حدود یک ماه پیش گزارشی از چگونگی شکار سیستم های ویندوزی توسط ‫بدافزار Lucifer منتشر شد. این نسخه از بدافزار Lucifer نه تنها قادر به انجام حملات DDOS و استخراج ارز منرو در سیستم های ویندوزی بود؛ بلکه می توانست با بهره برداری از حفره های شناخته شده سيستم عامل ويندوز و حملات Brute-Force خط فرمان این سیستم ها را از راه دور در اختیار بگیرد. اخیراً مشخص شده است که نسخه جدید این بدافزار سیستم عامل های لینوکسی را نیز پشتیبانی می کند.
نسخه لینوکسی بدافزار دارای قابلیت های مشابه نسخه ویندوز مانند استخراج رمز ارز و انجام حملات انکار سرویس بر اساس پروتکل هایTCP ، UDP و ICMP است. همچنین در نسخه لینوکسی بدافزار امکان حمله منع سرویس بر اساس متدهای Get و Post پروتکل HTTP فراهم شده است.
نسخه جدید این بدافزار علاوه بر اینکه سیستم های لینوکسی را تحت تاثیر قرار می دهد؛ می تواند با بهره گیری ابزاری با نام MIMIKATZ اطلاعات احراز هویت کاربران را دزدیده و سطح دسترسی را در سیستم های هدف بالا ببرد.
محققان معتقد هستند که دسترسی به سیستم عامل های لینوکسی امکان دسترسی به سیستم های بیشتر را فراهم می آورد و در نتیجه باعث تولید رمز ارز بیشتری خواهد شد.
براساس گفته محققان در ابتدا استفاده از یک بات برای انجام DDOS و استخراج رمز ارز کمی غیر عادی به نظر می رسید. اما با توجه به گسترش استفاده از حملات DDOS در استخراج رمز ارز وجود یک بات همه کاره "one-stop" منطقی به نظر می رسد.
محققان امیدوار هستند که دانش کسب شده در مبارزه با نسخه ویندوزی این بدافزار راه های مقابله با نسخه لینوکسی این بدافزار را کمی راحت کند. هرچند لازم است که برای روش های حمله جدید افزوده شده راهکارهای جدید طراحی شود.
منبع:

https://www.hackread.com/windows-lucifer-malware-return-haunt-linux-devices
https://www.bleepingcomputer.com/news/security/lucifer-cryptomining-ddos-malware-now-targets-linux-…

در 19 اگوست سال جاری، سیسکو طی بیانیه‌‌ای چندین ‫آسیب‌پذیری مختلف از جمله یک آسیب‌ پذیر با شناسه CVE-2020-3446 را منتشر کرد. این آسیب پذیری محصولات سری 5400-W از CiscoENCS و سری 5000-W ازCSP را تحت تاثیر قرار می‌دهد. این محصولات در صورتی‌که نسخه 6.4.5، 6.4.3d و نسخه‌های قبل‌تر از 6.4.3d نرم افزار Virtual Wide Area Application Services with Cisco Enterprise NFV Infrastructure-bundled بر روی آن ها اجرا شود، آسیب‌پذیر هستند.
دلیل اصلی این آسیب پذیری وجود حساب کاربری با پسورد ثابت در نرم افزارهای تحت تاثیر این آسیب پذیری است. هکرها با سوءاستفاده از حساب کاربری دارای پسورد ثابت، بدون احراز هویت و از راه دور به خط فرمان NFVIS دسترسی پیدا کرده و می‌توانند دستورات خود را با اختیارات مدیریتی اجرا نمایند.
سیسکو این آسیب پذیری را در نسخه‌های 6.4.3e، 6.4.5a و نسخه های به روزتر از vWAAS with NFVIS-bundled رفع کرده است. بنابراین کاربران محصولات تحت تاثیر آسیب پذیری کافیست نرم افزارهای خود را به روزرسانی کنند.
توجه: محصولات سری 5400-W از CiscoENCS و سری 5000-W ازCSP از به روزرسانی مستقیم نسخه های قدیمی به نسخه vWAAS 6.4.3e و6.4.5a vWAASپشتیبانی نمی کنند. بنابراین ضروری است که نسخه های به روز از اول نصب شوند. برای دانلود نسخه های به روزتر کافی است پس از ورود به بخش دانلودها در سایت شرکت سیسکو مراحل زیر را طی کنید.
• بر روی Browse all کلیک کنید.
• وارد بخش Routers > Wan Optimization > Wide Area Application Services (WAAS) Software > Wide Area Application Services (WAAS) Softwar شوید.
• نسخه مورد نظر را از پنل سمت چپ Wide Area Application Services (WAAS) انتخاب کنید.
• نرم افزار WAAS Unified Package را برای ENCS-W و CSP-W دانلود کنید.
منبع:

