فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
سواستفاده ی گسترده ی مهاجمین از آسیب پذیری های Microsoft exchange

زنجیره ای از #‫آسیب‌پذیری های بحرانی با شناسه‌های CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 در محصولات #‫مایکروسافت وجود دارد که بهره برداری موفق از آن‌ها به اجرای کامل حمله ProxyShell Attack می‌انجامد. سوء‌استفاده از آسیب‌پذیری ها از راه دور و از طریق سرویس Microsoft client access service که بر روی پورت پیش فرض 443 در IIS وجود دارد، صورت می‌گیرد. بهره‌برداری موفق از این سه آسیب‌پذیری به مهاجم این امکان را می‌دهد تا در سیستم قربانی کد دلخواه خود را اجرا نماید.
مطابق با بررسی‌های صورت گرفته و اطلاعات موجود به مدیران مربوطه توصیه میشود دو رشته " /mapi/nspi/ " و " /autodiscover/autodiscover.json " در فایل‌های Log سرویس دهنده IIS بررسی شود. اگر هرکدام از رشته‌ها در خروجی رویت شد، این به این معنا است که سیستم هدف مورد بررسی آسیب‌پذیری قرار گرفته است و زنگ خطری است برای مدیر مربوطه.

نسخه های آسیب پذیر

به مدیران و مسئولان مربوطه اکیدا توصیه می‌شود تا نرم افزار مورد استفاده خود را با وصله‌های امنیتی منتشر شده برای این سه آسیب‌پذیری وصله نمایند.

منبع

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

19 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری‌های بحرانی در محصولات سیسکو

شرکت #‫سیسکو اخیراً به منظور وصله چندین #‫آسیب‌پذیری‌ در محصولات خود به‌روزرسانی‌هایی را منتشر نموده است؛ در این بین یک مجموعه از محصولات سیسکو دارای دو آسیب‌پذیری با شدت بحرانی 9.8 از 10 و سایر موارد دارای شدت بالا یا متوسط هستند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها منجر به اجرای کد دلخواه از راه دور بر روی دستگاه‌های آسیب‌پذیر، افشای اطلاعات حافظه و یا reload شدن ناگهانی روتر خواهد شد. در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مهم این به‌روزرسانی آورده شده است.

با توجه به اینکه به جز آسیب‌پذیری مربوط به ConfD، هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام کنید.
جهت مشاهده‌ی فهرستی از آسیب‌پذیری‌های اخیر محصولات سیسکو به پیوند زیر مراجعه کنید:

https://tools.cisco.com/security/center/publicationListing.x

جزییات فنی و Advisory مربوط به هر آسیب‌پذیری:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv340-cmdinj-rcedos-pY8J3qfy

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-code-execution-9UVJr7k4

16 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
به‌روزرسانی محصولات VMware

شرکت VMware در به‌روزرسانی اخیر خود دو #‫آسیب‌پذیری را در محصولات خود وصله کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید.
آسیب‌پذیری‌ با شناسه CVE-2021-22002 و شدت بالای 8.6 از 10 ناشی از عدم ارزیابی کافی ورودی کاربر در محصولات آسیب‌پذیر بوده و به مهاجم امکان اجرای حملات SSRF از راه دور را می‌دهد. آسیب‌پذیر دیگر با شناسه CVE-2021-22003 شدت پایینی دارد (3.7 از 10). محصولات زیر تحت تاثیر می‌باشند:

  • VMware Workspace One Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

با توجه به شدت بالای آسیب‌پذیری CVE-2021-22002 در صورتی که امکان به‌روزرسانی محصولات آسیب‌پذیر به آخرین نسخه وجود ندارد، توصیه می‌شود راهکارهای موقت موجود در پیوند زیر را اعمال کنید:

https://kb.vmware.com/s/article/85255

جهت اطلاع از جزییات این آسیب‌پذیری‌ها به پیوند زیر مراجعه کنید:

https://www.vmware.com/security/advisories/VMSA-2021-0016.html

16 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

اخیراً فهرست آسیب‌پذیری‌هایی که در سال 2020 مرتباً تحت بهره‌برداری فعال قرار داشتند و همچنین آسیب‌پذیری‌هایی که از آغاز سال 2021 تا کنون بهره‌برداری فعال از آنها مشاهده شده است توسط مرکز CISA منتشر شده‌ است. سیستم‌های آسیب‌پذیر در سازمان‌ها می‌توانند با اعمال وصله‌های منتشر شده یا پیاده‌سازی یک سیستم مدیریت وصله، مخاطرات مربوط به این آسیب‌پذیری‌ها را کاهش دهند. اکثر آسیب‌پذیری‌های معرفی شده، با اعمال به‌روزرسانی‌های منتشر شده رفع خواهند شد. در صورتی که امکان اعمال کلیه وصله‌های منتشر شده در سیستم آسیب‌پذیر وجود ندارد، توصیه می‌شود وصله‌ها ابتدا برای آسیب‌پذیری‌هایی که قبلاً مورد بهره‌برداری قرار گرفته‌اند یا سیستم‌های در معرض خطر بالقوه مانند سیستم‌های قابل دسترس از طریق اینترنت، اعمال شوند.
جزییات آسیب‌پذیری‌ها
فهرستی از آسیب‌پذیری‌هایی که در سال 2020 بیشترین بهره‌برداری فعال از آنها مشاهده شده است، در زیر آورده شده‌اند. در بین این موارد، بیشترین آسیب‌پذیری استفاده شده در حملات، آسیب‌پذیری CVE-2019-19781 بود:

پروتکل Netlogon مایکروسافت

آسیب‌پذیری ارتقاء سطح دسترسی با شناسه CVE-2020-1472 و شدت بحرانی 10.0

اطلاعات بیشتر: https://cert.ir/news/13110
محصول F5- Big IP
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2020-5902 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13081
سیستم مدیریت محتوای Drupal
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2018-7600 و شدت بحرانی 9.8
اطلاعات بیشتر: https://www.drupal.org/sa-core-2018-002
محصول Citrix Application Delivery Controller (ADC)
آسیب‌پذیری اجرای کد دلخواه با شناسه CVE-2019-19781 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12899
محصول Pulse Connect Secure (PCS)
آسیب‌پذیری خواندن فایل دلخواه با شناسه CVE-2019-11510 و شدت بحرانی 10.0
اطلاعات بیشتر: https://cert.ir/news/13093
محصول Fortinet FortiOS
آسیب‌پذیری پیمایش مسیر با شناسه CVE-2018-13379 و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/13197
محصول Microsoft SharePoint
آسیب‌پذیری اجرای کد از راه دور با شناسه CVE-2019-0604و شدت بحرانی 9.8
اطلاعات بیشتر: https://cert.ir/news/12677
سیستم‌عامل ویندوز
آسیب‌پذیری ارتقاء سطح دسترسی با شناسه CVE-2020-0787 و شدت بالا 7.8
اطلاعات بیشتر: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0787

علاوه بر وصله‌ی آسیب‌پذیری‌های فوق، وصله‌ی آسیب‌پذیری‌هایی که در سال 2021 تحت بهره‌برداری قرار گرفته‌اند نیز باید در دستور کار قرار گیرد. از این موارد می‌توان به آسیب‌پذیری در محصولات زیر اشاره کرد:

  • آسیب‌پذیری‌های مربوط به سرور Exchange مایکروسافت:

CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065، CVE-2020-0688

  • آسیب‌پذیری‌های محصولات Pulse Secure:

CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900

  • آسیب‌پذیری‌ در vSphere Client محصول VMware:

CVE-2021-21985

  • آسیب‌پذیری‌های مربوط به Fortinet FortiOS:

CVE-2018-13379، CVE-2020-12812 و CVE-2019-5591
طبق تحقیقات منتشر شده، سازمان‌های دولتی و خصوصی در سراسر جهان بیشتر در معرض مخاطرات این آسیب‌پذیری‌ها قرار دارند. یکی از موثرترین راهکارهای کاهش مخاطرات این آسیب‌پذیری‌ها و جلوگیری از نفوذ گروه‌های تهدید مانند APTها، نصب و اعمال وصله‌های امنیتی در سریع‌ترین زمان ممکن و یا بکارگیری راهکارهای موقت ارائه شده است.
مرجع

10 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار در خصوص آسیب‌پذیری موجود در Node.js

Node.js یک محیط اجرای جاوا اسکریپت back-end است که در موتور V8 اجرا شده و منجر به اجرای کد جاوا اسکریپت در خارج از مرورگر خواهد شد. اخیراً Node.js یک به‌روزرسانی‌های امنیتی برای وصله #‫آسیب‌پذیری use-after-free شدت بالا با شناسه CVE-2021-22930 منتشر کرد. این آسیب‌پذیری بر نحوه مدیریت درخواست‌های HTTP2 تاثیر گذاشته و کلیه نسخه‌هایx.16،x.14 وx.12 از Node.js را تحت تاثیر خود قرار می‌دهد. با توجه به اهمیت این آسیب‌پذیری توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. نسخه‌های 16.6.0، 12.22.4 (LTS) و 14.17.4 (LTS) نسخه‌های حاوی وصله هستند. این نسخه‌ها از لینک‌های زیر قابل دریافت هستند:

https://nodejs.org/en/blog/release/v14.17.4/

بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اختلال در فرآیندها، ایجاد رفتارهای غیرمنتظره شامل خرابی برنامه و اجرای کد از راه دور شود.
در حال حاضر هیچ‌گونه روشی جهت کاهش مخاطرات این آسیب‌پذیری منتشر نشده است.
لازم به ذکر است Red Hat شدت این آسیب‌پذیری را 9.1 تعیین کرده است. جهت دریافت اطلاعات بیشتر در مورد این آسیب‌پذیری به لینک زیر مراجعه کنید:

مراجع

https://www.ehackingnews.com/2021/08/nodejs-pushes-out-immediate-fixes-for.html

https://access.redhat.com/security/cve/CVE-2021-22930#cve-faq

10 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
وجود آسیب پذیری در پلت فرم آموزشی Moodle

وجود آسیب پذیری از نوع RCE با شناسه CVE-2021-36394 و شدت خطر بحرانی در پلت فرم آموزشی Moodle.

در صورت بهره برداری موفق از این #‫آسیب‌پذیری، نفوذگر این امکان را دارد تا به اطلاعات دانشجویان مانند: اطلاعات کاربری، نتایج آزمون و غیره دسترسی داشته و حتی آنها را تغییر دهد. این آسیب پذیری از یک ماژول مکانیزم احراز هویت با نام shibboleth نشات می گیرد که به صورت پیش فرض غیر فعال است.
نسخه های آسیب پذیر

راه حل
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا پلت فرم مورد استفاده خود را به آخرین نسخه به روز نمایند.
منبع

9 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

مهم‌ترین اخبار منتشر شده در در پورتال مرکز ماهر در ماه گذشته :

