یک حمله جانبی نوین شناسایی شده‌ است که از انتشار امواج رادیویی توسط حافظه رم (RAM) به‌عنوان ابزاری برای استخراج داده‌ها بهره می‌برد و تهدیدی جدی برای شبکه‌های ایزوله از اینترنت (air-gapped networks) به شمار می‌رود. شبکه ایزوله به نوعی از شبکه‌ها گفته می‌شود که به‌طور کامل از سایر شبکه‌ها، به‌ویژه اینترنت، جدا شده‌ باشد. این نوع شبکه‌ها هیچ‌گونه ارتباطی با شبکه‌های خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند داده‌های مالی، نظامی یا امنیتی استفاده می‌شوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث می‌شود که شبکه‌ها به‌طور کلی از حملات سایبری و دسترسی‌های غیرمجاز مصون بمانند.
این تکنیک حمله‌ی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنال‌های رادیویی تولید شده از طریق نرم‌افزار، می‌تواند داده‌های حساسی همچون فایل‌ها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده می‌کند تا سیگنال‌های رادیویی خام را از فاصله‌ای معین دریافت کرده و سپس آن‌ها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرم‌افزار یا SDR) یک فناوری رادیویی است که در آن بخش عمده‌ای از پردازش سیگنال‌ها که معمولاً توسط سخت‌افزار انجام می‌شد، از طریق نرم‌افزار انجام می‌شود. در واقع SDR ترکیبی از سخت‌افزار و نرم‌افزار است. بخش سخت‌افزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنال‌های رادیویی را دریافت یا ارسال می‌کنند، اما پردازش این سیگنال‌ها و تفسیر داده‌ها از طریق نرم‌افزار انجام می‌شود. این روش انعطاف‌پذیری زیادی دارد و به کاربران اجازه‌ی تحلیل و کنترل امواج رادیویی را با استفاده از برنامه‌های مختلف می‌دهد.
مانند بسیاری از حملات مشابه، پیش‌نیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که می‌تواند از طریق روش‌هایی همچون استفاده از افراد نفوذی، حافظه‌های USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعال‌سازی بدافزار و ایجاد کانال مخفی برای استخراج داده‌ها را فراهم می‌کند.
در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنال‌های رادیویی در فرکانس‌های زمانی تولید می‌کند. این سیگنال‌ها با استفاده از روش Manchester کدگذاری شده و از فاصله‌ای قابل توجه دریافت می‌شوند. تولید سیگنال‌های رادیویی در فرکانس‌های زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنال‌های الکترومغناطیسی با الگوهای مشخص و در بازه‌های زمانی خاص تولید می‌کند. به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید می‌شوند که می‌توانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات به‌کار روند. این سیگنال‌ها حاوی داده‌هایی هستند که در حافظه دستگاه وجود دارند و می‌توان با تکنیک‌های کدگذاری آن‌ها را دریافت و تفسیر کرد.
اطلاعات کدگذاری‌شده می‌تواند شامل ضربات کلید، اسناد و داده‌های بیومتریک باشد. مهاجم از طریق SDR این سیگنال‌ها را دریافت کرده، آن‌ها را رمزگشایی و داده‌های استخراج‌شده را بازیابی می‌کند.
Rambo امکان استخراج داده‌ها از کامپیوترهای ایزوله مجهز به پردازنده‌های Intel i7 با سرعت 3.6 گیگاهرتز و 16 گیگابایت رم را با سرعت 1000 بیت بر ثانیه فراهم می‌کند. ضربات کلید نیز به‌صورت آنی با نرخ 16 بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت 1000 بیت بر ثانیه استخراج می‌شوند. برای مثال، یک کلید رمزنگاری RSA به طول 4096 بیت می‌تواند در مدت 41.96 ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری می‌تواند در مدت زمان 4.096 ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایل‌های .jpg) و اسناد متنی کوچک (.txt و .docx) می‌توانند در زمان‌هایی از 400 ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند.
این یافته‌ها نشان می‌دهند که کانال مخفی RAMBO می‌تواند برای نشت اطلاعات کوتاه طی دوره‌های زمانی محدود مورد استفاده قرار گیرد.
محققان در سال‌های اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکه‌های ایزوله توسعه داده‌اند. از جمله این روش‌ها می‌توان به بهره‌برداری از کابل‌های Serial ATA، ژیروسکوپ‌های MEMS، LEDهای کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شده‌اند، شامل استخراج داده‌ها از طریق امواج صوتی تولید شده توسط فن‌های کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوق‌های داخلی مادربورد و همچنین نمایشگرها و LEDهای پرینتر می‌شوند.
سال گذشته نیز حمله‌ای به نام AirKeyLogger  معرفی شد که بدون نیاز به سخت‌افزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظه‌ای ضربات کلید را به مهاجمان می‌داد.
در آن حمله، برای نشت داده‌های محرمانه، فرکانس‌های کاری پردازنده دستکاری می‌شدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه به‌واسطه ضربات کلید ماژوله شده و از فاصله‌ای معین قابل دریافت باشد.

