‫ اخبار

نسخه جدید #‫اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نموده‌اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز‌ارز #‫NRSMiner نیز می‌نماید. اکسپلویت EternalBlue یکی از ابزار‌های جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌نمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.

بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدید‌ترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت EternalBlue در کامپیوتر‌های آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.

این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز نموده است. این بدافزار به صورت چند‌نخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمز‌ارز و فشرده‌سازی اطلاعات را انجام دهد.

این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آن‌ها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا نموده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب می‌نماید.

این بدافزار از استخراج کننده رمز‌ارز XMRig برای استخراج رمز‌ارز استفاده می‌کند.

کاربرانی که به‌روز‌رسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب نمائید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.

اشکال جدیدی در مرورگر Google Chrome کشف و گزارش شده است که می‌تواند به‌طور بالقوه دستگاه‌های #‫ویندوز 10 را به‌طور کامل فریز سازد. این نقص با معرفی خود به عنوان پشتیبان فنی قلابی، سبب فریزشدن کامل Windows 10 می‌شود و سپس به کاربر می‌گوید دستگاهش آلوده به ویروس شده است.
این نقص جدید بااستفاده از یک کد #‫جاوااسکریپت و ایجاد حلقه، مانع از بستن سربرگ یا مرورگر می‌شود. همچنین یک پنجره‌ی pop-up نمایش داده می‌شود که ادعا می‌کند از سوی وب‌سایت رسمی پشتیبانی مایکروسافت است و رایانه آلوده به ویروسی شده است که می‌تواند گذرواژه‌ها، تاریخچه‌ی مرورگر، اطلاعات کارت اعتباری و سایر داده‌ها را به مخاطره بیندازد. از آنجایی که این یک حلقه است، هر بار که کاربر تلاش می‌کند این pop-up را ببندد، تقریباً بلافاصله دوباره باز می‌شود و این امر منجر به استفاده‌ی 100% از منابع خواهد شد و در نهایت رایانه را ناگهان فریز خواهد کرد.
این مشکل، مسئله‌ی جدیدی در مرورگر کروم نیست و این نوع گروگان‌گیری اینترنتی، یکی از رایج‌ترین کلاهبرداری‌های اینترنتی است؛ اما با اجرای گام‌های زیر به راحتی می‌توان این مشکل رایانه را رفع کرد:
• بازکردن Task Manager از نوار وظیفه
• رفتن به سربرگ Processes
• کلیک‌کردن بر روی Google Chrome (یا GoogleChrome.exe)
• کلیک‌کردن بر روی دکمه‌ی End Task در گوشه‌ی پایین سمت راست
همچنین باید مطمئن شد که Google Chrome به گونه‌ای تنظیم نشده است که دفعه بعد که این مرورگر باز می‌شود، سربرگ‌های قدیمی دوباره بازگردند. برای این کار بهتر است تاریخچه‌‌ی کوکی از مرورگر پاک شود.
یک راه‌حل خوب برای مقابله با گروگان‌گیری‌های اینترنتی این است که کاربر پیش از اجازه‌ی دسترسی به اطلاعات و پرداخت هرگونه وجهی برای رفع مشکل دستگاه، از واقعی‌بودن اطلاعات و پیشینه‌ی آن‌ها مطمئن شود. این اولین گروگان‌گیری اینترنتی نیست که Google Chrome را هدف قرار داده است. طبق گزارشی، در اوایل سال جاری، حمله‌ی Download Bomb مرورگرهای بزرگ را هدف قرار داده بود و تنها مرورگر Microsoft Edge در برابر این حمله ایمن بود.
در پایان باید به این نکته توجه داشته باشد که شرکتهای بزرگی همچون مایکروسافت معمولاً برای رفع نقص از کاربران خود درخواست پول نمی‌کنند، مگر اینکه دستگاه را به‌طور کامل بررسی و مشکل را شناسایی کرده باشند.

#‫Rsync نام یک پروتکل شبکه و همچنین نام یک ابزار متن باز است که قابلیت انتقال کارآمد و همگام‌سازی فایل‌ها در سیستم‌های کامپیوتری مختلف را با بررسی مهر زمانی و اندازه فایل‌ها فراهم می‌کند. با استفاده از این قابلیت حتی مي‌توان فقط تغييراتي که بر روي يک فايل انجام شده است را منتقل کرد. از این قابلیت در موارد مختلف به منظور صرفه‌جویی در مصرف پهنای باند و ترافیک شبکه استفاده می‌شود. در کشور ایران نیز سازمان‌های بسیاری از این سرویس استفاده می‌کنند. در صورتی که این سرویس از امنیت کافی برخوردار نباشد، امکان دسترسی بدون مجوز به فایل‌های موجود در سیستم فراهم می‌شود که مشکلات امنیتی فراوانی به بار خواهد آورد.

