BITSLOTH: یک درب پشتی جدید و پیشرفته با هدف سیستم‌های ویندوز

تاریخ ایجاد

درب پشتی (Backdoor) نوعی نرم‌افزار یا روش دسترسی به یک سیستم کامپیوتری است که به کاربر اجازه می‌دهد بدون نیاز به تأییدیه‌های امنیتی معمول، وارد سیستم شود. در زمینه امنیت سایبری، درب پشتی معمولاً به کدی اشاره دارد که به‌ طور مخفیانه در نرم‌افزار یا سیستم تعبیه می‌شود تا به مهاجم اجازه دسترسی غیرمجاز به سیستم را بدهد.
محققان اخیراً یک درب پشتی جدید به نام BITSLOTH در ویندوز کشف کرده‌اند که سیستم‌های ویندوزی را هدف قرار می‌دهد و از سرویس Background Intelligent Transfer Service (BITS) برای عملیات فرمان و کنترل (C2) بهره می‌برد. عملیات فرمان و کنترل (C2) فرآیندی است که در آن مهاجمان سایبری، پس از نفوذ به یک سیستم، ارتباطات خود را با سیستم‌های آلوده حفظ می‌کنند و از طریق آن، دستورات خود را ارسال و اطلاعات را دریافت می‌کنند. این کانال به مهاجم امکان می‌دهد تا دستورات مختلفی مانند اجرای بدافزارهای جدید، جمع‌آوری اطلاعات حساس یا دستکاری فایل‌ها را صادر کند.
 BITS یک سرویس ویندوزی است که برای انتقال فایل‌ها به صورت غیرهمزمان بین دستگاه‌ها طراحی شده است. این سرویس به‌ویژه برای دانلود به‌روزرسانی‌ها و انتقال داده‌ها با کمترین تأثیر بر عملکرد شبکه کاربرد دارد. BITS قابلیت مدیریت قطعی‌های شبکه را نیز داراست و می‌تواند انتقال‌ها را پس از بازگشت اتصال ادامه دهد، حتی اگر سیستم مجددا راه‌اندازی شده ‌باشد.
BITSLOTH از یک پروژه‌ی بارگذاری شل‌کد برای اجرای مخفیانه و عبور از مکانیزم‌های امنیتی سنتی استفاده می‌کند. در حین حرکت جانبی در شبکه، BITSLOTH به عنوان یک فایل DLL (به نام flengine.dll) وارد سیستم شده و با استفاده از تکنیک Side-Loading، این فایل مخرب را از طریق یک برنامه‌ به نام FL Studio بارگذاری و اجرا می‌کند. FL Studio یک برنامه‌ی معتبر برای تولید موسیقی است که نصب آن برای کاربران متداول است. مهاجمان به نحوی با استفاده از این برنامه کد مخرب BITSLOTH را اجرا می‌کنند، که این فرآیند به عنوان بخشی از عملکرد معمولی نصب FL Studio به نظر می‌رسد.
در توضیح حرکت جانبی (Lateral Movement) باید گفت این روش به فرآیندی اشاره دارد که در آن مهاجم پس از به دست آوردن دسترسی اولیه به یک سیستم، تلاش می‌کند به سایر سیستم‌های موجود در شبکه دسترسی پیدا کند تا دامنه‌ی نفوذ خود را در شبکه گسترش داده و به منابع ارزشمندتر، مانند سرورها، پایگاه‌های داده و سیستم‌های مدیریتی، دسترسی یابد.
BITSLOTH دارای 35 فرمان مختلف است و از جمله قابلیت‌های کلیدی آن می‌توان به این موارد اشاره کرد:

  •  جمع‌آوری داده‌ها: شامل ضبط کلیدهای فشرده شده (keylogging)، عکس‌برداری از صفحه نمایش و جمع‌آوری اطلاعات سیستم.
  • Keylogging، یک روش جاسوسی دیجیتال است که در آن هر چیزی که کاربر روی صفحه‌کلید خود تایپ می‌کند، ثبت می‌شود. این اطلاعات می‌تواند شامل رمزهای عبور، پیام‌های شخصی، اطلاعات بانکی و سایر داده‌های حساس باشد.
  •   اجرا و فرماندهی: امکان اجرای دستورات، آپلود و دانلود فایل‌ها.
  •   پایداری: استفاده از BITS برای حفظ دسترسی مداوم به سیستم.

