فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
حذف 197 افزونه‌ی مخرب از مرورگر Firefox توسط Mozilla

طی دو هفته‌ی گذشته، تیم بررسی add-on Mozilla، 197 افزونه‌ی (add-on) مرورگر #Mozilla را به دلیل اجرای کد مخرب، سرقت اطلاعات کاربر یا استفاده از ابهام‌سازی جهت مخفی‌کردن کد منبعشان، ممنوع ساخته است.
Mozilla به‌منظور جلوگیری از نصب جدید این افزونه‌های مخرب، آن‌ها را از پورتال Add-on حذف و در مرورگرهای کاربرانی که قبلاً آن‌ها را نصب کرده‌اند، غیرفعال کرده است.
اکثر این ممنوعیت‌‌ها، مربوط به 129 افزونه‌ی ارایه‌شده توسط 2Ring (ارایه‌دهنده‌ی نرم‌افزار B2B) است. اجرای این ممنوعیت بدین دلیل است که این افزونه‌ها کد را از یک کارگزار راه‌دور دانلود و اجرا می‌کنند. در حالیکه طبق قوانین Mozilla، افزونه‌ها باید تمامی کدهایشان را از خودشان داشته باشند و نباید کد را به صورت پویا از مکان‌های راه‌دور دانلود کنند. دانلود کد از یک کارگزار راه‌دور به عاملین تهدید اجازه می‌دهد کد مخرب را زمانی که یک بار به صورت پویا از یک کارگزار تحت کنترلشان دانلود می‌شود، درون مرورگر اجرا کنند.
شش افزونه‌ی ارایه‌شده توسط Tamo Junto Caixa و سه افزونه‌ای که به نظر می‌آمد محصولات جعلی حق اشتراک (premium) باشند نیز به دلیل دانلود و اجرای کد راه‌دور ممنوع شده‌اند.
برخی از ممنوعیت‌ها به دلیل جمع‌آوری غیرقانونی اطلاعات کاربران اعمال شده‌اند. کارمندان Mozilla یک افزونه‌ی بی‌نام، افزونه‌های WeatherPool and Your Social، Pdfviewer-tools، RoliTrade و Rolimons Plus را به دلیل جمع‌آوری غیرقانونی اطلاعات کاربران ممنوع کرده‌اند.
این ممنوعیت‌ها به دلیل رفتارهای مخرب افزونه‌ها نیز بر روی آن‌ها اعمال شده‌ است. بازرسان Mozilla، 30 افزونه را که انواع مختلف رفتارهای مخرب را نمایش می‌دادند، ممنوع کردند. موزیلا فقط شناسه‌های این افزونه‌ها را ذکر کرده است، نه نامشان. بنابراین توسعه‌دهندگان این افزونه‌ها می‌توانند با حذف رفتار مخرب افزونه‌هایشان، در مورد ممنوعیتشان درخواست تجدیدنظر کنند. یکی از افزونه‌هایی که مراحل تجدیدنظر را پشت‌ سر گذاشته است، افزونه‌ی Like4Like.org است. گویا این افزونه ابتدا اعتبارنامه‌ها یا نشانه‌های (token) وب‌سایت‌های رسانه‌های اجتماعی را جمع‌آوری و به سایتی دیگر ارسال می‌کرد. رفتار مخرب دیگر، در افزونه‌ی FromDocToPDF کشف شده است. به گفته‌ی مهندسان Mozilla، این افزونه محتوای راه‌دور را به برگ جدیدی از Firefox بارگذاری می‌کرد. افزونه‌ی دیگری از Firefox به نام Fake Youtube Downloader نیز به دلیل تلاش برای نصب بدافزار دیگری در مرورگرهای کاربران، ممنوع شده است.
افزونه‌هایی همچون EasySearch for Firefox، EasyZipTab، FlixTab، ConvertToPDF و FlixTab Search نیز برای بریدن و جمع‌آوری عبارت‌های جستجویی کاربران (یک جرم به وضوح قابل ممنوعشدن) ممنوع شدند.
کارمندان امنیتی Mozilla، دسته‌های دوتایی، نه‌تایی و سه‌تایی از افزونه‌ها را به دلیل استفاده از کد مبهم (روشی که ارایه‌دهندگان افزونه با استفاده از آن، خواندن کد را به‌منظور مخفی‌کردن رفتار مخرب افزونه، دشوار می‌سازند) ممنوع کردند.
به نظر می‌رسد این حرکت Mozilla در ادامه‌ی بررسی مستحکم او از افزونه‌های مرورگر به‌منظور حفظ حریم شخصی کاربران است. Mozilla در ماه دسامبر سال 2019 نیز، افزونه‌های Avast و AVG را از Firefox بدین دلیل که مشکوک به جاسوسی‌کردن کاربران بودند، حذف کرد.
از آنجاییکه بسیاری از افزونه‌ها توسط ارایه‌دهندگان شناخته‌شده نوشته نشده‌اند، بنابراین بهتر است هنگام استفاده از آن‌ها دقت بیشتری اعمال شود:
- تا آنجا که ممکن است افزونه‌های کمتر و تنها از فروشگاه‌های رسمی نصب شوند.
- نظرات و بازخوردهای کاربرانی که افزونه‌ی موردنظر را نصب کرده‌اند حتماً مورد بررسی قرار گیرد.
- به اعتبار توسعه‌دهنده، اینکه چه میزان در مقابل سؤالات مسئولیت‌پذیر هستند و اینکه هر چند وقت یک بار نسخه‌های به‌روزرسانی را ارسال می‌کنند توجه شود.
- مجوزهای درخواست‌شده مورد مطالعه قرار گیرد (در Firefox، Options > Extensions and Themes > Manage) و بررسی شود آیا مطابق با ویژگی‌های افزونه است یا خیر. اگر این مجوزها تغییر کردند باید نسبت به آن‌ها مشکوک شد.

