شماره: IRCNE2012121687
تاريخ:11/09/91

شركت سامسونگ يك حفره امنيتي در ميان افزار برخي از پرينترهاي خود را با انتشار يك به روز رساني در روز جمعه برطرف كرد و اعلام كرد كه كاربران مي توانند از طريق غيرفعال كردن SNMP، دستگاه هاي خود را محافظت نمايند.
تيم US-CERT اوايل اين هفته در يك راهنمايي امنيتي گفت: پرينترهاي آسيب ديده حاوي يك راه نفوذ مخفي در حساب كاربري مدير شبكه بودند كه براي ورود نيازي به احراز هويت نداشتند و مي توانستند از طريق واسط پروتكل SNMP قابل دسترسي باشند.
تيم پاسخگويي آمريكا اشاره كرد كه پرينترهاي آسيب ديده سامسونگ و برخي از پرينترهاي Dell كه توسط شركت سامسونگ ساخته شده اند، حاوي يك رشته hardcoded SNMP مي باشند كه دسترسي خواندن/نوشتن كامل دارد و حتي اگر پروتكل شبكه توسط كاربر غيرفعال شود اين پروتكل فعال باقي مي ماند.
SNMP يك پروتكل اينترنت است كه معمولا براي نظارت و آمارگيري از دستگاه هاي متصل به شبكه مورد استفاده قرار مي گيرد.
US-CERT اعلام كرد كه مهاجمان مي توانند به طور بالقوه پيكربندي يك پرينتر را تغيير دهند، اطلاعات شبكه را بخوانند يا مشخصات اعتيارنامه ها را ذخيره نمايند و به اطلاعات حساس دسترسي يابند. اين گروه توصيه مي كنند پورتي كه براي دسترسي به پروتكل SNMP در شبكه مورد استفاده قرار مي گيرد را مسدود نماييد.
شركت سامسونگ در بيانيه اي در روز چهارشنبه اعلام كرد كه اين مشكل زماني پرينترها را تحت تاثير قرار مي دهد كه پروتكل SNMP فعال باشد، براي حل اين مشكل بايد اين پروتكل را غيرفعال نمود.
سامسونگ به مشتريان خود توصيه مي كند تا پروتكل SNMP v1,2 را غيرفعال نمايند يا از حالت امن شده آن SNMPv3 استفاده نمايند. به روز رساني ميان افزار پرينترهاي سامسونگ بر روي تمامي مدل ها قابل اعمال است.

مطالب مرتبط:
وجود يك نقض در برخي ازپرينترهاي سامسونگ

شماره: IRCNE2012121686
تاريخ:11/09/91

روز چهارشنبه دامنه هاي رومانيايي گوگل، ياهو، مايكروسافت، آزمايشگاه كسپراسكاي و شركت هاي ديگر ارتباط ربايي شدند و به يك سرور هك شده در هلند هدايت شدند.
مطابق گفته Costin Raiu، مدير تيم تحقيقاتي آزمايشگاه امنيتي كسپراسكاي، اين ارتباط ربايي در سطح DNS اتفاق افتاده است و هكرها ركوردهاي DNS براي yahoo.ro، microsoft.ro، hotmail.ro، windows.ro، kaspersky.ro و paypal.ro را تغيير دادند. اين كار باعث شد تا به جاي محتوي اصلي اين سايت ها، صفحاتي را كه مهاجمان طراحي كرده بودند نشان داده شود.
Bogdan Botezatu، تحليلگر ارشد رومانيايي گفت: اين هكر به يك سرور در هلند با نام server1.joomlapartner.nl اشاره مي كند كه به نظر مي رسد هك شده است. اين تحليلگر بر اين باور است كه ركوردهاي DNS به علت يك نقض امنيتي در رجيستري دامنه RoTLD تغيير داده شده است. اين رجيستري، سرورهاي معتبر DNS را براي كل فضاي دامنه .ro مديريت مي كند.
يك نماينده از شركت گوگل روز چهارشنبه از طريق پست الكترونيكي اعلام كرد كه سرويس هاي گوگل در روماني هك نشده است. او اشاره كرد براي مدت كوتاهي برخي از كاربران سايت google.ro و چند آدرس وب ديگر به وب سايت هاي متفاوتي هدايت شدند. هم چنين سخنگوي شركت ياهو از طريق پست الكترونيكي اعلام كرد كه ما مطلع شديم كه برخي از كاربران در روماني قادر به دسترسي به سايت Yahoo.ro نمي باشند. اين مساله برطرف شده است و از اين بابت عذرخواهي مي كنيم.
شركت مايكروسافت گفت: سايت Microsoft.ro به دليل يك مساله در DNS دچار مشكلاتي شد. در حال حاضر اين سايت به طور كامل بازسازي شده است و ما اين اطمينان را مي دهيم كه اطلاعات مشتريان در معرض خطر قرار ندارد. ما در حال كار با شريك خود هستيم تا شيوه هاي امنيتي را بررسي كنيم.
Botezatu بر اين باور است كه هكرهايي كه روز چهارشنبه DNS دامنه هاي رومانيايي را ارتباط ربايي كرده اند همان هكرهايي هستند كه هفته گذشته حملاتي مشابه را در پاكستان هدايت كردند.
روز نهم نوامبر، شركت IEDR در بيانيه اي اعلام كرد كه اين رخداد به علت سوء استفاده هكرها از يك آسيب پذيري در وب سايت رجيستري اتفاق افتاده است.

