🔒 Microsoft Patch Tuesday – آگوست 2025:

رفع 111 آسیب‌پذیری، از جمله یک Zero-Day مهم در Kerberos

مایکروسافت در به‌روزرسانی ماه آگوست خود، ۱۱۱ آسیب‌پذیری امنیتی را در محصولاتش برطرف کرده است که شامل:

16 آسیب‌پذیری بحرانی (Critical)
92 مورد مهم (Important)
2 مورد متوسط (Moderate)
1 مورد کم‌اهمیت (Low)

📌 آسیب پذیری-روزصفر مهم این ماه:

CVE-2025-53779
یک نقص از نوع افزایش سطح دسترسی در Kerberos که توسط شرکت Akamai با نام BadSuccessor شناسایی شده است. این ضعف امنیتی می‌تواند در سناریوهای زنجیره‌ای اکسپلویت، منجر به تصاحب کامل دامنه Active Directory شود.

امکان ایجاد روابط Delegation غیرمجاز
ارتقای دسترسی تا Domain Admin
پتانسیل استفاده در حملات زنجیره تأمین در محیط‌های چند دامنه‌ای

🎯 چرا این آسیب‌پذیری خطرناک است؟

مهاجم با داشتن دسترسی به یک حساب کاربری با سطح دسترسی بالا می‌تواند:

غیرفعال‌سازی مانیتورینگ امنیتی
تغییر Group Policy
حذف یا تغییر لاگ‌ها برای پنهان کردن فعالیت‌ها
گسترش حمله به سایر دامنه‌ها

💡 برخی آسیب‌پذیری‌های بحرانی مهم دیگر:
CVE-2025-53767 (CVSS 10.0) – ارتقای دسترسی در
Azure OpenAI

CVE-2025-53766 (CVSS 9.8) – اجرای کد از راه دور در
GDI+

CVE-2025-50165 (CVSS 9.8) – اجرای کد از راه دور در
Windows
Graphics Component

CVE-2025-53792 (CVSS 9.1) – ارتقای دسترسی در
Azure Portal

CVE-2025-53787 (CVSS 8.2) – افشای اطلاعات در
Microsoft 365 Copilot BizChat

📍 همچنین، نقصی در NTLM Hash Disclosure (CVE-2025-50154) شناسایی شده که حتی در سیستم‌های به‌روز شده، امکان استخراج هش‌های NTLM بدون تعامل کاربر را فراهم می‌کند.

این موضوع می‌تواند زمینه‌ساز حملات Relay یا Offline Cracking شود.

🛡 توصیه به سازمان‌ها:

به‌روزرسانی فوری کلیه سیستم‌ها و سرویس‌های تحت پشتیبانی مایکروسافت
بررسی و سخت‌گیری در مدیریت حساب‌های Privileged
فعال‌سازی و پایش مداوم لاگ‌های امنیتی و رویدادهای Kerberos
تست امنیتی داخلی برای شناسایی Delegation غیرمجاز در Active Directory

📢 امنیت یک فرآیند مداوم است، نه یک اقدام مقطعی. Patch Tuesday این ماه یادآور این است که حتی پیشرفته‌ترین زیرساخت‌ها نیز نیازمند پایش و وصله‌گذاری سریع هستند.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی جدید برای کاربران Fortinet

🔍 تیم امنیت محصولات Fortinet یک آسیب‌پذیری مهم از نوع Authentication Bypass [CWE-288] را شناسایی کرده که می‌تواند به مهاجم اجازه دهد بدون احراز هویت و از طریق ارسال درخواست‌های دستکاری‌شده FGFM، کنترل یک دستگاه مدیریت‌شده را در اختیار بگیرد.

📌 این حمله تنها در صورتی امکان‌پذیر است که:

دستگاه توسط FortiManager مدیریت شود
مهاجم شماره سریال FortiManager را بداند
محصولات و نسخه‌های آسیب‌پذیرFortiOS


نسخه‌های 6.4.0 تا 6.4.15 ➡ ارتقاء به 6.4.16 یا بالاتر
نسخه‌های 6.2.0 تا 6.2.16 ➡ ارتقاء به 6.2.17 یا بالاتر
نسخه‌های 6.0 (همه) ➡ مهاجرت به نسخه امن

FortiPAM

نسخه‌های 1.2، 1.1، 1.0 (همه) ➡ مهاجرت به نسخه امن
FortiProxy
نسخه‌های 7.4.0 تا 7.4.2 ➡ ارتقاء به 7.4.3 یا بالاتر
نسخه‌های 7.2.0 تا 7.2.8 ➡ ارتقاء به 7.2.9 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.15 ➡ ارتقاء به 7.0.16 یا بالاتر

FortiSwitchManager

نسخه‌های 7.2.0 تا 7.2.3 ➡ ارتقاء به 7.2.4 یا بالاتر
نسخه‌های 7.0.0 تا 7.0.3 ➡ ارتقاء به 7.0.4 یا بالاتر

📅 تاریخ انتشار: ۱۲ آگوست ۲۰۲۵

🔗 ابزار مسیر ارتقاء: Fortinet Upgrade Tool

⚠ توصیه می‌شود مدیران شبکه در اسرع وقت نسخه‌های آسیب‌پذیر را به‌روزرسانی کنند تا از سوءاستفاده احتمالی مهاجمان جلوگیری شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی فوری از Fortinet – آسیب‌پذیری بحرانی در FortiSIEM

🔴 شناسه آسیب‌پذیری: CVE-2025-25256

📊 امتیاز CVSS: ‌9.8/10 (بسیار بحرانی)

⚠️ نوع آسیب‌پذیری: تزریق فرمان سیستم‌عامل (OS Command Injection – CWE-78)

🛑 وضعیت: کد اکسپلویت فعال در حملات واقعی (In-the-Wild)

شرکت Fortinet به مشتریان خود هشدار داده که یک حفره امنیتی جدی در نرم‌افزار FortiSIEM کشف شده که به مهاجم غیرمعتبر اجازه می‌دهد با ارسال درخواست‌های CLI دستکاری‌شده، کد یا فرمان‌های غیرمجاز را روی سیستم اجرا کند.