16 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#Magento برای رفع آسیب‌پذیری‌های متعدد در پلت‌فرم تجارت الکترونیک خود، نسخه‌ی 2.3.4 را منتشر کرد.
این آسیب‌پذیری‌ها، Magento Commerce (نسخه‌‌های 2.2.10/2.3.3 و قبل از آن)، Open Source (نسخه‌های 2.2.10/2.3.3 و قبل از آن)، Enterprise Edition (نسخه‌های 1.14.4.3 و قبل از آن) و Community (نسخه‌های 1.9.4.3 و قبل از آن) را تحت تأثیر قرار می‌دهند.
نسخه‌ی 2.3.4 از Magento، در مجموع 6 آسیب‌پذیری را برطرف می‌کند که سه مورد از آن‌ها به‌عنوان بحرانی و بقیه به‌عنوان مهم ارزیابی می‌شوند.
یکی از سه نقص بحرانی که با شناسه‌ی "3719-2020-CVE" دنبال می‌شود، یک نقص تزریق SQL است. حملات تزریق SQL در شرایطی رخ می‌دهد که یک توسعه‌دهنده‌ی وب، داده‌های تهیه‌شده توسط کاربر را به‌خوبی بررسی نمی‌کند و همین امر می‌تواند منجر به خواندن و نوشتن دلخواه داده‌های مورد استفاده در یک برنامه‌ی وب شود. یک مهاجم می‌تواند با ارسال یک جستجوی مخرب در کادر جستجوی وب‌سایت، از این مزیت استفاده کرده و اطلاعات حساس را فاش کند.
دو نقص حیاتی دیگر (3716-2020-CVE و 3718-2020-CVE)، مسائل مربوط به کدگشایی داده‌های غیرقابل اعتماد و دورزدن امنیت هستند و هر دو می‌توانند منجر به اجرای کد دلخواه شوند.
دو مورد از سه نقص مهم مربوط به آسیب‌پذیری اسکریپت مخرب ذخیره‌شده (XSS) و مسئله‌ی عبور مسیر هستند که می‌توانند توسط مهاجمان برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرند.
حملات XSS هنگامی رخ می‌دهد که یک مهاجم از یک برنامه‌ی وب برای ارسال کد مخرب (به‌طور کلی به شکل اسکریپت سمت مرورگر)، برای کاربر نهایی استفاده کند. اگر مرورگر، اعتبار اسکریپت را تأیید نکرده و آن را اجرا کند، اسکریپت می‌تواند به کوکی‌ها، نشانه‌های جلسه یا سایر اطلاعات حساس حفظ‌شده توسط مرورگر دسترسی پیدا کند.
راهکارها و وصله‌ها
Magento یکی از سیستم‌عامل‌های هدف گروه Magecart است. این گروه شامل چندین گروه تهدید مختلف است که وب‌سایت‌ها را با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل‌های تجارت الکترونیکی شخص ثالث به‌خطر می‌اندازند تا بتوانند اسکریپت‌های مخصوص اسکن کارت را در صفحات پرداخت تزریق کنند.
به مدیران فروشگاه‌های الکترونیکی مبتنی بر Magento توصیه می‌شود که در اسرع وقت جدیدترین نسخه‌ی مربوط به سیستم‌عامل خود را طبق جدول زیر نصب کنند؛ زیرا خطر سوءاستفاده از این آسیب‌پذیری‌ها توسط فعالان تهدید بسیار زیاد است.

