فا

‫ اخبار

صفحات: «« « ... 2 3 4 5 6 ... » »»
تحت‌تأثیر قرا گرفتن بیش از یک میلیارد دستگاه Wi-Fi به‌وسیله آسیب‌پذیری جدیدKr00k

Kr00k، یک نقص امنیتی در تراشه‌های Wi-Fi است که به مهاجمان اجازه می‌دهد تا ترافیک رمزنگاری شده‌ WPA2 را رمزگشایی کنند. این آسیب‌پذیری بر روی تراشه‌های Broadcom و Cypress تأثیر می‌گذارد که این رایج‌ترین تراشه‌هایی است که توسط چندین شرکت از جمله مارک‌های برتر آمازون(اکو ، کیندل)، اپل (آی فون، آی پد، مک بوک)، گوگل (نکسوس)، سامسونگ (گلکسی) و ... استفاده می‌شود.
این آسیب‌پذیری نه‌تنها دستگاه‌های کاربران بلکه نقاط و روترهای دسترسی Wi-Fi را نیز تحت تأثیر قرار می‌دهد.

آسیب‌پذیری Kr00k
محققان امنیتی ESET، آسیب‌پذیری ملقب به Kr00k را کشف کردند و شناسه CVE-2019-15126 را به آن اختصاص دادند. مهاجم می‌تواند با استراق‌سمع ارتباطات یک دستگاه وصله‌نشده، از این آسیب‌پذیری بهره‌برداری کند.
اگر حمله موفقیت‌آمیز باشد، مهاجمان می‌توانند داده‌های حساس را از دستگاه مورد‌ نظر سرقت کنند. این حمله از نقص عملکرد و اجرای تراشه‌های Wi-Fi سوءاستفاده می‌کند.

به طور کلی بسته‌ها با یک کلید منحصر‌به‌فرد بر اساس رمزعبور شبکه Wi-Fi رمزنگاری می‌شوند. وقتی دستگاهی از شبکه Wi-Fi جدا شود، کلیدهای تراشه آسیب‌پذیر صفر می‌شوند و سپس داده‌های بافرشده با رمزنگاری صفر ارسال می‌شوند.
با تحریک مداوم جداسازی دستگاه‌های متصل، مهاجم می‌تواند برخی از بسته‌های شبکه‌ی بی‌سیم که توسط یک دستگاه آسیب‌پذیر منتقل می‌شود را رمزگشایی کند.
این آسیب‌پذیری هر دو پروتکل WPA2-Personal و WPA2-Enterprise را با رمزگذاری AES-CCMP تحت‌تأثیر قرار داده است.
Kr00k همچنین به آسیب‌پذیری KRACK که در سال 2017 پیدا شد، مربوط می‌شود.
تفاوت بین KRACK و Kr00k در زیر آمده‌است:


ESET تولید‌کنندگان تراشه Broadcom و Cypress را در مورد این آسیب‌پذیری مطلع کرد و آن‌ها مشکل را برطرف کردند، همچنین ESET با ICASI همکاری‌کرد تا مطمئن شود تمام فروشندگان از Kr00k مطلع هستند.
این آسیب‌پذیری به هیچ‌وجه به رمز‌عبور Wi-Fi مربوط نیست، تغییر رمزعبور Wi-Fi در رفع این آسیب‌پذیری مؤثر نیست.
اگر از تراشه‌های آسیب‌دیده استفاده می‌کنید، توصیه می‌شود دستگاه‌های دارای تراشه‌های Broadcom یا Cypress را به آخرین نسخه‌های نرم افزاری به‌روز کنید.

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫سیسکو #‫به‌روزرسانی‌هایی را برای برخی محصولات خود منتشر کرده است. مهم‌ترین این آسیب‌پذیری‌ها مربوط به Smart Software Manager On-Perm است که امتیاز CVSS آن برابر با ا9.8 است. هفت آسیب‌پذیری با درجه اهمیت بالا و نه آسیب‌پذیری با درجه متوسط نیز وجود دارند. در ادامه به آسیب‌پذیری‌های بحرانی و مهم خواهیم پرداخت.

