فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
سقوط نرم افزارهای آنتی‌ويروس Avast، Sophos، Avira و McAfee ناشی از به‌روزرسانی ماه آوريل مايکروسافت

به‌روزرسانی که #‫مایکروسافت در 9 آوریل سال 2019 منتشر کرده است باعث ناسازگاری نرم‌افزارهای آنتی‌ویروس Sophos، Avira، ArcaBit، Avast و McAfee با ویندوز شده است.
آنتی‌ویروس‌هایی که تحت‌تأثیر این ناسازگاری قرار گرفته‌اند عبارتند از Sophos EndPoint و Sophos Enterprise Console، نرم‌افزار آنتی‌ویروس Avira، نرم‌افزار آنتی‌ویروس ArcaBit، Avast و McAfee Security Threat Prevention 10.x و McAfee Host Intrusion Prevention 8.0. این به‌روزرسانی (KB4493472) رایانه‌‌های شخصی که Windows 7، Windows 8.1، Server 2008 R2، Server 2012، Server 2012 R2 و نیز احتمالاً Windows 10 را اجرا می‌کنند، تحت‌تأثیر قرار می‌دهد.
پس از به‌روزرسانی امنیتی ماه آوریل سال 2019 مایکروسافت، سیستم‌هایی که نرم‌افزارهای آنتی‌ویروس فوق‌الذکر را اجرا می‌کنند یا نتوانستند شروع به کار کنند یا اجرای کندی داشتند یا در راه‌اندازی مجدد کاملاً غیرپاسخگو بودند.
به گفته‌ی کارشناسان، safe mode تحت‌تأثیر این مشکل قرار نگرفته است و در حال حاضر به کاربران توصیه می‌شود از این روش به‌منظور غیرفعال‌کردن برنامه‌های آنتی‌ویروس استفاده کنند تا سیستم‌ها به صورت نرمال بوت شوند.
به گفته‌ی مایکروسافت، این مشکل احتمالاً به دلیل نقصی است که در به‌روزرسانی ماه آوریل معرفی شده‌ است و پیاده‌سازی Kerberos را در نسخه‌های مختلف ویندوز تحت‌تأثیر قرار می‌دهد.
Kerberos یک پروتکل احرازهویت شبکه‌ی رایانه‌ای است که در تعداد زیادی از محصولات متن‌باز و تجاری استفاده می‌شود. این پروتکل بر اساس بلیط‌ کار می‌کند تا به گره‌ها (node) اجازه‌ برقراری ارتباط از طریق یک شبکه‌ی ناامن به‌منظور اثبات موجودیت خود به دیگری در یک حالت امن را دهد.
مایکروسافت این به‌روزرسانی را برای نرم‌افزار‌های آنتی‌ویروس Sophos، Avira و ArcaBit مسدود کرده است. McAfee هنوز تحت بررسی است.
عرضه‌کنندگان مختلف به مشتریان خود از وجود این مشکل در به‌روزرسانی ماه آوریل مایکروسافت خبر داده‌اند.
پس از نصب این به‌روزرسانی مایکروسافت، Sophos گزارش‌هایی مبنی بر شکست در بوت‌شدن رایانه‌ها دریافت کرده است. Sophos در حال تحقیق بر روی این موضوع است. به گفته‌ی Sophos، سیستم‌هایی که Sophos Intercept X را نصب کرده‌‌اند، تحت‌تأثیر این مشکل قرار نگرفته‌اند.
به گفته‌ی Avast و McAfee، این مشکل ممکن است ناشی از تغییراتی باشد که مایکروسافت در زیرسیستم زمان اجرای کارگزار- مشتری ویندوز (CSRSS، ترکیب هسته‌ای ویندوز که برنامه‌های کاربردی Win32 را متصل و مدیریت می‌کند) ایجاد کرده است. تغییرات در CSRSS احتمالاً منجر به بن‌بست نرم‌افزار آنتی‌ویروس می‌شوند. McAfee در حال تحقیق بر روی این مشکل است و در به‌روزرسانی آتی آن را برطرف خواهد ساخت.
از سوی دیگر، عرضه‌کنندگانی همچون ArcaBit و Avast به‌روزرسانی‌هایی را جهت رفع این مشکل منتشر ساخته‌اند. Avast به کاربران خود توصیه می‌کند سیستم را در صفحه‌ی ورود به سیستم (login) به مدت پانزده دقیقه ترک و آن را دوباره بوت کنند. نرم‌افزار آنتی‌ویروس به صورت خودکار در پس‌زمینه به‌روزرسانی می‌شود.
با توجه به وصله‌هایی که از عرضه‌کنندگان آنتی‌ویروس به جای یک به‌روزرسانی از مایکروسافت مشاهده شده است، گمان می‌رود تغییراتی که مایکروسافت در CSRSS ایجاد کرده است باعث ایجاد اشکال در نرم‌افزار آنتی‌ویروس شده است.