نسخه‌ی به‌روزشده

محصول

2.3.4

Magento Commerce

2.2.11

Magento Commerce

2.3.4

Magento Open Source

2.2.11

Magento Open Source

1.14.4

Magento Enterprise Edition

1.14.4

Magento Community Edition

16 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

تروجان #TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامه‌های Active Directory می‌پردازد. کارشناسان تخمین می‌زنند که این تروجان تاکنون امنیت 250 میلیون اکانت ایمیل را به خطر انداخته باشد. TrickBot پیش‌تر به جای دور زدن مکانیسم امنیتی Windows Defender بطور کلی این سرویس را در سیستم‌های کاربران ویندوز 10 غیرفعال می‌کرد. TrickBot اساساً یک تروجان بانکی است و بطور کلی از طریق ارسال ایمیل‌های صورتحساب منتشر می‌شود و معمولا بصورت یک فایل word یا Excel آلوده به ایمیل‌ها پیوست می‌شود. یکی دیگر از راه‌های انتشار این تروجان بهره‌برداری از آسیب‌پذیری‌های موجود در پروتکل SMB است که اشتراک‌گذاری و دسترسی به فایل‌ها را بین چند سیستم برای کاربران ویندوز فراهم می‌کند.
1 درباره‌ی ماژول جدید این تروجان
ماژول جدید تروجان TrickBot،معروف به «ADII» که توسط یک محقق امنیتی در Virus Total به نام Sandor Nemes تشخیص داده شد با اجرای یک سری دستورات، اطلاعات Active Directory ویندوز را به سرقت می‌برد.
پایگاه داده Active Directory ویندوز به‌صورت پیش فرض در آدرس C:\Windows\NTDS در domain controller (که در اینجا یک سرور درنظر گرفته شده) تولید و ذخیره می‌شود. همه‌ی اطلاعات شامل پسوردها، کامپیوترها، کاربران و گروه‌های Active Directory ویندوز در فایلی به نام "ntds.dit" در پایگاه داده مذکور ذخیره می‌شود. از آنجایی که همه این اطلاعات حساس هستند، ویندوز با استفاده از یک BootKey که در کامپوننت سیستمی در تنظیمات Registry نگهداری می‌شود، اطلاعات حساس را رمزنگاری می‌کند. مدیرانی که وظیفه نگهداری و کار با این پایگاه داده را به عهده دارند با ابزار مخصوصی به نام ntdsutil با آن ارتباط برقرار می‌کنند چرا که بطور معمول امکان دسترسی به BootKey وجود ندارد.
2 TrickBot چگونه اعتبارنامه‌های Active Directory را به سرقت می‌برد؟
معمولا مدیران شبکه برای نسخه برداری از اطلاعات Active Directory از دستور "install from media" که با عنوان "ifm" نیز شناخته می‌شود، استفاده می‌کنند. اجرای این دستور به راه‌اندازی Domain Controllerهای جدید می‌انجامد. ماژول جدید «ADII» با استفاده از دستور ifm یک کپی از پایگاه داده Active Directory تولید می‌کند؛ پس از آنکه کپی پایگاه داده در پوشه%Temp% ذخیره شد، بات کپی را برمی‌دارد. اطلاعات موجود در کپی پایگاه داده می‌تواند در آلوده کردن دیگر سیستم‌های همان شبکه و آلودگی آنها به عنوان بدافزارهای دیگر به تروجان TrickBot کمک کند.

14 بهمن 1398 برچسب‌ها: اخبار
کشف جاوااسکریپت‌ مخرب در بیش از 2000 سایت وردپرس

بیش از 2000 وب‌سایت #‫وردپرس آلوده به جاوااسکریپت مخربی هستند که بازدیدکنندگان سایت را به وب‌سایت‌های تقلبی هدایت می‌کند و شرایطی فراهم می‌سازد که بعداً بدافزار بیشتری دانلود شود.
دسترسی به وب‌سایت‌های وردپرس از طریق سوءاستفاده از آسیب‌پذیری‌های پلاگین‌های مختلفی همچون Simple Fields و CP Contact Form با PayPal حاصل می‌شود. اوج این فعالیت‌های مخرب در هفته‌ی سوم ماه ژانویه سال 2020 روی داده است. پس از ورود به سایت وردپرس، ابتدا جاوااسکریپت، بازدیدکننده را به چهار وب‌سایت مخرب gotosecond2[.]com، adsformarket[.]com، admarketlocation[.]com و admarketlocation[.]com هدایت می‌کند. سپس لینک statistic[.]admarketlocation[.]com/clockwork?&se_referrer= یا track[.]admarketresearch[.]xyz/?track&se_referrer= در سایت WordPress بارگذاری می‌شود تا خرابکاری نهایی جاوااسکریپت مخرب را ارایه دهد. این اقدام آخر بسیار مشکل‌ساز است، زیرا به مهاجم اجازه می‌دهد تغییرات بیشتری در سایت ایجاد کند یا بدافزار بیشتری همچون درب‌پشتی‌های PHP و ابزار هک را جهت کمک به حفظ پایداری‌شان وارد نماید.
همچنین مشاهده شده است که مهاجمان از ویژگی‌های /wp-admin/ برای ساخت دایرکتورهای جعلی پلاگین که شامل بدافزار بیشتری است سوءاستفاده می‌کنند. رایج‌ترین دایرکتورهای جعلی پلاگین که توسط محققان کشف شده‌اند عبارتند از /wp-content/plugins/supersociall//supersociall.php و wp-content/plugins/blockspluginn/blockspluginn.php.
به صاحبان وب‌سایت‌ها توصیه می‌شود تغییر پوشه‌های اصلی را غیرفعال سازند؛ این امر مانع از درج فایل‌های مخرب توسط هکرها می‌شود، یا بخشی از سخت‌افزاری‌کردن امنیت وردپرس و بهترین روش امنیتی را به کار گیرند.

