ID: IRCNE2013112020
Date: 2013-11-20

According to "computerworld", attackers are actively exploiting a known vulnerability to compromise JBoss Java EE application servers that expose the HTTP Invoker service to the Internet in an insecure manner.
At the beginning of October security researcher Andrea Micalizzi released an exploit for a vulnerability he identified in products from multiple vendors including Hewlett-Packard, McAfee, Symantec and IBM that use 4.x and 5.x versions of JBoss. That vulnerability, tracked as CVE-2013-4810, allows unauthenticated attackers to install an arbitrary application on JBoss deployments that expose the EJBInvokerServlet or JMXInvokerServlet.
Researchers from security firm Imperva have recently detected an increase in attacks against JBoss servers that used Micalizzi's exploit to install the original pwn.jsp shell, but also a more complex Web shell called JspSpy.
Over 200 sites running on JBoss servers, including some that belong to governments and universities have been hacked and infected with these Web shell applications, said, director of security strategy at Imperva.
In a 2011 presentation about the multiple ways in which unsecured JBoss installations can be attacked, security researchers from Matasano Security estimated, based on a Google search for certain strings, that there were around 7,300 potentially vulnerable servers.
According to Shteiman, the number of JBoss servers with management interfaces exposed to the Internet has more than tripled since then, reaching over 23,000.
One reason for this increase is probably that people have not fully understood the risks associated with this issue when it was discussed in the past and continue to deploy insecure JBoss installations, Shteiman said. Also, some vendors ship products with insecure JBoss configurations, like the products vulnerable to Micalizzi's exploit, he said.
Products vulnerable to CVE-2013-4810 include McAfee Web Reporter 5.2.1, HP ProCurve Manager (PCM) 3.20 and 4.0, HP PCM+ 3.20 and 4.0, HP Identity Driven Manager (IDM) 4.0, Symantec Workspace Streaming 7.5.0.493 and IBM TRIRIGA. However, products from other vendors that have not yet been identified could also be vulnerable.
The Red Hat security team has also been aware of this issue affecting certain versions of the JBoss Enterprise Application Platform, Web Platform and BRMS Platform since 2012 when it tracked the vulnerability as CVE-2012-0874. The issue has been addressed and current versions of JBoss Enterprise Platforms based on JBoss AS 4.x and 5.x are no longer vulnerable, the team said.

ID: IRCNE2013112019
Date: 2013-11-20

According to "computerworld", unknown attackers have successfully hijacked and redirected Internet traffic belonging to financial services companies, VoIP providers and governments many times over the past year.
Internet monitoring firm Renesys says it's observed such hijacked traffic during at least 60 days in 2013.
A total of about 1,500 individual IP blocks from 150 cities around the world have been intercepted, inspected and possibly compromised in incidents lasting from a few minutes to several days, the company said today.
Throughout February, for instance, online traffic at numerous financial services companies, network service providers and government agencies in the U.S. South Korea, Germany, the Czech Republic, Iran and other countries was redirected to an Internet Service Provider in Belarus.
Similarly, in May and again in July, Internet traffic from a large U.S. providers of managed network services was hijacked and routed through IP addresses owned by an Icelandic ISP.
In these and other cases, the intercepts were enabled through so-called "Man-in-the-Middle" attacks, when traffic flowing between two points is briefly rerouted to another location and then released back its original path. Such redirections allow attackers to surreptitiously inspect and modify traffic.
BGP routers, which direct traffic between autonomous systems on the Internet, can be accessed by hackers to spoof the IP address of another entity to misdirect traffic there, Madory said. It's difficult to determine that the activity is criminal because such misdirection often occurs due to human error -- such as transposing the digits in an Internet address space. In most cases, such inadvertent misdirection is quickly caught and remedied.
Madory said it's likely the misdirection to the Iceland and Belarus ISPs found by Renesys earlier this year was deliberate. It is likely that people with access to BGP routers at these ISPs created the spurious routes unbeknownst to the ISPs or the victims, he added.
The attackers appear to have found a way to redirect only small portions of traffic bound for a specific destination to avoid being detected, Madory said.