9 اردیبهشت 1398 برچسب‌ها: اخبار
هشدار مهم سيسکو برای به‌روزرسانی رورترهای سری ASR 9000

#‫آسیب‌پذیری‌های چندگانه‌ای در محصولات سیسکو کشف شده است که شدید‌ترین آن می‌تواند موجب اجرای کد از راه دور در سیستم آسیب‌پذیر شود.
سیسکو 30 آسیب‌پذیری جدید را افشا کرد و به مشتریان خود که از روترهای سری ASR 9000 استفاده می‌کنند، هشدار داد تا نرم‌افزار خود را برای رفع یک نقص بحرانی که می‌تواند بدون استفاده از اعتبارات کاربر و از راه دور مورد سوءاستفاده قرار گیرد، به‌روزرسانی کنند.
نقص ASR با شناسه‌ی "CVE-2019-1710" از جدی‌ترین آسیب‌پذیری‌های افشاشده توسط سیسکو است. این اشکال دارای شدت 8/9 از 10 می‌باشد.
این نقص در ماشین مجازی "sysadmin" در یک روتر ASR وجود دارد که نسخه‌ی آسیب‌پذیر 64 بیتی Cisco IOS XR را اجرا می‌کند. مهاجم می‌تواند از این نقص برای دسترسی به برنامه‌های موجود در ماشین مجازی استفاده کند.
به‌گفته‌ی سیسکو، این آسیب‌پذیری ناشی از انحصار نادرست رابط مدیریت ثانویه از برنامه‌های داخلی "sysadmin" است. یک مهاجم می‌تواند با اتصال به یکی از برنامه‌های داخلی استراق سمع، از این آسیب‌پذیری بهره‌برداری کند.
یک سوء‌استفاده‌ی موفق می‌تواند منجر به شرایط ناپایدار، ازجمله حملات منع سرویس و دسترسی غیرقابل شناسایی از راه دور به دستگاه شود. بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند تأثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی پیکربندی شود.
این نشان می‌دهد که مدیران باید اتصال یک رابط ثانویه در نرم‌افزار 64 بیتی IOS XR را بررسی کنند. به‌گفته‌ی سیسکو اگر رابط مدیریت ثانویه پیکربندی و متصل باشد، دستگاه آسیب‌پذیر است.
این نقص در نسخه‌های 6.5.3 و 7.0.1 نرم‌افزار 64 بیتی IOS XR رفع شده است. این وصله، جزئیات دقیق منتشرشده توسط سیسکو را که شامل اجرای "bash" و ویرایش فایل "calvados_bootstrap.cfg" است، اجرا می‌کند.
این شرکت همچنین هشدارهایی را در مورد دو اشکال قبلاً وصله‌شده که در یک پویش سرقت DNS مورد استفاده قرار گرفته بود، منتشر کرد.
از 5 عیب دارای شدت بالا در محصولات سیسکو، سه مورد از آن‌ها بر روی نرم‌افزار کنترل‌کننده‌ی شبکه‌ی بی‌سیم سیسکو تأثیر می‌گذارند. نقص چهارم بر سری Cisco Expressway Series و Cisco TelePresence Video Communication Server و نقص پنجم بر روی نقاط دسترسی سیسکو Aironet Series تأثیر می‌گذارند.
به‌گفته‌ی سیسکو، در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.

