۲۲ تیر، روز ملی فناوری اطلاعات و زادروز حکیم خوارزمی گرامی باد
💻
در تقویم افتخارات ایران، ۲۲ تیرماه یادآور تولد یکی از بزرگ‌ترین دانشمندان تاریخ، محمد بن موسی خوارزمی است؛ ریاضی‌دان، ستاره‌شناس و پدر علم الگوریتم و پایه‌گذار دانش محاسبات. به پاس خدمات شگرف او به دانش و فناوری، این روز به نام روز ملی فناوری اطلاعات نام‌گذاری شده است.

در آرمان داده پویان، با افتخار در مسیر توسعه دانش و ارتقاء امنیت فناوری اطلاعات گام برمی‌داریم و باور داریم که آینده، متعلق به جوامعی است که علم را با خلاقیت و امنیت تلفیق می‌کنند.

🌐 این روز را به تمامی متخصصان، پژوهشگران و فعالان عرصه IT و امنیت سایبری تبریک می‌گوییم.
با هم، آینده‌ای امن‌تر و هوشمندتر خواهیم ساخت.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 بیش از ۶۰۰ اپلیکیشن لاراول در معرض اجرای کد از راه دور!

تحقیقات جدید نشان می‌دهد که نشت کلید APP_KEY فریم‌ورک لاراول در گیت‌هاب، صدها اپلیکیشن را به شدت آسیب‌پذیر کرده است.

📌 گیت گاردین و Synacktiv موفق شدند از سال ۲۰۱۸ تا مه ۲۰۲۵، بیش از ۲۶۰,۰۰۰ کلید APP_KEY را از مخازن گیت‌هاب استخراج کنند. از میان آن‌ها، بیش از ۶۰۰ اپلیکیشن آسیب‌پذیر شناسایی شده‌اند و دست‌کم ۴۰۰ کلید معتبر بوده‌اند.

☠️ با دسترسی به APP_KEY و فعال بودن تنظیماتی خاص مانند SESSION_DRIVER=cookie، مهاجمان می‌توانند از آسیب‌پذیری معروف به CVE-2018-15133 و نسخه جدیدتر CVE-2024-55556 بهره‌برداری کرده و اجرای کد دلخواه (RCE) روی سرور لاراول داشته باشند.

📂 بدتر اینکه ۶۳٪ این نشت‌ها از فایل‌های .env بوده‌اند که معمولاً حاوی سایر اطلاعات حساس مانند توکن‌های ابری، اطلاعات پایگاه داده و کلیدهای دسترسی به سرویس‌های هوش مصنوعی هستند.

🔍 گیت گاردین تأکید کرده صرف حذف کلیدهای لو رفته کافی نیست. باید فوراً کلید جدید تولید و جایگزین شود و پایش دائمی نشت اطلاعات در زنجیره CI/CD پیاده‌سازی شود.

⚠️ این موضوع فقط مختص Laravel نیست. ریشه اصلی مشکل، نشت کلیدهای امنیتی در مخازن عمومی است؛ مسئله‌ای که در سایر فریم‌ورک‌ها و حتی ایمیج‌های Docker نیز مشاهده شده و باید جدی گرفته شود.

✅ سازمان‌ها باید اقداماتی مانند موارد زیر را در دستور کار قرار دهند:

🔹 استفاده از ابزارهای پویش متمرکز کلیدها و اطلاعات حساس

🔹 بهره‌گیری از راهنماهای هاردنینگ امنیتی مخصوص Laravel

🔹 پیاده‌سازی الگوهای امن‌سازی از مرحله طراحی برای مدیریت فایل‌های .env و اطلاعات محرمانه در لایه‌های کانتینر و CI/CD


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی حیاتی از Cisco:
آسیب‌پذیری بحرانی در ISE با امکان اجرای کد با دسترسی Root


شرکت Cisco اخیراً یک آسیب‌پذیری با شدت حداکثری (CVSS: 10.0) را در محصولات Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) افشا کرده است.

این آسیب‌پذیری که با شناسه CVE-2025-20337 ردیابی می‌شود، به مهاجم غیرمجاز اجازه می‌دهد تا کد دلخواه را با سطح دسترسی Root روی سیستم‌عامل اجرا کند — بدون نیاز به هیچگونه اعتبارسنجی یا احراز هویت!

✅ علت اصلی این نقص امنیتی، اعتبارسنجی ناکافی ورودی‌های کاربر در API خاصی از ISE و ISE-PIC عنوان شده است. مهاجم می‌تواند با ارسال یک درخواست مخرب به این API، کنترل کامل دستگاه را در اختیار بگیرد.

📌 نسخه‌های آسیب‌پذیر:

نسخه‌های 3.3 و 3.4 از Cisco ISE و ISE-PIC (صرف‌نظر از پیکربندی دستگاه)
نسخه‌های 3.2 و پایین‌تر تحت تأثیر نیستند

🔧 نسخه‌های امن‌شده:
ISE/ISE-PIC نسخه 3.3 – وصله 7 (Patch 7)
ISE/ISE-PIC نسخه 3.4 – وصله 2 (Patch 2)

👨‍💻 این آسیب‌پذیری توسط Kentaro Kawane از شرکت GMO Cybersecurity شناسایی شده است؛ کسی که پیش‌تر نیز چندین نقص بحرانی دیگر در Cisco و Fortinet را گزارش داده بود.