12 بهمن 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی OpenSMTPD و حمله مهاجمان به میل سرورهای لینوکس و OpenBSD

محققان امنیت سایبری یک آسیب‌پذیری بحرانی جدید با شناسه "CVE-2020-7247" را در سرور ایمیل OpenSMTPD کشف کرده‌اند که می‌تواند به مهاجمان از راه دور اجازه دهد تا کنترل کامل BSD و بسیاری از سرورهای مبتنی بر لینوکس را بدست گیرند.
OpenSMTPD یک پیاده‌سازی اپن سورس از پروتکل سمت سرور SMTP است که در ابتدا به عنوان بخشی از پروژه OpenBSD توسعه داده شد اما در حال حاضر بر روی بسیاری از سیستم‌های مبتنی بر یونیکس به صورت از پیش نصب شده وجود دارد.
طبق تحقیقات آزمایشگاه‌ Qualys -کاشف این آسیب‌پذیری- این نقص مربوط به تابع اعتبارسنجی آدرس فرستنده‌ی OpenSMTPD، به نام smtp_mailaddr() است که می‌تواند برای اجرای دستورات دلخواه shell با بالاترین سطح دسترسی روت، بر روی یک سرور آسیب‌پذیر و تنها با ارسال پیام‌های جعلی خاص به آن سرور، مورد اکسپلویت قرار گیرد.
آسیب‌پذیری ذکر شده، نسخه 6.6 سیستم‌عامل OpenBSD را تحت تأثیر قرار می‌دهد. به گفته محققان، اکسپلویت این آسیب‌پذیری از لحاظ تعداد کاراکترها محدودیت‌هایی دارد (حداکثر 64 کاراکتر مجاز است) و کاراکترها باید محدود شوند ('$', '|').
محققان Qualys توانستند با استفاده از تکنیکی برگرفته از کرم Morris (یکی از اولین کرم‌های رایانه‌ای که از طریق اینترنت توزیع می‌شود) با اجرای بدنه ایمیل به عنوان یک شل اسکریپت Sendmail، به این محدودیت‌ها غلبه کنند.
علاوه براین، محققان همچنین یک کد اثبات مفهومی را برای تشریح آسیب‌پذیری OpenSMTPD منتشر کرده‌اند. آنها وجود این آسیب‌پذیری را به توسعه دهندگان OpenSMTPD گزارش داده‌اند و به دنبال آن، نسخه 6.6.2p1 OpenSMTPD به همراه یک وصله امنیتی و همچنین یک بروزرسانی برای کاربرانOpenBSD منتشر شده است.
به کاربران توصیه می‌شود هر چه سریع‌تر این وصله امنیتی را اعمال نمایند.

12 بهمن 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه PHP، که منجر به اجرای کد دلخواه ‌می‌شود.

اخیراً #‫آسیب‌پذیری‌های چندگانه در PHP کشف شده است که شدیدترین آنها منجر به اجرای کد دلخواه خواهد شد. PHP از طیف گسترده‌ای از سیستم عامل‌ها پشتیبانی می‌کند و توسط تعداد زیادی وب‌اپلیکیشن استفاده می‌شود که با بهره‌برداری موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها، می‌توان کد دلخواه را اجرا کرد. بسته به مجوزهای مرتبط با برنامه، یک مهاجم می‌تواند برنامه‌هایی را نصب، مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند. همچنین در صورت بهره‌برداری ناموفق، ممکن است شرایط منع سرویس ایجاد شود.

