گونه جدیدی از بدافزار مخفی سرقت اطلاعات به نام Bandit Stealer، به دلیل توانایی در هدف قرار دادن تعداد زیادی مرورگر وب و کیف پول‌ ارزهای دیجیتال، توجه محققان امنیت مجازی را به خود جلب کرده است.Trend Micro در گزارش خود عنوان کرد: "این بدافزار، پتانسیل آن را دارد که به پلتفرم‌های دیگر گسترش یابد زیرا با استفاده از زبان برنامه‌نویسی Go توسعه یافته است و احتمالاً امکان سازگاری بین پلتفرم‌ها را فراهم می‌کند." این بدافزار در حال حاضر روی هدف قرار دادن ویندوز، با استفاده از یک ابزار خط‌فرمان  قانونی به نام runas.exe متمرکز شده‌است. این ابزار به کاربران اجازه می‌دهد تا برنامه‌ها را به عنوان یک کاربر دیگر و با مجوزهای مختلفی اجرا کنند. هدف این بدافزار، افزایش امتیازات و اجرا شدن در دستگاه قربانی با داشتن دسترسی‌های مدیریتی  است. در نتیجه این بدافزار اقدامات امنیتی برای جمع‌آوری داده‌های گسترده را به طور مؤثری دور می‌زند. با این وجود، کاهش کنترل دسترسی مایکروسافت برای جلوگیری از اجرای غیرمجاز ابزار، به معنای تلاشی برای اجرای باینری بدافزار به عنوان یک مدیر است، که این امر مستلزم ارائه اعتبارات لازم است.
Trend Micro عنوان کرد: « کاربران می‌توانند برنامه‌ها با استفاده از دستور runas.exe، به‌ عنوان مدیر یا هر حساب کاربری دیگری با امتیازات مناسب را اجرا کنند. در نتیجه کاربران با استفاده از این دستور، محیط امن‌تری را برای اجرای برنامه‌های حیاتی فراهم می‌کنند یا وظایف سطح سیستم را انجام می‌دهند. این ابزار منحصرا در شرایطی مفید است که حساب کاربری فعلی، از امتیازات کافی برای اجرای یک دستور یا برنامه خاص برخوردار نباشد». Bandit Stealer برای تعیین اینکه آیا در یک سندباکس  یا در یک محیط مجازی اجرا شود، بررسی‌هایی را ترتیب داده است. این بدافزار هم‌چنین با استفاده از تغییرات رجیستری ویندوز، خود را در دستگاه قربانی ماندگار می‌کند. در واقع این کار را قبل از شروع فعالیت‌های مربوط به جمع‌آوری داده‌های خود انجام می‌دهد که این فعالیت‌ها شامل جمع‌آوری داده‌های شخصی و مالی ذخیره‌شده در مرورگرهای وب و کیف پول‌های ارز دیجیتال است.
گفته می‌شود که Bandit Stealer از طریق ایمیل‌های فیشینگ حاوی یک فایل قطره‌چکان  توزیع می‌شود. این فایل قطره‌چکان، در همان حین که یک پیوست به ظاهر بی‌خطر مایکروسافت‌ورد را به عنوان مانور حواس‌پرتی باز می‌کند، باعث ایجاد آلودگی در پس‌زمینه می‌شود.

Trend Micro عنوان کرد که نصب کننده جعلی Heart Sender را نیز شناسایی کرده‌است. Heart Sender سرویسی است که فرآیند ارسال ایمیل‌های هرزنامه  و پیام‌های SMS، به گیرندگان متعدد را خودکارسازی می‌کند. این سرویس کاربران را فریب می‌دهد تا بدافزار تعبیه شده را راه‌اندازی کنند. این توسعه زمانی صورت گرفت که شرکت امنیت مجازی، یک سارق اطلاعات مبتنی بر Rust را کشف کرد که ویندوز را مورد هدف قرار می‌داد. این سارق اطلاعات، از یک GitHub Codespaces webhook استفاده می‌کرد که توسط مهاجم، به‌عنوان کانال نفوذی برای دریافت اعتبارات مرورگر وب، کارت‌های اعتباری، کیف پول‌های ارز دیجیتال و توکن‌های Steam و Discord قربانی کنترل می‌شد. این بدافزار، در یک تاکتیک نسبتاً غیر معمول، کلاینت نصب شده Discord را دستکاری می‌کند تا کد جاوا اسکریپت طراحی شده برای ضبط اطلاعات از برنامه را تزریق نماید، و بنابراین با همین روش به پایداری در سیستم دست می‌یابد.

این یافته‌ها همچنین در مورد چندین نوع بدافزار دیگر مانند Luca، StrelaStealer، DarkCloud، WhiteSnake و Invicta Stealer نیز صدق می‌کنند. برخی از این بدافزارها از طریق ایمیل‌های هرزنامه و نسخه‌های جعلی نرم‌افزارهای مشهور منتشر می‌شوند. یکی دیگر از روندهای قابل توجه، استفاده از ویدیوهای یوتیوب برای تبلیغ نرم‌افزارهای کرک شده از طریق کانال‌های در معرض خطر با میلیون‌ها دنبال‌کننده است. داده‌های جمع‌آوری‌شده از سارقان می‌تواند از بسیاری جهات برای اپراتورها سودمند باشد و به آن‌ها امکان سوءاستفاده از اهدافی مانند سرقت هویت، سود مالی، نقض داده‌ها، حملات پرکردن اعتبارنامه و تصاحب حساب‌ها را می‌دهد. این پیشرفت‌ها نشان دهنده سیر تکاملی بدافزارهای سارق به یک تهدید مرگبارتر هستند، درست مانند بازار بدافزار به عنوان یک سرویس (MaaS) که این پیشرفت‌ها را به راحتی در دسترس قرار می‌دهد و موانع ورود مجرمان سایبری را از سر راه برمی‌دارد. در واقع، داده‌هایی که توسط Secureworks Counter Threat Unit (CTU) جمع‌آوری‌ می‌شود، به یک «بازار سرقت اطلاعاتی رو به رشد»، با حجم بالایی از گزارش‌های سرقت رفته تبدیل می‌شود. 
با وجود پیچیدگی روزافزون، اکوسیستم MaaS نیز در حالت نوسانی قرار گرفته است، و اقدامات قانونی، عاملان تهدید را بر آن داشته تا warez خود را در تلگرام بفروشند.
منبع خبر

