‫ اخبار

بات نت جدید Meris متشکل از 250000 دستگاه آلوده به بدافزار، مسبب بزرگترین حملات DDOS اخیر در دنیا و از طریق روترهای میکروتیک بوده‌است. حملات هفته گذشته این بات نت، رکورد بزرگترین حملات حجمی DDOS را شکست. بنابر اطلاعیه شرکت میکروتیک این مساله با استفاده از آسیب پذیری روترهای قدیمی میکروتیک مربوط به سال 2018 بوده است.
از آنجایی‌که تعدادی از آدرس‌های IP مورد سو‌استفاده در این حمله متعلق به کشور ایران است، لذا کلیه کاربران تجهیزات میکروتیک جهت پیشگیری از وقوع حملات احتمالی این نوع بات نت در آینده، هر چه سریعتر نسبت به انجام دستورالعمل‌های ذیل اقدام نمایند:

• دستگاه میکروتیک خود را به‌طور منظم به‌روز کرده و به‌روز نگه دارید.
• دسترسی به دستگاه از طریق اینترنت را محدود نمایید، به‌طوری‌که امکان دسترسی به دستگاه بطور عمومی از طریق اینترنت وجود نداشته باشد؛ اگر نیاز به دسترسی از راه دور به دستگاه دارید فقط از طریق سرویس های VPN امن مانند IPsec این امکان را فراهم نمایید.
• از رمز عبور قوی استفاده کنید و آن را مرتباً تغییر دهید.
• تصور نکنید که شبکه محلی (local) یک شبکه امن است؛ چراکه اگر روتر شما توسط رمز عبور محافظت نشود و یا رمز عبور ضعیفی داشته باشد، بدافزار قادر است به شبکه محلی شما هم نفوذ کند.
• پیکربندی سسیتم‌عامل روتر (RouterOS) را برای یافتن تنظیمات ناشناخته بررسی کنید. تنظیماتی که در صورت وجود باید حذف شوند به شرح زیر هستند:

• System => Schedulerهایی که یک اسکریپت Fetch را اجرا می‌کنند، حذف کنید.
• IP => پروکسی‌های Socks. اگر از این قابلیت (پروکسی‌های Socks) استفاده نمی‌کنید یا از کارکرد آن اطلاع ندارید، باید آن را غیرفعال کنید.
• کلاینت L2TP با نام «lvpn» و یا هر کلاینت L2TP ی که نمی‌شناسید.
• قوانین فایروال که به پورت 5678 اجازه دسترسی می‌دهد.

بدافزاری وجود دارد که سعی می‌کند دستگاه میکروتیک را از طریق رایانه‌ی ویندوزی موجود در شبکه داخلی شما مجدداً پیکربندی کند؛ به همین دلیل بسیار مهم است که دستگاه‌های خود را با رمز عبور قوی محافظت کنید تا از حملات dictionary و نفوذ بدافزار جلوگیری شود. همچنین این بدافزار سعی می‌کند با بهره‌برداری از آسیب‌پذیری‌های موجود در نسخه‌های مختلف دستگاه به آن نفوذ کند (به‌عنوان‌مثال آسیب‌پذیری CVE-2018-14847 که مدت‌ها است وصله شده است)؛ به همین دلیل به‌روز نمودن دستگاه میکروتیک به آخرین نسخه و ارتقای نسخه‌ی آن به صورت منظم اکیداً توصیه می‌شود.
همچنین توصیه می‌شود با همکاری ISP خود آدرس‌های زیر که اسکریپت‌های مخرب به آنها متصل شده‌اند را مسدود کنید:

• مسدودسازی دامنه‌های endpointهای تونل زیر:
  • *.eeongous.com
  • *.leappoach.info
  • *.mythtime.xyz
• مسدودسازی دامنه‌های زیر که اسکریپت‌ها را دانلود می‌کنند:
  • 1abcnews.xyz
  • 1awesome.net
  • 7standby.com
  • audiomain.website
  • bestony.club
  • ciskotik.com
  • cloudsond.me
  • dartspeak.xyz
  • fanmusic.xyz
  • gamedate.xyz
  • globalmoby.xyz
  • hitsmoby.com
  • massgames.space
  • mobstore.xyz
  • motinkon.com
  • my1story.xyz
  • myfrance.xyz
  • phonemus.net
  • portgame.website
  • senourth.com
  • sitestory.xyz
  • spacewb.tech
  • specialword.xyz
  • spgames.site
  • strtbiz.site
  • takebad1.com
  • tryphptoday.com
  • wchampmuse.pw
  • weirdgames.info
  • widechanges.best
  • zancetom.com
• همچنین دامنه‌های زیر نیز توسط بات نت مورد بحث مورد استفاده بوده است:
  • bestmade.xyz
  • gamesone.xyz
  • mobigifs.xyz
  • myphotos.xyz
  • onlinegt.xyz
  • picsgifs.xyz

