‫ اخبار

دو #‫آسیب‌پذیری بحرانی در سیستم مدیریت محتوای دروپال (Drupal) کشف شده که به‌روزرسانی‌هایی برای حل آنها منتشر شده است. یکی از این دو، آسیب‌پذیری تزریق شیء مربوط به کتابخانه PEAR Archive_Tar است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری دوم از نوع اجرای کد راه دور است و از PHP نشات می‌گیرد.
آسیب‌پذیری تزریق شیء
دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده می‌کند. به تازگی یک بروزرسانی امنیتی برای یک آسیب‌پذیری این کتابخانه ارائه شده است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور با شناسه CVE-2018-1000888، در کلاس Archive_Tar نهفته است. مهاجم می‌تواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد. با این کار، unserialization اتفاق می‌افتد. با استفاده از تزریق شیء می‌توان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد.
فایل phar نوعی فایل آرشیو است که برای بسته‌بندی اپلیکیشن‌های PHP مورد استفاده قرار می‌گیرد.
اجرای کد راه دور
پیاده‌سازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیب‌پذیری کد راه دور است که با استفاده از لینک‌های نامطمئن phar:// فعال می‌شود. برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تاثیر این آسیب‌پذیری باشند.
در به‌روزرسانی دروپال، .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل می‌شود. همچنین برای PHP نسخه 5.3.3 به بالا، پیاده‌سازی پیش‌فرض PHP با یک پیاده‌سازی توسط دروپال جایگزین شده و در نسخه‌هایPHP پایین‌تر، به طور پیش‌فرضphar stream wrapper غیرفعال شده است.

راه حل:
Drupal Core را به آخرین نسخه به‌روزرسانی کنید: اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده می‌کنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید.

دانلود پیوست

در سال 2016، محققان دانشگاه ایلینوی 297 #‫درایو_فلش (USB) بدون برچسب را در اطراف دانشگاه گذاشتند تا بررسی کنند چه اتفاقی می افتد. 98% از آن ها را کارکنان و دانشجویان برداشتند و حداقل نیمی از آن ها به کامپیوتر متصل شدند تا کاربران از روی کنجکاوی محتوای آن ها را مشاهده کنند. برای یک هکر که تلاش می کند یک شبکه کامپیوتری را آلوده کند، این ها شانس های بسیار خوب و جذابی هستند.
تقریبا حدود بیست سال است که USB ها به وجود آمده اند و کار آن ها ارائه یک راه آسان و ساده برای ذخیره و انتقال فایل های دیجیتال بین کامپیوترهایی است که به طور مستقیم به یکدیگر یا به اینترنت متصل نیستند. این قابلیت توسط عاملین تهدید مجازی مورد سوءاستفاده قرار داده می شود که معروف ترین آن ها کرم استاکسنت در سال 2010 است. استاکسنت از USB برای تزریق نرم افزارهای مخرب به یک شبکه تاسیسات هسته ای ایران استفاده کرد.
امروزه سرویس های ابری مانند دراپ باکس حجم عظیمی از داده ها را ذخیره کرده و انتقال می دهند و همچنین آگاهی بیشتری از خطرات مربوط به USB ها وجود دارد. استفاده از آن ها به عنوان یک ابزار تجاری ضروری در حال کاهش است. با این وجود، همچنان سالانه میلیون ها دستگاه USB برای استفاده در خانه ها، کسب و کارها و کمپین های ارتقاء بازاریابی مانند نمایشگاه های تجاری تولید و توزیع می شوند.
USB ها هدفی برای تهدیدهای مجازی هستند. داده های آزمایشگاه کسپراسکی در سال 2017 نشان داده است که هر 12 ماه یا بیشتر، از هر 4 کاربر یک نفر در سراسر جهان تحت تاثیر یک واقعه سایبری محلی قرار می گیرد. این ها حملاتی هستند که به طور مستقیم روی کامپیوتر کاربر شناسایی می شوند و شامل آلودگی هایی هستند که توسط رسانه های قابل جابجایی مانند دستگاه های USB ایجاد می شوند.
این گزارش، چشم انداز فعلی تهدیدهای مجازی برای رسانه های قابل جابجایی، به ویژه USBرا بررسی می‌کند و توصیه ها و پیشنهاداتی را در مورد حفاظت از این دستگاه های کوچک و داده هایی که جابجا می‌کنند ارائه می دهد. همچنین یکی از معروف ترین بدافزارهایی که روش انتشار خود را منحصرا بر پایه دیسک های قابل حمل USB قرار داده است را مورد تحلیل قرار خواهیم داد. این کرم Dinihou نام دارد.

