Fortinet، یک شرکت بزرگ در زمینه امنیت سایبری است که محصولات و خدمات مختلفی از جمله فایروال‌ها، روترها، دستگاه‌های VPN، مدیریت شبکه، SIEM (یک ابزار امنیتی که برای جمع‌آوری، تجزیه‌ و تحلیل و نظارت بر اطلاعات و رویدادهای امنیتی استفاده می‌شود) و EDR/XD (راهکارهای امنیتی که برای شناسایی، ردیابی و واکنش به تهدیدات در نقاط انتهایی (Endpoints) مانند لپ‌تاپ‌ها، دسکتاپ‌ها و دستگاه‌های موبایل استفاده می‌شوند) را به مشتریان خود ارائه می‌دهد.
یک مهاجم سایبری ادعا کرده که 440 گیگابایت داده را از سرور Azure Sharepoint شرکت Fortinet (سرویس ابری جامع مایکروسافت که مجموعه‌ای از خدمات محاسباتی، ذخیره‌سازی، شبکه و تحلیل داده‌ها را ارائه می‌دهد) بهره‌برداری کرده است. این مهاجم همچنین لینک دسترسی به یک فضای ذخیره‌سازی ابری را به اشتراک گذاشته است که داده‌ در آن ذخیره شده، هرچند صحت این ادعا هنوز به طور کامل تأیید نشده است.
Fortinet در پاسخ به این حادثه اعلام کرد که مهاجم به تعداد محدودی از فایل‌ها دسترسی پیدا کرده است. این فایل‌ها شامل اطلاعات مربوط به تعداد محدودی از مشتریان بوده و از یک "فضای ذخیره‌سازی ابری مشترک شخص ثالث" به بهره‌برداری رسیده‌اند. این نقص امنیتی بیشتر به دلیل پیکربندی اشتباه یا مدیریت نادرست دسترسی به فضای ابری بوده، و عواملی مانند استفاده از اعتبارنامه‌های ضعیف یا اشتراک‌گذاری نادرست فایل‌ها در فضای ابری، احتمال دسترسی مهاجم غیرمجاز به این اطلاعات را داده‌اند.
طبق گفته Fortinet، کمتر از 0.3 درصد از مشتریان تحت تأثیر قرار گرفته‌اند و هیچ فعالیت مخربی متوجه آنها نشده است.

محصولات آسیب‌پذیر
طبق اطلاعات منتشرشده، این حمله تنها به فضای ذخیره‌سازی ابری مشترک مرتبط بوده و به سایر محصولات Fortinet مانند فایروال‌ها، روترها، یا سرویس‌های EDR/XDR دسترسی نداشته‌اند.

توصیه‌های امنیتی
برای جلوگیری از بروز این نوع از حملات و بهبود امنیت به کاربران توصیه می‌شود، که دسترسی‌های مرتبط با داده‌های حساس مورد بازبینی و محدودسازی قرار گیرد و از احراز هویت چند عاملی (MFA) برای دسترسی به فضاهای ذخیره‌سازی ابری استفاده شود.


منبع خبر:

    https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to…

 آسیب‌پذیری با شناسه CVE-2024-6678 و شدت 9.9 (بحرانی) از نوع کنترل نادرست دسترسی (Improper Access Control) در GitLab کشف شده است، این نقص امنیتی زمانی رخ می‌دهد که یک سیستم به‌ درستی دسترسی‌ها را محدود نکرده‌‌ باشد و این امکان را برای مهاجم و یا فرآیندهای غیرمجاز فراهم کند، که به منابع داده دسترسی پیدا کنند، این آسیب‌پذیری در GitLab CI/CD وجود دارد. که در GitLab به‌ منظور اتوماسیون فرآیندهای توسعه نرم‌افزار مانند کامپایل، تست، و استقرار استفاده می‌شوند. و مهاجم با هر سطح دسترسی می‌تواند به‌ صورت غیرمجاز pipeLine را اجرا کند.
این حمله می‌تواند به اجرای کد مخرب در سرورها، دسترسی به داده‌های حساس یا ایجاد تغییرات غیرمجاز در فرآیندهای توسعه منجر شود، که تهدیدی جدی برای امنیت سیستم محسوب می‌شود.

