یک نقص امنیتی شدید به نام acropalypse در ابزار Snipping Tool که در سیستم عامل ویندوز به طور پیش‌فرض وجود دارد پیدا شده که به افراد اجازه می‌دهد قسمتی از محتوای حذف شده از یک عکس را بازیابی کنند.
هفته گذشته دو محقق امنیت به نام David Buchanan و Simon Aarons یک باگ در ابزار Markup گوشی Google Pixel پیدا کردند که باعث می‌شد بتوان پس از برش یا ویرایش یک تصویر، اصل آن تصویر را بازیابی کرد. این یک نقص حریم خصوصی جدی محسوب می‌شود و اگر کاربران یک تصویر حساس شامل اطلاعات مالی را ویرایش کرده و سپس آن را به اشتراک بگذارند، ممکن است بتوان قسمت‌هایی از تصویر اصلی را بازیابی کرد.. برای اثبات این باگ محققان یک ابزار آنلاین بازیابی اسکرین‌شات ساخته‌اند که می‌تواند تصاویر ویرایش شده در گوشی Google Pixel را بازیابی کند.
ابزار Snipping tool در ویندوز 11 نیز آسیب‌پذیر است
یک مهندس نرم‌افزار به نام Chris Blume تایید کرده است که نقص امنیتی به نام acropalypse همچنین ابزار Snipping Tool در ویندوز 11 را تحت تاثیر قرار می‌دهد. موقعی که یک فایل در ابزار Snipping Tool در ویندوز 11 باز شده و روی یک فایل که قبلا وجود داشته overwrite شود، به جای اینکه داده‌های اضافی حذف شوند، در جای خود می‌مانند و بعداً می‌توان آن را بازیابی کرد.
حال فرض کنید که شما یک اسکرین‌شات از یک فایل اکسل دارای داده‌های حساس گرفته‌اید و قسمت‌های محرمانه را برش زده و فایل را ذخیره کرده‌اید. حال با بهره‌برداری از این نقص کشف شده ممکن است کسی بتواند قسمت‌های حساس و محرمانه که قصد انتشار آن را نداشته‌اید را را بازیابی کند. یک سخنگوی مایکروسافت اعلام کرده که اقدامات مورد نیاز برای برطرف کردن این نقص و محافظت از کاربران هم‌اکنون در حال انجام هستند. 

منابع:

 

 مقدمه
 آسیب پذیری باشناسه CVE-2023-23397 و شدت بحرانی (9.8) در سایت nvd منتشر شده است که به مهاجم اجازه میدهد تا با ارسال یک پیام و نفوذ در نرم افزار Microsoft Outlook شرایط ورود بدون احراز هویت را فراهم سازد . 
جزئیات آسیب‌پذیری
این آسیب پذیری  از نسخه 2013 تا نسخه 365  نرم افزار Outlook را تحت شعاع قرار داده است و این ضعف اجازه میدهد مهاجم پیامی با ویژگی MAPI توسعه یافته با یک مسیر UNC به یک اشتراک SMB در سرور کنترل شده ارسال کند.در این شرایط نیازی به تعامل کاربر نیست و بهره برداری می تواند به محض دریافت ایمیل توسط مشتری آغاز شود. سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌استفاده از آسیب‌پذیری مذکور بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
این آسیب‌پذیری نرم افزار Microsoft Outlook  از محصولات شرکت مایکروسافت را تحت تأثیر قرار میدهد.
توصیه‌های امنیتی
به کاربران توصیه می‌شود که یکی از روش های زیر را برای بالا بردن امنیت نرافزار استفاده کنند :

• کاربران به گروه امنیتی کاربران محافظت شده اضافه شوند. این کار از استفاده NTLM به عنوان مکانیزم احراز هویت جلوگیری می کند. توجه: این ممکن است بر برنامه هایی که به NTLM نیاز دارند تأثیر بگذارد.
• با استفاده از فایروال و از طریق تنظیمات VPN، خروجی TCP 445/SMB را از شبکه خود مسدود کنید. این از ارسال پیام های احراز هویت NTLM به اشتراک گذاری فایل های راه دور جلوگیری می کند.
• به روزرسانی جدید مایکروسافت یا وصله مخصوص    

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

منابع خبر

 

مقدمه
 آسیب پذیری باشناسه CVE-2022-20929 و شدت بالا (7.8)  در تاریخ 19 اسفند 1401 در سایت nvd منتشر شده است که به مهاجم اجازه میدهد تا سیستم NFVIS (نرم‌افزار زیرساخت مجازی سازی تابع شبکه) سیسکو را کاملاً به هم بزند.