ID: IRCNE2012121687
Date: 2012-12-01

According to "computerworld", Samsung Electronics will close a security hole in the firmware of some of its printers by issuing an update on Friday, and said they could be protected by disabling SNMP.
The affected printers have a backdoor administrator account hard-coded in their firmware that does not require authentication and can be accessed over the Simple Network Management Protocol (SNMP) interface, the U.S. Computer Emergency Readiness Team (US-CERT) said earlier this week in an advisory.
The affected Samsung printers, and some Dell printers made by Samsung, contain a hardcoded SNMP full read-write community string that remains active even when SNMP is disabled in the printer management utility, US-CERT said.
SNMP is an Internet protocol commonly used to monitor and read statistics from network-attached devices.
Attackers could potentially change a printer's configuration, read its network information or stored credentials, and access sensitive information passed to it by users, US-CERT said. It recommended blocking the port used to access SNMP in the network.
The problem only affects the printers when SNMP is enabled, and is resolved by disabling SNMP, Samsung said in a statement on Wednesday.
"For customers that are concerned, we encourage them to disable SNMP v1,2 or use the secure SNMPv3 mode until the firmware updates are made," Samsung said.
It is releasing updated firmware for all current models, with all other models receiving an update by the end of the year. Samsung did not name the models affected.

Related Link:
Some Samsung printers vulnerable to hackers

ID: IRCNE2012121686
Date: 2012-12-01

According to "techworld", the Romanian domain names of Google, Yahoo, Microsoft, Kaspersky Lab and other companies were hijacked on Wednesday and were redirected to a hacked server in the Netherlands.
The hijacking occurred at the DNS (Domain Name System) level, with attackers modifying the DNS records for google.ro, yahoo.ro, microsoft.ro, hotmail.ro, windows.ro, kaspersky.ro and paypal.ro, according to Costin Raiu, director of the global research and analysis team at security vendor Kaspersky Lab.
This led to the websites displaying an attacker-supplied page instead of their regular content.
The hacker pointed the domains to a server in the Netherlands - server1.joomlapartner.nl - that also appears to have been hacked, said Bogdan Botezatu, a senior e-threat analyst at Romanian antivirus vendor Bitdefender.
Botezatu believes that the DNS records were modified as a result of a security breach at the RoTLD domain registry, which manages the authoritative DNS servers for the entire .ro domain space.
"Google services in Romania were not hacked," a Google representative said Wednesday via email. "For a short period, some users visiting www.google.ro and a few other web addresses were redirected to a different website. We are in contact with the organisation responsible for managing domain names in Romania."
"We are aware that Yahoo.ro was inaccessible to some users in Romania," a Yahoo spokeswoman said via email. "This issue is resolved and we apologize for any inconvenience this may have caused."
"On 27 November, Microsoft.ro was impacted by a third-party DNS issue," Microsoft said in an emailed statement. "The site has since been fully restored and we can confirm that no customer information was compromised. We are working with our third-party partners to evaluate their security practices."
Botezatu believes that the hackers who hijacked the DNS of the Romanian domains Wednesday might be the same ones responsible for the attack in Pakistan last week.
On 9 November, the .IE Domain Registry (IEDR) issued a statement saying that the incident was the result of hackers exploiting a vulnerability in the registry's website.

