یک آسیب‌پذیری روز صفر (zero-day) در Atlas VPN که بر روی کاربران لینوکس تاثیر دارد، اطلاعات واقعی IP کاربر را به‌راحتی توسط بازدید از یک وب‌سایت فاش می‌کند. Atlas VPN یک محصول وی‌پی‌ان (VPN) است که یک راه‌حل اقتصادی بر پایه WireGuard ارائه می‌دهد و تمامی سیستم‌عامل‌های اصلی را پشتیبانی می‌کند. AtlasVPN، که یک دیمون را در سیستم‌عامل لینوکس اجرا می‌کند، همچنین یک سرور HTTP برای پذیرش دستورات رابط خط فرمان (CLI) اجرا می‌کند. این پیش‌فرض با 127.0.0.1:8076 متصل است. مشخص شد که این سرور HTTP هنگام اجرای دستورات هیچ احراز هویتی ندارد. سرور HTTP انتهای 127.0.0.1:8076/connection/stop را اجرا می‌کند که می‌تواند یک درخواست POST را دریافت کند. این کار می‌تواند برای قطع اتصال AtlasVPN استفاده شود.
در یک نمونه عملی از (exploit) به اشتراک گذاشته شده در Reddit، یک محقق توضیح داده است که کلاینت لینوکس Atlas VPN، به خصوص آخرین نسخه 1.0.3، یک نقطه پایان واسط برنامه‌نویسی (API) دارد که در localhost (127.0.0.1) به پورت 8076 گوش می‌دهد. این API یک رابط خط فرمان (CLI) برای انجام اقدامات مختلف ارائه می‌دهد، مانند قطع اتصال یک جلسه وی‌پی‌ان با استفاده از آدرس http://127.0.0.1:8076/connection/stop. با این حال، این API هیچ احراز هویتی انجام نمی‌دهد و به هر کسی اجازه می‌دهد تا دستوراتی به CLI صادر کند، حتی وب‌سایتی که شما دارید بازدید می‌کنید. یک کاربر Reddit به نام 'Educational-Map-8145' یک آسیب پذیری PoC را در Reddit منتشر کرد که از API لینوکس Atlas VPN برای فاش کردن IP واقعی کاربر استفاده می‌کند.
این PoC یک فرم مخفی ایجاد می‌کند که به‌صورت خودکار توسط جاوااسکریپت بهURL http://127.0.0.1:8076/connection/stop ارسال می‌شود. وقتی به این URL دسترسی داده می‌شود، به طور خودکار جلسات فعال Atlas VPN را که آدرس IP کاربر را مخفی می‌کنند، قطع می‌کند. پس از قطع شدن اتصال وی‌پی‌ان، PoC به URL api.ipify.org متصل می‌شود تا IP واقعی بازدیدکننده را ثبت کند.
این موضوع، نقض جدی حریم خصوصی برای هر کاربر وی‌پی‌ان است چرا که موقعیت فیزیکی تقریبی و آدرس IP واقعی او را نمایش می‌دهد و به او اجازه می‌دهد که رهگیری شود و یکی از دلایل اصلی استفاده از وی‌پی‌ان را نقض می‌کند.
این PoC از تراز (Cross-Origin Resource Sharing) CORS موجود در مرورگرهای وب عبور می‌کند زیرا درخواست‌ها به API لینوکس Atlas VPN به عنوان درخواست فرم ارسال می‌شوند. مکانیسم CORS یا "Cross-Origin Resource Sharing" یک مکانیسم امنیتی در مرورگرهای وب است که تاکید دارد، درخواست‌ها از یک دامنه مخصوص به دامنه‌ای دیگر باید محدود شوند. با این حال، تعریف می‌کند که درخواست‌هایی که به عنوان «درخواست‌های ساده» شناخته می‌شوند، معاف از این محدودیت هستند. درخواست‌های ساده به درخواست‌هایی اشاره دارد که از متد‌های HTTP معمولی مانند GET، POST، یا HEAD استفاده می‌کنند و از هدرهای خاصی مثل `Content-Type` استفاده نمی‌کنند. این درخواست‌ها به‌طور معمول از دامنه مبدا به دامنه مقصد ارسال می‌شوند و توسط مرورگر تشخیص داده می‌شوند که به عنوان درخواست‌های ساده شناخته می‌شوند. به‌عبارت دیگر، آن‌ها از معماری مرورگر برای اجرای درخواست‌های متقابل دامنه‌ای به دامنه‌های مختلف استفاده می‌کنند.
درخواست‌های فرم به عنوان «درخواست‌های ساده» در محدودیت‌های CORS معاف هستند. به‌عبارت دیگر، اگر یک وب‌سایت درخواست فرمی را ارسال کند، این درخواست ممکن است به دامنه دیگری ارسال شود (مثلاً به دامنه localhost با پورت 8076 در مورد متن اصلی) و مرورگر این درخواست را به‌عنوان درخواست ساده در نظر می‌گیرد. این می‌تواند برای اجرای درخواست‌های از راه دور به منابع مختلف بدون محدودیت اجازه دهد که در مورد آسیب‌پذیری امنیتی (که در متن مطرح شده است)، به واقعیت منجر شود.
کاربر Reddit ادعا کرده است که با مسئولان Atlas VPN در مورد مشکل تماس گرفته ولی نادیده گرفته شده و از آنجایی که شرکت برنامه پاداشی برای یافتن آسیب‌پذیری در نظر نداشت، افشای عمومی تنها گزینه منطقی باقی مانده بود. Atlas VPN در نهایت چهار روز پس از افشای مشکل به آن پاسخ داد و از گزارش‌دهنده عذرخواهی کرده و قول داده است که به زودی یک رفع مشکل برای کلاینت لینوکس خود منتشر خواهد کرد. همچنین، کاربران لینوکس به محض انتشار به روزرسانی مطلع خواهند شد.
سخنگوی Atlas VPN پیام زیر را ارسال کرده است: «ما از آسیب‌پذیری امنیتی که بر روی کلاینت لینوکس Atlas VPN ما تأثیر می‌گذارد، آگاه هستیم. ما امنیت و حریم خصوصی کاربران را بسیار جدی می‌گیریم. بنابراین، ما در حال کار برای رفع آن هستیم. پس از حل مشکل، کاربران ما در رابطه با بروزرسانی نرم‌افزار لینوکس خود آگاه خواهند شد.»
با توجه به اهمیت حیاتی این آسیب‌پذیری روز صفر که تا زمان انتشار یک پچ هنوز قابل بهره‌برداری است، به کاربران کلاینت لینوکس Atlas VPN به شدت توصیه می‌شود تا اقدامات فوری ایمنی را انجام دهند، از جمله در نظر گرفتن یک راه‌حل VPN جایگزین.
توصیه های امنیتی
1. به‌روزرسانی و دریافت نسخه جدید: اگر از AtlasVPN برای لینوکس استفاده می‌کنید، مطمئن شوید که نسخه جدیدتر و به‌روز شده را نصب کرده‌اید. گاهی اوقات تولیدکنندگان نرم‌افزارهای امنیتی پس از کشف آسیب‌پذیری‌ها پچ‌ها و به‌روزرسانی‌هایی منتشر می‌کنند تا مشکلات امنیتی را برطرف کنند.
2. محدود کردن دسترسی به API: اگر امکان استفاده از AtlasVPN API در یک محیط محدود دارید، تنظیمات سرور را طوری تنظیم کنید که فقط از دامنه‌ها یا مکان‌های امنیتی خاصی دسترسی داشته باشد. این کار می‌تواند مسائل امنیتی را کاهش دهد.
3. پیکربندی درست CORS: اگر شما مسئول پیکربندی وب‌سایت‌ها هستید و از امکانات CORS برای محافظت از منابع خود در برابر درخواست‌ها از دامنه‌های مختلف استفاده می‌کنید، مطمئن شوید که پیکربندی CORS به‌درستی انجام شده باشد و درخواست‌هایی را که نباید به دامنه‌های دیگر دسترسی داشته باشند، محدود کنید.
4. استفاده از یک راه‌حل VPN جایگزین: اگر نگران امنیت AtlasVPN برای لینوکس هستید، می‌توانید به دنبال راه‌حل‌های VPN دیگری باشید که امنیت بیشتری ارائه می‌دهند و از آسیب‌پذیری‌های امنیتی جلوگیری می‌کنند.
منبع خبر