9 اردیبهشت 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی در سرویس‌دهنده‌ی Weblogic شرکت اوراکل با شناسه‌ی CVE-2019-2725


در روزهای اخیر آسیب پذیری بحرانی با شناسه‌ی CVE-2019-2725 و CNVD-C-2019-48814 برروی سرویس دهنده های Weblogic محصول شرکت #‫Oracle منتشر شده است. این آسیب پذیری با درجه CVSS 9.8 به حمله کننده اجازه اجرای کد از راه دور را می دهد. نسخه های آسیب پذیر سرور های Oracle Weblogic، 12.1.3.0.0 و 10.3.6.0.0 می باشند. طبق گزارش منتشر شده برای این آسیب پذیری در وبسایت nvd.nist.gov، این دو نسخه تنها نسخه های آسیب پذیر هستند، اما برخی منابع نسخه های آسیب پذیر را 12.1.3 و تمامی نسخه های شاخه 10.x معرفی کرده اند.


راه حل رفع آسیب پذیری:
• بررسی وجود و استفاده از دو پکیج wls9_async_response.war و wls-wsat.war و حذف یا جایگزینی آن ها با پکیج های دیگر.
• جلوگیری از دسترسی به url هایی مانند /_async/* و /wls-wsat/* برای کاربر احراز هویت نشده


منابع:
https://thehackernews.com/2019/04/oracle-weblogic-hacking.html
https://vulners.com/myhack58/MYHACK58:62201993883?utm_source=telegram&utm_medium=vulnersBot&utm_campaign=search
https://nvd.nist.gov/vuln/detail/CVE-2019-2725

7 اردیبهشت 1398 برچسب‌ها: اخبار
به‌دست آوردن کنترل کامل دستگاه با استفاده از نقص موجود در WinRAR