📌 نسخه‌های آسیب‌پذیر:

6.1, 6.2, 6.3, 6.4, 6.5, 6.6 ➡ حتماً به نسخه امن مهاجرت کنید.
6.7.0 تا 6.7.9 ➡ ارتقا به 6.7.10 یا بالاتر
7.0.0 تا 7.0.3 ➡ ارتقا به 7.0.4 یا بالاتر
7.1.0 تا 7.1.7 ➡ ارتقا به 7.1.8 یا بالاتر
7.2.0 تا 7.2.5 ➡ ارتقا به 7.2.6 یا بالاتر
7.3.0 تا 7.3.1 ➡ ارتقا به 7.3.2 یا بالاتر
نسخه 7.4 ➡ آسیب‌پذیر نیست

🔍 نکات مهم:

اکسپلویت عملیاتی این باگ در فضای واقعی شناسایی شده است.

کد بهره‌برداری IoC مشخصی ایجاد نمی‌کند، بنابراین شناسایی حمله دشوار است.


فورتی نت توصیه می‌کند دسترسی به پورت phMonitor (7900) را محدود کنید تا ریسک کاهش یابد.

🌐 این هشدار در حالی منتشر می‌شود که یک روز قبل، شرکت GreyNoise از افزایش شدید حملات Brute-Force به دستگاه‌های Fortinet SSL VPN از کشورهای مختلف (آمریکا، کانادا، روسیه، هلند و...) خبر داده بود.

📥 منابع و جزئیات بیشتر:
🔗 Fortinet PSIRT: fortiguard.fortinet.com/psirt/FG-IR-25-152
🔗 The Hacker News: thehackernews.com

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی حیاتی از Cisco – آسیب‌پذیری بحرانی در Firewall Management Center

شرکت Cisco به تازگی درباره‌ی یک آسیب‌پذیری بسیار خطرناک (RCE) در زیرسیستم RADIUS نرم‌افزار Secure Firewall Management Center (FMC) هشدار داده است. این باگ با شناسه‌ی CVE-2025-20265 ثبت شده و امتیاز کامل ۱۰ از ۱۰ را دریافت کرده است.

جزئیات آسیب‌پذیری
پلتفرم مدیریت متمرکز فایروال‌های سیسکو است که از طریق وب یا SSH امکان پیکربندی و مانیتورینگ دستگاه‌ها را فراهم می‌کند.

مشکل در هنگام استفاده از احراز هویت RADIUS رخ می‌دهد. مهاجم می‌تواند با ارسال ورودی‌های مخرب در مرحله ورود، موفق به اجرای دستورات دلخواه با دسترسی سطح بالا روی دستگاه شود.

این نقص امنیتی به دلیل برخورد نادرست با ورودی کاربر در فرآیند احراز هویت به وجود آمده است.

نسخه‌های آسیب‌پذیر
Cisco FMC نسخه‌های 7.0.7 و 7.7.0 در صورتی که احراز هویت RADIUS فعال باشد (وب یا SSH).

راهکارها
✅ سیسکو وصله‌های امنیتی رایگان منتشر کرده است (برای مشتریان دارای قرارداد پشتیبانی).

✅ در صورت عدم امکان به‌روزرسانی فوری، پیشنهاد می‌شود RADIUS غیرفعال شده و از روش‌های دیگر مانند LDAP، SAML یا حساب‌های محلی استفاده شود.

سایر آسیب‌پذیری‌های رفع‌شده
علاوه بر این نقص بحرانی، سیسکو وصله‌هایی برای ۱۳ آسیب‌پذیری با شدت بالا در محصولات مختلف خود منتشر کرده که شامل مواردی چون Denial of Service در ASA، FTD، VPN و Snort 3 می‌شود.

سیسکو تأکید کرده است که تاکنون گزارشی از سوءاستفاده فعال از این باگ دریافت نکرده است، اما با توجه به شدت بسیار بالا، مدیران شبکه و امنیت باید فوراً اقدام به به‌روزرسانی یا اعمال راهکارهای جایگزین کنند.

🔐 شما به‌عنوان ادمین یا کارشناس امنیت شبکه، آیا برای مدیریت متمرکز فایروال‌ها از RADIUS استفاده می‌کنید؟

به نظرتان غیرفعال کردن آن تا زمان نصب وصله، چقدر در محیط‌های سازمانی قابل اجراست؟
نظرتون رو برای ما بنویسید.


📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری بحرانی در FortiWeb – امکان دور زدن کامل احراز هویت (CVE-2025-52970)

یک پژوهشگر امنیتی با نام Aviv Y جزئیات یک آسیب‌پذیری خطرناک در FortiWeb WAF را منتشر کرده که می‌تواند به مهاجم اجازه دهد احراز هویت را به‌طور کامل دور بزند و حتی نقش ادمین را جعل کند. این نقص با شناسه CVE-2025-52970 ثبت شده و توسط Fortinet در تاریخ ۱۲ آگوست ۲۰۲۵ رفع گردید.

