فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

از اواسط ماه نوامبر سال 2019 میلادی، اخباری مربوط به #‫باج‌افزاری با عنوان #‫AnteFrigus در فضای سایبری منتشر شد. طبق مشاهدات صورت گرفته، این باج‌افزار تنها درایوهای خاصی از سیستم قربانی را مورد هدف قرار داده و هیچ فایلی از درایو C سیستم قربانی را رمزگذاری نمی‌کند. باج‌افزار AnteFrigus از الگوریتم Salsa20جهت رمزگذاری فایل‌های موردنظر خود استفاده کرده و برای رمزگشایی فایل‌های قربانی، مبلغ 1995 دلار به بیت‌کوین باج درخواست می‌دهد. تحلیل پیش رو، مربوط به یکی از نسخه‌های اخیر منتشر شده از این باج‌افزار می‌باشد.

دانلود پیوست

دیروز، 12:24 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

از اواسط ماه نوامبر سال 2019 میلادی، اخباری مربوط به #‫باج‌افزاری با عنوان #‫AnteFrigus در فضای سایبری منتشر شد. طبق مشاهدات صورت گرفته، این باج‌افزار تنها درایوهای خاصی از سیستم قربانی را مورد هدف قرار داده و هیچ فایلی از درایو C سیستم قربانی را رمزگذاری نمی‌کند. باج‌افزار AnteFrigus از الگوریتم Salsa20جهت رمزگذاری فایل‌های موردنظر خود استفاده کرده و برای رمزگشایی فایل‌های قربانی، مبلغ 1995 دلار به بیت‌کوین باج درخواست می‌دهد. تحلیل پیش رو، مربوط به یکی از نسخه‌های اخیر منتشر شده از این باج‌افزار می‌باشد.

دانلود پیوست

دیروز، 12:24 برچسب‌ها: گزارشات تحلیلی
هشدار! دو آسیب‌پذیری بحرانی RCE در rConfig

هشدار مهم و فوری برای کسانی که از ابزار محبوب مدیریت پیکربندی شبکه‌ی #‫rConfigبرای محافظت و مدیریت دستگاه‌های شبکه خود استفاده می‌کنند.

به تازگی، جزئیات و کد اثبات مفهومی برای دو #‫آسیب‌پذیری مهم و بحرانی اجرای کد از راه دور (remote code execution) در ابزار rConfigمنتشر شده است. در یکی از این آسیب‌پذیری‌ها، مهاجم غیر مجاز می‌تواند از راه دور سرورهای مورد هدف را به خطر انداخته و به دستگاه‌های شبکه متصل شود.

rConfigکه به زبان PHPنوشته شده است، یک ابزار اُپن‌سورس برای مدیریت پیکربندی دستگاه‌های شبکه است که مهندسان شبکه را قادر می‌سازد دستگاه‌های شبکه را پیکربندی نمایند و به صورت مکرر از پیکربندی‌ها اسنپ‌شات بگیرند.

از این ابزار برای مدیریت بیش از 3.3 میلیون دستگاه شبکه از جمله سوئیچ‌ها، روترها، فایروال‌ها، load-balancerو بهینه‌سازهای WANاستفاده می‌شود.

آنچه که موجب نگرانی بیشتر می‌شود این است که هر دوی این آسیب‌پذیری‌ها تمام نسخه‌های rConfigاز جمله آخرین نسخه آن یعنی 3.9.2 را تحت تأثیر قرار داده و تاکنون نیز هیچ وصله امنیتی برای آنها منتشر نشده است.

هر یک از این آسیب‌پذیری‌ها در یک فایل جداگانه‌ی rConfigقرار دارند، اولین آسیب‌پذیری با شناسه "CVE-2019-16662" می‌تواند از راه دور و بدون نیاز به احراز هویت، مورد اکسپلویت قرار گیرد. در حالیکه آسیب‌پذیری دیگر با شناسه " CVE-2019-16663" قبل از اینکه مورد اکسپلویت قرار بگیرد به احراز هویت نیاز دارد.

  • آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده (CVE-2019-16662) در فایل ajaxServerSettingsChk.php
  • آسیب‌پذیری اجرای کد از راه دور احراز هویت شده (CVE-2019-16663) در فایل search.crud.php

برای اکسپلویت هر دو مورد، یک مهاجم تنها کافیست از طریق یک پارامتر GET ناقص که برای اجرای دستورات مخرب بر روی سرور مورد هدف طراحی شده است، به فایل‌های آسیب‌پذیر دسترسی پیدا کند.

همانگونه که در تصویر فوق قابل مشاهده است، کد اثبات مفهومی به مهاجمان اجازه می‌دهد تا یک شِل از راه دور را از سرور قربانی دریافت کنند و به واسطه آن هر دستور دلخواهی را بر روی آن سرور با همان امتیازات برنامه وب، اجرا کنند.

در عین حال، یک محقق امنیتی دیگر این آسیب‌پذیری‌ها را مورد تجزیه و تحلیل قرار داده و کشف کرد که آسیب‎پذیری RCEدوم نیز می‌تواند بدون نیاز به احراز هویت در نسخه‌های قبل از نسخه 3.6.0 rConfigمورد اکسپلویت قرار گیرد.

با این حال، پس از بررسی کد منبع rConfig، مشخص شد که نه تنها rConfig 3.9.2دارای آسیب‌پذیری‌ است بلکه تمام نسخه‌های آن دارای آسیب‌پذیری می‌باشند. علاوه بر این، آسیب‌پذیری CVE-2019-16663نیز می‌تواند پس از تأیید هویت در تمام نسخه‌های قبل از rConfig 3.6.0مورد اکسپلویت قرار گیرد.

  1. توصیه امنیتی

در صورتی که از ابزار rConfigاستفاده می‌کنید، توصیه می‌شود تا زمان انتشار وصله‌های امنیتی، آن را به طور موقت از سرور خود حذف کنید.

منبع خبر:

https://thehackernews.com/2019/11/rConfig-network-vulnerability.html

دیروز، 08:21 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
هشدار: به‌روزرسانی‌های مهم برای پردازنده‌ها و کارت‌های گرافیک، و سایر محصولات اینتل

#‫اینتل برای محصولات خود، به‌روزرسانی‌های امنیتی منتشر کرده است که برخی از آنها دارای درجه اهمیت «بالا» هستند. درایور کارت‌های گرافیک و سفت‌افزار اینتل از جمله این محصولات هستند. بهره‌برداری از اکثر این #‫آسیب‌پذیری‌ها نیازمند دسترسی فیزیکی یا محلی است، اما از آنجا که این آسیب‌پذیری‌ها در سطح پایین‌تر از سیستم‌عامل قرار دارند، تشخیص آنها توسط ضدویروس مشکل است و بنابراین اِعمال به‌روزرسانی‌ها توصیه می‌شود.

چند آسیب‌پذیری در درایورهای ویندوز کارت گرافیک اینتل وجود دارند که می‌توانند باعث ارتقاء دسترسی، منع سرویس و نشت اطلاعات شوند.

نقص‌های امنیتی سفت‌افزار، پردازنده‌ها، Intel® Server Board، Intel® Server Systemو Intel® Compute Moduleرا تحت تاثیر قرار می‌دهند. این آسیب‌پذیری‌ها نیز می‌توانند منجر به ارتقاء دسترسی، منع سرویس و نشت اطلاعات گردند. به طور دقیق‌تر این محصولات عبارت اند از:

  • 8th Generation Intel(R) Core™ Processor
  • 7th Generation Intel® Core™ Processor
  • Intel(R) Pentium® Silver J5005 Processor
  • Intel(R) Pentium® Silver N5000 Processor
  • Intel(R) Celeron® J4105 Processor
  • Intel(R) Celeron® J4005 Processor
  • Intel® Celeron® N4100 Processor
  • Intel® Celeron® N4000 Processor
  • Intel® Server Board
  • Intel® Server System
  • Intel® Compute Module