مرجع

https://blog.mikrotik.com/security/meris-botnet.html

اخیراً شرکت گوگل به‌روزرسانی‌هایی را به منظور وصله 11 #‫آسیب‌پذیری موجود در مرورگر کروم منتشر کرده است. دو مورد از این آسیب‌پذیری‌ها (CVE-2021-30632 و CVE-2021-30633) روزصفرم بوده و تحت بهره‌برداری فعال قرار دارند. این آسیب‌پذیری‌ها موتور متن‌باز جاوااسکریپت V8 مرورگر کروم را تحت تاثیر خود قرار می‌دهند. جزئیات فنی بیشتری از آسیب‌پذیری‌های مذکور منتشر نشده است.
به کاربران توصیه می‌شود هرچه سریعتر مرورگر خود را به نسخه 93.0.4577.82 به‌روزرسانی نمایند. اعمال به‌روزرسانی‌ها از طریق مسیر ' Settings > Help > 'About Google Chrome و سپس انتخاب گزینه به‌روزرسانی انجام می‌پذیرد.
جهت کسب اطلاعات بیشتر در مورد این آسیب‌پذیری‌ها به لینک زیر مراجعه کنید:

مراجع

نسخه 5.8.1 وردپرس حاوی وصله‌هایی به منظور به‌روزرسانی چندین #‫آسیب‌پذیری امنیتی در نسخه‌های 5.4 تا 5.8 وردپرس است. مهاجم می‌تواند از این آسیب‌پذیری‌ها جهت کنترل وب‌سایت آسیب‌دیده بهره‌برداری کند. به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سایت‌های وردپرسی آسیب‌پذیر اقدام شود.
وردپرس 5.8.1 یک نسخه امنیتی موقت است و نسخه اصلی بعدی 5.9 خواهد بود. هیچ‌گونه روش موقتی جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور منتشر نشده است. اعمال به‌روزرسانی‌ها به‌صورت زیر انجام می‌پذیرد:

• مراجعه به سایت WordPress.org و بارگیری فایل به‌روزرسانی
• استفاده از مسیر Dashboard → Updates در پیشخوان سایت وردپرسی و انتخاب گزینه Update Now

مراجع

با توجه به موارد ارجاع شده به مرکز ماهر، اخیراً ارسال پیش فاکتورهای مشابه با پیش فاکتور اصلی با شماره حساب جعلی شریک خارجی، مشاهده شده است. این حملات عمدتا از طریق هک ایمیل طرف داخلی، خارجی و یا هردو اتفاق افتاده است و گاها سبب خسارت‌های میلیون دلاری به یکی از طرفین شده است. به این منظور، به شرکت‌های بازرگانی داخلی اکیدا توصیه می‌شود که قبل از واریز هر گونه مبلغ به حساب طرف خارجی، از صحت شماره حساب از مسیرهایی غیر از ایمیل (نظیر تلفن، واتس آپ و یا غیره) اطمینان حاصل نمایند.

اخیراً یک نقص امنیتی در مولفه MSHTML مربوط به اینترنت اکسپلورر (IE) در ویندوز 10 و بسیاری از نسخه‌های ویندوز سرور یافت شده است. این #‫آسیب‌پذیری روزصفرم با شناسه CVE-2021-40444 شناخته شده و دارای شدت 8.8 از 10 است. مهاجم با بهره‌برداری از این آسیب‌پذیری قادر است کد دلخواه خود را در سیستم آسیب‌پذیر اجرا نماید.
لازم به ذکر است این آسیب‌پذیری تحت بهره‌برداری فعال قرار داشته و در حملات هدفمند از آن استفاده می‌شود. کد اکسپلویت این آسیب‌پذیری در لینک زیر موجود است:

https://github.com/lockedbyte/CVE-2021-40444

این حملات با استفاده از کنترل‌های مخرب ActiveX موجود در فایل‌های آلوده مایکروسافت آفیس صورت می‌گیرد که این کنترل‌ها امکان اجرای کد دلخواه را فراهم می‌کنند. فایل‌های مذکور توسط پیوست‌های مخرب ایمیل ارسال می‌شوند و مهاجم باید قربانیان را به منظور باز کردن فایل‌های مخرب فریب دهد.
در صورت غیرفعال بودن گزینه Protected View یا مشاهده فایل آفیس از طریق گزینه پیش نمایش فایل در اینترنت اکسپلورر، آسیب‌پذیری CVE-2021-40444 قابل بهره‌برداری خواهد بود.
در حال حاضر هیچ‌گونه وصله‌ای برای این آسیب‌پذیری منتشر نشده اما کاربران می‌توانند با غیرفعال کردن نصب کلیه کنترل‌های ActiveX در اینترنت اکسپلورر و همچنین باز نمودن فایل‌های آفیس در حالت Protected View یا Application Guard for Office مخاطرات مربوط به آن را کاهش دهند. راه‌حل منتشر شده توسط مایکروسافت از پیش نمایش فایل‌ها در اینترنت اکسپلورر نیز جلوگیری می‌کند.
برای اطلاع از جزییات آسیب‌پذیری مذکور و روش‌های کاهش مخاطرات آن، به پیوند زیر مراجعه کنید:

مراجع

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

https://krebsonsecurity.com/2021/09/microsoft-attackers-exploiting-windows-zero-day-flaw/

#‫آسیب‌پذیری بحرانی با شناسه CVE-2021-34746 و شدت خطر CVSS 9.8 در محصول نرم افزاری NFVIS شرکت #‫سیسکو شناسایی شده است. این آسیب پذیری از یک پروتکل احرازهویت توسعه داده شده توسط Cisco با نام TACACS + نشات می گیرد و به نفوذگر احراز هویت نشده راه دور، این امکان را می دهد تا مکانیزم احراز هویت را دور زده و با سطح دسترسی admin به دستگاه آسیب‌پذیر متصل شود. آسیب پذیری به دلیل تایید ناقص ورودی‌های ارائه شده کاربر در زمان اجرای مکانیزم احراز هویت صورت می پذیرد. با توجه به اطلاعات موجود کد Exploit این آسیب پذیری نیز به صورت عمومی انتشار یافته است.
راه تشخیص سیستم آسیب پذیر
برای بررسی دستگاه نسبت به این آسیب پذیری، باید ویژگی احراز هویت TACACS چک شود که آیا فعال است یا خیر. در صورت فعال بودن این ویژگی دستگاه شما آسیب پذیر می باشد. برای بررسی می توان از دو روش زیر استفاده نمود.

• اجرای دستور show running-config tacacs در محیط command-line دستگاه.
• همچنین می تواند از مسیر configuration > host > security > user and roles در محیط پیکربندی گرافیکی وضعت این سرویس را رصد نمایید.

نسخه های آسیب پذیر
تمامی نسخه های قبلی Cisco Enterprise NFVIS 4.5.1 آسیب پذیر می باشند.
راه حل مرتفع سازی
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا نرم افزار مورد استفاده خود را به آخرین نسخه یعنی ٍEnterprise NFVIS 4.6.1 به روز رسانی نمایند.

منبع

بررسی #‫آسیب‌پذیری بحرانی در دوربین‌های Hikvision با شناسه‌ی CVE-2017-7921 در سطح کشور، نشان می‌دهد که برخی از دوربین‌های موجود همچنان آسیب‌پذیر بوده و در برابر این ضعف‌ امنیتی به درستی محافظت نشده‌اند. عدم به‌روزرسانی ثابت‌افزار (firmware) موجب آسیب‌پذیر ماندن این دستگاه‌ها شده است. جدول زیر مشخصات آسیب‌پذیری مورد بحث را نمایش می‌دهد.

مهاجم با استفاده از این آسیب‌پذیری قادر است سازوکار کنترل دسترسی را بی اثر کرده و با دسترسی به فایل config نام کاربری و رمز عبور دوربین را سرقت کرده و دستگاه تحت کنترل خود گیرد. اکیداً توصیه می‌گردد نسخه ثابت‌افزار دستگاه خود را به آخرین نسخه ارتقا دهید.
دوربین‌ها و نسخه‌های ثابت‌افزار زیر آسیب‌پذیر می‌باشند:

• DS-2CD2xx2F-I Series
  • V5.2.0 build 140721 to V5.4.0 build 160530
• DS-2CD2xx0F-I Series
  • V5.2.0 build 140721 to V5.4.0 Build 160401
• DS-2CD2xx2FWD Series
  • V5.3.1 build 150410 to V5.4.4 Build 161125
• DS- 2CD4x2xFWD Series
  • V5.2.0 build 140721 to V5.4.0 Build 160414
• DS-2CD4xx5 Series
  • V5.2.0 build 140721 to V5.4.0 Build 160421
• DS-2DFx Series
  • V5.2.0 build 140805 to V5.4.5 Build 160928
• DS-2CD63xx Series
  • V5.0.9 build 140305 to V5.3.5 Build 160106

در صورت عدم امکان ارتقای نسخه‌ی ثابت‌افزار:

• امکان دسترسی به دوربین‌ها از طریق اینترنت را به حداقل برسانید.
• شبکه‌های کنترل دسترسی و دستگاه‌های کنترل از راه دور را با فایروال محافظت کنید.
• درصورت نیاز به دسترسی از راه دور به دوربین‌ها از روش‌های ایمن مانند VPNها استفاده کنید. با این حال باید توجه داشت که خود VPNها ممکن است آسیب‌پذیر باشند و باید به‌طور منظم به آخرین نسخه به‌روزرسانی شوند.