شرکت #‫مایکروسافت، جزئیات مربوط به حمله‌ی ماه مارس را که از آخرین نقص کشف شده‌ی WinRAR ("CVE-2018-20250") استفاده می‌کرد، منتشر کرد. این نقص در ماه‌های اخیر به‌طور گسترده‌ای در میان گروه‌های جرایم اینترنتی و هکرها مورد استفاده قرار گرفته است.
محققان امنیتی در شرکت CheckPoint دریافتند که یک فایل ACE مخرب می‌تواند پس از استخراج توسط WinRAR، بدافزار را در هر مکانی در رایانه‌ی تحت ویندوز قرار دهد. این مکان‌ها شامل پوشه‌ی راه‌اندازی (Startup) ویندوز است؛ جایی که نرم‌افزارهای مخرب به‌طور خودکار در هر بار راه‌اندازی مجدد، اجرا می‌شوند.
یک ماه قبل از گزارش Check Point، توسعه‌دهندگان WinRAR یک نسخه‌ی جدید را منتشر کردند و پشتیبانی از ACE را کاهش دادند؛ زیرا ACE قادر نبود تا یک کتابخانه در WinRAR به نام "Unacev2.dll" که حاوی نقص مسیریابی دایرکتوری بود، به‌روزرسانی کند.
تا پیش از ماه مارس، احتمالاً 500 میلیون کاربر WinRAR در دنیا، یا به نسخه‌ی بدون ACE به‌روزرسانی نکرده بودند یا DLL آسیب‌پذیر را حذف نکرده بودند.
در این حمله، از ایمیل‌های ماحیگیری هدفمند از وزارت امور خارجه‌ی جمهوری اسلامی افغانستان استفاده می‌شد. این ایمیل، منابع، خدمات مخابراتی و نقشه‌های ماهواره‌ای را از «اهداف بسیار خاص» درخواست می‌کرد.
سند ورد ضمیمه‌شده در ایمیل به کاربر پشنهاد می‌دهد تا یک سند دیگر را از یک لینک OneDrive بدون ماکرو دانلود کند (انتخابی که احتمالاً برای جلوگیری از شناسایی ایجاد شده است).
اگر بر روی لینک کلیک شود، یک فایل بایگانی با سند دوم ورد و یک ماکروی مخرب دانلود می‌شود. اگر قربانی هشدار امنیتی مربوط به ماکروها را نادیده بگیرد، بارگیری بدافزار به رایانه انجام می‌شود.
این سند همچنین شامل یک دکمه‌ی «صفحه‌ی بعد» است که یک هشدار جعلی را نشان می‌دهد. این هشدار مربوط به یک فایل خاص DLL ازدست‌رفته است و ادعا می‌کند که رایانه نیاز به راه‌اندازی مجدد دارد.
هنگامی که ماکرو فعال می‌شود، یک اسکریپت PowerShell اطلاعاتی را در مورد سیستم جمع‌آوری می‌کند، آن را با یک شناسه‌ی منحصربه‌فرد نشان می‌دهد و به یک سرور راه دور ارسال می‌کند. این اسکریپت همچنین فرایند کلیدی برای استخراج فایل ACE مخرب با سوءاستفاده از "CVE-2018-20250" است که یک payload به نام "dropbox.exe" را رها می‌کند.
به‌گفته‌ی Check Point، پوشه‌ی "Startup" یک مکان ایده‌آل برای نصب نرم‌افزارهای مخرب است، اما مایکروسافت یادآور می‌شود که ممکن است فایل در پوشه‌های شناخته‌شده یا پیش‌فرض SMB رها شود.
در این حمله، به محض اینکه کاربر سعی در استخراج هر یک از سه فایل "JPEG" موجود در بایگانی ACE را داشته باشد، "dropbox.exe" در پوشه‌ی "Startup" قرار داده می‌شود.
دروغ در مورد یک فایل DLL ازدست‌رفته و نیاز به راه‌اندازی مجدد رایانه به این دلیل است که "CVE-2018-20250" به بدافزار اجازه می‌دهد تا فایل‌ها را در یک پوشه‌ی مشخص‌شده بنویسد، اما نمی‌تواند آن‌را بلافاصله اجرا کند. به همین دلیل است که قراردادن بار در پوشه‌ی Startup ایده‌آل است، زیرا پس از راه‌اندازی مجدد رایانه، راه‌اندازی می‌شود.
"dropbox.exe" عملکردهای مشابهی را به‌عنوان مولفه‌ی مخرب ماکرو انجام می‌دهد و کمک می‌کند تا اطمینان حاصل شود که درپشتی PowerShell در حال اجرا است.
درپشتی PowerShell می‌تواند به یک مهاجم از راه دور اجازه دهد تا کنترل کاملی بر روی دستگاه آسیب‌دیده داشته باشد و آن‌را به یک برنامه‌ی راه‌انداز برای اقدامات مخرب‌تر تبدیل کند. باز کردن و متوقف‌کردن حملات در مراحل اولیه‌ برای جلوگیری از اثرات مخرب بعدی، امری ضروری است.
به‌گفته‌ی ماکروسافت، ماکروی مخرب از تکنیک‌های پیشرفته از جمله موتور اسکریپت خود مایکروسافت، برای جلوگیری از تشخیص استفاده می‌کند.
مرکز ماهر به کاربران توصیه می‌کند که فایل‌های ACE را تحت هیچ شرایطی باز نکنند و برنامه‌ی WinRAR را به‌روزرسانی کنند. باید توجه داشت که مهاجمان می‌توانند برای فریب کاربر، پسوند فایل‌های فشرده را تغییر دهند.

4 اردیبهشت 1398 برچسب‌ها: اخبار
‫ بررسی برنامه‌های اندرویدی ((افزایش سرعت اینترنت))

متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های #‫اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

جهت مطالعه و دریافت متن کامل کلیک نمایید

31 فروردین 1398 برچسب‌ها: اخبار
انتشار به‌روزرسانی امنيتی ماه آوريل سال 2019 شرکت ادوبی

