اخطار امنیتی: آسیب‌پذیری روز-صفر از نوع RCE در Microsoft SharePoint در حال بهره‌برداری فعال است!

یک کمپین پیچیده و گسترده‌ی حمله سایبری با سوءاستفاده از زنجیره آسیب‌پذیری جدیدی به نام “ToolShell” در سرورهای SharePoint مایکروسافت شناسایی شده که به مهاجمان امکان کنترل کامل و بدون احراز هویت بر سرورها را می‌دهد.

نکات کلیدی:

این حمله از دو آسیب‌پذیری حیاتی (CVE-2025-49706 و CVE-2025-49704) استفاده می‌کند که در کمتر از 72 ساعت پس از انتشار عمومی، به ابزاری برای حملات گسترده تبدیل شده‌اند.

مهاجمان با سرقت کلیدهای امنیتی سرور، درهای پشتی دائمی نصب کرده و می‌توانند کنترل کامل را بدون نیاز به هیچ گونه دسترسی قبلی به دست آورند.

این حملات در 18 و 19 ژوئیه 2025، از چندین IP مختلف و به صورت هماهنگ انجام شده‌اند.

اقدامات فوری مورد نیاز:

به‌روزرسانی فوری تمامی نسخه‌های SharePoint (2016، 2019 و Subscription Edition) با پچ‌های امنیتی منتشر شده توسط مایکروسافت.
انجام ارزیابی‌های جامع امنیتی جهت شناسایی و پاک‌سازی هرگونه نفوذ احتمالی، چرا که پچ‌ها نمی‌توانند حملات قبلی را به طور کامل حذف کنند.

هوشیاری کامل در برابر نشانه‌های نفوذ و آگاهی از Indicators of Compromise (IoCs) شناخته شده.

مایکروسافت این تهدید جدی را تایید کرده و توصیه می‌کند هیچ راهکار جایگزینی جز نصب سریع پچ‌ها وجود ندارد.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 انتشار فوری وصله مایکروسافت در روز یکشنبه برای مقابله با حملات فعال به SharePoint

مایکروسافت یک وصله امنیتی حیاتی برای آسیب‌پذیری بحرانی در SharePoint منتشر کرده است که هم‌اکنون به‌طور فعال در حملات سایبری مورد سوءاستفاده قرار می‌گیرد.

این آسیب‌پذیری با شناسه CVE-2025-53770 و نمره CVSS معادل 9.8، به مهاجمان امکان اجرای کد از راه دور را بدون نیاز به احراز هویت می‌دهد. مهاجمان با زنجیره‌ای از آسیب‌پذیری‌ها موسوم به ToolShell موفق به نفوذ به سرورهای SharePoint سازمان‌ها شده‌اند.

✅ آسیب‌پذیری‌های مرتبط:
CVE-2025-53770 (RCE)
CVE-2025-53771 (Spoofing)
CVE-2025-49704 و CVE-2025-49706 (وابسته به آسیب‌پذیری فعلی)

📌 آسیب‌پذیری‌ها فقط نسخه‌های On-Premise سرور SharePoint را تحت تأثیر قرار می‌دهند و SharePoint Online در Microsoft 365 در امان است.

📍 نسخه‌هایی که وصله دریافت کرده‌اند:

SharePoint Server 2019 (16.0.10417.20027)
SharePoint Server 2016 Enterprise (16.0.5508.1000)
SharePoint Subscription Edition

🔐 توصیه‌های مایکروسافت برای محافظت:

استفاده از نسخه‌های پشتیبانی‌شده SharePoint

نصب آخرین وصله‌های امنیتی
فعال‌سازی AMSI در حالت Full همراه با آنتی‌ویروس مناسب (مانند Microsoft Defender)

استفاده از Microsoft Defender for Endpoint یا راهکارهای معادل
چرخش کلیدهای ماشین ASP.NET و راه‌اندازی مجدد IIS پس از نصب وصله‌ها

⚠️ بنا بر اعلام Eye Security، تاکنون دست‌کم ۵۴ سازمان از جمله بانک‌ها، دانشگاه‌ها و نهادهای دولتی قربانی این حمله شده‌اند.

📣 کارشناسان هشدار می‌دهند:

«اگر SharePoint سرور شما به اینترنت متصل است، فرض را بر این بگذارید که مورد نفوذ قرار گرفته‌اید. صرفاً نصب وصله کافی نیست؛ اقدامات پاسخ‌به‌حادثه و بررسی کامل سیستم ضروری است.»

📢 این آسیب‌پذیری در فهرست آسیب‌پذیری‌های فعال CISA نیز ثبت شده و همه سازمان‌ها باید در اسرع وقت اقدام به نصب وصله و ارزیابی نفوذ کنند.

🛑 در صورت عدم امکان وصله فوری، بهترین اقدام موقت:

قطع اتصال سرور SharePoint از اینترنت تا زمان ایمن‌سازی کامل.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🎯 هشدار امنیتی مهم: آسیب‌پذیری‌های بحرانی در Sophos Firewall 🔒

شرکت Sophos به‌تازگی نسبت به چند آسیب‌پذیری مهم و بحرانی در محصولات فایروال خود هشدار داده است.

برخی از این نقص‌ها می‌توانند منجر به اجرای کد از راه دور (RCE) توسط مهاجم شوند.