یک آسیب‌پذیری با شدت بالا در PHPFusion کشف شده است. PHPFusion یک سیستم مدیریت محتوای منبع باز (CMS) است که توسط بیش از 15 میلیون وب‌سایت در سراسر جهان برای مدیریت و سفارشی‌سازی محتوا و طراحی‌های خود استفاده می‌شود. این آسیب‌پذیری شناسایی شده که با نام (CVE-2023-2453) ثبت شده، ممکن است منجر به اجرای کد از راه دور (RCE) شود، به این معنی که یک مهاجم می‌تواند به سیستم هدف دسترسی پیدا کرده و دستورات مخرب را اجرا کند. مرکز تحقیقات امنیت سایبری سینوپسیس (CyRC) که این آسیب‌پذیری را کشف کرده است، هشدار داد که در حال حاضر هیچ پچی برای اصلاح این آسیب‌پذیری وجود ندارد و همچنین آگاهی از هیچ برنامه‌ای از سوی صاحبان پروژه برای ایجاد پچ اعلام نشده است. CVE-2023-2453 بر روی نسخه 9.10.30 و نسخه‌های قدیمی‌تر PHPFusion تأثیر می‌گذارد. این آسیب‌پذیری دارای امتیاز پایه CVSS 8.3 است، که یک امتیاز با شدت «بالا» است.
خطر سرقت اطلاعات
این آسیب‌پذیری ناشی از عدم تمیزکاری کافی نام‌های فایل آلوده است که به‌صورت مستقیم به یک مسیر افزوده می‌شوند و سپس به یک دستور 'require_once' منتقل می‌شوند. با توجه به این موضوع، مهاجم فایل‌های خودسرانه با پسوند '.php' را که مسیر مطلق آن‌ها برای اجرا شناخته شده است، وارد و اجرا کند. این یک آسیب‌پذیری امنیتی است که ناشی از نبود مکانیزم مناسب برای نام فایل‌هاست. وقتی که نام‌های فایل‌ها به صورت مستقیم به یک مسیر افزوده می‌شوند و سپس در یک دستور به نام 'require_once' یا مشابه آن منتقل می‌شوند، می‌توان به راحتی تزریق کد مخرب به سیستم یا برنامه‌ای که از این فایل‌ها استفاده می‌کند، انجام داد. برای مثال، یک مهاجم می‌تواند یک فایل با پسوند '.php' را با نام مخربی که به صورت مستقیم به یک مسیر اضافه می‌شود، ایجاد کند. سپس با فراخوانی دستور 'require_once'، این فایل مخرب به اجرا درآید. اگر نام فایل‌ها به درستی تمیزکاری نشده باشد و اجازه ورود فایل‌های ناامن به سیستم داده شود، مهاجم می‌تواند کد خبیثی را اجرا کرده و به سیستم دسترسی یابد یا به اطلاعات حساس دست پیدا کند. برای جلوگیری از این نوع آسیب‌پذیری‌ها، باید نام‌های فایل‌ها و مسیرهایی که به صورت دینامیک به آن‌ها ارجاع داده می‌شود، به دقت تعریف شوند تا فقط فایل‌های معتبر و ایمن به سیستم افزوده شوند. همچنین، بهتر است از روش‌های امن‌تر برای اجرای فایل‌ها مانند استفاده از مکانیزم‌های مجازی‌سازی یا فیلترهای امنیتی استفاده کرد تا آسیب‌پذیری‌های امنیتی کاهش یابند.
برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید دسترسی «عضو»، «مدیر» یا «مدیر برتر» داشته باشد. سپس می‌توانند یک درخواست HTTP GET با فرمت ارسال کننده به یک نقطه‌پایان در فروم ارسال کنند که پارامتر آسیب‌پذیر حاوی دنباله‌های رفتن به سرچشمه است تا فایل‌های '.php' خودسرانه را در سیستم عامل زیرین وارد و اجرا کنند.
پژوهشگران تأکید کردند که هیچ وسیله‌ای در PHPFusion وجود ندارد که مهاجم بتواند یک فایل حمله‌ای با پسوند '.php' بارگذاری کرده و هدف گیری کند. زیرا هیچ پچی برای این آسیب‌پذیری در دسترس نیست، هاگ به کاربران توصیه کرد که از طریق پنل مدیریتی فروم را غیرفعال کنند تا نقطه‌پایانی که از آن این آسیب‌پذیری بهره‌برداری می‌شود، حذف شود.
آسیب‌پذیری دوم کشف شده
تیم سینوپسیس یک آسیب‌پذیری دیگر در PHPFusion با شناسه CVE-2023-4480 کشف کرد، که یک آسیب‌پذیری خواندن فایل اختیاری تصدیق شده با شدت متوسط و محدودیت نوشتن فایل است. در این مورد، حمله‌کنندگان که با دسترسی مدیر یا مدیر برتر تصدیق شده‌اند، می‌توانند محتوای هر فایل روی سرور را بخوانند اگر مسیر مطلق آن مشخص و در دسترس کاربر باشد. هیچ پچی برای این آسیب‌پذیری در دسترس نیست و سینوپسیس به شرکت‌های تحت تأثیر توصیه می‌کند که از فناوری‌هایی مانند دیوار آتش برنامه‌های وب برای حفاظت خود استفاده کنند.
توصیه‌های امنیتی
1. اعمال محدودیت دسترسی: در صورت امکان، دسترسی به پنل مدیریتی PHPFusion را برای کاربران غیرضروری محدود کنید و فقط به افرادی که نیازمند دسترسی مدیر هستند، اجازه دسترسی دهید.
2. غیرفعال‌سازی Infusion مشکوک: در این مورد، Infusion "Forum" به عنوان نقطه ضعف مشخص شده است. به از بین بردن یا غیرفعال‌سازی این Infusion از طریق پنل مدیریتی PHPFusion می‌توانید مسیر اصلی این آسیب‌پذیری را ببندید.
3. استفاده از Web Application Firewall (WAF): اگر غیرفعال‌سازی Infusion ممکن نیست، ممکن است از فایروال برنامه‌های وب (Web Application Firewall) به عنوان یک لایه اضافی از دفاع در برابر تلاش‌های نفوذ استفاده کنید. این فایروال ممکن است تلاش‌های حمله را فیلتر کند و سعی در اجرای کد مخرب را متوقف کند. 

