تیم Team82، پنج آسیب پذیری در روترهای Netgear Nighthawk RAX30 را کشف کرده است. این شامل دستگاه‌های هوشمند کوچک دفتر کاری و خانگی از جمله روترها، دستگاه‌های ذخیره‌سازی شبکه، مراکز خانه هوشمند، اسپیکرهای هوشمند، تلفن همراه و غیره بود.NETGEAR همه پنج آسیب پذیری کشف شده توسط Team82 را رفع کرده است. سه آسیب پذیری با شدت بالا، دور زدن احراز هویت و دستیابی به اجرای کد از راه دور را فراهم می‌کنند.
سواستفاده‌های موفق از این نقایص، می‌تواند به مهاجمان اجازه دهد تا بر فعالیت‌های اینترنتی کاربران نظارت کنند، اتصالات اینترنتی را ربوده و ترافیک را به وب‌سایت‌های مخرب هدایت کنند یا بدافزار را به ترافیک شبکه تزریق کنند. همچنین، یک مهاجم می‌تواند از این آسیب پذیری‌ها برای دسترسی و کنترل دستگاه‌های هوشمند متصل به شبکه استفاده کند (مانند دوربین‌های امنیتی، ترموستات‌های هوشمند و قفل‌های هوشمند)، تنظیمات روتر از جمله شناسه کاربری و رمزعبور یا تنظیمات DNS را تغییر دهد، یا از یک شبکه کامپیوتری تحت کنترل خود برای حملات به دستگاه‌های یا شبکه‌های دیگر استفاده کند.

لیست نقص‌ها به شرح زیر است:

با توجه به شکل بالا در یک PoC زنجیره بهره‌برداری که توسط این شرکت امنیت سایبری مشخص شده است، نشان می‌دهد که می‌توان رشته ایرادات را مشخص کرد که برای استخراج شماره سریال دستگاه و در‌نهایت دسترسی روت به آن، استفاده می‌شوند. به گفته کاتز  : این پنج CVE را می‌توان به هم متصل کرد تا روتر‌های آسیب‌دیده RAX30 را به خطر بیاندازند، که شدید‌ترین آنها اجرای کد از راه دور پیش از احراز هویت را در دستگاه امکان‌پذیر می‌سازد.
توصیه: به‌کاربران روتر‌های Netgear RAX30 توصیه می‌شود برای رفع نقص‌ها و کاهش خطرات احتمالی، به نسخه فریمور 1.0.10.94 که توسط این شرکت شبکه در 7 آوریل 2023 منتشر شد، بروزرسانی کنند.
منبع

https://claroty.com/team82/research/chaining-five-vulnerabilities-to-exploit-netgear-nighthawk-rax3…

