‫ اخبار

بر اساس آخرین بررسی‌ها، هنوز بیش از ۹۴ درصد روترهای #‫میکروتیک آسیب‌پذیر به CVE-2019-3924 (اینجا) در کشور بروزرسانی نشده اند.
استان تهران با بیش از ۶۴٪، بیشترین تعداد روترهای میکروتیک آسیب‌پذیر را دارد. پس از تهران، استان‌های فارس و اصفهان با حدود ۶٪ و ۵٪ در رتبه‌‌های بعدی قرار دارند.

اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.

بنابر گزارش شرکت امن پرداز (آنتی ویروس پادویش)، در روزهای گذشته شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، شاهد حجم بسیار بالایی از حملات هک و نفوذ به واسطه سرویس ریموت دسکتاپ و یا ابزارهای ریموت کلاینتی (مانند #‫AnyDesk و ابزارهای مشابه) بوده‌اند. لذا توصیه همیشگی در مسدود سازی یا محدودسازی سرویس‌های مدیریتی دسترسی از راه دور از جمله #‫RDP مجددا تکرار می‌گردد. ضروری است که از سوی مسئولین شبکه های سازمانها و شرکتها جهت جلوگیری از بروز اینگونه حملات اقداماتی پیشگیرانه نظیر تهیه پشتیبان به‌روز از اطلاعات حیاتی، غیرفعال کردن فوری دسترسی‌های مدیریتی راه دور و ... صورت پذیرد.
لینک هشدار شرکت امن پرداز:
https://www.amnpardaz.com/contents.php/fa/1144

آسیب‌پذیری حیاتی جدید در روترهای #‫میکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را می‌دهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیب‌پذیری مهاجم می‌تواند به نوعی فایروال را دور بزند. شماره این آسیب‌پذیری CVE-2019-3924 بوده و حمله از طریق شبکه و به‌صورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهره‌گیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستم‌عامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.

توضیحات تکمیلی این آسیب‌پذیری به زودی پیوست می‌گردد.

جزییات فنی:
CVE-2019-3924
CWE-269
cpe:/a:mikrotik:routeros
CVSSvs Score: 7.3
Attack Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X

#‫مایکروسافت وصله‌ی ماه فوریه‌ی سال ۲۰۱۹ را منتشر کرد که شامل به‌روز‌رسانی‌های امنیتی برای 77 خطا، 20 آسیب‌پذیری بحرانی، 54 آسیب‌پذیری مهم و 3 آسیب‌پذیری با شدت متوسط است.
یکی از این به روزرسانی‌ها، مربوط به یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر است که توسط گوگل کشف شده و در حملات مورد سوءاستفاده قرار گرفته است.
این نقص که با شناسه‌ی "CVE-2019-0676" شناسایی می‌شود، نقص افشای اطلاعات است که مسیر راه‌اندازی اینترنت اکسپلورر را در حافظه‌ها بررسی می‌کند.
مهاجم می‌تواند این نقص را با فریب‌دادن قربانیان به بازدید از یک وب‌سایت مخرب و با استفاده از نسخه‌ی آسیب‌پذیر اینترنت اکسپلورر، مورد سوء‌استفاده قرار دهد. پس از آن، مهاجم می‌تواند وجود فایل در دیسک سخت قربانی را بررسی‌کند.
به‌گفته‌ی مایکروسافت، به‌روزرسانی امنیتی، این آسیب‌پذیری را با تغییر چگونگی کنترل اشیاء در اینترنت اکسپلورر، رفع می‌کند.
مایکروسافت اخیراً به کاربران خود توصیه کرده است که از اینترنت اکسپلورر استفاده نکنند. این مرورگر اینترنتی دیگر از قابلیت‌های امنیتی بالایی برخوردار نیست و نمی‌تواند از نفوذ هکرها و مجرمان سایبری و همچنین حملات فیشینگ و بدافزاری به رایانه‌ها و دستگاه‌های الکترونیکی محافظت کند. به عبارتی دیگر، اینترنت اکسپلورر از امنیت سایبری قابل قبولی برخوردار نیست و کاربران به منظور حفاظت از اطلاعات و حریم شخصی خود دیگر نباید از آن استفاده کنند.
این شرکت به کاربران ویندوز توصیه کرده است که این مرورگر را از حالت پیش‌فرض خارج کرده و در صورت امکان آن را لغو نصب کنند و به مرورگر جدید این شرکت یعنی مایکروسافت Edge مهاجرت نمایند.

رمزگشای #‫باج‌افزار #‫GandCrab برای نسخه های ۱ ، ۴ و ۵.۱ توسط کمپانی بیت دیفندر منتشر شد. در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده اند، هم اکنون می توانید فایل های خود را رمزگشایی کنید

به منظور دانلود رمزگشا به همراه راهنمای آن به لینک زیر مراجعه بفرمایید.
https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

.