شرح آسیب‌پذیری
آسیب‌پذیری Accessible-rsync ناشی از پیکربندی غیر ایمن سرویس Rsync است؛ در صورتی که افراد مجاز برای دسترسی به این سرویس محدود نشده باشند و سیاست‌های امنیتی خاصی اعمال نشده باشد، مهاجمین می‌توانند از هر نقطه دنیا بدون نیاز به رمز عبور خاصی، فایل‌های به اشتراک گذاری شده در سیستم آسیب‌پذیر را مشاهده و تغییرات دلخواه خود را در آن‌ها اعمال کنند.
امن‌سازی Rsync
روش‌های امن‌سازی سرویس Rsync عبارتند از:
• مخفی کردن اطلاعات ماژول‌ها: برای جلوگیری از نمایش اطلاعات ماژول‌ها، می‌بایست با مقداردهی list = false در فایل پیکربندی، مجوز نمایش اطلاعات ماژول‌ها را لغو نمود. در صورتی که این کار انجام نشود می‌توان لیست ماژول‌های Rsync را استخراج کرد.

• فعال کردن مجوزهای کنترل: برای جلوگیری از ایجاد فایل‌های جدید و تغییر در فایل‌های موجود، می‌بایست با مقداردهی read only = true در فایل پیکربندی، مجوز نوشتن در فایل‌ها را لغو کرد.

• محدودسازی دسترسی‌های شبکه: بایستی فقط به میزبان‌های خاص و قابل اعتماد اجازه دسترسی از طریق شبکه داد. به این منظور می‌توان فایل پیکربندی را با افزودن دستور hosts allow = تغییر داد.

• فعال کردن احراز هویت برای کاربران: بایستی فقط کاربران مجاز و قابل اعتماد بتوانند به فایل‌ها دسترسی داشته باشند. از این‌رو کاربران باید رمز عبوری مشخص داشته باشند. برای این کار می‌توان در سمت سرور پیکربندی‌های زیر را انجام داد:
auth users = ottocho
secrets file = /etc/rsyncd.secrets

بدین منظور بایستی رمز عبور را در فایل /etc/rsyncd.secrets وارد کرد. فرمت قرارگیری اطلاعات کاربری در این فایل به صورت username:password در هر خط است. برای وارد کردن رمز عبور در فایل /etc/rsyncd.secrets از سمت کلاینت، کاربران می‌توانند از دستور زیر استفاده کنند. نام کاربری کاربر باید با مقدار auth users در فایل پیکربندی سمت سرور یکسان باشد و مجوز 600 برای آن‌ها تنظیم شده باشد.
Rsync -av --password-file=/etc/rsyncd.secrets test.host.com::files /des/path

• فعال کردن رمزگذاری در هنگام انتقال اطلاعات: Rsync به طور پیش فرض از انتقال رمزگذاری شده داده‌ها پشتیبانی نمی‌کند و برای فعال کردن این قابلیت در هنگام انتقال داده‌های با اهمیت از پروتکل SSh استفاده می‌شود. Rsync از دو روش TCP و SHH برای همگام سازی فایل‌ها استفاده می‌کند.