سایر محصولات آسیب‌پذیر نیز عبارت اند از:

  • Intel® Accelerated Storage Manager
  • Intel® USB 3.0 Creator Utility
  • Intel® SGX SDK
  • Intel® Matrix Storage Manager
  • Intel® CSME and Intel® Active Management Technology™
  • Intel® Server Platform Services
  • Intel® Trusted Execution Engine

برای مشاهده توصیه‌های امنیتی اینتل و نحوه به‌روزرسانی به منبع خبر مراجعه فرمایید.

منبع: https://www.intel.com/content/www/us/en/security-center/default.html

18 آذر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در اواسط ماه می سال 2019 میلادی، اخباری مبنی بر انتشار #‫باج‌_افزاری با عنوان Buran منتشر شد. این باج‌افزار نسخه توسعه یافته باج‌افزار Jamper می‌باشد. براساس گزارش وب‌سایت id-ransomware نسخه اولیه این باج‌افزاراز طریق انجمن‌هایی با آدرس‌های ifud.ws، verified.sc، exploitinqx4sjro.onion، forum.zloy.bz، darkmarket.laبه صورت سرویس(RaaS) به فروش می‌رسد. پس از نسخه اول، نسخه دوم و نسخه ای با عنوان Ghost از این باج‌افزار در ماه ژوئن منتشر شد و از اواسط ماه نوامبر، اخباری مربوط به نسخه جدید این باج‌افزار در فضای سایبری منتشر شد که تحلیل پیش رو، مربوط به آخرین نسخه از این باج‌افزار یعنی Buran3.0می‌باشد

دانلود پیوست

16 آذر 1398 برچسب‌ها: گزارشات تحلیلی
آسیب پذیری ارتقای سطح دسترسی در فریمورک Django

این #‫آسیب‌پذیری با درجه حساسیت بالا در فریمورک معروف Djangoبا شناسه CVE-2019-19118در 11 آذر 1398 منتشر شد. مهاجم با بهره برداری از این آسیب‌پذیری می‌تواند سطح دسترسی‌خود را ارتقا داده و دست به عملیات غیرمجاز بزند. نسخه‌های قبل از 2.2.8 و 2.1.5 این فریمورک آسیب‌پذیر هستند.

از نسخه 2.1 Djangoبه بعد در یک مدل آدمین Djangoکه یک مدل parentبا مدل‌هایinline مرتبطش را نمایش می‌دهد، کاربر اجازه تغییر در مدل parentرا ندارد اما می‌تواند مدل inlineرا ویرایش کند؛ در نتیجه یک viewفقط-خواندنی برای مدل parentو یک فرم قابل ویرایش برای مدل inlineنمایش داده می‌شود.

این فرم‌ها اجازه تغییرات مستقیم در مدل parentرا نمی‌دهد اما تابع save()مدل parentرا فراخوانی می‌کند و متعاقباً سبب فراخوانی سیگنال handlerهای قبل و بعد از ذخیره‌سازی می‌شوند. به عنوان کاربری که اجازه‌ی تغییر یک مدل خاص را ندارد و به دنبال آن نباید اجازه فراخوانی سیگنال‌های مربوط به ذخیره‌سازی را داشته باشد، این یک ارتقای سطح دسترسی محسوب می‌شود.

برای رفع این آسیب‌پذیری کد رابط آدمین Djangoکه مجوزها را کنترل می‌کند تغییر کرده است. آن دسته از برنامه نویسانی که برنامه‌هایشان تحت تاثیر این تغییر قرار گرفته است بایستی inlineهای استفاده شده در مدل‌های parentرا با فرم‌ها وview هایی که عملکردشان بطور صریح پیاده‌سازی شده است، جایگزین کنند.