شماره: IRCNE2012111685
تاريخ: 10/09/19

صاحبان برخي از پرينترهاي سامسونگ متوجه شدند كه دستگاه هاي آن ها هدف حمله هكرها قرار دارند. پرينترهاي سامسونگ و برخي پرينترهاي Dell كه توسط سامسونگ ساخته مي شوند داراي يك حساب كاربري مي باشند كه افراد مي توانند براي كنترل و دسترسي به اطلاعات دستگاه از آن استفاده نمايند.
همانطور كه توسط تيم امنيتي US-CERT شرح داده شده، اين پرينترها حاوي يك رشتهhardcoded SNMPمي باشند كه دسترسي خواندن/نوشتن كامل دارد و حتي اگر پروتكل شبكه توسط كاربر غيرفعال شود اين پروتكل فعال باقي مي ماند.
تيم امنيتي US-CERT اظهار داشت كه يك مهاجم راه دور بدون احراز هويت مي تواند با بالاترين حق دسترسي مدير شبكه به دستگاه آلوده شده دسترسي يابد. اثرات ديگر اين حمله عبارتند از: توانايي تغيير پيكربندي دستگاه، دسترسي به اطلاعات حساس (اطلاعات دستگاه و شبكه، كارت هاي اعتباري و اطلاعات ورودي پرينتر) و توانايي انجام حملات بيشتر از طريق اجراي كد دلخواه.
شركت سامسونگ از اين نقض آكاه است و اعلام كرده است كه پرينترهاي توليد شده پس از 31 اكتبر امسال ضعف فوق را ندارند. اين شركت قول داده است تا پايان سال اين ضعف را برطرف نمايد.
در عين حال، تيم امنيتي US-CERT توصيه مي كند كه كاربراني كه تحت تاثير اين نقض قرار دارند، فايروال هاي خود را طوري تنظيم نمايند كه تنها به درخواست هايي كه از شبكه ها و ميزبان هاي مورد اعتماد فرستاده مي شوند، اجازه ورود دهد.

ID: IRCNE2012111684
Date: 2012-11-30

According to "cnet", owners of certain Samsung printers may find their devices a target for hackers.
Samsung printers and some Dell printers made by Samsung have a hardcoded account that someone could use to control and access information on the devices, according to US-CERT (United States Computer Emergency Readiness Team).
As described by the security team, these printers contain a hardcoded SNMP (Simple Network Management Protocol) string that has full read/write access and stays active even if the network protocol is disabled by the user.
"A remote, unauthenticated attacker could access an affected device with administrative privileges," US-CERT said. "Secondary impacts include: the ability to make changes to the device configuration, access to sensitive information (e.g., device and network information, credentials, and information passed to the printer), and the ability to leverage further attacks through arbitrary code execution."
Samsung is aware of the flaw and has said that printers released after October 31 of this year don't contain this weakness. The company has promised to release a patch before the end of the year to shore up the hole.
In the meantime, US-CERT advises potentially affected users to set their firewalls to allow only connections from trusted hosts and networks.