این باگ که پژوهشگر آن را FortMajeure نام‌گذاری کرده، ناشی از یک خطای out-of-bounds read در پردازش کوکی‌های FortiWeb است. در شرایطی خاص، سرور از یک کلید صفر (all-zero key) برای رمزنگاری نشست و امضای HMAC استفاده می‌کند، که در نتیجه جعل کوکی‌های احراز هویت را به‌شدت ساده می‌سازد.

⚠️ نکات مهم:
مهاجم تنها نیاز به حدس‌زدن یک فیلد کوچک عددی در کوکی دارد (معمولاً کمتر از ۳۰ حالت).
این باعث می‌شود فرآیند brute-force بسیار سریع و عملی باشد.

نسخه‌های آسیب‌پذیر: FortiWeb 7.0 تا 7.6

نسخه‌های امن:
7.6.4 و بالاتر
7.4.8 و بالاتر
7.2.11 و بالاتر
7.0.11 و بالاتر
نسخه FortiWeb 8.0 تحت تأثیر قرار نگرفته است.

🔒 اقدام ضروری:
هیچ راهکار موقت یا workaround رسمی وجود ندارد. تنها راه امن، ارتقا فوری به نسخه‌های امن است.

با توجه به اینکه پژوهشگر تنها بخشی از PoC را منتشر کرده و وعده داده نسخه کامل را بعداً ارائه کند، فرصت محدودی برای مدیران شبکه باقی مانده تا وصله‌ها را اعمال کنند؛ چرا که مهاجمان به‌سرعت از این اطلاعات بهره‌برداری خواهند کرد.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 به‌روزرسانی امنیتی کسپرسکی: اصلاح فوری برای محافظت از کاربران

🔹 شرکت کسپرسکی در ۱۴ اوت ۲۰۲۵ اطلاعیه‌ای منتشر کرد که در آن یک آسیب‌پذیری مهم در نرم‌افزارهای مبتنی بر پایگاه‌داده آنتی‌ویروس شناسایی و برطرف شد.

📌 جزئیات مهم:
شرح مشکل: این آسیب‌پذیری می‌توانست امکان اجرای کد دلخواه بر روی سیستم‌های کاربری را فراهم کند.

وضعیت رفع: اصلاحات به‌صورت خودکار از طریق به‌روزرسانی پایگاه‌داده آنتی‌ویروس منتشر شده است.

بهره‌برداری: تاکنون هیچ گزارشی از سوءاستفاده در دنیای واقعی ثبت نشده است.

نسخه‌های تحت تأثیر:
ویندوز → پایگاه‌داده‌های منتشرشده از ۴ اوت ۲۰۲۵ به بعد.
لینوکس، مک‌اواس و FreeBSD → پایگاه‌داده‌های منتشرشده از ۸ اوت ۲۰۲۵ به بعد.

🔐 توصیه می‌شود کاربران تاریخ آخرین به‌روزرسانی پایگاه‌داده آنتی‌ویروس خود را بررسی کنند.

📅 سایر اصلاحات اخیر کسپرسکی:
۱ آوریل ۲۰۲۵ → رفع مشکلات امنیتی در Kaspersky IoT Secure Gateway Network Protector و Kaspersky Anti Targeted Attack Server.
۶ فوریه ۲۰۲۵ → رفع آسیب‌پذیری بحرانی (CVE-2024-13614) در SDK ویندوز و Light Agent.

🌐 چرا این مهم است؟
این موارد نشان می‌دهد که:
به‌روزرسانی پایگاه‌داده‌های آنتی‌ویروس، نقشی حیاتی در رفع سریع آسیب‌پذیری‌ها دارد.

کاربران بدون نیاز به اقدام دستی، از حفاظت خودکار بهره‌مند می‌شوند.

کسپرسکی با انتشار سریع وصله‌ها، تعهد خود به امنیت کاربران را ثابت کرده است.

✅ توصیه آرمان داده پویان:
کاربران سازمانی و شخصی، برای اطمینان از امنیت، حتماً تاریخ آخرین به‌روزرسانی پایگاه‌داده محصولات کسپرسکی خود را بررسی کنند و این روند را به‌صورت مستمر در فرآیندهای امنیتی سازمان بگنجانند.

🔒 ما در آرمان داده پویان همواره تلاش می‌کنیم تا تازه‌ترین اخبار و هشدارهای امنیتی را با شما به اشتراک بگذاریم تا گامی در جهت ارتقای امنیت زیرساخت‌های دیجیتال کشور برداشته باشیم.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

حمله باج‌افزاری تازه از دل یک حفره ویندوزی!

محققان امنیتی از سوءاستفاده مهاجمان از آسیب‌پذیری CVE-2025-29824 در Windows CLFS پرده برداشتند؛ باگی که مایکروسافت در آوریل 2025 وصله کرده بود. این حملات منجر به استقرار بدافزار PipeMagic به‌عنوان بخشی از زنجیره باج‌افزاری RansomExx شده است.

📌 نکات کلیدی گزارش مشترک Kaspersky و BI.ZONE:

PipeMagic
نخستین بار در سال 2022 شناسایی شد و به‌عنوان یک Backdoor ماژولار با قابلیت اجرای دستورات گسترده روی سیستم قربانی شناخته می‌شود.
نسخه‌های اخیر (2025) در عربستان سعودی و برزیل مشاهده شده و دارای قابلیت‌های پیشرفته‌تر نسبت به نسخه 2024 هستند؛ از جمله پایداری بیشتر و حرکت جانبی در شبکه‌های داخلی.