🚨 آسیب‌پذیری‌های بحرانی کشف‌شده در Sophos Firewall:

🔐 CVE-2025-6704 | CVSS: 9.8
آسیب‌پذیری در قابلیت
SPX (Secure PDF eXchange)
که در حالت High Availability (HA)، مهاجم غیرمجاز را قادر می‌سازد پیش از احراز هویت، فایل دلخواهی روی سیستم هدف بنویسد و از این طریق کد مخرب اجرا کند.

🔐 CVE-2025-7624 | CVSS: 9.8

آسیب‌پذیری تزریق SQL در ماژول SMTP Proxy که در شرایط خاص، یعنی فعال بودن Email Quarantine Policy و ارتقاء فایروال از نسخه‌های قدیمی‌تر از 21.0 GA، قابل بهره‌برداری است و ممکن است منجر به اجرای کد شود.

🛡 CVE-2025-7382 | CVSS: 8.8

این نقص امنیتی در رابط مدیریتی WebAdmin در حالت HA و با فعال بودن OTP برای کاربر ادمین می‌تواند به مهاجم اجازه اجرای کد بدهد.

📌 آسیب‌پذیری‌های دیگر شامل:

🔸 CVE-2024-13974 | CVSS: 8.1

نقص در منطق به‌روزرسانی Up2Date که با کنترل DNS توسط مهاجم، می‌تواند منجر به اجرای کد شود.

🔸 CVE-2024-13973 | CVSS: 6.8

آسیب‌پذیری تزریق SQL پس از احراز هویت در WebAdmin که در صورت دسترسی مدیر، ممکن است منجر به اجرای کد مخرب شود.

📍 نسخه‌های آسیب‌پذیر:

🔸 نسخه‌های 21.5 GA و قبل‌تر:
CVE-2025-6704
CVE-2025-7624
CVE-2025-7382

🔸 نسخه‌های 21.0 GA و قبل‌تر:
CVE-2024-13974
CVE-2024-13973

🛠 راهکار پیشنهادی:

کاربران باید در اسرع وقت فایروال‌های Sophos خود را به آخرین نسخه‌ی منتشرشده (در حال حاضر v21.5 MR3 یا جدیدتر) ارتقاء دهند تا این آسیب‌پذیری‌ها به‌طور کامل برطرف شوند. توصیه می‌شود همچنین تنظیمات HA، SPX و WebAdmin بررسی و در صورت نیاز اصلاح شوند.


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🎯 حمله پیشرفته Fire Ant به زیرساخت‌های مجازی‌سازی VMware

🎯 در جریان یک کمپین پیچیده جاسوسی سایبری، مهاجم پیشرفته‌ای با نام Fire Ant توانسته است کنترل کامل سرورهای VMware ESXi و vCenter را به‌دست آورد و با دور زدن تفکیک شبکه، به ماشین‌های مجازی و تجهیزات شبکه سازمان‌ها نفوذ کند.

🧠 مهاجم با تکنیک‌های چندمرحله‌ای و مخفی، به زیرساخت‌هایی نفوذ کرده که به‌طور معمول جداشده و ایزوله در نظر گرفته می‌شوند.

📌 نکات کلیدی این حمله پیشرفته:

نفوذ از طریق آسیب‌پذیری CVE-2023-34048
در vCenter و سرقت اطلاعات کاربری vpxuser برای دسترسی به ESXi

استفاده از درب‌های پشتی متعدد و پایدار
مانند VIRTUALPITA روی ESXi و vCenter برای حفظ دسترسی حتی پس از ریبوت

استقرار implant پایتونی (autobackup.bin)
برای اجرای دستورات از راه دور و آپلود/دانلود فایل‌ها

بهره‌برداری از آسیب‌پذیری CVE-2023-20867
برای تعامل مستقیم با ماشین‌های مجازی از طریق PowerCLI

جلوگیری از لاگ‌برداری با متوقف‌کردن فرآیند vmsyslogd جهت کاهش ردیابی

نفوذ به تجهیزات F5 از طریق CVE-2022-1388 و استقرار وب‌شل برای حفظ دسترسی در چند بخش شبکه

ایجاد ماشین‌های مجازی غیرقابل شناسایی روی چند ESXi به‌صورت مستقیم

استفاده از V2Ray برای تونل‌سازی ترافیک درون شبکه میهمان

مقاومت در برابر عملیات حذف تهدید با جایگزینی ابزارها و تغییر تنظیمات شبکه برای بازیابی دسترسی

استتار فعالیت‌ها با تغییر نام فایل‌های مخرب به ابزارهای قانونی جرم‌شناسی

📎 مهاجم دانش عمیقی از معماری شبکه هدف دارد و فعالیت‌هایش ردپای بسیار کمی از خود باقی می‌گذارد.

📌 به‌گفته Sygnia، هدف اصلی این کمپین‌ها زیرساخت‌هایی مانند ESXi، vCenter و F5 هستند که معمولاً خارج از دامنه ابزارهای استاندارد شناسایی و پاسخ به تهدید قرار دارند.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 Critical VGAuth Vulnerabilities in VMware Tools Grant SYSTEM-Level Access on Windows VMs

دو آسیب‌پذیری بحرانی در سرویس VMware Guest Authentication (VGAuth) در VMware Tools، مهاجمین محلی را قادر می‌سازد تا از هر حساب کاربری با دسترسی محدود، به سطح دسترسی SYSTEM در ماشین‌های مجازی ویندوز برسند.