جدول زیر اطلاعات مربوط به نسخه‌های آسیب‌پذیر و غیرآسیب‌پذیر python-djangoرا نشان می‌دهد:

Source Package

Release

Version

Status

python-django (PTS)

jessie

1.7.11-1+deb8u3

fixed

jessie (security)

1.7.11-1+deb8u7

fixed

stretch (security), stretch

1:1.10.7-2+deb9u6

fixed

buster, buster (security)

1:1.11.23-1~deb10u1

fixed

bullseye

1:1.11.23-1~deb10u1

vulnerable

sid

2:2.2.8-1

fixed

برای اطلاعات بیشتر در مورد این آسیب‌پذیری به لینک زیر مراجعه نمایید:

https://security-tracker.debian.org/tracker/CVE-2019-19118

16 آذر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

تیمی از محققان امنیتی از #‫آسیب‌پذیری جدیدی در سیستم عامل‌های لینوکس و شبه Unix شامل FreeBSD، OpenBSD، macOS، iOS و اندروید پرده برداشتند که به مهاجمان از راه دور اجازه جاسوسی و مداخله در اتصالات رمزنگاری شده VPN را می‌دهد.

این آسیب‌پذیری به شناسه CVE-2019-14899 در پشته شبکه سیستم عامل‌های متعددی واقع شده است و در در هر دو جریان‌های TCP IPv4 و IPv6 امکان بهره برداری دارد.

از آنجایی که این آسیب‌پذیری وابسته به تکنولوژی VPN استفاده شده نیست؛ مهاجم با پروتکل‌های شبکه‌های خصوصی مجازی مانند OpenVPN، WireGuard، IKEv2/IPSec کار می‌کند.

این آسیب‌پذیری می‌تواند توسط یک مهاجم در شبکه (متصل به یک نقطه دسترسی[1] یا متصل به شبکه‌ی قربانی) تنها با ارسال بسته‌های متعدد به دستگاه قربانی و بررسی پاسخ‌ها (حتی اگر رمزنگاری شده باشند) مورد بهره برداری قرار بگیرد.

به گفته‌ی محققان این آسیب‌پذیری تاثیرات گوناگونی روی سیستم عامل‌های مختلف دارد به عنوان مثال این حمله روی دستگاه‌های macOS/iOS به صورتی که در ادامه توضیح داده شده است کار نمی‌کند؛ با این حال این باگ به مهاجمان اجازه می‌دهد تا:

یافتن آدرس ip مجازی قربانی که توسط سرور VPN به آن اختصاص داده شده است با ارسال بسته‌های SYN-ACK به دستگاه قربانی (زمانیکه SYN-ACK به یک ip مجازی صحیح ارسال شود دستگاه قربانی پاسخ RST می‌دهد در غیر ایم صورت مهاجم پاسخی دریافت نمی‌کند)
دریافتن اینکه آیا اتصال فعالی به یک وبسایت مشخص وجود دارد یا خیر
تعیین کردن تعداد دقیق ack و seq با شمردن بسته‌های رمزنگاری شده و یا بررسی حجم آنها
تزریق داده به اتصالات جریان‌های TCP و ربودن اتصال

در دستگاه‌های macOS/iOS مهاجم باید از یک پورت باز برای یافتن ip مجازی قربانی استفاده کند. در آزمایش این آسیب‌پذیری، محققان، از پورت 5223 که برای iCloud، iMessage، FaceTime، Game Center و Photo Stream استفاده می‌شود، استفاده کردند.

محققان این آسیب‌پذیری را بر روی سیستم عامل‌های زیر با موفقیت آزمایش کردند:

Ubuntu 19.10 (systemd)
Fedora (systemd)
Debian 10.2 (systemd)
Arch 2019.05 (systemd)
Manjaro 18.1.1 (systemd)
Devuan (sysV init)
MX Linux 19 (Mepis+antiX)
Void Linux (runit)
Slackware 14.2 (rc.d)
Deepin (rc.d)
FreeBSD (rc.d)
OpenBSD (rc.d)

به گفته‌ی محققان اکثر توزیع‌های لینوکس که آزمایش شده‌اند آسیب‌پذیرند خصوصا نسخه‌های منتشر شده بعد از 28 نوامبر.