نسخه‌های تحت تأثیر:
PHP 7.2نسخه‌‌های قبل‌‌تر از7.2.27
PHP 7.3 نسخه‌‌های قبل‌‌تر از 7.3.14
PHP 7.4 نسخه‌‌های قبل‌‌تر از 7.4.2
جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
نسخه 27/2/7:
• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar). (CVE-2020-7060)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
نسخه 14/3/7:
• Bug #78999 (Cycle leak when using function result as temporary)
• Bug #79033 (Curl timeout error with specific url and post)
• Bug #79015 (undefined-behavior in php_date.c)
• Bug #78808 ([LMDB] MDB_MAP_FULL: Environment mapsize limit reached)
• Bug #74170 (locale information change after mime_content_type)
• Bug #78923 (Artifacts when convoluting image with transparency)
• Bug #79067 (gdTransformAffineCopy() may use unitialized values)
• Bug #79068 (gdTransformAffineCopy() changes interpolation method)
• Bug #79029 (Use After Free's in XMLReader / XMLWriter)
• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar)
• Bug #79040 (Warning Opcode handlers are unusable due to ASLR)
• Bug #78402 (Converting null to string in error message is bad DX)
• Bug #78983 (pdo_pgsql config.w32 cannot find libpq-fe.h)
• Bug #78980 (pgsqlGetNotify() overlooks dead connection)
• Bug #78982 (pdo_pgsql returns dead persistent connection)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #78538 (shmop memory leak)
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
• Bug #54298 (Using empty additional_headers adding extraneous CRLF)
نسخه 2/4/7:
• Bug #79022 (class_exists returns True for classes that are not ready to be used)
• Bug #78929 (plus signs in cookie values are converted to spaces)
• Bug #78973 (Destructor during CV freeing causes segfault if opline never saved)
• Bug #78776 (Abstract method implementation from trait does not check "static")
• Bug #78999 (Cycle leak when using function result as temporary)
• Bug #79008 (General performance regression with PHP 7.4 on Windows)
• Bug #79002 (Serializing uninitialized typed properties with __sleep makes unserialize throw)
• Bug #79033 (Curl timeout error with specific url and post)
• Bug #79063 (curl openssl does not respect PKG_CONFIG_PATH)
• Bug #79015 (undefined-behavior in php_date.c)
• Bug #78808 ([LMDB] MDB_MAP_FULL: Environment mapsize limit reached)
• Bug #79046 (NaN to int cast undefined behavior in exif)
• Bug #74170 (locale information change after mime_content_type)
• Bug #79067 (gdTransformAffineCopy() may use unitialized values)
• Bug #79068 (gdTransformAffineCopy() changes interpolation method)
• Bug #79029 (Use After Free's in XMLReader / XMLWriter)
• Bug #79037 (global buffer-overflow in mbfl_filt_conv_big5_wchar). (CVE-2020-7060)
• Bug #78961 (erroneous optimization of re-assigned $GLOBALS)
• Bug #78950 (Preloading trait method with static variables)
• Bug #78903 (Conflict in RTD key for closures results in crash)
• Bug #78986 (Opcache segfaults when inheriting ctor from immutable into mutable class)
• Bug #79040 (Warning Opcode handlers are unusable due to ASLR)
• Bug #79055 (Typed property become unknown with OPcache file cache)
• Bug #78402 (Converting null to string in error message is bad DX)
• Bug #78983 (pdo_pgsql config.w32 cannot find libpq-fe.h)
• Bug #78980 (pgsqlGetNotify() overlooks dead connection)
• Bug #78982 (pdo_pgsql returns dead persistent connection)
• Bug #79091 (heap use-after-free in session_create_id())
• Bug #79031 (Session unserialization problem)
• Bug #78538 (shmop memory leak)
• Bug #79056 (sqlite does not respect PKG_CONFIG_PATH during compilation)
• Bug #78976 (SplFileObject::fputcsv returns -1 on failure)
• Bug #79099 (OOB read in php_strip_tags_ex). (CVE-2020-7059)
• Bug #79000 (Non-blocking socket stream reports EAGAIN as error)
• Bug #54298 (Using empty additional_headers adding extraneous CRLF)

برای رفع این آسیب‌پذیری‌ها توصیه می‌شود بلافاصله پس از تست مناسب، PHP خود را به آخرین نسخه ارتقاء دهید.

منابع:
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-php-could-allow-for-arbitrary-code-execution_2020-011/

PHP:
https://www.php.net/ChangeLog-7.php#7.2.27
https://www.php.net/ChangeLog-7.php#7.3.14
https://www.php.net/ChangeLog-7.php#7.4.2

12 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

باج‌افزار STOP (djvu)، فعال‌ترین و شایع‌ترین باج‌افزار سال 2019 شناخته شده است. در سال جدید میلادی نیز این باج‌افزار بسیار فعال بوده و افراد زیادی درگیر آن شده‌اند. این باج‌افزار دارای نسخه‌های گوناگونی است و تاکنون بیش از 200 نسخه مختلف از آن شناسایی شده است. در نسخه‌های جدید این باج‌افزار، پسوندهای TOPI و KODC به انتهای فایل‌های رمز شده افزوده شده و پیغامی مشابه شکل زیر نمایش داده می‌شود.

دانلود گزارش

8 بهمن 1398 برچسب‌ها: اخبار
آسیب‌پذیری حیاتی BlueGate در سرویس Remote Desktop Gateway

طی سه روز گذشته گزارشاتی بصورت عمومی در خصوص #‫آسیب‌پذیری هایی در Remote Desktop Gateway با شناسه‌های CVE-2020-0609، CVE-2020-0610 و کد بهره‌برداری (POC) منتشر شده است. بررسی ها نشان داده است این سرویس بندرت در فضای سایبری کشور مورد استفاده قرار گرفته است.


https://github.com/ollypwn/BlueGate

این آسیب‌پذیری نیازی به تأیید هویت و تعامل با کاربر ندارد. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کند، می تواند کد دلخواه خود را روی سیستم هدف اجرا نماید. سپس می‌تواند برنامه‌هایی را نصب، مشاهده، تغییر داده یا حذف کند، یا حساب‌های جدید با سطح دسترسی مدیر سیستم ایجاد کند. برای سوءاستفاده از این آسیب‌پذیری، مهاجم نیاز دارد تا از طریق RDP یک درخواست دستکاری شده ویژه را به سیستم‌های هدف RD Gateway ارسال کند.

برای رفع این آسیب‌پذیری وصله‌هایی ارائه شده که مدیران سیستم بایستی در اولین گام، اقدام به نصب آن نمایند.