یک #‫آسیب‌پذیری در نرم‌افزار تجهیزات امنیتی سازگار (ASA) #‫سیسکو کشف شده است که به یک مهاجم اجازه می‌دهد فایل‌ها را بازیابی یا تصاویر نرم‌افزار را بر روی یک دستگاه جایگزین کند.
این نقص امنیتی که به صورت CVE-2018-15465 ردیابی می‌شود، می‌تواند توسط یک مهاجم احراز‌ هویت‌ نشده و راه دور مورد سوءاستفاده قرار گیرد تا عملیات ممتاز را بااستفاده از واسط مدیریتی وب انجام دهد. برای سوءاستفاده از این نقص لازم است مهاجم درخواست‌های HTTP خاصی را از طریق HTTPS به یک دستگاه متأثر به عنوان یک کاربر غیرممتاز ارسال نماید.
مهاجم با سوءاستفاده از این نقص می‌تواند پیکربندی در حال اجرا را تغییر دهد یا دانلود کند و همچنین سخت‌افزار تجهیزات را آپلود یا جایگزین نماید. مهاجم می‌تواند سخت‌افزار را با نسخه‌ی قدیمی‌تر آن جایگزین کند و سپس از آسیب‌پذیری‌های شناخته‌ شده‌ی موجود در آن، سوءاستفاده نماید.
مشکل این است که مجوزهای کاربر هنگام استفاده از واسط مدیریتی وب به‌درستی اعتبارسنجی نمی‌شوند و هنگامی که احرازهویت فرمان (command authentication) در تجهیزات امنیتی سازگار سیسکو غیرفعال باشد (وضعیت پیش‌فرض) می‌تواند مورد سوءاستفاده قرار گیرد. هنگامی که احرازهویت فرمان فعال نباشد، ASA تنها بین کاربران غیرممتاز (سطح 0 و 1) و کاربران ممتاز (سطوح 2 تا 15) تمایز قایل می‌شود. انتظار می‌رود کاربران ممتاز (سطوح 2 تا 15) از طریق واسط مدیریتی وب دسترسی کامل مدیریتی به ASA داشته باشند، حتی بدون دانستن گذرواژه.
با توجه به اینکه این آسیب‌پذیری تنها زمانی کار می‌کند که احرازهویت فرمان غیرفعال شده باشد، راه حل این آسیب‌پذیری شامل فعال‌سازی احرازهویت فرمان به‌منظور جلوگیری از سوءاستفاده است. این امر به طور قابل توجهی حالتی را که در آن ASA سیسکو سطوح امتیاز و عملیات احرازهویت را تفسیر می‌کند، تغییر می‌دهد و مدیران باید عملیات مجاز در هر سطح امتیاز را تعریف کنند. به گفته‌ی سیسکو، مدیران نباید فرمان aaa فرمان احراز هویت را تا زمانی که این فعالیت‌ها را تعریف نکرده‌اند، فعال سازند.
مدیرانی که از مدیر دستگاه امنیتی سازگار (ASDM) برای مدیریت ASA استفاده می‌کنند، باید احرازهویت فرمان را از طریق ASDM فعال سازند تا مطمئن شوند عملیات ASDM مناسبی پس از فرمان احرازهویت فعال شده است.
نرم افزار ASA در حال اجرا بر روی هر محصول سیسکو که دسترسی مدیریت وب آن فعال است، تحت‌تأثیر این آسیب‌پذیری قرار گرفته است. نرم‌افزار Firepower Threat Defense تحت‌تأثیر این آسیب‌پذیر قرار نگرفته است.
سیسکو به مشتریان خود توصیه می‌کند به نسخه‌های پشتیبان‌شده (9.4.4.29، 9.6.4.20، 9.8.3.18، 9.9.2.36 یا 9.10.1.7) مهاجرت کنند.
بر اساس نتیجه‌گیری‌های سیسکو، برای اینکه رفع این آسیب‌پذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آن‌ها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است. به طور خاص، فرمان {LOCAL | } کنسول http احراز هویت aaa باید وجود داشته باشد.

یکی از شبکه های اجتماعی محبوب در ایران اینستاگرام است. برنامه های زیادی با نام های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکتهای داخلی منتشر شده است. همانطور که نام برنامه ها نشان میدهد، هدف برنامه ها عمدتا گرفتن فالوئر و لایک و... برای کاربران اینستاگرام است. پیشتر در مهرماه ۱۳۹۷، هشداری توسط مرکز ماهر با عنوان ((هشدار مرکز ماهر در خصوص برنامه های مرتبط با اینستاگرام)) منتشر گردید. در این گزارش جزییات بیشتر این بررسی ارائه می‌گردد. با توجه به زمان سپری شده از آغاز بررسی‌های فنی،‌ ممکن است تغییراتی در اپلیکیشن‌های مطرح شده و اطلاعات انتشار یافته صورت پذیرفته باشد.‬‬