توصیه‌های امنیتی
از جمله اقدامات پیشگیرانه برای مقابله با این حمله می‌توان به استفاده از محدودیت‌های مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیت‌هایی مربوط به تفکیک مناطق فیزیکی یا شبکه‌ای که در آن‌ها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته می‌شوند)، بهره‌گیری از سیستم‌های تشخیص نفوذ، نظارت بر دسترسی‌های حافظه در سطح هایپروایزر، استفاده از مسدودکننده‌های رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.

منبع خبر:

[1] https://thehackernews.com/2024/09/new-rambo-attack-uses-ram-radio-signals.html?m=1

آسیب‌پذیری کشف شده در سرویس SSL-VPN SonicWall، یک نقص جدی از نوع اجرای کد از راه دور (RCE) است. این آسیب‌پذیری به مهاجمان امکان می‌دهد بدون نیاز به احراز هویت، کنترل کاملی بر سیستم آسیب‌دیده اعمال کنند. این نوع آسیب‌پذیری‌ها از خطرناک‌ترین تهدیدات سایبری محسوب می‌شوند، زیرا مهاجمان را قادر می‌سازند تا به صورت مستقیم به شبکه نفوذ کرده و به اطلاعات حساس دسترسی پیدا کنند.
برای بهره‌برداری از این آسیب‌پذیری، مهاجمان نیازی به داشتن اطلاعات حساب کاربری یا رمز عبور ندارند. تنها با ارسال یک درخواست HTTP یا HTTPS خاص می‌توانند به سیستم نفوذ کنند و اقدامات دلخواه را انجام دهند. این آسیب‌پذیری به مهاجمان امکان می‌دهد تا عملیات مخربی مانند سرقت داده‌ها، اختلال در خدمات، گروگان‌گیری داده‌ها (ransomware) را انجام داده و حتی کنترل کامل شبکه را به دست گیرند.
مهاجمان با بهره‌برداری از این آسیب‌پذیری، قادرند به شبکه‌های قربانیان نفوذ کرده و باج‌افزارهایی را مستقر کنند. این باج‌افزارها، سیستم‌ها و داده‌های حساس را رمزنگاری کرده و از قربانیان درخواست باج می‌کنند تا در ازای رمزگشایی اطلاعات، مبلغی را پرداخت کنند.

محصولات تحت‌تاثیر

•  SonicWall Firewall Gen 5
•  SonicWall Gen6 Firewalls
• SonicWall Gen7 Firewalls

توصیه‌های امنیتی
شرکت SonicWall توصیه کرده که کاربران هرچه سریع‌تر دستگاه‌های خود را به آخرین نسخه‌های SonicOS به‌روزرسانی کنند.
تا زمانی که به‌روزرسانی‌ها نصب نشده‌اند، دسترسی WAN را به بخش مدیریت دستگاه‌های فایروال از منابع اینترنت قطع کنید.

منبع‌خبر:

https://www.bleepingcomputer.com/news/security/critical-sonicwall-sslvpn-bug-exploited-in-ransomwar…

یک آسیب‌پذیری استفاده پس از آزادسازی حافظه (Use After Free) با شناسه‌ی CVE-2024-3655، شدت بحرانی و امتیاز CVSS 9.8 در درایورهای پردازنده‌های گرافیکی Arm Ltd شامل Bifrost، Valhall و نسل پنجم معماری پردازنده گرافیکی، شناسایی شده ‌است که به کاربرانی با سطح دسترسی عادی امکان دسترسی به بخش‌هایی از حافظه را که قبلاً آزاد شده‌اند، می‌دهد.
آسیب‌پذیری استفاده پس از آزادسازی (Use After Free) زمانی رخ می‌دهد که یک بخش از حافظه پس از آزاد شدن، همچنان توسط برنامه استفاده شود. در درایورهای GPU نیز این مشکل ممکن است به دلیل سوءمدیریت حافظه به وجود بیاید.
در فرایند بهره‌برداری از آسیب‌پذیری استفاده پس از آزادسازی (Use After Free)، ابتدا بخشی از حافظه سیستم که برای انجام عملیات مشخصی مورد استفاده قرار گرفته بود، توسط درایور GPU آزاد می‌شود. این حافظه در شرایط عادی نباید مجدداً مورد استفاده قرار گیرد، اما به دلیل وجود نقص در مدیریت حافظه، امکان دسترسی مجدد به این بخش از حافظه فراهم می‌شود.
درایورهای GPU به صورت مستقیم با سخت‌افزار گرافیکی و مدیریت حافظه GPU سروکار دارند. در صورتی که حافظه GPU پس از آزاد شدن مجدداً و به اشتباه مورد استفاده قرار گیرد، مهاجم می‌تواند از این وضعیت بهره‌برداری کرده و به جای داده‌های معمول، کد مخربی در حافظه تزریق کند. این کد ممکن است توسط GPU یا CPU اجرا شود، که در نتیجه می‌تواند کنترل سیستم یا داده‌های حساس را در اختیار مهاجمان قرار دهد. خطر چنین سناریویی در صورتی که مهاجم به سیستم دسترسی محلی داشته‌ باشد و بتواند عملیات روی GPU را کنترل کند، افزایش می‌یابد.