جزئیات آسیب‌پذیری
این آسیب پذیری می تواند به یک مهاجم احراز هویت نشده امکان آپلود فایل ارتقاء نرم افزار زیرساخت nfv شرکت سیسکو ( NFVIS ) را داده و با ارائه این فایل ارتقا به مدیرامکان سوء استفاده را فراهم سازد تا سیستم NFVIS Cisco را به طور کامل در معرض خطر قرار دهد.
  این آسیب‌پذیری دارای بردار حمله CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H می‌باشد و بهره‌برداری از آن از طریق شبکه محلی امکان‌پذیر است (AV:L). سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی  نیاز  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز دارد (UI:R). سوء‌استفاده از آسیب‌پذیری مذکور بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).

محصولات تحت تأثیر
این آسیب‌پذیری شرکت سیسکو را در پیکربندی پیش‌فرض تحت تأثیر قرار میدهد.

توصیه‌های امنیتی
لذا به کاربران توصیه می‌شود که نرم افزار را به یک نسخه نرم‌افزاری ثابت، مناسب ارتقا دهند.
برای ارتقا نرم‌افزار , به کاربران توصیه می‌شود به طور منظم با توصیه‌های محصولات سیسکو که در صفحه مشاوره امنیتی سیسکو موجود هستند , مشورت کنند تا راه‌حل ارتقا کامل و امن را تعیین کنند. کاربران باید شماره سریال محصول را در دسترس داشته باشند و اطمینان حاصل کنند که دستگاه‌هایی که قرار است ارتقا یابند حافظه کافی دارند و همچنین اطمینان حاصل کنند که پیکربندی‌های سخت‌افزاری و نرم‌افزاری فعلی به درستی توسط نسخه جدید پشتیبانی خواهند شد . اگر اطلاعات روشن نباشد , به کاربران توصیه می‌شود که با مرکز کمک‌های فنی سیسکو ( tac ) یا ارائه دهندگان تعمیر و نگهداری قراردادی آن‌ها تماس بگیرند .

منابع خبر:

 

[1]  https://nvd.nist.gov/vuln/detail/CVE-2022-20929
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-ISV-BQ…
[3] https://www.cisco.com/c/dam/en/us/td/docs/routers/nfvis/user_guide/cisco-enterprise-nfvis-release-n…

 

مقدمه
هکرهای چینی( MQsTTang-A) با دسترسی به فایل های  دارای رفتار معیوب  قصد سرقت اطلاعات حساس را از سازمان‌های هدف دارند .

جزئیات آسیب‌پذیری
Av ،یک نوع پیشرفته‌ از فناوری تشخیص ویروس می باشدکه فایل هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می کنند.
یک گروه از هکر های چینی (MQsTTang) با استفاده از این فناوری (AV)بدافزاری طراحی کرده اند که فایل های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمان‌های سیاسی در اروپا و آسیا را مورد هدف قرار داده است .
ایمیل‌های )Spear - phishing فیشینگ هدفمند )فایل های معیوب ارجح برای فعالیت این بدافزار هستند .
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که  این بد افزار قابلیت‌های اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم می‌کند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را  برای فعال سازی بدافزار هنگام راه‌اندازی سیستم به وجود می آورد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 

این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می دهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می کند.
** پروتکل : MQTT پروتکل MQTT  یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می دهد، هدر های مورد استفاده در MQTT حجم خیلی کمی دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل می‌شود .
و ارتباط از طریق یک کارگزار را تسهیل می کند و زیرساخت مهاجم را پنهان نگه می دارد.**

محصولات تحت تأثیر
اطلاعات حساس از سازمان‌های هدف

 توصیه‌های امنیتی
ماهیت حملات Spear Phishing به گونه‌ای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمان‌ها برای حفاظت بهتر باید زیرساخت‌های امنیتی عمیق (مانند احراز هویت دوعاملی (2FA)و سیاست‌های مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
و همچنین به کاربران توصیه می‌شود برای مقابله با این بدافزار از ضد بدافزار به‌روزشده استفاده نمایند .