این نقص (CVE-2023-21492) بر دستگاه‌های تلفن همراه سامسونگ که دارای اندروید 11، 12 و 13 هستند تأثیر می‌گذارد و به دلیل درج اطلاعات حساس در فایل‌های گزارش رخ می‌دهد. اطلاعات افشا شده می‌تواند توسط مهاجمان محلی با امتیازات بالا برای انجام یک دور زدن ASLR استفاده شود که این امر می‌تواند بهره‌برداری از مشکلات مربوط به مدیریت حافظه را ممکن سازد. در به‌روزرسانی‌های امنیتی این ماه، سامسونگ با اطمینان از این‌که نشانگرهای هسته دیگر در فایل‌های گزارش چاپ نمی‌شوند، به این مشکل پرداخته است. این شرکت در توصیه نامه انتشار بقای امنیتی (SMR) در تاریخ می 2023 می گوید: «سامسونگ مطلع شد که یک بهره‌برداری قابل مهاری برای این مشکل وجود دارد.»
در حالی که سامسونگ جزئیاتی در مورد بهره‌برداری CVE-2023-21492 ارائه نکرده است، چنین آسیب‌پذیری‌های امنیتی اغلب به عنوان بخشی از زنجیره‌های پیچیده بهره‌برداری در حملات بسیار هدفمند مورد سوء استفاده قرار می‌گیرند. به عنوان مثال، در ماه مارس، گروه تجزیه و تحلیل تهدیدات گوگل (TAG) و عفو بین‌الملل دو سری از حملات اخیر را افشا کردند که از زنجیره‌های بهره‌برداری از نقص‌های اندروید، iOS و کروم برای نصب نرم‌افزارهای جاسوسی تجاری استفاده می‌کردند که یکی از کمپین‌ها، کاربران سامسونگ در امارات متحده عربی را هدف قرار می‌داد.
پس از این‌که CISA این آسیب‌پذیری را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری خود اضافه کرد، به آژانس‌های اجرایی غیرنظامی فدرال ایالات متحده (FCEB) به مدت سه هفته مهلت داده شد تا دستگاه‌های اندرویدی سامسونگ خود را در برابر حملات ‌بهره برداری کننده از CVE-2023-21492 ایمن کنند. این امر، مطابق با دستورالعمل عملیاتی الزام‌آوری (BOD 22-01) است که در نوامبر 2021 صادر شد و آژانس‌های فدرال را ملزم می‌کند تا قبل از انقضای ضرب الاجل، تمام نقص‌های اضافه شده به لیست KEV مرتبط با CISA را برطرف کنند.
در حالی که هدف اصلی دستورالعمل فوق، آژانس‌های فدرال ایالات متحده است، اما اکیداً توصیه می‌شود که شرکت‌های خصوصی نیز رسیدگی به آسیب‌پذیری‌های فهرست شده در لیست باگ‌های مورد بهره‌برداری در حملات سازمان امنیت سایبری را در اولویت قرار دهند.
CISA گفت: «این نوع آسیب‌پذیری‌ها حامل حملات مکرر برای عاملان مخرب سایبری هستند و خطرات قابل‌توجهی برای شرکت فدرال ایجاد می‌کنند.»

منابع خبر

CISA اخیراً دو آسیب‌پذیری فعال را در کاتالوگKEV  (آسیب‌پذیری‌های شناخته شده) گنجانده است. این آسیب‌پذیری ها در تجهیزات TP-Link و پایگاه داده اوراکل با شناسه های CVE-2023-1389 و CVE-2023-21839 شناسایی شده اند. سازمان‌ها و شرکت‌ها در نتیجه آسیب‌پذیری‌هایی از این نوع، مستعد سوءاستفاده توسط عوامل تهدید هستند و در نتیجه با تعداد قابل توجهی از خطرات مواجه هستند. آسیب‌پذیری با شناسه CVE-2023-1389 و امتیاز CVSS:  8.8 شدت بالا با تزریق دستور در TP-Link Archer AX-21 قابل بهره برداری است. آسیب پذیری CVE-2023-21839  امتیاز CVSS:  7.5 و شدت زیاد آسیب‌پذیری نامشخص سرور  WebLogic اوراکل است. نسخه‌های میان‌افزار TP-Link Archer AX21 (AX1800) قبل از 2023.02.19 build 1.1.4حاوی یک آسیب‌پذیری تزریق فرمان به شکل country از نقطه پایانی /cgi-bin/luci;stok=/locale در رابط مدیریت وب بود. به طور خاص، پارامتر country عملیات نوشتن قبل از استفاده در یک فراخوانی به popen() پاکسازی نشده بود، به مهاجمی که احراز هویت نشده اجازه می‌دهد دستوراتی را که به صورت root اجرا می‌شوند، با یک درخواست POST ساده تزریق کند.
روترهای TP-Link با ساختار Archer AX-21 به دلیل باگ در تزریق دستور در برابر اجرای کد از راه دور آسیب¬پذیر هستند.( CVE-2023-1389)
همان طور که Trend Micro's Zero Day Initiative گزارش داده است، از 11 آوریل 2023، عوامل تهدید مرتبط با بات نت Mirai، از این آسیب پذیری بهره برداری کرده اند.
در نسخه‌های سرور Oracle WebLogic که در زیر آمده، آسیب‌پذیری با شدت بالا گزارش شده است:

حملات موفقیت‌آمیز این آسیب‌پذیری می‌تواند منجر به دسترسی غیرمجاز به داده‌های حیاتی یا دسترسی کامل به تمام ‏داده‌های قابل دسترسی ‏Oracle WebLogic Server‏ شود.، بدون هیچ مجوزی دسترسی پیدا کرد. اثرات این آسیب‌پذیری در محرمانگی(Confidentiality) می‌باشد و این مولفه را به خطر می‌اندازد. با این حال، برای این باگ، یک وصله در ژانویه 2023 به عنوان بخشی از انتشار به‌روزرسانی این شرکت منتشر شد.
این آسیب‌پذیری به‌راحتی قابل بهره‌برداری توسط مهاجم غیرمجاز با دسترسی به شبکه از طریق ‏T3‎، ‏IIOP‏ قابل انجام است ‏و می‌توان  به راحتی از آسیب‌پذیری ناشناخته موجود در سرورOracle WebLogic ‎‏ برای به خطر انداختن آن سوء استفاده ‏کرد.‏ اگرچه سوء استفاده‌های PoC برای این آسیب‌پذیری در دسترس هستند، هیچ موردی از سوء استفاده مخرب در حوزه عمومی گزارش نشده است.
BOD 22-01 کاتالوگ KEV (آسیب پذیری های مورد بهره برداری شناخته شده) را به عنوان یک لیست پویا از CVE ها ایجاد کرد که خطرات قابل توجهی برای شرکت فدرال ایجاد می کند. در حالی که CISA خواستار محافظت از شبکه ها در برابر این تهدیدات فعال شد، آژانس های FCEB (شاخه اجرایی غیرنظامی فدرال) باید وصله ها و اصلاحات ارائه شده توسط فروشندگان را تا 22 مه 2023 اجرا کنند.

منبع خبر

https://cybersecuritynews.com/warning-tp-link-apache-and-oracle-vulnerabilities

آسیب‌پذیری با شناسه CVE-2023-2131 در واحدهای پایانه راه دور ME RTU کشف شده است که امکان اجرای کد از راه دور را برای مهاجم فراهم می سازد. این آسیب پذیری امنیتی به دلیل پیچیدگی کم حمله، بالاترین رتبه بندی با شدت 10.0 را در سیستم امتیازدهی CVSS دریافت کرده است. نسخه های سخت افزار INEA ME RTU قبل از 3.36 در برابر تزریق فرمان سیستم عامل آسیب پذیر هستند، که به مهاجم اجازه می دهد تا از راه دور کد دلخواه را اجرا کند. 
توصیه‌های امنیتی
ارتقا به نسخه 3.36 این آسیب پذیری را از بین می برد.
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-2131
[2] https://www.cve.org/CVERecord?id=CVE-2023-2131
[3] https://vulners.com/cve/CVE-2023-2131
 

محققان امنیتی Patchstack هشدار داده‌اند که افزونه‌های وردپرس «Advanced Custom Fields» و «Advanced Custom Fields Pro» در معرض خطر حملات XSS قرار دارند.  این افزونه‌های وردپرسی که در میلیون‌ها وب‌سایت نصب شده‌اند، ممکن است در برابر نقض‌های امنیتی آسیب‌پذیر باشند.
افزونه‌های«Advanced Custom Fields» و «Advanced Custom Fields Pro» بیلدرهای فیلد سفارشی معروف در وردپرس هستند و با بیش از 2 میلیون نصب فعال، پایگاه کاربری قابل توجهی را جمع‌آوری کرده‌اند. آسیب‌پذیری XSS توسط محقق Patchstack با شناسه «CVE-2023-30777» قابل پیگیری است. برای مطالعه بیشتر اینجا کلیک نمایید.
 

یک آسیب‌پذیری با شناسه CVE-2023-20126 و شدت بحرانی (9.8) در رابط مدیریت مبتنی بر وب آداپتورهای تلفن2 پورت SPA112می‌تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا کد دلخواه را روی دستگاه آسیب‌پذیر اجرا کند. این آسیب‌پذیری به‌دلیل عدم وجود فرآیند احرازهویت در عملکرد ارتقای سخت افزار است. یک مهاجم می تواند با استفاده از این آسیب پذیری، با ارتقای دستگاه آسیب پذیر به یک نسخه ساخته شده از میان افزار سوءاستفاده کند. مهاجم با یک اکسپلویت موفق می تواند کد دلخواه را روی دستگاه آسیب پذیر با دسترسی دلخواه اجرا کند.