https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-041.pdf
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-waas-encsw-cspw-cred…

طبق تحقیقات انجام شده، ‫بدافزار Drovorub شامل مولفه‌های کاشت (implant)، سرور (C2 (Command and Control، انتقال فایل، انتقال پورت و روت کیت است. زمانی‌که بدافزار بر روی سیستمی مستقر شود؛ کلاینت بدافزار یعنی مولفه implant امکان ارتباط مستقیم با زیر ساخت C2، قابلیت آپدیت و دانلود فایل، اجرای دستور به عنوان “root” و انتقال پورت و ترافیک شبکه به هاست‌های دیگر شبکه را فراهم می‌آورد.
کاربران و مدیران سیستم‌های حوزه IT در راستای جلوگیری از هرگونه آلودگی و تحت تاثیر قرار گرفتن توسط این بدافزار لازم است که کرنل سیستم‌عامل لینوکسی خود را به نسخه های 3.7 یا بالاتر (آخرین نسخه کرنل لینوکس منتشر شده 5.8.1 است.) به‌روزرسانی کنند. ویژگی signing موجود در نسخه های به روزتر از 3.7 کرنل لینوکس با کنترل ماژول ها بر اساس امضای دیجیتال مانع از اجرای ماژول های بدون امضاء یا با کلید امضای غلط می گردد. ماژول CONFIG_MODULE_SIG در نسخه های به روزتر از 3.7 کرنل لینوکس پس از فعالسازی و راه اندازی مانع از نصب و اجرای بدافزار Drovorub می شود.
منبع:

https://kc.mcafee.com/corporate/index?page=content&id=KB93241
https://www.zdnet.com/article/fbi-and-nsa-expose-new-linux-malware-drovorub-used-by-russian-state-h…

مایکروسافت به تازگی مجموعه‌­ای از به­‌روزرسانی‌­ها را برای 13 محصول مختلف خود منتشر کرده است که 120 ‫آسیب‌پذیری را در این محصولات رفع می‌­کند. 17 مورد از این آسیب­‌پذیری‌­ها بحرانی هستند و دو مورد از آن­ها، آسیب­‌پذیری روز صفرم می­‌باشند که قبل از انتشار این به‌­روزرسانی توسط هکرها بهره­‌برداری شده‌­اند. جهت مطالعه بیشتر اینجا کلیک کنید.
همچنین فایل ضمیمه با نام "Affected_product .xlsx" شامل لیست تمام محصولات تحت تاثیر، مقاله KBمرتبط و آدرس فایل دانلود به‌روزرسانی همه نسخه­‌های نیازمند به­‌روزرسانی می‌­باشد.

پشته شبکه Treck TCP/IP به طور گسترده در بسیاری از سازمان‌ها و صنایع، به خصوص در بخش‌های مرتبط با دستگاه‌های IoT مستقر در سازمان‌ها، بخش‌های کنترل صنعت، مراقبت‌های بهداشتی و موارد دیگر مورد استفاده قرار می‌گیرد. از زمان کشف زنجیره 19 آسیب‌پذیری با نام Ripple20، سازمان‌های امنیتی به دنبال روش‌هایی برای محافظت سازمان خود در برابر این آسیب‌پذیری‌ها بوده‌اند. توسعه دهندگان در صنایع متفاوتی در تلاش‌اند تا وصله‌هایی را برای این نقض‌های امنیتی ارائه دهند. تولید این وصله‌ها به زمان زیادی نیاز دارد.