مراجع

اخیراً چندین به‌روزرسانی امنیتی به منظور وصله سه #‫آسیب‌پذیری موجود در روترهای NETGEAR منتشر گردیده است. از آنجایی که بهره‌برداری از این آسیب‌پذیری‌ها منجر به تحت کنترل گرفتن سیستم آسیب‌پذیر توسط مهاجم می‌شود، به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم خود اعمال نمایند.
آسیب‌پذیری‌های مذکور با نام‌های Demon's Cries (شدت 9.8)، Draconian Fear (شدت 7.8) و Seventh Inferno شناخته شده و محصولات زیر را تحت تاثیر خود قرار می‌دهند:

• GC108P (به‌روزرسانی به نسخه سیستم‌عامل 1.0.8.2)
• GC108PP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.8.2)
• GS108Tv3 (به‌روزرسانی به نسخه سیستم‌عامل 7.0.7.2)
• GS110TPP (به‌روزرسانی به نسخه سیستم‌عامل 7.0.7.2)
• GS110TPv3 (به‌روزرسانی به نسخه سیستم‌عامل 7.0.7.2)
• GS110TUP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.5.3)
• GS308T (به‌روزرسانی به نسخه سیستم‌عامل 1.0.3.2)
• GS310TP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.3.2)
• GS710TUP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.5.3)
• GS716TP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.4.2)
• GS716TPP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.4.2)
• GS724TPP (به‌روزرسانی به نسخه سیستم‌عامل 2.0.6.3)
• GS724TPv2 (به‌روزرسانی به نسخه سیستم‌عامل 2.0.6.3)
• GS728TPPv2 (به‌روزرسانی به نسخه سیستم‌عامل 6.0.8.2)
• GS728TPv2 (به‌روزرسانی به نسخه سیستم‌عامل 6.0.8.2)
• GS750E (به‌روزرسانی به نسخه سیستم‌عامل 1.0.1.10)
• GS752TPP (به‌روزرسانی به نسخه سیستم‌عامل 6.0.8.2)
• GS752TPv2 (به‌روزرسانی به نسخه سیستم‌عامل 6.0.8.2)
• MS510TXM (به‌روزرسانی به نسخه سیستم‌عامل 1.0.4.2)
• MS510TXUP (به‌روزرسانی به نسخه سیستم‌عامل 1.0.4.2)

جهت اطلاع از روش کاهش مخاطرات آسیب‌پذیری‌های مذکور و جزییات فنی آن‌ها به پیوند زیر مراجعه نمایید:

مراجع

شرکت Atlassian در به‌روزرسانی اخیر خود، یک #‫آسیب‌پذیری بحرانی اجرای کد از راه دور با شدت 9.8 را در محصول Confluence Server and Data Center خود وصله کرده است. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند کنترل سیستم آسیب‌دیده را به دست آورد. با توجه به اینکه این آسیب‌پذیری تحت بهره‌برداری فعال قرار دارد، به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم خود اعمال نمایند.
جهت کسب اطلاعات بیشتر در مورد آسیب‌پذیری مذکور و روش‌های کاهش مخاطرات آن به پیوند زیر مراجعه نمایید:

مراجع

https://us-cert.cisa.gov/ncas/current-activity/2021/09/03/atlassian-releases-security-updates-confluence-server-and-data

شرکت #‫سیسکو در به‌روزرسانی اخیر خود، یک آسیب‌پذیری بحرانی را وصله کرده است. این #‫آسیب‌پذیری (CVE-2021-34746) دارای شدت 9.8 از 10 است و نرم‌افزار Enterprise Network Function Virtualization Infrastructure (NFVIS) را تحت تأثیر خود قرار می‌دهد. مهاجم با بهره‌برداری از این آسیب‌پذیری قادر به دور زدن احراز هویت، ورود به دستگاه آسیب‌پذیر با دسترسی admin و به دست گرفتن کنترل دستگاه قربانی خواهد بود. با توجه به اینکه هیچ‌گونه روش موقتی جهت کاهش مخاطرات این آسیب‌پذیری منتشر نشده، به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم خود اعمال نمایند.
کد PoC مربوط به این آسیب‌‌پذیری نیز منتشر گردیده است. جهت کسب اطلاعات بیشتر در مورد آسیب‌پذیری مذکور به پیوند زیر مراجعه نمایید:

مراجع