در بررسی انجام شده بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارائه می دهند از مارکت های داخلی جمع آوری و بررسی شد. از این میان حدود 100 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در بین این برنامه ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامه ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روشهای مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال میکردند. با توجه به آمار نصب های این برنامه ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بسیاری از برنامه های دیگر (از بین 100 برنامه) نیز باوجود اینکه به کاربران اطمینان میدادند که به رمز عبور آن‌ها دسترسی ندارند ولی با استفاده از روشهایی، رمز عبور را استخراج میکردند. برای این دسته از برنامه ها شواهدی از ارسال رمز عبور به سرور خود برنامه ها مشاهده نشد و به همین دلیل این برنامه ها در لیست برنامه های سارق ذکر نشده اند. نتایج بررسی این برنامه ها در گزارش دوم ارائه شده است. متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج میکردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه ها در کل خطر بالایی دارند و بهتر است که فروشگاه های اندرویدی پیش از انتشار چنین برنامه هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

لازم به ذکر است که در این تحقیق تمام برنامه های اندرویدی مارکتهای داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویست تایی از برنامه ها برای نمونه جمع آوری و تحلیل شدند. در نتیجه احتمالا برنامه های سارق دیگری نیز در مارکتها حضور دارند.

با همکاری صورت گرفته از سوی مارکت‌های توزیع کننده، شماری از این اپلیکیشن‌ها حذف شده اند که در مستند بصورت highlight‌ شده نشان داده شده اند. برخی از صفحات فیشینگ مورد اشاره در مستند نیز با همکاری میزبانان داخلی و خارجی حذف گردیدند اما متاسفانه برخی از دامنه‌های فیشینگ صفحه ورود اینستاگرام به دلیل عدم همکاری میزبانان خارجی همچنان فعال هستند.

دانلود بخش اول گزارش

دانلود بخش دوم گزارش

دانلود بخش سوم گزارش

Hash file

در روزهای اخیر شاهد افزایش میزان حملات در سطح کشور بر روی #‫پورت_7547 بوده ایم. فعالیت های این پورت که یکی از پورت های اصلی مورد هجوم بدافزار #‫میرای است، می تواند تا حدودی وضعیت این بدافزار و میزان فعال بودن بات نت های مرتبط با آن را مشخص کند. با بررسی های انجام شده بر روی این پورت مشخص شد که در بازه زمانی 1397/09/01 تا 1397/09/30 نرخ حملات به شدت افزایشی بوده و متاسفانه اکثر حملات صورت گرفته از آدرس های مبدا ایران هستند، بگونه ای که در حملات رخ داده در این بازه زمانی حدود 68 درصد حملات از آدرس های کشور ایران و تنها 32 درصد حملات از سایر نقاط جهان ایجاد شده است. این نشان می دهد هنوز بسیاری از تجهیزات و سیستم های داخل کشور پاکسازی و بروزرسانی نشده و در حال انتقال آلودگی هستند. این در حالی است که در گزارش های پیشین نیز به اهمیت بروزرسانی تجهیزات و مقابله با بات های آلوده در کشور تاکید شده بود.

در ضمن قابل تاکید است که بیشترین حملات خارجی از کشور رومانی به این پورت صورت‌گرفته است و در بررسی جداگانه‌ای که درباره کشور رومانی صورت گرفت، مشخص شد که برخی زیرشبکه های این کشور آلوده به بات نت هایی هستند که پورت های 23 و 7547 را در داخل کشور مورد هدف قرار می دهند.

بنابراین با توجه به تهدیدات داخلی و خارجی در این مورد، لازم است سازمان های ذی ربط در اسرع وقت نسبت به هشدار به مالکان تجهیزات آلوده اقدام نمایند تا میزان بات نت های فعال بر روی این پورت در کشور کاهش یابد. بیشتر تجهیزات آلوده که به این پورت حمله می کنند در دسته مودم ها و روترهای خانگی قرار دارند که با بروزرسانی Firmware در مقابل حملات بات نت ها و تبدیل شدن به بات ایمن می شوند. جهت مطالعه کامل به فایل پیوست مراجعه نمایید.