به بسیاری از این آسیب‌پذیری‌ها بر اساس عواملی از قبیل سختی بهره‌برداری، دسترسی محلی یا از راه دور و شدت تأثیر، شدت کمتری اختصاص یافت. با این حال چهار مورد از آن‌ها شدت بالایی داشته و به راحتی مورد بهره‌برداری قرار می‌گیرند. تأثیر این آسیب‌پذیری‌ها از حملات «انکار سرویس» تا بهره‌برداری «اجرای کد از راه دور از طریق اینترنت» متفاوت است. به منظور تشخیص و جلوگیری از بهره‌برداری از چهار مورد از آسیب‌پذیری‌های بحرانی Ripple20 و حملات مرتبط با آن، متخصصان امنیتی در شرکت McAfee ATR با همکاری شرکت JSOF (کاشف این آسیب‌پذیری‌ها) روش‌هایی جهت تشخیص ماشین‌های آسیب‌پذیر و ruleهای Suricata برای IDSها، طراحی کرده است. جهت مطالعه بیشتر اینجا کلیک کنید.

به اطلاع کلیه فعالان حوزه فناوری اطلاعات کشور می رساند که کد Exploit جهت بهره برداری از ‫آسیب‌پذیری روز صفرم موجود در نرم‌افزار ایجاد فروم Vbulletin به صورت عمومی منتشر شده‌است. این آسیب‌پذیری در نسخه 5.XX از این نرم‌افزار وجود دارد و مهاجمان با بهره‌برداری از آن می‌توانند از راه دور کد مخرب خود را بر روی سرور این نرم‌افزار اجرا کنند. Vbulletin برای ایجاد فروم مورد استفاده قرار گرفته و مبتنی بر PHP و پایگاه داده MySQL است.
در سپتامبر 2019 آسیب‌پذیری اجرای کد از راه دوری با شناسه CVE-2019-16759 به صورت عمومی برای Vbulletin منتشر شده بود که نسخه‌های 5.0 تا 5.4 از این محصول را تحت تاثیر قرار می‌داد. این آسیب‌پذیری به دلیل امکان اجرا از راه دور و راحتی بهره‌برداری به عنوان آسیب‌پذیری با شدت "Critical" دسته‌بندی شده است و دارای امتیاز 9.8 از 10 می‌باشد. با دور زدن وصله منتشر شده برای این آسیب‌پذیری قدیمی قابلیت اجرای کد از راه دور در این فروم‌ساز فراهم شده است.
Vbulletin به سرعت وصله‌ای را برای این محصول آسیب‌پذیر منتشر کرده است. بنابراین تمام سایت‌هایی که از نسخه‌های پایینتراین نرم‌افزار استفاده کرده‌اند، باید به نسخه 5.6.2 بروزرسانی شوند. همچنین کاربرانی که ازProduction servers استفاده می‌کنند، برای رفع این آسیب‌پذیری باید تنظیمات زیر را انجام دهند:

1. سایت را در حالت Debug mode قرار دهید.
2. وارد AdminCP شوید.
3. به بخش Styles -> Style Manager بروید.
4.  لیست تمپلیت‌های MASTER style را باز کنید.
5. به بخش Template Module بروید.
6. widget_php را انتخاب کنید.
7. دکمه Revert را کلیک کنید.
8. به این ترتیب شما تمپلیت ماژول آسیب‌پذیر را به کلی حذف خواهید کرد و ماژول PHP آسیب‌پذیر غیر قابل اجرا خواهد شد.