شرکت #‫ادوبی وصله‌ی به‌روزرسانی امنیتی بزرگی برای چندین نرم‌افزار ارائه‌شده‌ی خود منتشر ساخته است که تعدادی از اشکالات مهم و بحرانی را برطرف می‌سازد.
ادوبی در بولتین امنیتی ماه آوریل سال 2019 خود یک به‌روزرسانی برای تقویت امنیت Adobe Bridge CC، Adobe Experience Manager Forms، InDesign، Adobe XD، Adobe Dreamweaver، Adobe Shockwave Player، Adobe Flash Player و Adobe Acrobat and Reader لیست کرده است.
برخی از آسیب‌پذیری‌های برطرف‌شده می‌توانند منجر به مشکلات اجرای کد دلخواه، افشای اطلاعات حساس و اجرای کد راه‌دور در متن کاربر فعلی شوند.
در Adobe Bridge CC، یک خطای سرریز پشته با شناسه‌ی CVE-2019-7130 که می‌توانست منجر به اجرای کد راه دور شود به همراه یک نقص نوشتن خارج از محدوده (out-of-bounds-write) با شناسه‌ی CVE-2019-7132 که می‌تواند با همان هدف مورد سوءاستفاده قرار گیرد، وصله شده است. این به‌روزرسانی امنیتی، شش خطای افشای اطلاعات را نیز در این نرم‌افزار برطرف می‌سازد.
ادوبی آسیب‌پذیری اسکریپت‌نویسی متقابل (XSS) با شناسه‌ی CVE-2019-7129 را در Experience Manager Forms برطرف ساخته است که اگر توسط مهاجم مورد سوءاستفاده قرار گیرد ممکن است منجر به نشت اطلاعات حساس شود.
در InDesign آسیب‌پذیری با شناسه‌ی CVE-2019-7107 وصله شده است. این اشکال بحرانی ناشی از پردازش hyperlink ناامنی است که می‌تواند منجر به اجرای کد دلخواه در متن کاربر فعلی شود. دو آسیب‌پذیری CVE-2019-7105 و CVE-2019-7106 نیز در Adobe XD وصله شده‌اند که سوءاستفاده از آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.
در مجموع هفت آسیب‌پذیری امنیتی جدی در آخرین وصله‌ی به‌روزرسانی امنیتی ادوبی برای Shockwave برطرف شده است. این اشکالات (CVE-2019-7098، CVE-2019-7099، CVE-2019-7100، CVE-2019-7101، CVE-2019-7102، CVE-2019-7103 و CVE-2019-7104) همگی مسائل مربوط به خرابی حافظه هستند که می‌توانند به‌منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.
یک جفت آسیب پذیری مهم و حیاتی با شناسه‌های CVE-2019-7108 و CVE-2019-7096 در Adobe Flash رفع شده است. این نقص‌های خواندن خارج از محدوده و استفاده پس از آزادسازی (use-after-free) می‌توانند منجر به نشت اطلاعات یا استفاده از کد دلخواه شوند.
Adobe Acrobat and Reader به‌روزرسانی قابل‌توجهی در وصله‌ی ماه آوریل ادوبی دریافت کرده است. در مجموع، 21 مسئله برطرف شده است که 10 مورد از آن‌ها می‌تواند منجر به افشای اطلاعات شود و 11 اشکال می‌تواند به منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
یک نقص امنیتی متوسط با شناسه‌ی CVE-2019-7097 نیز Adobe Dreamweaver را تحت‌تأثیر قرار داده است. اگر پروتکل‌های انسداد پیامک کارگزار (SMB) نهاد رله‌سازی حملات در این نرم‌افزار باشند، این نقص می‌تواند برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرد.
توصیه می‌شود کاربران به‌روزرسانی‌های خودکار را به منظور کاهش خطرات سوءاستفاده دریافت نمایند.

31 فروردین 1398 برچسب‌ها: اخبار
به‌روزرسانی ماه آوريل مايکروسافت و رفع دو آسيب‌پذيری روز صفرم