به صاحبان سایت‌های #‫WordPress که از افزونه‌ی "Total Donations" استفاده می‌کنند، توصیه می‌شود که این افزونه را از سرورهای خود حذف کنند تا از سواستفاده‌ی هکرها برای بهره‌برداری از یک آسیب‌پذیری وصله‌نشده در کد آن جلوگیری کنند.
این آسیب‌پذیری روز صفرم (CVE-2019-6703)، همه‌ی نسخه‌های Total Donations ازجمله 2.0.5 را تحت تأثیر قرار می‌دهد. Total Donations یک افزونه‌ی تجاری است که صاحبان سایت از آن برای جمع‌آوری و مدیریت کمک‌های مالی از پایگاه‌های کاربران مربوطه‌ی خود استفاده می‌کنند.
به گفته‌ی محققان، کد این افزونه شامل چندین عیب طراحی است که به‌طور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار می‌دهد.
این افزونه حاوی نقطه‌ی پایانی AJAX است که می‌تواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطه‌‌ی پایانی AJAX در یکی از فایل‌های افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمی‌برد؛ زیرا مهاجمان می‌توانند به‌طور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه می‌تواند سایت‌ها را در برابر سوءاستفاده محافظت کند.
نقطه‌ی پایانی AJAX به مهاجم اجازه می‌دهد تا مقادیر تنظیمات هسته‌ی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافت‌شده از طریق افزونه را تغییر دهد و حتی لیست‌های Mailchimp (که این افزونه به‌عنوان ویژگی جانبی پشتیبانی می‌کند) را بازیابی کند.
به‌گفته‌ی محققان، تمام تلاش‌ها برای تماس با توسعه‌دهنده‌ی این افزونه بی‌فایده است. به‌نظر می‌رسد که سایت توسعه‌دهنده در ماه مه سال 2018 غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شده‌اند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایت‌های فعال با پایگاه‌های کاربری بزرگ نصب شده است و می‌تواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایت‌ها توصیه می‌شود که این افزونه را به‌طور کلی از سایت‌های خود حذف کنند تا از حملات در امان بمانند.

تجهیزات Cisco Small Business RV320, RV325 Dual Gigabit Wan VPN Router دارای دو #‫آسیب‌_پذیری با درجه اهمیت بالا هستند که یکی از آنها از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.

آسیب‌پذیری نشت اطلاعات حساس
این آسیب‌پذیری با شناسه CVE-2019-1653 در رابط تحت وب تجهیزات مذکور نهفته است و به مهاجم احرازهویت نشده راه دور، اجازه استخراج اطلاعات حساس را می‌دهد. این آسیب‌پذیری ناشی از کنترل دسترسی نامناسب URLها است. مهاجم می‌تواند بدین وسیله به اطلاعات پیکربندی یا اشکال‌زدایی (debug) تجهیز دست یابد.
آسیب‌پذیری تزریق دستور
این آسیب‌پذیری که شناسه CVE-2019-1652 به آن اختصاص یافته است نیز ریشه در رابط تحت وب این تجهیزات دارد. منشاء آسیب‌پذیری، اعتبارسنجی نادرست ورودی کاربر است. مهاجم می‌تواند با ارسال درخواست مخرب POST از این نقص بهره‌برداری کند. با بهره‌برداری موفق می‌توان دستورات دلخواه را در قالب کاربر root روی shell لینوکس تجهیز اجرا کرد. بهره‌برداری از این آسیب‌پذیری نیازمند احراز هویت است.
کد بهره‌برداری از آسیب‌پذیری‌های فوق به طور عمومی منتشر شده است. همان طور که گفته شد، می‌توان با استفاده از آسیب‌پذیری اول، اطلاعات تجهیز از جمله اطلاعات کاربری درهم‌سازی (hash) شده را استخراج نمود. سپس می‌توان با شکستن hash، اطلاعات کاربری را به دست آورده و از آسیب‌پذیری دوم بهره‌برداری نمود.
راه حل
#‫سیسکو برای رفع آسیب‌پذیری‌های نامبرده، بروزرسانی‌هایی برای سفت‌افزار تجهیزات فوق منتشر کرده است که در جدول زیر نمایش داده شده است. همان طور که در جدول مشاهده می‌شود، برای مصونیت از هر دو آسیب‌پذیری باید از نسخه 1.4.2.20 به بالا استفاده نمود. این نسخه از اینجا قابل دریافت است.
آسیب‌پذیری نسخه آسیب‌پذیر نسخه به‌روز شده
CVE-2019-1653 1.4.2.15, 1.4.2.17 1.4.2.19
CVE-2019-1652 1.4.2.15-1.4.2.19 1.4.2.20