در حین پیاده‌سازی بخش Open Authorization مربوط به برنامه Expo.io یک آسیب‌پذیری بحرانی امنیتی افشا شده است. این آسیب‌پذیری با شناسه CVE-2023-28131 پیگیری شده و در سیستم امتیازدهی CVSS  دارای درجه شدت 9.6 است. یک عامل تهدید می‌تواند از این نقص در پلتفرم‌های مختلفی مانند فیس‌بوک، گوگل یا توییتر، برای انجام اقدامات خودسرانه از طرف کاربر در معرض خطر، سوءاستفاده کند. 
Expo نیز شبیه به Electron، یک پلتفرم منبع باز برای توسعه برنامه‌های بومی در سطح جهانی است. این پلتفرم بر روی اندروید، iOS و وب اجرا می‌شود. شایان ذکر است که برای موفقیت آمیز بودن حمله، سایت‌ها و برنامه‌هایی که از Expo استفاده می‌کنند، باید تنظیمات AuthSession Proxy برای تک ورود  (SSO) را با استفاده از ارائه‌دهنده شخص ثالثی مانند Google و Facebook پیکربندی کرده باشند.
به عبارت دیگر، از این آسیب‌پذیری می‌توان برای ارسال توکن مخفی مرتبط با ارائه‌دهنده ورود  (مانند فیس‌بوک) به یک دامنه تحت کنترل عامل استفاده کرد. همچنین برای به دست گرفتن کنترل حساب قربانی می‌توان از این آسیب‌پذیری بهره گرفت. این کار، با فریب دادن کاربر مورد نظر برای کلیک بر روی یک لینک ساختگی خاص انجام می‌شود و به کمک ابزاری مانند ایمیل، پیام‌های SMS یا یک وب‌سایت مشکوک، صورت می‌گیرد.
Expo اعلام کرد که پس از افشای معتبر آسیب‌پذیری، در عرض چند ساعت یک اصلاح بسیار فوری را منتشرکرده است. همچنین توصیه می‌شود که کاربران برای فعال کردن ویژگی‌های SSO، به جای استفاده از پروکسی‌های AuthSession API، مستقیما از طرح‌های ثبت URL لینک عمیق  با ارائه‌دهندگان احراز هویت شخص ثالث که در شکل زیرمثالی از آن آمده است، استفاده کنند.
 

جیمز آید از Expo عنوان کرد که: «این آسیب‌پذیری به مهاجم بالقوه این امکان را می‌دهد که کاربر را فریب دهد تا بر روی یک لینک مخرب کلیک کند. سپس کاربر به ارائه‌دهنده احراز هویت شخص ثالث وارد می‌شود و به این ترتیب سهواً اعتبارات احراز هویت شخص ثالث خود را فاش می‌نماید. این مشکل به این خاطر است که قبل از اینکه کاربر صراحتاً تأیید کند که به URL بازخوانی  اعتماد دارد یا خیر، auth.expo.io این URL بازخوانی برنامه را ذخیره می‌کند.» 
این افشاء به دنبال کشف مشکلات مشابهی با OAuth در سایت‌های Booking.com و Kayak.com اتفاق افتاد. این مشکلات می‌توانستند برای کنترل حساب کاربران، مشاهده کامل اطلاعات شخصی یا اطلاعات کارت بانکی آن‌ها و انجام اقدامات از جانب قربانی مورد استفاده قرار گیرند. 
این یافته‌ها، هفته‌ها پس از آن به دست آمد که شرکت امنیت سایبری سوئیسی Sonar یک نقص پیمایش  مسیر و تزریق SQL در سیستم مدیریت محتوای سازمانی Pimcore  را با کد (CVE-2023-28438) شرح داد. با استفاده از این نقص یک مهاجم می‌تواند با مجوزهای وب سرور، با اجرای کد PHP دلخواه روی سرور، سوء استفاده‌هایی را انجام دهد.
Sonar، یک آسیب‌پذیری اسکریپت بین‌سایتی ذخیره‌شده و تایید نشده را افشا کرد که بر نسخه‌های LibreNMS 22.10.0 و قبل از آن تأثیر می‌گذارد. این آسیب‌پذیری می‌تواند با فعال کردن پروتکل ساده مدیریت شبکه  (SNMP) برای اجرای کد از راه دور مورد سوء استفاده قرار گیرد.

تیمی از محققان جورجیاتک، گونه جدیدی از حملات به نام «Hot Pixels» را توسعه داده‌اند که می‌تواند پیکسل‌ها را از محتوای نمایش داده شده در مرورگر قربانی بازیابی نموده و به کمک آن، به تاریخچه بازدید دست پیدا کند. این حمله از زمان‌های محاسباتی وابسته به داده بر روی سیستم‌های مدرن مبتنی بر تراشه  (SoC ها) و واحدهای پردازش گرافیکی  (GPU) بهره‌برداری نموده، سپس از آن‌ها برای استخراج مخفیانه اطلاعات از صفحات وب بازدید شده در مرورگرهای کروم و سافاری استفاده می‌کند. حتی در صورت فعال بودن آخرین اقدامات متقابل کانال جانبی ، باز هم این حمله رخ می‌دهد. محققان دریافتند که پردازنده‌های مدرن در تلاش‌اند تا در کنار سرعت‌های اجرایی بالا، بتوانند نیازهای مصرف برق و محدودیت‌های اتلاف گرما را نیز تعدیل کنند. که همین مساله، منجر به الگوهای رفتاری متمایزی می‌شود که به دستورالعمل‌ها و عملیات خاصی می‌انجامد. این الگوها از طریق اندازه‌گیری‌های حسگر داخلی قابل دسترسی هستند. آن‌ها اغلب از طریق نرم‌افزار، به راحتی قابل دسترسی هستند و بسته به نوع دستگاه، می‌توانند با دقتی بالای 94٪ به تشخیص آن‌چه در دستگاه قربانی مشاهده می‌شود کمک کنند.