علاوه بر این، BITSLOTH می‌تواند حالت ارتباط را به HTTP یا HTTPS تنظیم کند، فرآیندهای دلخواه را خاتمه دهد، کاربران را از سیستم خارج کند، سیستم را مجدداً راه‌اندازی یا خاموش کند، و حتی خود را به‌روزرسانی کرده یا از سیستم میزبان حذف کند.
این بدافزار همچنین با ایجاد و مدیریت کارهای BITS که به ظاهر بی‌ضرر هستند و شبیه به وظایف به‌روزرسانی ویندوز به نظر می‌رسند، از شناسایی شدن اجتناب می‌کند. به عنوان مثال، کارهای موجود با نام‌هایی مثل "WU Client Download" را لغو می‌کند و کارهای جدیدی با نام‌های مشابه ایجاد می‌کند. این کارها به طور مخفیانه با سرورهای فرمان و کنترل(C2) ارتباط برقرار کرده و ترافیک مخرب را با ترافیک عادی شبکه ترکیب می‌کنند.
به گفته‌ی محققان، استفاده از BITSLOTH و بهره‌برداری آن از سرویس BITS برای مهاجمان جذاب است، زیرا این سرویس به دلیل کاربردهای مشروعش معمولاً از نظارت‌های امنیتی عبور می‌کند. بسیاری از سازمان‌ها در تشخیص تفاوت بین ترافیک عادی BITS و فعالیت‌های مخرب مشکل دارند، که این امکان را به مهاجمان می‌دهد تا برای مدت طولانی در شبکه باقی بمانند و فعالیت‌های خود را پنهان کنند.

محصولات تحت تاثیر
سیستم‌ها و سرورهای ویندوزی، ممکن است هدف این حمله قرار بگیرند.

توصیه‌های امنیتی
برای جلوگیری از اثرات بدافزاری مانند BITSLOTH، موارد ذیل توصیه می‌گردند:

  •  نظارت دقیق و مستمر بر ترافیک سرویس BITS.
  •  استفاده از ابزارهای تحلیل ترافیک شبکه برای بررسی و تحلیل ترافیک BITS.
  •  تنظیم مجدد مجوزهای دسترسی به سرویس BITS و غیرفعال‌سازی آن در سیستم‌هایی که به آن نیاز ندارند.
  •  پیاده‌سازی سامانه‌های EDR (Endpoint Detection and Response) پیشرفته برای شناسایی رفتارهای مشکوک و و پاسخ به تهدیدات امنیتی در نقاط انتهایی شبکه (مانند رایانه‌های شخصی و سرورها).
  •  استفاده از قوانین YARA ارائه شده توسط Elastic Security Labs برای شناسایی BITSLOTH.
  •  محدودسازی اجرای فایل‌های DLL از مسیرهای غیرمجاز.
  •  محدودسازی مجوز‌های دسترسی به سیستم‌ها و اطلاعات حساس.
     

منابع خبر:


[1] https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html
[2] https://www.elastic.co/security-labs/bits-and-bytes-analyzing-bitsloth
[3] https://cyberinsider.com/novel-windows-backdoor-bitsloth-exploits-bits-for-c2-operations/

کشف آسیب‌پذیری افزایش سطح دسترسی در افزونه JetFormBuilder

تاریخ ایجاد

یک آسیب‌پذیری با شناسه  CVE-2024-7291 و شدت 7.2 در افزونه JetFormBuilder کشف شده است.  JetFormBuilder یک پلاگین فرم‌ساز برای وردپرس است که به کاربران و توسعه دهندگان قابلیت‌های متنوعی از جمله ایجاد فرم‌های چندمرحله‌ای، فرم‌های سفارشی، ادغام با سرویس‌های مختلف و تنظیمات پیشرفته برای فیلدهای فرم را ارائه می‌دهد. این آسیب‌پذیری به دلیل محدودیت نامناسب در فیلدهای متای کاربر رخ می‌دهد و منجر به ارتقاء سطح دسترسی مهاجم می‌گردد. در سایت‌هایی که به‌ صورت شبکه‌ای پیکربندی شده‌اند  امکان ثبت‌نام مهاجم احراز هویت‌شده با سطح دسترسی مدیر به‌عنوان کاربری با سطح دسترسی بالاتر از مدیر را فراهم می‌کند.
براساس بردار حمله این آسیب‌پذیری AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H پیچیدگی حمله پایین است و مهاجم می‌تواند از راه دور حمله را انجام دهد. بهره‌برداری از این آسیب‌پذیری نیازمند دسترسی به سطح بالایی از مجوزها است. آسیب‌پذیری تأثیر بالایی بر محرمانگی دارد، مهاجم می‌تواند به اطلاعات حساس دسترسی پیدا کند و داده‌ها را دستکاری کند. بنابراین می‌تواند تأثیرات شدیدی بر محرمانگی، یکپارچگی، و دسترس‌پذیری سیستم داشته باشد.
 

