‫باج‌افزار STOP برای نخستین بار در تاریخ 25 دسامبر 2017 میلادی مشاهده گردید. این باج‌افزار تاکنون با اسامی مختلفی از جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است. اما به طور کلی به دو دسته STOP و Djvu تقسیم می‌گردد. Djvu در واقع نسخه جدیدتر این باج‌افزار بوده که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvu می‌شناسند. تعدد نسخه‌ها در فواصل زمانی کوتاه در واقع تکنیکی است که باج‌افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می‌کند. تاکنون بیش از 200 پسوند مختلف از این باج‌افزار مشاهده گردیده است. بر اساس آمارهای منتشر شده در وب‌سایت Emsisoft تنها در سه‌ماهه اول 2020 بیش از 66,090 مورد گزارش آلودگی به این باج‌افزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً 70% از موارد آلودگی به باج‌افزارها در سطح جهان را به خود اختصاص داده است. نسخه‌هایی از این باج‌افزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در کشور ایران نیز مشاهده شده است.
باج‌افزار STOP/Djvu با زبان برنامه‌نویسی C++ نوشته شده است. نسخه‌های جدید این باج‌افزار در کد نویسی خود به شدت مبهم‌سازی (Obfuscate) شده‌اند و از انواع روش‌های anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیل‌گران بدافزار استفاده کرده‌اند. برخی از نسخه‌های این باج‌افزار نیز باتوجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام می‌دهند و بدین ترتیب به صورت هدفمندتر قربانیان خود را انتخاب می‌کنند.
این باج‌افزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر "%AppData%\Local\" کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط می‌گیرد و فایل‌ها را با کلید آنلاین و الگوریتم نامتقارن RSA-2048 رمزگذاری می‌کند. در برخی نسخه‌ها از الگوریتم Salsa20 نیز برای رمزگذاری فایل‌ها استفاده شده است. در صورتی که باج‌افزار به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین (الگوریتم AES-256) برای رمزگذاری فایل‌ها استفاده می‌کند. نسخه‌های اولیه این باج‌افزار از روش آفلاین برای رمزگذاری فایل‌های قربانیان استفاده می‌کردند و شرکت‌هایی مثل Emsisoft توانستند برای این نسخه‌ها رمزگشا ارائه دهند. اما از آگوست 2019 شیوه رمزگذاری باج‌افزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام می‌دهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باج‌افزار ذخیره شده است عملاً رمزگشایی فایل‌ها غیرممکن خواهد بود. در مواردی مشاهده شده که باج‌افزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجان‌ها و جاسوس‌افزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می‌نماید نیز آلوده نموده است. لذا توجه به این نکته در زمان ارائه خدمات امداد به قربانیان این باج‌افزار ضروری است.
باج‌افزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتی‌ویروس‌ها به صورت مداوم پسوند و ساختار خود را تغییر می‌دهد. به همین دلیل است که حتی از سد به‌روزترین آنتی‌ویروس‌ها نیز عبور می‌کند. بر اساس گزارش‌های رسیده از قربانیان این باج‌افزار در سرتاسر جهان، باج‌افزار STOP/Djvu معمولاً از طریق کرک و فعال‌سازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرم‌افزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنس‌های تقبلی و حتی آپدیت‌های جعلی ویندوز منتشر می‌شود. نسخه‌هایی از این باج‌افزار حتی در قالب اسناد آفیس و فایل Setup نرم‌افزارهای مرتبط با پایان‌نامه‌ها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق می‌توان اینگونه نتیجه‌گیری کرد که جامعه هدف باج‌افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمان‌ها تهدید کمتری محسوب می‌گردد. بنابراین اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باج‌افزار می‌باشد که بیشتر مبتنی بر دانلود فایل‌های آلوده در اثر بی‌ احتیاطی کاربران است. طبق بررسی‌های صورت گرفته، می‌توان گفت که رفتار باج‌افزار STOP/Djvu در کشور ایران به صورت فصلی می‌باشد. در فصولی که دانشجویان به دنبال یافتن قالب برای پایان‌نامه‌ها یا سایر مقالات و ارائه‌های خود هستند، رخدادهای بیشتری مشاهده می‌گردد.
به منظور پیشگیری از آلودگی و مقابله با این باج‌افزار توصیه می‌گردد در مرحله اول سیستم‌عامل، آنتی‌ویروس و سایر نرم‌افزارها به صورت مداوم به‌روزرسانی گردند. همچنین کاربران می‌بایست از دانلود هرگونه فایل یا نرم‌افزار از وب‌سایت‌های ناشناس خودداری کرده و قبل از اجرای فایل‌ها بر روی سیستم خود حتما آن‌ها را با آنتی‌ویروس‌های به‌روز و سامانه‌های آنلاین مثل VirusTotal اسکن نمایند. در پایان یادآور می‌گردد که پشتیان‌گیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج‌افزارهاست.