آسیب‌پذیری CVE-2020-3158 با درجه حساسیت 9.8
یک آسیب‌پذیری بحرانی در سرویس دسترس‌پذیری بالا (High Availability-HA) در Smart Software Manager On-Perm (با اسم سابق Cisco Smart Software Manager satellite) سیسکو وجود دارد. این آسیب‌پذیری به مهاجم احراز هویت نشده راه دور اجازه می‌دهد به بخش حساسی از سیستم دسترسی سطح بالا داشته باشد. علت این آسیب‌پذیری، وجود یک حساب کاربری سیستمی با گذرواژه پیش‌فرض و ثابت است. مهاجم می‌تواند با استفاده از این حساب به سیستم متصل شود و دسترسی خواندن و نوشتن داده‌های سیستم را کسب کند (از جمله داده‌های پیکربندی). مهاجم می‌تواند به بخش حساسی از سیستم دسترسی یابد اما دسترسی مدیریتی کامل برای کنترل تجهیز را نخواهد داشت.
این آسیب‌پذیری در Smart Software Manager On-Prem نسخه 7-202001 برطرف شده است. نسخه‌های ماقبل که ویژگی HA روی آنها فعال است آسیب‌پذیر هستند. این ویژگی به طور پیش‌فرض فعال نیست.
آسیب‌پذیری CVE-2019-16027 با درجه حساسیت 7.7
این آسیب‌پذیری مربوط به پروتکل مسیریابی IS-IS در نرم‌افزار Cisco IOS XR است که به مهاجم راه دور احراز هویت شده امکان ایجاد منع سرویس روی فرایند IS-IS را می‌دهد. ریشه این آسیب‌پذیری مدیریت نامناسب درخواست‌های SNMP توسط فرایند IS-IS است.
تجهیزاتی تحت تأثیر این آسیب‌پذیری هستند که نرم‌افزار IOS XR نسخه ماقبل 6.6.3، 7.0.2، 7.1.1 یا 7.2.1 را اجرا می‌کنند و پروتکل IS-IS و SNMP نسخه 1، 2c یا 3 روی آنها فعال است. این آسیب‌پذیری در نسخه‌های جدید رفع شده است، اما برای کاهش تأثیر آسیب‌پذیری می‌توان پروتکل SNMP را غیرفعال کرد یا با استفاده از لیست کنترل دسترسی، امکان استفاده از آن را به کلاینت‌های مطمئن محدود کرد.
آسیب‌پذیری CVE-2019-1888 با درجه حساسیت 7.2
آسیب‌پذیری نهفته در رابط وب Unified Contact Center Express (Unified CCX) سیسکو به مهاجم احراز هویت شده راه دور اجازه آپلود فایل و اجرای دستور با سطح دسترسی root را می‌دهد. برای بهره‌برداری از این آسیب‌پذیری مهاجم باید مشخصات یک کاربر سطح Administrator را داشته باشد. نسخه‌های ماقبل 12.5(1) آسیب‌پذیر هستند.
CVE-2019-1736 با درجه حساسیت 6.2
یک آسیب‌پذیری در ثابت‌افزار تجهیزات UCS C-Series Rack Servers سیسکو وجود دارد که به مهاجم احراز هویت شده فیزیکی اجازه می‌دهد تا اعتبارسنجی بوت امن (Secure Bot) را دور بزند و یک نرم‌افزار آسیب‌پذیر را روی تجهیز بارگذاری کند.
CVE-2019-1983 با درجه حساسیت 7.5
یک آسیب‌پذیری در Email Security Appliance (ESA) و Content Security Management Appliance (SMA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد.
CVE-2019-1947 با درجه حساسیت 8.6
یک آسیب‌پذیری در Email Security Appliance (ESA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد. این آسیب‌پذیری نسخه‌های 12.1.0-085 و 11.1.0-131 نرم‌افزار AsyncOS را در تجهیزات ESA تحت تأثیر قرار می‌دهد.
CVE-2020-3112 با درجه حساسیت 8.8
یک آسیب‌پذیری در REST API محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم راه دور احراز هویت شده امکان ارتقاء دسترسی را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.
CVE-2020-3114 با درجه حساسیت 8.8
یک آسیب‌پذیری در رابط مدیریتی وب محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم احراز هویت نشده راه دور امکان اجرای حمله اسکریپت جعلی بین سایتی (CSRF) را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.

https://tools.cisco.com/security/center/publicationListing.x

7 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
700000 وب‌سایت در معرض خطر ناشی از وجود آسیب‌پذیری در افزونه‌ی GDPR Cookie Consent وردپرس

