آسیب‌پذیری بحرانی در FortiWeb – امکان دور زدن کامل احراز هویت (CVE-2025-52970)

یک پژوهشگر امنیتی با نام Aviv Y جزئیات یک آسیب‌پذیری خطرناک در FortiWeb WAF را منتشر کرده که می‌تواند به مهاجم اجازه دهد احراز هویت را به‌طور کامل دور بزند و حتی نقش ادمین را جعل کند. این نقص با شناسه CVE-2025-52970 ثبت شده و توسط Fortinet در تاریخ ۱۲ آگوست ۲۰۲۵ رفع گردید.

این باگ که پژوهشگر آن را FortMajeure نام‌گذاری کرده، ناشی از یک خطای out-of-bounds read در پردازش کوکی‌های FortiWeb است. در شرایطی خاص، سرور از یک کلید صفر (all-zero key) برای رمزنگاری نشست و امضای HMAC استفاده می‌کند، که در نتیجه جعل کوکی‌های احراز هویت را به‌شدت ساده می‌سازد.

⚠️ نکات مهم:
مهاجم تنها نیاز به حدس‌زدن یک فیلد کوچک عددی در کوکی دارد (معمولاً کمتر از ۳۰ حالت).
این باعث می‌شود فرآیند brute-force بسیار سریع و عملی باشد.

نسخه‌های آسیب‌پذیر: FortiWeb 7.0 تا 7.6

نسخه‌های امن:
7.6.4 و بالاتر
7.4.8 و بالاتر
7.2.11 و بالاتر
7.0.11 و بالاتر
نسخه FortiWeb 8.0 تحت تأثیر قرار نگرفته است.

🔒 اقدام ضروری:
هیچ راهکار موقت یا workaround رسمی وجود ندارد. تنها راه امن، ارتقا فوری به نسخه‌های امن است.

با توجه به اینکه پژوهشگر تنها بخشی از PoC را منتشر کرده و وعده داده نسخه کامل را بعداً ارائه کند، فرصت محدودی برای مدیران شبکه باقی مانده تا وصله‌ها را اعمال کنند؛ چرا که مهاجمان به‌سرعت از این اطلاعات بهره‌برداری خواهند کرد.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 به‌روزرسانی امنیتی کسپرسکی: اصلاح فوری برای محافظت از کاربران

🔹 شرکت کسپرسکی در ۱۴ اوت ۲۰۲۵ اطلاعیه‌ای منتشر کرد که در آن یک آسیب‌پذیری مهم در نرم‌افزارهای مبتنی بر پایگاه‌داده آنتی‌ویروس شناسایی و برطرف شد.

📌 جزئیات مهم:
شرح مشکل: این آسیب‌پذیری می‌توانست امکان اجرای کد دلخواه بر روی سیستم‌های کاربری را فراهم کند.

وضعیت رفع: اصلاحات به‌صورت خودکار از طریق به‌روزرسانی پایگاه‌داده آنتی‌ویروس منتشر شده است.

بهره‌برداری: تاکنون هیچ گزارشی از سوءاستفاده در دنیای واقعی ثبت نشده است.

نسخه‌های تحت تأثیر:
ویندوز → پایگاه‌داده‌های منتشرشده از ۴ اوت ۲۰۲۵ به بعد.
لینوکس، مک‌اواس و FreeBSD → پایگاه‌داده‌های منتشرشده از ۸ اوت ۲۰۲۵ به بعد.

🔐 توصیه می‌شود کاربران تاریخ آخرین به‌روزرسانی پایگاه‌داده آنتی‌ویروس خود را بررسی کنند.

📅 سایر اصلاحات اخیر کسپرسکی:
۱ آوریل ۲۰۲۵ → رفع مشکلات امنیتی در Kaspersky IoT Secure Gateway Network Protector و Kaspersky Anti Targeted Attack Server.
۶ فوریه ۲۰۲۵ → رفع آسیب‌پذیری بحرانی (CVE-2024-13614) در SDK ویندوز و Light Agent.

