‫ اخبار

شرکت #‫گوگل، مرورگر کروم خود را برای رفع یک نقص شدید که می‌تواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، به‌روز کرد.
این آسیب‌پذیری که با شناسه‌ی "CVE-2019-5869" ردیابی می‌شود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.
Blink یک موتور مرورگر منبع‌باز است که اولین بار در سال 2013 و به‌طور خاص به‌عنوان بخشی از پروژه‌ی کرومیوم و با چارچوب‌های مختلف نرم‌افزاری قابل استفاده‌ی مجدد برای سیستم‌عامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده می‌کند. موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آن‌ها، تبدیل اسناد HTML و سایر منابع صفحه‌ی وب به نمایش‌های بصری در دستگاه‌های کاربران است.
محققان هشدار دادند كه سوءاستفاده‌ی موفقیت‌آمیز از آسیب‌پذیری موجود در Blink می‌تواند به مهاجمان اجازه دهد تا كد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را به‌دست آورند، محدودیت‌های امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انكار سرویس (DoS) شوند.
بسته به امتیازات مرتبط با برنامه، مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را مشاهده یا حذف کرده و آن‌ها را تغییر دهد یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
نقص موجود در Blink می‌تواند با ترغیب کاربر به بازدید از یک صفحه‌ی وب خاص طراحی‌شده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان می‌توانند از راه دور چنین صفحه‌ی وبی را راه‌اندازی کنند و از راه دور به سیستم قربانیان حمله کنند.
این نقص بر نسخه‌های گوگل کروم قبل از 76.0.3809.132 تأثیر می‌گذارد. به‌گفته‌ی محققان، در حال حاضر هیچ گزارشی از سوءاستفاده‌ی گسترده از این آسیب‌پذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخه‌ی 76.0.3809.132 به‌روز کنند.

#‫سیسکو به‌روزرسانی‌ امنیتی جهت رفع 17 #‫آسیب‌پذیری‌ با شدت «بالا» و «بحرانی» در چندین محصول خود منتشر ساخته است. یک مهاجم راه‌دور می‌تواند با سوءاستفاده از برخی از این آسیب‌پذیری‌ها، کنترل کامل سیستم را در دست گیرد. این آسیب‌پذیری‌ها برخی از محصولات سیستم محاسباتی یکپارچه‌ی (UCS) این شرکت، از جمله کنترل‌کننده‌ی مدیریت یکپارچه (IMC)، UCS Director و UCS Director Express برای داده‌های بزرگ را تحت‌تأثیر قرار می‌دهند.
بسیاری از این آسیب‌پذیری‌ها، کنترل‌کننده‌ی مدیریت یکپارچه (IMC) که یک کنترل‌کننده‌ی مدیریت مبتنی بر برد است را تحت‌تأثیر قرار می‌دهند. این کنترل‌کننده، مدیریت کارگزار تعبیه‌شده‌ای را برای کارگزارهای سیستم محاسباتی یکپارچه‌ی سیسکو فراهم می‌آورد.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو یافت شده‌اند؛ اما برخی از آن‌ها توسط محققی به نام Perdro Ribeiro گزارش شده‌اند.
Ribeiro جزئیات مربوط به سه آسیب‌پذیری از نقص‌های موجود در محصولات سیسکو را به همراه ماژول‌های Metasploit جهت سوءاستفاده از آن‌ها منتشر ساخته است.
یکی از این نقص‌ها، آسیب‌پذیری با شناسه‌ی CVE-2019-1935 است که از نظر شدت «بحرانی» رتبه‌بندی شده است و به یک مهاجم راه دور اجازه می‌دهد بااستفاده از حساب کاربری SCP (scpuser) که دارای اعتبارنامه‌‌های پیش‌فرض است، به واسط خط فرمان (CLI) یک سیستم آسیب‌پذیر وارد شود. کاربر SCP برای تشخیص و پشتیبانی از تکنیک‌ها طراحی شده است و به طور معمول نباید به GUI یا مدیر پوسته (shelladmin) دسترسی پیدا کند. اما Ribeiro دریافت که این کاربر می‌تواند از طریق SSH دارای گذرواژه‌ی پیش‌فرض، در صورتی که توسط مدیر سیستم تغییر نیافته باشد، وارد سیستم شود.
نقص دیگری که توسط Ribeiro شناسایی شده است، آسیب‌پذیری با شناسه‌ی CVE-2019-1936 است. این آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده است و به یک مهاجم احرازهویت‌نشده اجازه می‌دهد دستورات دلخواه در پوسته‌ی زیرین Linux را با مجوزهای ریشه‌ای، اجرا کند. این آسیب‌پذیری برای اینکه مورد سوءاستفاده قرار گیرد نیاز به کاربر احرازهویت‌شده دارد. دورزدن احرازهویت نیاز به سوءاستفاده از آسیب‌پذیری بحرانی دیگری دارد. این آسیب‌پذیری دارای شناسه‌ی CVE-2019-1937 است و به مهاجم راه‌دور و احرازهویت‌نشده اجازه می‌دهد تا با دسترسی به یک نشانه‌ی (token) نشست معتبر با امتیازات مدیریتی، احرازهویت را دور بزند. یک مهاجم می‌تواند با ارسال یک سری درخواست‌های مخرب به دستگاه هدف، به این نشانه دست یابد.
به گفته‌ی Ribeiro، آسیب‌پذیری‌های CVE-2019-1936 و CVE-2019-1937 می‌توانند توسط یک مهاجم راه‌دور و بدون امتیاز در سیستم هدف، زنجیر شوند تا کدی را به عنوان ریشه اجرا کنند و کنترل کامل محصول متأثر را در دست گیرند.
Ribeiro دو ماژول metasploit نیز منتشر ساخته است. یک ماژول که از دورزدن و تزریق دستور و دیگری که از گذرواژه‌ی پیش‌فرض SSH سوءاستفاده می‌کند.