افزونه‌ی دیگری از #WordPress به لیست افزونه‌هایی که دارای نقص‌های امنیتی تهدیدآمیز هستند، پیوسته است. این بار، این آسیب‌پذیری در افزونه‌ی GDPR Cookie Consent ظاهر شده است و یکپارچگی 700000 وب سایت را به خطر انداخته است.
طبق گزارشات، محققی به نام Jerome Bruandet، یک آسیب‌پذیری جدی در افزونه‌ی GDPR Cookie Consent کشف کرده است. GDPR Cookie Consent به کاربران در ساخت سایت مطابق با GDPR کمک می‌کند. با در نظر گرفتن 700000 نصب از این افزونه، این نقص می‌تواند هزاران وب‌سایت را در معرض خطر قرار دهد.
این آسیب‌پذیری، یک نقص بحرانی تزریق اسکریپت مخرب در افزونه‌ی GDPR Cookie Consent است که ناشی از کنترل نامناسب دسترسی در نقطه‌پایانی (endpoint) استفاده‌شده در افزونه‌ی AJAX API (یک روش توسعه‌ی وب برای ساخت برنامه‌های کاربردی تحت وب) وردپرس است. نقطه‌پایانی، یک روش “-construct” درون افزونه است که برای کد مقداردهی اولیه‌ی اشیایی که به تازگی ایجاد شده‌اند، مورد استفاده قرار می‌گیرد. پس از آنکه فعالیت‌ها ایجاد شدند، از طریق AJAX به روش “-construct” ارسال می‌شود. این فرایند در پیاده‌سازی بررسی‌ها شکست می‌خورد. به همین دلیل، نقطه‌پایانی AJAX که به گونه‌ای در نظر گرفته شده است که تنها برای مدیران قابل دسترسی باشد، به کاربران سطح مشترک (یک نقش کاربر در وردپرس با قابلیت‌های بسیار محدود) نیز اجازه دهد تعدادی فعالیت که امنیت سایت را به مخاطره می‌اندازد، انجام دهند. روش “-construct”، سه مقدار متفاوت از AJAX API را می‌پذیرد. دو مقدار از آن‌ها، autosave_contant_data و save_contentdata هستند که می‌توانند توسط مهاجم از طریق این آسیب‌پذیری مورد سوءاستفاده قرار گیرند. روش save_contentdata به مدیران اجازه می‌دهد اعلان‌های کوکی را به عنوان یک نوع پست صفحه در پایگاه داده ذخیره سازد. اما از آنجاییکه این روش مورد بررسی قرار نگرفته است، یک کاربر یا مشترک احرازهویت‌شده می‌تواند هر صفحه یا پست موجود (یا کل وب‌سایت) را تغییر دهد و با تغییر وضعیت آن‌ها از «منتشرشده» به «پیش‌نویس»، آن‌ها را آفلاین کند. روش دیگر ، autosave_contant_data ، برای ذخیره‌ی صفحه‌ی اطلاعات کوکی GDPR در پس زمینه، در حالی که مدیر در حال ویرایش آن است، با ذخیره کردن داده‌ها در فیلد cli_pg_content_data پایگاه‌داده، بدون اعتبارسنجی استفاده می‌شود. عدم بررسی در این روش به کاربر معتبر احرازهویت‌شده اجازه می‌دهد کد جاوااسکریپت را به صفحه وب تزریق نماید. سپس این کد هر بار که شخصی به صفحه «http://example.com/cli-policy-preview/» مراجعه می‌کند، بارگیری و اجرا می‌شود.
این نقص از نظر شدت، بحرانی رتبه‌بندی شده است و دارای امتیاز CVSS 9.0 از 10 است.
تیم تحقیقاتی WordFence نیز وجود این نقص را پس از آنکه تیم توسعه‌ی این افزونه، آن را برطرف ساخت، تأیید کرده است.
Bruandet در تاریخ 28 ژانویه سال 2020، توسعه‌دهندگان این افزونه را از وجود آسیب‌‌پذیری در آن مطلع ساخت. نسخه‌های 1.8.2 و پیش از آن افزونه‌ی GDPR Cookie Consent، تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. توسعه‌دهندگان این افزونه، با انتشار نسخه‌ی 1.8.3، یک هفته پس از افشای این نقص، آن را وصله کرده‌اند. کاربران باید با به‌روزرسانی این افزونه به آخرین نسخه، مانع از سوءاستفاده‌های بالقوه شوند.