⚠️ اگرچه هنوز شواهدی از سوءاستفاده فعال از این آسیب‌پذیری منتشر نشده، اما با توجه به حملات اخیر به Fortinet FortiWeb (CVE-2025-25257) و استفاده مهاجمان از اکسپلویت‌های عمومی، به‌شدت توصیه می‌شود سیستم‌ها در اسرع وقت به‌روزرسانی شوند.
اطلاعات بیشتر:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی حیاتی از Broadcom: آسیب‌پذیری‌های بحرانی در VMware ESXi، Workstation و Fusion با امکان اجرای کد روی سیستم میزبان

شرکت Broadcom (مالک فعلی VMware) به‌تازگی مجموعه‌ای از آسیب‌پذیری‌های مهم و بحرانی را در زیرساخت‌های مجازی‌سازی خود افشا و اصلاح کرده که مهاجمان می‌توانند با بهره‌برداری از آن‌ها، کد مخرب را روی سیستم میزبان اجرا کنند.

🔍 جزئیات فنی آسیب‌پذیری‌ها:

CVE-2025-41236 |
در VMXNET3
| امتیاز CVSS: 9.3

بهره‌برداری از طریق ماشین مجازی با سطح دسترسی ادمین و امکان اجرای کد روی میزبان.

CVE-2025-41237 |
در VMCI
| امتیاز
CVSS: 9.3 (Workstation/Fusion) و 8.4 (ESXi)
امکان اجرای کد در فرآیند VMX.

در ESXi به دلیل محدودیت sandbox آسیب محدود است، اما در Workstation و Fusion می‌تواند منجر به فرار کامل از ماشین مجازی شود.

CVE-2025-41238 |
در کنترلر PVSCSI
| امتیاز CVSS: 9.3 (Workstation/Fusion)
و 7.4 (ESXi)
در Workstation/Fusion خطرناک، اما در ESXi فقط در پیکربندی‌های غیرپشتیبانی‌شده قابل بهره‌برداری است.

CVE-2025-41239 |
در vSockets
| امتیاز
CVSS: 7.1 (ESXi/Workstation/Fusion) و 6.2
(VMware Tools)

منجر به نشت حافظه در ارتباطات vSocket در VMware Tools برای ویندوز. نسخه‌های لینوکس و macOS تحت تأثیر نیستند.

📦 محصولات آسیب‌پذیر:

VMware ESXi نسخه‌های 7.0 و 8.0
VMware Workstation Pro نسخه‌های 17.x
VMware Fusion نسخه‌های 13.x
VMware Tools برای ویندوز (11.x، 12.x، 13.x)
VMware Cloud Foundation و Telco Cloud Platform

⚠️ نکات کلیدی از منظر بهره‌برداری:

در محیط‌های دسکتاپ (Workstation و Fusion)، بهره‌برداری می‌تواند منجر به فرار کامل از ماشین مجازی و اجرای کد روی میزبان شود.

در محیط‌های ESXi، بهره‌برداری از آسیب‌پذیری‌های VMCI و PVSCSI در sandbox محدود باقی می‌ماند و در بسیاری از موارد نیازمند پیکربندی‌های خاص و غیررسمی است.

✅ نسخه‌های اصلاح‌شده منتشر شده:
ESXi 8.0: نسخه ESXi80U3f-24784735
ESXi 7.0: نسخه ESXi70U3w-24784741
Workstation Pro: نسخه 17.6.4
Fusion: نسخه 13.6.4
VMware Tools: نسخه 13.0.1

🔐 وضعیت Exploitation:

بر اساس اطلاعیه رسمی Broadcom، تاکنون هیچ شواهدی مبنی بر سوءاستفاده فعال (in-the-wild) از این آسیب‌پذیری‌ها ثبت نشده است.

📌 با وجود کشف این باگ‌ها در رویداد امنیتی Pwn2Own، Broadcom این آسیب‌پذیری‌ها را به‌صورت رسمی در دسته‌ی Zero-Day طبقه‌بندی نکرده است، چراکه هیچ نمونه‌ای از حمله فعال گزارش نشده است.
اما با توجه به شدت آن‌ها (CVSS ≥ 9.0)، بسیاری از کارشناسان آن‌ها را در زمره تهدیدهای بحرانی زیرساخت مجازی‌سازی ارزیابی می‌کنند.

🛡️ توصیه فوری:
به تمامی سازمان‌ها توصیه می‌شود که در اسرع وقت به‌روزرسانی‌های رسمی را نصب کرده و محیط‌های مجازی‌سازی خود را از خطر سوءاستفاده احتمالی محافظت کنند.

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 سوءاستفاده از آسیب‌پذیری Apache برای استخراج رمزارز: کمپین Linuxsys در حال گسترش است

🎯 پژوهشگران امنیتی از کمپین جدیدی پرده برداشته‌اند که با بهره‌برداری از آسیب‌پذیری قدیمی در Apache HTTP Server، بدافزار استخراج رمزارز Linuxsys را روی سیستم‌های لینوکسی توزیع می‌کند.

🔍 آسیب‌پذیری مورداستفاده:
CVE-2021-41773 | CVSS: 7.5

آسیب‌پذیری Path Traversal در نسخه 2.4.49 آپاچی که می‌تواند منجر به اجرای کد از راه دور (RCE) شود.

📌 ویژگی‌های کلیدی حمله:
شروع از یک IP اندونزیایی و استفاده از سایت مخرب repositorylinux[.]org برای بارگذاری اسکریپت‌ها با ابزارهایی مانند curl یا wget.

دانلود بدافزار Linuxsys Miner از پنج وب‌سایت قانونی که پیش‌تر توسط مهاجمان به‌طور مخفیانه آلوده شده‌اند.
استفاده از گواهی‌های SSL معتبر این سایت‌ها برای دور زدن تشخیص امنیتی.
اجرای اسکریپت‌ "cron.sh" برای راه‌اندازی خودکار بدافزار پس از هر ری‌استارت.
مشاهده فایل‌های اجرایی ویندوز نیز روی این سرورها، که نشان می‌دهد مهاجمان کاربران ویندوز را نیز هدف قرار داده‌اند.

