Zyxel وصلهای را برای رفع #آسیبپذیری مهمی در میان افزار خود منتشر کرده است. این آسیبپذیری در رابطه با یک حساب کاربری مخفی با دسترسی مدیریتی است که اکنون افشاء شده است و مهاجمان میتوانند از این حساب کاربری برای ورود به سیستم و به خطر انداختن دستگاههای شبکه سوءاستفاده نمایند. این نقص که با شناسه CVE-2020-29583 پیگیری میشود، طیف وسیعی از دستگاههای Zyxel، از جمله Unified Security Gateway (USG) ، USG FLEX ، ATP و فایروالهای VPN را تحت تأثیر میگذارد. جدول زیر محصولات تحت تاثیر این آسیبپذیری را نمایش میدهد.
توصیه میشود، کاربران برای کاهش خطر مرتبط با این نقص، بهروزرسانیهای میان افزار را نصب کنند. همچنین انتظار میرود، این شرکت تایوانی با انتشار وصله V6.10 Patch1 که قرار است در آوریل سال 2021 منتشر شود، این مسئله را در کنترل کنندههای Access Point (AP) خود حل کند.
منبع:
اخیرا بدافزاری مبتنی بر زبان برنامهنویسی Go شناسایی شده است که از اوایل ماه دسامبر سال 2020 میلادی رو به گسترش است. این بدافزار برنامه استخراج کننده رمز ارز XMRig را جهت استخراج رمز ارز Monero برروی سرورهای ویندوزی و لینوکسی مستقر مینماید. بدافزار چند پلتفرمی مذکور، قابلیتی مشابه کرمهای کامپیوتری دارد که امکان گسترش به سیستمهای جدید را با استفاده از بروت-فورس سرویسهای عمومی فراهم میآورد.
این بدافزار با اسکن و سپس بروت-فورس سرویسهای عمومی مانند MYSQL، Tomcat، Jenkinsو WebLogic گسترش مییابد. همچنین نسخههای قدیمی این بدافزار قابلیت اکسپلویت آسیبپذیری با شناسه CVE-2020-14882 را که منجربه اجرای کد از راه دور در Oracle WebLogic میشوند، دارند. بدافزار بعد از تحت تاثیر قرار دادن یکی از سرورهای هدف، اسکریپت لودر خود (در لینوکسld.ps1 و در ویندوز ld.sh) را در سیستم هدف قرار میدهد. این اسکریپت جهت استقرار کد باینری کرم و ماینر XMRig در سیستم هدف مورد استفاده قرار میگیرد.
تا تاریخ 10 دی 1399طبق گزارش منتشر شده، امکان شناسایی کد باینری ELF کرم و اسکریپت مربوط به لودر بدافزار توسط VirusTotal وجود نداشته است. این موضوع نشان میدهد که خطر این بدافزار در سیستمهای لینوکسی بسیار بیشتر است.
هکرهای پشتیبان این بدافزار به صورت فعال قابلیتهای این بدافزار را از طریق سرور (C2) command-and-control به روزرسانی مینمایند. برای محافظت از سیستمها در برابر این بدافزار لازم است:
• گذرواژههای پیچیده انتخاب شود، تعداد تلاشهای ناموفق ورود به سیستم را محدود کرده و از روشهای احراز هویت دو فاکتور استفاده شود.
• سرویسهای با دسترسی عمومی غیر ضروری از دسترس خارج شود.
• نرمافزارهای به روز نگه داشته و وصلههای لازم اعمال شود.