منبع خبر

شرکت Apple به‌روزرسانی‌های امنیتی اضطراری را برایiOS، iPadOS،  macOS و watchOS منتشر کرد تا دو آسیب پذیری روز صفر را که برای ارائه نرم‌افزار Pegasus  گروه NSO اکسپلویت شده اند را برطرف کند.
این دو آسیب پذیری با عنوان CVE-2023-41064 و CVE-2023-41061 ارزیابی شده اند. این اکسپلویت شامل پیوست‌های PassKit بود که حاوی تصاویر مخربی بود که از یک حساب کاربری iMessage  مهاجم برای قربانی ارسال می‌شد. زنجیره اکسپلویت قادر بود آیفون هایی را که آخرین نسخه iOS (16.6) را اجرا می کردند، بدون هیچ گونه تعاملی از جانب قربانی به خطر بیندازد. آسیب پذیری با شناسه CVE-2023-41061، یک مشکل اعتبار سنجی در Wallet است که می تواند منجر به اجرای کد، هنگام مدیریت یک پیوست ساخته شده مخرب شود.
آسیب پذیری با شناسه CVE-2023-41064، یک مشکل سرریز بافر در مؤلفه Image I/Oاست که می تواند منجر به اجرای کد، هنگام پردازش یک تصویر ساخته شده به طور مخرب شود.
این آسیب پذیری نسخه iPhone 8 و بعدتر، همه مدل های iPad Pro،  iPad Air 3rd و بعدتر، macOS Ventura، Apple Watch Series4  و بعدتر را تحت تاثیر گذاشته است.
از مشتریان اپل خواسته شده است، فوراً دستگاه های خود را به روزرسانی کنند و از افرادی که به دلیل هویت یا حرفه خود در معرض حملات هدفمند قرار دارند، درخواست شده است حالت   Lockdown  را فعال کنند.
منابع خبر