بر اساس گزارشات منتشر شده، VMware چند آسیب‌پذیری با شدت بالا را وصله کرده است که بر روی چندین محصول این شرکت تاثیر می‌گذارد و بهره‌برداری از آنها به مهاجمان اجازه می‌دهد تا به اطلاعات حساس دست یابند. این ‫آسیب پذیری ها VMware ESXi ، Workstation ،Fusion VMware Horizon Client و VMware Cloud Director را تحت تاثیر قرار می‌دهند. برای مطالعه بیشتر اینجا کلیک کنید.

آسیب‌پذیری اجرای کد از راه دور بر روی پروتکل‌های SMBV3 یک #‫آسیب‌پذیری بسیار جدی و با درجه شدت بالا است که به تازگی توسط شرکت مایکروسافت تایید و منتشر شده است و به مدیران شبکه‌ها هشدار داده شده است تا هرچه سریع‌تر نسبت به رفع این آسیب‌پذیری اقدام نمایند. کد بهره برداری این آسیب پذیری تحت عنوان نرم افزارهای متن باز در اینترنت موجود است و سیستم‌هایی که این آسیب پذیری را دارند، به راحتی مورد حمله واقع می‌شوند. برای مطالعه بیشتر اینجا کلیک نمایید.

مایکروسافت آخرین به‌روزرسانی را برای ‫آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند. به‌روزرسانی‌ امنیتی در ماه ژوئن سال2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی(Critical) بوده است.

• Microsoft Windows
• Microsoft Edge
• Internet Explorer
• Microsoft Office

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل در گزارش آماده شده است. کاربر می‌بایست با استفاده از فرمان winver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید. جهت مطالعه بیشتر اینجا کلیک کنید.

به گزارش وردفنس 1.3میلیون وب‌سایت وردپرس توسط یک کمپین مورد حمله قرار گرفته‌اند. مهاجمان این کمپین سعی دارند با دانلود کردن فایل پیکربندی wp-config.php، نام کاربری و گذرواژه وب‌سایت‌ها را سرقت کنند.از 29 تا 31 ماه می سال جاری، دیوار آتش وردفنس 130 میلیون حمله روی وب‌سایت‌های وردپرس را شناسایی و مسدود کرده است. این حملات 1.3 میلیون وب‌سایت را هدف گرفته بودند. کاربران نسخه پرمیوم و نسخه رایگان وردفنس در برابر این حمله مصون هستند.در این مدت حملات دیگری نیز روی ‫آسیب‌پذیری‌های افزونه‌ها و تم‌های وردپرس صورت گرفته و حملات این کمپین 75 درصد کل چنین حملاتی را تشکیل می‌دادند. مهاجمانی که این کمپین را اداره می‌کنند، در اواخر ماه آوریل نیز در کمپین دیگری به دنبال سوء استفاده از آسیب‌پذیری‌های XSS وردپرس بودند.
 

در کمپین قبلی، از 20 هزار IP مختلف برای حمله استفاده می‌شد و در کمپین جدید نیز اکثر حملات با استفاده از همین IPها صورت گرفته‌اند. در حملات اخیر، یک میلیون وب‌سایت جدید نیز مورد هجوم واقع شده‌اند که جزء اهداف کمپین قبلی نبوده‌اند.
در هر دو کمپین، تقریباً تمام حملات، از آسیب‌پذیری‌های قدیمی استفاده می‌کردند که در افزونه‌ها یا تم‌های به‌روز نشده وردپرس وجود دارند. این آسیب‌پذیری‌ها امکان export یا دانلود کردن فایل‌ها را فراهم می‌کنند. در کمپین جدید مهاجمان قصد دانلود فایل wp-config.php را داشتند. این فایل حاوی گذرواژه و اطلاعات اتصال به پایگاه داده است و همچنین شامل کلیدهای یکتا و saltهای احراز هویت است. اگر مهاجمی به این فایل دسترسی پیدا کند می‌تواند به پایگاه داده وب‌سایت که شامل محتویات وب‌سایت و مشخصات کاربران آن است، دست یابد.
به نظر می‌رسد مهاجمین به طور سیستماتیک کدهای بهره‌برداری را از وب‌سایت exploit-db.com و سایر منابع استخراج و آنها را روی لیستی از وب‌سایت‌ها اجرا می‌کنند. در حال حاضر مهاجمین مشغول استفاده از صدها آسیب‌پذیری هستند، اما آسیب‌پذیری‌های CVE-2014-9734، CVE-2015-9406، CVE-2015-5468 و CVE-2019-9618 جزء موارد با بیشترین استفاده بوده‌اند.
اگر وب‌سایت شما مورد حمله واقع شده باشد، می‌توانید اثرات آن را در فایل لاگ سرور خود مشاهده کنید. در فایل لاگ به دنبال مدخل‌هایی بگردید که قسمت query آنها شامل wp-config بوده و پاسخ آنها کد 200 است. 10 آدرسی که بیشترین حملات از آنها صورت گرفته عبارت اند از:

• 200.25.60.53
• 51.255.79.47
• 194.60.254.42
• 31.131.251.113
• 194.58.123.231
• 107.170.19.251
• 188.165.195.184
• 151.80.22.75
• 192.254.68.134
• 93.190.140.8

وب‌سایت‌هایی که از وردفنس استفاده می‌کنند در برابر این حملات مصون هستند. اگر از کاربران وردفنس نیستید و احتمال می‌دهید مورد حمله واقع شده باشید، گذرواژه پایگاه داده، کلیدها و saltهای احراز هویت را تغییر دهید. برای ایجاد این تغییرات ممکن است نیاز باشد تا با هاستینگ وب‌سایت خود تماس بگیرید. در ضمن برای جلوگیری از حملات، همه افزونه‌ها و تم‌های وردپرس را به‌روز نگه دارید.
اگر سرور شما طوری پیکربندی شده است که اجازه دسترسی از راه دور را به پایگاه داده می‌دهد، مهاجم با داشتن گذرواژه پایگاه داده می‌تواند به راحتی کاربر مدیر جدید اضافه کند، داده‌های حساس را سرقت کند یا کل وب‌سایت را پاک کند. در صورتی که امکان دسترسی از راه دور به پایگاه داده فراهم نباشد نیز، ممکن است مهاجم با داشتن کلیدها و saltهای احراز هویت بتواند سایر مکانیزم‌های امنیتی را دور بزند.

https://www.wordfence.com/blog/2020/06/large-scale-attack-campaign-targets-database-credentials
https://threatpost.com/attackers-target-1m-wordpress-sites-to-harvest-database-credentials/156255

آسیب پذیری CVE-2020-1301 از نوع اجرای کد از راه دور می باشد که با شدت خطر CVSS 7.5 شناخته شده است. مهاجم احراز هویت شده، برای بهره برداری موفق از این آسیب پذیری تنها نیاز به ساخت و ارسال یک پکت خاص به سمت سرور مورد هدف دارد. این آسیب پذیری از عدم برخورد صحیح SMBv1 با درخواست های ورودی از سمت کاربر نشات می گیرد.

نسخه های آسیب پذیر:

• Windows 10 Version 1809 for x64-based Systems Windows 10 for 32-bit Systems
• Windows 10 Version 1903 for 32-bit Systems Windows 10 for x64-based Systems
• Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1709 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1709 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1709 for x64-based Systems
• Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 1803 for 32-bit Systems
• Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 1803 for ARM64-based Systems
• Windows 10 Version 2004 for x64-based Systems Windows 10 Version 1803 for x64-based Systems
• Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for 32-bit Systems
• Windows RT 8.1 Windows 7 for 32-bit Systems Service Pack 1
• Windows Server 2008 for 32-bit Systems Service Pack 2 Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows 8.1 for 32-bit systems
• Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows 8.1 for x64-based systems
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
• Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012 R2 Windows Server 2012 (Server Core installation)
• Windows Server 2016 Windows Server 2012 R2 (Server Core installation)
• Windows Server 2019 Windows Server 2016 (Server Core installation)
• Windows Server, version 1803 (Server Core Installation) Windows Server 2019 (Server Core installation)
• Windows Server, version 1909 (Server Core installation) Windows Server, version 1903 (Server Core installation)
• (Windows Server, version 2004 (Server Core installation)

بروز رسانی جدیدی برای مرتفع سازی این آسیب پذیری انتشار یافته است، شما می توانید با مراجعه به لینک زیر اطلاعات بیشتری متناسب با نسخه مورد استفاده خود دریافت نمایید.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1301

همچنین پیشنهاد می شود تا SMbv1 را غیر فعال نمایید:
کاربران Windows 8.1 یا Windows Server 2012 R2 می توانند طبق مراحل زیر اقدام به غیر فعال سازی نمایند.

1.  Open Control Panel, click Programs, and then click Turn Windows features on or off.
2.  In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.

کاربران سیستم عامل های سرور نیز می توانند از مراحل زیر اقدام نمایند.

1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
3. Restart the system.

آسیب‌پذیری SMBGhost با شناسه CVE-2020-0796 در مکانیزم فشرده‌سازی SMBv3.1.1 حدود سه ماه پیش وصله و برطرف شد. در مطالب مختلفی این آسیب‌پذیری و نحوه بهره‌برداری از آن برای افزایش سطح دسترسی محلی نشان داده شدند. در طول بررسی‌ها درخصوص این آسیب‌پذیری مشخص شد که این تنها نقص در عملکرد از حالت فشرده‌سازی خارج کردن SMB نیست بلکه SMBleed در همان تابع SMBGhost رخ می‌دهد. این نقص به مهاجم اجازه می‌دهد تا حافظه‌ی کرنل غیرمجاز را بخواند که در این مطلب، توضیحاتی با جزئیات بیشتر در خصوص این آسیب‌پذیری ارائه شده است.

