‫ اخبار

محققان امنیتی، مجموعه‌ای از برنامه‌های #Fleeceware را در فروشگاه Play کشف کردند که توسط بیش از 600 میلیون کاربر اندرویدی نصب شده‌اند.
اصطلاح Fleeceware برای اولین بار در ماه سپتامبر سال 2019 توسط شرکت امنیت سایبری «سوفوس»، در پی تحقیقاتی که منجر به نوعی کلاه‌برداری مالی در فروشگاه معتبر Google Play شده بود، ارایه شد.
Fleeceware به برنامه‌هایی اطلاق می‌شود که از توانایی برنامه‌های اندروید برای اجرای دوره‌های آزمایشی قبل از پرداخت هزینه از حساب کاربر، سوءاستفاده می‌کنند.
به‌طور معمول، کاربرانی که برای دوره‌ی آزمایشی یک برنامه اندرویدی ثبت‌نام می‌کنند، برای جلوگیری از شارژ مجدد، لازم است آن‌را به صورت دستی لغو کنند، اما اکثر کاربران علاقه‌ای به حذف برنامه‌های خود ندارند.
بسیاری از توسعه‌دهندگان برنامه‌ها، دوره‌ی آزمایشی را لغو می‌کنند، اما برخی دیگر، پس از حذف برنامه، دوره‌ی آزمایشی برنامه را لغو نمی‌کنند و درخواست خاصی از کاربر دریافت نمی‌کنند و به این ترتیب می‌توانند مبالغ زیادی را برای کاربران اندرویدی شارژ ‌کنند.
طبق گزارش منتشرشده توسط صفحه‌ی رسمی گوگل، تعداد کاربران کل این برنامه‌ها زیاد است (نزدیک به 600 میلیون کاربر در کمتر از 25 برنامه).
محققان بیش از دوهزار برنامه‌ی اندرویدی حاوی Fleeceware را شناسایی كردند. این برنامه‌ها بین 100 تا 240 دلار در سال توسط برنامه‌هایی مانند باركدخوان‌ها، ماشین‌حساب‌ها و اسكنرهای QR شارژ می‌شوند.
برنامه‌های Feeceware تعداد نصب بالایی دارند. برخی از آن‌ها دارای ده‌ها میلیون نصب هستند که نشان می‌دهد بازیگران تهدید در پشت این برنامه‌ها ممکن است از خدمات پرداخت شخص ثالث برای افزایش تعداد برنامه‌های نصب‌شده استفاده کنند و نظرات پنج ستاره را برای تقویت رده‌بندی خود در فروشگاه Play جعل کرده و تعداد زیادی کاربر جذب کنند.
راه‌کارهای امنیتی
• به کاربران دستگاه‌های اندروید که از فروشگاه Play برای نصب برنامه‌ها استفاده می‌کنند، توصیه می‌شود از نصب برنامه‌های «آزمایشی رایگان» که هزینه‌های مبتنی بر اشتراک را بعد از یک آزمایش کوتاه ارایه می‌دهند، خودداری کنند.
• در صورت داشتن برنامه‌ای با دوره‌ی آزمایشی، مطمئن شوند که حذف برنامه، نه‌تنها موجب حذف دوره‌ی آزمایشی، بلکه کل برنامه خواهد شد.
• در صورت مشکوک بودن به برنامه‌ای و دریافت مکاتبات توسط توسعه‌دهنگان آن، کپی مکاتبات را حفظ کرده و آن‌را با گوگل به اشتراک بگذارند.

#Adobe اولین نسخه‌ی سال 2020 خود را برای ویندوز منتشر کرد که چندین آسیب‌پذیری در محصولات Illustrator و Experience Manager را برطرف می‌کند.
به‌روزرسانی‌های امنیتی برای Illustrator CC 2019 در ویندوز، به پنج مسئله‌ی فساد حافظه‌ (CVE-2020-3710 ، CVE-2020-3711 ، CVE-2020-3712 ، CVE-2020-3713 و CVE-2020-3714) می‌پردازد که می‌تواند منجر به اجرای کد دلخواه در زمینه‌ی کاربر هدف شوند. این آسیب‌پذیری‌های امنیتی دارای شدت «بحرانی» هستند و همه‌ی آن‌ها بر نسخه‌های 24.0 و قبل از آن Adobe Illustrator CC تأثیر می‌گذارند.
به این آسیب‌پذیری‌ها رتبه‌ی اولویت 3 داده شده است، بدین معنی که Adobe انتظار ندارد که هیچ یک از آن‌ها در حملات گسترده مورد سوء‌استفاده قرار گیرند.
این شرکت همچنین به‌روزرسانی‌های امنیتی برایAdobe Experience Manager (AEM) منتشر کرد که به چهار موضوع مهم و متوسط (CVE-2019-16466 ، CVE-2019-16467 ، CVE-2019-16468 ، CVE-2019-16469) می‌پردازد. این نقص‌ها بر روی نسخه‌های 6.3 ، 6.4 و 6.5 Experience Manager تأثیر می‌گذارند.
نقص‌های مهم رتبه‌بندی‌شده مربوط به نقص‌های اجرای اسکریپت مخرب (XSS) یا تزریق Expression Language هستند. یک حفره‌ی امنیتی با درجه‌ی متوسط نیز به‌عنوان یک مسئله‌ی تزریق رابط کاربری توصیف شده است. تمامی این نقص‌ها می‌توانند در صورت سوءاستفاده، منجر به افشای اطلاعات حساس شوند.
Adobe به کاربران نهایی و سرپرستان توصیه می‌کند که در اسرع وقت، آخرین وصله‌های امنیتی را نصب کنند تا از سیستم‌ها و مشاغل خود در برابر حملات سایبری محافظت نمایند.