دانلود متن کامل مستند

در سال های اخیر بسیاری از شرکت ها و سازمان های دولتی از سیستم های کنترل نظارت و گردآوری داده (SCADA) یا #‫سیستمهای_کنترل_صنعتی (ICS) استفاده کرده اند، اما این فناوری ها با چالش های امنیتی مهمی مواجه هستند. در تحقیقی که توسط Forrester Consulting به سفارش Fortinet انجام شد، تقریبا از هر 10 سازمان مورد بررسی 6 سازمان که از SCADA یا ICS استفاده می کنند در سال گذشته نفوذ به این سیستم ها را تجربه کرده اند و بسیاری از این سازمان ها با اجازه دادن به فناوری ها و شرکای دیگر، سطح بالایی از دسترسی به سیستم های خود را فراهم کرده اند. اکثر سازمان ها همچنین ارتباط بین سیستم های سنتی IT و SCADA / ICS خود را گزارش داده اند، و این پتانسیل موجود برای نفوذ به این سیستم های کنترلی را توسط هکرهای بیرونی نشان می دهد.
با وجود این خطرات، بسیاری از اپراتورها از بسیاری از ابزارهای امنیتی موجود برای محافظت از SCADA / ICS استفاده نمی کنند. تقریبا نیمی از کسانی که مورد بررسی قرار گرفته اند رمزگذاری ترافیک Secure Shell (SSH) یا Transport Layer Security (TLS) را برای SCADA / ICS خود بکار نبرده اند و بسیاری از کنترل دسترسی مبتنی بر وظیفه برای کارمندان استفاده نمی کنند.
در عین حال، بسیاری از سازمان هایی که از SCADA / ICS استفاده می کنند با اجازه دادن به یک میزبان از تکنولوژی های دیگر، از جمله سیستم موقعیت یاب جهانی(GPS)، سامانه شناسایی فرکانس رادیویی (RFID) و دستگاه های Wi-Fi، راه های حمله را باز نموده اند. در عین حال، 97 درصد از کسانی که مورد بررسی قرار گرفتند، چالش های امنیتی را به دلیل همگرایی فن آوری اطلاعات سنتی (IT) و فناوری عملیاتی(OT) تایید کردند.

در حالی که خبر بد این است که SCADA / ICS با چندین تهدید مواجه هستند، خبر خوب این است که اپراتورها می توانند اقدامات بیشتری برای محافظت از سیستم خود با راه اندازی ابزارهای امنیتی اضافی انجام دهند.

2 SCADA / ICS به عنوان اهداف مورد توجه
در سال های اخیر، بسیاری از سازمان ها پس از سازمان های آب و برق، SCADA / ICS را بکاربرده اند، زیرا آنها به دنبال جمع آوری اتوماتیک داده ها و کنترل اتوماتیک تجهیزات خود هستند. این فن آوری اهداف ارزشمندی را برای هکرها که به دنبال مختل نمودن فعالیت های کسب و کار(تجاری)، جمع آوری باج و یا حمله به زیرساخت های مهم کشور های رقیب می باشند، فراهم می کند. در مطالعه Forrester، 56 درصد از سازمان هایی که از SCADA / ICS استفاده می کردند، یک نفوذ را در سال گذشته گزارش داده اند و تنها 11 درصد آنها نفوذی نداشتند.

برای مطالعه کامل مستند کلیک نمایید

سال هاست که کارشناسان آزمایشگاه #‫کسپرسکی نشان داده اند که تهدیدات #‫سایبری انواع مختلفی از سیستم های اطلاعاتی مانند سازمان های تجاری و دولتی، بانک ها، اپراتورهای مخابراتی، شرکت های صنعتی و کاربران فردی را هدف قرار داده است. در این گزارش، تیم واکنش اضطراری سایبری سیستم های کنترل صنعتی آزمایشگاه کسپرسکی یافته های خود را که در نیمه دوم سال در مورد چشم انداز تهدید برای سیستم های اتوماسیون صنعتی 2017 انجام شده، منتشر می کند. هدف اصلی این انتشار، ارائه پشتیبانی اطلاعاتی برای تیم های واکنش به حوادث جهانی و محلی، کارکنان امنیت اطلاعات سازمان ها و محققان در زمینه امنیت تاسیسات صنعتی است.