⚠️ جزئیات آسیب‌پذیری‌ها:

🔹 CVE-2025-22230 – Authentication Bypass via Named Pipe Hijacking (CVSS: 7.8)
سرویس VGAuth از نام‌گذاری قابل پیش‌بینی برای pipeها (مثل: \\.\pipe\vgauth-service-<username>) استفاده می‌کرد و از فلگ امنیتی FILE_FLAG_FIRST_PIPE_INSTANCE نیز بهره نمی‌برد.
این ضعف باعث می‌شود مهاجم pipe دلخواه خود را قبل از سرویس بسازد و آن را با مجوزهای باز ایجاد کند.
در نتیجه، VGAuth به اشتباه از pipe تحت کنترل مهاجم برای تأیید هویت SYSTEM استفاده می‌کند و دسترسی کامل فراهم می‌شود.

🔹 CVE-2025-22247 – Path Traversal in Alias Store (CVSS: 6.1)

توابع مدیریت alias store در مقابل مسیرهای دستکاری‌شده مانند ../../../../evil مقاوم نبودند. مهاجم با استفاده از symbolic link، TOCTOU و junction mount می‌توانست عملیات فایل را به مسیرهایی مانند C:\Windows\System32 هدایت کند و به هدفی مثل DLL Hijacking برسد.

📌 نسخه‌های آسیب‌پذیر: VMware Tools 12.5.0

🛡️ نسخه‌های امن:
✔️ 12.5.1 برای CVE-2025-22230
✔️ 12.5.2 برای CVE-2025-22247

📦 اقدامات امنیتی انجام‌شده توسط Broadcom:

✅ برای CVE-2025-22230:
• افزودن UUID به نام pipeها
• استفاده از FILE_FLAG_FIRST_PIPE_INSTANCE

✅ برای CVE-2025-22247:
• فیلتر ورودی برای جلوگیری از path traversal
• بررسی مسیر نهایی با GetFinalPathNameByHandleW
• غیرفعال‌سازی پیش‌فرض symbolic link با گزینه جدید allowSymlinks=false

🔁 توصیه اکید:
اگر از VMware Tools در محیط‌های ویندوز استفاده می‌کنید، فوراً به نسخه‌های 12.5.1 یا 12.5.2 به‌روزرسانی کنید تا از بهره‌برداری این آسیب‌پذیری‌ها جلوگیری شود.

📎 برای تحلیل‌های بیشتر یا مشاوره در زمینه ارزیابی آسیب‌پذیری و به‌روزرسانی، با تیم ما در ارتباط باشید.

آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 آسیب‌پذیری خطرناک در افزونه Post SMTP؛ بیش از ۲۰۰ هزار سایت وردپرسی در معرض خطر hijacking!

🔍 یک آسیب‌پذیری جدی با شناسه CVE-2025-24000 در نسخه‌های قدیمی افزونه Post SMTP کشف شده که به مهاجمان اجازه می‌دهد کنترل کامل حساب مدیر سایت را در دست بگیرند. این آسیب‌پذیری ناشی از ضعف در کنترل سطح دسترسی در API افزونه است که فقط بررسی می‌کرد آیا کاربر وارد شده یا نه، بدون اینکه سطح دسترسی او را چک کند!

📌 خطر چیست؟
کاربران با سطح دسترسی پایین (مانند "مشترک") می‌توانند به لاگ‌های ایمیل دسترسی یابند، ایمیل بازنشانی رمز عبور مدیر را مشاهده کرده و به‌راحتی کنترل کامل سایت را به دست بگیرند.

📅 این آسیب‌پذیری در تاریخ ۲۳ مه توسط یک پژوهشگر امنیتی گزارش شد و وصله‌ی امنیتی در نسخه ۳.۳.۰ در تاریخ ۱۱ ژوئن منتشر شد. اما...

🚨 نگران‌کننده‌تر اینکه:
آمار رسمی WordPress.org نشان می‌دهد بیش از ۲۰۰,۰۰۰ سایت هنوز به نسخه‌ی ایمن به‌روزرسانی نکرده‌اند!
از جمله:
۴۸.۵٪ کاربران هنوز نسخه آسیب‌پذیر را استفاده می‌کنند
۲۴.۲٪ کاربران (نزدیک به ۹۷,۰۰۰ سایت) هنوز در شاخه‌ی 2.x هستند که آسیب‌پذیری‌های بیشتری دارند

✅ راهکار:
اگر از افزونه Post SMTP استفاده می‌کنید، هر چه سریع‌تر به نسخه ۳.۳.۰ یا بالاتر به‌روزرسانی کنید. همچنین دسترسی کاربران با سطح پایین را به APIها و لاگ‌های حساس محدود نمایید.

📩 افزونه‌های ارسال ایمیل ممکن است در ظاهر بی‌خطر باشند، اما دسترسی به محتوای حساس در آن‌ها می‌تواند عواقب جدی به‌همراه داشته باشد.

آرمان داده پویان: امنیت بهینه، زیرساخت هوشمند، شبکه پایدار

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

شنبه گذشته (۴ مردادماه) در خصوص موج جدید حملات پیشرفته Fire Ant اطلاع‌رسانی کردیم؛ تهدیدی که زیرساخت‌های مجازی‌سازی VMware vCenter، ESXi و تجهیزات F5 BIG-IP را هدف قرار داده است.