محققان با تجزیه و تحلیل اندازه‌های فرکانس، توان و دما در دستگاه‌های مدرن، به این نتیجه رسیدند که پردازنده‌هایی که به صورت منفعل خنک ‌شده‌اند ، می‌توانند اطلاعات را از طریق توان و فرکانس به بیرون نشت دهند، در حالی‌که تراشه‌هایی که به صورت فعال خنک‌ شده‌اند ، داده‌ها را از طریق خوانش دما و توان افشا می‌کنند. محققان با استفاده از تراشه‌های Apple M1، هسته‌های Cortex-X1 Arm موجود در داخل دستگاه Google Pixel 6 Pro و Qualcomm Snapdragon 8 Gen 1 موجود بر روی OnePlus 10 Pro آزمایشی انجام دادند. آن‌ها نقاط گلوگاه  (محدودیت‌های حرارتی) را ترسیم کردند و بارهای کاری  را با معیارهای متمایز فرکانس و توان مصرفی مرتبط کردند. در مرحله بعد، تیم تحقیقاتی، با کانال‌های نشت وابسته به داده‌ها، برروی پردازنده‌های گرافیکی یکپارچه و محرمانه، از جمله پردازنده‌های M1 و M2 اپل، AMD Radeon RX 6600، Nvidia GeForce RTX 3060 و Intel Iris Xe آزمایشی انجام دادند. محققان یک بررسی دقیق و توصیفی درباره این موضوع انجام دادند که چگونه رفتارهای پردازشی مختلف بر عوامل قابل مشاهده مانند مصرف برق، دما و فرکانس تاثیر می‌گذارد. آن‌ها از این داده‌ها به عنوان پایه‌ای برای ارزیابی حمله «Hot Pixels» استفاده کردند.

 "Hot Pixels" چگونه کار می‌کند
حمله «Hot Pixels» بر روی آخرین نسخه‌های کروم و سافاری با پیکربندی‌های پیش‌فرض آن‌ها، از جمله تمام اقدامات متقابل کانال جانبی، آزمایش شد. راه‌اندازی، توان و دمای پردازنده‌ها را محدود می‌کند. بنابراین داده‌های مربوط به رنگ پیکسل‌های نمایش داده‌شده در صفحه نمایش قربانی (سفید یا سیاه) از طریق فرکانس پردازنده به بیرون درز می‌کند. مکانیسم حمله شامل اعمال فیلترهای SVG برای القای اجرای وابسته به داده بر روی CPU یا GPU سیستم قربانی است. پس از آن از جاوا اسکریپت برای اندازه‌گیری زمان و فرکانس محاسبات به منظور استنتاج رنگ پیکسل استفاده می‌شود. محققان برای سرقت پیکسل‌ها از سایت هدف، در صفحه‌ای که توسط مهاجم کنترل می‌شود از یک عنصر iframe استفاده می‌کنند. محتویات iframe، که حاوی اطلاعات حساسی در مورد قربانی هستند، نامرئی‌اند، اما می‌توان با اعمال فیلتر SVG در بالای آن و اندازه‌گیری زمان‌های رندر، آن را محاسبه کرد.

دقت اندازه‌گیری‌ها بین 60 تا 94 درصد و زمان لازم برای رمزگشایی هر پیکسل بین 8.1 تا 22.4 ثانیه بود. "نشت‌کننده‌ترین" دستگاه AMD Radeon RX 6600 بود، در حالی که به نظر می‌رسد بهترین دستگاه‌های محافظت شده متعلق به اپل باشند.

Safari به دلیل مسدود کردن انتقال کوکی برروی عناصر iframe که منشأ مشابهی با صفحه اصلی ندارند، تحت تأثیر حمله ای که در بخش قبل شرح داده شد، قرار نمی‌گیرد. از این رو، پیکسل‌های بارگذاری شده در iframe حاوی هیچ داده کاربری نیستند. با این حال، محققان دریافتند که Safari در برابر یک زیرشاخه از حمله Hot Pixels آسیب‌پذیر است که می‌تواند با شنود تاریخچه مرور کاربران، حریم خصوصی آن‌ها را به خطر بیاندازد. روش ابداع شده شامل قرار دادن لینک صفحات حساس برروی سایت تحت کنترل مهاجم و سپس استفاده از تکنیک فیلتر SVG برای استنتاج رنگ است. هایپرلینک‌های سایت‌های بازدید شده باید رنگ متفاوتی نسبت به هایپرلینک‌هایی داشته باشند که قربانی هرگز بازدید نکرده‌است، بنابراین اصول اولیه Hot Pixels را می‌توان برای اطلاع از تاریخچه مرور قربانی به کار برد. همچنین، از آن‌جایی که کل هایپرلینک دارای رنگی یکسان است، بازیابی تنها یک پیکسل از هر هایپرلینک کافی است، بنابراین لیست‌های بسیار بزرگی از لینک‌ها را می‌توان در مدت کوتاهی تجزیه کرد . دقت داده‌های به سرقت رفته در این حمله در آیفون 13 به 99.3 درصد رسید. تنها 2.5 درصد از یافته‌ها، دارای نتیجه منفی کاذب بود. نرخ بازیابی به ازای هر 50 هایپرلینک، 183 ثانیه بود