محصولات آسیب‌پذیر
GitLab Community Edition (CE) و GitLab Enterprise Edition (EE) ازنسخه 8.14 تا قبل از17.1.7 و نسخه‌های 17.2 تا قبل از 17.2.5 و نسخه‌های 17.3 تا قبل از 17.3.2 تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که  در اسرع وقت محصولات تحت تاثیر را به نسخه‌های 17.3.2، 17.2.5، و 17.1.7 ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2024/09/urgent-gitlab-patches-critical-flaw.html?m=1
[2] https://www.cve.org/CVERecord?id=CVE-2024-6678

دو آسیب‌پذیری در نرم‌افزار Adobe Acrobat Reader با شناسه‌های CVE-2024-41869 و CVE-2024-45112 کشف شده‌ است که امکان اجرای کدهای مخرب را فراهم می‌کنند و خطرات جدی را برای کاربران به همراه دارند.
آسیب‌پذیری با شناسه CVE-2024-41869 یک نقص امنیتی از نوع Use After Free با شدت 7.8 (بالا) است، و زمانی رخ می‌دهد که برنامه تلاش می‌کند به داده‌های آزاد شده در حافظه دسترسی پیدا کند و منجر به خرابی کامل برنامه یا اجرای کد مخرب می‌‌شود. در این آسیب‌پذیری مهاجم می‌تواند با استفاده از یک فایل PDF مخرب، برنامه را وادار به دسترسی حافظه آزاد شده کند و از این طریق کدهای مخرب را اجرا کند.
آسیب‌پذیری CVE-2024-45112 نیز یک نقص امنیتی از نوع Type Confusion با شدت 8.6 (بحرانی ) می‌باشد، این نقص زمانی رخ می‌دهد که نرم‌افزار نوع داده‌ها را به اشتباه پردازش می‌کند و مهاجم از طریق این آسیب‌پذیری می‌تواند کنترل کاملی بر سیستم قربانی به‌دست آورد و دستورات مخرب را اجرا کند.

محصولات آسیب‌پذیر
تمام نسخه‌‌های Adobe Acrobat و Adobe Acrobat Reader قبل از آخرین به روزرسانی ماه سپتامبر تحت تاثیر این آسیب‌پذیری ها قرار گرفته‌اند.
توصیه‌های امنیتی
به کاربران توصیه می‌شود که در اسرع وقت Adobe Acrobat Reader و Adobe Acrobat نرم‌افزار خود را به ‌روزرسانی کنند و از باز کردن فایل‌های PDF ناشناخته خودداری نمایند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/adobe-fixes-acrobat-reader-zero-day-with-public-poc-…
[2] https://helpx.adobe.com/security/products/acrobat/apsb24-70.html