در ادامه، فهرستی مختصر از اقدامات دفاعی حیاتی را برای ارتقای سطح امنیت سازمان در برابر این حملات مرور می‌کنیم:

وصله‌ فوری آسیب‌پذیری‌های کلیدی
CVE-2023-34048 (vCenter)
CVE-2023-20867 (VMware Tools)
CVE-2022-1388 (F5 BIG-IP)

مانیتورینگ پردازش‌های مشکوک در ESXi
vmsyslogd
vmtoolsd.exe
esxcli / vim-cmd

فعال‌سازی Lockdown Mode در ESXi

مدیریت و بازبینی حساب‌های سیستمی (مانند vpxuser)

بررسی فایل‌های startup مشکوک (local.sh) در مسیر /etc/rc.local.d/

شناسایی و حذف VIBهای بدون امضا در ESXi

تفکیک کامل شبکه مدیریت از شبکه کاربران به‌منظور کاهش سطح دسترسی‌های غیرمجاز

شناسایی ترافیک تونلینگ رمزنگاری‌شده (V2Ray و مشابه‌ها) در شبکه سازمانی

بازبینی و شناسایی ماشین‌های مجازی ناشناس (خارج از کنترل vCenter)

بررسی مسیرهای حساس در تجهیزات F5 برای شناسایی وب‌شل‌های احتمالی

مانیتورینگ و بررسی مداوم تنظیمات شبکه مجازی (vSwitch) در ESXi

شبیه‌سازی سناریوهای حمله با رویکرد Purple Teaming به‌منظور ارزیابی آمادگی دفاعی

پیاده‌سازی این اقدامات به تیم‌های SOC و امنیتی کمک می‌کند تا در برابر Fire Ant و حملات مشابه، واکنشی سریع و مؤثر داشته باشند.


آرمان داده پویان: امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

تجربه ما در پیاده‌سازی SOC در محیط‌های پیچیده نشان داده که امنیت، یک پروژه نیست؛ یک فرآیند مستمر است — اگر در این مسیر به همراهی نیاز دارید، ما آماده‌ایم.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 سیستم عامل FortiOS و آغاز دوران امنیت کوانتومی در زیرساخت‌های شبکه

رایانش کوانتومی در حال تغییر معادلات دنیای امنیت سایبری است. مهاجمان سایبری از هم‌اکنون در حال ذخیره‌سازی ترافیک رمزنگاری‌شده هستند تا در آینده با کمک کامپیوترهای کوانتومی آن را رمزگشایی کنند.

آیا زیرساخت امنیتی شما آماده مواجهه با این تهدید است؟
سیستم عامل FortiOS به عنوان هسته یکپارچه اکوسیستم امنیتی Fortinet، با معرفی قابلیت‌های Quantum-Safe Communications یک جهش بزرگ در مقاوم‌سازی شبکه‌ها برای مقابله با تهدیدات نسل آینده برداشته است.

🎯 ویژگی‌های کلیدی FortiOS برای مقابله با تهدیدات رایانش کوانتومی:

🔸 Quantum Key Distribution (QKD): تبادل کلید رمزنگاری با امنیت بی‌قید و شرط و تشخیص هرگونه نفوذ

🔸 Post-Quantum Cryptography (PQC): الگوریتم‌های پیشرفته Crystals Kyber، ML-KEM، BIKE، HQC و Frodo برای حفاظت گسترده

🔸 Enhanced IPsec with PQC: امنیت کامل ترافیک IP در برابر حملات کوانتومی
🔸 Hybrid Mode: مهاجرت تدریجی و بدون ریسک به معماری‌های Post-Quantum

🔸 Algorithm Stacking: لایه‌بندی چند الگوریتم برای ایجاد سدهای امنیتی پیچیده‌تر

🔸 رابط کاربری ساده و هوشمند: مدیریت سریع و دقیق تنظیمات Quantum-Safe بدون نیاز به تخصص عمیق فنی

🔒سیستم عامل FortiOS نه‌تنها یک سیستم‌عامل امنیتی، بلکه راهکاری آینده‌نگر برای مقاوم‌سازی زیرساخت‌های حیاتی شما در برابر تهدیدات رایانش کوانتومی است.

در آرمان داده پویان، به عنوان ارائه دهنده محصولات قدرتمند فورتی نت در ایران، آماده‌ایم تا سازمان‌ها را در مسیر ایمن‌سازی نسل جدید شبکه‌ها همراهی کنیم.

📖 مطالعه جزئیات بیشتر در Fortinet Blog:
🔗 https://www.fortinet.com/blog/business-and-technology/fortios-a-quantum-leap-in-future-proofing-security


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

موج جهانی حملات Brute-Force به Fortinet SSL VPN

طبق گزارش جدید GreyNoise، از دوازدهم مرداد ماه یک حمله هماهنگ با بیش از ۷۸۰ IP مخرب به دستگاه‌های Fortinet SSL VPN شناسایی شده است.

این حملات ابتدا روی FortiOS متمرکز بودند اما بعد از چهاردهم مرداد ماه هدف به FortiManager تغییر کرده است — نشانه‌ای از تغییر تاکتیک مهاجمان و احتمال استفاده از همان زیرساخت یا ابزار حمله.

آدرس IPهای شناسایی شده از آمریکا، کانادا، روسیه و هلند بوده‌اند.

⚠️ جالب‌تر اینکه تحلیل داده‌ها نشان می‌دهد ابزارهای Brute-Force ممکن است ابتدا روی شبکه خانگی تست شده باشند یا از Residential Proxy استفاده کرده باشند.

🔍 تجربه نشان داده این‌گونه افزایش‌های ترافیک مخرب معمولاً طی ۶ هفته بعد با افشای یک آسیب‌پذیری جدید (CVE) مرتبط همراه می‌شود — به ویژه در فناوری‌های مرزی سازمان مثل VPN، فایروال و ابزارهای دسترسی از راه دور.