شرکت مایکروسافت، به‌روزرسانی ماه آوریل خود را منتشر کرد و آسیب‌پذیری‌های متعددی ازجمله دو آسیب‌پذیری روز صفرم ویندوز که در حملات گسترده مورد سوءاستفاده قرار گرفته‌اند، رفع کرد.
در این به‌روزرسانی، بیش از ده آسیب‌پذیری اجرای کد از راه دور و افزایش امتیاز که بر ویندوز و مرورگرهای مایکروسافت تأثیر می‌گذارند، وصله شدند.
15 به‌روزرسانی منتشرشده، در مجموع 74 آسیب‌پذیری منحصربه‌فرد در ویندوز، اینترنت اکسپلورر، Edge، آفیس، SharePoint و Exchange را پوشش می‌دهند.
آسیب‌پذیری‌های روز صفرمی که به‌طور گسترده مورد سوءاستفاده قرار گرفته‌اند، "CVE-2019-0803" و "CVE-2019-0859" هستند که می‌توانند به یک مهاجم، اجازه‌ی افزایش دسترسی در سیستم‌های هدف دهند.
آسیب‌پذیری افزایش امتیاز در ویندوز زمانی به‌وجود می‌آید که مؤلفه‌ی "Win32k" نتواند به‌درستی اشیاء را در حافظه کنترل کند. مهاجم می‌تواند پس از سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم باید ابتدا به سیستم وارد شود. برای این کار می‌تواند یک برنامه‌ی خاص طراحی‌شده را اجرا کند که می‌تواند از این آسیب‌پذیری سوءاستفاده کند و کنترل سیستم آسیب‌دیده را به‌دست گیرد.
به‌روزرسانی مایکروسافت، این آسیب‌پذیری را با تصحیح چگونگی کنترل اشیاء توسط "Win32k" رفع می‌کند.
علاوه بر آسیب‌پذیری‌های روز صفرم، دیگر محصولات امنیتی مایکروسافت نیز وجود دارند که کاربران باید وصله‌های منتشرشده را بر روی آن‌ها اعمال کنند.
به‌عنوان مثال، سه اشکال در Microsoft Office Access Connectivity با شناسه‌های "CVE-2019-0824"، "CVE-2019-0825" و "CVE-2019-0827" وجود دارند که می‌توانند مهاجمین را قادر به اجرای کد در سیستم‌های آسیب‌پذیر کنند. این اشکالات می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و محیط‌های سازمانی را در معرض خطر قرار دهند.
در هنگام تجزیه‌ی فایل‌های EMF، آسیب‌پذیری اجرای کد از راه دور ("CVE-2019-0853")، مؤلفه‌ی GDI ویندوز را تحت تأثیر قرار می‌دهد. با توجه به اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند با متقاعدکردن کاربران به بازدید از یک وب‌سایت یا ارسال ایمیل حاوی فایل مخرب به کاربران انجام شود، این نقص نیز یک مسئله‌ی بسیار جدی است که اعمال وصله‌های منتشرشده را ضروری می‌سازد.
Adobe و SAP نیز به‌روزرسانی‌های امنیتی مربوطه خود را منتشر کردند. Adobe هفت به‌روزرسانی را برای رفع 43 آسیب‌پذیری در محصولات خود مانند Adobe Reader، Acrobat، AIR، Flash و Shockwave منتشر کرد.
Wireshark نیز سه به‌روزرسانی را برای حل ده آسیب‌پذیری منتشر کرد. Wireshark یکی از ابزارهای نادیده گرفته‌شده‌ی IT است که می‌تواند خطر قابل توجهی را برای محیط اطراف کاربر ایجاد کند.
باتوجه به اهمیت آسیب‌پذیری‌های ذکرشده، به‌روزرسانی این محصولات برای رفع نقایص موجود امری ضروری است و به کاربران توصیه می‌شود تا هرچه سریع‌تر وصله‌های منتشرشده را اعمال کنند.

31 فروردین 1398 برچسب‌ها: اخبار
سوءاستفاده از نقص انکار سرویس در چندین مسیریاب Mikro Tik

شرکت MikroTik# بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.

مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.

اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.

به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.

آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.

پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.

MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.

کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.

Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.

در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.

این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.

Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.

کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

25 فروردین 1398 برچسب‌ها: اخبار
آلوده‌شدن 150 ميليون کاربر اندرويد به بدافزار "Simbad"

یک پویش پیشرفته‌ی مخرب کشف شده است که بدافزار #‫سیمباد (SimBad) را از طریق فروشگاه Google Playمنتشر می‌کند. به‌گفته‌ی کارشناسان، بیش از 150 میلیون کاربر در حال حاضر تحت تأثیر این پویش قرار گرفته‌اند.

سیمباد خود را به‌ تبلیغات مبدل می‌کند و در مجموعه‌ی کیت توسعه‌ی نرم‌افزار RXDrioder (SDK) که برای اهداف تبلیغاتی و کسب درآمد استفاده می‌شود، مخفی می‌شود. هر برنامه‌ای که با استفاده از SDKمخرب توسعه می‌یابد، شامل کد مخرب است.