🌐 چرا این مهم است؟
این موارد نشان می‌دهد که:
به‌روزرسانی پایگاه‌داده‌های آنتی‌ویروس، نقشی حیاتی در رفع سریع آسیب‌پذیری‌ها دارد.

کاربران بدون نیاز به اقدام دستی، از حفاظت خودکار بهره‌مند می‌شوند.

کسپرسکی با انتشار سریع وصله‌ها، تعهد خود به امنیت کاربران را ثابت کرده است.

✅ توصیه آرمان داده پویان:
کاربران سازمانی و شخصی، برای اطمینان از امنیت، حتماً تاریخ آخرین به‌روزرسانی پایگاه‌داده محصولات کسپرسکی خود را بررسی کنند و این روند را به‌صورت مستمر در فرآیندهای امنیتی سازمان بگنجانند.

🔒 ما در آرمان داده پویان همواره تلاش می‌کنیم تا تازه‌ترین اخبار و هشدارهای امنیتی را با شما به اشتراک بگذاریم تا گامی در جهت ارتقای امنیت زیرساخت‌های دیجیتال کشور برداشته باشیم.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

حمله باج‌افزاری تازه از دل یک حفره ویندوزی!

محققان امنیتی از سوءاستفاده مهاجمان از آسیب‌پذیری CVE-2025-29824 در Windows CLFS پرده برداشتند؛ باگی که مایکروسافت در آوریل 2025 وصله کرده بود. این حملات منجر به استقرار بدافزار PipeMagic به‌عنوان بخشی از زنجیره باج‌افزاری RansomExx شده است.

📌 نکات کلیدی گزارش مشترک Kaspersky و BI.ZONE:

PipeMagic
نخستین بار در سال 2022 شناسایی شد و به‌عنوان یک Backdoor ماژولار با قابلیت اجرای دستورات گسترده روی سیستم قربانی شناخته می‌شود.
نسخه‌های اخیر (2025) در عربستان سعودی و برزیل مشاهده شده و دارای قابلیت‌های پیشرفته‌تر نسبت به نسخه 2024 هستند؛ از جمله پایداری بیشتر و حرکت جانبی در شبکه‌های داخلی.

بدافزار از تکنیک‌هایی مانند DLL Hijacking، سوءاستفاده از ProcDump (تغییرنام‌یافته به dllhost.exe) و فایل‌های جعلی مانند metafile.mshi یا googleupdate.dll برای بارگذاری خود بهره می‌برد.

PipeMagic
با استفاده از Named Pipeهای رمزگذاری‌شده و ماژول شبکه اختصاصی، ارتباط C2 را برقرار کرده و امکان بارگذاری پویا و اجرای Payloadهای متعدد را فراهم می‌کند.

این بدافزار در حملات متنوعی از خاورمیانه تا آمریکا، اروپا و آمریکای جنوبی مشاهده شده و همچنان در حال توسعه است.

🔎 مایکروسافت این کمپین را به گروه تهدید Storm-2460 نسبت داده و PipeMagic را یک چارچوب بدافزاری پیچیده و انعطاف‌پذیر توصیف کرده که شناسایی و تحلیل آن را بسیار دشوار می‌سازد.

⚠️ توصیه: به‌روزرسانی وصله‌های امنیتی ویندوز، پایش رفتارهای مشکوک در شبکه و اجرای EDR/XDR پیشرفته برای مقابله با چنین حملات پیچیده ضروری است.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

مدیریت لایسنس در محیط‌های Air-Gap؛ چالش‌ها و راهکارهای فورتینت

در دنیای Operational Technology (OT)، خیلی از سازمان‌ها اجازه اتصال مستقیم تجهیزات حیاتی‌شون به اینترنت رو ندارن. اینجا همون جاییه که مفهوم Air-Gap مطرح میشه: محیطی ایزوله و بدون دسترسی مستقیم به اینترنت.

اما یک چالش اساسی وجود داره:
چطور میشه FortiGate در چنین محیطی همچنان لایسنس معتبر و آپدیت امنیتی داشته باشه؟

✨ راهکار فورتی نت: Air-Gap FortiGuard Updates

در حالت معمول، FortiGate مستقیماً با FortiGuard ارتباط می‌گیره و لایسنس و آپدیت‌ها رو دریافت می‌کنه.