#Fortinet #SSLVPN #FortiManager #CyberSecurity #ThreatIntelligence #BruteForce #NetworkSecurity


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔒 Microsoft Patch Tuesday – آگوست 2025:

رفع 111 آسیب‌پذیری، از جمله یک Zero-Day مهم در Kerberos

مایکروسافت در به‌روزرسانی ماه آگوست خود، ۱۱۱ آسیب‌پذیری امنیتی را در محصولاتش برطرف کرده است که شامل:

16 آسیب‌پذیری بحرانی (Critical)
92 مورد مهم (Important)
2 مورد متوسط (Moderate)
1 مورد کم‌اهمیت (Low)

📌 آسیب پذیری-روزصفر مهم این ماه:

CVE-2025-53779
یک نقص از نوع افزایش سطح دسترسی در Kerberos که توسط شرکت Akamai با نام BadSuccessor شناسایی شده است. این ضعف امنیتی می‌تواند در سناریوهای زنجیره‌ای اکسپلویت، منجر به تصاحب کامل دامنه Active Directory شود.

امکان ایجاد روابط Delegation غیرمجاز
ارتقای دسترسی تا Domain Admin
پتانسیل استفاده در حملات زنجیره تأمین در محیط‌های چند دامنه‌ای

🎯 چرا این آسیب‌پذیری خطرناک است؟

مهاجم با داشتن دسترسی به یک حساب کاربری با سطح دسترسی بالا می‌تواند:

غیرفعال‌سازی مانیتورینگ امنیتی
تغییر Group Policy
حذف یا تغییر لاگ‌ها برای پنهان کردن فعالیت‌ها
گسترش حمله به سایر دامنه‌ها

💡 برخی آسیب‌پذیری‌های بحرانی مهم دیگر:
CVE-2025-53767 (CVSS 10.0) – ارتقای دسترسی در
Azure OpenAI

CVE-2025-53766 (CVSS 9.8) – اجرای کد از راه دور در
GDI+

CVE-2025-50165 (CVSS 9.8) – اجرای کد از راه دور در
Windows
Graphics Component

CVE-2025-53792 (CVSS 9.1) – ارتقای دسترسی در
Azure Portal

CVE-2025-53787 (CVSS 8.2) – افشای اطلاعات در
Microsoft 365 Copilot BizChat

📍 همچنین، نقصی در NTLM Hash Disclosure (CVE-2025-50154) شناسایی شده که حتی در سیستم‌های به‌روز شده، امکان استخراج هش‌های NTLM بدون تعامل کاربر را فراهم می‌کند.

این موضوع می‌تواند زمینه‌ساز حملات Relay یا Offline Cracking شود.

🛡 توصیه به سازمان‌ها:

به‌روزرسانی فوری کلیه سیستم‌ها و سرویس‌های تحت پشتیبانی مایکروسافت
بررسی و سخت‌گیری در مدیریت حساب‌های Privileged
فعال‌سازی و پایش مداوم لاگ‌های امنیتی و رویدادهای Kerberos
تست امنیتی داخلی برای شناسایی Delegation غیرمجاز در Active Directory

📢 امنیت یک فرآیند مداوم است، نه یک اقدام مقطعی. Patch Tuesday این ماه یادآور این است که حتی پیشرفته‌ترین زیرساخت‌ها نیز نیازمند پایش و وصله‌گذاری سریع هستند.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی جدید برای کاربران Fortinet

🔍 تیم امنیت محصولات Fortinet یک آسیب‌پذیری مهم از نوع Authentication Bypass [CWE-288] را شناسایی کرده که می‌تواند به مهاجم اجازه دهد بدون احراز هویت و از طریق ارسال درخواست‌های دستکاری‌شده FGFM، کنترل یک دستگاه مدیریت‌شده را در اختیار بگیرد.

📌 این حمله تنها در صورتی امکان‌پذیر است که:

دستگاه توسط FortiManager مدیریت شود
مهاجم شماره سریال FortiManager را بداند
محصولات و نسخه‌های آسیب‌پذیرFortiOS


نسخه‌های 6.4.0 تا 6.4.15 ➡ ارتقاء به 6.4.16 یا بالاتر
نسخه‌های 6.2.0 تا 6.2.16 ➡ ارتقاء به 6.2.17 یا بالاتر
نسخه‌های 6.0 (همه) ➡ مهاجرت به نسخه امن

FortiPAM

نسخه‌های 1.2، 1.1، 1.0 (همه) ➡ مهاجرت به نسخه امن
FortiProxy
نسخه‌های 7.4.0 تا 7.4.2 ➡ ارتقاء به 7.4.3 یا بالاتر
نسخه‌های 7.2.0 تا 7.2.8 ➡ ارتقاء به 7.2.9 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.15 ➡ ارتقاء به 7.0.16 یا بالاتر

FortiSwitchManager

نسخه‌های 7.2.0 تا 7.2.3 ➡ ارتقاء به 7.2.4 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.3 ➡ ارتقاء به 7.0.4 یا بالاتر

📅 تاریخ انتشار: ۱۲ آگوست ۲۰۲۵

🔗 ابزار مسیر ارتقاء: Fortinet Upgrade Tool

⚠ توصیه می‌شود مدیران شبکه در اسرع وقت نسخه‌های آسیب‌پذیر را به‌روزرسانی کنند تا از سوءاستفاده احتمالی مهاجمان جلوگیری شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی فوری از Fortinet – آسیب‌پذیری بحرانی در FortiSIEM

🔴 شناسه آسیب‌پذیری: CVE-2025-25256

📊 امتیاز CVSS: ‌9.8/10 (بسیار بحرانی)

⚠️ نوع آسیب‌پذیری: تزریق فرمان سیستم‌عامل (OS Command Injection – CWE-78)

🛑 وضعیت: کد اکسپلویت فعال در حملات واقعی (In-the-Wild)

شرکت Fortinet به مشتریان خود هشدار داده که یک حفره امنیتی جدی در نرم‌افزار FortiSIEM کشف شده که به مهاجم غیرمعتبر اجازه می‌دهد با ارسال درخواست‌های CLI دستکاری‌شده، کد یا فرمان‌های غیرمجاز را روی سیستم اجرا کند.