  • آسیب‌پذیری PrintNightmare با شدت بالا در سرویس Print Spooler ویندوز که بهره‌برداری از آن منجر به اجرای کد از راه دور بر روی سیستم ویندوزی و در اختیار گرفتن آن توسط مهاجم خواهد شد.
  • آسیب‌پذیری HP Integrated Light Out که امکان دورزدن احراز هویت و اجرای کد از راه دور و افشای اطلاعات را فراهم می‌سازد.
  • آسیب‌پذیری روز صفرم موجود در دو محصول Serv-U شرکت SolarWinds که به مهاجم امکان اجرای کد از راه دور، نصب برنامه، مشاهده، تغییر، یا حذف اطلاعات و یا اجرای برنامه‌های نصب شده بر روی سیستم آسیب‌پذیر را می‌دهد.
  • هشدار شرکت SonicWall در خصوص حملات فعال باج‌افزاری بر روی برخی از محصولات خود
  • دستورالعمل‌هایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر
  • آسیب‌پذیری محصولات VMware که می‌تواند دسترسی‌های مدیر سیستم را بدون انجام احرازهویت به‌دست آورد و با قرار دادن یک فایل مخرب در یک دایرکتوری خاص و بهره‌برداری از آسیب‌پذیری، کد دلخواه خود را با دسترسی‌های بالا اجرا نماید.
  • هشدار شرکت Juniper Networks درخصوص آسیب‌پذیری بحرانی در محصول سرور AAA خود یعنی SBR Carrier که امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر را برای مهاجم فراهم می‌کند.
  • به‌روزرسانی‌هایی ماه جولای محصولات مایکروسافت برای 117 مورد آسیب‌پذیری
  • آسیب‌پذیری بحرانی از نوع تزریق دستور SQL در برخی نسخه‌های افزونه‌ی WooCommerce که برای مهاجم احراز هویت نشده امکان اجرای کد بر روی وبسایت فروشگاهی آسیب‌پذیر را فراهم می‌کند

خلاصه‌ای ازمهم‌ترین آسیب‌پذیری‌ها درجدول زیر آورده شده است.

5 مرداد 1400 برچسب‌ها: اخبار, مهم‌ترین اخبار ماهانه
دسترسی عمومی به خروجی ها و نشریات مراکز آپا

مراکز آپا در قالب های مختلف مبادرت به تولید نشریات و خروجی های پژوهشی، ترویجی و دستورالعمل های فنی کرده‌اند. اگر چه بسیاری از این خروجی ها از طریق سایت های مراکز در آدرس https://cert.ir/partners قابل دسترس است، در زیر نمونه‌ای از این خروجی ها که در چند ماه اخیر به دست آمده است لیست شده‌اند:

ردیف عنوان نشریات و خروجی های عنوان مرکز آپا آدرس وبسایت
1 آپای دانشگاه صنعتی اصفهان http://www.nsec.ir
2 آپای دانشگاه ارومیه http://uucert.com
3 آپای دانشگاه یزد http://cert.yazd.ac.ir
4 آپای دانشگاه یزد http://cert.yazd.ac.ir
5 آپای دانشگاه رازی http://cert.razi.ac.ir
6 آپای دانشگاه رازی http://cert.razi.ac.ir
7 آپای دانشگاه رازی http://cert.razi.ac.ir
8 آپای دانشگاه قزوین http://cert.ikiu.ac.ir
9 آپای دانشگاه کردستان http://cert.uok.ac.ir
10

ویرا/فصل­ نامه تخصصی امنیت سایبری/شماره ششم/فصل تابستان1399

آپای دانشگاه کردستان http://cert.uok.ac.ir
11

ویرا/فصل­ نامه تخصصی امنیت سایبری/شماره هفتم/فصل پاییز1399

آپای دانشگاه کردستان http://cert.uok.ac.ir
12

ویرا/فصل­ نامه تخصصی امنیت سایبری/شماره هشتم/فصل زمستان1399

آپای دانشگاه کردستان http://cert.uok.ac.ir
13 آپای دانشگاه کردستان http://cert.uok.ac.ir
14

الزامات امنیتی رایانش ابری بر اساس ماتریس کنترل های ابری

(CCM)

آپای دانشگاه زنجان http://cert.znu.ac.ir/
15 تحلیل بات نت AndroMeda آپای دانشگاه محقق اردبیل http://cert.uma.ac.ir
16 وضعیت سایبری چین آپای دانشگاه صنعتی اصفهان http://www.nsec.ir
17 وضعیت سایبری روسیه آپای دانشگاه صنعتی اصفهان http://www.nsec.ir
18 عملیات روبیکان آپای دانشگاه صنعتی اصفهان http://www.nsec.ir

لیست درحال بروزرسانی است ..