شماره: IRCNE2012111684
تاريخ: 06/09/91

كاربران كامپيوتر توسط يك نوع بدافزار جديد هدف قرار گرفته‌اند كه از يك شارژ جعلي كارت اعتباري Apple iTunes براي سرقت پول از حساب‌هاي بانكي آنها استفاده مي‌كند.
شركت امنيتي سوفوس به كاربران هشدار داده است كه در برابر اين فريب هشيار باشند. اين فريب با يك ايميل خرابكار آغاز مي‌شود كه به كاربر در مورد يك شارژ 699.99 دلاري كارت اعتباري Apple iTunes اطلاع‌رساني مي‌كند.
به گفته سوفوس، در نگاه اول ممكن است اين ايميل‌هاي خرابكار براي كاربران كاملا واقعي به نظر برسند. چرا كه از لوگو و قالب ايميل‌هاي ارسال شده توسط اپل استفاده مي‌كنند. زماني كه كاربر بر روي يكي از لينك‌هاي داخل ايميل كليك مي‌كند، به يك صفحه وب منتقل مي‌شود كه به IRS متعلق است. IRS ميزبان يك كيت بدافزاري Blackhole مي‌باشد.
به گفته سوفوس، اين كيت نوعا براي سوء استفاده از آسيب‌پذيري‌هاي جاوا، Adobe Reader و Adobe Flash Player مورد استفاده قرار مي‌گيرد كه مي‌تواند منجر به آلوده شدن سيستم توسط تروجان زئوس گردد.
اما اگر هيچ‌يك از كدهاي سوء استفاده كننده كار نكنند، به كاربر پيغام داده مي‌شود كه يك نسخه جديدتر مرورگر خود را دانلود نمايد كه در واقع حاوي يك كپي از تروجان بانكي زئوس مي‌باشد. بنا بر اظهارات سوفوس، نتيجه نهايي اين است كه سيستم‌هاي ويندوز توسط بدافزاري آلوده مي‌شوند كه مي‌تواند ضربات صفحه كليد را ثبت نمايد و از حساب‌هاي بانكي سوء استفاده كند.
مشاور ارشد فن‌آوري در سوفوس اظهار داشت كه كاربران بايد همواره نسبت به لينك‌هاي موجود در اين‌گونه ايميل‌ها با احتياط برخورد نمايند و مستقيما به وب‌سايت شركت مورد نظر مراجعه كنند.

ID: IRCNE2012111683
Date: 2012-11-26

According to “ITPro”, PC users are being duped by a new type of malware that uses a fake Apple iTunes credit card charge to steal money from their bank accounts.
Security vendor Sophos is warning people to be on their guard against the scam, which typically starts with computer users receiving a malicious email informing them of a $699.99 Apple iTunes credit card charge.
“At first glance, recipients may find the malicious emails quite realistic as they use Apple's logos and formatting to appear like a genuine emailed receipt from the company,” said Sophos in a statement. When users click on one of the links contained in the email, they are taken to a web page purporting to belong to the IRS, which houses a Blackhole malware kit.
This is typically used to exploit vulnerabilities in Java, Adobe Reader and Adobe Flash Player, Sophos warns, which can lead to systems getting infected by a Zeus/Zbot Trojan.
However, if none of the exploits work, users are instructed to download a more recent version of their web browser, which contains a copy of the Zeus banking Trojan. “The end result is that users' Windows computers are infected by malware that can log keystrokes and compromise bank accounts,” said Sophos.
Graham Cluley, senior technology consultant at Sophos, said users should always treat links in unsolicited emails with caution. “Instead, users should go to the website of the company in question, or call the number on the back of your card or billing statement to find out the truth,” he advised.

The malware called "narilam" by Symantec was an old malware, previously detected and reported online in 2010 by some other names. This malware has no sign of a major threat, nor a sophisticated piece of computer malware. The sample is not wide spread and is only able to corrupt the database of some of the products by an Iranian software company, those products are accounting software for small businesses. The simple nature of the malware looks more like a try to harm the software company reputation among their customers.
Anyway, this is not a threat for general users and need no special care. Only the customers of those accounting software could make backup of their database and scan their system by updated antivirus products.

شماره: IRCNE2012111683
تاريخ: 04/09/91

همچنين بررسي هاي اوليه تا اين لحظه نشان مي دهد بدافزار فوق الذكر بر خلاف اخبار منتشر شده تهديد جدي سايبري نبوده بلكه يك بدافزار محلي است كه احتمالا به منظور آسيب زدن به كاربران محصولات نرم افزاري شركت خاص ايجاد شده است. طراحي و پياده سازي اين بدافزار اثري از پيچيدگي هاي يك حمله سايبري يا حتي بدافزارهاي قدرتمند گروه هاي خرابكار سايبري را ندارد و بيشتر شبيه يك بدافزار آماتوري است.
دامنه فعاليت اين بدافزار و انتشار آن بسيار محدود بوده و تنها كاربران محصولات نرم افزاري سيستمهاي مالي وحسابداري مي توانند نسبت به اسكن سيستم توسط آنتي ويروس بروز شده اقدام نمايند.