یک حمله جانبی نوین شناسایی شده‌ است که از انتشار امواج رادیویی توسط حافظه رم (RAM) به‌عنوان ابزاری برای استخراج داده‌ها بهره می‌برد و تهدیدی جدی برای شبکه‌های ایزوله از اینترنت (air-gapped networks) به شمار می‌رود. شبکه ایزوله به نوعی از شبکه‌ها گفته می‌شود که به‌طور کامل از سایر شبکه‌ها، به‌ویژه اینترنت، جدا شده‌ باشد. این نوع شبکه‌ها هیچ‌گونه ارتباطی با شبکه‌های خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند داده‌های مالی، نظامی یا امنیتی استفاده می‌شوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث می‌شود که شبکه‌ها به‌طور کلی از حملات سایبری و دسترسی‌های غیرمجاز مصون بمانند.
این تکنیک حمله‌ی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنال‌های رادیویی تولید شده از طریق نرم‌افزار، می‌تواند داده‌های حساسی همچون فایل‌ها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده می‌کند تا سیگنال‌های رادیویی خام را از فاصله‌ای معین دریافت کرده و سپس آن‌ها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرم‌افزار یا SDR) یک فناوری رادیویی است که در آن بخش عمده‌ای از پردازش سیگنال‌ها که معمولاً توسط سخت‌افزار انجام می‌شد، از طریق نرم‌افزار انجام می‌شود. در واقع SDR ترکیبی از سخت‌افزار و نرم‌افزار است. بخش سخت‌افزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنال‌های رادیویی را دریافت یا ارسال می‌کنند، اما پردازش این سیگنال‌ها و تفسیر داده‌ها از طریق نرم‌افزار انجام می‌شود. این روش انعطاف‌پذیری زیادی دارد و به کاربران اجازه‌ی تحلیل و کنترل امواج رادیویی را با استفاده از برنامه‌های مختلف می‌دهد.
مانند بسیاری از حملات مشابه، پیش‌نیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که می‌تواند از طریق روش‌هایی همچون استفاده از افراد نفوذی، حافظه‌های USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعال‌سازی بدافزار و ایجاد کانال مخفی برای استخراج داده‌ها را فراهم می‌کند.
در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنال‌های رادیویی در فرکانس‌های زمانی تولید می‌کند. این سیگنال‌ها با استفاده از روش Manchester کدگذاری شده و از فاصله‌ای قابل توجه دریافت می‌شوند. تولید سیگنال‌های رادیویی در فرکانس‌های زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنال‌های الکترومغناطیسی با الگوهای مشخص و در بازه‌های زمانی خاص تولید می‌کند. به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید می‌شوند که می‌توانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات به‌کار روند. این سیگنال‌ها حاوی داده‌هایی هستند که در حافظه دستگاه وجود دارند و می‌توان با تکنیک‌های کدگذاری آن‌ها را دریافت و تفسیر کرد.
اطلاعات کدگذاری‌شده می‌تواند شامل ضربات کلید، اسناد و داده‌های بیومتریک باشد. مهاجم از طریق SDR این سیگنال‌ها را دریافت کرده، آن‌ها را رمزگشایی و داده‌های استخراج‌شده را بازیابی می‌کند.
Rambo امکان استخراج داده‌ها از کامپیوترهای ایزوله مجهز به پردازنده‌های Intel i7 با سرعت 3.6 گیگاهرتز و 16 گیگابایت رم را با سرعت 1000 بیت بر ثانیه فراهم می‌کند. ضربات کلید نیز به‌صورت آنی با نرخ 16 بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت 1000 بیت بر ثانیه استخراج می‌شوند. برای مثال، یک کلید رمزنگاری RSA به طول 4096 بیت می‌تواند در مدت 41.96 ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری می‌تواند در مدت زمان 4.096 ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایل‌های .jpg) و اسناد متنی کوچک (.txt و .docx) می‌توانند در زمان‌هایی از 400 ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند.
این یافته‌ها نشان می‌دهند که کانال مخفی RAMBO می‌تواند برای نشت اطلاعات کوتاه طی دوره‌های زمانی محدود مورد استفاده قرار گیرد.
محققان در سال‌های اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکه‌های ایزوله توسعه داده‌اند. از جمله این روش‌ها می‌توان به بهره‌برداری از کابل‌های Serial ATA، ژیروسکوپ‌های MEMS، LEDهای کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شده‌اند، شامل استخراج داده‌ها از طریق امواج صوتی تولید شده توسط فن‌های کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوق‌های داخلی مادربورد و همچنین نمایشگرها و LEDهای پرینتر می‌شوند.
سال گذشته نیز حمله‌ای به نام AirKeyLogger  معرفی شد که بدون نیاز به سخت‌افزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظه‌ای ضربات کلید را به مهاجمان می‌داد.
در آن حمله، برای نشت داده‌های محرمانه، فرکانس‌های کاری پردازنده دستکاری می‌شدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه به‌واسطه ضربات کلید ماژوله شده و از فاصله‌ای معین قابل دریافت باشد.