محققان یافته‌های خود را در اختیار اپل، Nvidia، AMD، Qualcomm، اینتل و گوگل قرار دادند. همه فروشندگان این مشکلات را تصدیق نموده و در تلاش برای کاهش آن هستند. حملات Hot Pixels فقط بر روی دستگاه‌هایی که به سرعت به وضعیت پایداری از مصرف برق می‌رسند، مانند گوشی‌های هوشمند، خوب عمل می‌کنند، اگرچه توان عملیاتی نشت داده‌ها معمولاً کم است. با این حال، فروشندگان و ذینفعان متاثر از این حملات، از قبل در مورد راه‌حل‌هایی برای مشکلات گزارش‌شده، مانند محدود کردن استفاده از فیلترهای SVG در iframe در استاندارد HTML، بحث نموده‌اند. تیم Chrome قبلاً روی پیاده‌سازی مکانیسم جداسازی کوکی‌ها که در Safari یافت شده بود، کار می‌کرد. این مکانیسم از بارگیری کوکی‌ها در iframe های بدون پشتوانه جلوگیری می‌کند. همچنین پیشنهادهایی برای محدود کردن دسترسی به حسگرهایی که خوانش های حرارتی، توان و فرکانسی را برای کاربران غیرمجاز در سطح سیستم عامل فاش می کنند، وجود دارد.

منبع
 

https://www.bleepingcomputer.com/news/security/hot-pixels-attack-checks-cpu-temp-power-changes-to-s…

محققان ESET، یک تروجان دسترسی از راه دور (RAT) جدید را در فروشگاه Google Play پیدا کردند که در یک برنامه ضبط صفحه نمایش اندروید پنهان شده بود. این برنامه ده‌ها هزار بار نصب شده بود. برنامه «iRecorder - Screen Recorder»، درحالی‌که برای اولین بار در سال 2021 به فروشگاه اضافه شد‌، از طریق یک به‌‌روزرسانی مخرب که تقریباً یک سال بعد منتشر شد، به تروجان آلوده شد. نام‌گذاری این برنامه، درخواست مجوز برای ضبط صدا و دسترسی به فایل‌ها را در دستگاه‌‌های آلوده آسان‌‌تر می‌نمود زیرا طبیعتا از یک ابزار ضبط صفحه نمایش انتظار می‌رود که چنین مجوزهایی را درخواست نماید. این برنامه قبل از حذف، در فروشگاه Google Play بیش از 50000 بار نصب شده بود و کاربران را در معرض آلودگی‌های بدافزاری قرار داد. استفانکو یکی از محققان ESET گفت: «به دنبال اطلاع‌رسانی ما در مورد رفتار مخرب iRecorder، تیم امنیتی Google Play آن‌را از فروشگاه حذف کرد. با این حال، توجه به این نکته که این برنامه را همچنان می‌‌توان در مارکت‌‌های جایگزین و غیررسمی اندروید یافت نیز حائز اهمیت است. توسعه‌‌دهنده iRecorder برنامه‌‌های دیگری را نیز در Google Play ارائه می‌‌کند، اما آن‌ها حاوی کد مخرب نیستند.

بدافزار مورد بحث که AhRat نام‌گذاری شده است، مبتنی بر یک تروجان دسترسی از راه دور اندرویدی منبع‌باز معروف به نام AhMyth است. این تروجان دارای طیف گسترده‌ای از قابلیت‌ها، از جمله ردیابی مکان دستگاه‌های آلوده، سرقت گزارش‌های تماس، مخاطبین و پیام‌های متنی، ارسال پیام‌های کوتاه، گرفتن عکس و ضبط صدای پس‌زمینه است. اما به همین قابلیت‌ها محدود نمی‌شود. پس از بررسی دقیق‌تر، ESET دریافت که برنامه مخرب ضبط صفحه نمایش، تنها از زیرمجموعه‌ای از قابلیت‌های RAT استفاده می‌کند، زیرا فقط برای ایجاد و استخراج صداهای ضبط‌ شده محیطی و سرقت فایل‌هایی با پسوندهای خاص کاربرد دارد که به فعالیت‌های جاسوسی احتمالی اشاره می‌کند.
این اولین نمونه از نفوذ بدافزار اندروید مبتنی بر AhMyth به فروشگاه Google Play نیست. ESET جزئیاتی درباره برنامه دیگری که در سال 2019 توسط AhMyth به تروجان آلوده شده بود را منتشر کرد. این برنامه با ظاهر شدن در  قالب یک برنامه پخش رادیویی، فرآیند بررسی اپلیکیشن  گوگل را دو بار فریب داد. استفانکو گفت: « AhMyth پیش از این توسط Transparent Tribe، که با نام APT36 نیز شناخته می‌شد، مورد استفاده قرار می‌گرفت. APT36 یک گروه جاسوسی سایبری است که به دلیل استفاده گسترده از تکنیک‌های مهندسی اجتماعی و هدف قرار دادن سازمان‌های دولتی و نظامی در جنوب آسیا شناخته شده است. با این وجود، ما نمی‌توانیم نمونه‌های فعلی را به هیچ گروه خاصی نسبت دهیم.
به روز رسانی: یکی از سخنگویان گوگل پس از انتشار مقاله، بیانیه زیر را به اشتراک گذاشت: وقتی برنامه‌هایی را که خط‌مشی‌های ما را نقض می‌کنند، می‌یابیم اقدامات لازم را انجام می‌دهیم. کاربران همچنین توسط Google Play Protect محافظت می‌شوند. Google Play Protect می‌تواند به کاربران در مورد برنامه‌های مخرب شناسایی شده در دستگاه‌های اندرویدی هشدار دهد.

https://www.bleepingcomputer.com/news/security/new-ahrat-android-malware-hidden-in-app-with-50-000-…

