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

نکات مهم:

  • برای سه مورد نخست، در اختیار داشتن یک فایل رمز شده به همراه نسخه سالم آن که حجم آن بیش از 150 کیلوبایت باشد، لازم است.
  • مورد سوم و چهارم همچنان فقط با کلیدهای آفلاین قابل رمزگشایی است، اما شانس مورد سوم برای رمزگشایی بیشتر است.
28 مهر 1398 برچسب‌ها: اخبار
آسیب پذیری مهم در ابزار sudo در سیستم‌ عامل های لینوکس به شماره CVE-2019-14287

آسیب‌پذیری پکیج Sudoدر لینوکس

این #‫آسیب‌پذیری با شناسه CVE-2019-14287به کاربران لینوکس (حتی کاربرانی با دسترسی محدود) امکان اجرای دستور با دسترسی root می‌دهد. مهاجم با قرار دادن "1-" یا "4294967295"بعنوان شناسه کاربری (user ID) می‌تواند از این آسیب پذیری استفاده کند.

این آسیب‌پذیری دور زدن سیاست امنیتی sudo است که به مهاجم یا هر برنامه‌ای (علی‌رغم عدم صدور مجوز دسترسی root در"sudoers configuration") اجازه‌ی اجرای دستور دلخواه بعنوان کاربر root می‌دهد.

اگرچه جداسازی سطوح دسترسی یکی از اساسی‌ترین اصول امنیتی در سیستم عامل لینوکس است ولی کاربران administratorهمچنان می‌توانند با ویرایش فایل sudoersتعیین کنند که هر کاربر مجاز به اجرای چه دستوراتی است. پس اگر کاربری با دسترسی rootمحدود به اجرای تعداد خاصی دستور شده باشد با استفاده از این آسیب‌پذیری می تواند همه‌ی دستورات را بدون محدودیت اجرا کند.

برای عملیاتی کردن آسیب‌پذیری کاربر باید اجازه اجرای دستورات با مجوز sudoبا شناسه کاربری (user ID) دلخواه را داشته باشد. بطور مثال در CentOS 7با انجام مراحل زیر می‌توان آسیب‌پذیری را عملیاتی کرد:

  • ایجاد یک کاربر با نام دلخواه testو تنظیم پسورد برای این کاربر
  • ویرایش فایل sudoersو اضافه کردن عبارت test ALL=(ALL, !root)ALLبه انتهای آن
  • تغییر کاربر فعلی به testو اجرای دستور sudo –u#-1

دلیل این آسیب‌پذیری نحوه‌ی پیاده‌سازی تابعی است که شناسه کاربری را به نام کاربری تبدیل می‌کند و به اشتباه 1- برمی‌گرداند و یا 4294967295 که معادل صفر و شناسه کاربری root است.

این آسیب‌پذیری همه‌ی نسخه‌های sudoرا بجز جدیدترین نسخه آن یعنی 1.8.28تحت تاثیر قرار می‌دهد.

24 مهر 1398 برچسب‌ها: اخبار
آسیب پذیری سرویس SSL VPN در فایروال های Cyberoam به شماره CVE-2019-17059

یک #‫آسیب‌پذیری حیاتی در کنسول مدیریت و SSL VPNتجهیزات UTMشرکت سایبروم گزارش شده است. درصورت حمله موفق، حمله کننده دسترسی با سطح rootرا بدست خواهد آورد. با توجه به قرارگیری سرویس‌دهنده‌های VPNاز جمله سرویس SSL VPNدر تجهیزات UTMبر بسترشبکه اینترنت جهت برقراری دسترسی از راه دور به شبکه داخلی، این نوع آسیب‌پذیری می تواند بسیار خطرناک باشد.

تمامی فایروال‌های سوفوس با سیستم عامل CROS 10.6.6 MR-5 و قبل از آن آسیب‌پذیر می باشند. جهت رفع آسیب پذیری بروزرسانی دستگاه ضروری است.

منابع :

https://community.sophos.com/kb/en-us/134732

https://www.symantec.com/security-center/vulnerabilities/writeup/110370?om_rssid=sr-advisories

24 مهر 1398 برچسب‌ها: اخبار
کشف نقص جديد در واتس‌اپ با امکان اجرای کد از راه دور

یک محقق امنیتی، نقصی را در سیستم‌عامل پیام‌رسان محبوب #‫واتس‌اپ در دستگاه‌های اندرویدی شناسایی کرده است که می‌تواند به مهاجمان، امکان ارتقاء امتیاز و اجرای کد از راه دور (RCE) دهد.