این آسیب پذیری تمامی نسخه های میان افزار برای آداپتورهای تلفن  2پورت Cisco SPA112 را تحت تاثیر قرار می دهد. سیسکو به روز رسانی‌های میان افزاری را برای این آسیب پذیری منتشر نکرده است و بدون هیچ راه حلی از کاربران خواسته است از دستگاه جدیدتری استفاده کنند.
 منابع خبر

[2] https://www.cve.org/CVERecord?id=CVE-2023-20126

آسیب پذیری با شناسه CVE-2021-40331 و شدت بحرانی معرفی شده است. این یک آسیب‌پذیری تخصیص مجوز نادرست برای منابع بحرانی در پلاگین Apache Ranger Hive است. هر کاربری با دسترسی SELECT بر روی پایگاه داده، می‌تواند مالکیت جدول را در Hive را تغییر دهد، و این زمانی رخ میدهد که پلاگین Apache Ranger Hive فعال است. این مشکل در پلاگین Apache Ranger Hive از نسخه 2.0.0 تا 2.3.0 وجود دارد.
توصیه:
 به کاربران توصیه می‌شود به نسخه 2.4.0 یا بعدی ارتقاء دهند.

مراجع

https://www.tenable.com/cve/CVE-2021-40331
https://www.cve.org/CVERecord?id=CVE-2021-40331
 

توسعه‌دهندگان باج‌افزار RTM Locker با توسعه نسخه‌ای از باج‌افزار که قابلیت حمله به دستگاه‌های تحت لینوکس را دارد، موفق شدند اولین حمله خود به این سیستم‌عامل انجام دهند. براساس گزارش جدیدی که شرکت امنیتی  Uptycsمنتشر کرده است، این باج‌افزار قادر است هاست‌های لینوکس، فضای ذخیره سازی متصل به شبکه (NAS) و اصلی ترین سرورهای مجازی سازی( (ESXi را آلوده ‌کند. گفته می‌شود کد این باج افزار، از باج‌افزار Babuk الهام گرفته شده است. برای رمزگذاری فایل‌های هدف از ترکیب دو الگوریتم رمزگذاری ECDH و Chacha20 استفاده می‌کند. ECDH یک الگوریتم رمزگذاری نامتقارن است که برای تبادل کلید بین دو نفر استفاده می‌شود و Chacha20 یک الگوریتم رمزگذاری جریانی است که برای رمزگذاری داده‌ها در حال حرکت در شبکه‌های کامپیوتری استفاده می‌شود. این ترکیب از دو الگوریتم معمولاً به عنوان یکی از روش‌های پراستفاده توسط باج‌افزارهای رمزگذاری کننده مورد استفاده قرار می‌گیرد.
RTM Locker توسط شرکت امنیتی Trellix شناسایی شده است. این شرکت، RTM Locker را یک باج‌افزار به عنوان سرویس (RaaS) توصیف کرده است که توسط یک گروه خصوصی توسعه داده شده است. باج‌افزار RTM Locker از یک گروه جرایم سایبری با نام Read the Manual (RTM) می‌آید. این گروه به هدف جلب توجه حداقلی از شرکت‌ها و سازمان‌ها استفاده می‌کند و برای فشار آوردن بر قربانیان، به شرکت‌های وابسته به آن‌ها حمله می‌کند. برای جداسازی Hostهای ESXi قبل از شروع فرایند رمزگذاری، این نسخه خاص لینوکس طراحی شده است و تمامی ماشین‌های مجازی درحال اجرا روی Host را متوقف می‌کند. هنوز عامل اولیه‌ی آلوده‌سازی که برای انتقال باج‌افزار استفاده می‌شود شناسایی نشده است.
باج‌افزار RTM Locker برای قفل کردن فایل‌های مختلف در سیستم قربانی طراحی شده است. این باج‌افزار با استفاده از الگوریتم رمزگذاری ، فایل‌های قربانی را رمزنگاری می‌کند و برای بازگشایی فایل‌ها، مبلغی پول از قربانیان درخواست می‌کند. در صورتی که قربانی پس از ۴۸ ساعت پرداخت نکند، باج‌افزار تهدید به انتشار فایل‌های رمزگذاری شده می‌کند.