2 نیمه اول سال 2018- رویدادهای کلیدی
2-1 آسیب پذیری Spectre و Meltdown در راه حل های صنعتی
در اوایل سال 2018، آسیب پذیری هایی که اجازه دسترسی غیرمجاز به محتوای حافظه مجازی را می دهند، در پردازنده های Intel، ARM64 و AMD کشف شدند. حملاتی که از این آسیب پذیری ها سوءاستفاده کردند Meltdown و Spectre نامیده شدند.
این مسئله مربوط به سه آسیب پذیری است:
• (bounds check bypass) (CVE-2017-5753 / Spectre)؛
• (branch target injection) (CVE-2017-5715 / Spectre)؛
• (rogue data cache load) (CVE-2017-5754 / Meltdown).
در حالی که هر دو حمله Spectre و Meltdown به برنامه های کاربر اجازه می دهند که داده های دیگر برنامه ها را بدست آورند، حملات Meltdown اجازه می دهند که حافظه کرنل هم خوانده شود.

جهت دریافت متن کامل مستند کلیک نمایید

شرکت #‫سیسکو در این به‌روزرسانی 19 آسیب‌پذیری جدید اشاره کرده‌است. از این تعداد یک #‫آسیب‌پذیری دارای درجه حساسیت بحرانی (Critical) و یک آسیب‌پذیری دارای درجه حساسیت خطرناک (High) و 17 آسیب‌پذیری دارای درجه حسایت متوسط (Medium) می‌باشد. دو آسیب‌پذیری با درجه حساسیت بحرانی و خطرناک مربوط به سرویس امنیتی ایمیل سیسکو می‌باشد که به مدیران شبکه که از این سرویس و نرم‌افزار Cisco AsyncOS استفاده می‌کنند به شدت توصیه می‌شود که به توصیه‌های امنیتی این گزارش توجه کنند و آنها را بر روی دستگاه‌های آسیب‌پذیر خود اعمال کنند.

برای دریافت گزارش کلیک نمایید

مطابق بررسی های بعمل آمده #‫آسیب‌پذیری‌ هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد. #‫مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
آسیب‌پذیری CVE-2018-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است که تمامی نسخه‌های کارگزار و مشتری ویندوز، از جمله Windows 10 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
آسیب‌پذیری CVE-2018-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. این آسیب پذیری تنها در Windows 10، Windows Server 2012 R2، Winows Server 2016 و Windows Server 2019 وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.
هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.

#‫اسکایپ یکی از قدیمی‌ترین و بهترین برنامه‌های کاربردی برای برقراری تماس صوتی و تصویری است. با ارائه‌ی امکان تماس صوتی در #‫تلگرام و از طرف دیگر فیلترشدن آن در ایران، بحث تماس صوتی و تصویری رایگان و استفاده از نرم‌افزارهایی همچون اسکایپ که این قابلیت را فراهم می‌کنند، دوباره بر سر زبان‌ها افتاده است. اما یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.

#‫گوگل اخیرا یک نقص امنیتی در مرورگر #‫کروم اندرویدی وصله کرده است که اطلاعات مربوط به مدل سخت‌افزاری گوشی‌های هوشمند، نسخه‌ی سفت‌افزار و به طور غیرمستقیم سطح وصله‌ی امنیتی دستگاه را افشا می‌سازد.
این نقص اولین بار سه سال پیش، در ماه می سال 2015 گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی که کارکنان Chrome متوجه شدند اطلاعاتی که مرورگر کروم دستگاه‌های اندرودی منتشر می‌سازد خطرناک است.
این نقص ابتدا توسط محققان امنیتی شرکت امنیت سایبری Nightwatch کشف شد. آن‌ها دریافتند که رشته‌های User-Agent مرورگر کروم نسخه‌های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه‌های دسکتاپی آن است. رشته‌های User-Agent مرورگر کروم اندرویدی علاوه بر جزئیات مرورگر کروم و اطلاعات مربوطه به نسخه‌ی سیستم‌عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت‌افزار آن نیز است. شماره ساخت سفت‌افزار نه تنها برای شناسایی دستگاه بلکه برای شناسایی سرویس‌گیرنده و کشور نیز می‌تواند استفاده شود. شماره ساخت به راحتی از وب‌سایت‌های سازنده و سرویس‌گیرنده‌ی تلفن همراه قابل دستیابی است. علاوه‌براین، با دانستن شماره ساخت، مهاجمان می‌توانند شماره دقیق سفت‌افزار را تعیین کنند و به‌طور غیرمستقیم تعیین کنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه آسیب‌پذیری‌هایی است. لذا چنین اطلاعات حساسی هرگز نباید در رشته‌ی User-Agent گنجانده شوند.
مهندسان گوگل این نقص را با حذف شماره ساخت از رشته‌ی‌ User-Agent مرورگر کروم اندرویدی برطرف ساختند و در اواسط ماه اکتبر سال 2018، با انتشار نسخه‌ی Chrome 70، بی‌سروصدا به کاربران این مرورگر عرضه کردند. البته این رفع نقص هنوز کامل نیست. رشته‌های نام دستگاه هنوز وجود دارند. علاوه‌براین، هر دو رشته‌ی نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه‌های پایین‌تر موتور Chrome هستند که برنامه‌های دیگر می‌توانند درون کد آن‌ها تعبیه شوند، بنابراین کاربران می‌توانند محتوای وب را بااستفاده از یک مرورگر داخلی شبه کروم مشاهد نمایند. Custom Tabs در حال حاضر به‌ندرت استفاده می‌شود؛ اما WebView بسیار محبوب است. از آنجاییکه رفع نقص به مرورگر WebView اعمال نشده است، توسعه‌دهندگان برنامه کاربردی باید به صورت دستی پیکربندی User Agent را تغییر دهند یا کاربران از مرورگر دیگری استفاده کنند.
جهت رفع موقت این نقص، کاربران می‌توانند از گزینه‌ی "Request Desktop Site" در تنظیمات مرورگر کروم اندرویدی هنگام مشاهده‌ی وب‌سایت‌ها در دستگاه تلفن همراهشان استفاده کنند. استفاده از این گزینه در مرورگر کروم اندرویدی، یک رشته‌ی User Agent شبیه Linux منتشر می‌سازد که دارای نام دستگاه و شماره ساخت سفت‌افزار نیست.
محققان امنیتی بر این باورند که تمامی نسخه‌های قبلی مرورگر کروم تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و به تمامی کاربران توصیه می‌کنند مرورگر کروم خود را به نسخه‌ی 70 یا نسخه‌های بعدتر ارتقا دهند.