کمتر از یک ماه پس از رفع آسیب پذیری با شناسه cve-2023-28771 با شدت خطر 9.8 که منجر به اجرا قطعه کد دلخواه مهاجم به صورت راه دور می گردد، اخیرا شرکت ZYXEL بروز رسانی نرم افزاری مربوط به دو محصول vpn و فایروال خود به منظور رفع دو آسیب پذیری جدید را منتشر کرده است. با بررسی های به عمل آمده توسط مرکز آپا دانشگاه بوعلی سینا همدان بروز رسانی های نرم افزاری مذکور مربوط به دو شناسه آسیب پذیری cve-2023-33009 و cve-2023-33010 با شدت خطر 9.8 می باشند که به دنبال بهره برداری از آن ها، مهاجم می تواند در قسمت عملکرد اعلان ها و پردازش ID با ارسال ورودی های نا معتبر به این محصولات منجر به انجام حمله انکار سرویس گردد و در ادامه قطعه کد مورد نظر خود را اجرا کند که پس از این حمله می تواند به شبکه دسترسی کامل داشته باشد.  با توجه به اینکه قطعه کد مخرب به صورت عمومی انتشار یافته و در دسترس عموم می باشد و همچنین با در نظر داشتن استفاده بیش از18000 مورد در فضای اینترنت و تعداد بسیار زیادی در فضای اینترنت داخلی کشور ازمحصولات این شرکت در کشور  بایستی برای جلوگیری از سو استفاده از این نقص اقدام نمود.  پس از انجام بررسی های به عمل آمده ، ایران در صدر لیست استفاده کنندگان از محصولات ZYXEL وجود دارد بنابراین می بایست در اسرع وقت توسط کارشناسان فناوری اطلاعات سازمان ها این موارد رفع گردد و از خطرات فاجعه بار احتمالی در آینده جلوگیری گردد.

محصولات آسیب پذیر عبارت اند از:
محصول ATP نسخه ZLD v4.32 تا v5.36
محصول USG FLEX نسخه ZLD v4.50 تا v5.36
محصول USG FLEX50  و USG20-VPN نسخه ZLD v4.25  تا v5.36
محصول VPN  نسخه ZLD v4.25 تا v4.73
محصول ZyWALL/USG نسخه ZLD v4.25 تا v4.73
راه حل
Zyxel به کاربران محصولات آسیب‌دیده توصیه نموده که در اسرع وقت جدیدترین به روز رسانی‌های امنیتی را اعمال کنند تا خطر سوءاستفاده مهاجمان از این دو نقص را از بین ببرند.
دستگاه‌هایی که نسخه‌های آسیب‌پذیر ذکر شده در بالا را اجرا می‌کنند توسط کسب‌وکارهای کوچک تا متوسط برای محافظت از شبکه‌ و اجازه دسترسی ایمن به شبکه (VPN ها) برای کارمندان از راه دور یا مستقر در خانه استفاده می‌شوند. عوامل تهدید مراقب هرگونه نقص مهم موثر بر چنین دستگاه‌هایی هستند، زیرا با بهره‌گیری این نقص‌ها می‌توانند دسترسی آسان به شبکه‌های شرکتی را تسهیل کنند. یک محقق امنیت سایبری گزارش داد که نقص تزریق دستوری که Zyxel در اپریل برطرف کرده بود، به طور فعال مورد بهره‌برداری قرار گرفته و این بار نیز همان فایروال و محصولات VPN را تحت تأثیر قرار می‌دهد. سال گذشته، CISA در مورد اعمال نفوذ مهاجمان از نقص اجرای کد از راه دور در فایروال و دستگاه‌های VPN کمپانی Zyxel هشداری را منتشر کرد و از مدیران سیستم خواست تا در اسرع وقت وصله‌های سفت‌افزاری را اعمال کنند.
 

 منابع

https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-…

برنامه مدیر رمزعبور  مشهور KeePass در برابر استخراج رمزعبور اصلی از حافظه برنامه آسیب‌پذیر بوده و به مهاجمانی که دستگاه را به خطر می‌اندازند این امکان را می‌دهد تا رمزعبور را حتی با پایگاه‌داده قفل شده بازیابی کنند. این مشکل توسط یک محقق امنیتی معروف به "vdohney" کشف شد که ابزاری را منتشر نمود که با استفاده از اثبات مفهوم  به مهاجمان اجازه می‌دهد تا رمزعبور اصلی KeePass را از حافظه استخراج کنند. برنامه مدیریت رمزعبور، به کاربران اجازه می‌دهند برای هر حساب آنلاین رمزهای عبور منحصر به فردی ایجاد کنند و اعتبارنامه‌ها را در یک پایگاه‌داده با قابلیت جستجوی آسان ذخیره کنند، بنابراین لازم نیست هر کدام از رمزها را به خاطر بسپارید. با این حال، کاربران برای ایمن سازی مناسب می‌بایست رمزعبور اصلی را که برای باز کردن قفل و دسترسی به اطلاعات کاربری ذخیره شده استفاده می‌شود، به خاطر بسپارند. برای مطالعه بیشتر اینجا کلیک نمایید.
 

Apple وصله های امنیتی اضطراری برای مقابله با 3 آسیب پذیری روز صفر جدید در iOS، macOS، tvOS، watchOS، iPadOS و مرورگر وب Safari 16.5 منتشرکرد. 
سه آسیب پذیری امنیتی دراپل CVE-2023-32409 ، CVE-2023-28204 و CVE-2023-32373 می باشند. آسیب پذیری CVE-2023-32409، یک آسیب پذیری WebKit است که می تواند توسط مهاجم برای خارج شدن از جعبه ایمنی محتوای وب بهره برداری شود که با محدودیت های بهبودیافته مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-28204، یک آسیب پذیری خواندن خارج از محدوده در WebKit است که می تواند برای افشای اطلاعات حساس هنگام پردازش محتوای وب بهره برداری شود که با اعتبارسنجی ورودی مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-32373، بخش ناشناخته ای از WebKit را تحت تاثیر قرار می دهد. دستکاری با یک ورودی ناشناخته، به استفاده از این آسیب پذیری رایگان منجر می شود. ارجاع به حافظه پس از آزاد شدن می تواند باعث از کار افتادن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد شود و محرمانگی، یکپارچگی و دسترس پذیری را تحت تاثیر قرار دهد. برای اجرای این آسیب پذیری، قربانی باید نوعی تعامل با کاربر داشته باشد. آسیب پذیری می تواند به اجرای کد مخرب در هنگام بررسی محتوای وب منجر شود که با بهبود مدیریت حافظه برطرف شد. جزئیات مربوط به حملاتی که در آن، آخرین روزهای صفر WebKit مورد سوءاستفاده قرار می گیرند فاش نشده است، زیرا اپل نسبت به اشتراک گذاری جزئیات حملات سخت گیر است.
این آسیب پذیری ها در همه مدل های iPhone 6s،iPhone 7،iPhone SE ، iPad Air2، iPad Mini، iPod Touch، iPhone 8، iPad Pro، iPad Air 3rd، iPad 5th، iPad mini 5th، macOS Big Sur، Apple Watch series4، Apple TV 4K، Apple TV HD تاثیرگذار بوده اند.