درحالیکه محققان جزییات فنی این آسیب‌پذیری را منتشر نکرده‌اند، تصمیم دارند ک یک تحلیل عمیق در رابطه با این حفره امنیتی و پیاده‌سازی‌های مرتبط با آن ارائه ارائه دهند.


منبع:

https://thehackernews.com/2019/12/linux-vpn-hacking.html


16 آذر 1398 برچسب‌ها: اخبار
آسیب پذیری وصله نشده‌ی Strandhogg در اندروید مورد بهره برداری قرار گرفت

این #‫آسیب‌_پذیری که در برنامک‌های مخرب اندرویدی تعبیه می‌شود برای سرقت اطلاعات بانکی و دیگر اطلاعات شخصی کاربران مورد استفاده قرار گرفته است. آسیب‌پذیری Strandhoggدر قابلیت چندکاره (multitasking) اندروید قرار دارد که می‌تواند توسط برنامک مخربی که در گوشی موبایل نصب است به شکل هر برنامک معتبر دیگری، حتی برنامک‌های سیستمی درآید. به عبارتی زمانیکه کاربر آیکن برنامک معتبر را لمس می‌کند، بدافزاری که آسیب‌پذیری Strandhoggرا اکسپلویت می‌کند می‌تواند این taskرا شنود و به اصطلاح hijackکند و یک رابط کاربری تقلبی به جای برنامک معتبر بارگذاری کند؛ کاربران هم با تصور اینکه برنامک همان برنامک معتبر است اطلاعات حساس و شخصی ( مانند نام کاربری و رمز عبور در صفحات ورود) خود را در برنامک مخرب وارد می‌کنند.

این رابط کاربری تقلبی در نتیجه‌ی سوء استفاده از شروط انتقال حالت taskمانند taskAffinityو allowTaskReparentingرخ می‌دهد.

در بهره‌برداری‌های پیشرفته‌تر می‌توان با دستکاری در Eventهایی مثلCallbackها کاربر حاضر در یک برنامک بانکی که توسط خود آن برنامک به برنامک دیگری هدایت شده بود در هنگام بازگشت و هنگام زدن دکمهBack بجای بازگشت به برنامک بانکی به یک برنامک مخرب که مشابه برنامک بانکی است هدایت کند (UI Phishing ).

اگرچه هیچ راه موثر و قابل اعتمادی برای کشف و مسدودسازی حملات task hijackingوجود ندارد با این حال کاربران می‌توانند با توجه به ناهمخوانی‌هایی از قبیل موارد زیر حمله را تشخیص دهند:

  • برنامکی که نام کاربری و رمز عبور را در آن وارد کردید مجدداً درخواست ورود نام کاربری و رمزعبور می‌کند.
  • درخواست مجوزی روی صفحه ظاهر می‌شود بدون اینکه مشخص کند درخواست از سمت کدام برنامک است.
  • با ضربه زدن روی دکمه ها و رابط کاربری درون برنامک هیچ اتفاقی رخ نمی‌دهد.
  • دکمه بازگشت طوری که انتظار می‌رود عمل نمی‌کند.

https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html

https://t.me/offsecmag

13 آذر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

طبق گزارش اخیر "Demand Quality Report for Q3 2019"، شرکت‌های امنیت و بررسی کلاهبرداری در تبلیغات، تأثیرات120 میلیارد آگهی را بین 1 ژانویه و 20 سپتامبر مورد بررسی قرار داده‌اند که از طریق سیستم‌ها، از فعالیت‌های تبلیغاتی مخرب مختلف استفاده شده است.

همچنین در این گزارش در مورد تبلیغات با کیفیت پایین و تبلیغات بنری که در اسلات‌های ویدیویی ظاهر می شود، بحث شده است و بر روی تبلیغات مخرب شناسایی شده و کمپین‌هایی که از آنها استفاده می‌کنند تمرکز شده است.