محصولات تحت تاثیر
این آسیب‌پذیری در نسخه‌های r43p0 تا r49p0 از درایورهای کرنل پردازنده‌های گرافیکی Bifrost، Valhall و نسل پنجم معماری Arm وجود دارد.

توصیه‌های امنیتی
به‌روزرسانی هر چه سریع‌تر درایورهای پردازنده به نسخه‌های جدیدتر جهت جلوگیری از بهره‌برداری از این آسیب‌پذیری پیشنهاد می‌گردد.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-3655

DataDiodeX محصولی ازDataFlowX Technology  است که برای ایجاد ارتباط یک‌طرفه و ایمن بین شبکه‌ها طراحی شده است. DataDiodeX به شبکه‌های حساس و حیاتی اجازه می‌دهد که داده‌ها را تنها در یک جهت از شبکه داخلی به خارجی انتقال دهند و از ورود هرگونه داده از خارج به داخل شبکه و نفوذهای سایبری جلوگیری می‌کند. اخیرا آسیب‌پذیری Path Traversal با شناسه CVE-2024-6445 وشدت ۱۰ در این نرم‌افزار شناسایی شده است که به مهاجم اجازه می‌دهد به دایرکتوری‌ها و فایل‌های سیستم خارج از محدوده‌ی مجاز نرم‌افزار دسترسی پیدا کند. این آسیب‌پذیری به دلیل عدم اعتبارسنجی صحیح ورودی‌هایی که مسیر فایل‌ها را تعریف می‌کنند، رخ می‌دهد. مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی غیرمجاز به فایل‌های حساس سیستم استفاده کنند و یا اطلاعات محرمانه‌ای را از سیستم استخراج کنند. اگر مهاجم به فایل‌هایی که شامل اسکریپت‌ها یا کدهای قابل اجرا هستند دسترسی پیدا کند، ممکن است بتواند کدهای‌مخرب را اجرا نموده و کنترل کامل سیستم را به دست‌گیرد.

محصولات تحت تاثیر
نسخه‌‌های قبل از 3.5.0 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
فیلتر کردن ورودی‌ها: باید تمامی ورودی‌هایی که مسیر فایل را تعریف می‌کنند به درستی فیلتر و بررسی شوند تا کاراکترهای نامعتبر یا دستورات مربوط به تغییر مسیر مسدود شوند.
استفاده از توابع امن: برای دسترسی به فایل‌ها باید از توابعی استفاده شود که مسیرهای ورودی را بررسی کرده و فقط فایل‌هایی که در مسیرهای مجاز قرار دارند اجازه دسترسی داشته باشند.
محدود کردن دسترسی فایل‌ها: دسترسی به فایل‌های حساس باید محدود به کاربران یا برنامه‌هایی باشد که به آن‌ها نیاز دارند و سایر کاربران نباید به این فایل‌ها دسترسی داشته باشند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-6445

محققان یک آسیب‌پذیری به نام BouncyPufferfish در اکسس پوینت D-Link DAP-2310 کشف کرده‌اند که از نوع سرریز بافر مبتنی بر پشته می‌باشد. شناسه CVE-2024-45623 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواست‌های HTTP به PHP برای وب‌سرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl می‌توان از این آسیب‌پذیری سرریز بافر بهره‌برداری کرد که در نهایت منجر به صدا زدن تابع ()system و اجرای کد دلخواه خواهد شد. بهره‌برداری از این آسیب‌پذیری نیاز به تصدیق هویت ندارد.

محصولات تحت تاثیر
تمام دستگاه‌های D-Link DAP-2310 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به روزرسانی جدیدی برای دستگاه D-Link DAP-2310 منتشر نخواهد شد و این دستگاه منسوخ شده محسوب می‌شود. لذا توصیه می‌شود نسبت به تعویض اکسس پوینت خود با دستگاه جدید اقدام نمایید.

منبع خبر:

https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10406

به‌تازگی یک آسیب‌پذیری بحرانی با شناسه CVE-2024-7627 با شدت 8.1 در افزونه Bit File Manager وردپرس شناسایی شده است. این آسیب‌پذیری در برابر اجرای کد از راه دور از طریق عملکرد 'checkSyntax' آسیب‌پذیر است. به دلیل نوشتن یک فایل موقت در یک دایرکتوری در دسترس عموم، قبل از انجام اعتبارسنجی فایل این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا در صورتی که یک سرپرست به کاربر مهمان اجازه خواندن داده باشد، کد را روی سرور اجرا کنند.