یک آسیب‌پذیری در پیاده‌سازی  SSO در پلتفرم‌های BroadWorks Application Delivery و BroadWorks Xtended Services  سیسکو شناسایی شده است که ممکن است این امکان را برای یک مهاجم از راه دور و احراز هویت نشده فراهم سازد تا به یک سیستم آسیب‌پذیر دسترسی پیدا کند. این نقص که با شناسه CVE-2023-20238 و شدت 10.0 ردیابی می‌شود، به دلیل روشی است که برای اعتبارسنجی توکن‌های SSO استفاده می‌شود. مهاجم می‌تواند با احراز هویت در اپلیکیشن BroadWorks با اعتبار جعلی، از این آسیب‌پذیری بهره‌برداری کند. با یک اکسپلویت موفق مهاجم می‌تواند موفق به اجرای دستورات در سطح امتیاز حساب جعلی خود شود. اگر این حساب جعلی، حساب Administrator باشد، مهاجم می‌تواند اطلاعات محرمانه را مشاهده کند و تنظیمات customer یا سایر کاربران را تغییر دهد. برای بهره‌برداری از این آسیب‌پذیری، مهاجم به یک ID یا شناسه کاربری نیاز دارد که با سیستم آسیب‌دیده BroadWorks مرتبط باشد. بهره‌برداری از این آسیب‌پذیری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء‌استفاده از آن نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان  به شرایط خاصی  نیاز  نیست(AC:L). برای انجام حمله نیز به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N). سوء‌استفاده از آن، بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:C). در بدترین شرایط (قربانی شدن کاربری با سطح دسترسی ادمین) و با سوء‌استفاده از این نقص امینتی، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
در صورتی که دو پلتفرم BroadWorks Application Delivery و BroadWorks Xtended Services، یک نسخه آسیب‌پذیر از BroadWorks را اجرا کنند و یکی از برنامه‌های کاربردی زیر را فعال کنند، تحت تاثیر این نقص قرار می‌گیرند:

•    BWCallCenter

سیسکو همچنین تایید کرده است که این آسیب‌پذیری محصولات زیر را تحت تاثیر قرار نمی‌دهد:

توصیه‌های امنیتی
برای رفع این نقص، سیسکو SMUهای زیر را منتشر کرده است و به کاربران توصیه می‌کند تا در اسرع وقت به‌روزرسانی‌های امنیتی را اعمال کنند.

منابع خبر

آسیب پذیری های Apache Superset سرورها را در معرض حملات اجرای کد از راه دور قرار می دهد. برای رفع دو آسیب پذیری امنیتی جدید، وصله هایی در Apache Superset منتشر شده اند که می توانند توسط مهاجم برای اجرای کد از راه دور در سیستم های آسیب پذیر اکسپلویت شوند. 
آسیب پذیری CVE-2023-39265 نسخه 2.1.1 و CVE-2023-37941 انجام عملیات تهاجمی را برای یک مهاجم که به کنترل پایگاه داده دسترسی دارد، ممکن می سازد. آخرین نسخه Superset، یک آسیب پذیری مجزای REST API نادرست (CVE-2023-36388) را برطرف می کند که به کاربران با دسترسی پایین اجازه می دهد، حملات جعلی درخواست سمت سرور(SSRF) انجام دهند. اگر مهاجم به پایگاه داده Apache Superset دسترسی داشته باشد، با استفاده از CVE-2023-37941 می‌تواند یک شی پایتون ساخته شده را ایجاد کند که ممکن است منجر به اجرای کد از راه دور در وب Superset شود. این آسیب پذیری نسخه  1.5.0 تا  Apache Superset 2.1.0را تحت تأثیر قرار می دهد.
آسیب پذیری CVE-2023-39265 به اتصالات پایگاه داده SQLite اجازه می دهد، زمانی که مهاجم از نام های درایور جایگزین مانند sqlite+pysqlite یا با استفاده از وارد کردن پایگاه داده استفاده می کند، به اشتباه ثبت شوند و امکان ایجاد فایل غیرمنتظره در وب سرورهای Superset را فراهم کنند. همچنین، اگر Apache Superset از پایگاه داده SQLite برای ابرداده های خود استفاده کند، می تواند منجر به آسیب پذیری های شدیدتری مربوط به محرمانه بودن و یکپارچگی شود. این آسیب‌پذیری در نسخه‌های Apache Superset تا2.1.0  وجود دارد.
این آسیب پذیری به یک مورد از  bypass URI  در هنگام اتصال به پایگاه داده SQLite  مربوط می شود و مهاجم می تواند دستورات دستکاری داده ها را اجرا کند.
همچنین، عدم تأیید اعتبار هنگام وارد کردن اطلاعات اتصال پایگاه داده SQLite از یک فایل ردیابی می شود که می تواند برای وارد کردن یک فایل بایگانی  ZIP ساخته شده به طور مخرب اکسپلویت شود.

بر اساس طراحیSuperset ،کاربران با دسترسی بالا می توانند به پایگاه های داده متصل شوند و با استفاده از رابط قدرتمندSQLLab ، پرس و جوهای SQL  را در برابر آن پایگاه داده ها اجرا کنند.
اگر Superset بتواند به پایگاه داده ابرداده خود متصل شود، مهاجم می تواند مستقیماً پیکربندی برنامه را از طریق SQL Lab دستکاری کند و منجر به جمع آوری اعتبار و اجرای کد از راه دور شود.    