اما در محیط‌های Air-Gap، چون دسترسی اینترنتی وجود نداره، همه‌چیز باید به‌صورت دستی انجام بشه:
1️⃣ فایل لایسنس از FortiCloud دانلود و روی FortiGate آپلود میشه.
2️⃣ آپدیت‌های سرویس‌های امنیتی مثل AV و IPS از طریق Fortinet Support Portal دریافت و به‌صورت دستی روی FortiGate یا FortiManager بارگذاری میشن.

⚡️ روش‌های آپلود لایسنس در Air-Gap:
🔹 GUI:
System > FortiGuard > Subscriptions → Upload License File
🔹 CLI:
# execute restore manual-license {ftp | tftp} <license file name> <server> [args]

💡 نکته مهم:
از FortiOS 7.2.0 به بعد، هم سخت‌افزارهای FortiGate و هم VMها از Air-Gap پشتیبانی می‌کنن.
تنها تفاوت VM اینه که برای فعال‌سازی اولیه باید حداقل یک‌بار به FortiGuard یا FortiManager متصل بشه.
در محیط‌های Air-Gap، چون آپدیت‌ها دستی انجام میشن، فاصله زمانی بین آپدیت‌ها می‌تونه ریسک امنیتی ایجاد کنه؛ پس باید روی سیاست زمان‌بندی آپدیت‌ها خیلی دقیق عمل کرد.

🔍 جمع‌بندی:
Air-Gap FortiGuard Updates در واقع همون لایسنس و آپدیت‌های FortiGate هستن، فقط روش دریافت و تحویلشون متفاوته. به جای اینترنت مستقیم، همه‌چیز به‌صورت دستی مدیریت میشه.

👉 سوال برای شما:
اگر شما در یک محیط Air-Gap کار می‌کردید، برای مدیریت به‌روزرسانی‌ها ترجیح می‌دادید یک سیاست آپدیت کوتاه‌مدت (ریسک کمتر ولی کار دستی بیشتر) داشته باشید یا یک سیاست بلندمدت (کار کمتر ولی ریسک بیشتر)؟ چرا؟


 شما تجربه کار با محیط‌های Air-Gap یا Manual Licensing رو داشتید؟ از نظر شما، سخت‌ترین بخش این روند چه بوده است؟

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 نسخه‌های تازه Firmware فورتی‌نت؛ گامی مهم برای ادمین‌های شبکه

  فورتی نت به‌تازگی نسخه‌های جدید Firmware برای سه محصول کلیدی خودش منتشر کرده:

✨ FortiOS (FortiGate) 7.6.4

✨ FortiWeb 8.0.1

✨ FortiAnalyzer 7.6.4




🔧 توصیه‌های کلیدی برای ادمین‌ها قبل از آپدیت:

📄 حتماً Release Note هر نسخه رو با دقت مرور کنید تا از تغییرات و Fixها مطلع باشید.

💾 یک Backup کامل از تنظیمات و داده‌ها بگیرید تا در صورت مشکل، امکان Rollback داشته باشید.

🧪 نسخه جدید رو ابتدا روی محیط Staging/ آزمایشی تست کنید و سناریوهای حیاتی رو بررسی کنید.

🚀 بعد از اطمینان، آپدیت رو روی محیط Production اعمال کنید.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

به‌روزرسانی سپتامبر مایکروسافت: رفع 80 آسیب‌پذیری حیاتی

مایکروسافت این هفته 80 آسیب‌پذیری امنیتی را در محصولات خود برطرف کرد؛ از جمله یک باگ با CVSS 10.0 در Azure و چندین نقص مهم در SMB.

از این میان:
8 مورد Critical
72 مورد Important

بیش از 47% باگ‌ها مربوط به Privilege Escalation هستند (بالاتر از Remote Code Execution).

در کنار آن، مرورگر Edge (نسخه 140.0.3485.54) هم 12 آسیب‌پذیری جدید دریافت کرده است.