این بدافزار توسط دامنه‌ی "addoider [.] com" به‌عنوان یک SDKمرتبط با تبلیغ ارائه شده است. با دسترسی به این دامنه، کاربران به یک صفحه‌ی ورودی دسترسی پیدا می‌کنند که به‌نظر می‌رسد مشابه سایر پنل‌های بدافزار است. پیوندهای «ثبت نام» شکسته می‌شوند و کاربر به صفحه‌ی ورود به سایت هدایت می‌شود.

بدافزار سیمباد همچنین قادر به هدایت کاربران اندرویدی به وب‌سایت‌های ماحیگیری است تا برنامه‌های مخرب بیشتری را از فروشگاه Playیا از یک سرور از راه دور دانلود ‌کند.

هنگامی که یک کاربر اندروید یک برنامه‌ی آلوده را دریافت و نصب می‌کند، بدافزار سیمباد خود را در "BOOT_COMPLETE" و "USER_PRESENT" ثبت می‌کند. به این ترتیب، نرم‌افزارهای مخرب می‌توانند عملیات را پس از اتمام مرحله‌ی بوت‌شدن انجام دهند، در حالی که کاربر، بدون اطلاع از دستگاه خود استفاده می‌کند.

پس از نصب، بدافزار سیمباد به سرور فرماندهی و کنترل (C&C) متصل می‌شود و فرمانی را برای انجام آن دریافت می‌کند. سپس آیکون خود را از لانچر حذف می‌کند که این کار حذف برنامه‌ی مخرب را برای کاربر دشوار می‌سازد. همزمان، تبلیغات را در پس‌زمینه نمایش می‌دهد و یک مرورگر با یک URLمشخص برای تولید درآمد، بدون ایجاد سوءظن باز می‌کند.

سیمباد دارای قابلیت‌هایی است که می‌توانند به سه گروه نمایش تبلیغات، ماحیگیری و قرارگرفتن در معرض دیگر برنامه‌ها تقسیم شوند. با استفاده از قابلیت بازکردن یک URLمشخص‌شده در مرورگر، مهاجم سیمباد می‌تواند صفحات ماحیگیری را برای سیستم‌عامل‌های مختلف ایجاد کند و آن‌ها را در یک مرورگر باز کند، بدن ترتیب، حملات ماحیگیری هدف‌دار را بر روی کاربر انجام دهد.

با توانایی بازکردن برنامه‌های بازاری مانند Google Playو 9Apps، با جستجوی کلیدواژه‌ی خاص یا حتی یک صفحه‌ی برنامه‌‌ی منفرد، این مهاجم می‌تواند به دیگر مهاجمان تهدید دست یابد و سود خود را افزایش دهد. مهاجم حتی می‌تواند با نصب یک برنامه‌ی از راه دور از یک سرور اختصاصی، فعالیت‌های مخرب خود را به سطح بالاتر ببرد تا به او اجازه‌ی نصب نرم‌افزارهای مخرب جدید را بدهد.

با توجه به تحقیقات انجام‌شده، اکثر برنامه‌های آلوده، بازی‌های شبیه‌ساز، ویرایشگر عکس و برنامه‌های کاربردی تصاویر پس‌زمینه هستند. 10 برنامه‌ی برتر آلوده به بدافزار سیمباد عبارتنداز:

  1. شبیه‌ساز Snow Heavy Excavator(10،000،000 دانلود)
  2. مسابقه‌ی Hoverboard(5،000،000 دانلود)
  3. شبیه‌ساز Real Tractor Farming(5.000.000.000 دانلود)
  4. Ambulance Rescue Driving (5،000،000 دانلود)
  5. شبیه‌ساز Heavy Mountain Bus 2018 (5،000،000 دانلود)
  6. Fire Truck Emergency Driver (5،000،000 دانلود)
  7. شبیه‌ساز Farming Tractor Real Harvest(5،000،000 دانلود)
  8. Car Parking Challenge (5،000،000 بارگیری)
  9. مسابقات Speed Boat Jet Ski (5،000،000 دانلود)
  10. Water Surfing Car Stunt (5،000،000 دانلود)

لیست کامل برنامه‌های آلوده به این بدافزار در اینجا موجود است.