 منابع خبر:

[1] https://gbhackers.com/mqsttang/
[2] Spear Phishing is the Next Big Challenge for CISOs (https://gbhackers.com)
[3] https://thehackernews.com/2023/03/chinese-hackers-targeting-european.html

 

 

 

مقدمه
شرکت Fortinet برای رفع 15 نقص امنیتی به‌روزرسانی امنیتی منتشر نموده است، از جمله‌ی این آسیب‌پذیری‌ها یک نقص بحرانی است که FortiOS و FortiProxy را تحت‌تأثیر قرار می‌دهد و می‌تواند مهاجم را قادر سازد کنترل دستگاه آسیب‌پذیر را در دست بگیرد.
جزئیات آسیب‌پذیری
این آسیب‌پذیری با شناسه‌ی CVE-2023-25610 و شدت بحرانی (شدت 9.3 از 10)، یک نقص پاریز بافر (buffer underflow)، در رابط مدیریتی محصولات FortiOS  و  FortiProxy شرکت Fortinet است که به مهاجم احراز هویت نشده اجازه‌ می‌دهد از راه دور کدهای دلخواه خود را بر روی دستگاه آسیب‌پذیر اجرا کند و یا از طریق درخواست‌های جعلی حمله‌ی DoS را بر روی رابط گرافیکی دستگاه انجام دهد. این نقص زمانی رخ میدهد که برنامه‌ای تلاش می‌کند تا اطلاعاتی بیشتر از ظرفیت بافر را بخواند و منجر به دسترسی به مکان‌های حافظه مجاور شود که رفتار خطرناک یا خرابی تلقی می‌شود.
به گفته‌ی Fortinet، در حال حاضر گزارشی در خصوص سوءاستفاده از این نقص دریافت نشده و این آسیب‌پذیری در فرایند تست و بازبینی امنیتی محصولات توسط خودِ شرکت کشف شده است.
محصولات تحت تأثیر
این آسیب‌پذیری محصولات زیر را تحت تأثیر قرار می‌دهد:

لازم به ذکر است که حتی هنگام اجرای نسخه‌ی آسیب‌پذیر FortiOS، دستگاه‌های سخت‌افزاری که در زیر لیست شده‌اند فقط تحت تأثیر حمله‌ی DoS هستند و حمله‌ی اجرای کد دلخواه بر روی آن‌ها تأثیرگذار نیست (دستگاه‌هایی که در لیست زیر عنوان نشده‌اند تحت تأثیر هر دو حمله هستند):

 

توصیه‌های امنیتی
به کاربران توصیه می‌شود محصولات آسیب‌پذیر خود را به نسخه‌های اصلاح‌شده‌ی زیر به‌روزرسانی نمایند:
•    ارتقاء FortiOS  به نسخه‌ی  7.4.0یا بالاتر
•    ارتقاء FortiOS  به نسخه‌ی  7.2.4یا بالاتر
•    ارتقاء FortiOS  به نسخه‌ی  7.0.10یا بالاتر
•    ارتقاء FortiOS  به نسخه‌ی  6.4.12یا بالاتر
•    ارتقاء FortiOS  به نسخه‌ی  6.2.13یا بالاتر
•    ارتقاء FortiProxy به نسخه‌ی  7.2.3یا بالاتر
•    ارتقاء FortiProxy به نسخه‌ی  7.0.9یا بالاتر
•    ارتقاء  FortiOS-6K7Kبه نسخه‌ی  7.0.10یا بالاتر
•    ارتقاء  FortiOS-6K7Kبه نسخه‌ی  6.4.12یا بالاتر
•    ارتقاء  FortiOS-6K7Kبه نسخه‌ی  6.2.13یا بالاتر
در صورتی که در حال حاضر امکان به‌روزرسانی محصولات وجود ندارد، اینترفیسHTTP/HTTPS administrative را غیرفعال نموده یا IPهایی که به این اینترفیس دسترسی دارند محدود نمایید. برای این کار می‌توانید از دستورات زیر استفاده کنید:

 

config firewall address
edit "my_allowed_addresses"
set subnet <MY IP> <MY SUBNET>
end

سپس یک Address Group ایجاد کنید:

 

config firewall addrgrp
edit "MGMT_IPs"
set member "my_allowed_addresses"
end

 

در این مرحله، یک Local in Policy برای محدود کردن دسترسی به گروه از پیش تعریف شده بر روی اینترفیس مدیریتی ( اینجا پورت 1) ایجاد کنید:

 

config firewall local-in-policy
edit 1
set intf port1
set srcaddr "MGMT_IPs"
set dstaddr "all"
set action accept
set service HTTPS HTTP
set schedule "always"
set status enable
next
edit 2
set intf "any"
set srcaddr "all"
set dstaddr "all"
set action deny
set service HTTPS HTTP
set schedule "always"
set status enable
end

اگر از پورت‌های پیش‌فرض استفاده نمی‌کنید یک سرویس برای دسترسی به GUI administrative ایجاد کنید:

 

 

config firewall service custom
edit GUI_HTTPS
set tcp-portrange <admin-sport>
next
edit GUI_HTTP
set tcp-portrange <admin-port>
end

از این سرویس به جای HTTPS HTTP  در کدهای بالا قسمت 1 و 2 استفاده کنید.

 منابع خبر

 

 

مقدمه
یک آسیب‌پذیری باشناسه CVE-2022-4328 و شدت بحرانی (9.8) در نسخه‌های قبل‌ از 18.0 افزونه WooCommerce، سیستم مدیریت محتوای وردپرس کشف شده که امکان بارگذاری فایل‌های دلخواه مانند php را  برای مهاجم بر روی سرور فراهم می‌سازد. 
جزئیات آسیب‌پذیری
ووکامرس افزونه‌ وردپرس است که می‌توان با آن اقدام به راه‌اندازی فروشگاه اینترنتی کرد. افزودن WooCommerce  به وردپرس این امکان را می دهد که بتوان محصولات خود را در سایت اینترنتی وردپرسی به فروش رساند. 
با سوء‌استفاده از این آسیب‌پذیری مهاجم می‌تواند بدون احراز هویت شدن فایل دلخواه را بر روی سرور قرار دهد.  این آسیب‌پذیری دارای بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد و بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N). سوء‌استفاده از این آسیب‌پذیری نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و  نیازی به شرایط خاص  نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نبوده (PR:N) و همچنین به تعامل با کاربر نیاز نیست(UI:N). سوء‌استفاده از آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و در بدترین شرایط، با سوء‌استفاده از آن، هر سه ضلع امنیت به میزان بالا تحت تأثیر قرار می‌گیرند (C:H و I:H و A:H).
محصولات تحت تأثیر
افزونه سیستم مدیریت یادگیری وردپرس WooCommerce نسخه قبل از 18.0تحت تأثیر این آسیب‌پذیری قرار می‌گیرند.
 توصیه‌های امنیتی
این آسیب‌پذیری در نسخه های بعد از 18.0 رفع شده است .
لذا به کاربران توصیه می‌شود در اسرع وقت از طریق مسیر زیر، نسبت به به‌روزرسانی افزونه WooCommerce خود اقدام کنند:

 

منابع خبر

 

 

میکروسافت در جولای 2022، ماکروهای بدخواه را از اسناد آفیس حذف کرد. از آن زمان، فایل‏‌های OneNote Microsoft جایگزین مناسبی برای ماکروها در ایمیل‌های فیشینگ شدند. تقریبا هر نوع فایلی مانند فایل‌های LNK یا VBS را می‌‏توان در مستندات OneNote جاسازی کرد.
از ابتدای سال میلادی 2023 با رشد بدافزارهایی که از فرمت .one برای آلوده‌سازی قربانیان استفاده می‌کنند مواجه هستیم اما بیشتر این موارد حملات بدافزاری در مقیاس کم بوده‌اند. اخیرا کمپین بدافزاری QakBot، که به QakNote نیز معروف است، از این روش در ابعاد گسترده‌تری استفاده نموده است. نمونه‌ای از پیام‌های ایمیلی ارسال شده توسط این گروه در تصویر نمایش داده شده است.  