WPCOM Member یکی از افزونه‌های وردپرس است که برای مدیریت اعضا و ثبت‌نام کاربران استفاده می‌شود. آسیب‌پذیری بحرانی با شناسه CVE-2024-7493 و شدت ۹.۸ در بخش ثبت‌نام این افزونه شناسایی شده است. بخش ثبت‌نام این افزونه به کاربران اجازه می‌دهد که از طریق فرم‌های ثبت‌نام، با وارد کردن نام کاربری، ایمیل، رمزعبور و سایر جزئیات در سایت عضو شوند. این آسیب‌پذیری‌ ناشی از ارسال داده‌های دلخواه توسط مهاجم در زمان ثبت‌نام به تابع  wp_insert_user()است. در وردپرس، این تابع به صورت امن برای ثبت‌نام و بروزرسانی کاربران استفاده می‌شود، اما در این افزونه، امکان ارسال داده‌های نادرست و بدون فیلتر نیز به این تابع وجود دارد. در نتیجه مهاجم در زمان ثبت‌نام می‌تواند بدون احراز هویت اطلاعات نقش کاربری را دستکاری نموده و نقش‌ خود را از یک کاربر عادی به مدیر ارتقاء دهد و کنترل کامل وب‌سایت را در دست گیرد.
 

یک آسیب‌پذیری با شناسه CVE-2024-159 و شدت 7.2 (بالا) در افزونه Ninja Forms - File Uploads کشف شده است که یک نقص Stored Cross-Site Scripting از طریق آپلود یک فایل مخرب است که به دلیل عدم پاکسازی مناسب ورودی و خروجی رخ می‌دهد. نقص امنیتی مذکور، این امکان را برای مهاجمان احراز هویت نشده فراهم می‌کند تا اسکریپت‌های دلخواه را در صفحات وب تزریق کرده که هر زمان کاربر به صفحه، دسترسی پیدا کند، اجرا می‌شود .بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N: بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C)، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:N).

محصولات تحت‌تأثیر
 شناسه CVE-2024-7627: نسخه‌های 6.0 تا 6.5.5

شناسه CVE-2024-7493: نسخه‌ی 1.5.2.1 و تمام نسخه‌‌های قبل از آن تحت تاثیر این آسیب‌پذیری قرار دارند.

شناسه CVE-2024-159:نسخه 3.3.16 و نسخه‌های قبل‌ از آن تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند.

توصیه‌های امنیتی
شناسه CVE-2024-7627: با به‌روزرسانی به نسخه 6.5.6 و نسخه‌های بالاتر این آسیب‌پذیری رفع می‌شود.

شناسه CVE-2024-7493: به کاربران توصیه می‌شود افزونه را به آخرین نسخه به‌روزرسانی کنند.

شناسه CVE-2024-159:به کاربران توصیه می‌شود که نسخه‌های آسیب‌پذیر را به نسخه 3.3.18 ارتقاء دهند.

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-7627

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-7493

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-1596
[4]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-…

یک آسیب‌پذیری بحرانی در افزونه چندزبانه WPML وردپرس کشف شده است که می‌تواند در شرایط خاصی به کاربران احراز هویت‌شده، امکان اجرای کد دلخواه از راه دور را بدهد. افزونه WPML یکی از محبوب‌ترین افزونه‌ها برای ایجاد سایت‌های چندزبانه وردپرس است و بیش از یک میلیون نصب فعال دارد.
این نقص امنیتی  که با شناسه CVE-2024-6386 و شدت CVSS 9.9 شناخته شده، به دلیل اعتبارسنجی نامناسب ورودی‌ها رخ داده است و به مهاجمان با سطح دسترسی Contributor و بالاتر این امکان را می‌دهد تا کد دلخواه خود را بر روی سرور اجرا کنند.
بنا به گزارش محققان امنیتی، این نقص به دلیل نحوه مدیریت ShortCodeها توسط افزونه ایجاد می‌شود. Shortcodeها در وردپرس قطعه کدهایی هستند که به کاربران اجازه می‌دهند به سادگی محتوای پویا مانند تصاویر، ویدیوها یا فرم‌ها را در صفحات و پست‌های خود قرار دهند. این کدها به طور معمول به وسیله قالب‌ها یا توابع وردپرس پردازش می‌شوند تا محتوای نهایی را نمایش دهند.
در افزونه WPML، Shortcodeها با استفاده از الگوهای Twig پردازش می‌شوند. Twig یک سیستم قالب‌بندی (template engine) است که امکان استفاده از دستورات و منطق‌های برنامه‌نویسی را درون الگوها (templates) فراهم می‌کند. اگر ورودی کاربر به درستی بررسی و فیلتر  نشود، یک مهاجم می‌تواند از این نقطه ضعف استفاده کند تا کد مخربی را در قالب یک Shortcode وارد کند.
این حمله به نام Server-Side Template Injection (SSTI) شناخته می‌شود. در این حمله، مهاجم از قابلیت‌های سیستم قالب‌بندی بهره‌برداری می‌کند تا کد دلخواه خود را به جای محتوای واقعی اجرا کند. به عبارت دیگر، به جای اینکه یک Shortcode ساده در صفحه، نمایش داده شود، کدی که مهاجم در آن قرار داده اجرا می‌شود. این کد می‌تواند دستورات مخربی باشد که در نهایت به اجرای کدهای دلخواه روی سرور منجر می‌شود، که می‌تواند به سرقت اطلاعات یا به دست گرفتن کنترل سایت منجر شود.
به گفته‌ی توسعه‌دهندگان افزونه، احتمال وقوع این نقص امنیتی در سناریوهای حمله‌ی واقعی کم است و برای انجام این حمله، کاربر باید مجوزهای ویرایش را در وردپرس داشته باشد و همچنین سایت باید دارای تنظیمات خاصی باشد.