25 فروردین 1398 برچسب‌ها: اخبار
نقص جديد آپاچی و تأثير آن بر دو ميليون سرور HTTP

بنیاد نرم‌افزار #‫آپاچی، یک آسیب‌پذیری شدید در پروژه‌ی وب‌سرور آپاچی (httpd) وصله کرده است که به اسکریپت‌های سرکش سرور اجازه می‌دهد تا بتوانند کد را با امتیازات ریشه اجرا کنند و سرور پایه را در اختیار گیرند.
وب‌سرور آپاچی یکی از محبوب‌ترین و گسترده‌ترین وب‌سرورهای منبع‌باز در جهان است که تقریباً ۴۰ درصد از کل اینترنت را پشتیبانی می‌کند.
این آسیب‌پذیری که با شناسه‌ی "CVE-2019-0211" ردیابی می‌شود، نسخه‌های آپاچی HTTP Server را فقط در سیستم‌های یونیکس از 2.4.17 تا 2.4.38 تحت تأثیر قرار می‌دهد و با انتشار نسخه‌ی 2.4.39 رفع شده است.
به‌گفته‌ی کارشناسان امنیتی، بیش از 2 میلیون سرور آپاچی HTTP تحت تأثیر نقص تشدید امتیازات "CVE-2019-0211" قرار دارند.
این آسیب‌پذیری مهم افزایش امتیاز می‌تواند توسط کاربران مورد سوءاستفاده قرار گیرد تا حق نوشتن و اجرای اسکریپت‌ها را برای به‌دست آوردن ریشه در سیستم‌های یونیکس به‌دست آورند.
در Apache HTTP Server نسخه‌ی 2.4.17 تا 2.4.38، با رویداد MPM، worker یا prefork، می‌توان کد دلخواه را با امتیازات فرایند اصلی (معمولاً ریشه) و با دست‌کاری scoreboard اجرا کرد. سیستم‌های غیریونیکس تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.
طبق گفته‌ی تیم آپاچی، پردازنده‌های فرزند (مانند اسکریپت هایCGI ) می‌توانند کد مخرب را با امتیازات فرآیند والدین اجرا کنند.
از آنجایی که در اکثر سیستم‌های یونیکس آپاچی، httpd تحت کاربر ریشه اجرا می‌شود، هر تهدیدکننده‌ای که یک اسکریپت CGI مخرب را بر روی یک سرور آپاچی نصب می‌کند، می‌تواند از "CVE-2019-0211" برای استفاده از سیستم پایه‌ای که در حال اجرای پروسس httpd پروتکل آپاچی است، استفاده کند و کنترل کل دستگاه را به‌‌دست گیرد.
این آسیب‌پذیری در HTTP سرور آپاچی یافت شده و وصله شده است؛ اما هنوز هم تعداد زیادی از سرورهای در حال اجرای نسخه‌های قدیمی‌تر و وصله‌نشده را تحت تأثیر قرار می‌دهد. صدها هزار وب‌سایت و سرور هنوز می‌توانند به‌طور بالقوه در معرض حملات سایبری قرار گیرند.
براساس تحلیلات انجام‌شده، بیش از دو میلیون سرور و بسیاری از سیستم‌عامل‌های ابر عمومی، هنوز نسخه‌های آسیب‌پذیر آپاچی را اجرا می‌کنند. بیشتر سیستم‌هایی که تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند، در ایالات متحده (حدود 770،000)، آلمان (حدود 224،000) و فرانسه (حدود 111،000) هستند.
این آسیب‌پذیری ممکن است یک تهدید فوری و قابل لمس برای توسعه‌دهندگان و شرکت‌هایی که زیرساخت‌های سرور خود را اداره می‌کنند، ایجاد نکند؛ اما یک آسیب‌پذیری حیاتی در محیط میزبانی وب به‌حساب می‌آید.
سازمان‌ها باید در اسرع وقت وصله‌ی آپاچی را دریافت کنند و اگر سازمان‌ها، وب‌سایت خود را در یک میزبان وب که تحت تأثیر این مسئله قرار گرفته است، میزبانی می‌کنند، باید فوراً آن‌را وصله‌کنند یا به یک ارائه‌دهنده/پلت‌فرم دیگر انتقال دهند.

25 فروردین 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»