#‫مایکروسافت آخرین به‌روزرسانی سال جاری را برای رفع نه# آسیب‌پذیری حیاتی که شامل یک نقص #‫روزصفرم بود، منتشر کرد و چندین آسیب‌پذیری مهم در برنامه‌های مختلف ازجمله برنامه‌های MS Office را وصله کرد.
آسیب‌پذیری روز صفرم مایکروسافت (CVE-2018-8611)، یک آسیب‌پذیری ارتقاء مجوز هسته‌‌ی ویندوز است که نسخه‌های 7 تا 2019 ویندوز را تحت تأثیر قرار می‌دهد.
این آسیب‌پذیری ارتقاء مجوز زمانی رخ می‌دهد که هسته‌ی ویندوز نتواند اشیاء داخل حافظه را به‌درستی کنترل کند. پس از سوءاستفاده‌ی‌ موفق از این آسیب‌پذیری، مهاجم می‌تواند کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، اصلاح یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
علاوه‌بر این آسیب‌پذیری روز صفرم، به‌روزرسانی ماه دسامبر مایکروسافت، اصلاحاتی را برای 9 آسیب‌پذیری حیاتی دربر داشت که پنج مورد از آن‌ها شامل نقص‌های فیزیکی حافظه در موتور اسکریپت Chakra است که منجر به اجرای کد از راه دور می‌شوند. چهار آسیب‌پذیری دیگر، در چارچوب Microsoft .NET، سرورهای DNS ویندوز، اینترنت اکسپلورر و Microsoft Edge وجود دارند.
مایکروسافت همچنین 29 آسیب‌پذیری مهم اجرای کد از راه دور را وصله کرد. برخی از این آسیب‌پذیری‌ها شامل نقص در مایکروسافت اکسل (CVE-2018-8597 و CVE-2018-8636)، مایکروسافت ورد (CVE-2018-8590)، مایکروسافت پاورپوینت (CVE-2018-8628) و Outlook (CVE-2018-8587) هستند.

#‫phpMyAdmin یک ابزار مدیریتی رایگان و متن‌باز برای مدیریت پایگاه‌‌های داده‌ی #‫MySQL است که از یک واسط گرافیکی ساده بر روی مرورگر وب استفاده می‌کند. تقریباً هر سرویس میزبانی وب، phpMyAdmin را با پنجره‌های کنترل خود پیش‌نصب می‌کند تا به وب‌مسترها کمک کنند پایگاه‌های داده‌ی خود را برای وب‌سایت‌ها، از جمله WordPress،JoomlA و بسیاری از بسترهای مدیریت محتوای دیگر، به آسانی مدیریت کنند.
توسعه‌دهندگان این سیستم مدیریتی محبوب، به تازگی نسخه‌ی به‌روزرسانی‌شده‌ی 4.8.4 از این نرم‌افزار را منتشر ساخته‌اند. این به‌روزرسانی، علاوه بر رفع بسیاری از اشکالات، سه آسیب‌پذیری امنیتی مهم را که نسخه‌های پیش از 4.8.4 را تحت‌تأثیر قرار می‌دهند، برطرف ساخته است. سوءاستفاده از این سه آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد تا کنترل کارگزاران وب متأثر را به‌دست گیرند. جزئیات این سه آسیب‌پذیری بحرانی جدید phpMyAdmin به شرح زیر است:
1. Local file inclusion (CVE-2018-19968): نسخه‌‌های 4.0 تا 4.8.3 از phpMyAdmin دارای نقص local file inclusion است که به یک مهاجم راه دور اجازه می‌دهد محتویات حساس را از فایل‌های محلی کارگزار از طریق ویژگی انتقال (transformation) آن بخواند.
2. Cross-Site Request Forgery (CSRF/XSRF) (CVE-2018-19969): نسخه‌های 4.7.0 تا 4.7.6 و 4.8.0 تا 4.8.3 از phpMyAdmin دارای نقص CSRF/XSRF هستند. اگر این نقص مورد سوءاستفاده قرار گیرد، به مهاجمان اجازه می‌دهد عملیات مخربی بر روی SQL مانند تغییرنام پایگاه‌‌های داده، ساخت روتین‌ها یا جدول‌های جدید، اضافه یا حذف کاربران جدید، به‌روزرسانی گذرواژه‌های کاربر و از‌بین‌بردن فرایند‌های SQL تنها با متقاعد‌کردن قربانیان به بازکردن لینک‌های ساختگی خاص، انجام دهند.
3. Cross-site scripting (XSS) (CVE-2018-19970): آسیب‌پذیری Cross-site scripting، نسخه‌های 4.0 تا 4.8.3 از این نرم‌افزار را تحت‌تأثیر قرار می‌دهد. با سوءاستفاده از این آسیب‌پذیری، مهاجم می‌تواند کد مخرب را از طریق یک نام پایگاه‌داده یا جدول ساختگی خاص تزریق کند.
جهت رفع تمامی آسیب‌پذیری‌های امنیتی فوق، توسعه‌دهندگان phpMyAdmin آخرین نسخه‌ی 4.8.4 و هچنین وصله‌های جدا برای برخی نسخه‌های قبلی منتشر کرده‌اند.
به مدیران وب‌سایت و ارایه‌دهندگان میزبان شدیداً توصیه می‌شود هر چه سریع‌تر آخرین به‌روزرسانی یا وصله‌ها را نصب نمایند.