محصولات تحت تأثیر
این آسیب‌پذیری نسخه  3.3.4.1 و تمام نسخه‌‌های قبلی افزونه JetFormBuilder را تحت تاثیر قرار می‌دهد.
 

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه 3.3.4.2 به‌روزرسانی کنند.
 

منابع خبر:

 

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7291
[2] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/jetformbuilder/jetformbuil…

انتشار به‌روزرسانی امنیتی مایکروسافت جهت رفع سه آسیب‌پذیری در مرورگر Edge

تاریخ ایجاد

مایکروسافت چندین آسیب‌پذیری بحرانی را در مرورگرEdge  مبتنی بر کرومیوم (Chromium-based) برطرف کرده است. آسیب‌پذیری‌های مذکور، می‌توانند به مهاجمان امکان اجرای کد دلخواه یا دسترسی به حافظه خارج از محدوده out-of-bounds (OOB) را از طریق محتوای HTML جعلی بدهند. جزئیات آسیب‌پذیری‌ها به شرح زیر است:
•    نقص اعتبارسنجی نامناسب داده در Dawn با شناسه CVE-2024-7256 و شدت 8.8 :
این نقص امنیتی به مهاجمان اجازه می‌دهد تا با بهره‌برداری از نقص اعتبارسنجی نامناسب داده در مؤلفه Microsoft Edge’s Dawn، کد دلخواه را اجرا کنند. محتوای جعلی HTML می‌تواند این نقص را ایجاد کرده و منجر به خطر افتادن سیستم شود.
•    نقص Uninitialized Use در Dawn با شناسه CVE-2024-6990 و شدت 8.8 :
یک آسیب‌پذیری Uninitialized Use در مؤلفه Dawn است که به مهاجمان اجازه می‌دهد تا به حافظه OOB دسترسی پیدا کنند. این نقص امنیتی را می‌توان با استفاده از HTML جعلی، مورد بهره‌برداری قرار داد که به طور بالقوه منجر به بی ثباتی سیستم یا بهره برداری بیشتر می شود.
•    نقص امنیت در ویژگی WebTransport با شناسه CVE-2024-7255 :
یک آسیب‌پذیری در ویژگی WebTransport مرورگر Edge که به مهاجمان اجازه می‌دهد تا از طریق HTML جعلی، به حافظه OOB دسترسی داشته باشند. این نقص می‌تواند برای به خطر انداختن امنیت سیستم آسیب‌دیده استفاده شود.

 محصولات تحت تأثیر
این آسیب‌پذیری‌ها، نسخه‌های 127.0.6533.88 و 127.0.6533.89 مرورگر Edge را تحت تاثیر قرار می‌دهند.

توصیه‌های امنیتی
شرکت مایکروسافت وصله‌هایی را برای رفع این آسیب‌پذیری‌ها در آخرین به‌روزرسانی خود منتشر کرده است. به کاربران توصیه می‌شود که به‌روزرسانی‌ها را از طریق ویژگی Windows Update یا با مراجعه به وب سایت رسمی مایکروسافت دانلود و نصب کنند. نسخه 127.0.6533.88/89 مرورگر Edge جهت رفع نقص‌های امنیتی ذکر شده در دسترس کاربران قرار گرفته است. از کاربران Microsoft Edge خواسته شده است که فورا مرورگرهای خود را به‌روز کنند تا از سیستم‌های خود در برابر بهره‌برداری‌های احتمالی محافظت کنند.

منبع خبر:

https://gbhackers.com/microsoft-patched-a-critical-edge-flaw/

کشف چند آسیب‌پذیری با شدت بالا در نصب‌کننده Splashtop Streamer

تاریخ ایجاد

SplashTop یکی از نرم‌افزارهای مدیریت و کنترل سیستم از راه دور است. نسخه Personal این نرم‌افزار را می‌توان به منظور دسترسی به سیستم‌های موجود در شبکه‌های محلی خانگی (Local) مورد استفاده قرار داد.
اخیرا چند آسیب‌پذیری با شدت‌های بالا در نصب‌کننده‌ی این نرم‌افزار کشف شده‌اند که همگی آن‌ها از استفاده‌ی این نصب‌کننده از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها ناشی می‌شوند و امکان ارتقاء سطح دسترسی مهاجم به سطح دسترسی SYSTEM را فراهم می‌کند.
با ارتقاء سطح دسترسی به SYSTEM، مهاجم می‌تواند به تمام فایل‌ها و تنظیمات سیستمی دسترسی پیدا کند. این دسترسی کامل، شامل دسترسی به اطلاعات حساس و قابلیت‌های مدیریت سیستم نیز می‌شود. همچنین می‌تواند کد دلخواه خود را با سطح دسترسی SYSTEM اجرا کند. این به معنای امکان نصب بدافزار، تغییرات مخرب در تنظیمات سیستم، و یا بهره‌برداری از سیستم برای اهداف دیگر است. به علاوه، قادر خواهد بود تغییراتی در رجیستری ویندوز ایجاد کند یا با اجرای کدهای دلخواه باعث آسیب زدن به سیستم‌عامل، داده‌ها، و عملکرد کلی سیستم شود.
رجیستری ویندوز (Windows Registry) یک پایگاه داده‌ی سلسله ‌مراتبی و متمرکز است که تنظیمات پیکربندی و اطلاعات حیاتی برای سیستم‌عامل ویندوز و نرم‌افزارهای نصب‌شده روی آن را ذخیره می‌کند. این پایگاه داده به عنوان یک هسته مرکزی برای مدیریت تنظیمات سیستم‌عامل، دستگاه‌های سخت‌افزاری، برنامه‌ها و کاربران عمل می‌کند.
هرگونه تغییر نادرست در رجیستری می‌تواند منجر به ناپایداری سیستم، خطاهای اجرایی، اجرای نامناسب نرم‌افزارها یا حتی ناتوانی در راه‌اندازی سیستم‌عامل شود. مهاجمان می‌توانند از رجیستری برای نصب بدافزار، تغییر تنظیمات امنیتی، و ایجاد دسترسی‌های غیرمجاز استفاده کنند. برای مثال، تنظیمات Startup در رجیستری می‌توانند برای اجرای برنامه‌های مخرب در هر بار راه‌اندازی سیستم استفاده شوند. در ادامه، توضیحات 4 مورد آسیب‌پذیری ذکر شده آورده شده است.
 

  •  CVE-2024-42050:

این آسیب‌پذیری با شدت بالا و امتیاز CVSS 7.0 ارزیابی شده‌ است. همانطور که گفته شد، در فرآیند نصب نرم‌افزار، نصب‌کننده MSI از پوشه‌ای موقت با دسترسی‌های ضعیف برای ذخیره و بارگذاری فایل‌ها استفاده می‌کند. این پوشه‌ی موقت معمولاً در دایرکتوری %TEMP% قرار دارد و کاربران می‌توانند به آن دسترسی پیدا کنند و فایل‌هایی را در این پوشه قرار داده یا تغییر دهند.
در طی نصب، فایل CredProvider_Inst.reg از این پوشه‌ی موقت بارگذاری می‌شود. این فایل REG می‌تواند مقادیر و کلیدهای جدیدی را به رجیستری ویندوز اضافه کند. اگر فایل MSI نصب‌کننده هنوز در مکان اصلی خود موجود باشد یا مهاجم بتواند فایل را دوباره به آن مکان بازگرداند، می‌تواند فرآیند نصب را دوباره اجرا کند. در این صورت، موفق خواهد شد با تنظیم قفل‌های موقت (oplocks) روی فایل CredProvider_Inst.reg، آن را با محتوای دلخواه تغییر دهد.
Oplock (Opportunistic Lock) مکانیزمی برای بهبود عملکرد سیستم‌های فایل در سیستم‌عامل‌های ویندوز است. این مکانیزم به برنامه‌ها اجازه می‌دهد تا با قرار دادن قفل‌هایی موقت روی فایل‌ها از تغییرات همزمان توسط سایر برنامه‌ها جلوگیری کرده و در نتیجه عملکرد بهتری داشته باشند. مهاجمان می‌توانند با بهره‌برداری از ویژگی Oplock فایل‌های حساس را در مسیرهای موقتی جایگزین کنند. این کار امکان اینکه آن‌ها کد دلخواه خود را در سطح سیستمی اجرا کنند را فراهم می‌کند. علی الخصوص در فرآیندهای نصب نرم‌افزار که از پوشه‌های موقت استفاده می‌کنند، اگر مهاجم بتواند با تنظیم Oplock روی فایل‌های مورد نظر، آن‌ها را تغییر دهد، می‌تواند به ارتقاء سطح دسترسی یا اجرای کد دلخواه در سطح بالاتری برسد.
نصب‌کننده MSI فایل CredProvider_Inst.reg تغییر یافته را بارگذاری کرده و آن را به رجیستری اضافه می‌کند. اگر مهاجم بتواند محتوای این فایل REG را به‌گونه‌ای تغییر دهد که به طور غیرمستقیم به اجرای کد دلخواه منجر شود (مثلاً با تغییر مسیر اجرای برنامه‌های سیستمی)، می‌تواند سطح دسترسی SYSTEM را برای خود فراهم سازد.
 