توصیه‌های امنیتی
از جمله اقدامات پیشگیرانه برای مقابله با این حمله می‌توان به استفاده از محدودیت‌های مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیت‌هایی مربوط به تفکیک مناطق فیزیکی یا شبکه‌ای که در آن‌ها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته می‌شوند)، بهره‌گیری از سیستم‌های تشخیص نفوذ، نظارت بر دسترسی‌های حافظه در سطح هایپروایزر، استفاده از مسدودکننده‌های رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.

منبع خبر:

[1] https://thehackernews.com/2024/09/new-rambo-attack-uses-ram-radio-signals.html?m=1

آسیب‌پذیری با شناسه CVE-2024-8584 و شدت ۹.۸ (بحرانی) که یک ضعف در سیستم مدیریت منابع انسانی Orca HCM از شرکت Learning Digital است، به دلیل عدم کنترل صحیح دسترسی به یک عملکرد خاص رخ می‌دهد که به مهاجم غیرمجاز اجازه می‌دهد با استفاده از این عملکرد، حساب کاربری با سطح دسترسی مدیر ایجاد کند و از آن برای ورود به سیستم استفاده کند. این امر می‌تواند این امکان را برای مهاجم فراهم کند، تا به داده‌های حساس سیستم دسترسی پیدا کرده و آنها را تغییر دهد و یا حذف کند، و منجر به از دست رفتن محرمانگی، یکپارچگی و دسترسی‌پذیری سیستم شود.

محصولات تحت‌تأثیر
تمامی نسخه‌های Orca HCM تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که دسترسی به سیستم Orca HCM را محدود کنند و تنها به IPهای قابل اعتماد یا از طریق VPN اجازه اتصال دهند.
سیستم Orca HCM را از منابع شبکه‌ای حیاتی دیگر جدا کنید تا از گسترش احتمالی حملات جلوگیری شود.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-8584

یک آسیب‌پذیری با شناسه CVE-2024-43491 و شدت ۹.۸ (بحرانی) در مایکروسافت ویندوز 10 کشف شده است که آسیب‌پذیری‌های وصله شده قبلی را بی اثر کرده و باعث شده است که ویندوز 10 در برابر آسیب‌پذیری‌های رفع شده همچنان آسیب‌پذیر باشد.

محصولات تحت‌تأثیر
نسخه 1507 ویندوز 10 که به‌روزرسانی امنیتی مارس 2024 (KB5035858) یا به‌روزرسانی‌های بعدی تا آگوست 2024  در آن اعمال شده است، تحت تاثیر آسیب‌پذیری ذکر شده قرار دارد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود ابتدا Servicing Stack Update (SSU) سپتامبر 2024 (KB5043936) و سپس به‌‌روزرسانی امنیتی سپتامبر 2024 (KB5043083) را نصب کنند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-43491

دو آسیب‌پذیری در افزونه LearnPress  با شناسه‌های CVE-2024-8522 و CVE-2024-8529 و شدت 0.10 (بحرانی) ، در نقاط ورودی /wp-json/learnPress/v1/courses  و  /wp-json/lp/v1/courses/archive-course کشف شده است، که به مهاجمان احراز هویت نشده این اجازه را می‌دهد تا Queryهای اضافی در SQL را از بین ببرد و اطلاعات حساس را از پایگاه داده استخراج کند.

محصولات تحت تاثیر
نسخه‌ی ۴.۲.۷ وتمام نسخه‌‌های قبل از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه بالاتر 4.2.7.1 ارتقاء دهند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8522
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/learnpress/learnpress-word…

یک آسیب‌پذیری XSS با شناسه CVE-2024-4585 و شدت 9.0 (بحرانی) در تمام نسخه‌های پلتفرم MindsDB کشف شده است که هر زمان کاربر یک موتور ML، پایگاه داده، پروژه یا مجموعه داده حاوی کد جاوا اسکریپت دلخواه را در رابط کاربری وب فراخوانی کند، امکان اجرای کد جاوا اسکریپت دلخواه را فراهم می‌کند.
 