این باج‌افزار با استفاده از پروتکل TOX، ارتباط خود را با قربانی برقرار می‌کند و از قربانی خواسته می‌شود که به تیم پشتیبانی مربوطه ایمیل بفرستد و در ازای پرداخت مبلغی، فایل‌های رمزگذاری شده را برمیگرداند. با این حال، این نوع رفتارها اغلب به صورت ناشناس و نامشخص انجام می‌شود و به همین دلیل، پیگیری و شناسایی فرد یا افرادی که پشت این باج‌افزار هستند، بسیار دشوار است. گروه‌های تهدیدات سایبری که به Cl0p و LockBit مرتبط هستند، به دنبال بهره‌برداری از آسیب‌پذیری‌های Papercut هستند. Papercut یک نرم‌افزار مدیریت چاپ است که برای ادارات و شرکت‌ها استفاده می‌شود. به نظر می‌رسد که گروه‌های تهدیدات سایبری با استفاده از این آسیب‌پذیری، از این نرم‌افزار برای نفوذ به سیستم‌های هدف استفاده می‌کنند.

  مراجع

https://www.bleepingcomputer.com/news/security/linux-version-of-rtm-locker-ransomware-targets-vmwar…
 

استفاده گسترده از دستگاه‌های اندرویدی، آنها را به یک هدف اصلی برای مجرمان سایبری تبدیل کرده است. بات‌نت اندروید یک نوع معمول از نرم‌افزارهای مخرب است که مجرمان سایبری برای دستیابی به دستگاه‌های هدف استفاده می‌کنند. آزمایشگاه‌های تحقیق و اطلاعاتیCyble  به تازگی یک بات‌نت اندرویدی را که توسط تیم MalwareHunter  به اشتراک گذاشته شده بود را تحلیل کرد. برای مطالعه این تحلیل اینجا کلیک نمایید.

یک بدافزار اندرویدی به نام «Fleckpe» به تازگی در فروشگاه Google Play کشف شده است. این بدافزار، خود را به عنوان یک برنامه معتبر پنهان می‌کند و تاکنون توسط بیش از 620000 کاربر دانلود شده است. به گفته کسپرسکای، Fleckpe جدیدترین عضو خانواده بدافزارهاست که با ثبت نام کاربران در سرویس‌های premium، هزینه‌های غیرقانونی از کاربران دریافت می‌کند. این بدافزار به جمع دیگر برنامه های مخرب اندرویدی از جمله Jocker و Harly پیوسته است که از قربانیان ناآگاه برای منافع مالی سوء‌استفاده می‌کنند. اشتراک‌های غیرمجاز برای عاملان تهدید، درآمد ایجاد می‌کند که بخشی از هزینه‌های اشتراک ماهانه یا مادام سرویس‌های premium را دریافت می‌کنند. این بدافزار ویرایش تصویر، کتابخانه‌ای از عکس ها و برنامه‌های والپیپر برجسته برای ثبت نام کاربران در اشتراک‌های غیرمجاز جعل می‌کند. این بدافزار به‌عنوان برنامه‌های قانونی پنهان شده بود و به عنوان بخشی از برنامه‌های ویرایش عکس، بسته‌های والپیپر گوشی‌های هوشمند و سایر برنامه‌های رایج موجود در فروشگاه Google Play منتشر می‌شد.