بدافزار از تکنیک‌هایی مانند DLL Hijacking، سوءاستفاده از ProcDump (تغییرنام‌یافته به dllhost.exe) و فایل‌های جعلی مانند metafile.mshi یا googleupdate.dll برای بارگذاری خود بهره می‌برد.

PipeMagic
با استفاده از Named Pipeهای رمزگذاری‌شده و ماژول شبکه اختصاصی، ارتباط C2 را برقرار کرده و امکان بارگذاری پویا و اجرای Payloadهای متعدد را فراهم می‌کند.

این بدافزار در حملات متنوعی از خاورمیانه تا آمریکا، اروپا و آمریکای جنوبی مشاهده شده و همچنان در حال توسعه است.

🔎 مایکروسافت این کمپین را به گروه تهدید Storm-2460 نسبت داده و PipeMagic را یک چارچوب بدافزاری پیچیده و انعطاف‌پذیر توصیف کرده که شناسایی و تحلیل آن را بسیار دشوار می‌سازد.

⚠️ توصیه: به‌روزرسانی وصله‌های امنیتی ویندوز، پایش رفتارهای مشکوک در شبکه و اجرای EDR/XDR پیشرفته برای مقابله با چنین حملات پیچیده ضروری است.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

مدیریت لایسنس در محیط‌های Air-Gap؛ چالش‌ها و راهکارهای فورتینت

در دنیای Operational Technology (OT)، خیلی از سازمان‌ها اجازه اتصال مستقیم تجهیزات حیاتی‌شون به اینترنت رو ندارن. اینجا همون جاییه که مفهوم Air-Gap مطرح میشه: محیطی ایزوله و بدون دسترسی مستقیم به اینترنت.

اما یک چالش اساسی وجود داره:
چطور میشه FortiGate در چنین محیطی همچنان لایسنس معتبر و آپدیت امنیتی داشته باشه؟

✨ راهکار فورتی نت: Air-Gap FortiGuard Updates

در حالت معمول، FortiGate مستقیماً با FortiGuard ارتباط می‌گیره و لایسنس و آپدیت‌ها رو دریافت می‌کنه.

اما در محیط‌های Air-Gap، چون دسترسی اینترنتی وجود نداره، همه‌چیز باید به‌صورت دستی انجام بشه:
1️⃣ فایل لایسنس از FortiCloud دانلود و روی FortiGate آپلود میشه.
2️⃣ آپدیت‌های سرویس‌های امنیتی مثل AV و IPS از طریق Fortinet Support Portal دریافت و به‌صورت دستی روی FortiGate یا FortiManager بارگذاری میشن.

⚡️ روش‌های آپلود لایسنس در Air-Gap:
🔹 GUI:
System > FortiGuard > Subscriptions → Upload License File
🔹 CLI:
# execute restore manual-license {ftp | tftp} <license file name> <server> [args]

💡 نکته مهم:
از FortiOS 7.2.0 به بعد، هم سخت‌افزارهای FortiGate و هم VMها از Air-Gap پشتیبانی می‌کنن.
تنها تفاوت VM اینه که برای فعال‌سازی اولیه باید حداقل یک‌بار به FortiGuard یا FortiManager متصل بشه.
در محیط‌های Air-Gap، چون آپدیت‌ها دستی انجام میشن، فاصله زمانی بین آپدیت‌ها می‌تونه ریسک امنیتی ایجاد کنه؛ پس باید روی سیاست زمان‌بندی آپدیت‌ها خیلی دقیق عمل کرد.

🔍 جمع‌بندی:
Air-Gap FortiGuard Updates در واقع همون لایسنس و آپدیت‌های FortiGate هستن، فقط روش دریافت و تحویلشون متفاوته. به جای اینترنت مستقیم، همه‌چیز به‌صورت دستی مدیریت میشه.

👉 سوال برای شما:
اگر شما در یک محیط Air-Gap کار می‌کردید، برای مدیریت به‌روزرسانی‌ها ترجیح می‌دادید یک سیاست آپدیت کوتاه‌مدت (ریسک کمتر ولی کار دستی بیشتر) داشته باشید یا یک سیاست بلندمدت (کار کمتر ولی ریسک بیشتر)؟ چرا؟


 شما تجربه کار با محیط‌های Air-Gap یا Manual Licensing رو داشتید؟ از نظر شما، سخت‌ترین بخش این روند چه بوده است؟

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 نسخه‌های تازه Firmware فورتی‌نت؛ گامی مهم برای ادمین‌های شبکه

  فورتی نت به‌تازگی نسخه‌های جدید Firmware برای سه محصول کلیدی خودش منتشر کرده:

✨ FortiOS (FortiGate) 7.6.4

✨ FortiWeb 8.0.1

✨ FortiAnalyzer 7.6.4




🔧 توصیه‌های کلیدی برای ادمین‌ها قبل از آپدیت:

📄 حتماً Release Note هر نسخه رو با دقت مرور کنید تا از تغییرات و Fixها مطلع باشید.

💾 یک Backup کامل از تنظیمات و داده‌ها بگیرید تا در صورت مشکل، امکان Rollback داشته باشید.

🧪 نسخه جدید رو ابتدا روی محیط Staging/ آزمایشی تست کنید و سناریوهای حیاتی رو بررسی کنید.