منبع:
گزارشی از 257 مورد خدمت ارائه شده توسط مرکز ماهر در هفته چهارم آذر ماه و هفته اول دی ماه (25 آذرلغایت8 دی ماه 1399)در گرافهای زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی و نوع رخدادهای رسیدگی شده توسط مرکز، بخشهای دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
چندین #آسیبپذیری در محصولات نسخه 1.x از TightVNC وجود دارد که امکان اجرای کد از راه دور و حمله انکار سرویس را در شرایط خاص فراهم میآورند. Siemens برای چندین محصول خود که تحت تاثیر آسیبپذیریهای TightVNC هستند، بهروزرسانی ارئه کرده است و در حال تلاش برای بهروزرسانی سایر محصولات تحت تاثیر آسیبپذیری است. برای مطالعه راهکار پیشنهادی Siemens برای جلوگیری از سوءاستفاده از این آسیبپذیریها و لیست محصولات آسیبپذیر شرکت اینجا کلیک نمایید.
چندی پیش خبری مبنی بر #آسیبپذیری SolarWinds و خطرات احتمالی آن در کشور مطرح شد. در حال حاضر اطلاعات بیشتری از این حملات در اختیار رسانهها قرار میگیرد. اکنون بعد از خبر تحت تاثیر قرار گرفتن اینتل، مایکروسافت و موارد مشابه، VMware و سیسکو نیز تصدیق کردهاند که تحت تاثیر زنجیره حملات SolarWinds قرار داشتهاند.
VMware در بیانیهای از وجود چندین نرمافزار آلوده در شبکه داخلی خود خبر داد و بیان کرد که این آسیبپذیریها اکسپلویت نشدهاند. این شرکت تاکید کرد که آسیبپذیری روز صفر این شرکت با شناسه آسیبپذیری CVE-2020-4006 به عنوان یک روش حمله مضاعف در کنار آسیبپذیری SolarWinds جهت تحت تاثیر قرار دادن اهداف مهم استفاده میشود. محصولات زیر از VMware تحت تاثیر این آسیبپذیری روز صفرم قرار دارند. توصیه میشود کاربران این محصولات با مراجعه به این سایت محصولات خود را بهروزرسانی نمایند.
همچنین سیسکو بیان کرده است که با وجود اینکه از Solarwinds برای مدیریت شبکه و مانیتورینگ آن در شبکه شرکت خود استفاده نمیکرده، چندین نمونه نرم افزار آلوده Solarwinds را در محیط آزمایشگاهی و سیستم نهایی کارمندان خود یافته است.
متاسفانه شرکتهای تحت تاثیر این آسیبپذیری بسیار زیاد هستند و برای مقابله با این آسیبپذیری در کشور لازم است، تمام سازمانها در گام اول از عدم آسیبپذیری سیستمهای خود اطمینان حاصل نمایند و سپس با استفاده از اقدامات پیشگیرنده مانع از نفوذ این بدافزار در سامانه خود شوند.
منابع:
رصد فضای سایبری کشور نشان از آن دارد که تعداد قابل توجهی از صفحات پیکربندی فایروالهای سازمانها، صفحات پیکربندی مسیریابها، صفحات مانیتورینگ شبکه و ... از طریق شبکهي اینترنت قابل دسترسی است. این در حالیست که متاسفانه در تعداد قابل توجهی از آنها از کلمهی عبور پیشفرض هم استفاده شده است. در هفتهی گذشته متاسفانه مرکز ماهر بیش از ۲۰۰ مورد هشدار به سازمانها و شرکتها و تولیدکنندگان محصولات امنیتی داخلی ارسال کرده است. لازم است که دسترسی به این سرویسها از طریق اینترنت محدود شده و اگر بنابر ضرورتهای کرونایی نیاز به دسترسی راه دور دارد، حتما از طریق vpn انجام شود. از آن مهمتر، نسبت به تغییر کلمات عبور پیشفرض حتما اقدام شود.
گزارشی از 280 مورد خدمت ارائه شده توسط مرکز ماهر از جمله فراوانی و نوع رخدادهای رسیدگی شده ، بخشهای دریافت کننده خدمات و نحوه مطلع شدن مرکز از این رخدادها در هفته دوم و سوم آذر ماه (11 لغایت 24 آذر ماه) در گرافهای زیر قابل مشاهده است.