  •  CVE-2024-42051:

این آسیب‌پذیری با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است. در این مورد، در فرآیند نصب، فایل InstRegExp.reg از پوشه موقتی که در دایرکتوری %TEMP% قرار دارد بارگذاری شده و به رجیستری ویندوز اضافه می‌شود. مهاجم می‌تواند فایل SetupUtil.exe را که جزء اصلی فرآیند نصب است از پوشه موقت حذف کرده و به ‌جای آن یک فایل .reg با همان نام قرار دهد. در این حالت، نصب‌کننده با نگاه به پوشه موقت، فایل .reg تغییر یافته را بارگذاری می‌کند. با این کار، مهاجم خواهد توانست محتوای فایل InstRegExp.reg را به‌گونه‌ای تغییر دهد که مقادیر یا کلیدهای دلخواه را به رجیستری اضافه کند تا به اجرای کد دلخواهش در سیستم منجر شود یا به تغییر مسیر اجرای برنامه‌های سیستم کمک کند.
 

  •  CVE-2024-42052:

در این آسیب‌پذیری نیز که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، در طی فرآیند نصبsplashtop ، اگر فایل اجرایی wevtutil.exe در مسیر صحیح وجود نداشته باشد، نصب‌کننده تلاش می‌کند این فایل را از پوشه موقت %TEMP% بارگذاری کند. مهاجم می‌تواند از این موضوع بهره‌برداری کرده و یک فایل اجرایی مخرب با نام wevtutil.exe را در پوشه موقت قرار دهد. نصب‌کننده MSI این فایل مخرب را با دسترسی سیستمی (SYSTEM) اجرا می‌کند و امکان کنترل سیستم و اجرای کدهای دلخواه را برای مهاجم فراهم می‌آورد.
 

  • CVE-2024-42053:

در این آسیب‌پذیری که با شدت بالا و امتیاز CVSS 7.8 ارزیابی شده ‌است، مهاجم می‌تواند در طی فرآیند نصب، از طریق نصب‌کننده یک فایل DLL به نام version.dll را در صورتی که در پوشه‌ی موقت موجود باشد، بارگذاری کند. وقتی بارگذاری با موفقیت انجام شود، کد مخرب موجود در فایل DLL با سطح دسترسی SYSTEM اجرا می‌شود و امنیت سیستم را به خطر می‌اندازد.

محصولات آسیب‌پذیر
در شناسه CVE-2024-42050: نسخه‌های قبل از 3.7.0.0 آسیب‌پذیر هستند.
 در شناسه CVE-2024-42051: نسخه‌های قبل از 3.6.2.0 آسیب‌پذیر هستند.
در شناسه CVE-2024-42052: نسخه‌های قبل از 3.5.8.0 آسیب‌پذیر هستند.
در شناسه CVE-2024-42053: نسخه‌های قبل از 3.6.0.0آسیب‌پذیر هستند.

توصیه‌های امنیتی
برای کاهش خطر این آسیب‌پذیری‌ها، در ابتدا توصیه می‌شود نرم‌افزار به آخرین نسخه‌ی موجود به‌روزرسانی شود. همچنین محدودسازی دسترسی کاربران به پوشه‌های موقتی مانند %TEMP% جهت جلوگیری از قابلیت ایجاد تغییر در آن‌ها توصیه می‌گردد. ضمن ارائه‌ی حداقل سطح دسترسی به هر نرم‌افزار، باید در فرایند نصب دقت شود که فایل مشکوکی در پوشه‌های نصب موجود نباشد. به این منظور می‌توان از نرم‌افزارهای امنیتی و ابزارهای بررسی و اسکن خودکار بدافزار نیز‌ استفاده کرد.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-42050
[2] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/4.md
[3] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/3.md
[4] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/1.md
[5] https://github.com/SpacePlant/Vulns/blob/main/Advisories/2024/2.md