این حفره‌ی امنیتی که توسط یک محقق با نام مستعار "Awakened" کشف شد‌، به عنوان یک اشکال "double-free" توصیف و به آن شناسه‌ی "CVE CVE-2019-11932" اختصاص داده شده است.

این نقص، در نسخه‌ی 2.19.230 واتس‌اپ در دستگاه‌های دارای اندروید 8.1 و 9.0 اجازه‌ی اجرای کد از راه دور را می‌دهد و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ی منبع‌باز به نام "libpl_droidsonroids_gif.so" وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIFاستفاده می‌شود.

بهره‌برداری از این نقص، شامل ارسال یک پرونده‌ی GIFمخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.

به‌گفته‌ی این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIFویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب‌پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند؛ زیرا یک اشکال "double-free" نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.

در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ی گالری را برای ارسال پرونده‌ی رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ی منبع‌باز بومی به نام "libpl_droidsonroids_gif.so" برای تولید پیش‌نمایش پرونده‌ی GIFکه شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.

برای ذخیره‌سازی فریم‌های رمزگشایی‌شده، از بافری با نام "rasterBits" استفاده می‌شود. اگر همه‌ی فریم‌ها دارای اندازه‌ی یکسان باشند، مجدداً از "rasterBits" برای ذخیره‌ی قاب‌های رمزگشایی‌شده، بدون تخصیص مجدد استفاده می‌شود که همین امر می‌تواند به مهاجم اجازه‌ی سوءاستفاده از آسیب‌پذیری دهد.

پس از بهره‌برداری، دو بردار حمله وجود دارد که مهاجمان می‌توانند از آن استفاده کنند. اولین مورد، افزایش امتیاز محلی است که در آن، یک برنامه‌ی مخرب بر روی دستگاه نصب می‌شود که آدرس کتابخانه‌های "zygote" (فرایند قالب برای هر برنامه و سرویس آغازشده در دستگاه) را جمع‌آوری می‌کند و یک فایل GIFمخرب تولید می‌کند که منجر به اجرای کد در متن واتس‌اپ می‌شود.

این کار به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ی پیام را سرقت کند.

بردار حمله‌ی دوم، RCEاست که در آن، یک مهاجم با برنامه‌ای که دارای آسیب‌پذیری افشای اطلاعات حافظه‌ی از راه دور است، برای جمع‌آوری آدرس‌های کتابخانه‌های "zygote" و تهیه‌ی یک فایل GIFمخرب جفت می‌شود. به محض اینکه کاربر نمای گالری را در واتس‌اپ باز می‌کند، پرونده‌ی GIFیک پوسته در زمینه‌ی واتس‌اپ ایجاد می‌کند.

Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همان زمان وصله‌ی رسمی برای برنامه را در نسخه‌ی واتس‌اپ 2.19.244 منتشر نمود.

به کاربران توصیه می‌شود که واتس‌اپ خود را به این نسخه به‌روز کنند تا از این اشکال در امان بمانند.

22 مهر 1398 برچسب‌ها: اخبار
هشدار گوگل در خصوص سوءاستفاده‌ی فعال از یک آسیب‌پذیری روزصفرم در گوشی‌های هوشمند اندرویدی جدید

بنا به کشفیات محققان امنیتی، یک #‫آسیب‌‌پذیری روز صفرم وصله‌نشده در سیستم‌های اندرویدی وجود دارد که اکثر گوشی‌های هوشمند اندرویدی جدید برندهای معروف را هدف قرار می‌دهد. بنا به گفته‌ی محققان، متأسفانه این آسیب‌پذیری تحت سوءاستفاده‌ی فعال است.

این آسیب‌پذیری که با شناسه‌ی CVE-2019-2215ردیابی می‌شود و از نظر شدت، «بالا» رتبه‌بندی شده است، یک آسیب‌پذیری استفاده پس از آزادسازی است که سوءاستفاده از آن به مهاجم اجازه می‌دهد دسترسی ریشه‌ای به هدف به‌دست آورد.