#‫اوراکل، دومین شرکت بزرگ نرم‌افزاری جهان، در اولین به‌روزرسانی Critical Patch Update (CPU) سال 2020 ماه ژانویه خود، 334 نقص برطرف ساخته است که با تعداد وصله‌های منتشرشده‌اش در ماه جولای سال 2018 برابر است.
دلیل این تعداد زیاد انتشار وصله امنیتی این است که اوراکل بر خلاف دیگر رقبای خود مانند مایکروسافت، هر سه ماه یک بار وصله امنیتی منتشر می‌سازد. عامل دیگر آن حجم بالای محصولاتی (صدها محصول و اجزای محصولات) است که در به‌روزرسانی ماه ژانویه رفع نقص شده‌اند.
بسترهای که در این به‌روزرسانی برایشان وصله منتشر شده است عبارتند از:
Oracle Database Server: شامل 12 وصله‌ که 3 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند. 5 مورد از آنها از نظر شدت «بالا» رتبه‌بندی شده‌اند و دارای حداکثر امتیاز CVSS 7.7 از 10 هستند.
Oracle Communications Applications: شامل 25 وصله که 23 مورد از نقص‌های وصله‌شده می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند. 6 مورد از نقص‌های رفع‌شده در این 25 وصله، از نظر شدت «بحرانی» رتبه‌بندی شده‌اند و دارای امتیاز CVSS بالاتر از 9 از 10 هستند.
Oracle E-Business Suite: شامل 23 وصله که 21 مورد از نقص‌های وصله‌شده از راه‌ دور قابل سوءاستفاده هستند.
Oracle Enterprise Manager: شامل 50 وصله که 10 مورد از نقص‌های وصله‌شده می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند، از جمله 4 آسیب‌پذیری با شدت بحرانی دارای امتیاز CVSS بالاتر از 9 از 10.
Fusion Middleware: شامل 38 وصله که 30 مورد از نقص‌های وصله‌شده از راه دور و بدون احرازهویت قابل سوءاستفاده هستند، از جمله 3 آسیب‌پذیری با شدت «بحرانی» و دارای امتیاز CVSS بیشتر از 9 از 10.
Java SE: شامل 12 وصله‌ی رفع نقص است که تمامی نقص‌ها می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند.
JD Edwards: شامل 9 وصله است.
MySQL: شامل 19 وصله که 6 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
Siebel CRM: شامل 5 وصله است.
Oracle Virtualization: شامل 22 وصله که 3 مورد از نقص‌های وصله‌شده از راه دور و با احرازهویت قابل سوءاستفاده هستند. این وصله‌ها دو نقص با بالاترین شدت CVE-2020-2674 و CVE-2020-2682 که VM VirtualBox را تحت‌تأثیر قرار می‌دهند و هر دوی آن‌ها برای اینکه مورد سوءاستفاده قرار گیرند نیاز به دسترسی محلی دارند را شامل نمی‌شود.
PeopleSoft: شامل 15 وصله که 12 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
دو نقصی که Oracle Human Resources را تحت‌تأثیر قرار می‌دهند دارای درجه شدت 9.9 از 10 هستند و نمی‌توانند بدون احرازهویت از راه دور مورد سوءاستفاده قرار گیرند.
31 نقص دیگر دارای درجه شدت 9.8 درOracle WebLogic Server ، Oracle Communications Instant Messaging Server ، Enterprise Manager Ops Center ، Oracle Application Testing Suite، Hyperion Planning و JD Edvard Enterprise One Orchestrator هستند.
به طور کلی، در میان نقص‌های وصله‌شده در این به‌روزرسانی، 191 مورد از آن‌ها از راه دور قابل سوءاستفاده هستند.
به دلیل گزارش مداوم مشتریان اوراکل از حملات موفقیت‌آمیز بر روی سیستم‌هایی که با وصله‌های موجود به‌روز نشده‌اند، اوراکل از همه مشتریان خود می‌خواهد بلافاصله به‌روزرسانی‌های CPU ماه ژانویه سال 2020 را اعمال کنند.