یک تبلیغ مخرب توسط Confiantاینگونه تعریف می­شود که رفتارهای ناخواسته‌ای مانند هدایت اجباری برای مسیر موردنظر کلاهبرداری، cryptojackingو یا آلوده کردن سیستم بازدیدکننده‌ها توسط تبلیغات را، شامل می‌شود. گاهی یک تغییر مسیر اجباری ایجاد شده یا یک فایل مخرب برای اهداف خاص بارگذاری می‌شود. همچنین گمراه کردن کاربران از طریق فیشینگ نیز مدنظر است، البته اجبار برای دریافت فایل‌هایی که می‌تواند شامل باج‌افزارها نیز باشد یا اجرای بدافزارهایی برای الحاق سیستم قربانی به بات‌نت‌ها نیز در این موارد اتفاق افتاده است.


از کار انداختن تبلیغات مخرب

بر اساس گزارش "Demand Quality Report for Q3 2019"، Confiant120 میلیارد اثر تبلیغات در برنامه‌ها را که توسط سیستم رسیدگی تبلیغاتی آنها رصد شده بود، تجزیه و تحلیل کرده است.

خبر خوب این است که به دلیل راه‌حل‌هایی مانند فیلتر بعضی از تبلیغات مخرب در مرورگر کاربر، این تعداد در حال کاهش است، همچنین‌ صاحبان سایت‌ها درصدد هستند تا تصمیماتی را اتخاذ کنند تا جلوی تبلیغات غیرمجاز در سایت‌های خود را بگیرند و کنترل­های حساس­تر و محکم­تری در بین (SSP)Supply Side Platforms داشته باشند.

دانلود پیوست

13 آذر 1398 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب_پذیری در اجرای مفسر Luaدر نرم افزار Cisco Adaptive Security Appliance (ASA)و نرم افزار Cisco Firepower Threat Defence (FTD) می تواند به یک مهاجم معتبر و از راه دور اجازه دهد تا کد دلخواه را با امتیازات اصلی در سیستم عامل لینوکس اجرا کند.

این آسیب پذیری به دلیل محدودیت ها در فراخوانی توابع Luaدر چارچوب اسکریپت های Luaتوسط کاربر رخ می دهد. یک بهره برداری موفقیت آمیز می تواند به مهاجم اجازه دهد تا یک وضعیت سرریز پشته را ایجاد کند و کد دلخواه را با امتیازات اصلی در سیستم عامل زیرین لینوکس یک دستگاه آسیب دیده اجرا کند.

سیسکو به روزرسانی های نرم افزاری را برای رفع این آسیب پذیری منتشر نکرده است. هیچ راه حلی برای رفع این آسیب پذیری وجود ندارد. مشخصات مربوط به آسیب پذیری را می توانید در جدول زیر مشاهده فرمایید.

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Code Execution Vulnerability

زیاد

(High)

آسیب ­پذیری اجرای کد از راه دور در فایروال ASAو FTDسیسکو

عنوان

CVE-2019-15992

شناسه

آسیب­پذیری

7.2

CVSSscore

اجرای کد از راه دور (RCE)

تاثیر

2019 November 22 22:03 GMT

تاریخ انتشار

تمامی نسخه­ های نرم­ افزارهای ASAو FTDرا تحت تاثیر قرار می­ دهد به جز محصولات زیر:

  • Adaptive Security Device Manager
  • Cisco Security Manager
  • Firepower Management Center
  • Firepower Management Center 1000

محصولات آسیب­پذیر

جدول زیر به روز رسانی مربوط به نرم­ افزار ASAرا نشان می­دهد. هنوز وصله نرم­ افزار FTDمنتشر نشده است.

Description: C:\Users\apa\Desktop\1.PNG

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191112-asa-ftd-lua-rce

آدرس

13 آذر 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
صفحات: 1 2 3 4 5 ... » »»