🔴 نکته مهم:
تهدیدهای BitLocker
چندین نقص امنیتی در BitLocker (از جمله CVE-2025-48804 و CVE-2025-48818 با CVSS 6.8) شناسایی شده که می‌تواند به مهاجم با دسترسی فیزیکی اجازه دهد محافظت BitLocker را دور بزند و به داده‌های رمزگذاری‌شده دسترسی پیدا کند.

🔵 برای کاهش ریسک:

فعال‌سازی TPM+PIN در Pre-Boot Authentication
استفاده از مکانیزم REVISE mitigation جهت جلوگیری از حملات Downgrade

تکنیک جدید مهاجمان: BitLockMove
تیم Purple Team از یک روش Lateral Movement جدید پرده برداشت:

مهاجم با سوءاستفاده از WMI + SMB و COM Hijacking در BitLocker می‌تواند DLL مخرب خود را تزریق کند.

اگر کاربر هدف سطح دسترسی بالا (مثلاً Domain Admin) داشته باشد، این تکنیک حتی می‌تواند منجر به Domain Escalation شود.

💎 نتیجه‌گیری:

این ماه شاهد تغییر تمرکز مهاجمان روی Privilege Escalation و سوءاستفاده از قابلیت‌های بومی ویندوز هستیم. تیم‌های امنیتی باید علاوه بر نصب فوری پچ‌ها، به سخت‌سازی BitLocker و مانیتورینگ رفتارهای مشکوک در WMI و Registry توجه ویژه داشته باشند.

شما چطور در سازمانتان Patch Management و BitLocker Hardening را مدیریت می‌کنید؟

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

شرکت F5  با خرید 180 میلیون دلاری  CalypsoAI، معادلات امنیت هوش مصنوعی را تغییر می‌دهد!
در حرکتی جسورانه و استراتژیک، F5  اعلام کرد که با پرداخت 180 میلیون دلار، استارتاپ نوآور CalypsoAI را تصاحب می‌کند؛ شرکتی که تنها از 2018 تا امروز توانسته جایگاه ویژه‌ای در امنیت Generative AI به دست آورد.

🔹 این تصمیم صرفاً یک خرید تکنولوژیک نیست؛ بلکه پاسخی است به بحرانی‌ترین چالش این روزهای سازمان‌ها:
چگونه در عصر هوش مصنوعی، سطح حملات جدید را ایمن کنیم؟

چرا این موضوع بسیار مهم است؟
🔹 پلتفرمCalypsoAI  محافظت لحظه‌ای از تهدیدات AI و امنیت داده‌ها در بارهای کاری پیچیده AI ارائه می‌دهد.
🔹مشتریان آن به توانایی منحصر به‌فردش در Pressure Testing مدل‌های AI در مقیاس سازمانی و ایجاد Adaptive Guardrails اعتماد دارند.
🔹پشتوانه مالی از سوی غول‌هایی مثل Paladin Capital و Lockheed Martin Ventures، نشان‌دهنده بلوغ و اعتماد بازار به این استارتاپ است.
🔹این خرید هم‌زمان با اوج‌گیری سرمایه‌گذاری‌ها در حوزه امنیت سایبری انجام می‌شود؛ سرمایه‌گذاری‌هایی که در نیمه نخست 2025 به بالاترین سطح سه‌ساله رسیده‌اند.
 
مدیرعامل F5 آقای Francois Locoh-Donou، می‌گوید:
"هوش مصنوعی معماری سازمانی و سطح حملات را دوباره تعریف می‌کند. این خرید فقط گسترش سبد F5 نیست؛ بلکه پر کردن یک شکاف حیاتی در امنیت AI است."
 🔹 این تنها حرکت F5 در سال جاری نیست. خرید استارتاپ امنیتی Fletch و شرکت Mantiset در حوزه Observability نشان می‌دهد که F5 به دنبال تسلط بر بازارهای امنیت هوش مصنوعی و مانیتورینگ ابری است.

🔹با رشد بیش از 30٪ سهام F5 در سال جاری، به نظر می‌رسد سرمایه‌گذاران نیز روی این استراتژی حساب ویژه‌ای باز کرده‌اند.