ID: IRCNE2013112018
Date: 2013-11-20

According to "techworld", HP says security testing it conducted on more than 2,000 Apple iOS mobile apps developed for commercial use by some 600 large companies in 50 countries showed that nine out of 10 had serious vulnerabilities.
Mike Armistead, HP vice president and general manager, said testing was done on apps from 22 iTunes App Store categories that are used for business-to-consumer or business-to-business purposes, such as banking or retailing. HP said 97% of these apps inappropriately accessed private information sources within a device, and 86% proved to be vulnerable to attacks such as SQL injection.
The Apple guidelines for developing iOS apps help developers but this doesn't go far enough in terms of security, says Armistead. Mobile apps are being used to extend the corporate website to mobile devices, but companies in the process "are opening up their attack surfaces," he says.
In its summary of the testing, HP said 86% of the apps tested lacked the means to protect themselves from common exploits, such as misuse of encrypted data, cross-site scripting and insecure transmission of data.
Three quarters "did not use proper encryption techniques when storing data on mobile devices, which leaves unencrypted data accessible to an attacker." A large number of the apps didn't implement SSL/HTTPS correctly. To discover weaknesses in apps, developers need to involve practices such as app scanning for security, penetration testing and a secure coding development life-cycle approach, HP advises.

شماره: IRCNE2013112017
تاريخ:25/08/92

محققان امنيتي توانستند با استفاده از آسيب پذيري هاي ناشناس در IE 11 در حال اجرا بر روي ويندوز 8.1 و گوگل كروم در حال اجرا بر روي اندرويد، دستگاه هاي سامسونگ گلكسي S4، Nexus 4 و Microsoft Surface RT را هك كنند.
اين كدهاي سوء استفاده در مسابقات هك Mobile Pwn2Own كه روزهاي چهارشنبه و پنج شنبه در توكيو برگزار شد مورد استفاده قرار گرفتند.
عبدالعزيز حريري و مت موليناوه، دو محقق امنيتي از گروه ZDI كه مسابقات را سازماندهي مي كردند، يك كد سوء استفاده از IE 11 بر روي دستگاه Microsoft Surface RT كه در حال اجراي ويندوز 8.1 بود را در معرض نمايش قرار دادند.
حريري اظهار داشت: سوء استفاده از مشكل IE به دليل حفاظت ها و كنترل هاي پياده سازي شده بسيار دشوار است. اين آسيب پذيري دو بار مورد سوء استفاده قرار گرفت تا يك آدرس حافظه را فاش نمايد و سپس منجر به اجراي كد از راه دور شود. اين سوء استفاده باعث مي شود تا مهاجمان كنترل كاملي را بر روي ماشين آسيب پذير بدست آورند.
موليناوه گفت: اين آسيب پذيري به شركت مايكروسافت گزارش شده است در نتيجه اين شركت مي تواند با برطرف نمودن آن، از كاربران خود محافظت نمايد.
محقق ديگري با استفاده از يك آسيب پذيري در كروم توانست دستگاه هاي سامسونگ گلكسي S4 و Nexus 4 را هك نمايد. به دليل استفاده كروم از sandbox، اجراي كد از راه دور از طريق يكي از آسيب پذيري هاي كروم بسيار سخت مي باشد. پيش از اين sandbox كروم در سال 2012 و در جريان مسابقات Google's Pwnium دو بار هك شده بود. اين محقق براي اين هك از يك آسيب پذيري سرريز عدد صحيح و يك روش دور زدن sandbox استفاده كرده است.
براي اين هك بايد يك قرباني بالقوه از طريق ايميل يا پيام كوتاه بر روي لينكي در يك صفحه وب دستكاري شده خاص كليك نمايد. پس از باز شدن صفحه مخرب در كروم، اين حمله بدون هيچ تعاملي با كاربر اجرا مي شود و به مهاجم اجازه مي دهد تا از راه دور كدي را بر روي سيستم عامل اجرا نمايد. اين آسيب پذيري به شركت گوگل گزارش شده است در نتيجه مي تواند آن را برطرف نمايد.
هم چنين تيمي از محققان امنيتي ژاپني توانستند با استفاده از آسيب پذيري هايي كه در برنامه هاي كاربردي بي نام وجود دارد، دستگاه سامسونگ گلكسي S4 را هك نمايند. اين برنامه هاي بي نام به صورت پيش فرض توسط شركت سازنده بر روي دستگاه سامسونگ گلكسي نصب شده اند.