برای دومین بار در سال جاری، آسیب پذیری حیاتی از نوع RCE (با امکان حمله از راه دور) در سرویس‌دهنده‌ی ایمیل #‫EXIM شناسایی شده است. با سواستفاده از این آسیب‌پذیری مهاجم می تواند کد های مخرب خود را با سطح دسترسی root بر روی سرور میزبان اجرا کند.
نسخه های آسیب پذیر معرفی شده، شامل 4.92.1 و همه نسخه های قبل از آن می باشد.
در حال حاضر اطلاعات بیشتری از این آسیب پذیری بدست نیامده است. در صورت استفاده از این سرویس‌دهنده لازم است بی درنگ نسبت به بروزرسانی نسخه Exim خود به 4.92.2 اقدام نمایید. عمده سرویس دهنده‌های آسیب‌پذیر متعلق به شرکت‌های میزبانی (هاستینگ) است.

اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر در سامانه کلاه سفید با شرکت دو وبسایت متعلق به سازمان فناوری اطلاعات آغاز شد. وبسایت‌های شرکت کننده در مسابقه:
https://nama.ito.gov.ir
https://irannoafarin.ir
جزییات بیشتر از نحوه برگزاری مسابقه در صفحه اختصاصی آن در سامانه کلاه سفید در دسترس است:
https://kolahsefid.cert.ir/Contest/250.html