به کاربران توصیه می شود که macOS را به نسخه 13.4، 12.6 یا 11.7 و  iOS/iPad OS را به نسخه 16.5 یا 15.7.6 و مرورگر Safari را به نسخه 16.5 و tvOS را به نسخه 16.5 و watchOS را به نسخه 9.5 ارتقا دهند.
همچنین به کاربران توصیه می¬شود که در صورت وجود، از مسیر Setting -> General-> SoftWare Updates->Enable Automatic Updates به روزرسانی خودکار را فعال نمایند.

منابع خبر

دامنه‌های جدید تازه ظهور ZIP و MOV باعث بحث و جدل بین کارشناسان امنیت سایبری شده است. پژوهشگران امنیت سایبری و مدیران فناوری اطلاعات نگرانی‌هایی را درباره امکان استفاده از این دامنه‌ها توسط عوامل تهدید برای حملات فیشینگ و انتقال بدافزار بیان کرده‌اند. به تازگی، گوگل هشت دامنه سطح بالا جدید را معرفی کرده است که می‌توان برای میزبانی وبسایت‌ها و آدرس‌های ایمیل آنها خریداری کرد. دامنه‌های جدید عبارتند از.dad، .esq، .prof، .phd، .nexus، .foo و برای موضوع مقاله ما، دامنه‌های TLD .zip و .mov است. با اینکه دامنه‌های TLD ZIP و MOV از سال 2014 در دسترس بودند، اما تا این ماه تنها برای عمومیت در دسترس شدند و هر کسی می‌تواند یک دامنه مانند Domain.zip  را برای یک وبسایت خریداری کند. با این حال، این دامنه‌ها ممکن است به عنوان دامنه خطرناک درک شوند زیرا این TLDها نیز افزونه‌هایی از فایل‌هایی هستند که به طور معمول در ارسال‌های انجمن‌ها، پیام‌ها و بحث‌های آنلاین به اشتراک می‌گذارند، که حالا توسط برخی از پلتفرم‌ها و برنامه‌های آنلاین به صورت خودکار به آدرس‌های URL تبدیل می‌شوند.  دو نوع فایل رایج ، فایل‌های فشرده ZIP و ویدئوهای MPEG 4 هستند که نام آنها با) .zip فایل فشرده) یا) .mov فایل ویدئو) ختم می‌شود. بنابراین، بسیار معمول است که افراد دستورالعمل‌هایی را که حاوی نام‌های فایل با پسوندهای .zip و .mov هستند، منتشر کنند. اما با تبدیل شدن آنها به TLDها، برخی از پلتفرم‌های پیام‌رسان و وبسایت‌های شبکه اجتماعی نام‌های فایل با پسوندهای .zip و .mov را به صورت خودکار به آدرس‌های URL تبدیل می‌کنند. به عنوان مثال، در توییتر، اگر به شخصی دستورالعمل ارسال کنید تا یک فایل zip را باز کند و به یک فایل MOV دسترسی پیدا کند، نام‌های بی‌خطر فایل به URL تبدیل می‌شوند، همانطور که در زیر نشان داده شده است.
 

شکل 1 توییتر به طور خودکار نام فایل های .zip و .mov را پیوند می‌دهد

وقتی افراد URLها را در دستورالعمل‌ها مشاهده می‌کنند، به طور معمول فکر می‌کنند که از طریق آن URL می‌توانند فایل مرتبط را دانلود کنند و ممکن است بر روی لینک کلیک کنند. با این حال، اگر یک فرد خطرناک دامنه‌ای با پسوند .zip با همان نامی که به آن پیوند داده شده است را در اختیار داشته باشد، ممکن است فردی به اشتباه به آن سایت سر بزند و در یک عملیات کلاهبرداری فیشینگ شرکت کند یا نرم‌افزار مخرب را دانلود کند و فکر کند که این URL ایمن است زیرا از یک منبع قابل اعتماد آمده است.

اگرچه احتمالاً کمتر است که فعالان تهدید هزاران دامنه را ثبت کنند تا چند قربانی را به دام بیندازند، اما تنها کافی است یک کارمند شرکت به اشتباه نرم‌افزار مخرب را نصب کند تا تمام شبکه تحت تأثیر قرار بگیرد. سوء استفاده از این دامنه‌ها صرفاً نظری نیست و شرکت اطلاعات سایبری Silent Push Labs در حال حاضر کشف کرده است که چیزی که به نظر یک صفحه فیشینگ در microsoft-office[.]zip به منظور دزدیدن اطلاعات ورود به حساب Microsoft می‌آید وجود دارد.

شکل 2 دامنه ZIP مورد استفاده برای فیشینگ حساب مایکروسافت

محققان امنیت سایبری همچنین به شروع بازی با دامنه‌ها پرداخته‌اند. بابی راوش در تحقیق خود درباره توسعه پیوندهای فیشینگ قانع‌کننده با استفاده از کاراکترهای یونیکد و جداکننده userinfo (@) در URLها، نتایج جالبی را منتشر کرده است. تحقیقات راوش نشان می‌دهد که چگونه افراد خطرناک می‌توانند URLهای فیشینگ را ایجاد کنند که به نظر می‌رسند URLهای قابل دانلود فایل معتبر در GitHub هستند، اما در واقع هنگام کلیک بر روی آنها، به یک وبسایت با آدرس v1.27.1[.]zip  هدایت می‌شوید، همانطور که در زیر توضیح داده شده است.