منبع:

https://www.bleepingcomputer.com/news/security/vbulletin-fixes-ridiculously-easy-to-exploit-zero-day-rce-bug/

محققان امنیتی ابتدا در سال 2019 در خصوص یک ‫آسیب‌پذیری که بر محصول VPN شرکت Pulse Secure تأثیر می‌گذارد هشدار دادند، این آسیب‌پذیری با شناسه "CVE-2019-11510"، شدت بحرانی و با score 10، به مهاجمان اجازه می‌دهد تا از راه دور و به صورت غیرمجاز به شبکه‌ شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور لاگ‌ها و گذرواژه‌هایی با متن ساده، ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند؛ تا آن که در تاریخ 4 آگوست 2020 یک هکر، لیستی از آدرس IP بیش از 900 سرور Pulse Secure VPN و همچنین نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده بود منتشر کرد که تحت تأثیر این آسیب‌پذیری بحرانی قرار گرفته‌اند.
کارشناسان امنیتی وبسایت ZDNet که نسخه‌ای از این لیست را با کمک شرکت اطلاعاتی KELA بدست آورده است نیز صحت این موضوع را تأیید می‌کنند. این لیست شامل IP آدرس‌ سرورهای Pulse Secure VPN ، سرور Pulse Secure VPN نسخه firmware، کلیدهای SSH هر سرور، لیستی از تمامی کاربران محلی و رمزهای عبور هش شده آن‌ها، جزئیات حساب کاربری مدیر، آخرین ورودهای VPN(شامل نام‌های کاربری و رمزهای عبوری که از الگویی ساده برای انتخاب کاراکترهای آن‌ها استفاده شده است) وکوکی‌های VPN session است.
از بین 913 آدرس IP منحصربفرد پس از بررسی‌های صورت گرفته توسط اسکنرهای Bad Packets CTI تعداد 677 مورد از این آدرس‌ها در سال گذشته ‌هنگام اکسپلوت عمومی این آسیب‌پذیری، نسبت به آن آسیب‌پذیر بوده‌اند؛ همچنین در بین لیست منتشر شده، مشخص شده است که 677 شرکت از نخستین اسکن Bad Packets در سال گذشته، هنوز وصله نشده‌اند؛ حتی اگر این شرکت‌ها سرورهایPulse Secure خود را وصله کنند، جهت جلوگیری از سوءاستفاده هکرها، باید رمزهای عبور خود را تغییر دهند. لیست مذکور در یک تالارگفتگو در بین هکرها به اشتراک گذاشته شده است تا مورد سوءاستفاده قرار گیرد. بسیاری ازاین باندها با استفاده از سرورهای Pulse Secure VPN وارد شبکه‌های سازمانی شده و از قربانیان طلب باج خواهند کرد. نکته مهم آن است که سرورهای Pulse Secure VPN معمولأ به عنوان gateway دسترسی به شبکه‌های شرکتی، مورد استفاده قرار می‌گیرند تا کارکنان آن‌ها بتوانند از طریق اینترنت و از راه دور به اپلیکیشن‌های داخلی وصل شوند.
تحلیلگری به نام Bank Security و کسی که در همان لحظات اولیه از لیست مذکور اطلاع پیدا کرد و آن را با ZDNet به اشتراک گذاشت، نظر جالبی درخصوص این لیست و محتوای آن بیان نمود؛ به گفته وی، تمامی سرورهای Secure VPN موجود در لیست، نسخه‌ای از firmware را اجرا می‌کنند که نسبت به این نقص آسیب‌پذیر هستند؛ وی معتقد است هکری که این لیست را منتشر کرده است، تمامی فضای آدرس IPv4 اینترنت را برای سرورهای Pulse Secure VPN اسکن کرده است.

برای مقابله با این آسیب‌پذیری و جلوگیری از تحت تأثیر قرار گرفتن سرورها، هر چه سریع‌تر وصله‌های امنیتی منتشر شده توسط Pulse Secure را اعمال کنید و اگر سازمان شما از Pulse Connect Secure استفاده می‌کند، در اسرع وقت نسبت به اعمال وصله امنیتی منتشر شده اقدام کنید.