طبق گزارش‌های Trend Micro، نوع جدیدی از فعالیت‌های درب‌پشتی #‫Asruex مشاهده شده است که #‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار می‌دهد.
Asruex ابتدا در سال 2015 کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ی WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درب‌پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد.
آسیب‌پذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ی ActiveX در نسخه‌های 2003، 2007 و 2010 است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود.
آسیب‌‌پذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته بود.
با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درب‌پشتی آن باشد، این قابلیت‌های منحصربه‌فرد آلوده‌سازی ، شناسایی حملات را به طور بالقوه دشوارتر می‌سازد.
به گفته‌ی Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده است که سازمان‌هایی که نسخه‌های وصله‌ی نشده‌ی Adobe Reader 9.x تا پیش از 9.4 و نسخه‌های Acrobat 8.x تا پیش از 8.2.5 را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد.
Asruex برای آلوده‌کردن ماشین‌ها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌‌کند.
نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود.
اگر این فایل PDF توسط نسخه‌های قدیمی‌تر Adobe Reader و Adobe Acrobat باز شود، آلوده‌ساز را در پس‌زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می‌شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب‌پذیری CVE-2010-2883 در حین افزودن فایل میزبان سوء‌استفاده می‌کند، استفاده می‌شود. این بدافزار شامل چندین ویژگی ضد اشکال‌زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system32\kernel32.dll، آن را تشخیص می‌دهد و همچنین با بازبینی نام‌های رایانه، نام کاربر، توابع صادرشده توسط ماژول‌های بارگذاری‌شده، پروسه‌های در حال اجرا و رشته‌های خاص در نام‌های دیسک، بررسی می‌کند که آیا در یک محیط جعبه شنی اجرا می‌شود یا خیر. پس از گذراندن این بررسی‌ها، درب‌پشتی بدافزار نصب می‌شود و سرقت اطلاعات می‌تواند آغاز شود.
فایل PDF همچنین یک DLL که مناسب قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است، به حافظه‌ی پردازش ویندوز تزریق می‌کند.
آسیب‌پذیری CVE-2012-0158 از سوی دیگر به مهاجمان اجازه می‌دهد کد دلخواه را از طریق یک سند Word یا وب‌سایت، از راه دور اجرا کنند. فرایند آلوده‌سازی این سند مشابه فایل‌های PDF است.
این بدافزار علاوه بر فایل‌های PDF و اسناد Word، فایل‌های اجرایی را نیز آلوده می‌سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می‌کند و آن را به صورت بخش .EBSS خودش، ضمیمه می‌کند. بنابراین می‌تواند هم آلوده‌ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا نماید.
این نوع بدافزار به دلیل استفاده از آسیب‌پذیری‌هایی که بیش از 5 سال پیش کشف شده‌اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان‌دهنده‌ی آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده‌اند، می‌دانند هنوز کاربرانی هستند که نسخه‌های جدیدتری از نرم‌افزار Adobe Acrobat و Adobe Reader را وصله یا به‌روزرسانی نکرده‌اند. لذا، وجود چنین بدافزارهایی نیاز سازمان‌ها به استفاده از بهترین شیوه‌ها برای به‌روزرسانی و وصله‌کردن نرم‌افزارهای دارای آسیب‌پذیری‌های بحرانی را تأکید می‌کنند.

باج‌افزارMegacortexبرای اولین بار در اوایل ماه مه سال 2019 میلادی مشاهده گردید. این باج‌افزار در همان ابتدای فعالیت خود به سبب حملات گسترده به شبکه‌های سازمان‌ها و کسب و کارها در کشورهای آمریکا، کانادا و بخش غربی قاره اروپا، توجه محققان سایبری را به خود جلب کرد. براساس مشاهدات صورت گرفته، اولین نسخه این باج‌افزار تا 600 بیت‌کوین هم درخواست باج می‌دهد که مبلغ قابل توجهی می‌باشد. این باج‌افزار از الگوریتمAES و RSAجهت رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند و پسوند .megac0rtx را به انتهای فایل‌های رمزگذاری شده اضافه می‌نماید. تحلیل پیش رو مربوط به نسخه دوم این باج‌افزار می‌باشد. این نسخه در تاریخ 23 ژوئیه سال جاری میلادی منتشر گردیده است.

دانلود گزارش کامل

رمزگشای باج‌افزار Syrkتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار Syrkبرای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortniteمنتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrkرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txtو با مضمون زیر در سیستم قربانی قرار می‌دهد:

همچنین صفحه‌ای همانند تصویر زیر نیز بر روی دسکتاپ ظاهر می‌شود.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .Syrkمی‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/syrk

نسخه اندرویدی برنامه محبوبCamScanner که بیش از یکصد میلیون کاربر دارد، محتوی بدافزاری است که به‌واسطه آن که هکرها می‌توانند از راه دور به دستگاه اندرویدی دسترسی داشته و داده‌های ذخیره شده روی سیستم را به سرقت ببرند!

پس از افشای این خبر، شرکت گوگل بلافاصله آن را از روی فروشگاه خود حذف نموده و به کاربران توصیه نموده تا این برنامه را از دستگاه خود حذف نمایند.

این ماژول مخرب روی کد اصلی این اپلیکیشن نیست، بلکه روی یکی از کتابخانه‌های خارجی است که برای تبلیغات استفاده می‌شود و جدیداً در این اپلیکیشن استفاده شده است. نکته جالب آن است که چون نسخه غیر رایگان CamScannerاز این کتابخانه استفاده نمی‌کند، این تروجان در آن وجود ندارد.