کارشناسان امنیت سایبری در آزمایشگاه کسپرسکای اظهار داشتند که این بدافزار از سال گذشته فعال بوده است، اما شناسایی و مستندسازی آن اخیراً رخ داده است. در گزارشی از کسپرسکی آمده است که بدافزار تروجان با نادیده گرفتن کار می‌کند و تنها زمانی که کاربران هزینه‌های غیرمجاز برای خدمات را تشخیص می‌دهند، هرگز قصد خرید آن را نداشته‌اند، شناسایی می‌شود. این بدافزار با بارگیری یک کتابخانه بومی مخرب کار می‌کند که برنامه‌ای را برای تماس با عوامل تهدید اجرا می‌کند و در عین حال اطلاعات مربوط به دستگاه آلوده را به اشتراک می‌گذارد. این اطلاعات برای ارسال یک صفحه اشتراک پولی استفاده می شود که توسط تروجان در یک صفحه مرورگر وب نامرئی پر می شود تا اشتراک‌گذاری شروع شود، که برای جذب پول استفاده می شود. در همین حال، کاربران از اینکه عضو یک سرویس پولی شده اند، بی اطلاع هستند.
داده ها حاکی از آن است که این تروجان از سال 2022 فعال بوده است و در 11 برنامه در Google Play یافت شده است که اکنون حذف شده اند. با این حال، عوامل تهدید ممکن است برنامه های دیگری را که هنوز شناسایی نشده اند، مستقر کرده باشند. تروجان های اشتراکی با مراجعه کلاهبردارانی که به طور فزاینده ای به بازارهای رسمی مانند Google Play برای انتشار بدافزار خود روی می آورند، محبوبیت پیدا کرده اند. پیچیدگی فزاینده این تروجان ها به آنها اجازه داده است تا با موفقیت بررسی های ضد بدافزار دور بزنند و برای مدت طولانی ناشناخته بمانند.
قربانیان بدافزار Fleckpe عمدتاً از کشورهای زیر هستند:
•    تایلند
•    مالزی
•    اندونزی
•    سنگاپور
•    لهستان
یک کتابخانه بومی رمز شده، شامل افزونه ای مخرب، به محض اجرای برنامه بارگیری می شود و این کتابخانه بومی موجود در برنامه، تکه کدی را رمزگشایی و  اجرا می نماید.
 

تکه کد، با سرور C&C متعلق به عاملان تهدید ارتباط برقرار می کند و اطلاعات مهم دستگاه از جمله MCC و MNC را مخابره می کند. این اطلاعات می تواند به طور بالقوه، کشور مبدأ قربانی را آشکار سازد. یک صفحه اشتراک پولی در پاسخ به درخواست سرور C&C نمایش داده می شود. تروجان، با راه اندازی یک مرورگر وب نامرئی شروع کرده و سپس صفحه وب خاصی را با هدف اشتراک کاربر در یک سرویس باز می کند. اگر فرآیند به کد تأیید نیاز داشته باشد، بدافزار آن را از اعلان‌های دستگاه بازیابی می‌کند.

در زیر نام  پکیج برنامه های مخرب را که تحت آن توزیع می شوند، آورده شده است:

تمامی این برنامه های مخرب شناسایی شده از فروشگاه Google Play حذف شده اند هرچند این احتمال وجود دارد که عوامل تهدید برنامه های مخرب دیگری را منتشر کرده باشند که هنوز کشف نشده اند.

محافظت در برابر بدافزارها که از طریق بازارهای مورد اعتماد توزیع ‏می‌شود، می‌تواند دشوار باشد، کاربران می‌توانند برای بهبود امنیت دستگاه‌های خود قدم‌هایی بردارند. ‏تحلیلگران امنیتی توصیه می کنند هنگام دانلود و نصب برنامه ها، حتی از منابع قابل اعتماد مانند Google Play، احتیاط کنید. کاربران باید مراقب مجوزهایی باشند که به برنامه ها می دهند و از دادن دسترسی به داده های غیر ضروری اجتناب کنند. در واقع خواندن سیاست حفظ حریم خصوصی و ارزیابی دقیق مجوزهای درخواست شده توسط برنامه ها ممکن است به ‏شناسایی و جلوگیری از برنامه های مخرب کمک کند. همچنین توصیه می شود برنامه ها را از منابع تایید ‏نشده دانلود نکنید.‏
علاوه بر این، نصب یک آنتی ویروس معروف را برای شناسایی و محافظت در برابر این نوع تروجان برای کاهش چنین آلودگی ها و خسارات مالی توصیه می کنند.
 منابع خبر

[2]https://www.thehindu.com/sci-tech/technology/internet/android-malware-on-google-play-store-apps-beh…