7 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر گوگل کروم

طبق آخرین گزارشات CIS Security #‫آسیب‌پذیری‌های چندگانه جدید در گوگل کروم کشف شده است که شدیدترین آن‌ها می‌توانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.
نسخه آسیب‌پذیر این برنامه مربوط به نسخه‌های قبل از 80.0.3987.116 گوگل کروم می‌شود. این آسیب‌پذیری‌ها می‌توانند در صورت مراجعه یا تغییر مسیر دادن‌ کاربر به یک صفحه وب ساختگی خاص، مورد بهره‌برداری قرار گیرند. جزئیات آسیب‌پذیری‌ها به شرح زیر است:
• استفاده پس از آزادسازی در WebAudio (CVE-2020-6384)
• استفاده پس از آزادسازی در speech (CVE-2020-6386)
• ابهام در نوع استفاده در V8 (CVE-2020-6383)

بهره‌برداری موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بدست آورد، محدودیت‌های امنیتی را دور بزنند و کارهایی غیرمجاز انجام دهند، یا باعث منع از سرویس شوند.
توصیه می‌شود اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط گوگل به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصا از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.


منبع :
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2020-024/
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_18.html
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6383

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6384

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6386

7 اسفند 1398 برچسب‌ها: اخبار
حذف پانصد افزونه‌ی مخرب کروم از فروشگاه وب گوگل

شرکت #‫گوگل پس از اطلاع از تبلیغات مخرب و تزریق داده‌های مرور کاربر به سرورهای تحت کنترل مهاجمان توسط پانصد افزونه در کروم، آن‌ها را از فروشگاه وب خود حذف کرد.
این افزونه‌ها بخشی از یک پویش تبلیغاتی و کلاهبرداری بودند که حداقل از ماه ژانویه‌ی سال 2019 شروع به کار کرده‌اند و از آن زمان تا‌کنون توسط بیش از 7/1 میلیون کاربر نصب شده‌‌اند.
کد مخرب تزریق‌شده توسط افزونه‌ها، تحت شرایط خاص فعال شده و کاربران را به سایت‌های خاص هدایت می‌کند. در برخی موارد، مقصد می‌تواند یک لینک وابسته به سایت‌های قانونی مانند Macys ، Dell یا BestBuy باشد، اما در 60 تا 70 درصد موارد، لینک مقصد چیزی مخرب مانند سایت بارگیری بدافزار یا صفحه‌ی فیشینگ است.
محققان با استفاده از ابزار ارزیابی امنیت افزونه‌ی کروم موسوم به "CRXcavator"، در حال بررسی این افزونه‌های کروم بودند که دریافتند مشتری‌های این مرورگر به یک سرور کنترل و فرمان (C2) کنترل‌شده توسط مهاجمان متصل می‌شوند و این امکان را برای مهاجمان فراهم می‌آورد تا داده‌های مرور را بدون اطلاع کاربران، دریافت کنند.
این افزونه‌ها که تحت پوشش تبلیغات و خدمات تبلیغاتی عمل می‌کردند، دارای کد منبع تقریباً یکسان اما نام توابع متفاوت بودند و از این طریق، مانع از تشخیص مکانیسم‌های شناسایی فروشگاه وب کروم می‌شدند.
افزونه‌های مخرب موجود در کروم علاوه بر درخواست مجوزهای گسترده که امکان دسترسی آن‌ها به کلیپ‌بورد و کلیه کوکی‌هایی را که به‌صورت محلی در مرورگر ذخیره می‌شوند را می‌دهد، به‌صورت دوره‌ای نیز به یک دامنه متصل می‌شوند. این دامنه دارای همان نام افزونه است و به‌ آن‌ها دستور حذف از مرورگر را می‌دهد.
پس از برقراری تماس اولیه با سایت، افزونه‌ها با یک دامنه‌ی C2 که به صورت سخت‌افزاری کدگذاری‌شده است، ارتباط برقرار می‌کنند. سپس در انتظار دستورات بعدی، مکان‌هایی برای بارگذاری داده‌های کاربر و دریافت لیست‌های به‌روزشده از تبلیغات مخرب و دامنه‌های هدایت‌شونده که جلسات مرور کاربران را به ترکیبی از سایت‌های قانونی و فیشینگ هدایت می‌کنند، می‌مانند.
گوگل برای رفع این موضوع، از 15 اکتبر سال 2019، محدودیت‌هایی را برای افزونه‌ها اعمال کرد. از آن زمان تاکنون، افزونه‌ها به درخواست دسترسی به «حداقل مقدار داده» نیاز دارند و هر افزونه‌ای که خط مشی رازداری را نداشته باشد و داده‌های مرور کاربران را جمع‌آوری ‌کند، ممنوع می‌شود.
به کاربران توصیه می‌شود افزونه‌هایی را که به‌ندرت از آن‌ها استفاده می‌کنند، حذف کرده یا به سایر گزینه‌های نرم‌افزاری که نیازی به دسترسی تهاجمی به فعالیت مرورگر ندارند، روی آورند.