این آسیب پذیری در یک مؤلفه #‫ویندوز موسوم به crypt32.dllقرار دارد که وظیفه کنترل گواهینامه ها و پیغام های رمزنگاری در CryptoAPIرا دارد. CryptoAPIسرویسی را به توسعه دهندگان ارائه میدهد که میتوانند با آن عملیاتی مانند رمزگذاری و رمزگشایی را با استفاده ازگواهینامه دیجیتال انجام دهند.

ضعف امنیتی در قسمتی از crypto32.dllاست که سعی بر تایید گواهی نامه های Elliptic Curve Cryptography (ECC)دارد و در تمامی بستر های کلید عمومی و گواهی نامه های SSL/TLSاستفاده می شود.

این آسیب پذیری بحرانی میتواند تعداد زیادی از عملکرد های ویندوز را تحت الشعاع قرار دهد. از جمله تایید اعتبار در سیستم عامل های ویندوز مبتنی بر دسکتاپ یا سرور، یا امنیت اطلاعات حساس ذخیره شده توسط مرورگر Internet Explorer/Edge Microsoftو حتی تعداد زیادی از نرم افزار ها و ابزار های شخص ثالث تحت ویندوز در خطر سو استفاده از این آسیب پذیری هستند.

مهاجمان میتوانند با سوءاستفاده از crypt32.dllبدافزار ها و کد های مخرب خود را با امضای دیجیتال جعلی یک شرکت معتبر و امضا کنند، بطوری که بدافزار مخرب بصورت نرم افزار مجاز به سیستم عامل معرفی می شود.

یکی از پتانسیل های حمله، ارتباطات HTTPSمی باشد. مهاجم می تواند با جعل گواهی نامه ارتباط SSLکلاینت را به اشتباه انداخته و تمامی ارتباطات SSL/TLSرا شنود کند.

شرکت مایکروسافت وصله امنیتی را برای سیستم عامل ویندوز منتشر کرده است. اکیدا توصیه می شود در اسرع وقت اقدام به بروز رسانی سیستم های عامل نمایید.

نسخه های آسیب پذیر :

به دلیل معرفی مولفه crypt32.dllدر هسته ویندوز نسخه NT 4.0 خود این نسخه و تمامی نسخه های بعد از آن مستعد آسیب پذیری هستند.

راه حل:

در لینک زیر وصله های امنیتی برای مرتفع سازی این آسیب پذیری ارائه شده است.

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jan

سرویس هایی که در اولین فرصت باید بروز رسانی و وصله شوند :

• وب سرور ها
• Domain Controllerها
• سرور های DNS
• سرور هایی که ارتباطات TLSدارند (از جمله تمامی سرور هایی که از RDPبرای مدیریت استفاده می کنند)

منبع:

https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601/

در ساعات اولیه بامداد روز ۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های ict.gov.ir از سوی یک گروه هکری مطرح گردید.
با تکیه بر همکاران، ابزارها و فناوری‌های مورد استفاده، در چند دقیقه موضوع توسط مرکز ماهر رصد شد و مشخص شد که مهاجم با سواستفاده از یک فرم گزارش‌دهی، اقدام به بارگزاری یک فایل متنی در وبسایت نموده است. این موضوع در همان زمان پیگیری شده و محدودیت‌های لازم بر این قابلیت گزارش دهی اعمال شد.
در این رویداد هیچ گونه نفوذ و دسترسی غیرمجاز ویا اعمال تغییری در محتوای وبسایت صورت نگرفت. لازم به به توضیح است این قابلیت بارگذاری فایل صرفا اجازه بارگذاری فایل‌های بی خطر جهت ارائه خدمت به کاربران را ارائه می نمود.
از سوی دیگر ادعای مطرح شده درخصوص از دسترس خارج شدن وبسایت پس از این رخداد نیز مطلقا صحت نداشته و دسترسی با وبسایت بطور پیوسته برقرار بوده است.

محققان امنیتی هشدار داده‌اند كه يك #‫آسيب‌پذيری شناخته‌شده که بر محصول #VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسه‌ی " CVE-2019-11510" ردیابی می‌شود، یک حفره‌ی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ی شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
باج‌افزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائه‌دهنده‌ی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.
مهاجمان به‌راحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آن‌ها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec"، به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باج‌افزار، توانایی انجام آن را دارد.
طبق تحقیقات انجام‌شده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از 1300 مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.

https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/