منابع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
https://software.cisco.com/download/home/284005929/type/282465789/release/1.4.2.20

بدافزارهای دسته " #‫پوشفا " را شاید بتوان ازجمله قدیمی ترین و پرانتشارترین #‫بدافزار های اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مرداد ماه 96 در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود. متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها دردسترس نیست اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل 1 نسخه از بدافزار در صدها کانال تلگرامی در طی 17 ماه گذشته، انتظار می رود چندین میلیون از دستگاه های اندرویدی ایرانی به بدافزارهای پوشفا آلوده شده باشند. تاکنون بیش از 200 نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

دانلود گزارش

در دسامبر سال گذشته، #‫سیستم_مدیریت_محتوا(CMS) متن‌باز و رایگان اعلام کرد 85% از وب‌سایت‌هایی که WordPress 5.0 را اجرا می‌کنند، از PHP 5.0 یا بیشتر استفاده می‌کنند.
PHP 5.6 پایین‌ترین نسخه‌ی PHP است که سایت‌های WordPress به آن نیاز دارند و به مدیران سایتی که نسخه‌های تاریخ گذشته‌ی PHP را استفاده می‌کنند، هشدار داده می‌شود. این هشدار حاوی لینکی (در قالب یک دکمه) به یک صفحه جدید نیز است که دارای اطلاعات مربوط به چگونگی به‌روزرسانی PHP است.
WordPress هنوز هم به‌روزرسانی‌های امنیتی و رفع اشکالات را برای وب‌سایت‌هایی که می‌خواهند از نسخه‌ی PHP 5.5 یا پایین‌تر استفاده کنند، ارایه می‌دهد. البته این سایت‌ها نمی‌توانند بدون آنکه ابتدا به نسخه‌ی پشتیبانی‌شده‌ی PHP جابه‌جا شوند، به آخرین نسخه‌ی WordPress ارتقا یابند.
WordPress 5.1 که قرار است 21 فوریه منتشر شود، اولین فاز پروژه Health Check را نیز پیاده‌سازی می‌کند. هدف این پروژه، بهبود ثبات و عملکرد کل اکوسیستم WordPress است. CMS همچنین شامل مکانیزمی برای شناسایی خطای مهلک ناشی از به‌روزرسانی نسخه‌ی PHP خواهد بود و آن‌ها را در بخش‌های طراحی‌شده‌ی خاصی از WordPress از این خطاها نجات خواهد داد.
اگرچه فرایند به‌روزرسانی ساده است و پلاگین‌ها و تم‌ها محبوب معمولاً به خوبی حفظ می‌شوند، ممکن است برخی از افزونه‌ها هنوز با آخرین نسخه‌‌های PHP سازگار نباشند که این امر می‌تواند منجر به خراب‌شدن سایت WordPress پس از به‌روزرسانی شود.
WordPress زمانی که یک خطای مهلک رخ می‌دهد، پلاگین و تم سازگار با آن را تشخیص خواهد داد ‌و در حالی که اطلاعات مربوط به افزونه را در قسمت مدیریت ارایه می‌‌دهد، آن را متوقف می‌سازد. افزونه‌ها پس از رفع مشکل می‌توانند ادامه یابند.
در WordPress 5.1، اگر مدیران سعی در نصب پلاگین‌هایی داشته باشند که به نسخه‌ی PHP بالاتری نسبت به نسخه‌ی فعلی نیاز داشته باشد، به آن‌ها هشدار می‌دهد. علاوه‌براین، CMS دکمه را برای نصب آن پلاگین‌ها غیرفعال خواهد ساخت. در آینده، به‌روزسانی پلاگین محدود خواهد شد (تم‌ها را نیز تحت‌تأثیر قرار می‌دهد).
در حال حاضر WordPress قصد دارد اگر نسخه‌ی PHP، پایین‌تر از 5.6 باشد، به مدیران هشدار دهد؛ اما ممکن است این مسئله به زودی تغییر کند. پایین‌ترین نسخه‌ی PHP که هنوز به‌روزرسانی امنیتی دریافت می‌کند، نسخه‌ی 7.1 است و حداقل نسخه‌ی مورد نیاز PHP تا پایان سال جاری ممکن است به 7 برسد.

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Jemd خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 16 دسامبر 2018 میلادی گزارش شده است. این باج‌افزار، از الگوریتم AES برای رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند. نکته جالب در مورد باج‌افزار Jemd این است که هیچ تغییری در نام فایل‌ها ایجاد نکرده و پسوندی به آن‌ها اضافه نمی‌کند. همچنین تا زمانی که فایل باج‌افزار در سیستم قربانی فعال باشد، نمی‌توان هیچ عملی(تغییرنام،کپی و...) بر روی فایل‌های رمزگذاری شده انجام داد.

دانلود پیوست