اما چالش اصلی اینجاست:
⁉️ چگونه می‌توان اطمینان حاصل کرد که مدل‌های Generative AI در سطح سازمانی، از مرحله انتخاب مدل تا استقرار و اجرای آن، در برابر حملات پیشرفته مانند Data Poisoning و Prompt Injection محافظت شوند؟



📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

به همه برنامه‌نویسانی که با کدهایشان دنیا را می‌سازند (و گاهی دنیا را نجات می‌دهند!) روز برنامه‌نویس مبارک 🌍💙

«هر خط کدی می‌تواند دریچه‌ای به خلاقیت یا تهدید باشد؛ ما در آرمان داده پویان کنار شما هستیم تا این مسیر همیشه امن بماند.»

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

در ادامه پست قبلی:

همان‌طور که گفتیم، ادغام F5 با CalypsoAI یک تحول بزرگ در امنیت هوش مصنوعی ایجاد کرده است.

این ادغام، پلتفرم F5 Application Delivery & Security Platform (ADSP) را به برترین بستر جهانی برای ایمن‌سازی اپلیکیشن‌ها و ایجنت‌های AI تبدیل می‌کند.

ویژگی‌های متمایز:

شناسایی ریسک‌های AI به‌صورت Proactive (پیشگیرانه)

تست آسیب‌پذیری Agentic و بررسی امنیت مدل‌ها در مرحله اجرای مدل (Inference)

محافظت مداوم در برابر تهدیدات AI با فیلترها و مانیتورهای پیشرفته

شبیه‌سازی حملات واقعی و حفاظت از مدل‌ها در کل چرخه توسعه و استقرار از انتخاب مدل تا اجرای عملیاتی.

اسکن جهت‌دار روی پرامپت‌ها و پاسخ‌ها + امکان تعریف Custom Scanners متناسب با نیاز سازمان


نتیجه؟
سازمان‌ها می‌توانند از هر مدل، در هر کلاود، سریع‌تر و ایمن‌تر استفاده کنند — بدون افزایش ریسک برای داده‌ها و سیستم‌ها.

هوش مصنوعی فرصت‌های بی‌نظیری خلق می‌کند؛ اما نیازمند رویکردی نو در امنیت است.
اکنون با CalypsoAI، مشتریان F5 می‌توانند با اطمینان و چابکی بیشتر وارد آینده شوند.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

انتشار FortiOS 7.2.12

با انتشار نسخه FortiOS 7.2.12 تغییرات مهمی در مسیر پشتیبانی و سیاست‌های ارتقا/بازگشت نسخه (Upgrade/Downgrade) اعمال شده است. این تغییرات مستقیماً بر چرخه عمر نسخه‌ها (Lifecycle)، الزامات لایسنسینگ و همچنین پیکربندی سرویس‌های حیاتی مثل VPN اثر می‌گذارند.

1️⃣پایان پشتیبانی سری 7.0
پشتیبانی از FortiOS 7.0 فقط تا 30 سپتامبر 2025 ادامه خواهد داشت.
بعد از این تاریخ هیچ اصلاحیه امنیتی یا Patch برای آن منتشر نمی‌شود.
اگر هنوز روی 7.0 هستید، باید مهاجرت به نسخه‌های بالاتر را در برنامه عملیاتی قرار دهید.

2️⃣ نسخه‌های پایدار فعلی
در حال حاضر دو نسخه پایدار (Stable) معرفی شده‌اند:
• 7.0.17
• 7.2.12
نسخه 7.2.12 برای محیط‌های عملیاتی (Production) گزینه مناسب‌تری است، چون هم به‌روزتر است و هم امنیت بیشتری دارد.

3️⃣ تغییر در مکانیزم Upgrade/Downgrade از 7.4.2 به بعد
برای ارتقا یا بازگشت نسخه، دستگاه باید دارای لایسنس معتبر و آنلاین باشد.
تجهیزاتی که ثبت نشده‌اند یا دسترسی اینترنتی ندارند، در این بازه دچار محدودیت خواهند شد.