محصولات تحت تاثیر
این آسیب‌پذیری تمامی نسخه‌های قبل از 4.6.13 این افزونه را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران افزونه WPML توصیه می‌شوند که آخرین به‌روزرسانی‌ها و وصله‌ها را برای کاهش تهدیدات احتمالی اعمال کنند.
 

منبع خبر:

https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html?m=1

به تازگی محققان امنیتی آکادمی Kaspersky نسخه‌‌‌‌‌‌‌‌‌‌ای تازه از بدافزار HZ Rat backdoor کشف کرده‌‌‌‌‌‌‌‌‌‌اند که کاربران پیام‌‌‌‌‌‌‌‌‌‌رسان‌‌‌‌‌‌‌‌‌‌های DingTalk و WeChat در سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS را هدف قرار می‌‌‌‌‌‌‌‌‌‌دهد و اقدام به جاسوسی از ایشان می‌‌‌‌‌‌‌‌‌‌کند. ساز و کار این نمونه جدید بسیار مشابه نسخه Windows این بدافزار می‌‌‌‌‌‌‌‌‌‌باشد که به وسیله کدهای مخرب PowerShell سیستم قربانی را آلوده می‌‌‌‌‌‌‌‌‌‌کرد. دو روش برای راه یافتن بدافزار به سیستم کاربر وجود دارد. در روش نخست کد مخرب به صورت مستقیم از سرور مهاجم دریافت می‌شود. لازم به ذکر است که برخی نسخه‌‌‌‌‌‌‌‌‌‌های این backdoor از آدرس‌‌‌‌‌‌‌‌‌‌های IP محلی برای برقراری ارتباط با یک سرور فرمان و کنترل (C2) استفاده می‌‌‌‌‌‌‌‌‌‌کردند. این امر می‌‌‌‌‌‌‌‌‌‌تواند نشان‌‌‌‌‌‌‌‌‌‌دهنده هدفمند بودن حمله و قصد مهاجمین برای بهره‌‌‌‌‌‌‌‌‌‌برداری از backdoor  به منظور حرکت جانبی روی شبکه قربانی باشد. در روش دوم بدافزار خود را به عنوان یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزاری دیگر همانند OpenVPN، PuTTYgen یا EasyConnect جا می‌‌‌‌‌‌‌‌‌‌زند. هنوز نقطه توزیع اصلی بدافزار یافت نشده است ولی یک بسته نصبی برای یکی از نمونه‌‌‌‌‌‌‌‌‌‌های آن به نام OpenVPNConnect.pkg در دسترس عموم قرار گرفته است. این نمونه توسط هیچ یک از ابزارهای مطرح، مخرب شناسایی نشده است و همانند یک نصب‌‌‌‌‌‌‌‌‌‌کننده نرم‌‌‌‌‌‌‌‌‌‌افزار عمل می‌‌‌‌‌‌‌‌‌‌کند با این تفاوت که در زیرشاخه MacOS و در کنار نرم‌‌‌‌‌‌‌‌‌‌افزار اصلی، دو فایل exe و init نیز وجود دارند.
با اجرای نرم‌‌‌‌‌‌‌‌‌‌افزار بر روی سیستم قربانی، ابتدا، فایل exe اجرا می‌‌‌‌‌‌‌‌‌‌شود. فایل exe حاوی کدهایی است که نخست فایل init و سپس نرم‌‌‌‌‌‌‌‌‌‌افزار OpenVPN را اجرا می‌‌‌‌‌‌‌‌‌‌کند. این ترتیب اجرا در فایل Info.plist مشخص شده است.
در واقع، فایل init همان backdoor می‌‌‌‌‌‌‌‌‌‌باشد که به زبان C++ نوشته شده است. پس از اجرا شدن، فایل init، با IPهای مشخص‌‌‌‌‌‌‌‌‌‌شده در خود backdoor اتصالی به سرور C2 برقرار می‌‌‌‌‌‌‌‌‌‌کند. در بسیاری از موارد پورت 8081 برای اتصال مورد استفاده قرار گرفته است. همچنین برخی نمونه‌‌‌‌‌‌‌‌‌‌ها از آدرس‌‌‌‌‌‌‌‌‌‌های IP خصوصی برای برقراری این اتصال بهره می‌‌‌‌‌‌‌‌‌‌بردند. این نمونه‌‌‌‌‌‌‌‌‌‌ها، به احتمال بالا، به منظور کنترل دستگاه قربانی با استفاده از رایانه‌‌‌‌‌‌‌‌‌‌ای از پیش آلوده‌‌‌‌‌‌‌‌‌‌شده در شبکه محلی ایشان به عنوان سرور پروکسی برای راهنمایی اتصال به سوی سرور C2 به کار برده می-شده‌‌‌‌‌‌‌‌‌‌اند. این امر به منظور پنهان کردن بدافزار در شبکه صورت می‌‌‌‌‌‌‌‌‌‌گیرد زیرا تنها دستگاه دارای پروکسی با سرور C2 ارتباط برقرار می‌‌‌‌‌‌‌‌‌‌کند.
تمامی ارتباطات با سرور C2 با استفاده از XOR و کلید 0X42 رمزگذاری شده‌‌‌‌‌‌‌‌‌‌اند. برای آغاز session، backdoor یک عدد تصادفی با برچسب cookie را به سرور ارسال می‌‌‌‌‌‌‌‌‌‌کند. تمامی پیام‌‌‌‌‌‌‌‌‌‌های ارسال‌‌‌‌‌‌‌‌‌‌شده به سرور ساختار زیر را دارند.
•    کد پیام – 1 بایت
•    طول پیام – 4 بایت
•    متن پیام که 4 بایت نخست آن اندازه داده را مشخص می‌‌‌‌‌‌‌‌‌‌کند.
backdoor تنها چهار دستور ساده را پشتیبانی می‌‌‌‌‌‌‌‌‌‌کند که در جدول زیر آورده شده‌‌‌‌‌‌‌‌‌‌اند.