7 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫آسیب پذیری به شناسه CVE-2020-1600 در پروتکل مسیریابی Daemon (RPD) سیستم عامل Junos OS کشف شده است که به یک درخواست مخرب SNMP اجازه می دهد تا با ایجاد یک حلقه (loop) نامحدود منجر به افزایش مصرف CPU و در نتیجه حمله DoS و از کار افتادن دستگاه شود.
بهره برداری از این آسیب پذیری با هر دو نسخه IPv4 و IPv6 بسته درخواست SNMP قابل اجراست.
نسخه های آسیب پذیر Juniper Networks Junos OS:
• 12.3X48 versions prior to 12.3X48-D90;
• 15.1 versions prior to 15.1R7-S6;
• 15.1X49 versions prior to 15.1X49-D200;
• 15.1X53 versions prior to 15.1X53-D238, 15.1X53-D592;
• 16.1 versions prior to 16.1R7-S5;
• 16.2 versions prior to 16.2R2-S11;
• 17.1 versions prior to 17.1R3-S1;
• 17.2 versions prior to 17.2R3-S2;
• 17.3 versions prior to 17.3R3-S7;
• 17.4 versions prior to 17.4R2-S4, 17.4R3;
• 18.1 versions prior to 18.1R3-S5;
• 18.2 versions prior to 18.2R3;
• 18.2X75 versions prior to 18.2X75-D50;
• 18.3 versions prior to 18.3R2;
• 18.4 versions prior to 18.4R1-S6, 18.4R2;
• 19.1 versions prior to 19.1R2
شرکت Juniper به روز رسانی نسخه های آسیب پذیر را منتشر کرده است بنابراین به مدیران شبکه توصیه می شود این به روز رسانی را هرچه سریعتر انجام دهند.
منبع
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979&cat=SIRT_1&actp=LIST

7 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
کشف نقص بحرانی در دو محصول شرکت ادوبی

شرکت #‫ادوبی برای رفع دو آسیب‌پذیری بحرانی در برنامه‌های After Effects و Media Encoder، بروزرسانی‌های نرم‌افزاری را منتشر کرد.
این دو آسیب‌پذیری، ناشی از نقص بحرانی نوشتن در حافظه است که با اجرای کد دلخواه بر روی سیستم قربانی و فریب وی از طریق باز کردن یک فایل مخرب با استفاده از نرم‌افزارهای مذکور، می‌توانند مورد اکسپلویت قرار گیرند.
Adobe After Effects، نرم‌افزاری جهت ایجاد جلوه‌های ویژه‌ی گرافیکی در ویدیوها می‌باشد که این نقص با شناسه‌ی "CVE-2020-3765" توسط یک محقق امنیتی به نام Matt Powell کشف و از طریق پروژه‌ی مقدماتی Trend Micro Zero Day به شرکت ادوبی گزارش داده شد.
Adobe Media Encoder نیز نرم‌افزاری جهت رمزگذاری و فشرده‌سازی فایل‌های صوتی یا تصویری می‌باشد که این نقص با شناسه‌ی "CVE-2020-3764" توسط یک محقق امنیتی کانادایی به نامFrancis Provencher کشف شد.
هیچ یک از این آسیب‌پذیری‌های امنیتی، به طور علنی افشا و یا به طور گسترده اکسپلویت نشده‌اند، چرا که این شرکت هنوز مدرکی مبنی بر این موضوع پیدا نکرده است.
با این حال به کاربران ویندوز و مک توصیه می‌شود هر چه سریع‌تر آخرین نسخه‌ی این نرم‌افزارها را جهت محافظت از سیستمشان، بر روی آن نصب کنند.
در هفته سوم ماه فوریه 2020، شرکت ادوبی در Patch Tuesday، وصله‌ی 42 آسیب‌پذیری را که به تازگی کشف شده بود، منتشر کرد که 35 مورد از آن‌ها به شدت بحرانی بودند.
گفتنی است که affecting Adobe Framemaker, Acrobat and Reader, Flash Player, Digital Edition و Adobe Experience Manager از جمله نرم‌افزارهای تحت تأثیر این آسیب‌پذیری‌ها می‌باشند.
منبع خبر:
https://thehackernews.com/2020/02/adobe-software-updates.html