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

توسعه‌های اخیر باعث بروز یک بحث بین توسعه‌دهندگان، محققان امنیت و مدیران IT شده است، که برخی از آن‌ها احساس می‌کنند نگرانی‌ها اساسی ندارد و دیگران معتقدند که پسوندهای TLD مربوط به فایل‌های ZIP و MOV به یک محیط آنلاین قبلاً پرخطر، خطر اضافی ایجاد می‌کنند. این نظرات متفاوت می‌توانند ناشی از ارزیابی‌های مختلف از خطرات ممکن در زمینه امنیت سایبری و تأثیر این تغییرات باشند. برخی ممکن است بر این باور باشند که با رعایت شیوه‌های معمول امنیتی، خطرات جدیدی که با اضافه شدن پسوندهای TLD به وجود آمده است، مدیریت شده و کنترل شود. در عین حال، دیگران ممکن است بیشتر به سمت احتیاط و کاهش خطر بیشتر روی‌گردان شوند و توجه بیشتری به این مسئله بپردازند. خطر اشتباه بین نام‌های دامنه و نام‌های فایل جدید نیست. به عنوان مثال، محصولات Command شرکت 3M  از نام دامنه  command.com استفاده می‌کنند، که همچنین یک برنامه مهم در سیستم‌عامل MS DOS و نسخه‌های اولیه ویندوز است. برنامه‌ها راهکارهایی برای کاهش این خطرات دارند (مانند (Google Safe Browsing) و این راهکارها برای پسوندهای TLD مانند .zip هم کاربرد خواهند داشت. همزمان، فضاهای نام‌گذاری جدید فرصت‌های گسترده‌تری برای نام‌گذاری مانند community.zip و url.zip ایجاد می‌کنند. گوگل به جدیت در مقابله با فیشینگ و بدافزار می‌پردازد و گوگل رجیستری دارای مکانیزم‌های موجود برای تعلیق یا حذف دامنه‌های مخرب در تمامی پسوندهای TLD خود، از جمله .zip است. گوگل به پایش استفاده از .zip و سایر پسوندهای TLD متعهد می‌ماند و در صورت ظهور تهدیدات جدید، تدابیر مناسبی را برای حفاظت از کاربران اتخاذ خواهد کرد.
با واقعیت اینکه نیازی به انجام هیچ کار اضافی نسبت به آنچه که از قبل برای محافظت از خود انجام می‌دهید ندارید.
همانطور که همه باید می‌دانند، همیشه ایمن نیست که بر روی لینک‌هایی که افراد ارسال می‌کنند کلیک کنید یا فایل‌ها را از سایت‌هایی که اعتماد ندارید دانلود کنید. مانند هر لینک دیگری، اگر یک لینک با پسوند .zip یا .mov را در یک پیام مشاهده می‌کنید، قبل از کلیک کردن بر روی آن تحقیق کنید. اگر هنوز مطمئن نیستید که لینک ایمن است، بر روی آن کلیک نکنید.
با رعایت این مراحل ساده، تأثیر پسوندهای جدید TLD بسیار کم خواهد بود و خطر شما را به طور قابل توجهی افزایش نمی‌دهد. با این حال، ممکن است مواجهه با این لینک‌ها با گذشت زمان بیشتر شود زیرا بیشتر برنامه‌ها خودکاراً نام‌های فایل‌های ZIP و MOV را به لینک تبدیل می‌کنند، که یک مورد دیگری است که باید در هنگام استفاده از اینترنت مراقب آن باشید.
 مراجع

در نسخه‌های 9.3.1 و 9.4.0 از برنامه تلگرام، یک آسیب‌پذیری وجود دارد که به حملات کنندگان امکان دسترسی به فایل‌ها، میکروفون و یا ضبط ویدیو را از طریق پرچم DYLD_INSERT_LIBRARIES می‌دهد. پرچم DYLD_INSERT_LIBRARIES یک متغیر محیطی در سیستم عامل macOS است که امکان بارگذاری پویای یک کتابخانه پویا (Dylib) مشخص را در یک فرایند فراهم می‌کند. در این مورد، با بهره‌گیری از آسیب‌پذیری، حمله‌کننده می‌تواند از این پرچم استفاده کرده و یک کتابخانه پویا مخرب را در فرآیند تلگرام درج کند، که این عمل امکان دسترسی غیرمجاز به منابع محدود شده مانند فایل‌ها، میکروفون و ضبط ویدیو را فراهم می‌کند. محقق امنیتی گوگل، Dan Revah، آسیب‌پذیری با شناسه CVE-2023-26818 در نسخه macOS تلگرام کشف و گزارش کرده است که امکان دور زدن TCC را می‌دهد. (Transparency, Consent, and Control) TCC مکانیزمی است که دسترسی به برخی مناطق خاص که بعنوان محافظت از حریم خصوصی (privacy-protected) مشخص شده است را مدیریت میکند. در مقاله ای که منتشر شده است با تزریق Dynamic Library) Dylib) امکان دسترسی به دوربین دستگاه بدون نیاز به اجازه کاربر را می‌گیرد و به مدت 3 ثانیه ویدیو ضبط و دخیره می‌کند. نکته‌ای که وجود دارد بدین شرح است که در macOS حتی کاربر RooT هم دسترسی به میکروفن و ضبط تصویر و … را ندارد، مگر اینکه برنامه در طول دسترسی اولیه به برنامه، رضایت مستقیم کاربر را دریافت کرده باشد. (یا بصورت دستی اعمال شود).
مفاهیم پایه: 
برای درک آسیب پذیری و نحوه بهره برداری ، ابتدا مفاهیمی شرح داده شده است.
شفافیت، رضایت و کنترل (TCC):
مکانیزمی در سیستم عامل macOS است که مدیریت دسترسی به بخش‌های خاصی که به عنوان "حفاظت از حریم خصوصی" تعریف شده‌اند را بر عهده دارد. دسترسی به این بخش‌ها توسط جمع آوری رضایت کاربران یا تشخیص نیت کاربر از طریق یک عمل خاص فعال می‌شود.
سطوح دسترسی: 
سطوح دسترسی (Entitlements) مجوزهایی هستند که به یک باینری خاص اعطا می‌شوند تا به امتیازات خاصی دسترسی پیدا کند. به عنوان مثال، برای اجازه دسترسی به میکروفون، باید برنامه با سطوح دسترسی مربوطه امضا شده باشد و در هنگام دسترسی اولیه به میکروفون، از کاربر مجوز دریافت کند.
اجرای امن: (Hardened Runtime) 
 اجرای امن به گفته توسعه‌دهندگان اپل، از تمامی انواع حملاتی مانند درج کد، هجوم به کتابخانه‌های پویا DLL و دستکاری فضای حافظه، جلوگیری می‌کند و جزئی از System Integrity Protection (SIP) است. این به این معناست که مکانیزم اجرای امن (Hardened Runtime)  امنیت را به برنامه‌هایی که به عنوان "محافظت شده" تعریف شده‌اند، اضافه می‌کند. در iOS، برای بارگذاری یک برنامه در App Store، باید با سطوح دسترسی Hardenedجرای امن امضا شود. اما به نظر می‌رسد که این الزام در macOS وجود ندارد.