منابع:

[1] https://www.zdnet.com/google-amp/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/
[2] tenable.com/blog/cve-2019-11510-critical-pulse-connect-secure-vulnerability-used-in-sodinokibi-ransomware
[3] https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/

‫آسیب‌پذیری با شناسه CVE-2020-10713 تحت عنوان BootHole در بوت‌لودر GRUB2 به مهاجمان امکان بهره‌برداری موفق از این آسیب‌پذیری با دور زدن Secure Boot و سطح دسترسی بالا به صورت مخفیانه و ماندگار در سیستم‌های هدف را می دهد. قابلیت Secure Boot یک ویژگی امنیتی از Unified Extensible Firmware Interface (UEFI) است که از یک بوت‌لودر برای بارگیری اجزای حساس، وسایل جانبی و سیستم‌عامل استفاده می‌کند. این آسیب‌پذیری دارای شدت 2‏.‏8 از 10 و یک آسیب‌پذیری سرریزبافر است که در GRUB2، هنگام تجزیه‌ی فایل grub.cfg رخ می‌دهد و تمام نسخه‌های GRUB2 تحت تأثیر این آسیب‌پذیری قرار دارند.
فایل grub.cfg یک فایل متنی بوده و همانند سایر فایل‌ها یا فایل‌های اجرایی امضاء نشده است. همین امر فرصت را برای مهاجمان فراهم می‌آورد تا مکانیسم‌ hardware root of trust را بشکنند و امکان اجرای کد دلخواه را در محیط اجرایی UEFI به دست آورند، که این امر می‌تواند برای اجرای بدافزار، تغییر فرآیند بوت، وصله‌ی مستقیم هسته‌ی سیستم‌عامل و یا هر اقدام مخرب دیگری مورد سوءاستفاده قرار گیرد. جهت مطالعه بیشتر اینجا کلیک کنید.

شرکت سیسکو در تاریخ 29 جولای سال 2020، با انتشار چند بروزرسانی امنیتی، چندین ‫آسیب‌پذیری را وصله کرد؛ این آسیب‌پذیری‌ها با شناسه‌های CVE-2020-3382، CVE-2020-3375 و CVE-2020-3374 به ترتیب مربوط به دور زدن فرآیند احراز هویت، سرریز بافر و دورزدن فرآیند تخصیص منابع می‌باشند؛ علاوه بر این شرکت سیسکو در تاریخ 17 جون سال 2020 برای برخی آسیب‌پذیری‌های بحرانی مربوط به Treck IPstack، با شناسه‌های CVE-2020-11896 تا CVE-2020-11914، بروزرسانی v1.7 را منتشر کرده است. همچنین به روزرسانی‌های امنیتی دیگری جهت رفع 8 آسیب‌پذیری با شدت بالا و متوسط که بر روی چندین نسخه نرم افزار DCNM تأثیر می‌گذارند، منتشر شده است، شناسه‌ این آسیب‌پذیری‌هابه صورت ذیل است:
CVE-2020-3377, CVE-2020-3384, CVE-2020-3383, CVE-2020-3386, CVE-2020-3376, CVE-2020-3460, CVE-2020-3462, CVE-2020-3461
جهت مطالعه بیشتر اینجا کلیک نمایید.

شرکت D-Link به رفع پنج ‫آسیب‌پذیری موثر بر روی روترهای این شرکت با شدت‌های متوسط، بالا و بحرانی پرداخته است. با اکسپلویت این آسیب‌پذیری‌ها توسط مهاجمان، روترهای آسیب‎پذیر و به دنبال آن، شبکه به خطر خواهد افتاد. متأسفانه برخی از روترهای تحت تأثیر این آسیب‌پذیری‌ها، به وضعیت‌هایEOS و یا EOL رسیده و این شرکت دیگر از آن‌ها پشتیبانی نخواهد کرد و این بدان معناست که بروزرسانی‌های امنیتی را نیز دریافت نخواهند کرد. بر اساس گزارش‌های منتشر شده، روتر‌های DAP-1522 و DIR-816L که از جانب شرکت D-Link پشتیبانی نمی‌شوند، تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. این دستگاه‌ها، فریمورهای نسخه v1.42 و v12.06.B09 و قبل‌تر را اجرا می‌کنند و در حال حاضر بروزرسانی‌های امنیتی منتشر شده را دریافت نخواهند کرد. برای مطالعه بیشتر اینجا کلیک کنید.