از این دستورات، تنها دو دستور execute_cmdline و ping در نمونه بررسی‌‌‌‌‌‌‌‌‌‌شده به کار برده شده بودند. پس از بررسی‌‌‌‌‌‌‌‌‌‌های بیش‌‌‌‌‌‌‌‌‌‌تر، دستورات اجرایی از سرور C2 به دست آمده که اطلاعات زیر را از سیستم قربانی استخراج می‌‌‌‌‌‌‌‌‌‌کنند.
•    وضعیت System Integrity Protection
•    اطلاعات سیستم و دستگاه، از جمله
   •    آدرس IP محلی
   •    اطلاعات دستگاه های بلوتوثی
   •    اطلاعات شبکه های Wi-Fi در دسترس، آداپتورهای شبکه بی‌‌‌‌‌‌‌‌‌‌سیم موجود و شبکه‌‌‌‌‌‌‌‌‌‌ای که دستگاه به آن متصل است
   •    مشخصات سخت‌‌‌‌‌‌‌‌‌‌افزاری
   •    اطلاعات مربوط به ذخیره‌‌‌‌‌‌‌‌‌‌سازی داده‌‌‌‌‌‌‌‌‌‌ها
•    لیست برنامه‌‌‌‌‌‌‌‌‌‌ها
•    اطلاعات کاربر در WeChat
•    اطلاعات کاربر و سازمان از DingTalk
•    کاربری و وب‌سایت به صورت مقادیر جفتی از Google Password Manager

بدافزار تلاش می‌‌‌‌‌‌‌‌‌‌کند شناسه WeChat (WeChatID)، آدرس ایمیل و شماره تلفن کاربر را از WeChat استخراج کند. این داده‌‌‌‌‌‌‌‌‌‌ها به صورت متن ساده (plain text) در فایل userinfo.data ذخیره می‌‌‌‌‌‌‌‌‌‌شوند.
مهاجمین به اطلاعات دقیق‌‌‌‌‌‌‌‌‌‌تری از برنامه DingTalk علاقه‌‌‌‌‌‌‌‌‌‌منداند. این اطلاعات عبارت‌‌‌‌‌‌‌‌‌‌اند از:
•    نام سازمان و بخشی که کاربر در آن کار می‌‌‌‌‌‌‌‌‌‌کند
•    نام کاربری
•    آدرس ایمیل شرکت
•    شماره تلفن
کد مخرب تلاش می‌‌‌‌‌‌‌‌‌‌کند این اطلاعات را  از فایل orgEmployeeModel دریافت کند. اگر این فایل یافت نشود، بدافزار در فایل sAlimailLoginEmail به دنبال شماره تلفن و آدرس ایمیل کاربر می‌‌‌‌‌‌‌‌‌‌گردد. اگر این اقدام نیز شکست بخورد، تلاش می‌‌‌‌‌‌‌‌‌‌کند آدرس ایمیل کاربر را در یکی از فایل‌‌‌‌‌‌‌‌‌‌های کش DingTalk به نام <date>.holmes.mappings بیابد. این اطلاعات نیز به صورت متن ساده نگه‌‌‌‌‌‌‌‌‌‌داری می‌‌‌‌‌‌‌‌‌‌شوند.
در زمان تحلیل، 4 سرور کنترل فعال بوده و دستورات مخرب باز می‌‌‌‌‌‌‌‌‌‌گرداند. برخی از آدرس‌‌‌‌‌‌‌‌‌‌های IP شناسایی‌‌‌‌‌‌‌‌‌‌شده پیش‌‌‌‌‌‌‌‌‌‌تر در حملات به دستگاه‌‌‌‌‌‌‌‌‌‌های Windows دیده شده بودند. به جز تنها دو سرور که در ایالت متحده آمریکا و هلند قرار داشتند، تمامی سرورهای C2 در چین یافت شدند. با توجه به اطلاعات به دست آمده از سایت VirusTotal بسته نصبی مخرب قبلا از دامنه زیر که متعلق به شرکت بازی‌‌‌‌‌‌‌‌‌‌سازی MiHoYo می‌‌‌‌‌‌‌‌‌‌باشد بارگیری شده است.
hxxp://vpn.mihoyo[.]com/uploads/OpenVPNConnect.zip.
چگونگی راهیابی این فایل به دامنه بالا هنوز به طور قطع مشخص نشده است و احتمال دارد این کمپانی قبلا هک شده باشد.
در ادامه انواع نشانگرهای نفوذ آورده شده‌‌‌‌‌‌‌‌‌‌اند.