📌 نسخه‌های آسیب‌پذیر:

6.1, 6.2, 6.3, 6.4, 6.5, 6.6 ➡ حتماً به نسخه امن مهاجرت کنید.
6.7.0 تا 6.7.9 ➡ ارتقا به 6.7.10 یا بالاتر
7.0.0 تا 7.0.3 ➡ ارتقا به 7.0.4 یا بالاتر
7.1.0 تا 7.1.7 ➡ ارتقا به 7.1.8 یا بالاتر
7.2.0 تا 7.2.5 ➡ ارتقا به 7.2.6 یا بالاتر
7.3.0 تا 7.3.1 ➡ ارتقا به 7.3.2 یا بالاتر
نسخه 7.4 ➡ آسیب‌پذیر نیست

🔍 نکات مهم:

اکسپلویت عملیاتی این باگ در فضای واقعی شناسایی شده است.

کد بهره‌برداری IoC مشخصی ایجاد نمی‌کند، بنابراین شناسایی حمله دشوار است.


فورتی نت توصیه می‌کند دسترسی به پورت phMonitor (7900) را محدود کنید تا ریسک کاهش یابد.

🌐 این هشدار در حالی منتشر می‌شود که یک روز قبل، شرکت GreyNoise از افزایش شدید حملات Brute-Force به دستگاه‌های Fortinet SSL VPN از کشورهای مختلف (آمریکا، کانادا، روسیه، هلند و...) خبر داده بود.

📥 منابع و جزئیات بیشتر:
🔗 Fortinet PSIRT: fortiguard.fortinet.com/psirt/FG-IR-25-152
🔗 The Hacker News: thehackernews.com

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی حیاتی از Cisco – آسیب‌پذیری بحرانی در Firewall Management Center

شرکت Cisco به تازگی درباره‌ی یک آسیب‌پذیری بسیار خطرناک (RCE) در زیرسیستم RADIUS نرم‌افزار Secure Firewall Management Center (FMC) هشدار داده است. این باگ با شناسه‌ی CVE-2025-20265 ثبت شده و امتیاز کامل ۱۰ از ۱۰ را دریافت کرده است.

جزئیات آسیب‌پذیری
پلتفرم مدیریت متمرکز فایروال‌های سیسکو است که از طریق وب یا SSH امکان پیکربندی و مانیتورینگ دستگاه‌ها را فراهم می‌کند.

مشکل در هنگام استفاده از احراز هویت RADIUS رخ می‌دهد. مهاجم می‌تواند با ارسال ورودی‌های مخرب در مرحله ورود، موفق به اجرای دستورات دلخواه با دسترسی سطح بالا روی دستگاه شود.

این نقص امنیتی به دلیل برخورد نادرست با ورودی کاربر در فرآیند احراز هویت به وجود آمده است.

نسخه‌های آسیب‌پذیر
Cisco FMC نسخه‌های 7.0.7 و 7.7.0 در صورتی که احراز هویت RADIUS فعال باشد (وب یا SSH).

راهکارها
✅ سیسکو وصله‌های امنیتی رایگان منتشر کرده است (برای مشتریان دارای قرارداد پشتیبانی).

✅ در صورت عدم امکان به‌روزرسانی فوری، پیشنهاد می‌شود RADIUS غیرفعال شده و از روش‌های دیگر مانند LDAP، SAML یا حساب‌های محلی استفاده شود.

سایر آسیب‌پذیری‌های رفع‌شده
علاوه بر این نقص بحرانی، سیسکو وصله‌هایی برای ۱۳ آسیب‌پذیری با شدت بالا در محصولات مختلف خود منتشر کرده که شامل مواردی چون Denial of Service در ASA، FTD، VPN و Snort 3 می‌شود.

سیسکو تأکید کرده است که تاکنون گزارشی از سوءاستفاده فعال از این باگ دریافت نکرده است، اما با توجه به شدت بسیار بالا، مدیران شبکه و امنیت باید فوراً اقدام به به‌روزرسانی یا اعمال راهکارهای جایگزین کنند.

🔐 شما به‌عنوان ادمین یا کارشناس امنیت شبکه، آیا برای مدیریت متمرکز فایروال‌ها از RADIUS استفاده می‌کنید؟

به نظرتان غیرفعال کردن آن تا زمان نصب وصله، چقدر در محیط‌های سازمانی قابل اجراست؟
نظرتون رو برای ما بنویسید.


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری بحرانی در FortiWeb – امکان دور زدن کامل احراز هویت (CVE-2025-52970)

یک پژوهشگر امنیتی با نام Aviv Y جزئیات یک آسیب‌پذیری خطرناک در FortiWeb WAF را منتشر کرده که می‌تواند به مهاجم اجازه دهد احراز هویت را به‌طور کامل دور بزند و حتی نقش ادمین را جعل کند. این نقص با شناسه CVE-2025-52970 ثبت شده و توسط Fortinet در تاریخ ۱۲ آگوست ۲۰۲۵ رفع گردید.