شماره: IRCNE2013112016

تاريخ: 25/08/92
توليدكنندگان يك ابزار حمله مبتني بر وب به نام كيت سوء استفاده Angler، يك كد سوء استفاده را براي يك آسيب‌پذيري شناخته شده در پلاگين مرورگر Silverlight مايكروسافت به اين ابزار اضافه كرده‌اند.
كيت‌هاي سوء استفاده برنامه‌هاي مخرب وب هستند كه درمورد استفاده كاربر از نرم‌افزارهاي قديمي و اصلاح نشده بررسي مي‌كنند و سپس با سوء استفاده از آسيب‌پذيري‌هاي اين نرم‌افزارها، بدافزار مورد نظر خود را بر روي كامپيوتر وي نصب مي‌نمايند. اين كيت‌ها اغلب برنامه‌هاي مشهوري مانند جاوا، فلش پلير و ادوب ريدر را هدف قرار مي‌دهند كه از طريق پلاگين‌هاي مرورگر قابل دسترسي هستند.
حملات ايجاد شده از طريق كيت‌هاي سوء استفاده تحت عنوان حملات drive-by-download شناخته مي‌شوند و يكي از روش‌هاي اصلي انتشار بدافزار به شمار مي‌روند.
به گفته يك محقق مستقل، كيت Angler اكنون علاوه بر جاوا و فلش، Silverlight را نيز هدف قرار مي‌دهد كه محيطي runtime براي برنامه‌هاي اينترنتي توسعه داده شده توسط مايكروسافت است.
كيت Angler ماه گذشته و كمي پس از دستگيري توليد كننده كيت مشهور Blackhole در روسيه، ظاهر شد و توسط مجرمان سايبري توليد كننده بدافزار گروگان‌گير Reveton مورد استفاده قرار گرفته است.
گروه Reveton پيش از Angler، از كيت Cool كه نسخه‌اي از Blackhole است استفاده مي‌كردند.
Angler از روز پنجشنبه حاوي كدي براي سوء استفاده از يك آسيب‌پذيري اجراي كد از راه دور در Silverlight 5 شده است كه تحت عنوان CVE-2013-0074 شناخته شده و در ماه مارس توسط مايكروسافت اصلاح شده است.
به گفته يك محقق ارشد شركت امنيتي F-Secure، هدف قرار دادن Silverlight توسط نويسندگان كيت‌هاي سوء استفاده، كار معمولي نيست.
مشخص نيست كه چه تعداد كاربر از Silverlight استفاده مي‌كنند، ولي اين تعداد احتمالاً ده‌ها ميليون نفر است.
كيت Angler فقط درصورتي كد سوء استفاده Silverlight را بارگذاري مي‌كند كه جاوا يا فلش‌پلير نصب شده بر روي سيستم قرباني، آسيب‌پذير نباشند.
كاربران Silverlight بايد اطمينان حاصل كنند كه تمامي اصلاحيه‌هاي اين نرم‌افزار را نصب كرده‌اند. اصلاحيه‌هاي امنيتي Silverlight معمولاً از طريق مكانيزم به‌روز رساني ويندوز منتشر مي‌گردند.

شماره: IRCNE2013112015
تاريخ:25/08/92

دو روز پس از انتشار سه شنبه اصلاحيه مايكروسافت در ماه اكتبر، شركت مايكروسافت يكي از بولتن هاي امنيتي آن را تصحيح كرد تا مشخص نمايد كه در واقع يكي از آسيب پذيري هاي موجود در فهرست اين بولتن، اصلاح نشده است. اين آسيب پذيري كه با عنوان CVE-2013-3871شناخته مي شود در اصل در اصلاحيه ماه نوامبر برطرف خواهد شد. اين آسيب پذيري بخشي از بولتن امنيتي MS13-088 بوده است كه مربوط به اصلاحيه هاي امنيتي گروهي IE مي باشد.
بولتن اوليه آن MS13-080 بوده است و هر دو بولتن مربوط به اصلاحيه هاي گروهي IEمي باشد. اين بولتن 10 آسيب پذيري را برطرف كرده است كه يكي از آن ها آسيب پذيري CVE-2013-3871 بوده است. شركت مايكروسافت آسيب پذيري مذكور را از بولتن امنيتي حذف نمود.