🚀 بعد از اطمینان، آپدیت رو روی محیط Production اعمال کنید.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

به‌روزرسانی سپتامبر مایکروسافت: رفع 80 آسیب‌پذیری حیاتی

مایکروسافت این هفته 80 آسیب‌پذیری امنیتی را در محصولات خود برطرف کرد؛ از جمله یک باگ با CVSS 10.0 در Azure و چندین نقص مهم در SMB.

از این میان:
8 مورد Critical
72 مورد Important

بیش از 47% باگ‌ها مربوط به Privilege Escalation هستند (بالاتر از Remote Code Execution).

در کنار آن، مرورگر Edge (نسخه 140.0.3485.54) هم 12 آسیب‌پذیری جدید دریافت کرده است.

🔴 نکته مهم:
تهدیدهای BitLocker
چندین نقص امنیتی در BitLocker (از جمله CVE-2025-48804 و CVE-2025-48818 با CVSS 6.8) شناسایی شده که می‌تواند به مهاجم با دسترسی فیزیکی اجازه دهد محافظت BitLocker را دور بزند و به داده‌های رمزگذاری‌شده دسترسی پیدا کند.

🔵 برای کاهش ریسک:

فعال‌سازی TPM+PIN در Pre-Boot Authentication
استفاده از مکانیزم REVISE mitigation جهت جلوگیری از حملات Downgrade

تکنیک جدید مهاجمان: BitLockMove
تیم Purple Team از یک روش Lateral Movement جدید پرده برداشت:

مهاجم با سوءاستفاده از WMI + SMB و COM Hijacking در BitLocker می‌تواند DLL مخرب خود را تزریق کند.

اگر کاربر هدف سطح دسترسی بالا (مثلاً Domain Admin) داشته باشد، این تکنیک حتی می‌تواند منجر به Domain Escalation شود.

💎 نتیجه‌گیری:

این ماه شاهد تغییر تمرکز مهاجمان روی Privilege Escalation و سوءاستفاده از قابلیت‌های بومی ویندوز هستیم. تیم‌های امنیتی باید علاوه بر نصب فوری پچ‌ها، به سخت‌سازی BitLocker و مانیتورینگ رفتارهای مشکوک در WMI و Registry توجه ویژه داشته باشند.

شما چطور در سازمانتان Patch Management و BitLocker Hardening را مدیریت می‌کنید؟

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

شرکت F5  با خرید 180 میلیون دلاری  CalypsoAI، معادلات امنیت هوش مصنوعی را تغییر می‌دهد!
در حرکتی جسورانه و استراتژیک، F5  اعلام کرد که با پرداخت 180 میلیون دلار، استارتاپ نوآور CalypsoAI را تصاحب می‌کند؛ شرکتی که تنها از 2018 تا امروز توانسته جایگاه ویژه‌ای در امنیت Generative AI به دست آورد.

🔹 این تصمیم صرفاً یک خرید تکنولوژیک نیست؛ بلکه پاسخی است به بحرانی‌ترین چالش این روزهای سازمان‌ها:
چگونه در عصر هوش مصنوعی، سطح حملات جدید را ایمن کنیم؟

چرا این موضوع بسیار مهم است؟
🔹 پلتفرمCalypsoAI  محافظت لحظه‌ای از تهدیدات AI و امنیت داده‌ها در بارهای کاری پیچیده AI ارائه می‌دهد.
🔹مشتریان آن به توانایی منحصر به‌فردش در Pressure Testing مدل‌های AI در مقیاس سازمانی و ایجاد Adaptive Guardrails اعتماد دارند.
🔹پشتوانه مالی از سوی غول‌هایی مثل Paladin Capital و Lockheed Martin Ventures، نشان‌دهنده بلوغ و اعتماد بازار به این استارتاپ است.
🔹این خرید هم‌زمان با اوج‌گیری سرمایه‌گذاری‌ها در حوزه امنیت سایبری انجام می‌شود؛ سرمایه‌گذاری‌هایی که در نیمه نخست 2025 به بالاترین سطح سه‌ساله رسیده‌اند.
 
مدیرعامل F5 آقای Francois Locoh-Donou، می‌گوید:
"هوش مصنوعی معماری سازمانی و سطح حملات را دوباره تعریف می‌کند. این خرید فقط گسترش سبد F5 نیست؛ بلکه پر کردن یک شکاف حیاتی در امنیت AI است."
 🔹 این تنها حرکت F5 در سال جاری نیست. خرید استارتاپ امنیتی Fletch و شرکت Mantiset در حوزه Observability نشان می‌دهد که F5 به دنبال تسلط بر بازارهای امنیت هوش مصنوعی و مانیتورینگ ابری است.

🔹با رشد بیش از 30٪ سهام F5 در سال جاری، به نظر می‌رسد سرمایه‌گذاران نیز روی این استراتژی حساب ویژه‌ای باز کرده‌اند.

اما چالش اصلی اینجاست:
⁉️ چگونه می‌توان اطمینان حاصل کرد که مدل‌های Generative AI در سطح سازمانی، از مرحله انتخاب مدل تا استقرار و اجرای آن، در برابر حملات پیشرفته مانند Data Poisoning و Prompt Injection محافظت شوند؟



📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

به همه برنامه‌نویسانی که با کدهایشان دنیا را می‌سازند (و گاهی دنیا را نجات می‌دهند!) روز برنامه‌نویس مبارک 🌍💙

«هر خط کدی می‌تواند دریچه‌ای به خلاقیت یا تهدید باشد؛ ما در آرمان داده پویان کنار شما هستیم تا این مسیر همیشه امن بماند.»