برای کسب اطلاعات بیشتر و نصب وصله های رفع آسیب پذیری به لینک های ذیل مراجعه فرمایید.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609

8 بهمن 1398 برچسب‌ها: اخبار
بزرگترین تهدیدات سایبری و موارد مطرحی که باید در سال 2020 مورد توجه قرار گیرد

حوزه امنیت اطلاعات به دلیل تهدیدات و مشکلات #‫سایبری مداوم به‌وجود آمده نسبت به گذشته در سال 2020 در معرض خطر بیشتری قرار دارد.
استفاده از علوم مختلف مانند هوش مصنوعی، رمزنگاری، یادگیری ماشین، حملات سایبری پیشرفته، فیشینگ، بدافزار، ویروس‌ها و بات‌ها باعث شده‌اند که دولت‌ها، شرکت‌ها و افراد به دلیل تهدید مداوم همیشه در حالت آماده‌باش باشند.
آخرین بررسی‌های Threat Horizon نشان‌دهنده افزایش اختلال در خدمات، درز اطلاعات و سخت‌تر شدن کنترل اطلاعات هم در زمینه امنیت ملی و هم حریم شخصی افراد بوده و بر پیشرفت‌ همیشگی در زمینه مقابله بر حملات و افزایش آگاهی تأکید دارد.
صنایع مختلف همچنان از کمبود متخصصان امنیت سایبری در زمینه نیروی انسانی خود رنج می برند، همچنین اعتماد عمومی در ارتباط با حریم شخصی، با افزایش همه‌گیر جرایم سایبری بیشتر از هر زمان دیگری، به خطر
‌افتاده است.
آقای انوچ ریچارد از Ventures Cyber Security تخمین هزینه 6 تریلیون دلاری را درخصوص جرایم سایبری در سال 2021 داشته است. در ادامه این مطلب، درخصوص موارد مطرح و تهدیدهای جدید برای هر حوزه در سال 2020 نکاتی بیان شده است که باید مدنظر قرار گیرند.

تهدیدات سایبری و موارد مطرح:
حملات IoT
طبق آمارStatista.com ، اینترنت اشیاء روز‌به‌روز در حال پیشرفت است و انتظار می‌رود تعداد دستگاه‌های اتصال به IoT تا سال 2025 به 75 میلیارد برسد. ارتباط بین دستگاه‌ها، مورد علاقه‌ی همه کاربران و استفاده‌کنندگان است و چندین شرکت از طریق جمع‌آوری اطلاعات مهم در ساده‌سازی فرآیندهای تجاری در این حوزه، آورده مالی دارند.
باید به این نکته توجه داشت که هر چه دستگاه‌های بیشتری متصل باشند، خطر بزرگتری را برای آسیب‌پذیری IoT در برابر آلودگی‌ها و تهاجم سایبری ایجاد می‌کنند. هکر می‌تواند از دستگاه‌های IoT، از طریق ایجاد بار بیش از حد شبکه‌ها، خاموش کردن سرویس‌‌های امنیتی و قفل‌کردن دستگاه‌ها برای ایجاد تخریب و نفوذ استفاده کند.

حملاتی که دولت‌ها حامی آن هستند
با سرقت اطلاعات حساس فردی و سازمانی، دولت‌ها شروع به استفاده از مهارت‌های سایبری خود برای نفوذ به دولت‌های دیگر و اجرای حملات به زیرساخت‌ها و منابع کرده‌اند. امروزه تهدیدها نه فقط از سوی افراد بلکه از سوی دولت نیز هستند. به طور کلی طبق بررسی آزمایشگاه امنیتی توماس رویترز، این نوع حملات در سال 2020 افزایش می‌یابند. این نوع حملات به عنوان ابزاری برای حل و فصل منازعات مختلف در حوزه‌های متفاوت مورد استفاده قرار می‌گیرد که بخش‌هایی از دنیای تجارت را نیز به چالش می‌کشد.
حملات Crypto-Jacking
در سالیان اخیر برای استخراج رمزارز، رایانه‌های خانگی یا کاری کاربران مورد سوءاستفاده قرار گرفته است. رمزارزهایی مانند بیت کوین به مقادیر زیادی از قدرت پردازش رایانه نیاز دارد، هکرها مخفیانه از منابع سیستم‌های کاربران برای استخراج سوءاستفاده می‌کنند.
بر اساس بررسی اینوچ ریچارد، کسب و کارها بر اساس این سوءاستفاده‌ها به خطر افتاده و می‌توانند باعث ایجاد مشکلات جدی در عملکرد و خرابی‌های پرهزینه شوند. شایع‌ترین خطرات عبارتند از افت بهره‌وری، کاهش توان سیستم‌ها و هزینه‌های غیر‌ضروری برای تعویض تجهیزات است که بستر را برای تهدیدهای بیشتر فراهم می‌سازند.