4️⃣ مهاجرت VPN در نسخه 7.6.3
در این نسخه، تنظیمات SSL VPN Tunnel mode پشتیبانی نمی‌شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

انتشار Firmware جدید برای FortiAnalyzer
نسخه‌های جدید سیستم‌عامل FortiAnalyzer به ترتیب زیر منتشر شدند:
7.6.4
7.2.11

🔍 نکات فنی کلیدی:
از Branch 7.6.0 به بعد، ماژول FortiAi به‌صورت Native در FortiAnalyzer فعال شده است. این ماژول با استفاده از مدل‌های AI/ML، قابلیت‌های پیشرفته در Anomaly Detection و Threat Hunting را فراهم می‌کند و به شکل محسوسی سرعت و دقت تحلیل لاگ‌ها را افزایش می‌دهد.

در Upgrade/Downgrade Path برای نسخه‌های 7.2.2 به بالا، الزام به Online Valid License وجود دارد. بدون لایسنس معتبر، امکان Rollback یا Migration بین نسخه‌ها محدود خواهد بود.

در این ریلیز علاوه بر Security Fixes و Patchهای مهم، تغییرات مهمی در Database Engine (Postgres و ClickHouse) اعمال شده که روی فرآیند Log Indexing تأثیرگذار است.

بهبودهایی در زمینه High Availability صورت گرفته تا در صورت عدم پاسخ‌گویی واحد اصلی، فرآیند Failover سریع‌تر و پایدارتر انجام شود.

به‌روزرسانی‌های اخیر، سازگاری FortiAnalyzer با FortiOS 7.6.x و دیگر محصولات Fortinet Security Fabric را تضمین می‌کند.

📌 برای تیم‌های SOC و کارشناسان Incident Response، ارتقا به این نسخه می‌تواند در کاهش MTTD/MTTR (Mean Time to Detect/Respond) نقش مؤثری داشته باشد.

برای خرید محصولات فورتی نت یا دریافت مشاوره رایگان، کافیست با کارشناسان ما تماس بگیرید.

https://www.armandata.ir/product-category/fortianalyzer/

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 مایکروسافت یک آسیب‌پذیری بحرانی در Entra ID (Azure AD سابق) را برطرف کرد‍!

🆔 CVE-2025-55241
با امتیاز کامل ۱۰ از ۱۰.

🔎 اصل ماجرا:

یک نقص در فرآیند اعتبارسنجی توکن به مهاجم این امکان را می‌داد که با ساخت یک توکن جعلی، خود را به جای هر کاربری — حتی  Global Admin — در هر tenant معرفی کند.

⚡ پیامدها:

این سطح از جعل هویت می‌توانست منجر به دسترسی کامل به
💻 Microsoft 365،
📂 SharePoint،
📧 Exchange و حتی
☁️ Azure subscriptions
شود.

❌ خطر بزرگ‌تر این بود که حمله می‌توانست MFA، Conditional Access و لاگینگ را دور بزند؛ یعنی بدون هیچ رد و نشانی.

📢 مایکروسافت اعلام کرده این مشکل از ۱۷ جولای ۲۰۲۵ پَچ شده و اقدام خاصی از سمت مشتری لازم نیست.

با این حال:

⚠️ اگر اپلیکیشن‌های شما همچنان به Azure AD Graph (graph.windows.net) متکی هستند، در معرض ریسک بوده‌اید.

⏰ این API در پایان آگوست بازنشسته شد و باید سریعاً به Microsoft Graph مهاجرت کنید.

🔐 به دلیل نبود لاگ کافی، توصیه می‌شود تیم‌های SOC بررسی دقیقی انجام دهند:

تغییرات غیرعادی در نقش‌ها، توکن‌های مشکوک یا دسترسی‌های بیش از حد اپلیکیشن‌ها.

🇮🇷 وضعیت برای سازمان‌های ایرانی:

بسیاری از سازمان‌ها به M365 و Entra Connect وصل‌اند و برخی اپ‌های بومی SSO هنوز از Azure AD Graph قدیمی استفاده می‌کنند.

👉 با توجه به بازنشستگی آن API و تاخیرهای اطلاع‌رسانی ناشی از تحریم‌ها، این سازمان‌ها باید سریعاً وابستگی‌ها را شناسایی، به Microsoft Graph مهاجرت و کنترل‌های هویتی‌شان را تقویت کنند.