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

در ادامه پست قبلی:

همان‌طور که گفتیم، ادغام F5 با CalypsoAI یک تحول بزرگ در امنیت هوش مصنوعی ایجاد کرده است.

این ادغام، پلتفرم F5 Application Delivery & Security Platform (ADSP) را به برترین بستر جهانی برای ایمن‌سازی اپلیکیشن‌ها و ایجنت‌های AI تبدیل می‌کند.

ویژگی‌های متمایز:

شناسایی ریسک‌های AI به‌صورت Proactive (پیشگیرانه)

تست آسیب‌پذیری Agentic و بررسی امنیت مدل‌ها در مرحله اجرای مدل (Inference)

محافظت مداوم در برابر تهدیدات AI با فیلترها و مانیتورهای پیشرفته

شبیه‌سازی حملات واقعی و حفاظت از مدل‌ها در کل چرخه توسعه و استقرار از انتخاب مدل تا اجرای عملیاتی.

اسکن جهت‌دار روی پرامپت‌ها و پاسخ‌ها + امکان تعریف Custom Scanners متناسب با نیاز سازمان


نتیجه؟
سازمان‌ها می‌توانند از هر مدل، در هر کلاود، سریع‌تر و ایمن‌تر استفاده کنند — بدون افزایش ریسک برای داده‌ها و سیستم‌ها.

هوش مصنوعی فرصت‌های بی‌نظیری خلق می‌کند؛ اما نیازمند رویکردی نو در امنیت است.
اکنون با CalypsoAI، مشتریان F5 می‌توانند با اطمینان و چابکی بیشتر وارد آینده شوند.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

انتشار FortiOS 7.2.12

با انتشار نسخه FortiOS 7.2.12 تغییرات مهمی در مسیر پشتیبانی و سیاست‌های ارتقا/بازگشت نسخه (Upgrade/Downgrade) اعمال شده است. این تغییرات مستقیماً بر چرخه عمر نسخه‌ها (Lifecycle)، الزامات لایسنسینگ و همچنین پیکربندی سرویس‌های حیاتی مثل VPN اثر می‌گذارند.

1️⃣پایان پشتیبانی سری 7.0
پشتیبانی از FortiOS 7.0 فقط تا 30 سپتامبر 2025 ادامه خواهد داشت.
بعد از این تاریخ هیچ اصلاحیه امنیتی یا Patch برای آن منتشر نمی‌شود.
اگر هنوز روی 7.0 هستید، باید مهاجرت به نسخه‌های بالاتر را در برنامه عملیاتی قرار دهید.

2️⃣ نسخه‌های پایدار فعلی
در حال حاضر دو نسخه پایدار (Stable) معرفی شده‌اند:
• 7.0.17
• 7.2.12
نسخه 7.2.12 برای محیط‌های عملیاتی (Production) گزینه مناسب‌تری است، چون هم به‌روزتر است و هم امنیت بیشتری دارد.

3️⃣ تغییر در مکانیزم Upgrade/Downgrade از 7.4.2 به بعد
برای ارتقا یا بازگشت نسخه، دستگاه باید دارای لایسنس معتبر و آنلاین باشد.
تجهیزاتی که ثبت نشده‌اند یا دسترسی اینترنتی ندارند، در این بازه دچار محدودیت خواهند شد.

4️⃣ مهاجرت VPN در نسخه 7.6.3
در این نسخه، تنظیمات SSL VPN Tunnel mode پشتیبانی نمی‌شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

انتشار Firmware جدید برای FortiAnalyzer
نسخه‌های جدید سیستم‌عامل FortiAnalyzer به ترتیب زیر منتشر شدند:
7.6.4
7.2.11

🔍 نکات فنی کلیدی:
از Branch 7.6.0 به بعد، ماژول FortiAi به‌صورت Native در FortiAnalyzer فعال شده است. این ماژول با استفاده از مدل‌های AI/ML، قابلیت‌های پیشرفته در Anomaly Detection و Threat Hunting را فراهم می‌کند و به شکل محسوسی سرعت و دقت تحلیل لاگ‌ها را افزایش می‌دهد.

در Upgrade/Downgrade Path برای نسخه‌های 7.2.2 به بالا، الزام به Online Valid License وجود دارد. بدون لایسنس معتبر، امکان Rollback یا Migration بین نسخه‌ها محدود خواهد بود.

در این ریلیز علاوه بر Security Fixes و Patchهای مهم، تغییرات مهمی در Database Engine (Postgres و ClickHouse) اعمال شده که روی فرآیند Log Indexing تأثیرگذار است.

بهبودهایی در زمینه High Availability صورت گرفته تا در صورت عدم پاسخ‌گویی واحد اصلی، فرآیند Failover سریع‌تر و پایدارتر انجام شود.

به‌روزرسانی‌های اخیر، سازگاری FortiAnalyzer با FortiOS 7.6.x و دیگر محصولات Fortinet Security Fabric را تضمین می‌کند.

📌 برای تیم‌های SOC و کارشناسان Incident Response، ارتقا به این نسخه می‌تواند در کاهش MTTD/MTTR (Mean Time to Detect/Respond) نقش مؤثری داشته باشد.

برای خرید محصولات فورتی نت یا دریافت مشاوره رایگان، کافیست با کارشناسان ما تماس بگیرید.

https://www.armandata.ir/product-category/fortianalyzer/

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 مایکروسافت یک آسیب‌پذیری بحرانی در Entra ID (Azure AD سابق) را برطرف کرد‍!