تهدیدات شخص ثالث(پیمانکاران، شرکاء، فروشندگان)
اشخاص ثالث(Third parties) برای هر کسب و کاری ریسک بزرگی را به همراه دارند، که بسیاری از آن‌ها هیچ تیم اختصاصی یا سیستم‌های امنی در محل برای مقابله با این مسائل امنیتی ندارند که عمدتاً این رخدادها مربوط به افرادی است که از منابع شخص ثالث برای اموری استخدام شده‌اند. دنیای جرائم سایبری در رویکرد خود به طور فزاینده‌ای رو به پیشرفت است و تهدیدات امنیت سایبری همچنان رو به رشد است. سازمان‌ها درمقابل تهدیدهای احتمالی ناشی از اشخاص ثالث به خوبی مجهز شده‌اند.
گزارش گمرک و حفاظت از مرزهای ایالات متحده در سال گذشته به لیست قربانیان مشهور در سال گذشته "گزارش خطرات امنیتی روابط فروشندگان شخص ثالث" را اضافه کرد و گزارش منتشرشده توسط RiskManagementMonitor.com یک تخمین اینفوگرافیکی را نشان می‌دهد که 60٪ از نقض اطلاعات مربوط به شخص ثالث است و فقط 52٪ از شرکت‌ها در مورد فروشندگان و پیمانکاران شخص ثالث دارای استانداردهای امنیتی هستند.

حملات فیشینگ
اخیراً حملات فیشینگ پیشرفته‌تر از گذشته شده‌اند و در سال جدید می‌بینیم که رشد بیشتری نیز خواهند کرد. این پیام‌های دیجیتالی با دقت هدفمند شده‌اند که به افراد با آگاهی کمتر فرستاده شده و فریب داده می‌شوند تا با کلیک بر روی یک لینک، بخشی کوچک از کد(بدافزار، ویروس، باتها و ...) را نصب کنند و دسترسی به داده‌های حساس ایجاد شود.
بسیاری از کارمندان سازمان‌ها به خوبی از خطرات این ایمیل‌های فیشینگ با کلیک بر روی لینک‌ها آگاه هستند. اگر کارمند یک سازمان یا یک فرد، قربانی این لینک‌ها شود، رخنه‌ای را برای سرقت اطلاعات مالی شخصی و همچنین دسترسی به پایگاه‌های داده خصوصی برای هکر به جا می‌گذارد.

تهدیدات باج‌افزار
طبق پیش‌بینی مجله Cyber Policy حملات باج‌افزار در سال جدید شروع به تکامل و استفاده از استراتژی‌های جدید خواهند کرد. اعتقاد بر این است که این حملات سالانه میلیاردها دلار برای قربانیان هزینه دارند. سوءاستفاده از هرگونه اطلاعات برای باج‌گیری علیه هر شخص یک جرم جدی است.
با پیشرفت سریع روش‌ها و نوآوری در استفاده از فنون، هکرها قادرند که از پایگاه داده‌های فردی یا سازمانی اطلاعات حساس را برای یک باجگیر به سرقت ببرند. استفاده از رمز ارزهایی مانند بیت کوین هکرها را قادر می‌سازد که مطالبات باج به طور ناشناس پرداخت ‌شود. کاربران حوزه IT در حالی که هکرها تمرکز خود را به سمت افرادی با سوددهی بالا معطوف کرده‌اند، در حال دفاع و محافظت قوی‌تری در برابر این دسته حملات هستند.
این حملات به راحتی برای هکرها قابل استفاده هستند و پیش‌بینی می‌شود در سال 2020 بسیار رشد بالایی داشته باشند. در یک مورد از حملات باج‌افزاری، امتناع از پرداخت باج، هزینه‌ی بیشتری برای یک شرکت سازنده آلومینیوم نروژی داشته ‌است و آنقدر تحت تأثیر قرار گرفت که سود فصل اول سال گذشته شرکت نیز به دلیل خرابی تولیدات ناشی از حمله، 82٪ کاهش یافت.
توصیه‌های متخصصان امنیتی در این ارتباط روشن است. Srinivas Mukkamala ، مدیرعامل شركت Risk Sense اظهار داشت: "زمان آن رسیده است كه از وضعیت سخت دفاعی در مقابل باج‌افزار، به یك استراتژی مفیدتر كه تمرکز به یافتن و رفع آسیب‌پذیری‌های مورد استفاده‌ باج افزار است، توجه داشت."

مهندسی اجتماعی
مطالعه روانشناسی در بین هکرها به یک علاقه فزاینده تبدیل شده‌ است و به طور مداوم نه تنها در استفاده از فناوری بلکه در روانشناسی این علاقه بیشتر و پیچیده‌تر شده است. Tripwire مهندسان اجتماعی را به عنوان "هکرهایی که از هر ضعفی که در هر سازمانی یافت می‌شود، بهره‌برداری می‌کنند."، معرفی ‌می‌کند.
این مهاجمان با استفاده از طیف گسترده‌ای از رسانه‌ها، از جمله تماس تلفنی و رسانه‌های اجتماعی، افراد را جهت دسترسی به اطلاعات حساس فریب می‌دهند.
موارد بررسی شده در این مطلب اصلی‌ترین تهدیدهایی است که باید در سال 2020 به آن توجه داشت. با ایجاد بسترهای جدید در فناوری و استفاده از تکنولوژی‌های نوین، چالش‌های جدیدی برای حفاظت از منابع و داده‌های مردم در دنیای امروز به وجود می‌آید. طبق بررسی‌های انجام گرفته و بر اساس برخی تخمین‌ها، در حدود یک میلیون موقعیت برای کارشناسان امنیت سایبری در سراسر جهان ایجاد خواهد شد و نیاز به متخصصان ماهر در زمینه امنیت سایبری برای مقابله با این چالش‌ها بسیار بیشتر از گذشته شده است.