منابع خبر

حمله به سرورهای مایکروسافت SQL برای استقرار باج افزار FreeWorld 

شکل 1- تصویری از باج افزار FreeWorld

در حال حاضر، عوامل تهدیدی یا هکرها، از سرورهای Microsoft SQL (MS SQL) که امنیت پایین دارند، به منظور ارسال دو نوع بدافزار به نام‌های Cobalt Strike و FreeWorld استفاده می‌کنند. این دو بدافزار به عنوان ابزارهایی برای حملات سایبری و باج‌افزار به‌کار می‌روند.
شرکت امنیتی به نام Securonix این حمله را با نام DB#JAMMER شناخته و آن را از دیگر حملات مشابه به دلیل نحوه استفاده از ابزارها و زیرساخت‌ها متمایز می‌کند.
تحلیل‌گران امنیتی در یک تحلیل فنی از این حمله اظهار می‌کنند که ابزارهایی مانند نرم‌افزارهای شمارش، بارگذاری نرم‌افزار RAT (Remote Access Trojan)، نرم‌افزارهای انتزاع اطلاعات و دزدیدن اطلاعات اعتباری و در نهایت نرم‌افزارهای باج‌افزار از جمله ابزارهای استفاده شده در این حمله هستند.
نکته قابل توجه در اینجا این است که نوع بدافزار باج‌افزار مورد استفاده در این حمله یک نسخه جدیدتر از باج‌افزار Mimic به نام FreeWorld به‌نظر می‌آید.
مراحل این حمله به شرح زیر است:
1. دستیابی به دسترسی اولیه به سیستم هدف با استفاده از حمله brute-force به سرور MS SQL.
2. استفاده از این دسترسی برای شمارش دیتابیس و استفاده از گزینه تنظیم xp_cmdshell به منظور اجرای دستورات شل و انجام عملیات تجسس.
3. مرحله بعدی شامل اقداماتی برای مختل کردن دیواره آتش سیستم و ایجاد تثبیت با اتصال به یک سهمی (SMB) اشتراکی از راه دور به منظور انتقال فایل‌ها به/ از سیستم قربانی و نصب ابزارهای مخرب مانند Cobalt Strike است.
4. این مراحل در نهایت به اجرای نرم‌افزار AnyDesk منجر می‌شود که برای پخش باج‌افزار FreeWorld به‌کار می‌رود. اما قبل از این مرحله، حمله‌کنندگان اقداماتی برای جلوگیری از تشکیل اتصال دائمی RDP از طریق Ngrok نیز انجام می‌دهند.
Ngrok یک سرویس تونلینگ است که به افراد اجازه می‌دهد تا سرویس‌های محلی را به صورت ایمن از طریق اینترنت در دسترس عمومی قرار دهند. این ابزار به‌طور معمول توسط توسعه‌دهندگان و مهندسان سیستم برای تست و دسترسی به سیستم‌ها و خدمات محلی از راه دور استفاده می‌شود.
حالا، ایده "RDP persistence through Ngrok" این است که حمله‌کننده پس از نفوذ به سیستم هدف، از Ngrok به‌عنوان یک ابزار برای ایجاد اتصال دائمی RDP به سیستم استفاده می‌کند. این اتصال RDP از طریق اینترنت ایجاد می‌شود و توسط Ngrok به سیستم متصل می‌شود. این کار به حمله‌کننده اجازه می‌دهد که به‌طور مداوم و بدون اکتشاف از راه دور به سیستم هدف دسترسی داشته باشد و از تثبیت پنهان استفاده کند.
در کل، این روش به حمله‌کننده امکان می‌دهد که دسترسی دائمی به سیستم هدف را ایجاد کرده و از طریق RDP به آن دسترسی پیدا کند، حتی اگر از راه دور و بدون اطلاع کاربران یا مدیران سیستم باشد. این یکی از راه‌هایی است که حمله‌کنندگان برای حفظ دسترسی به سیستم‌ها بعد از نفوذ از آن استفاده می‌کنند.
 تحلیل‌گران به اهمیت رمزهای عبور قوی، به‌ویژه در سرویس‌های عمومی اشاره می‌کنند.
این حمله نخستین بار نیست که سرورهای MS SQL درست امن‌نشده را به عنوان هدف حملات سایبری برای اجرای بدافزارها انتخاب می‌کند. هفته گذشته، AhnLab Security Emergency Response Center (ASEC) جزئیات حمله جدیدی را منتشر کرد که با استفاده از بدافزارهای LoveMiner و projacking روی سرورهای تخریب‌شده طراحی شده‌اند.
این حمله در موازات با ادعای اپراتورهای باج‌افزار Rhysida در مورد داشتن ۴۱ قربانی، از جمله بیش از نیمی از آن‌ها در اروپا، انجام شده است.

Rhysida یک نوع باج‌افزار (Ransomware) است، که یک نوع خاص از نرم‌افزار مخرب بوده و فایل‌های کامپیوتری را رمزگذاری می‌کند که برای بازگشت دسترسی به آن‌ها از قربانیان پول (رمزگشایی) می‌خواهد. Rhysida به‌عنوان یکی از جدیدترین نسخه‌های باج‌افزار در سال ۲۰۲۳ ظاهر شده است.
 

شکل 2- تصویری از باج افزار Rhysida

همچنین این حمله مطابق با انتشار یک ابزار decryptor رایگان برای نوعی باج‌افزار به‌نام Key Group انجام شده است، که از اشتباهات رمزنگاری در برنامه بهره می‌برد. Key Group همانند دیگر باج‌افزارها به منظور به‌دست آوردن پول از قربانیان استفاده می‌شود. بر اساس آماری که Coveware در جولای 2023 به اشتراک گذاشته است، سال 2023 شاهد افزایش بی‌سابقه حملات باج افزار بوده است، حتی با وجود اینکه درصد حوادثی که منجر به پرداخت قربانی شده است به پایین‌ترین سطح خود یعنی 34 درصد کاهش یافته است. از سوی دیگر، میانگین مبلغ باج پرداختی به 740,144 دلار رسیده است که 126 درصد نسبت به سه ماهه اول 2023 افزایش یافته است. نوسانات در نرخ کسب درآمد با عوامل تهدید باج افزار همراه است که باعث توسعه تجارت اخاذی می‌شود، از جمله به اشتراک گذاری جزئیات تکنیک‌های حمله توسط هکرها افزایش یافته است.
 توصیه های امنیتی