4 مرداد 1400 برچسب‌ها: اخبار
آسیب‌پذیری ویندوز سرورها در برابر حملات NTLM relay (PetitPotam)

اخیراً یک نقص امنیتی در سیستم‌عامل‌های ویندوزی یافت شده که به موجب آن مهاجم قادر است سیستم‌های ویندوزی آسیب‌پذیر به طور خاص ویندوز سرورها را هدف قرار داده و کنترل آن را بدست گیرد:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2016
  • Windows Server, version 20H2
  • Windows Server, version 2004
  • Windows Server 2019

این حمله که یک نوع حمله‌ی NTLM relay می‌باشد، به نام PetitPotam شناخته شده است. به‌طور کلی مهاجمان در حمله PetitPotam، از سرویس‌های موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند و در برابر حملات NTML relay محافظت نشده‌اند، بهره‌برداری می‌کند.
#‫مایکروسافت برای جلوگیری از این نوع حملات توصیه کرده است تا در سیستم‌ها به خصوص DCهایی که احراز هویت NTLM مورد استفاده قرار نگرفته است، NTLM غیرفعال شود؛ در صورت عدم امکان غیرفعال‌سازی، مدیران دامنه باید اطمینان حاصل کنند که هر سرویسی که از احراز هویت NTLM استفاده می‌کند با استفاده از مکانیزم EPA (Extended Protection for Authentication) یا SMB signing در برابر حملات مورد بحث و سرقت اعتبارنامه‌ی سیستم‌های ویندوزی محافظت شده‌ است.
به عنوان مثال یکی از سرویس‌هایی که به‌طور پیش‌فرض از احراز هویت NTLM استفاده می‌کند سرویس certificate اکتیو دایرکتوری یا ADCS (Active Directory Certificate Service) است که می‌تواند در این حملات مورد بهره‌برداری قرار گیرد. برای اطلاع از جزییات چگونگی محافظت از سرورهای ADCS در برابر حملات مذکور و کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

به گفته‌ی مایکروسافت در صورتی که احراز هویت NTLM در دامنه فعال بوده و Certificate Service موجود در اکتیو دایرکتوری یا AD CS به همراه هر یک از سرویس‌های زیر استفاده شود، سیستم آسیب‌پذیر است:

  • Certificate Enrollment Web Service
  • Certificate Authority Web Enrollment

در اکثر موارد احراز هویت NTLM در شبکه فعال است و سرورهای AD CS نیز به طور پیش‌فرض در برابر حملات NTLM relay محافظت نشده‌اند. با توجه به اینکه اجرای موفق این حمله می‌تواند منجر به تحت کنترل گرفتن DC و در آخر کل شبکه سازمان شود، توصیه می‌شود در اسرع وقت نسبت به مقاوم‌سازی سرویس‌ها و سرورهای موجود در دامنه که از احراز هویت NTLM استفاده می‌کنند، اقدام کنید.

مراجع

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

3 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری‌های موجود در محصولات Adobe

شرکت Adobe به‌روزرسانی‌هایی را به منظور وصله چندین #‫آسیب‌پذیری در محصولات خود منتشر کرده است. توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود.
این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر خود قرار می‌دهند:

  • Adobe Photoshop
  • Adobe Audition
  • Adobe Character Animator 
  • Adobe Prelude
  • Adobe Premiere Pro
  • Adobe After Effects
  • Adobe Media Encoder
  • Adobe Bridge
  • Adobe Acrobat and Reader
  • Adobe Framemaker
  • Adobe Illustrator
  • Adobe Dimension

در جدول زیر برخی از آسیب‌پذیری‌های شدت بالا موجود در دو محصول پرکاربرد Adobe آورده شده است:

جهت کسب اطلاعات بیشتر در مورد سایر آسیب‌پذیری‌های موجود در محصولات Adobe که در این به‌روزرسانی وصله شده‌اند به پیوند زیر مراجعه کنید:

2 مرداد 1400 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
صفحات: « 1 2 3 4 5 ... » »»