🧩 این حمله بخشی از یک کمپین طولانی‌مدت است که از آسیب‌پذیری‌های مختلفی سوءاستفاده می‌کند، از جمله:

CVE-2024-36401 در GeoServer (امتیاز 9.8)
CVE-2023-22527 در Atlassian Confluence
CVE-2023-38646 در Metabase
CVE-2024-0012 / CVE-2024-9474 در فایروال‌های Palo Alto Networks

🧠 طبق تحلیل VulnCheck، مهاجمان با استفاده از تکنیک‌های مداوم مانند n-day exploitation، توزیع محتوا از طریق سرورهای آلوده‌شده و دوری از Honeypotهای ساده، موفق به دور ماندن از دید سیستم‌های تشخیص تهدید شده‌اند.

⚠️ این کمپین هم‌زمان با زنجیره حملاتی دیگر انجام شده که شامل بدافزارهای زیر هستند:
H2Miner (ربات استخراج رمزارز)
Kinsing (RAT برای تحویل بدافزار)
Lcrypt0rx (نسخه‌ای از باج‌افزار Lcryx با اسکریپت VB)
XMRig، Lumma، RustyStealer، Cobalt Strike و DCRat

📉 جالب اینکه باج‌افزار Lcrypt0rx با وجود نمایش نوت باج‌گیری و ایجاد وحشت، کلید رمزنگاری را ذخیره یا ارسال نمی‌کند، و به‌سادگی با تجزیه XOR قابل بازیابی است — بیشتر به عنوان Scareware عمل می‌کند تا یک تهدید واقعی رمزنگاری.

📌 پیامدهای این کمپین‌ها در زیرساخت ابری:

افزایش چشمگیر هزینه‌های پردازشی و مصرف منابع
کاهش کارایی سیستم‌ها
افزایش ریسک عملیاتی و امنیتی


🔐 توصیه امنیتی:
مدیران سیستم و متخصصان DevSecOps لازم است بررسی کنند که هیچ‌کدام از سرویس‌های Apache، GeoServer، Confluence، Metabase یا فایروال‌های قدیمی در محیط آن‌ها به نسخه‌های آسیب‌پذیر متکی نباشند. پیکربندی سیستم‌ها و لاگ‌ها نیز برای شناسایی دسترسی‌های مشکوک باید بررسی شود.
📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

اخطار امنیتی: آسیب‌پذیری روز-صفر از نوع RCE در Microsoft SharePoint در حال بهره‌برداری فعال است!

یک کمپین پیچیده و گسترده‌ی حمله سایبری با سوءاستفاده از زنجیره آسیب‌پذیری جدیدی به نام “ToolShell” در سرورهای SharePoint مایکروسافت شناسایی شده که به مهاجمان امکان کنترل کامل و بدون احراز هویت بر سرورها را می‌دهد.

نکات کلیدی:

این حمله از دو آسیب‌پذیری حیاتی (CVE-2025-49706 و CVE-2025-49704) استفاده می‌کند که در کمتر از 72 ساعت پس از انتشار عمومی، به ابزاری برای حملات گسترده تبدیل شده‌اند.

مهاجمان با سرقت کلیدهای امنیتی سرور، درهای پشتی دائمی نصب کرده و می‌توانند کنترل کامل را بدون نیاز به هیچ گونه دسترسی قبلی به دست آورند.

این حملات در 18 و 19 ژوئیه 2025، از چندین IP مختلف و به صورت هماهنگ انجام شده‌اند.

اقدامات فوری مورد نیاز:

به‌روزرسانی فوری تمامی نسخه‌های SharePoint (2016، 2019 و Subscription Edition) با پچ‌های امنیتی منتشر شده توسط مایکروسافت.
انجام ارزیابی‌های جامع امنیتی جهت شناسایی و پاک‌سازی هرگونه نفوذ احتمالی، چرا که پچ‌ها نمی‌توانند حملات قبلی را به طور کامل حذف کنند.

هوشیاری کامل در برابر نشانه‌های نفوذ و آگاهی از Indicators of Compromise (IoCs) شناخته شده.

مایکروسافت این تهدید جدی را تایید کرده و توصیه می‌کند هیچ راهکار جایگزینی جز نصب سریع پچ‌ها وجود ندارد.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 انتشار فوری وصله مایکروسافت در روز یکشنبه برای مقابله با حملات فعال به SharePoint

مایکروسافت یک وصله امنیتی حیاتی برای آسیب‌پذیری بحرانی در SharePoint منتشر کرده است که هم‌اکنون به‌طور فعال در حملات سایبری مورد سوءاستفاده قرار می‌گیرد.

این آسیب‌پذیری با شناسه CVE-2025-53770 و نمره CVSS معادل 9.8، به مهاجمان امکان اجرای کد از راه دور را بدون نیاز به احراز هویت می‌دهد. مهاجمان با زنجیره‌ای از آسیب‌پذیری‌ها موسوم به ToolShell موفق به نفوذ به سرورهای SharePoint سازمان‌ها شده‌اند.

✅ آسیب‌پذیری‌های مرتبط:
CVE-2025-53770 (RCE)
CVE-2025-53771 (Spoofing)
CVE-2025-49704 و CVE-2025-49706 (وابسته به آسیب‌پذیری فعلی)

📌 آسیب‌پذیری‌ها فقط نسخه‌های On-Premise سرور SharePoint را تحت تأثیر قرار می‌دهند و SharePoint Online در Microsoft 365 در امان است.