مطالب مرتبط:
انتشار اصلاحيه هاي مايكروسافت

شماره: IRCNE2013112013
تاريخ: 25/08/92

گوگل چند به‌روز رساني امنيتي اورژانسي براي كروم عرضه كرده است تا چندين آسيب‌پذيري اثبات شده در مسابقه هك مرورگرها (Pwn2Own) را اصلاح نمايد.
اين آسيب‌پذيري‌ها توسط يك محقق امنيتي مورد سوء استفاده قرار گرفتند كه توانست كد دلخواه خود را بر روي يك دستگاه نكسوس 4 و يك دستگاه گلكسي S4 سامسونگ اجرا نمايد و جايزه 50 هزار دلاري اين مسابقه را برنده شود.
اين آسيب‌پذيري‌ها به گوگل گزارش شدند و اين شركت در كمتر از يك روز، آنها را ترميم كرده و اصلاحيه مربوطه را عرضه كرد.
اگرچه اين محقق كد سوء استفاده كننده از اين آسيب‌پذيري‌ها را براي كروم بر روي سيستم‌هاي اندرويد عرضه كرده بود، اما گوگل اين آسيب‌پذيري‌ها را در كروم براي سيستم‌هاي ويندوز، مك و لينوكس و همچنين پلاگين Chrome Frame براي IE نيز برطرف كرده است.
گوگل اين آسيب‌پذيري‌ها را تحت عنوان چند مسأله تخريب حافظه شرح داده است، اما برگزار كنندگان مسابقه مذكور مي‌گويند كه اين كد سوء استفاده كننده از يك آسيب‌پذيري سرريز عدد صحيح و آسيب‌پذيري ديگري كه مجوز دور زدن Sandbox را صادر مي‌كرد استفاده كرده است.
Sandbox برنامه‌هاي كروم، پردازه مرورگر را از سيستم عامل جداسازي مي‌كند و به اين ترتيب اجراي كدهاي دلخواه را مشكل مي‌سازد.
گوگل نسخه 31.0.1650.57 كروم را براي سيستم‌هاي ويندوز، مك و لينوكس، Chrome Frame 31.0.1650.57 و نسخه 31.0.1650.59 كروم براي سيستم‌هاي اندرويد را براي برطرف كردن اين آسيب‌پذيري‌ها عرضه كرده است.

مطالب مرتبط:
چندين آسيب پذيري در گوگل كروم

شماره: IRCNE2013112012
تاريخ:25/08/92

روز سه شنبه شركت ادوب اصلاحيه هايي را براي فلش پلير برروي ويندوز، ميكنتاش و لينوكس منتشر نمود. هم چنين Adobe AIR و AIR SDK and Compiler نيز به روز رساني شده اند. اين شركت يك برطرف كننده امنيتي براي ColdFusion، پلت فرم برنامه هاي كاربردي وب منتشر كرد.
شركت ادوب اعلام كرد كه اين اصلاحيه ها با سرقت اخير كد منبع ColdFusion مرتبط نمي باشد.
فلش پلير نسخه 11.9.900.117 و نسخه هاي پيش از آن براي ويندزو و مكينتاش و نسخه 11.2.202.310 و نسخه هاي پيش از آن براي لينوكس تحت تاثير دو آسيب پذيري قرار دارند كه اين آسيب پذيري ها در نسخه هاي جديد فلش پلير برطرف شده است. رخنه هاي موجود در فلش پلير بر روي ويندوز و مكينتاش در رده امنيتي بحراني قرار دارند كه مي توانند منجر به اجراي كد دلخواه شوند.
نسخه هاي جديد فلش پلير براي ويندوز و مكينتاش عبارتند از: فلش پلير نسخه 11.9.900.152 و نسخه 11.7.700.252. نسخه جديد فلش پلير براي لينوكس عبارت است از: 11.2.202.327 و نسخه جديد AIR، 3.9.0.1210 مي باشد. كاربران مي توانند نسخه هاي جديد را از وب سايت ادوب دانلود نمايند. كاربران گوگل اصلاحيه ها را از طريق گوگل دريافت مي كنند و كاربران ويندوز 8 به روز رساني هاي IE را مستقيما از مايكروسافت دريافت مي كنند.
هم چنين اين شركت يك برطرف كننده امنيتي براي ColdFusion نسخه هاي 10، 9.0.2، 9.0.1 و 9.0 براي ويندوز، ميكنتاش و لينوكس منتشر كرده است. اين برطرف كننده دو آسيب پذيري را برطرف مي كند كه يكي از آن ها يك آسيب پذيري اسكريپت بين سايتي مي باشد و ديگري مي تواند منجر به دسترسي غيرمجاز خواندن از راه دور شود.