اگرچه گوگل قبلاً این نقص را در نسخه‌های قبلی اندروید برطرف ساخته است؛ این نقص طی مرور کد Pixel 2در آخرین وصله‌ی امنیتی، کشف شده است. اگرچه این نقص قبلاً در ماه دسامبر سال 2017 در هسته‌ی 4.14 Linux، هسته‌ی Android Open Source Project (AOSP) 3.18، هسته‌ی AOSP 4.4و هسته‌ی AOSP 4.9برطرف شده است؛ اما در نسخه‌های اخیر و به‌ویژه دستگاه‌‌هایی که Android 8.xو نسخه‌های پس از آن را اجرا می‌کنند، دوباره ظاهر شده است. بنابراین، کاربرانی که دارای گوشی‌های هوشمند مدل قدیمی هستند با مشکلی مواجه نمی‌شوند.

دستگاه‌هایی که تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند، عبارتند از:

  • Pixel 2دارای سیستم‌عامل Android 9و Android 10 preview
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Motorola Moto Z3
  • گوشی‌های LGدارای سیستم‌عامل Android 8 Oreo
  • Samsung Galaxy S7,S8,S9

دستگاه‌های Pixel 3و Pixel 3aبه این نقص آسیب‌پذیر نیستند.

از آنجاییکه این آسیب‌پذیری به طور عمومی افشا شده است و کد اثبات مفهوم (PoC)آن نیز برای سوءاستفاده در دسترس است، مورد سوءاستفاده قرار گرفته است.

گروه تحقیقات امنیتی Project Zeroاز گوگل هشدار داد که احتمال دارد این آسیب‌پذیری توسط فن‌‌آوری‌های گروه NSOمستقر در اسرائیل یا یکی از مشتریانش مورد سوءاستفاده قرار گرفته باشد. گروه NSOبه دلیل فروش سوءاستفاده‌های روز صفرم به دولت‌های مجاز، مورد سرزنش قرار گفته است. اعتقاد بر این است که برخی از این دولت‌ها از فن‌آوری NSOعلیه فعالان حقوق بشر و روزنامه‌نگاران در حملات هدف، استفاده کرده‌اند.

آسیب‌پذیری وصله‌نشده‌ی CVE-2019-2215می‌تواند به روش‌های مختلفی مورد سوءاستفاده قرار گیرد. در یک سناریو، هدف فریب داده می‌شود که یک برنامه‌ی جعلی را دانلود کند. روش دوم آلوده‌سازی شامل زنجیرکردن این نقص با آسیب‌پذیری دیگر در کدی است که مرورگر کروم برای رندر‌کردن محتویات استفاده می‌کند.

گوگل اطمینان داد که این نقص آنگونه که به‌نظر می‌رسد خطرناک نیست. درواقع، سوءاستفاده از آن دشوار است و سوءاستفاده‌ی بالقوه از آن نیاز به نصب یک برنامه‌ی مخرب دارد. هر بردار حمله‌ی دیگری همچون از طریق مرورگر وب، نیاز به زنجیرشدن با یک سوءاستفاده‌ی دیگر دارد.

وصله‌ی این آسیب‌پذیری، به‌زودی، در به‌روزرسانی امنیتی ماه اکتبر اندروید گوگل وصله خواهد شد.

22 مهر 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

در بهمن ماه سال 1397 اخباری مبنی بر سوء استفاده از دستگاه‌های یوبی‌کوئیتی ( #‫Ubiquiti )برای انجام حمله DDoSبا بیت‌ریت قابل توجه منتشر شد. این حمله از آسیب‌پذیر بودن سرویس فعال بر روی پورت UDP/10001این دستگاه‌ها سوء‌استفاده نموده بود (دستگاه‌های یوبی‌کوئیتی برای تسریع عملیات شناسایی شدن توسط سایر تجهیزات شبکه، سرویس معرفی خود را بر روی پورت 10001 خود اجرا می‌کنند). نفوذگران دریافته بودند که می‌توانند با ارسال بسته‌های UDPکوچک 56 بایتی، پاسخی 206 بایتی دریافت کنند و بدین ترتیب حملات DDOS Amplificationای با ضریب تقویت حدود 3.67 ترتیب داده بودند (جزء حملات DDOS Amplificationبا ضریب تقویت پائین محسوب می‌گردد).