این مستندات .one بدخواه حاوی یک فایل ضمیمه هستند که برای اجرای آنها می‌بایست بر روی دکمه open کلیک کرد. نمونه‌ای از یک فایل .one حاوی پیوست در شکل نمایش داده شده است. با کلیک بر روی دکمه open، فایل .hta ضمیمه شده اجرا می‌شود و نمونه‌ای از بدافزار Qakbot را از سرور راه دور دریافت و اجرا می‌کند. 

به راهبران ایمیل توصیه می‌شود در صورتی که در سازمان از فایل‏های .one به ندرت استفاده می‌شود، دریافت این نوع فایل‏ها به عنوان ضمیمه را مسدود کنند. همچنین به تمامی کاربران توصیه می‌شود در هنگام مواجهه با فایل‌های .one با احتیاط رفتار کنند و در صورت دریافت ایمیل حاوی فایل‌های  .one از منابع ناشناس از اجرای آن بپرهیزند.  

منبع خبر: 

 

 

مقدمه
به تازگی نسخه جدیدی از بات نت Medusa ظهور یافته که علاوه بر قابلیت انجام حملات DDoS، قابلیت بروت فرس سرویس Telnet و حملات باج افزاری را نیز دارد. این بدافزار از سورس کد منتشر شده mirai اقتباس شده و کاربران لینوکسی را مورد هدف قرار داده است.
اخیرا نسخه جدیدی از بات‏نت mirai کشف شده که بات نت جدیدی با نام Medusa را دانلود و منتشر می‏کند. این بات‏نت قابلیت اجرای حملات منع خدمت در سطوح مختلف سلسله مراتب شبکه شامل لایه‏‌های 3، 4 و 7 را دارد. این حملات با استفاده از آدرس IP ماشین‌‏های قربانیان یا آدرس‌‏های IP جعلی انجام می‌‏شود. این بات‏نت همچنین می‌‏تواند روی ماشین‏‌های هدف، حملات باج‏‌افزاری انجام دهد. برای رمز کردن فایل‏‌های سیستم از الگوریتم رمزنگاری AES 256-bit استفاده و به انتهای فایل‏های رمز شده پسوند .medusastealer را اضافه‏ می‏شود. پس از رمز کردن فایل‏ها،  بدافزار به مدت 24 ساعت صبر کرده و سپس تمامی فایل‏ها را از سیستم حذف می‏‌کند. در نهایت باج‌افزار پیام دریافت باج که حاوی راهنمای بازگشایی فایل‏های رمز شده است به کاربر نمایش می‏‌دهد. البته نمایش این پیام پس از حذف فایل‏ها، باگ بدافزار است که نشان دهنده این است که بدافزار هنوز در حال توسعه است و انتظار نسخه‏های پیشرفته‏‌تری از آن می‏رود.
 

Medusa همچنین می‌‏تواند دستگاههای متصل به اینترنت را به منظور شناسایی سرویس‏های Telnet اسکن کند و روی سرویس‌‏های Telnet حملات بروت فرس انجام دهد. بدافزار همچنین قابلیت دریافت فرمان FivemBackdoor و sshlogin را دارد که اجازه دسترسی به درب پشتی بر روی سیستم قربانیان را می‏دهد. Medusa همچنین اطلاعات مختلفی از سیستم شامل نام کاربری، نام میزبان، آدرس IP ، سیستم عامل، مصرف CPU و RAM، تعداد کل هسته‏های CPU، شناسه یکتای سیستم را جمع‏آوری و برای سرور راه دور به آدرس hxxps://medusa-stealer[.]cc/add/bot ارسال می‏کند. 