8 بهمن 1398 برچسب‌ها: اخبار
هکرها با راه‌اندازی RAT پایتونی جدید مبتنی بر ابر به نام JhoneRAT داده‌های Google Forms،Google Drive و Twitter را سرقت کرده‌اند.

محققین حوزه امنیت سایبری اخیراً یک #RAT پایتونی جدید مبتنی بر ابر به نام #JhoneRAT را کشف کرده‌اند که با سوءاستفاده از فایل‌های MS Word اطلاعات حساس را از سرویس‌های مبتنی بر ابر
Google Forms، Google Drive، ImgBB و Twitter به سرقت برده‌اند. این RAT بطور خاص مجموعه‌ای از کشورهای عربی مانند عربستان سعودی، عراق، مصر، لیبی، الجزایر، مراکش، تونس، عمان، یمن، سوریه، امارات، کویت، بحرین و لبنان را هدف قرار داده است.
محققان دریافتند که تهدید این حمله RAT کاربران خانگی بوده و اهداف را در کشورهای مختلف بر اساس تنظیمات زبان صفحه کلید قربانی انتخاب می‌کنند.
این RAT در چند لایه پلتفرم ارائه‌دهندگان میزبانی ابر کار می‌کند و از طریق اسناد مخرب پخش می‌شود و از آسیب‌پذیری‌های شناخته شده برای دانلود پیلودهای اضافه بهره‌برداری می‌کند.
برای جلوگیری از قرارگیری در لیست سیاه‌، مهاجمین از سرویس‌های ابر‌ی مشهوری مانند گوگل و موارد دیگری مانند Twitter و ImgBB استفاده می‌کنند.
تمرکز بر روی سرویس‌های مختلف میزبان ابری
عاملان تهدید به جای زیرساخت‌های خود از 4 ارائه دهنده سرویس‌های مختلف ابری استفاده می‌کنند که به دور زدن فرایند شناسایی شدن کمک کرده و تمایز ترافیک مخرب و قانونی را سخت‌تر می‌کند.
از آنجا که ارائه دهنده خدمات ابری مشهور از HTTPS استفاده می‌کنند تشخیص فعالیت‌های مخرب برای شناسایی‌کنندگان پیچیده و دشوار است.
طبق بررسی‌های Talos Research این RAT حتی در حین استفاده از این خدمات، نویسندگانش فراتر رفتند و بسته به نوع درخواست، و حتی در دانلودها، از موارد خاصی برای کاربران مختلف استفاده کرده‌اند.
محققان سیسکو برخی از اسناد مخرب مایکروسافت آفیس را شناسایی کرده‌اند که از طریق کمپین‌های ایمیل اسپم پخش می‌شوند و با ادعای محتوای اطلاعاتی خیلی ضروری و مهم، باعث می‌شوند قربانیان آن‌ها را باز کنند. این فایل مخرب حاوی یک ماکرو است که با کلیک بر روی "فعال کردن ویرایش"، وقتی قربانی این سند را باز کرد، اجرا می‌شود. چندین فایل آفیس حاوی ماکرو برای دانلود و اجرا که در Google Drive قرار دارند، اجرا خواهند شد.

کدهای مخرب در گوگل درایو

مهاجمین طی چند مرحله‌ی زیر قربانیان را با استفاده از خدمات ابری آلوده می‌کنند:
1-الگوی(Template) مخرب درGoogle Drive- الگوی موجود در Google Drive حاوی یک ماکرو است.
2-فایل تصویری در گوگل درایو - بارگیری فایل تصویری که یک تصویر واقعی است همراه با یک پیوست رمزگذاری شده.
3-فایل Autoit file- داده رمزگشایی شده base64 باینری AutoIT است. این فایل باینری یک فایل جدید را از Google Drive دانلود می‌کند.
4-Python RAT با استفاده از ارائه دهندگان ابری- پیلود نهایی که RAT نوشته شده در پایتون را تکثیر می‌کند.

محققان این RAT پایتونی را JhoneRAT نامگذاری کرده‌اند. با استفاده از اینRAT ، عاملان تهدید بطور خاص کشورهای خاورمیانه و عرب زبان را هدف قرار می‌دهند. همچنین آنها ترفندهایی را برای شناسایی محیط‌های مجازی(VM) و سندباکس جهت تحلیل استفاده کرده‌اند و از روش‌هایی برای پنهان کردن فعالیت‌های مخرب و مبهم‌سازی جهت عدم تحلیل توسط تحلیلگران بدافزار بهره برده‌اند.

7 بهمن 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»