در سال 2016 میلادی نیز بات‌نتی با نام Brickerbot، نام میزبان برخی از دستگاه‌های یوبی‌کوئیتی آسیب‌پذیر را تغییر داده بود. هدف نویسنده این بات‌نت، تخریب دستگاه‌های آسیب‌پذیر IoTپیش از آلوده شدن به سایر بدافزارها مانند miraiو شرکت ناآگاهانه در حملات آتی بوده است. وی قصد داشته صاحبان دستگاه‌های آسیب‌پذیر را مجبور کند تا دستگاه‌های خود را به روزرسانی کنند. هر دستگاه یوبی کوئیتی که "سرویس Telnetآن از طریق شبکه اینترنت قابل دسترسی بوده و تنظیمات کارخانه دستگاه تغییر داده نشده باشد" یا "به روز نشده و آسیب‌پذیر باشد" در معرض آلودگی به این بات‌نت قرار داشت (یکی از نام‌های کاربری و پسوردهای مورد استفاده برای حمله که به طور پیش فرض در دستگاه‌ها وجود دارد نام کاربری و رمزعبور ubntاست). این شبکه بات در صورتی که دستگاهی با چنین مشخصاتی شناسایی می‌نمود، مقدار hostnameدستگاه را به یکی از موارد زیر تغییر می‌داد تا به مالکان راجع به آسیب‌پذیری سوء استفاده شده هشدار دهد:

-SOS-DEFAULT-PASSWORDHACKED-ROUTER-HELP

-SOS-HAD-DUPE-PASSWORDHACKED-ROUTER-HELP

-SOS-HAD-DEFAULT-PASSWORDHACKED-ROUTER-HELP

HACKED-ROUTER-HELP-SOS-VULN-EDB-39701

HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED

HACKED-ROUTER-HELP-SOS-WEAK-PASSWORD

نام‌های تغییر یافته نشان‌دهنده استفاده از پسوردهای ضعیف، ساده و پیش فرض و حتی استفاده از نسخه به روز نشده (به عنوان نمونه، دارای آسیب‌پذیری آپلود فایل با شماره VULN-EDB-39701) توسط کاربران است.

این تجهیزات اغلب توسط شرکت‌های بزرگ ارائه‌دهنده خدمات اینترنت مورد استفاده قرار می‌گیرند

روش مقابله و امن‌سازی

برای جلوگیری از انواع حملات تشریح شده به دستگاه‌های یوبی‌کوئیتی لازم است موارد زیر هرچه سریع‌تر در دستگاه‌های آلوده اعمال شوند:

  1. مسدود کردن دسترسی به پورت UDP/10001از بیرون شبکه (در صورت عدم امکان مسدودسازی لازم است در تنظیمات دستگاه قابلیت discoveryاین سرویس با استفاده از دستور زیر غیر فعال شود)

set service ubnt-discover disable

  1. تنظیمات کارخانه‌ای دستگاه تغییر داده شوند.
  2. دسترسی به telnetدستگاه غیر فعال شود.
  3. دستگاه به روزرسانی شود.
  4. درخصوص آن دسته از دستگاه‌هایی که نام میزبان آن‌ها تغییر یافته است، بایستی Firmwareدستگاه مجدداً نصب و پیکربندی گردد.
22 مهر 1398 برچسب‌ها: اخبار
کشف 18 آسیب‌پذیری منجر به حملات اجرای کد از راه دور و DoS در نرم‌افزارهای Cisco

سیسکو اخیرا به‌روزرسانی جدیدی برای چندین محصول خود که شامل محصولاتی همچون Cisco ASA، FMCو FTDبوده، منتشر کرده ‌است و ۱۸ آسیب‌پذیری مربوط به محصولاتش را رفع کرد.

شرکت سیسکو تمامی این ۱۸ آسیب‌پذیری را خطرناک و با ریسک بالا اعلام کرده است. بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند منجر به دست آوردن دسترسی بدون مجوز به سیستم‌های مجهز به نرم‌افزار آسیب‌پذیر سیسکو شوند.

تمامی این آسیب‌پذیری‌ها، ۳ نرم‌افزار عمده سیسکو را تحت عناوین Cisco ASA Software ،Cisco FMC Softwareو Cisco FTD Software تحت تاثیر قرار می‌دهد.