📍 نسخه‌هایی که وصله دریافت کرده‌اند:

SharePoint Server 2019 (16.0.10417.20027)
SharePoint Server 2016 Enterprise (16.0.5508.1000)
SharePoint Subscription Edition

🔐 توصیه‌های مایکروسافت برای محافظت:

استفاده از نسخه‌های پشتیبانی‌شده SharePoint

نصب آخرین وصله‌های امنیتی
فعال‌سازی AMSI در حالت Full همراه با آنتی‌ویروس مناسب (مانند Microsoft Defender)

استفاده از Microsoft Defender for Endpoint یا راهکارهای معادل
چرخش کلیدهای ماشین ASP.NET و راه‌اندازی مجدد IIS پس از نصب وصله‌ها

⚠️ بنا بر اعلام Eye Security، تاکنون دست‌کم ۵۴ سازمان از جمله بانک‌ها، دانشگاه‌ها و نهادهای دولتی قربانی این حمله شده‌اند.

📣 کارشناسان هشدار می‌دهند:

«اگر SharePoint سرور شما به اینترنت متصل است، فرض را بر این بگذارید که مورد نفوذ قرار گرفته‌اید. صرفاً نصب وصله کافی نیست؛ اقدامات پاسخ‌به‌حادثه و بررسی کامل سیستم ضروری است.»

📢 این آسیب‌پذیری در فهرست آسیب‌پذیری‌های فعال CISA نیز ثبت شده و همه سازمان‌ها باید در اسرع وقت اقدام به نصب وصله و ارزیابی نفوذ کنند.

🛑 در صورت عدم امکان وصله فوری، بهترین اقدام موقت:

قطع اتصال سرور SharePoint از اینترنت تا زمان ایمن‌سازی کامل.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🎯 هشدار امنیتی مهم: آسیب‌پذیری‌های بحرانی در Sophos Firewall 🔒

شرکت Sophos به‌تازگی نسبت به چند آسیب‌پذیری مهم و بحرانی در محصولات فایروال خود هشدار داده است.

برخی از این نقص‌ها می‌توانند منجر به اجرای کد از راه دور (RCE) توسط مهاجم شوند.

🚨 آسیب‌پذیری‌های بحرانی کشف‌شده در Sophos Firewall:

🔐 CVE-2025-6704 | CVSS: 9.8
آسیب‌پذیری در قابلیت
SPX (Secure PDF eXchange)
که در حالت High Availability (HA)، مهاجم غیرمجاز را قادر می‌سازد پیش از احراز هویت، فایل دلخواهی روی سیستم هدف بنویسد و از این طریق کد مخرب اجرا کند.

🔐 CVE-2025-7624 | CVSS: 9.8

آسیب‌پذیری تزریق SQL در ماژول SMTP Proxy که در شرایط خاص، یعنی فعال بودن Email Quarantine Policy و ارتقاء فایروال از نسخه‌های قدیمی‌تر از 21.0 GA، قابل بهره‌برداری است و ممکن است منجر به اجرای کد شود.

🛡 CVE-2025-7382 | CVSS: 8.8

این نقص امنیتی در رابط مدیریتی WebAdmin در حالت HA و با فعال بودن OTP برای کاربر ادمین می‌تواند به مهاجم اجازه اجرای کد بدهد.

📌 آسیب‌پذیری‌های دیگر شامل:

🔸 CVE-2024-13974 | CVSS: 8.1

نقص در منطق به‌روزرسانی Up2Date که با کنترل DNS توسط مهاجم، می‌تواند منجر به اجرای کد شود.

🔸 CVE-2024-13973 | CVSS: 6.8

آسیب‌پذیری تزریق SQL پس از احراز هویت در WebAdmin که در صورت دسترسی مدیر، ممکن است منجر به اجرای کد مخرب شود.

📍 نسخه‌های آسیب‌پذیر:

🔸 نسخه‌های 21.5 GA و قبل‌تر:
CVE-2025-6704
CVE-2025-7624
CVE-2025-7382

🔸 نسخه‌های 21.0 GA و قبل‌تر:
CVE-2024-13974
CVE-2024-13973

🛠 راهکار پیشنهادی:

کاربران باید در اسرع وقت فایروال‌های Sophos خود را به آخرین نسخه‌ی منتشرشده (در حال حاضر v21.5 MR3 یا جدیدتر) ارتقاء دهند تا این آسیب‌پذیری‌ها به‌طور کامل برطرف شوند. توصیه می‌شود همچنین تنظیمات HA، SPX و WebAdmin بررسی و در صورت نیاز اصلاح شوند.


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🎯 حمله پیشرفته Fire Ant به زیرساخت‌های مجازی‌سازی VMware

🎯 در جریان یک کمپین پیچیده جاسوسی سایبری، مهاجم پیشرفته‌ای با نام Fire Ant توانسته است کنترل کامل سرورهای VMware ESXi و vCenter را به‌دست آورد و با دور زدن تفکیک شبکه، به ماشین‌های مجازی و تجهیزات شبکه سازمان‌ها نفوذ کند.

🧠 مهاجم با تکنیک‌های چندمرحله‌ای و مخفی، به زیرساخت‌هایی نفوذ کرده که به‌طور معمول جداشده و ایزوله در نظر گرفته می‌شوند.

📌 نکات کلیدی این حمله پیشرفته:

نفوذ از طریق آسیب‌پذیری CVE-2023-34048
در vCenter و سرقت اطلاعات کاربری vpxuser برای دسترسی به ESXi

استفاده از درب‌های پشتی متعدد و پایدار
مانند VIRTUALPITA روی ESXi و vCenter برای حفظ دسترسی حتی پس از ریبوت

استقرار implant پایتونی (autobackup.bin)
برای اجرای دستورات از راه دور و آپلود/دانلود فایل‌ها

بهره‌برداری از آسیب‌پذیری CVE-2023-20867
برای تعامل مستقیم با ماشین‌های مجازی از طریق PowerCLI

جلوگیری از لاگ‌برداری با متوقف‌کردن فرآیند vmsyslogd جهت کاهش ردیابی

نفوذ به تجهیزات F5 از طریق CVE-2022-1388 و استقرار وب‌شل برای حفظ دسترسی در چند بخش شبکه

ایجاد ماشین‌های مجازی غیرقابل شناسایی روی چند ESXi به‌صورت مستقیم

استفاده از V2Ray برای تونل‌سازی ترافیک درون شبکه میهمان

مقاومت در برابر عملیات حذف تهدید با جایگزینی ابزارها و تغییر تنظیمات شبکه برای بازیابی دسترسی

استتار فعالیت‌ها با تغییر نام فایل‌های مخرب به ابزارهای قانونی جرم‌شناسی

📎 مهاجم دانش عمیقی از معماری شبکه هدف دارد و فعالیت‌هایش ردپای بسیار کمی از خود باقی می‌گذارد.