بسته مخرب PyPI با هدف سیستم‌های macOS برای سرقت اعتبارنامه Google Cloud

تاریخ ایجاد

محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیج‌های مخزن Python Package Index (PyPI) کشف کرده‌اند که سیستم‌های macOS اپل را هدف قرار می‌دهد و قصد سرقت اعتبارنامه‌های Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرم‌افزاری مخرب به نام "lr-utils-lib" به سیستم قربانی منتقل می‌شود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده می‌شود. PIPY از منابع اصلی برای توسعه‌دهندگان پایتون است تا کتابخانه‌ها و بسته‌های مورد نیاز خود را دانلود و استفاده کنند.
روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعه‌دهنده نرم‌افزار است، بسته‌ی "lr-utils-lib" را از مخزن PyPI دانلود و نصب می‌کند. این بسته به ظاهر بی‌خطر است، اما  درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا می‌شود. این کد ابتدا  بررسی می‌کند که روی سیستم macOS اجرا ‌شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسه‌ی منحصربه‌فرد دستگاه (UUID) را استخراج می‌کند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) می‌کند (هش کردن یک روش رمزنگاری است که داده‌ها را به یک سری اعداد و حروف تبدیل می‌کند).
هش تولید شده با یک لیست از پیش تعیین شده از هش‌های دستگاه‌های هدف مقایسه می‌شود که نشان‌دهنده‌ی استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستم‌های قربانیان موردنظر خود دارند.
اگر UUID دستگاه قربانی با یکی از هش‌های موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاه‌های هدف مهاجمان باشد)، فرآیند خروج داده‌ها توسط بدافزار آغاز می‌شود. این بدافزار تلاش می‌کند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایل‌ها معمولاً حاوی داده‌های حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال می‌شود.
در نهایت، این فرآیند به مهاجمان اجازه می‌دهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آن‌ها را برای سوءاستفاده‌های بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان می‌دهد که چگونه یک بسته‌ی نرم‌افزاری به ظاهر بی‌ضرر می‌تواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.

توصیه‌های امنیتی
برای جلوگیری از تاثیرات مخرب این بدافزار، موارد ذیل توصیه می‌گردند:

  •  دانلود بسته‌های نرم‌افزاری از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعه‌دهنده یا سازمانی که بسته‌ها را ارائه می‌کند.
  •  بررسی کد منبع بسته‌ها پیش از نصب، خصوصا فایل‌های کلیدی مانند setup.py که می‌توانند حاوی کدهای اجرایی مخرب باشند.
  •  استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بسته‌ها.
  •  نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه: اگر به‌ طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، می‌تواند نشانه‌ای از فعالیت مخرب باشد.
  • محدودسازی دسترسی به فایل‌ها و مسیرهای حساس مانند ~/.config/gcloud. این کار از دسترسی کاربران و فرآیندهای غیرمجاز به این فایل‌ها جلوگیری می‌کند.
  • استفاده از محیط‌های ایزوله شده (مانند Docker) برای اجرای بسته‌ها، تا حتی در صورت وجود بدافزار، تاثیر آن محدود شود.
  • اعطای میزان دسترسی به هر کاربر یا فرآیند فقط به میزان دسترسی مورد نیاز. این کار می‌تواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد.
  •  BackUp گرفتن منظم از داده‌های مهم موجب می‌شود در صورت وقوع یک حمله بدافزاری، سیستم  قابل بازیابی باشد.
     

منابع خبر:


[1] https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html
[2] https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-ac…

کشف آسیب‌پذیری بحرانی در محصول Acronis Cyber Infrastructure

تاریخ ایجاد

شرکت امنیت سایبری Acronis هشدار داده است که یک نقص امنیتی بحرانی در محصول Acronis Cyber Infrastructure (ACI) به طور گسترده مورد بهره‌برداری قرار گرفته است. این آسیب‌پذیری که با شناسه CVE-2023-45249 و شدت 9.8ردیابی می‌شود، مربوط به موردی از نقص اجرای کد از راه دور است که از استفاده از رمزهای عبور پیش‌فرض ناشی می‌شود.

محصولات تحت تأثیر
این آسیب‌پذیری بر نسخه‌های زیر از Acronis Cyber Infrastructure (ACI) تاثیر می‌گذارد:
•    نسخه‌های قبل از 5.0.1-61
•    نسخه‌های قبل از 5.1.1-71
•    نسخه‌های قبل از 5.2.1-69
•    نسخه‌های قبل از 5.3.1-53
•    نسخه‌های قبل از 5.4.4-132
 

توصیه‌های امنیتی
به کاربران نسخه‌های آسیب‌دیده ACI توصیه می‌شود برای کاهش تهدیدات احتمالی، به آخرین نسخه به‌روزرسانی کنند.
 