7 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫تروجان با دسترسی از راه دور (RAT) به نام #Parallax به طور گسترده در حال توزیع از طریق کمپین های مخرب اسپم می باشد. هنگامی که یک سیستم ویندوزی به این تروجان آلوده شود مهاجم می تواند کنترل کامل آن سیستم را در دست بگیرد.
مهاجم از این بدافزار برای دسترسی به سیستم قربانی استفاده می کند تا به نام کاربری و رمزهای عبور ذخیره شده در سیستم دسترسی پیدا کند و همچنین بتواند دستورات دلخواه خود را اجرا کند سپس از این اطلاعاتی که جمع آوری کرده است میتواند برای سرقت هویت قربانی، دسترسی به حساب های بانکی و توزیع بیشتر این تروجان استفاده کند.
یک محقق امنیتی MalwareHunterTeam از دسامبر سال 2019 نمونه هایی از تروجان Parallax را ردیابی کرده است.

دانلود گزارش تحلیلی

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
حملات فعال به بیش از یک میلیون سایت وردپرسی از طریق آسیب‌پذیری افزونه Duplicator

یک #‫آسیب‌پذیری بحرانی با درجه حساسیت مهم در یکی از معروف‌ترین افزونه‌های وردپرسی به نام Duplicator یافت شده است. بیش از یک میلیون سایت وردپرسی تحت تاثیر این آسیب‌پذیری که به مهاجم اجازه‌ی دانلود فایل دلخواه از وب‌سایت قربانی را می‌دهد، قرار دارند. در این گزارش به بررسی قطعات کد آسیب‌پذیر، اهمیت آن و جزییات حملات در حال انجام توسط این آسیب‌پذیری می‌پردازیم.

دانلود پیوست

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی, اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

تروجان بانکی Emotet نخستین بار توسط محققان امنیتی در سال 2014 کشف و گزارش شد. Emotet در اصل یک بدافزار بانکی بود که با نفوذ به سیستم قربانی، اطلاعات شخصی و حساس قربانی را به سرقت می‌برد. این بدافزار برای انتشار از طریق ایمیل‌های اسپم عمل می‌کرد و تاثیر خود بر قربانی را با اسکریپت‌های مخرب، فایل‌هایی با قابلیت اجرای macro یا لینک‌های مخرب کامل می‌کرد. همچنین این بدافزار برای دریافت به‌روزرسانی خود از سرورهای C&C استفاده می‌کند.
روش جدید مورد استفاده Emotet به بدافزار اجازه میدهد تا شبکه‌های WiFi آسیب‌پذیر و ناامن محلی و دستگاه‌های متصل به آن را با استفاده از حلقه‌های brute-force آلوده کند.
1 روش جدید مورد استفاده این بدافزار
به گفته محققان، اگر بدافزاری بتواند در این شبکه‌های wifi محلی منتشر شود، تلاش می‌کند دستگاه‌های متصل به آن را نیز آلوده کند – روشی که سرعت انتشار Emotet را افزایش می‌دهد. پیش از این تصور می‌شد این بدافزار فقط از طریق malspam و شبکه‌های آلوده منتشر می‌شود، اما اگر شبکه‌ها از پسوردهای نا امن استفاده کنند، شبکه‌های بی سیم محلی نسبت به این بدافزار آسیب‌پذیر هستند.
1-1 انتشار Emotet
این بدافزار برای آلوده کردن اولین سیستم از یک فایل فشرده که حاوی دو فایل باینری دیگر به نام‌های worm.exe و service.exe است برای انتشار از طریق WiFi استفاده می‌کند. Worm.exe با اجرای خودکار خود اطلاعات شبکه‌های بی‌سیم (نام شبکه، گذرواژه و اطلاعات امنیتی) را ضبط می‌کند؛ و برای این کار از رابط wlanAPI استفاده می‌کند.
کتابخانه wlanAPI، یکی از کتابخانه‌های استفاده شده در رابط برنامه‌نویسی نرم‌افزار wifi محلی است (API) که مشخصات شبکه‌های بی‌سیم و اتصالات آن را مدیریت می‌کند.
زمانی که یک دستگاه wifi هدف گرفته شد، بدافزار از ابزاری به نام WlanEnumInterfaces که تعداد شبکه‌های wifi موجود در سیستم قربانی را شمارش می‌کند، استفاده می‌کند. این ابزار شبکه‌های بی‌سیم شمرده شده را در مجموعه‌ای از ساختارها که شامل اطلاعات مربوط SSID، سیگنال، رمزگذاری، روش تصدیق شبکه می‌باشد، بر‌می‌گرداند.