backdoor MD5 file hashes
0c3201d0743c63075b18023bb8071e73 – Mach-O 64-bit x86_64 executable
6cc838049ece4fcb36386b7a3032171f – Mach-O 64-bit x86_64 executable
6d478c7f94d95981eb4b6508844050a6 – Mach-O 64-bit x86_64 executable
7a66cd84e2d007664a66679e86832202 – Mach-O 64-bit x86_64 executable
7ed3fc831922733d70fb08da7a244224 – Mach-O 64-bit x86_64 executable
9cdb61a758afd9a893add4cef5608914 – Mach-O 64-bit x86_64 executable
287ccbf005667b263e0e8a1ccfb8daec – Mach-O 64-bit x86_64 executable
7005c9c6e2502992017f1ffc8ef8a9b9 – Mach-O 64-bit x86_64 executable
7355e0790c111a59af377babedee9018 – Mach-O 64-bit x86_64 executable
a5af0471e31e5b11fd4d3671501dfc32 – Mach-O 64-bit x86_64 executable
da07b0608195a2d5481ad6de3cc6f195 – Mach-O 64-bit x86_64 executable
dd71b279a0bf618bbe9bb5d934ce9caa – Mach-O 64-bit x86_64 executable
 

C2 IP addresses
111.21.246[.]147
123.232.31[.]206
120.53.133[.]226
218.193.83[.]70
29.40.48[.]21
47.100.65[.]182
58.49.21[.]113
113.125.92[.]32
218.65.110[.]180
20.60.250[.]230

محصولات تحت‌تأثیر
تمامی نسخه‌‌‌‌‌‌‌‌‌‌های سیستم‌‌‌‌‌‌‌‌‌‌عامل macOS در مقابل این بدافزار آسیب‌‌‌‌‌‌‌‌‌‌پذیر هستند.

توصیه‌های امنیتی
اطمینان حاصل کنید که macOS و تمامی اپلیکیشن‌های نصب‌شده به‌روز باشند تا آسیب‌پذیری‌های شناخته‌شده برطرف شوند و به کاربران توصیه می‌‌‌‌‌‌‌‌‌‌شود از برنامه‌‌‌‌‌‌‌‌‌‌های WeChat و DingTalk اجتناب کنند.

منبع خبر:

https://securelist.com/hz-rat-attacks-wechat-and-dingtalk/113513

The Events Calendar Pro یکی از افزونه‌های سیستم مدیریت محتوای وردپرس است که برای ایجاد، سازماندهی، نمایش تقویم و رویدادها استفاده می‌شود. نسخه‌ی ۷.۰.۲ این افزونه و تمام نسخه‌های قبل از آن به دلیل عدم اعتبارسنجی صحیح داده‌های ورودی کاربر دارای آسیب‌پذیری تزریق شیء php با شناسه CVE-2024-8016 و شدت ۹.۱ هستند.
این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم احرازهویت شده با سطح دسترسی مدیر یا بالاتر یک شیء PHP را به عنوان ورودی توسط پارامتر filters به تابع ()unserialize در PHP ارسال کند. وجود یک زنجیره POP امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. هر‌گاه این افزونه به همراه افزونه Elementor نصب گردد کاربران با سطح دسترسی contributor و بالاتر نیز می‌توانند از این آسیب‌پذیری بهره‌برداری کنند.

محصولات تحت تاثیر
نسخه‌ی ۷.۰.۲ و تمام نسخه‌‌های قبل از آن

توصیه‌های امنیتی
به کاربران توصیه می‌شود افزونه را به نسخه7.0.2.1  به‌روزرسانی کنند.