محصولات تحت تاثیر

تمام نسخه‌های MindsDB v23.11.4.2 تا v24.7.4.1  تحت تاثیر این آسیب‌‌پذیری قرار گرفته‌اند.
 

توصیه‌های امنیتی
باید تمامی ورودی‌های کاربر پیش از ذخیره شدن یا نمایش در صفحه، به درستی پاکسازی و فیلتر شوند.
استفاده از CSP از اجرای کدهای جاوااسکریپت غیرمجاز جلوگیری می‌کند.
هنگام نمایش داده‌های کاربر از مکانیزم‌های امن‌سازی کدهای HTML و جاوااسکریپت استفاده شود.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-45856
[2] https://hiddenlayer.com/sai-security-advisory/2024-09-mindsdb

به تازگی چند آسیب‌­پذیری بحرانی در برخی از روترهای TOTOLINK کشف شده­ است،که مهاجم می‌تواند از راه دور به این روترها دسترسی داشته باشد و اطلاعات کاربران را افشا کند و هر زمان که بخواهد آن را تغییر دهد. جزئیات دیگر این آسیب­‌پذیری­‌ها در جدول زیر آورده شده­‌اند.

محصولات تحت‌تأثیر

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-8573

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-8575

[3] https://nvd.nist.gov/vuln/detail/CVE-2024-8576

[4] https://nvd.nist.gov/vuln/detail/CVE-2024-8577

[5] https://nvd.nist.gov/vuln/detail/CVE-2024-8578

[6] https://nvd.nist.gov/vuln/detail/CVE-2024-8579

[7] https://nvd.nist.gov/vuln/detail/CVE-2024-8580

آسیب‌پذیری کشف شده در سرویس SSL-VPN SonicWall، یک نقص جدی از نوع اجرای کد از راه دور (RCE) است. این آسیب‌پذیری به مهاجمان امکان می‌دهد بدون نیاز به احراز هویت، کنترل کاملی بر سیستم آسیب‌دیده اعمال کنند. این نوع آسیب‌پذیری‌ها از خطرناک‌ترین تهدیدات سایبری محسوب می‌شوند، زیرا مهاجمان را قادر می‌سازند تا به صورت مستقیم به شبکه نفوذ کرده و به اطلاعات حساس دسترسی پیدا کنند.
برای بهره‌برداری از این آسیب‌پذیری، مهاجمان نیازی به داشتن اطلاعات حساب کاربری یا رمز عبور ندارند. تنها با ارسال یک درخواست HTTP یا HTTPS خاص می‌توانند به سیستم نفوذ کنند و اقدامات دلخواه را انجام دهند. این آسیب‌پذیری به مهاجمان امکان می‌دهد تا عملیات مخربی مانند سرقت داده‌ها، اختلال در خدمات، گروگان‌گیری داده‌ها (ransomware) را انجام داده و حتی کنترل کامل شبکه را به دست گیرند.
مهاجمان با بهره‌برداری از این آسیب‌پذیری، قادرند به شبکه‌های قربانیان نفوذ کرده و باج‌افزارهایی را مستقر کنند. این باج‌افزارها، سیستم‌ها و داده‌های حساس را رمزنگاری کرده و از قربانیان درخواست باج می‌کنند تا در ازای رمزگشایی اطلاعات، مبلغی را پرداخت کنند.

محصولات تحت‌تاثیر

•  SonicWall Firewall Gen 5
•  SonicWall Gen6 Firewalls
• SonicWall Gen7 Firewalls

توصیه‌های امنیتی
شرکت SonicWall توصیه کرده که کاربران هرچه سریع‌تر دستگاه‌های خود را به آخرین نسخه‌های SonicOS به‌روزرسانی کنند.
تا زمانی که به‌روزرسانی‌ها نصب نشده‌اند، دسترسی WAN را به بخش مدیریت دستگاه‌های فایروال از منابع اینترنت قطع کنید.

منبع‌خبر:

https://www.bleepingcomputer.com/news/security/critical-sonicwall-sslvpn-bug-exploited-in-ransomwar…