این مسأله زمانی کشف شد که کاربران زیادی از این اپلیکیشن رفتارهای مشکوکی مشاهده نموده و بازخوردهای منفی روی پلی‌استور ثبت کردند.

محققین احتمال داده‌اند که دلیل وجود این بدافزار، همکاری توسعه‌دهندگان این اپلیکیشن با تبلیغ‌کننده‌ای غیرقابل اعتماد بوده است.

برای اطلاع از جزئیات این بدافزار و نحوه عملکرد آن می‌توانید به گزارش تحلیلی شرکت کسپراسکی مراجعه نمایید.

https://securelist.com/dropper-in-google-play/92496/

دو آسیب‌پذیری جدی در دو سرویس دهنده‌ی VPNدر تجهیزات شرکت فورتی‌نت و PulseSecureدر روزهای اخیر بطور جدی مورد سوءاستفاده‌ی مهاجمین قرار گرفته است. قرار داشتن سرویس دهنده‌های VPNدر لبه‌ی شبکه‌، خطر این آسیب‌پذیری‌ها رو بسیار بیشتر کرده است.

آسیب پذیری CVE-2018-13379برروی تجهیزات امنیتی فورتی‌گیت با سیستم عامل FortiOSو بر روی پورتال تحت وب VPNآن امکان اخذ دسترسی از راه دور را برای مهاجم فراهم می­کند. حمله از طریق ارسال یک بسته آلوده HTTPصورت می­گیرد. ضعف موجود در این سرویس از نوع path-traversalو با شماره CWE-22است.

نسخه­های آسیب پذیر این سیستم عامل 5.6.3تا 5.6.7و 6.0.0تا 6.0.4می­باشد و تنها در صورتی دستگاه آسیب پذیر است که سرویس VPNفعال باشد.

راهکار موقتی جلوگیری از آلوده شدن، غیرفعال سازی سرویس SSL VPNمی­باشد که با دستور زیر می­توان این سرویس را غیرفعال کرد:

config vpn ssl settings
unset source-interface
end

آسیب پذیری CVE-2019-11510 نیز در محصول Pulse Connect Secure(PCS) کشف شده که به حمله کننده این امکان را می­دهد تا هر فایلی را از راه دور از روی سرور بخواند. به همین دلیل امنیت میزبانی که این سرویس دهنده برروی آن نصب شده باشد به خطر میافتد.

سرویس دهنده­های آسیب پذیر به شرح زیر می باشند :

• نسخه های قبل از 8.1R15.1
• نسخه های قبل از 8.2R12.1
• نسخه های قبل از 8.3R7.1
• نسخه های قبل از 9.0R3.4

لازم به توضیح است اطلاع رسانی به مالکین تجهیزات آسیب‌پذیر در جریان است.

منبع :

https://fortiguard.com/psirt/FG-IR-18-384

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510

مرکز ماهر در راستای ماموریت‌های خود به منظور ارتقای امنیت در سامانه‌های کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه‌ی اینترنت کرده است. در این راستا سامانه‌ کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، آماده ارزیابی امنیتی سامانه‌ها از طریق برگزاری مسابقات عمومی و خصوصی است.

برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیب‌پذیری‌های کشف‌شده توسط متخصصین امنیتی شرکت‌کننده در مسابقه و با داوری‌ تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت می‌شود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا می‌گردد.

سامانه کلاه سفید با توجه به همین چالش‌ها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده است تا متخصصین مجرب امنیتی و سازمان‌ها و شرکت‌های تولید نرم‌افزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار بگیرند. با توجه به تعداد بالای متخصصین این سامانه، که تعداد آن‌ها تا کنون به بیش از 500 نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.

این مسابقات به دو صورت عمومی و خصوصی برگزاری می‌گردد. در مسابقات عمومی کلیه متخصصین عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصین شناخته‌شده و منتخب، امکان شرکت دارند.

در مرحله اول، طی روزهای آینده ارزیابی امنیتی برخی از سامانه‌های مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته خواهد شد. سایر دستگاه‌های دولتی نیز می‌توانند در صورت تمایل جهت ارزیابی سامانه‌های خود در این مسابقات با مرکز ماهر تماس برقرار کنند.

شرایط و نحوه‌ی برگزاری مسابقات در مستند پیوست ارائه شده است.

دانلود معرفی سامانه کلاه سفید

قوانین و مقررات مسابقات کلاه سفید