•  به‌روزرسانی نرم‌افزار: اطمینان حاصل کنید که سیستم عامل، نرم‌افزارها و برنامه‌های خود را به‌روز نگه دارید. بسیاری از حملات باج‌افزار از آسیب‌پذیری‌هایی که در نسخه‌های قدیمی نرم‌افزارها وجود دارد، بهره می‌برند.
•  استفاده از نرم‌افزار امنیتی: نصب یک نرم‌افزار امنیتی و آنتی‌ویروس قوی می‌تواند به شما در شناسایی و پاک‌سازی باج‌افزارها کمک کند.
• پشتیبان‌گیری منظم: اطلاعات مهم و فایل‌های حساس خود را به‌صورت منظم پشتیبان‌گیری کنید. این کار می‌تواند در صورت رمزگشایی توسط باج‌افزار، از از دست رفتن اطلاعات شما جلوگیری کند.
• اجتناب از باز کردن فایل‌های پیوست ناشناخته: هرگز فایل‌های پیوست ایمیل یا لینک‌های مشکوک را باز نکنید و به دقت ایمیل‌های ناشناخته را حذف کنید.
• محدود کردن دسترسی: دسترسی به منابع حساس مانند سرورها و پایگاه‌های داده را محدود کنید. فقط افرادی که به‌طور واقعی نیاز به دسترسی دارند، باید به آنها دسترسی داشته باشند.
• مانیتورینگ فعال: سیستم‌های مانیتورینگ فعال راهکارهای موثری برای شناسایی حملات باج‌افزاری هستند. آگاهی داشتن از فعالیت‌های عجیب در سیستم‌های خود می‌تواند به شما کمک کند تا به سرعت واکنش مناسبی نسبت به حملات انجام دهید.

منبع خبر

MalDoc در PDF: یک حمله چند زبانه جدید که به مهاجمان اجازه می‌دهد آنتی ویروس را دور بزنند. محققان امنیت سایبری یک تکنیک جدید فرار از آنتی ویروس را کشف کرده‌اند که شامل جاسازی یک فایل مخرب مایکروسافت ورد در یک فایل PDF است.

شکل 1- تصویری از بدافزار MalDoC در PDF

گفته می‌شود که این روش مخفیانه که توسط JPCERT/CC در PDF به نام MalDoc نامگذاری شده است، قبلا در یک حمله در ژوئیه 2023 مورد استفاده قرار گرفته است. «یک فایل ایجاد شده با Maldoc در PDF می‌تواند در Word باز شود، حتی اگر دارای ساختار فایل PDF باشد». محققان می‌گویند: «اگر فایل دارای یک ماکروی پیکربندی شده باشد، با باز کردن آن در Word ، VBS رفتارهای مخرب را اجرا و انجام می‌دهد.»
چنین فایل‌هایی که به‌طور خاص ساخته شده‌اند، چند زبانه نامیده می‌شوند، زیرا شکلی قانونی از چندین نوع فایل مختلف، در این مورد، هم PDF و هم Word (DOC) هستند. این موضوع، مستلزم افزودن یک فایل MHT است که در Word ایجاد شده و یک ماکرو پس از شی فایل PDF پیوست شده است. نتیجه نهایی یک فایل PDF معتبر است که می‌تواند در برنامه Word نیز باز شود. به‌عبارت دیگر، سند PDF در درون خود یک سند Word با یک ماکرو VBS تعبیه می‌کند که برای دانلود و نصب فایل بدافزار MSI در صورت باز شدن به‌عنوان یک فایل DOC در Microsoft Office طراحی شده است. هنوز مشخص نیست که چه بدافزاری به این شکل توزیع شده است. یک محقق امنیتی، می‌گوید: «وقتی سندی از اینترنت یا ایمیل دانلود می‌شود، دارای MotW می‌باشد.» بدین ترتیب، کاربر باید روی «فعال کردن ویرایش» کلیک کند تا از نمای محافظت شده خارج شود. در این مرحله آنها یاد می‌گیرند که ماکروها غیرفعال هستند.
در حالی که حملات دنیای واقعی با استفاده از MalDoc در PDF کمی بیش از یک ماه پیش مشاهده شد، شواهدی وجود دارد که نشان می‌دهد ("DummymhtmldocmacroDoc.doc") در اوایل ماه مه آزمایش شده بود. این توسعه در بحبوحه افزایش کمپین‌های فیشینگ با استفاده از کدهای QR برای انتشار URL های مخرب انجام می‌شود. Trustwave هفته گذشته گفت: «نمونه‌هایی که ما با استفاده از این تکنیک مشاهده کرده‌ایم عمدتاً به عنوان اعلان‌های احراز هویت چند عاملی (MFA) پنهان شده‌اند که قربانیان خود را به اسکن کد QR با تلفن‌های همراه خود می‌کشند تا به اطلاعات آنها دسترسی پیدا کنند. یکی از این کمپین‌ها که اعتبار کاربران مایکروسافت را هدف قرار می‌دهد، از ماه می 2023 شاهد افزایش بیش از 2400 درصدی بوده است، و اشاره کرد که چگونه اسکن یک کد QR در دستگاه تلفن همراه کاربر را خارج از حفاظت‌های محیط سازمانی قرار می‌دهد.»