منبع خبر:

https://www.cve.org/CVERecord?id=CVE-2024-8016

محققان نوع جدیدی از حمله انکار سرویس (DoS) را کشف کرده‌‏اند که به عنوان حمله D(HE)at شناخته می شود. این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهره‌برداری می‏کند.
پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیش‌‌‌‌‌‌‌‌‌تر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت می‌‌‌‌‌‌‌‌‌گیرد. موجودیت‌‌‌‌‌‌‌‌‌ها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیام‌‌‌‌‌‌‌‌‌های مبادله شده خود استفاده می‌‌‌‌‌‌‌‌‌کنند.
این حمله به دلیل توانایی آن در گرم کردن بیش از حد CPU با وادار کردن قربانی به انجام محاسبات سنگین توان ماژولار است که در مبادله کلید Diffie-Hellman در پروتکل‌های رمزنگاری مانند  TLS، SSH، IPsec  و OpenVPN  استفاده می‌شود.

در شرایط عادی، موجودیت‌‌‌‌‌‌‌‌‌های پروتکل توافق کلید دیفی هلمن عملیات محاسباتی مشابهی انجام می‌‌‌‌‌‌‌‌‌دهند.

طبق شکل 1، موجودیت‌‌‌‌‌‌‌‌‌های آلیس و باب هرکدام دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهند. حمله D (HE)at زمانی رخ می‌‌‌‌‌‌‌‌‌دهد که موجودیتِ شروع کننده پروتکل (در این‌‌‌‌‌‌‌‌‌جا باب)، به جای محاسبه مقدار A، یک مقدار تصادفی برای آلیس ارسال کند. در این صورت باب(بدخواه) هیچ عملیات محاسباتی انجام نخواهد داد اما آلیس(قربانی) دو بار عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد. با تکرار این کار، آلیس بار محاسباتی زیادی متحمل خواهد شد.

طبق شکل 2، کلاینت مخرب هیچ محاسبه‌‌‌‌‌‌‌‌‌ای انجام نمی‌‌‌‌‌‌‌‌‌دهد اما سرور قربانی دو عملیات توان‌‌‌‌‌‌‌‌‌رسانی انجام می‌‌‌‌‌‌‌‌‌دهد.
برخی موارد این حمله را تشدید می‌‌‌‌‌‌‌‌‌کند که در ادامه به آن اشاره شده است:
•    طول توان: هرچه مقدار عددی که در توان قرار می‌‌‌‌‌‌‌‌‌گیرد بزرگ‌‌‌‌‌‌‌‌‌تر باشد مسلما توان محاسباتی بیش‏تری لازم است. برخی کتابخانه‌‌‌‌‌‌‌‌‌های رمزنگاری از نماهای طولانی استفاده می‌‌‌‌‌‌‌‌‌کنند که منجر به بار محاسباتی بیش‌‌‌‌‌‌‌‌‌تر می‌‌‌‌‌‌‌‌‌شود. (CVE-2022-40735)
•    اعتبارسنجی کلیدعمومی: برای جلوگیری از حملات محدود کردن زیرگروه کوچک، سرورها باید مرتبه کلید عمومی را تایید کنند. با این حال برخی کتابخانه‌‌‌‌‌‌‌‌‌ها این اعتبار سنجی را بدون توجه به استفاده از یک گروه اول امن انجام می‌‌‌‌‌‌‌‌‌دهند. (CVE-2024-41996)
•    اندازه پارامترها: برخی از کتابخانه‌‌‌‌‌‌‌‌‌ها مانند OpenSSL به طور پیش‌‌‌‌‌‌‌‌‌فرض بزرگترین اندازه پارامتر موجود را دارند که اگر به درستی توسط سرورهای برنامه پیکربندی نشوند، می‌‌‌‌‌‌‌‌‌تواند مورد بهره‌برداری قرار بگیرد.
روش مقابله با حمله D(HE)at
•    به‌‌‌‌‌‌‌‌‌روزسانی پروتکل‌‌‌‌‌‌‌‌‌ها: برای مثال استفاده از پروتکل جدید TLS 1.3
•    پیکربندی کتابخانه‌‌‌‌‌‌‌‌‌ها: تنظیمات کتابخانه‌‌‌‌‌‌‌‌‌ها برای استفاده از نماهای کوچک‌‌‌‌‌‌‌‌‌تر و اندازه پارامترهای کوتاه‌‌‌‌‌‌‌‌‌تر
•    پیاده‌‌‌‌‌‌‌‌‌سازی محدودیت نرخ: محدودیت نرخ بر روی تعداد درخواست Handshake به سرور از طرف یک کلاینت مشخص
•    مانیتورینگ و هشداردهی: راه‌‌‌‌‌‌‌‌‌اندازی سیستم‌‌‌‌‌‌‌‌‌های مانیتورینگ برای تشخیص الگوهای ناهنجار مربوط به درخواست‌‌‌‌‌‌‌‌‌های Handshake که منجر به حمله خواهند شد.

منبع خبر:

https://cybersecuritynews.com/dheat-attack