Jitsi یک راهکار ویدئوکنفرانس کاملاً رایگان و ‫متن‌باز است. از ویژگی‌های امنیتی آن می‌توان به رمزنگاری سرتاسری در جلسات P2P (دو کاربره) و رمزنگاری بین کلاینت و سرور در جلسات چندکاربره اشاره کرد. اکوسیستم Jitsi از اجزای مختلفی تشکیل شده است. Jitsi Meet Server سرور مورد استفاده در برگزاری جلسات است. کلاینت‌ها از طریق مرورگر وب با سرور ارتباط برقرار می‌کنند. محتوای چندرسانه‌ای نیز از طریق WebRTC به طور مستقیم بین کلاینت‌ها ارسال می‌شود. برای موبایل نیز از اپلیکیشن‌های Jitsi ویژه اندروید و iOS استفاده می‌شود. در جلسات چندنفره از یک مسیریاب ویدئو (SFU ) به نام Jitsi Videobridge استفاده می‌شود که وظیفه انتقال محتوای ویدئویی را بین کلاینت‌ها به عهده دارد. جهت مطالعه بیشتر کلیک کنید.

اخیراً سیسکو اعلام کرده‌است که تعداد زیادی ‫آسیب‌پذیری‌ را در سیستم‌عامل IOS روترهایش برطرف کرده‌است که شامل بیش از ده‌ها آسیب‌پذیری است که بر سوئیچ‌ها و روترهای صنعتی شرکت تا‌ثیر می‌گذارند. درمجموع، 25 آسیب‌پذیری با شدت بالا و بحرانی در سیستم‌عامل‌های IOS و IOS XE رفع شده‌اند. علاوه بر این، این شرکت تعدادی توصیه‌ی دیگر را در مورد نقص‌هایی با شدت بالا و متوسط که بر IOS و سایر نرم‌افزارها تاثیر می‌گذارند، منتشر کرده ‌است.
یکی از مهمترین این آسیب‌پذیری‌ها که بحرانی نیز است با شناسه CVE-2020-3205 قابل ردیابی بوده که به یک مهاجم غیرمجاز اجازه می‌دهد تا دستورات شل دلخواه را بر روی یک سرور VDS اجرا کند.آسیب‌پذیری مهم دیگر با شناسه‌ی CVE-2020-3198 نیز مشابه مورد قبل عمل می‌کند. با توجه به اینکه به یک مهاجم غیرمجاز اجازه می‌دهد تا از راه دور کد دلخواه را بر روی سیستم آسیب‌پذیر اجرا کند، مهاجم قادر است با ارسال بسته‌های مخرب به دستگاه، به سادگی باعث خرابی(crash) و سپس راه‌اندازی مجدد(reboot) دستگاه ‌شود. از طرفی دیگر، سیسکو آسیب‌پذیری با شناسه CVE-2020-3227 را نیز بحرانی اعلام کرده است. به طور خلاصه، با توجه به کسب امتیاز 9.8 از 10 در مقیاس CVSS، خطر این آسیب‌پذیری از موارد قبلی کمتر نیست. برای مطالعه بیشتر اینجا کلیک کنید.

بر اساس گزارشات منتشر شده، پروتکل (Universal Plug and Play (UPnP می‌تواند برای ارسال ترافیک به مقصدهای دلخواه با استفاده از قابلیت SUBSCRIBE مورد سوء استفاده قرار گیرد. پروتکل UPnP به گونه‌ای طراحی شده است که در یک شبکه محلی (LAN) قابل اعتماد مورد استفاده قرار می‌گیرد و هیچ گونه احراز و تصدیق هویت را اجرا نمی‌کند. بسیاری از دستگاه‌های متصل به اینترنت، از پروتکل UPnP پشتیبانی می‌کنند. آسیب‌پذیری کشف شده در قابلیت UPnP SUBSCRIBE به مهاجمان اجازه می‌دهد تا مقادیر زیادی از داده‌ها را به مقصدهای دلخواه قابل دسترسی از طریق اینترنت ارسال کنند که این امر می‌تواند منجر به حمله(Distributed Denial of Service (DDoS، نشت و سرقت داده‌ها و سایر اعمال غیرمنتظره در شبکه شود. این ‫آسیب‌پذیری با شناسه "CVE-2020-12695" و با عنوان Call Stranger شناخته می‌شود. برای مطالعه بیشتر اینجا کلیک کنید.