در میان این ۱۸ آسیب‌پذیری، ۱۲ مورد آن نرم‌افزار Cisco FMCرا تحت تاثیر قرار می‌دهد, علاوه بر این ۴ مورد از آسیب‌پذیری‌ها هردو نرم‌افزارهای Cisco FTDو Cisco ASAبه صورت مشترک و درنهایت ۲ مورد آسیب‌پذیری باقی مانده نیز به ترتیب نرم‌افزار Cisco ASAو نرم‌افزار Cisco FTDرا تحت تاثیر قرار می‌دهد.

نرم‌افزار Cisco FMCبه شدت توسط بعضی از این آسیب‌پذیری‌های خطرناک تحت تاثیر قرار گرفته که می‌تواند باعث شود که مهاجمان حملات خطرناکی از جمله SQL injection، command injectionو حتی اجرای کد از راه دور را انجام دهند.

سیسکو آسیب‌پذیری مربوط به اجرای کد از راه دور ( CVE-2019-12687)را که در رابط کاربری تحت وب در نرم‌افزار Cisco FMCموجود بود را پچ کرده و توانسته این حفره امنیتی را رفع کند.

شایان ذکر است که 9 آسیب‌پذیری مربوط به SQL injectionبرای نرم‌افزار Cisco FMCتوسط این شرکت پچ شده است. دلیل وجود این آسیب‌پذیری‌ها عدم اعتبارسنجی صحیح ورودی‌ها می‌باشد. درنهایت سیسکو اعلام کرده که سریعا اقدام به نصب آخرین پچ‌های موجود در وب‌سایت خود به نشانی https://tools.cisco.com/security/center/publicationListing.xکرده تا از حملات سایبری در امان ماند.

منبع خبر:

https://gbhackers.com/18-vulnerabilities-that-affected-cisco-softwares-let-hackers-perform-dos-rce-to-gain-unauthorized-system-access/

https://tools.cisco.com/security/center/publicationListing.x

17 مهر 1398 برچسب‌ها: اخبار
کشف 8 آسیب‌پذیری خطرناک در نرم‌‎افزار Foxit PDF Reader

اخیرا 8 آسیب‌پذیری خطرناک بر روی ابزار Foxit Readerکه ابزاری برای خواندن و ویرایش اسناد PDFاست، کشف شد. این درحالی است که این شرکت وصله‌های مناسب جهت رفع این حفره‌های امنیتی را منتشر کرده است. این باگ‌ها که بر روی نسخه ویندوز این برنامه موجود می‌باشند، منجر به اجرای کد دلخواه از راه دور توسط مهاجم می‌شوند. از آنجایی که محبوبیت این ابزار در حدی است که طبق ادعای شرکت این برنامه در سال گذشته 475 میلیون کاربر از ابزار این شرکت استفاده کرده‌اند، باعث می‌شود سیستم‌های بیشتری در خطر باشند. این شرکت اکیداً توصیه می‌کند که نرم‌افزار خود را به‌روزرسانی کنید و آن را به نسخه 9.7 ارتقا دهید.

یکی از خطرناک‌ترین آسیب‌پذیری‌های موجود که(CVE-2019-5031(می‌باشد دارای امتیاز 8.8 از 10 طبق امتیاز‌دهی CVSSمی‌باشد و این آسیب‌پذیری با موتور جاوا اسکریپت در تعامل می‌باشد. در Foxit Readerاز جاوا اسکریپت برای فرم‌های داینامیک استفاده می‌شود. به عنوان مثال، هنگامی که کابر یک سند PDFرا باز می‌کند این عمل می‌تواند توسط جاوا اسکریپت اجرایی شود.

طبق گفته Cisco Talosکه حفره امنیتی مربوط جاوا اسکریپت را یافته است، مهاجم برای بهره‌ برداری از این آسیب‌پذیری کافی است یک فایل آلوده را برای کاربر فرستاده و کاربر نیز فایل را اجرا کند و این درحالی است که با داشتن افزونه مربوط به مرورگر شرکت Foxitو باز کردن اسناد آنلاین آلوده بازهم امکان بهره‌برداری از این آسیب‌پذیری وجود دارد.

در سال گذشته بیش از 100 آسیب‌پذیری توسط شرکت Foxit Softwareوصله شدند که بیشتر این آسیب‌پذیری‌ها شامل اجرای کد از راه دور با خطری بالا بودند.

منبع خبر:

https://threatpost.com/foxit-pdf-reader-vulnerable-to-8-high-severity-flaws/148897

17 مهر 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»