🆔 CVE-2025-55241
با امتیاز کامل ۱۰ از ۱۰.

🔎 اصل ماجرا:

یک نقص در فرآیند اعتبارسنجی توکن به مهاجم این امکان را می‌داد که با ساخت یک توکن جعلی، خود را به جای هر کاربری — حتی  Global Admin — در هر tenant معرفی کند.

⚡ پیامدها:

این سطح از جعل هویت می‌توانست منجر به دسترسی کامل به
💻 Microsoft 365،
📂 SharePoint،
📧 Exchange و حتی
☁️ Azure subscriptions
شود.

❌ خطر بزرگ‌تر این بود که حمله می‌توانست MFA، Conditional Access و لاگینگ را دور بزند؛ یعنی بدون هیچ رد و نشانی.

📢 مایکروسافت اعلام کرده این مشکل از ۱۷ جولای ۲۰۲۵ پَچ شده و اقدام خاصی از سمت مشتری لازم نیست.

با این حال:

⚠️ اگر اپلیکیشن‌های شما همچنان به Azure AD Graph (graph.windows.net) متکی هستند، در معرض ریسک بوده‌اید.

⏰ این API در پایان آگوست بازنشسته شد و باید سریعاً به Microsoft Graph مهاجرت کنید.

🔐 به دلیل نبود لاگ کافی، توصیه می‌شود تیم‌های SOC بررسی دقیقی انجام دهند:

تغییرات غیرعادی در نقش‌ها، توکن‌های مشکوک یا دسترسی‌های بیش از حد اپلیکیشن‌ها.

🇮🇷 وضعیت برای سازمان‌های ایرانی:

بسیاری از سازمان‌ها به M365 و Entra Connect وصل‌اند و برخی اپ‌های بومی SSO هنوز از Azure AD Graph قدیمی استفاده می‌کنند.

👉 با توجه به بازنشستگی آن API و تاخیرهای اطلاع‌رسانی ناشی از تحریم‌ها، این سازمان‌ها باید سریعاً وابستگی‌ها را شناسایی، به Microsoft Graph مهاجرت و کنترل‌های هویتی‌شان را تقویت کنند.

📌 نکات مهم برای سازمان‌های ایرانی:

1️⃣ تنظیمات اشتباه OAuth

⚠️ اگر اپ یا سیستم ورود یکپارچه (SSO) درست پیکربندی نشده باشه، ممکنه راه نفوذ باز بذاره.
→ 🔍 همهٔ تنظیمات و دسترسی‌های این بخش رو دوباره چک کنید.

2️⃣ مشکل همگام‌سازی OneDrive

💻 اگه لپ‌تاپ یا سیستم کاربر هک بشه، مهاجم می‌تونه به فایل‌های سازمانی روی OneDrive/SharePoint هم دسترسی پیدا کنه.
→ 📂 نظارت روی همگام‌سازی و محدودیت روی داده‌ها ضروریه.

3️⃣ کلیدها توی فایل‌های کانفیگ

🔑 خیلی وقت‌ها رمز و کلیدها داخل فایل‌هایی مثل appsettings.json می‌مونه و لو می‌ره.
→ 🛠 همهٔ کدها و سرورها رو برای secrets بررسی کنید و از ابزار مدیریت کلید استفاده کنید.

4️⃣ اپلیکیشن‌های جعلی OAuth

🎭 مهاجم می‌تونه یه اپ مخرب بسازه و با یک لینک کاربر رو فریب بده تا بهش دسترسی بده.
→ 🚫 اجازهٔ دسترسی (consent) رو فقط برای ادمین فعال کنید و اپ‌های مشکوک رو حذف کنید.

5️⃣ آسیب‌پذیری SSRF

🌐 اگر اپ داخلی مشکل SSRF داشته باشه، می‌شه از اون برای گرفتن توکن‌های ابری استفاده کرد.
→ 🔒 اپ‌ها رو تست کنید و تنظیمات امنیتی سرویس‌های ابری مثل IMDS رو درست کنید.

6️⃣ دستکاری نقش‌ها در AWS

🕵️ مهاجم می‌تونه با تغییر role یا policy توی AWS دسترسی خودش رو نگه داره.
→ 📑 لاگ‌ها رو بررسی کنید و دسترسی‌ها رو فقط به حداقل لازم محدود کنید.

🛡 ما جدیدترین اخبار و هشدارهای امنیتی را به‌موقع در اختیار شما قرار می‌دهیم تا همواره از مهم‌ترین تهدیدها و آسیب‌پذیری‌ها آگاه باشید.
با ما همراه باشید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی مهم درباره آسیب‌پذیری‌های جدید Cisco

مرکزهای امنیتی بین‌المللی اعلام کرده‌اند چندین حفره روزصفر (Zero-day) در محصولات سیسکو شناسایی و هم‌اکنون به‌طور فعال توسط مهاجمان مورد سوءاستفاده قرار گرفته‌اند.

🔍 مهم‌ترین آسیب‌پذیری‌ها:

CVE-2025-20333 → امکان اجرای کد از راه دور با دور زدن مکانیزم‌های احراز هویت در ASA/FTD

CVE-2025-20362 → دسترسی غیرمجاز به بخش‌های حساس بدون نیاز به ورود کاربری

CVE-2025-20363 → اجرای کد بحرانی از راه دور روی سیستم‌های ASA و IOS
CVE-2025-20352 → بروز سرریز بافر در پروتکل SNMP (IOS/IOS XE)

⚠️ بر اساس تحلیل‌ها، مهاجمان با اتکا به این نقص‌ها توانسته‌اند:

اجرای دستورات بدون نیاز به اعتبارسنجی
دستکاری ROMMON برای ماندگاری بعد از ریبوت

خاموش‌کردن لاگ‌ها و رهگیری دستورهای CLI
را عملی کنند.