مراجع

2-    https://nvd.nist.gov/vuln/detail/CVE-2023-26818

محققان شرکت Neodyme سه آسیب‌پذیری متمایز RCE در بازی Counter-Strike: Global Offensive کشف کردند. هر آسیب‌پذیری از طریق یک سرور پایتون مخرب در هنگام اتصال کلاینت به بازی بهره‌برداری می‌شود. با انتشار یک پچ در تاریخ ۲۸ آوریل ۲۰۲۱، تعدادی از آسیب‌پذیری‌های بحرانی در Counter-Strike: Global Offensive برطرف شده است، اما بازی همچنان با ۲۱ میلیون بازیکن ماهانه، عمدتا به دلیل گستردگی حالت‌های بازی موجود در سرورهای جامعه محبوب است.
در دسترس بودن گسترده مود‌های مختلف بازی، سرور‌های اجتماعی و پشتیبانی مودینگ در Counter-Strike: Global Offensive، همراه با تجزیه‌کننده‌های مختلف که داده‌های بالقوه مخرب را مستقیماً از سرور بازی مدیریت می‌کنند، منجر به سطح حمله قابل توجهی می‌شود. پشته شبکه شبیه به TCP در موتور منبع (Source Engine)، که بر پایه UDP است، پیچیدگی‌ها و آسیب‌پذیری‌های ذاتی را داراست که در حملات گذشته بهره‌برداری شده‌اند. اگرچه جوامع تقلب مانند UnknownCheats برای علاقه مندان بازی مزاحمت آور هستند، اما برای پژوهشگران امنیت منابع قابل ارزشی فراهم می‌کنند. این منابع شامل مطالب مفصل مربوط به مهندسی معکوس و ابزارهای تقلب است که در درک پروتکل‌های شبکه به کمک می‌کند. نمادهای اشکال‌زدایی که نام‌های قابل تشخیصی از توابع و ساختارهای کلاس را فراهم می‌کنند، ابزاری مفید برای مهندسی معکوس هستند و به‌طور ناخواسته ممکن است در باینری‌های نهایی یک بازی قرار بگیرند وقتی برنامه‌نویسان فراموش می‌کنند آنها را حذف کنند.

نسخه آوریل ۲۰۱۷ از CS: GO برای macOS به‌طور ناخواسته شامل نمادهای اشکال‌زدایی کامل بود که می‌توانستند از طریق ابزارهایی مانند SteamDB و مخازن قدیمی به‌صورت خودکار شناسایی شوند. با این حال، به نظر می‌رسد که Valve توانایی دریافت نسخه‌های قدیمی‌تر را از طریق SteamCMD غیرفعال کرده است.

تهدیداتی که توسط پژوهشگران امنیت سایبری کشف شده‌اند به شرح زیر است:
آسیب‌پذیری 1: اجرای دستورات دسترسی خاص از طریق سرور
 آسیب‌پذیری 2: دانلود دلخواه فایل به دلیل حذف پسوند فایل
 آسیب‌پذیری 3: نوشتن خودکار یک فایل متنی دلخواه در دایرکتوری بازی
 آسیب‌پذیری 4: استفاده از بررسی‌های امضای غیرفعال شده
تمام چهار باگ در قالب یک زنجیره باگ مورد استفاده قرار می‌گیرند تا وظایف غیرمجاز زیر را انجام دهند:
اجرای دستورات دسترسی خاص در سمت کلاینت 
دانلود یک DLL مخرب به دایرکتوری بازی
جایگزینی فایل gameinfo.txt انجام می‌شود تا DLL مخرب در هنگام راه‌اندازی بازی بارگذاری شود
تخریب client.dll تا حالت ناامن فعال شود
علاوه بر این، پژوهشگران امنیتی (فلیپه و آلن) تأیید کرده‌اند که نمی‌توانند زمانی که برای این پروژه‌ی شکار باگ صرف کرده‌اند را مشخص کنند. با این حال، مقدار قابل توجهی از زمان برای ایجاد یک نمونه پیچیده از) RCE اجرای کد از راه دور) مورد نیاز برنامه پاداش باگ Valve اختصاص داده شد. با اعمال فشار قابل توجه و تهدید به افشای کامل، باگ‌های شناسایی شده در نهایت ترمیم شدند.

مرجع

https://cybersecuritynews.com/counter-strike-zero-day-flaw/