شکل 2- تصویری از نوتیفیکیشن‌های MFA

حملات مهندسی اجتماعی، همانطور که در حملات مرتبط با LAPSUS$ و Muddled Libra مشهود است، زمانی که عوامل تهدید از تاکتیک‌های vishing و فیشینگ برای دستیابی به دسترسی غیرمجاز به سیستم‌های هدف استفاده می‌کنند، پیچیده‌تر می‌شوند.
در یک نمونه که توسط سوفوس برجسته شده است، یک هکر با ترکیب تلفن و ایمیل، قربانی را فریب می‌دهد تا یک زنجیره حمله پیچیده علیه کارمند یک سازمان مستقر در سوئیس راه اندازی کند. تماس‌گیرنده که صدایش شبیه یک مرد میانسال بود، به کارمند گفت که او راننده تحویل یک بسته فوری به مقصد یکی از مکان‌های شرکت است. برای تحویل مجدد بسته، کارمند باید کدی را که شرکت حمل‌ونقل ایمیل می‌فرستد، با صدای بلند بخواند. شرکت حمل‌ونقل جعلی، قربانی را متقاعد کرد که فایلی را باز کند که به نظر می‌رسید یک پیوست پی‌دی‌اف حاوی کد است، اما در واقعیت، مشخص شد که این یک تصویر ثابت است که در متن پیام طراحی شده است درست مانند یک پیام Outlook با یک پیام ضمیمه‌ی ایمیل.
حمله هرزنامه تصویر جعلی در نهایت گیرنده را از طریق یک زنجیره تغییر مسیر به یک وب سایت جعلی برد که به نوبه خود، یک فایل اجرایی فریبنده را به‌عنوان یک سرویس بسته «سرویس بسته جهانی» اجرا کرد، که هنگام راه اندازی، به عنوان یک کانال عمل می‌کرد. برای ارائه اسکریپت‌های PowerShell اضافی برای سرقت داده‌ها و beacon به یک سرویس مخفی TOR راه دور.
در کمپین دیگری که توسط Cyble مورد توجه قرار گرفت، یک اسکریپت ویژوال بیسیک که از طریق یک فایل مخرب مایکروسافت اکسل اجرا شده بود، یافت شد که از کد PowerShell برای دانلود یک تصویر JPG حاوی یک بار دات نت با کد Base64 پنهان مانند Agent Tesla، LimeRAT و Remcos RAT استفاده می‌کرد. 

توصیه های امنیتی

• عدم باز کردن اسناد ناشناخته**: همیشه اسناد Wordی که از فرستندگان ناشناخته دریافت می‌کنید را با دقت بررسی کنید و تا اطمینان از امنیت آنها نداشته باشید، باز نکنید.
• فعال‌سازی محدودیت‌های ماکرو**: اگر یک اسناد Word مظنون به حاوی ماکروهای مخرب است، می‌توانید اجازه اجرای ماکروها را غیرفعال کنید. این کار را با تنظیم مرحله ‌به مرحله انجام دهید.
• استفاده از نرم‌افزارهای امنیتی**: از نرم‌افزارهای آنتی‌ویروس و ضد مخرب به‌روز و قوی استفاده کنید تا اسناد را اسکن کرده و تشخیص دهند.
• به‌روزرسانی نرم‌افزارها و سیستم‌عامل**: اطمینان حاصل کنید که نرم‌افزارهای شما و سیستم عامل به‌روز هستند تا از آسیب‌پذیری‌های امنیتی که ممکن است توسط Maldocها بهره‌برداری شود، جلوگیری شود.

همچنین به یاد داشته باشید که از هر چیزی که به نظر مشکوک می‌آید و از فرستندگان ناشناخته دریافت می‌کنید، دوری کنید و از تعامل با آن پرهیز کنید تا از تهدیدات امنیتی جلوگیری کنید.

منبع خبر

مهاجمان از دو آسیب پذیری اخیر MinIO برای نفوذ به سیستم های ذخیره سازی اشیا و دسترسی به اطلاعات خصوصی، اجرای کد از راه دور و کنترل سرورها اکسپلویت می کنند. 
MinIO یک سرویس ذخیره سازی اشیاء منبع باز است که توانایی سازگاری با آمازون S3 و ذخیره داده های بدون ساختار، گزارش ها، پشتیبان گیری و ارائه تصاویر کانتینر تا اندازه 50 ترابایت را دارد. عملکرد بالا و تطبیق پذیری، به ویژه برای برنامه های کاربردی AI/ML و داده ها در مقیاس بزرگ، MinIO را به یک انتخاب محبوب و مقرون به صرفه تبدیل می کند. دو آسیب‌پذیری که در حملات واکنش‌دهنده‌های امنیتی به‌صورت زنجیره‌ای یافت می‌شوند، باعنوان CVE-2023-28432 وCVE-2023-28434 و شدت بالا ارزیابی شده اند که همه نسخه‌های MinIO را قبل ازRELEASE.2023-03-20T20-16-18Z  تحت تأثیر قرار می‌دهند.
این نفوذ یک زنجیره اکسپلویت در دسترس عموم را برای درب پشتی نمونه MinIO به کار گرفته است. عامل تهدید در اسکریپت‌های bash و پایتون مهارت دارد و از دسترسی درب پشتی برای رها کردن بارهای اضافی از یک سرور راه دور برای اکسپلویت از طریق یک اسکریپت دانلودر استفاده می‌کند. این اسکریپت که می‌تواند  محیط‌های ویندوز و لینوکس را هدف قرار دهد، به‌عنوان دروازه‌ای برای پروفایل میزبان‌های در معرض خطر عمل می‌کند، که بر اساس آن پایان اجرا مشخص می شود. این نقطه پایانی به‌عنوان یک درب پشتی داخلی عمل می‌کند و به افراد غیرمجاز امکان اجرای دستورات را بر روی میزبانی که برنامه را اجرا می‌کند، ایجاد می کند.
این دو آسیب‌پذیری پتانسیل افشای اطلاعات حساس موجود در نصب در معرض خطر را دارند و اجرای کد از راه دور (RCE) را در میزبانی که برنامه MinIO در آن فعال است، تسهیل می‌کنند. آسیب پذیری ها توسط مهاجم برای به دست آوردن اعتبار مدیریت و اکسپلویت پایگاه برای جایگزینی مشتری MinIO روی میزبان با نسخه تروجانیزه شده با راه اندازی یک فرمان به روز رسانی که یک MIRROR_URL را مشخص می کند، مورد استفاده قرار گرفته است. 
مدیران سیستم ابری باید سریعا با اعمال به‌روزرسانی امنیتی موجود، برای محافظت از اطلاعات خود در برابر اپراتورهای Evil MinIO حرکت کنند.
منابع خبر