📢 توصیه فوری به سازمان‌ها:

✅ هرچه سریع‌تر وصله‌های امنیتی جدید مخصوص CVE-2025-20333 و CVE-2025-20362 را روی دستگاه‌های ASA و Firepower نصب کنید.

✅ در صورت شناسایی آلودگی، ارتباط دستگاه‌های مشکوک را قطع کرده و بررسی‌های فارنزیک را آغاز کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

وقتی اطلاعات شما تبدیل به یک سلاح می‌شود...

تصور کنید بخشی از داده‌هایی که به‌ظاهر بی‌اهمیت به‌نظر می‌رسند — مثل نام کاربری تکراری، یک پست ساده در شبکه‌های اجتماعی، یا حتی رکورد دامنه وب‌سایت — دست‌به‌دست جمع‌آوری شود.

نتیجه؟ پروند‌ه‌ای کامل از هویت شما که می‌تواند علیه‌تان استفاده شود.
این همان چیزی است که به آن داکسینگ (Doxing) می‌گویند.

انتشار اطلاعات شخصی در فضای آنلاین، بدون اجازه‌ی شما، با هدف آزار، تخریب اعتبار یا حتی آسیب مالی و اجتماعی.

داکسرها از هر چیزی استفاده می‌کنند:

داده‌های عمومی
سوابق WHOIS
ردگیری IP
حملات فیشینگ

یا حتی داده‌های فروخته‌شده توسط بروکرها
و در نهایت، ممکن است شماره تماس، آدرس، اطلاعات بانکی یا جزئیات حساس دیگری از شما روی میز گذاشته شود.

تاثیرات این کار همیشه جدی است: از سرقت هویت گرفته تا تهدید واقعی در دنیای بیرون. و اگر پای کارکنان دولت یا موقعیت‌های حساس در میان باشد، پیامدهای قانونی هم در انتظار خواهد بود.


فورتی نت، هشدار می‌دهد: وقتی داده‌های شخصی به یک «سلاح» تبدیل می‌شوند، اثرات آن ویرانگر است.


اولین قدم برای مقابله، دانستن نحوه‌ی کار داکسینگ است.

شما فکر می‌کنید سازمان‌ها یا حتی افراد عادی چطور می‌توانند جلوی چنین تهدیدی را بگیرند؟

تجربه یا راهکار خودتان را در کامنت‌ها بنویسید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

افزایش چشم‌گیر اسکن‌های مشکوک علیه محصولات Palo Alto Networks

چند روز گذشته، شرکت امنیتی GreyNoise از افزایش ۵۰۰٪ در فعالیت آی‌پی‌هایی خبر داده که به دنبال پورتال‌های ورود و پروفایل‌های GlobalProtect و PAN-OS شرکت Palo Alto Networks می‌گردند.

📈 در تاریخ ۳ اکتبر، بیش از ۱٬۲۸۵ آی‌پی منحصربه‌فرد در این اسکن‌ها شناسایی شدن؛ در حالی‌که معمولاً این عدد کمتر از ۲۰۰ تاست.

بیشتر این آی‌پی‌ها از آمریکا بودن و گروه‌های کوچک‌تری هم از انگلستان، هلند، کانادا و روسیه مشاهده شدن. جالبه بدونید یکی از این گروه‌ها روی اهداف داخل آمریکا تمرکز داشته و دیگری روی پاکستان — با تفاوت‌هایی در اثرانگشت TLS اما شباهت‌های جزئی در رفتار.

طبق تحلیل GreyNoise:
🔹 ۹۱٪ از این آی‌پی‌ها مشکوک هستن
🔹 و ۷٪ هم به‌صورت قطعی مخرب (malicious) شناسایی شدن.

تقریباً تمام این فعالیت‌ها مستقیماً روی پروفایل‌های شبیه‌سازی‌شده Palo Alto انجام شده؛ یعنی هدف هکرها مشخصه: شناسایی و جمع‌آوری اطلاعات از سیستم‌های واقعی Palo Alto در سطح اینترنت — احتمالاً با استفاده از سرویس‌هایی مثل Shodan و Censys.

چنین الگوهایی معمولاً پیش‌درآمد حمله‌هایی هستن که از باگ‌های zero-day یا n-day استفاده می‌کنن.

نمونه مشابهش چند هفته پیش اتفاق افتاد:
در اون زمان افزایش اسکن‌ها روی Cisco ASA دیده شد، و تنها دو هفته بعد یک آسیب‌پذیری zero-day در همون محصول مورد سوءاستفاده قرار گرفت.

با این حال، GreyNoise فعلاً می‌گه ارتباط مستقیم بین اسکن‌های فعلی و حمله واقعی روی محصولات Palo Alto هنوز ضعیف‌تر از نمونه Cisco است.

افزایش این نوع فعالیت‌ها نشونه‌ی واضحی از آماده‌سازی موج جدیدی از حملات هدف‌دار در فضای سایبریه.

اگر شما هم از محصولات Palo Alto یا Grafana استفاده می‌کنید، الان دقیقاً زمانیه که باید به‌روزرسانی‌ها، مانیتورینگ و سیاست‌های دسترسی رو جدی‌تر از همیشه بررسی کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com