امروزه استفاده از گواهینامه #‫SSL در وب سایتها جهت #‫رمزنگاری داده های بین کاربر و سرویس دهنده استفاده میگردد. رمز نگاری داده ها میتواند امنیت حریم خصوصی کاربر را افزایش داده و از دستکاری، سرقت و استراق سمع اطلاعات در مسیر ارتباط کاربر تا سرویس دهنده جلوگیری نماید. هرچند مزایای استفاده از گواهینامه SSL جهت رمز نگاری بر کسی پوشیده نیست اما با توجه به تحمیل هزینه های مالی برای دارندگان وب سایت ها و همچنین دشواری تعامل با CA های خارجی ارائه دهنده‌ی این خدمات، بسیاری از سایت ها از خرید گواهینامه SSL صرف نظر میکنند.
سامانه https://letsencrypt.cert.ir بمنظور تسهیل فرایند درخواست و دریافت گواهینامه SSL از LetsEncrypt CA ایجاد شده است. در این سامانه شما میتوانید برای وبسایت یا سامانه‌های خود گواهینامه SSL معتبر بصورت رایگان دریافت نمایید. این گواهینامه‌ها توسط موسسه‌ی LetsEncrypt CA* صادر می‌گردد. برای این منظور مجموعه ابزاری تهیه گردیده است که بر حسب نیاز، کاربر میتواند با استفاده از آن تمامی مراحل دریافت، نصب، پیکربندی و صدور مجدد گواهینامه‌ی SSL را به صورت خودکار انجام دهد. با استفاده از ابزار تحت وب (آنلاین) سامانه نیز کاربر میتواند تنها با چند کلیک و بعد از احراز مالکیت دامنه، گواهینامه SSL را دریافت نماید.

تمامی مراحل تولید کلید خصوصی (Private Key) بصورت امن طراحی گردیده و این کلید در سامانه نگهداری نمی‌گردد.
گواهینامه های SSL صادر شده توسط LetsEncrypt CA از نظر فنی و امنیتی تفاوتی با سایر گواهینامه‌های تجاری ندارند. اما باید توجه داشت در صدور این گواهینامه‌ها صرفا مالکیت دامنه توسط CA احراز می‌گردد و هویت مالک مورد بررسی قرار نمی‌گیرد. در واقع گواهینامه‌های صادره از نوع DV (Domain Validation) می باشد. در خصوص سامانه‌ها و وبسایت‌هایی که نیاز به تایید هویت ارایه دهنده‌ی خدمات دارند، توصیه می‌گردد از گواهینامه‌های تجاری OV (Organization Validation) یا EV (Extended Validation) استفاده نمایند.
لازم به توجه است در حال حاضر Lets encrypt CA برای دامنه‌های .iran.gov.ir* گواهینامه صادر نمی کند.
[*] https://letsencrypt.org/about