منبع خبر:

 

https://thehackernews.com/2024/07/critical-flaw-in-acronis-cyber.html

آسیب‌پذیری بحرانی دور زدن احراز هویت در Docker

تاریخ ایجاد

یک آسیب‌پذیری بحرانی‌ با شناسه‌ی CVE-2024-41110 و شدت CVSS:10 در Docker Engine کشف شده است که به مهاجمان اجازه می‌دهد از فرآیند احراز هویت عبور کنند و دسترسی غیرمجاز به سیستم‌ها پیدا کنند. این مشکل، ناشی از یک بازگشت (Regression) در سیستم پلاگین احراز‌هویت Docker بنام AuthZ است. یعنی تغییرات جدیدی که در سیستم احراز هویت اعمال گردیده، باعث شده‌ است یک نقص جدید به وجود بیاید که امکان عبور از احراز هویت بدون بررسی صحیح فراهم شود.  به دلیل نقص در سیستم احراز هویت، پلاگین ممکن است درخواست‌هایی را به اشتباه تایید کند که باید رد می‌شدند و می‌تواند باعث اقدامات غیرمجاز شود و امکان افزایش سطح دسترسی به اطلاعات حساس یا قابلیت‌های مدیریتی را فراهم کند.
نسخه‌های خاصی از Docker Engine و Docker Desktop تحت تاثیر آسیب‌پذیری ذکر شده قرار دارند. اگر این آسیب‌پذیری در محیط‌های تولیدی که Docker Engine برای مدیریت و راه‌اندازی کانتینرها استفاده می‌شود، به کار رود می‌تواند عواقب جدی و بزرگی داشته باشد.

محصولات تحت تأثیر

  •  Docker Desktop: نسخه v4.32.0 و نسخه‌های قبل از آن
  •  Docker Engine: نسخه‌های  v19.03.15- v20.10.27 - v23.0.14 - v24.0.9 - v25.0.5 - v26.0.2 - v26.1.4 - v27.0.3 - v27.1.0 و تمام نسخه‌های قبل از آن‌ها
     

توصیه‌های امنیتی

  • بروزرسانی Docker Engineبه نسخه‌های بالاتر از v23.0.14 و  v27.1.0
  • بروزرسانی Docker Desktop به نسخه  v4.33
  • اگر نمی‌توان بلافاصله Docker را بروزرسانی نمود توصیه می‌شود به صورت موقت پلاگین‌های احراز هویت (AuthZ)  غیرفعال گردد و دسترسی به Docker API محدود شود.
  • به مدیران فناوری اطلاعات سازمان‌ها توصیه می‌شود از اصل کمترین امتیاز پیروی نمایند و دسترسی به Docker API را فقط به افرادی یا سیستم‌هایی بدهند که واقعا به آن نیاز دارند و به آن‌ها اعتماد دارند.
  • اگر سازمانی از خدمات Docker Business استفاده می‌نماید، توصیه می‌شود از ابزار Settings Management استفاده کرده تا تنظیمات امنیتی را به طور یکسان در کل سازمان خود اعمال کند.
     

منبع خبر:


https://cybersecuritynews.com/critical-docker-vulnerability-bypass-authentication/