این باگ که پژوهشگر آن را FortMajeure نام‌گذاری کرده، ناشی از یک خطای out-of-bounds read در پردازش کوکی‌های FortiWeb است. در شرایطی خاص، سرور از یک کلید صفر (all-zero key) برای رمزنگاری نشست و امضای HMAC استفاده می‌کند، که در نتیجه جعل کوکی‌های احراز هویت را به‌شدت ساده می‌سازد.

⚠️ نکات مهم:
مهاجم تنها نیاز به حدس‌زدن یک فیلد کوچک عددی در کوکی دارد (معمولاً کمتر از ۳۰ حالت).
این باعث می‌شود فرآیند brute-force بسیار سریع و عملی باشد.

نسخه‌های آسیب‌پذیر: FortiWeb 7.0 تا 7.6

نسخه‌های امن:
7.6.4 و بالاتر
7.4.8 و بالاتر
7.2.11 و بالاتر
7.0.11 و بالاتر
نسخه FortiWeb 8.0 تحت تأثیر قرار نگرفته است.

🔒 اقدام ضروری:
هیچ راهکار موقت یا workaround رسمی وجود ندارد. تنها راه امن، ارتقا فوری به نسخه‌های امن است.

با توجه به اینکه پژوهشگر تنها بخشی از PoC را منتشر کرده و وعده داده نسخه کامل را بعداً ارائه کند، فرصت محدودی برای مدیران شبکه باقی مانده تا وصله‌ها را اعمال کنند؛ چرا که مهاجمان به‌سرعت از این اطلاعات بهره‌برداری خواهند کرد.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 به‌روزرسانی امنیتی کسپرسکی: اصلاح فوری برای محافظت از کاربران

🔹 شرکت کسپرسکی در ۱۴ اوت ۲۰۲۵ اطلاعیه‌ای منتشر کرد که در آن یک آسیب‌پذیری مهم در نرم‌افزارهای مبتنی بر پایگاه‌داده آنتی‌ویروس شناسایی و برطرف شد.

📌 جزئیات مهم:
شرح مشکل: این آسیب‌پذیری می‌توانست امکان اجرای کد دلخواه بر روی سیستم‌های کاربری را فراهم کند.

وضعیت رفع: اصلاحات به‌صورت خودکار از طریق به‌روزرسانی پایگاه‌داده آنتی‌ویروس منتشر شده است.

بهره‌برداری: تاکنون هیچ گزارشی از سوءاستفاده در دنیای واقعی ثبت نشده است.

نسخه‌های تحت تأثیر:
ویندوز → پایگاه‌داده‌های منتشرشده از ۴ اوت ۲۰۲۵ به بعد.
لینوکس، مک‌اواس و FreeBSD → پایگاه‌داده‌های منتشرشده از ۸ اوت ۲۰۲۵ به بعد.

🔐 توصیه می‌شود کاربران تاریخ آخرین به‌روزرسانی پایگاه‌داده آنتی‌ویروس خود را بررسی کنند.

📅 سایر اصلاحات اخیر کسپرسکی:
۱ آوریل ۲۰۲۵ → رفع مشکلات امنیتی در Kaspersky IoT Secure Gateway Network Protector و Kaspersky Anti Targeted Attack Server.
۶ فوریه ۲۰۲۵ → رفع آسیب‌پذیری بحرانی (CVE-2024-13614) در SDK ویندوز و Light Agent.

🌐 چرا این مهم است؟
این موارد نشان می‌دهد که:
به‌روزرسانی پایگاه‌داده‌های آنتی‌ویروس، نقشی حیاتی در رفع سریع آسیب‌پذیری‌ها دارد.

کاربران بدون نیاز به اقدام دستی، از حفاظت خودکار بهره‌مند می‌شوند.

کسپرسکی با انتشار سریع وصله‌ها، تعهد خود به امنیت کاربران را ثابت کرده است.

✅ توصیه آرمان داده پویان:
کاربران سازمانی و شخصی، برای اطمینان از امنیت، حتماً تاریخ آخرین به‌روزرسانی پایگاه‌داده محصولات کسپرسکی خود را بررسی کنند و این روند را به‌صورت مستمر در فرآیندهای امنیتی سازمان بگنجانند.

🔒 ما در آرمان داده پویان همواره تلاش می‌کنیم تا تازه‌ترین اخبار و هشدارهای امنیتی را با شما به اشتراک بگذاریم تا گامی در جهت ارتقای امنیت زیرساخت‌های دیجیتال کشور برداشته باشیم.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

حمله باج‌افزاری تازه از دل یک حفره ویندوزی!

محققان امنیتی از سوءاستفاده مهاجمان از آسیب‌پذیری CVE-2025-29824 در Windows CLFS پرده برداشتند؛ باگی که مایکروسافت در آوریل 2025 وصله کرده بود. این حملات منجر به استقرار بدافزار PipeMagic به‌عنوان بخشی از زنجیره باج‌افزاری RansomExx شده است.

📌 نکات کلیدی گزارش مشترک Kaspersky و BI.ZONE:

PipeMagic
نخستین بار در سال 2022 شناسایی شد و به‌عنوان یک Backdoor ماژولار با قابلیت اجرای دستورات گسترده روی سیستم قربانی شناخته می‌شود.
نسخه‌های اخیر (2025) در عربستان سعودی و برزیل مشاهده شده و دارای قابلیت‌های پیشرفته‌تر نسبت به نسخه 2024 هستند؛ از جمله پایداری بیشتر و حرکت جانبی در شبکه‌های داخلی.