توصیه‌‏های امنیتی

•  استفاده از رمزعبورهای قوی و استفاده از احراز هویت چندفاکتوره تا جای ممکن
• به روز رسانی و ارتقای رایانه، تلفن همراه و سایر دستگاه‏های متصل
• خودداری از بازکردن لینک‏‌ها و ضمیمه‏‌های ناشناخته بدون وارسی آنها 

منبع خبر

 

مقدمه
OpenSSL یکی از پر استفاده‌ترین کتابخانه‌های رمزنگاری، برای هشت آسیب‌‏پذیری پرخطر خود اصلاحیه امنیتی منتشر کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به حمله انکار سرویس (DoS) و افشای محتویات حافظه شوند.
جزئیات آسیب‌پذیری
آسیب‏‌پذیری‏‌های مذکور شامل هفت آسیب‏‌پذیری مخرب حافظه با شناسه‌های CVE-2023-0286، CVE-2022-4203، CVE-2023-0215، CVE-2022-4450، CVE-2023-0216، CVE-2023-0217، CVE-2023-0401 و آسیب‏‌پذیری هشتم  CVE-2022-4304  مرتبط با حمله کانال جانبی مبتنی بر زمان در رمزگشایی RSA است.
 محصولات تحت تأثیر
 نسخه‌های 3.0، 1.1.1 و 1.0.2 تحت‌‎تأثیر آسیب‌پذیری‏‌های مذکور هستند.
توصیه‌های امنیتی
اگر از این کتابخانه معروف استفاده می‌کنید، همین امروز به رسانی‌های لازم را انجام دهید:
•    کاربران OpenSSL نسخه‌ 3.0.0 می‌بایست در اسرع وقت به OpenSSL نسخه 3.0.8 ارتقا یابند. 
•    کاربران OpenSSL نسخه‌ 1.1.1 می‌بایست در اسرع وقت به OpenSSL نسخه  1.1.1t ارتقا یابند. 
•    کاربران OpenSSL نسخه‌ 1.0.2 می‌بایست در اسرع وقت به OpenSSL نسخه 1.0.2zg ارتقا یابند. 
منبع خبر

 

 

به تازگی محققان بدافزار پیشرفته‌ای با نام HeadCrab کشف کرده‌اند که فعالیت خود را از اوایل سپتامبر 2021 آغاز کرده است. این بدافزار سرورهای Redis را با هدف استفاده از منابع سرور برای کاوش ارز دیجیتال آلوده می‌کند. این بدافزار تاکنون حدود 1200 سرور Redis را آلوده کرده است. در حالی که حدود 2800 سرور آلوده نشده هنوز در معرض خطر هستند. 
Headcrab به صورت مقیم در حافظه طراحی شده و با اسکن توسط آنتی ویروس‌‏های سنتی قابل شناسایی نیست. در این حمله مهاجمان از فرمان SLAVEOF استفاده می‌کنند تا سرور قربانی را سرور SLAVE برای سرور دیگری که تحت کنترل مهاجم است قرار دهند. به این ترتیب با همگام‌سازی دو سرور، ماژول بدخواه Redis که در واقع همان بدافزار HeadCrab است از سرور تحت کنترل مهاجم بر روی سرور قربانی دانلود می‌شود. با لود شدن این ماژول در سرور Redis، مهاجم قابلیت‌های مختلفی اعم از کنترل کامل سرور بدست می‌آورد. هدف اصلی اجرای این بدافزار سوء استفاده از منابع سرور برای استخراج ارز دیجیتال است. 
به منظور مقابله با این بدافزار و سایر تهدیدات مرتبط باRedis ، توصیه می‌شود :

• سرورهای Redis را مستقیماً در معرض اینترنت قرار ندهید. 
• در صورتی که دسترسی به سرور Redis از طریق اینترنت ضروری است، این ارتباط را تنها برای آدرس‌های قابل اعتماد فعال کنید. 
• در صورتی که فرمان Slaveof در سرور فعال است، آن را غیرفعال کنید. 

منبع خبر