📌 به‌گفته Sygnia، هدف اصلی این کمپین‌ها زیرساخت‌هایی مانند ESXi، vCenter و F5 هستند که معمولاً خارج از دامنه ابزارهای استاندارد شناسایی و پاسخ به تهدید قرار دارند.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 Critical VGAuth Vulnerabilities in VMware Tools Grant SYSTEM-Level Access on Windows VMs

دو آسیب‌پذیری بحرانی در سرویس VMware Guest Authentication (VGAuth) در VMware Tools، مهاجمین محلی را قادر می‌سازد تا از هر حساب کاربری با دسترسی محدود، به سطح دسترسی SYSTEM در ماشین‌های مجازی ویندوز برسند.

⚠️ جزئیات آسیب‌پذیری‌ها:

🔹 CVE-2025-22230 – Authentication Bypass via Named Pipe Hijacking (CVSS: 7.8)
سرویس VGAuth از نام‌گذاری قابل پیش‌بینی برای pipeها (مثل: \\.\pipe\vgauth-service-<username>) استفاده می‌کرد و از فلگ امنیتی FILE_FLAG_FIRST_PIPE_INSTANCE نیز بهره نمی‌برد.
این ضعف باعث می‌شود مهاجم pipe دلخواه خود را قبل از سرویس بسازد و آن را با مجوزهای باز ایجاد کند.
در نتیجه، VGAuth به اشتباه از pipe تحت کنترل مهاجم برای تأیید هویت SYSTEM استفاده می‌کند و دسترسی کامل فراهم می‌شود.

🔹 CVE-2025-22247 – Path Traversal in Alias Store (CVSS: 6.1)

توابع مدیریت alias store در مقابل مسیرهای دستکاری‌شده مانند ../../../../evil مقاوم نبودند. مهاجم با استفاده از symbolic link، TOCTOU و junction mount می‌توانست عملیات فایل را به مسیرهایی مانند C:\Windows\System32 هدایت کند و به هدفی مثل DLL Hijacking برسد.

📌 نسخه‌های آسیب‌پذیر: VMware Tools 12.5.0

🛡️ نسخه‌های امن:
✔️ 12.5.1 برای CVE-2025-22230
✔️ 12.5.2 برای CVE-2025-22247

📦 اقدامات امنیتی انجام‌شده توسط Broadcom:

✅ برای CVE-2025-22230:
• افزودن UUID به نام pipeها
• استفاده از FILE_FLAG_FIRST_PIPE_INSTANCE

✅ برای CVE-2025-22247:
• فیلتر ورودی برای جلوگیری از path traversal
• بررسی مسیر نهایی با GetFinalPathNameByHandleW
• غیرفعال‌سازی پیش‌فرض symbolic link با گزینه جدید allowSymlinks=false

🔁 توصیه اکید:
اگر از VMware Tools در محیط‌های ویندوز استفاده می‌کنید، فوراً به نسخه‌های 12.5.1 یا 12.5.2 به‌روزرسانی کنید تا از بهره‌برداری این آسیب‌پذیری‌ها جلوگیری شود.

📎 برای تحلیل‌های بیشتر یا مشاوره در زمینه ارزیابی آسیب‌پذیری و به‌روزرسانی، با تیم ما در ارتباط باشید.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 آسیب‌پذیری خطرناک در افزونه Post SMTP؛ بیش از ۲۰۰ هزار سایت وردپرسی در معرض خطر hijacking!

🔍 یک آسیب‌پذیری جدی با شناسه CVE-2025-24000 در نسخه‌های قدیمی افزونه Post SMTP کشف شده که به مهاجمان اجازه می‌دهد کنترل کامل حساب مدیر سایت را در دست بگیرند. این آسیب‌پذیری ناشی از ضعف در کنترل سطح دسترسی در API افزونه است که فقط بررسی می‌کرد آیا کاربر وارد شده یا نه، بدون اینکه سطح دسترسی او را چک کند!

📌 خطر چیست؟
کاربران با سطح دسترسی پایین (مانند "مشترک") می‌توانند به لاگ‌های ایمیل دسترسی یابند، ایمیل بازنشانی رمز عبور مدیر را مشاهده کرده و به‌راحتی کنترل کامل سایت را به دست بگیرند.

📅 این آسیب‌پذیری در تاریخ ۲۳ مه توسط یک پژوهشگر امنیتی گزارش شد و وصله‌ی امنیتی در نسخه ۳.۳.۰ در تاریخ ۱۱ ژوئن منتشر شد. اما...

🚨 نگران‌کننده‌تر اینکه:
آمار رسمی WordPress.org نشان می‌دهد بیش از ۲۰۰,۰۰۰ سایت هنوز به نسخه‌ی ایمن به‌روزرسانی نکرده‌اند!
از جمله:
۴۸.۵٪ کاربران هنوز نسخه آسیب‌پذیر را استفاده می‌کنند
۲۴.۲٪ کاربران (نزدیک به ۹۷,۰۰۰ سایت) هنوز در شاخه‌ی 2.x هستند که آسیب‌پذیری‌های بیشتری دارند

✅ راهکار:
اگر از افزونه Post SMTP استفاده می‌کنید، هر چه سریع‌تر به نسخه ۳.۳.۰ یا بالاتر به‌روزرسانی کنید. همچنین دسترسی کاربران با سطح پایین را به APIها و لاگ‌های حساس محدود نمایید.