کشف بدافزار خطرناک FrostyGoop با هدف قرار دادن سیستم‌های کنترل صنعتی

تاریخ ایجاد

پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستم‌های کنترل صنعتی (ICS) متمرکز است، خبر دادند. این بدافزار که به نام "FrostyGoop" شناخته می‌شود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکه‌های تکنولوژی عملیاتی (OT) استفاده می‌کند و به طور خاص برای هدف قرار دادن سیستم‌های کنترل ENCO که از پروتکل Modbus TCP استفاده می‌کنند طراحی شده ‌است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاه‌های الکترونیکی استفاده می‌شود. این پروتکل در اصل برای استفاده در سیستم‌های کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاه‌هایی مانند کنترلرهای منطقی قابل برنامه‌ریزی (PLC) و حسگرها یا محرک‌ها استفاده می‌شود. Modbus از ساختار کلاینت-سرور استفاده می‌کند. این پروتکل معمولاً از طریق پورت 502 TCP/IP پیاده‌سازی می‌شود.
FrostyGoop، که با زبان برنامه‌نویسی Golang نوشته شده، قادر است مستقیماً با دستگاه‌های ICS از طریق پروتکل Modbus TCP بر روی پورت 502 ارتباط برقرار کند. این بدافزار به طور عمده سیستم‌های ویندوزی را هدف قرار می‌دهد و برای آسیب رساندن به دستگاه‌های کنترل ENCO که پورت TCP 502 آن‌ها به اینترنت متصل است، استفاده می‌شود. سیستم‌های کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده می‌شوند. این سیستم‌ها معمولاً در تأسیسات انرژی مانند نیروگاه‌ها، شبکه‌های توزیع برق و تأسیسات گرمایشی به کار می‌روند. سیستم‌های ENCO می‌توانند شامل سخت‌افزار و نرم‌افزارهایی باشند که برای جمع‌آوری داده‌ها، مانیتورینگ و کنترل تجهیزات انرژی استفاده می‌شوند. این سیستم‌ها اغلب از پروتکل‌های ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاه‌های مختلف استفاده می‌کنند. این بدافزار قابلیت خواندن و نوشتن داده‌ها به دستگاه‌های ICS را دارد و همچنین می‌تواند دستورات از طریق فایل‌های پیکربندی JSON دریافت کند و خروجی‌ها را به کنسول و یا فایل JSON گزارش دهد.
حمله‌ای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده‌‌ بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از 600 ساختمان مسکونی به مدت نزدیک به 48 ساعت شد. محققان معتقدند که دسترسی اولیه به شبکه‌های آسیب‌دیده از طریق آسیب‌پذیری‌هایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy2، Industroyer2 و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاه‌های ICS استفاده می‌کند و تهدیدی جدی برای زیرساخت‌های حیاتی در بخش‌های مختلف به شمار می‌آید.
با توجه به این که بیش از 46,000 دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی می‌تواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه می‌کنند که سازمان‌ها امنیت زیرساخت‌های خود را با پیاده‌سازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.

توصیه‌های امنیتی
برای پیشگیری و کاهش خطر بدافزار FrostyGoop، می‌توان اقدامات زیر را انجام داد:

  • به‌روزرسانی سیستم‌ها و تجهیزات
  • مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک
  • پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورت‌های ناامن مانند پورت 502 برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند.
  • آموزش پرسنل
  • استفاده از فایروال‌ها و سیستم‌های تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه
  • پشتیبان‌گیری منظم از داده‌ها و سیستم‌ها
  • اجرای سیاست‌های دسترسی محدود به سیستم‌های حیاتی

منبع خبر:


https://thehackernews.com/2024/07/new-ics-malware-frostygoop-targeting.html?m=1

کشف آسیب‌پذیری در افزونه Redux

تاریخ ایجاد

آسیب‌پذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیب‌پذیری به دلیل عدم بررسی مجوزها و قابلیت‌ها در تابع Redux_Color_S+cheme_Import رخ می‌دهد و امکان بارگذاری فایل‌های JSON بدون احراز هویت را فراهم می‌کند. این نقص امنیتی به مهاجمان احراز هویت نشده اجازه می‌دهد تا فایل‌های JSON را بارگذاری کنند که می‌تواند برای انجام حملات XSS ذخیره‌شده مورداستفاده قرار گیرد. همچنین، در برخی موارد نادر، زمانی که wp_filesystem نتواند به‌درستی راه‌اندازی شود، این آسیب‌پذیری می‌تواند به اجرای کد از راه دور منجر شود.

محصولات تحت‌تأثیر
نسخه‌های ۴.۴.۱۲ تا ۴.۴.۱۷ تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به‌روزرسانی افزونه به آخرین نسخه ارائه‌شده توسط توسعه‌دهندگان توصیه می‌شود.

منابع خبر:


[1]    https://nvd.nist.gov/vuln/detail/CVE-2024-6828
[2]    https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/redux-framework/redux-fram…

تهدید سیستم‌های لینوکسی VMware ESXi توسط باج‌افزار play

تاریخ ایجاد

پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود را کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروايزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.
باج‌افزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باج‌افزار برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط  ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

محصولات تحت تأثیر

  •  محیط‌های VMware ESXi
     

توصیه‌های امنیتی

  • برای اطمینان از امنیت محیط‌های  ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست حایز اهمیت است.  
  • نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی
  • محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی
  • آگاهی‌رسانی به کارکنان درباره‌ی فیشینگ و نحوه‌ی تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد.
  • به دلیل هدف قرار دادن محیط‌های  VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.
     

منبع خبر:


 https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html?m=1