بسیاری از برنامه‌هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­شوند از روی برنامه­ های منبع باز ساخته شده اند. بسیاری از این برنامه‌ها صرفاً با تغییر نام و آیکون به عنوان برنامه ­های گوناگون و با هدف استفاده از سرویس­های تبلیغاتی داخل این برنامه­ ها و درآمدزایی برای منتشرکننده برنامه تولید می شوند. این برنامه‌ها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.

مرکز ماهر با همکاری مارکت‌های توزیع کننده‌، درحال شناسایی و مقابله با دسته‌های مختلف از این اپلیکیشن‌ها است. در این مستند برنامه‌های منتشر شده تحت عنوان آنتی‌ویروس در مارکت‌های اندروید ایرانی مورد بررسی قرار گرفته ­اند. بررسی و مقایسه این برنامه‌ها نشان می ­دهد که عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته­ اند.

دانلود گزارش

محققان امنیت سایبری یک #‫آسیب‌پذیری بحرانی را در نرم‌افزار پایگاه داده‌ی #‫SQLite کشف کرده‌اند. این آسیب‌پذیری میلیاردها نصب را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری که توسط تیم امنیتی Tencent کشف و "Magellan" نامیده شده است، به مهاجمان راه دور امکان اجرای کد مخرب یا دلخواه را بر روی دستگاه‌های آسیب‌پذیر می‌دهد.
SQLite یک سیستم مدیریت پایگاه‌داده‌ی ارتباطی مبتنی بر دیسک پرطرفدار است که به کم‌ترین پشتیبانی از طرف سیستم‌عامل یا کتابخانه‌های خارجی نیاز دارد و از این رو تقریباً با هر دستگاه، پلتفرم و زبان برنامه‌نویسی‌ای سازگار است.
امروزه SQLite یک موتور پایگاه پراستفاده در جهان است که توسط میلیون‌ها برنامه با میلیاردها نصب استفاده شده است.
از آن‌جایی که مرورگرهای وب مبتنی بر Chromium از جمله گوگل کروم، اوپرا، Vivaldi و Brave نیز SQLite را پشتیبانی می‌کنند، یک مهاجم راه دور می‌تواند به‌راحتی کاربران مرورگرهای آسیب‌پذیر را تنها با متقاعد کردن آن‌ها به بازدید از یک صفحه‌ی وب دستکاری شده، مورد هدف قرار دهد.
SQLite پس از دریافت جزئیات آسیب‌پذیری از محققان، نسخه‌ی 3.26.0 را منتشر و در این نسخه این آسیب‌پذیری را رفع کرد.
گوگل نیز نسخه‌ی 71.0.3578.80 Chromium را برای وصله کردن این آسیب‌پذیری منتشر و نسخه‌ی وصله‌شده را به آخرین نسخه‌ی گوگل کروم و مرورگر Brave اضافه کرد.
محققان Tencent اکسپلویتی را برای اثبات این آسیب‌پذیری طراحی و با موفقیت بر روی Google Home تست کرده‌اند. از آن‌جایی که بیشتر برنامه‌ها به این زودی وصله نخواهند شد، محققان تصمیم گرفتند تا جزئیات فنی و کد اکسپلویت آن را به‌صورت عمومی افشا نکنند.
SQLite توسط بسیاری از برنامه‌ها از جمله ادوبی، اپل، دراپ‌باکس، فایرفاکس، اندروید، کروم، مایکروسافت و بسیاری از دیگر نرم‌افزارها استفاده شده است، بنابراین آسیب‌پذیری magellan یک آسیب‌پذیری قابل توجه است، حتی اگر هنوز به‌طور واقعی مورد بهره‌برداری قرار نگرفته باشد.
از این‌رو به شدت توصیه می‌شود که تمامی افراد فوراً سیستم‌ها و نرم‌افزارهای آسیب‌پذیرشان را به آخرین نسخه‌ها به‌روزرسانی کنند.