📩 افزونه‌های ارسال ایمیل ممکن است در ظاهر بی‌خطر باشند، اما دسترسی به محتوای حساس در آن‌ها می‌تواند عواقب جدی به‌همراه داشته باشد.

آرمان داده پویان: امنیت بهینه، زیرساخت هوشمند، شبکه پایدار

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

شنبه گذشته (۴ مردادماه) در خصوص موج جدید حملات پیشرفته Fire Ant اطلاع‌رسانی کردیم؛ تهدیدی که زیرساخت‌های مجازی‌سازی VMware vCenter، ESXi و تجهیزات F5 BIG-IP را هدف قرار داده است.

در ادامه، فهرستی مختصر از اقدامات دفاعی حیاتی را برای ارتقای سطح امنیت سازمان در برابر این حملات مرور می‌کنیم:

وصله‌ فوری آسیب‌پذیری‌های کلیدی
CVE-2023-34048 (vCenter)
CVE-2023-20867 (VMware Tools)
CVE-2022-1388 (F5 BIG-IP)

مانیتورینگ پردازش‌های مشکوک در ESXi
vmsyslogd
vmtoolsd.exe
esxcli / vim-cmd

فعال‌سازی Lockdown Mode در ESXi

مدیریت و بازبینی حساب‌های سیستمی (مانند vpxuser)

بررسی فایل‌های startup مشکوک (local.sh) در مسیر /etc/rc.local.d/

شناسایی و حذف VIBهای بدون امضا در ESXi

تفکیک کامل شبکه مدیریت از شبکه کاربران به‌منظور کاهش سطح دسترسی‌های غیرمجاز

شناسایی ترافیک تونلینگ رمزنگاری‌شده (V2Ray و مشابه‌ها) در شبکه سازمانی

بازبینی و شناسایی ماشین‌های مجازی ناشناس (خارج از کنترل vCenter)

بررسی مسیرهای حساس در تجهیزات F5 برای شناسایی وب‌شل‌های احتمالی

مانیتورینگ و بررسی مداوم تنظیمات شبکه مجازی (vSwitch) در ESXi

شبیه‌سازی سناریوهای حمله با رویکرد Purple Teaming به‌منظور ارزیابی آمادگی دفاعی

پیاده‌سازی این اقدامات به تیم‌های SOC و امنیتی کمک می‌کند تا در برابر Fire Ant و حملات مشابه، واکنشی سریع و مؤثر داشته باشند.


آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

تجربه ما در پیاده‌سازی SOC در محیط‌های پیچیده نشان داده که امنیت، یک پروژه نیست؛ یک فرآیند مستمر است — اگر در این مسیر به همراهی نیاز دارید، ما آماده‌ایم.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 سیستم عامل FortiOS و آغاز دوران امنیت کوانتومی در زیرساخت‌های شبکه

رایانش کوانتومی در حال تغییر معادلات دنیای امنیت سایبری است. مهاجمان سایبری از هم‌اکنون در حال ذخیره‌سازی ترافیک رمزنگاری‌شده هستند تا در آینده با کمک کامپیوترهای کوانتومی آن را رمزگشایی کنند.

آیا زیرساخت امنیتی شما آماده مواجهه با این تهدید است؟
سیستم عامل FortiOS به عنوان هسته یکپارچه اکوسیستم امنیتی Fortinet، با معرفی قابلیت‌های Quantum-Safe Communications یک جهش بزرگ در مقاوم‌سازی شبکه‌ها برای مقابله با تهدیدات نسل آینده برداشته است.

🎯 ویژگی‌های کلیدی FortiOS برای مقابله با تهدیدات رایانش کوانتومی:

🔸 Quantum Key Distribution (QKD): تبادل کلید رمزنگاری با امنیت بی‌قید و شرط و تشخیص هرگونه نفوذ

🔸 Post-Quantum Cryptography (PQC): الگوریتم‌های پیشرفته Crystals Kyber، ML-KEM، BIKE، HQC و Frodo برای حفاظت گسترده

🔸 Enhanced IPsec with PQC: امنیت کامل ترافیک IP در برابر حملات کوانتومی
🔸 Hybrid Mode: مهاجرت تدریجی و بدون ریسک به معماری‌های Post-Quantum

🔸 Algorithm Stacking: لایه‌بندی چند الگوریتم برای ایجاد سدهای امنیتی پیچیده‌تر

🔸 رابط کاربری ساده و هوشمند: مدیریت سریع و دقیق تنظیمات Quantum-Safe بدون نیاز به تخصص عمیق فنی

🔒سیستم عامل FortiOS نه‌تنها یک سیستم‌عامل امنیتی، بلکه راهکاری آینده‌نگر برای مقاوم‌سازی زیرساخت‌های حیاتی شما در برابر تهدیدات رایانش کوانتومی است.

در آرمان داده پویان، به عنوان ارائه دهنده محصولات قدرتمند فورتی نت در ایران، آماده‌ایم تا سازمان‌ها را در مسیر ایمن‌سازی نسل جدید شبکه‌ها همراهی کنیم.

📖 مطالعه جزئیات بیشتر در Fortinet Blog:
🔗 https://www.fortinet.com/blog/business-and-technology/fortios-a-quantum-leap-in-future-proofing-security


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

موج جهانی حملات Brute-Force به Fortinet SSL VPN

طبق گزارش جدید GreyNoise، از دوازدهم مرداد ماه یک حمله هماهنگ با بیش از ۷۸۰ IP مخرب به دستگاه‌های Fortinet SSL VPN شناسایی شده است.