شماره: IRCNE2013112011
تاريخ:25/08/92

روز سه شنبه شركت مايكروسافت به منظور برطرف نمودن آسيب پذيري هايي در ويندوز، IE و آفيس هشت اصلاحيه را منتشر نمود. يكي از اين آسيب پذيري ها اخيرا گزارش شده بود.
هشت بولتن اين به روز رساني ها را توصيف مي كند:

• MS13-088: به روز رساني امنيتي براي IE كه در آن 10 آسيب پذيري برطرف شده است. هشت آسيب پذيري مربوط به تخريب حافظه و دو آسيب پذيري مربوط به افشاي اطلاعات مي باشند.
• MS13-089: آسيب پذيري در واسط گرافيكي ويندوز كه مي تواند منجر به اجراي كد از راه دور شود.
• MS13-090: به روز رساني امنيتي براي ActiveX Kill Bits كه يك آسيب پذيري aero-day مي باشد. اين آسيب پذيري در كلاس InformationCardSigninHelper وجود دارد.
• MS13-091: سه آسيب پذيري در آفيس مايكروسافت كه مي تواند منجر به اجراي كد دلخواه شود. يكي از اين آسيب پذيري ها تمامي نسخه هاي آفيس را تحت تاثير قرار مي دهد.
• MS13-092: آسيب پذيري در Hyper-V كه مي تواند منجر به اعطاي بالاترين حق دسترسي شود. Hyper-V در ويندوز 8 و ويندوز سرور 2012 از جمله Server Core نسبت به اعطاي بالاتريح حق دسترسي آسيب پذير مي باشد.
• MS13-093: آسيب پذيري در Windows Ancillary Function Driver مي تواند منجر به افشاي اطلاعات شود.
• MS13-094: آسيب پذيري در Microsoft Outlook مي تواند منجر به افشاي اطلاعات شود. كد سوء استفاده موفقيت آميز از اين آسيب پذيري وجود ندارد.
• MS13-095: آسيب پذيري در Digital Signatures مي تواند منجر به ايجاد انكار سرويس شود.

تمامي نسخه هاي ويندوز هنگام خواندن يك گواهينامه ديجيتال دستكاري شده خاصX.509 نسبت به انكار سرويس آسيب پذير مي باشند.
علاوه براين شركت مايكروسافت نسخه جديدي از ابزار Windows Malicious Software Removal Tool را منتشر نمود. هم چنين يك به روز رساني براي Root Certificates براي ويندزو 8.1، ويندوز 8، ويندوز 7، ويندوز ويستا و ويندوز XP وجود دارد.

مطالب مرتبط:
اصلاحيه هاي مايكروسافت در راه است
سوء استفاده از يك آسيب پذيري اصلاح نشده در IE
سوء استفاده از يك آسيب پذيري اصلاح نشده در آفيس 2007

شماره: IRCNE2013112010
تاريخ:21/08/92

روز دوشنبه يك محقق امنيتي اظهار داشت كه يك آسيب پذيري جديد در مسيرياب D-Link كشف شده است.
به گزارش ThreatPost، مسيرياب D-Link 2760N كه با عنوان D-Link DSL-2760U-BN نيز شناخته مي شود در واسط وب خود داراي چندين مشكل اسكريپت بين سايتي (XSS) مي باشد.
Liad Mizrachi، محققي كه اين مشكل را كشف كرده است اظهار داشت كه او در ماه اگوست، سپتامبر و اكتبر شركت D-Link را از اين مشكلات مطلع ساخته است اما اين شركت هيچگونه پاسخي را ارائه نكرده است.
در گزارش آمده است كه در مسيرياب هاي D-Link مشكلات جدي راه نفوذ مخفي نيز وجود دارد. نسخه هاي مسيرياب هاي آسيب پذير عبارت است از: DIR-100، DIR-120، DI-524UP، DI-604S، DI-604UP، DI-604+، DI-624S و TM-G5240. شركت D-Link در ماه اكتبر اعلام كرد كه در حال كار بر روي مشكلات راه نفوذ مسيرياب ها مي باشد و پس از اتمام اصلاحيه هاي مربوط به آن را منتشر خواهد كرد.