بدافزار از تکنیک‌هایی مانند DLL Hijacking، سوءاستفاده از ProcDump (تغییرنام‌یافته به dllhost.exe) و فایل‌های جعلی مانند metafile.mshi یا googleupdate.dll برای بارگذاری خود بهره می‌برد.

PipeMagic
با استفاده از Named Pipeهای رمزگذاری‌شده و ماژول شبکه اختصاصی، ارتباط C2 را برقرار کرده و امکان بارگذاری پویا و اجرای Payloadهای متعدد را فراهم می‌کند.

این بدافزار در حملات متنوعی از خاورمیانه تا آمریکا، اروپا و آمریکای جنوبی مشاهده شده و همچنان در حال توسعه است.

🔎 مایکروسافت این کمپین را به گروه تهدید Storm-2460 نسبت داده و PipeMagic را یک چارچوب بدافزاری پیچیده و انعطاف‌پذیر توصیف کرده که شناسایی و تحلیل آن را بسیار دشوار می‌سازد.

⚠️ توصیه: به‌روزرسانی وصله‌های امنیتی ویندوز، پایش رفتارهای مشکوک در شبکه و اجرای EDR/XDR پیشرفته برای مقابله با چنین حملات پیچیده ضروری است.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

مدیریت لایسنس در محیط‌های Air-Gap؛ چالش‌ها و راهکارهای فورتینت

در دنیای Operational Technology (OT)، خیلی از سازمان‌ها اجازه اتصال مستقیم تجهیزات حیاتی‌شون به اینترنت رو ندارن. اینجا همون جاییه که مفهوم Air-Gap مطرح میشه: محیطی ایزوله و بدون دسترسی مستقیم به اینترنت.

اما یک چالش اساسی وجود داره:
چطور میشه FortiGate در چنین محیطی همچنان لایسنس معتبر و آپدیت امنیتی داشته باشه؟

✨ راهکار فورتی نت: Air-Gap FortiGuard Updates

در حالت معمول، FortiGate مستقیماً با FortiGuard ارتباط می‌گیره و لایسنس و آپدیت‌ها رو دریافت می‌کنه.

اما در محیط‌های Air-Gap، چون دسترسی اینترنتی وجود نداره، همه‌چیز باید به‌صورت دستی انجام بشه:
1️⃣ فایل لایسنس از FortiCloud دانلود و روی FortiGate آپلود میشه.
2️⃣ آپدیت‌های سرویس‌های امنیتی مثل AV و IPS از طریق Fortinet Support Portal دریافت و به‌صورت دستی روی FortiGate یا FortiManager بارگذاری میشن.

⚡️ روش‌های آپلود لایسنس در Air-Gap:
🔹 GUI:
System > FortiGuard > Subscriptions → Upload License File
🔹 CLI:
# execute restore manual-license {ftp | tftp} <license file name> <server> [args]

💡 نکته مهم:
از FortiOS 7.2.0 به بعد، هم سخت‌افزارهای FortiGate و هم VMها از Air-Gap پشتیبانی می‌کنن.
تنها تفاوت VM اینه که برای فعال‌سازی اولیه باید حداقل یک‌بار به FortiGuard یا FortiManager متصل بشه.
در محیط‌های Air-Gap، چون آپدیت‌ها دستی انجام میشن، فاصله زمانی بین آپدیت‌ها می‌تونه ریسک امنیتی ایجاد کنه؛ پس باید روی سیاست زمان‌بندی آپدیت‌ها خیلی دقیق عمل کرد.

🔍 جمع‌بندی:
Air-Gap FortiGuard Updates در واقع همون لایسنس و آپدیت‌های FortiGate هستن، فقط روش دریافت و تحویلشون متفاوته. به جای اینترنت مستقیم، همه‌چیز به‌صورت دستی مدیریت میشه.

👉 سوال برای شما:
اگر شما در یک محیط Air-Gap کار می‌کردید، برای مدیریت به‌روزرسانی‌ها ترجیح می‌دادید یک سیاست آپدیت کوتاه‌مدت (ریسک کمتر ولی کار دستی بیشتر) داشته باشید یا یک سیاست بلندمدت (کار کمتر ولی ریسک بیشتر)؟ چرا؟


 شما تجربه کار با محیط‌های Air-Gap یا Manual Licensing رو داشتید؟ از نظر شما، سخت‌ترین بخش این روند چه بوده است؟

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 نسخه‌های تازه Firmware فورتی‌نت؛ گامی مهم برای ادمین‌های شبکه

  فورتی نت به‌تازگی نسخه‌های جدید Firmware برای سه محصول کلیدی خودش منتشر کرده:

✨ FortiOS (FortiGate) 7.6.4

✨ FortiWeb 8.0.1

✨ FortiAnalyzer 7.6.4




🔧 توصیه‌های کلیدی برای ادمین‌ها قبل از آپدیت:

📄 حتماً Release Note هر نسخه رو با دقت مرور کنید تا از تغییرات و Fixها مطلع باشید.

💾 یک Backup کامل از تنظیمات و داده‌ها بگیرید تا در صورت مشکل، امکان Rollback داشته باشید.

🧪 نسخه جدید رو ابتدا روی محیط Staging/ آزمایشی تست کنید و سناریوهای حیاتی رو بررسی کنید.

🚀 بعد از اطمینان، آپدیت رو روی محیط Production اعمال کنید.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com