این حملات ابتدا روی FortiOS متمرکز بودند اما بعد از چهاردهم مرداد ماه هدف به FortiManager تغییر کرده است — نشانه‌ای از تغییر تاکتیک مهاجمان و احتمال استفاده از همان زیرساخت یا ابزار حمله.

آدرس IPهای شناسایی شده از آمریکا، کانادا، روسیه و هلند بوده‌اند.

⚠️ جالب‌تر اینکه تحلیل داده‌ها نشان می‌دهد ابزارهای Brute-Force ممکن است ابتدا روی شبکه خانگی تست شده باشند یا از Residential Proxy استفاده کرده باشند.

🔍 تجربه نشان داده این‌گونه افزایش‌های ترافیک مخرب معمولاً طی ۶ هفته بعد با افشای یک آسیب‌پذیری جدید (CVE) مرتبط همراه می‌شود — به ویژه در فناوری‌های مرزی سازمان مثل VPN، فایروال و ابزارهای دسترسی از راه دور.

#Fortinet #SSLVPN #FortiManager #CyberSecurity #ThreatIntelligence #BruteForce #NetworkSecurity


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔒 Microsoft Patch Tuesday – آگوست 2025:

رفع 111 آسیب‌پذیری، از جمله یک Zero-Day مهم در Kerberos

مایکروسافت در به‌روزرسانی ماه آگوست خود، ۱۱۱ آسیب‌پذیری امنیتی را در محصولاتش برطرف کرده است که شامل:

16 آسیب‌پذیری بحرانی (Critical)
92 مورد مهم (Important)
2 مورد متوسط (Moderate)
1 مورد کم‌اهمیت (Low)

📌 آسیب پذیری-روزصفر مهم این ماه:

CVE-2025-53779
یک نقص از نوع افزایش سطح دسترسی در Kerberos که توسط شرکت Akamai با نام BadSuccessor شناسایی شده است. این ضعف امنیتی می‌تواند در سناریوهای زنجیره‌ای اکسپلویت، منجر به تصاحب کامل دامنه Active Directory شود.

امکان ایجاد روابط Delegation غیرمجاز
ارتقای دسترسی تا Domain Admin
پتانسیل استفاده در حملات زنجیره تأمین در محیط‌های چند دامنه‌ای

🎯 چرا این آسیب‌پذیری خطرناک است؟

مهاجم با داشتن دسترسی به یک حساب کاربری با سطح دسترسی بالا می‌تواند:

غیرفعال‌سازی مانیتورینگ امنیتی
تغییر Group Policy
حذف یا تغییر لاگ‌ها برای پنهان کردن فعالیت‌ها
گسترش حمله به سایر دامنه‌ها

💡 برخی آسیب‌پذیری‌های بحرانی مهم دیگر:
CVE-2025-53767 (CVSS 10.0) – ارتقای دسترسی در
Azure OpenAI

CVE-2025-53766 (CVSS 9.8) – اجرای کد از راه دور در
GDI+

CVE-2025-50165 (CVSS 9.8) – اجرای کد از راه دور در
Windows
Graphics Component

CVE-2025-53792 (CVSS 9.1) – ارتقای دسترسی در
Azure Portal

CVE-2025-53787 (CVSS 8.2) – افشای اطلاعات در
Microsoft 365 Copilot BizChat

📍 همچنین، نقصی در NTLM Hash Disclosure (CVE-2025-50154) شناسایی شده که حتی در سیستم‌های به‌روز شده، امکان استخراج هش‌های NTLM بدون تعامل کاربر را فراهم می‌کند.

این موضوع می‌تواند زمینه‌ساز حملات Relay یا Offline Cracking شود.

🛡 توصیه به سازمان‌ها:

به‌روزرسانی فوری کلیه سیستم‌ها و سرویس‌های تحت پشتیبانی مایکروسافت
بررسی و سخت‌گیری در مدیریت حساب‌های Privileged
فعال‌سازی و پایش مداوم لاگ‌های امنیتی و رویدادهای Kerberos
تست امنیتی داخلی برای شناسایی Delegation غیرمجاز در Active Directory

📢 امنیت یک فرآیند مداوم است، نه یک اقدام مقطعی. Patch Tuesday این ماه یادآور این است که حتی پیشرفته‌ترین زیرساخت‌ها نیز نیازمند پایش و وصله‌گذاری سریع هستند.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی جدید برای کاربران Fortinet

🔍 تیم امنیت محصولات Fortinet یک آسیب‌پذیری مهم از نوع Authentication Bypass [CWE-288] را شناسایی کرده که می‌تواند به مهاجم اجازه دهد بدون احراز هویت و از طریق ارسال درخواست‌های دستکاری‌شده FGFM، کنترل یک دستگاه مدیریت‌شده را در اختیار بگیرد.

📌 این حمله تنها در صورتی امکان‌پذیر است که:

دستگاه توسط FortiManager مدیریت شود
مهاجم شماره سریال FortiManager را بداند
محصولات و نسخه‌های آسیب‌پذیرFortiOS


نسخه‌های 6.4.0 تا 6.4.15 ➡ ارتقاء به 6.4.16 یا بالاتر
نسخه‌های 6.2.0 تا 6.2.16 ➡ ارتقاء به 6.2.17 یا بالاتر
نسخه‌های 6.0 (همه) ➡ مهاجرت به نسخه امن

FortiPAM

نسخه‌های 1.2، 1.1، 1.0 (همه) ➡ مهاجرت به نسخه امن
FortiProxy
نسخه‌های 7.4.0 تا 7.4.2 ➡ ارتقاء به 7.4.3 یا بالاتر
نسخه‌های 7.2.0 تا 7.2.8 ➡ ارتقاء به 7.2.9 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.15 ➡ ارتقاء به 7.0.16 یا بالاتر