#آسیبپذیری روز صفر در افزونه SMTP وردپرس که منجربه بازنشانی پسورد ادمین میشود به صورت گسترده در حال اکسپلویت است. وصله این آسیبپذیری در تاریخ 7 دسامبر سال جاری منتشر شده است، اما هنوز هم بسیاری از سایتها وصله نشده باقی ماندهاند. بنابراین لازم است مدیران وبسایتهای وردپرسی که از این افزونه استفاده میکنند، هرچه سریعتر اقدام به بهروزرسانی این نرمافزار نمایند.
افزونه Easy WP SMTP که برای تنظیم SMTP برای ایمیلهای ارسالی از وبسایت استفاده میشود و در بیش از 500،000 وبسایت نصب شده است، در هفته گذشته مورد حملات گسترده قرار داشته است و هنوز هم با وجود اینکه وصله آن منتشر شده است، همچنان این حملات ادامه دارند. بر اساس گزارش NinTechNet، نسخه 1.4.2 ازEasy WP SMTP و نسخههای قبل از آن دارای ویژگی است که برای هر ایمیل ارسالی لاگی برای اشکالزدایی تولید میکند و در دایرکتوری نصب این افزونه ذخیره میکند. قابلیت پیمایش دایرکتوری در دایرکتوری نصب افزونه فعال است، بنابراین هکرها میتوانند لاگها را مشاهده کنند.
در سایتهایی که نسخههای آسیبپذیر این افزونه را استفاده میکنند، هکرها حمله خودکاری را اجرا میکنند تا حساب کاربری ادمین را شناسایی کرده و درخواستی برای بازنشانی پسورد کاربر ادمین ارسال کند. از آنجاییکه بازنشانی پسورد، شامل ارسال ایمیل بازنشانی به لینک حساب کاربری ادمین است؛ این ایمیل نیز در لاگهای WP SMTP ذخیره میشود. سپس هکرها با دسترسی به لاگ این ایمیلها لینک بازنشانی را استخراج کرده و پسورد حساب کاربری ادمین را بازنشانی کرده و دراختیار میگیرند.
توسعه دهندگان برای رفع این آسیبپذیری لاگهای این افزونه را به دایرکتوری لاگهای وردپرس که از امنیت بیشتری برخوردار است، منتقل کردهاند. این دومین بار است که یک آسیبپذیری روز صفر در این افزونه شناسایی میشود و به صورت گسترده مورد سوء استفاده قرار میگیرد. اما خوشبختانه در مقایسه آسیبپذیری روز صفر اول که در مارس 2019 منتشر شده بود، در حال حاضر قابلیت بهروزرسانی خودکار به این افزونه اضافه شده است. بنابراین کاربران این افزونه برای بهروزرسانی آن کافیست دکمه بهروزرسانی خودکار را فعال کنید. اگر از نسخههای آسیبپذیر افزونه Easy WP SMTP استفاده میکنید، هرچه سریعتر نسبت به بهروزرسانی این نرمافزار به نسخه 1.4.4 اقدام نمایید.
منبع خبر:
شرکت SolarWind اعلام کرده است که تمام نسخههای SolarWinds Orion Platform که در ماههای March تا June امسال منتشر شدهاند، #آسیبپذیر هستند. بنابراین اگر شرکت یا سازمان ایرانی هستید و از نرمافزار Solarwinds استفاده میکنید و این نرم افزار را در بازه زمانی مذکور بهروزرسانی یا نصب کردهاید، پس شما یک محصول آسیبپذیر را در شبکه خود دارید. لذا ضروریست تا هرچه سریعتر نسبت به نصب آخرین نسخه این محصول ( version 2020.2.1 HF 1 ) از این لینک اقدام کنید.