شکل شماره 1: مکانیزم انتشار Emotet

هنگامی که داده‌های هر شبکه به دست آمد، بدافزار اتصال را با استفاده از حلقههای brute-force برقرار می‌کند. مهاجمان برای ایجاد اتصال از یک گذرواژه بدست آمده از «لیستهای رمز عبور داخلی» (اینکه لیست رمز عبور داخلی چگونه بدست آمده است مشخص نیست) استفاده می‌کنند. اگر اتصال نا‌موفق باشد، تابع، گذرواژه بعدی در لیست گذرواژه‌ها را انتخاب می‌کند.
اگر گذرواژه صحیح باشد و اتصال برقرار شود، بدافزار 14 ثانیه قبل از ارسال درخواست HTTP POST به سرور فرمان و کنترل (C2) روی پورت 8080، غیر فعال شده و با شبکه wifi ارتباط برقرار می‌کند. سپس شمارش را آغاز کرده و گذرواژه‌ی همه کاربران (شامل حساب های کاربری admin) را روی شبکه‌های آلوده شده جدید brute-force می‌کند. اگر هر کدام از brute-forceها موفقیت آمیز باشد، worm.exe فایل باینری دیگری به نام service.exe را در دستگاه‌های آلوده نصب می‌کند. برای ایجاد ماندگاری در سیستم فایل باینری مذکور با پوشش سرویس سیستم مدافع ویندوز (WinDefService) قرار می‌گیرد.
طبق گفته محققان، با داشتن بافرهایی که شامل لیستی از همه‌ی نام کاربری‌هایی که گذرواژه آنها با موفقیت brute-force شده‌اند، یا حساب کاربریadmin و گذرواژه آن، worm.exe می‌تواند service.exe را در سایر سیستم‌ها منتشر کند. درواقع Service.exe یک payload آلوده است که توسط worm.exe و از راه دور روی سیستم آلوده نصب می‌شود. این فایل باینری دارای نشانگر PE از تاریخ 01/23/2020 است، یعنی تاریخی که برای اولین بار بدافزار توسط Binary Defense کشف شد. پس از قرارگیری service.exe در سیستم و ارتباط آن با C2، Emotet در سیستم جدید قابل اجرا شده و سعی می‌کند تا حد ممکن دستگاه‌های بیشتری را آلوده کند.
2 راه‌های مقابله
بدافزار Emotet که به عنوان یک تروجان بانکی در سال 2014 کار خود را آغاز کرد، به طور مداوم تکامل یافته و به یک مکانیسم تهدیدآمیز تبدیل شده است و می‌تواند مجموعه‌ای از بدافزارها شامل سارقان اطلاعاتی، جمع‌کنندگان ایمیل، مکانیسم‌های انتشار خودکار و باج افزار را در سیستم قربانی نصب کند.
جهت جلوگیری از انتشار این بدافزار پیشنهاد می‌شود تا از گذرواژه‌های قوی برای ایمن کردن شبکه‌های بی‌سیم استفاده شود.
استراتژی‌های تشخیص این بدافزار:
 نظارت فعال بر نقاط انتهایی سرویس‌های جدید و بررسی خدمات مشکوک هر فرآیند در حال اجرا از پوشههای موقت و پوشههای داده برنامه کاربردی کاربر
 نظارت بر شبکه نیز یکی از راه‌های شناسایی موثر است؛ چراکه اگر ارتباطات بدون رمزگذاری باشند، الگوهای قابل تشخیصی وجود دارند که محتوای پیام بدافزار را شناسایی می‌کنند.

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
صفحات: «« « ... 2 3 4 5 6 ... » »»