FortiSwitchManager

نسخه‌های 7.2.0 تا 7.2.3 ➡ ارتقاء به 7.2.4 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.3 ➡ ارتقاء به 7.0.4 یا بالاتر

📅 تاریخ انتشار: ۱۲ آگوست ۲۰۲۵

🔗 ابزار مسیر ارتقاء: Fortinet Upgrade Tool

⚠ توصیه می‌شود مدیران شبکه در اسرع وقت نسخه‌های آسیب‌پذیر را به‌روزرسانی کنند تا از سوءاستفاده احتمالی مهاجمان جلوگیری شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی فوری از Fortinet – آسیب‌پذیری بحرانی در FortiSIEM

🔴 شناسه آسیب‌پذیری: CVE-2025-25256

📊 امتیاز CVSS: ‌9.8/10 (بسیار بحرانی)

⚠️ نوع آسیب‌پذیری: تزریق فرمان سیستم‌عامل (OS Command Injection – CWE-78)

🛑 وضعیت: کد اکسپلویت فعال در حملات واقعی (In-the-Wild)

شرکت Fortinet به مشتریان خود هشدار داده که یک حفره امنیتی جدی در نرم‌افزار FortiSIEM کشف شده که به مهاجم غیرمعتبر اجازه می‌دهد با ارسال درخواست‌های CLI دستکاری‌شده، کد یا فرمان‌های غیرمجاز را روی سیستم اجرا کند.

📌 نسخه‌های آسیب‌پذیر:

6.1, 6.2, 6.3, 6.4, 6.5, 6.6 ➡ حتماً به نسخه امن مهاجرت کنید.
6.7.0 تا 6.7.9 ➡ ارتقا به 6.7.10 یا بالاتر
7.0.0 تا 7.0.3 ➡ ارتقا به 7.0.4 یا بالاتر
7.1.0 تا 7.1.7 ➡ ارتقا به 7.1.8 یا بالاتر
7.2.0 تا 7.2.5 ➡ ارتقا به 7.2.6 یا بالاتر
7.3.0 تا 7.3.1 ➡ ارتقا به 7.3.2 یا بالاتر
نسخه 7.4 ➡ آسیب‌پذیر نیست

🔍 نکات مهم:

اکسپلویت عملیاتی این باگ در فضای واقعی شناسایی شده است.

کد بهره‌برداری IoC مشخصی ایجاد نمی‌کند، بنابراین شناسایی حمله دشوار است.


فورتی نت توصیه می‌کند دسترسی به پورت phMonitor (7900) را محدود کنید تا ریسک کاهش یابد.

🌐 این هشدار در حالی منتشر می‌شود که یک روز قبل، شرکت GreyNoise از افزایش شدید حملات Brute-Force به دستگاه‌های Fortinet SSL VPN از کشورهای مختلف (آمریکا، کانادا، روسیه، هلند و...) خبر داده بود.

📥 منابع و جزئیات بیشتر:
🔗 Fortinet PSIRT: fortiguard.fortinet.com/psirt/FG-IR-25-152
🔗 The Hacker News: thehackernews.com

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی حیاتی از Cisco – آسیب‌پذیری بحرانی در Firewall Management Center

شرکت Cisco به تازگی درباره‌ی یک آسیب‌پذیری بسیار خطرناک (RCE) در زیرسیستم RADIUS نرم‌افزار Secure Firewall Management Center (FMC) هشدار داده است. این باگ با شناسه‌ی CVE-2025-20265 ثبت شده و امتیاز کامل ۱۰ از ۱۰ را دریافت کرده است.

جزئیات آسیب‌پذیری
پلتفرم مدیریت متمرکز فایروال‌های سیسکو است که از طریق وب یا SSH امکان پیکربندی و مانیتورینگ دستگاه‌ها را فراهم می‌کند.

مشکل در هنگام استفاده از احراز هویت RADIUS رخ می‌دهد. مهاجم می‌تواند با ارسال ورودی‌های مخرب در مرحله ورود، موفق به اجرای دستورات دلخواه با دسترسی سطح بالا روی دستگاه شود.

این نقص امنیتی به دلیل برخورد نادرست با ورودی کاربر در فرآیند احراز هویت به وجود آمده است.

نسخه‌های آسیب‌پذیر
Cisco FMC نسخه‌های 7.0.7 و 7.7.0 در صورتی که احراز هویت RADIUS فعال باشد (وب یا SSH).

راهکارها
✅ سیسکو وصله‌های امنیتی رایگان منتشر کرده است (برای مشتریان دارای قرارداد پشتیبانی).

✅ در صورت عدم امکان به‌روزرسانی فوری، پیشنهاد می‌شود RADIUS غیرفعال شده و از روش‌های دیگر مانند LDAP، SAML یا حساب‌های محلی استفاده شود.

سایر آسیب‌پذیری‌های رفع‌شده
علاوه بر این نقص بحرانی، سیسکو وصله‌هایی برای ۱۳ آسیب‌پذیری با شدت بالا در محصولات مختلف خود منتشر کرده که شامل مواردی چون Denial of Service در ASA، FTD، VPN و Snort 3 می‌شود.

سیسکو تأکید کرده است که تاکنون گزارشی از سوءاستفاده فعال از این باگ دریافت نکرده است، اما با توجه به شدت بسیار بالا، مدیران شبکه و امنیت باید فوراً اقدام به به‌روزرسانی یا اعمال راهکارهای جایگزین کنند.

🔐 شما به‌عنوان ادمین یا کارشناس امنیت شبکه، آیا برای مدیریت متمرکز فایروال‌ها از RADIUS استفاده می‌کنید؟

به نظرتان غیرفعال کردن آن تا زمان نصب وصله، چقدر در محیط‌های سازمانی قابل اجراست؟
نظرتون رو برای ما بنویسید.


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com