شرکت FireEye گزارش کرده است که هکرهایی که از طرف یک دولت خارجی فعالیت میکنند، با نفوذ در فرایند ایجاد نرم افزار SolarWinds و ایجاد بک دور در این محصول، موجب آسیبپذیری صدها شبکه در دنیا شدهاند که از نسخههای 2019.4 HF 5 تا 2020.2.1 از این محصول استفاده میکنند. گزارش وجود #بدافزار در SolarWinds بعد از افشای خبر حمله به دو وزارت خزانه داری ایالات متحده و اداره ارتباطات ملی و اطلاعات وزارت بازرگانی ایالات متحده منتشر شد که از جزئیات این بدافزار را شرح میدهد. همچنین باید خاطر نشان کرد که برای نفوذ به شرکت FireEye که چند روز پیش خبر آن را منتشر کردیم، نیز از این آسیبپذیری سوءاستفاده شده است.
با توجه به حملات انجام شده تمام سازمانها و ادارات دولتی کشور که از SolarWinds استفاده میکنند باید هرچه سریعتر امنیت شبکه خود را بررسی نمایند. نسخههای 2019.4 HF 5 تا 2020.2.1 از این پلتفرم آسیبپذیر هستند. اگر مطمئن نیستید از کدام یک از نسخههای Orion Platform استفاده میکنید، کافیست یا از طریق بررسی صفحه ورود به محصول یا با استفاده از کنترل پنل نرم افزار نسخه محصول را شناسایی کنید.
برای شناسایی نسخه از کنترل پنل محصول، لازم است، گامهای زیر را انجام دهید. کنترل پنل را باز کنید و وارد مسیر زیر شوید.
در قسمت انتهایی صفحه لیست محصولات و نسخه آن در بخش SolarWinds مانند شکل 1 نمایش داده شده است. تعداد مدخلهای این بخش متناسب با محصولات نصب شده است. توصیه میشود پس از بهروزرسانی محصولات حتما با استفاده از گامهای زیر اطمینان حاصل کنید که بهروزرسانی در تمام محصولات به درستی انجام شده است. کنترل پنل را بازکرده و وارد مسیر زیر شوید.
در انتهای صفحه در بخش SolarWinds لیست بهروزرسانیهای انجام شده مشابه آنچه در شکل2 مشاهده میکنید، نمایش داده شده است.
شکل 1- لیست محصولات و نسخه آنها
شکل 2- آخرین بهروزرسانی SolarWinds
اگر امکان بهروزرسانی برای شما وجود ندارد، لطفا راهنمایی موجود در اینجا را جهت ایمنسازی پلتفرم خود بررسی نمایید. راهکارهای پیشگری اولیه میتواند شامل قرار دادن پلتفرم در پشت یک فایروال، غیرفعالسازی دسترسی به پلتفرم از طریق اینترنت، محدود سازی پورتها باشد.
FireEye بدافزار پلتفرم SolarWinds را SUNBURST نامگذاری کرده است و مجوعه قوانینی را جهت حفاظت در برابر حملات این بدافزار خطرناک اینجا منتشر کرده است که مدیران شبکه لازم است، این قوانین را درسیستمهای تشخیص نفوذ خود اعمال نمایند. همچنین مدیران شبکه بایستی به صورت مکرر این لینک را بررسی کنند تا در صورت انتشار، از این قوانین آگاه شوند. مایکروسافت این بد افزار را Solorigate نام گذاری کرده است و مجموعه قوانینی را برای آنتی ویروس Defender را منتشر کرده است.
SolarWinds اعلام کرده است امروز (15 دسامبر سال 2020 میلادی) برای این محصول یک بهروزرسانی جدیدی منتشر خواهد کرد. توصیه میشود کاربران به محض انتشار نسخه 2020.2.1 HF 2 پلتفرم خود را به این نسخه بهروزرسانی نمایند.
شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمانها و شرکتهای دولتی و خصوصی کشور در آمادگی کامل باشند. مدیران شبکه، سیستمهای خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه شده توسط این شرکت سیستمهای تشخیص نفوذ خود را قدرتمند ساخته و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستمهای خود را بهبود ببخشند. برای مطالعه بیشتر در خصوص این خبر و اطلاع از لیست #آسیبپذیری هایی که رفع آنها برای مقابله با اثرات جانبی این حملات مفید است، اینجا کلیک کنید.