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-28434

عوامل تهدید از یک آسیب پذیری کد راه دور شناخته شده در سرورهای RocketMQ برای آلوده کردن دستگاه ها با بدافزار DreamBus اکسپلویت می کنند. حملات مداوم بدافزار بات نتDreamBus، سرورهای RocketMQ را در برابر آسیب پذیری اجرای کد از راه دور بحرانی هدف قرار داده اند که با عنوان CVE-2023-33246 و امتیاز  9.8ردیابی شده اند. مهاجمان پس از استفاده از شناسایی منبع باز "interactsh" برای انجام ارزیابی های آسیب پذیری سرور، اقدام به دانلود اسکریپت مخرب bash "reketed" کردند که دانلود و نصب ماژول DreamBus را تسهیل کرده است. ماژول اصلی DreamBus که تمام اسکن‌های VirusTotal AV را نیز از طریق بسته‌بندی سفارشی UPX  بدون شناسایی انجام می‌دهد، دارای چندین اسکریپت کدگذاری شده با base64 است که عملکردهای مختلفی از جمله دانلود ماژول‌های اضافی برای بدافزار را انجام می‌دهند. ماژول اصلی کارهایی مانند سیگنال دادن به وضعیت آنلاین آن بهC2، دانلود XMRig منبع بازMonero miner، اجرای اسکریپت های bash اضافی یا دانلود نسخه جدید بدافزار DreamBus را انجام می دهد. همچنین، با راه‌اندازی یک سرویس سیستم و یک کار cron که هر دو به صورت ساعتی اجرا می‌شوند، تضمین می‌کند که در سیستم‌های آلوده فعال باقی می‌ماند. عوامل تهدید می توانند عملیات DreamBus را برای انجام حملات متنوع تر تقویت کنند. 
این بدافزار همچنین دارای مکانیسم‌های انتشار جانبی با استفاده از ابزارهایی مانند ansible ،knife ،salt و pssh و یک ماژول اسکنر است که محدوده IP خارجی و داخلی را برای آسیب‌پذیری‌های قابل کشف بررسی می‌کند.

این آسیب پذیری بر RocketMQ نسخه 5.1.0 و قبل تر تأثیر می‌گذارد و به مهاجمان اجازه می‌دهد اجرای کد از راه دور را انجام دهند. 
برای جلوگیری از آخرین حملات DreamBus، توصیه می شود که مدیرانRockerMQ  را به نسخه5.1.1 یا بالاتر ارتقا دهند. نسخه‌های قبلی بدافزارDreamBus، برای هدف قرار دادن Redis، PostgreSQL، Hadoop YARN، Apache Spark، HashiCorp Consul و SaltStack شناخته شده‌اند، بنابراین برای مقابله با این تهدید، دنبال کردن مدیریت وصله، در تمامی محصولات نرم‌افزاری توصیه می‌شود.
منابع خبر

VMware Aria Operations for Networks  در برابر یک آسیب پذیری Bypass تایید هویت با شدت بحرانی، آسیب پذیر است که می تواند به مهاجمان راه دور اجازه دهد تا تایید هویت SSH را دور بزنند و به نقاط پایانی خصوصی دسترسی داشته باشند. VMware Aria مجموعه ای برای مدیریت و نظارت بر محیط های مجازی و ابرهای ترکیبی، امکان اتوماسیون فناوری اطلاعات، مدیریت گزارش، تولید تجزیه و تحلیل، دید شبکه، برنامه ریزی امنیت و ظرفیت و مدیریت عملیات کامل است. این آسیب پذیری که توسط تحلیلگران در ProjectDiscovery Research کشف شده است، با عنوان CVE-2023-34039 و CVSS: 9.8 ارزیابی شده است که مربوط به یک مورد دور زدن تایید هویت است که در نتیجه عدم تولید کلید رمزنگاری منحصر به فرد ایجاد شده است. مهاجم با دسترسی شبکه به Aria Operations for Networks می تواند تایید هویت SSH را دور بزند تا به Aria Operations for Networks CLI دسترسی پیدا کند. اکسپلویت آسیب پذیری CVE-2023-34039 می تواند منجر به استخراج یا دستکاری داده ها از طریق رابط خط فرمان محصول شود و منجر به اختلال در شبکه، اصلاح پیکربندی، نصب بدافزار و حرکت جانبی شود.
VMware به‌روزرسانی‌های نرم‌افزاری را برای تصحیح آسیب‌پذیری امنیتی در Aria Operations برای شبکه‌ها منتشر کرده است که می‌توانند برای دور زدن تایید هویت و به دست آوردن اجرای کد از راه دور مورد اکسپلویت قرار گیرند.
آسیب‌پذیری‌هایی که VMware Aria Operations Networks نسخه‌های 6.2، 6.3، 6.4، 6.5.1، 6.6، 6.7، 6.8، 6.9، 6.10 را تحت تأثیر قرار می‌دهند، در مجموعه‌ای از وصله‌های منتشر شده توسط VMware برای هر یک از نسخه‌ها برطرف شده‌اند.
ضروری است که کاربران سریعا VMware را به نسخه 6.11 به روزرسانی کنند تا از تهدیدات احتمالی محافظت کنند.
منابع خبر

[2] https://thehackernews.com/2023/08/critical-vulnerability-alert-vmware.html