📌 نکات مهم برای سازمان‌های ایرانی:

1️⃣ تنظیمات اشتباه OAuth

⚠️ اگر اپ یا سیستم ورود یکپارچه (SSO) درست پیکربندی نشده باشه، ممکنه راه نفوذ باز بذاره.
→ 🔍 همهٔ تنظیمات و دسترسی‌های این بخش رو دوباره چک کنید.

2️⃣ مشکل همگام‌سازی OneDrive

💻 اگه لپ‌تاپ یا سیستم کاربر هک بشه، مهاجم می‌تونه به فایل‌های سازمانی روی OneDrive/SharePoint هم دسترسی پیدا کنه.
→ 📂 نظارت روی همگام‌سازی و محدودیت روی داده‌ها ضروریه.

3️⃣ کلیدها توی فایل‌های کانفیگ

🔑 خیلی وقت‌ها رمز و کلیدها داخل فایل‌هایی مثل appsettings.json می‌مونه و لو می‌ره.
→ 🛠 همهٔ کدها و سرورها رو برای secrets بررسی کنید و از ابزار مدیریت کلید استفاده کنید.

4️⃣ اپلیکیشن‌های جعلی OAuth

🎭 مهاجم می‌تونه یه اپ مخرب بسازه و با یک لینک کاربر رو فریب بده تا بهش دسترسی بده.
→ 🚫 اجازهٔ دسترسی (consent) رو فقط برای ادمین فعال کنید و اپ‌های مشکوک رو حذف کنید.

5️⃣ آسیب‌پذیری SSRF

🌐 اگر اپ داخلی مشکل SSRF داشته باشه، می‌شه از اون برای گرفتن توکن‌های ابری استفاده کرد.
→ 🔒 اپ‌ها رو تست کنید و تنظیمات امنیتی سرویس‌های ابری مثل IMDS رو درست کنید.

6️⃣ دستکاری نقش‌ها در AWS

🕵️ مهاجم می‌تونه با تغییر role یا policy توی AWS دسترسی خودش رو نگه داره.
→ 📑 لاگ‌ها رو بررسی کنید و دسترسی‌ها رو فقط به حداقل لازم محدود کنید.

🛡 ما جدیدترین اخبار و هشدارهای امنیتی را به‌موقع در اختیار شما قرار می‌دهیم تا همواره از مهم‌ترین تهدیدها و آسیب‌پذیری‌ها آگاه باشید.
با ما همراه باشید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی مهم درباره آسیب‌پذیری‌های جدید Cisco

مرکزهای امنیتی بین‌المللی اعلام کرده‌اند چندین حفره روزصفر (Zero-day) در محصولات سیسکو شناسایی و هم‌اکنون به‌طور فعال توسط مهاجمان مورد سوءاستفاده قرار گرفته‌اند.

🔍 مهم‌ترین آسیب‌پذیری‌ها:

CVE-2025-20333 → امکان اجرای کد از راه دور با دور زدن مکانیزم‌های احراز هویت در ASA/FTD

CVE-2025-20362 → دسترسی غیرمجاز به بخش‌های حساس بدون نیاز به ورود کاربری

CVE-2025-20363 → اجرای کد بحرانی از راه دور روی سیستم‌های ASA و IOS
CVE-2025-20352 → بروز سرریز بافر در پروتکل SNMP (IOS/IOS XE)

⚠️ بر اساس تحلیل‌ها، مهاجمان با اتکا به این نقص‌ها توانسته‌اند:

اجرای دستورات بدون نیاز به اعتبارسنجی
دستکاری ROMMON برای ماندگاری بعد از ریبوت

خاموش‌کردن لاگ‌ها و رهگیری دستورهای CLI
را عملی کنند.

📢 توصیه فوری به سازمان‌ها:

✅ هرچه سریع‌تر وصله‌های امنیتی جدید مخصوص CVE-2025-20333 و CVE-2025-20362 را روی دستگاه‌های ASA و Firepower نصب کنید.

✅ در صورت شناسایی آلودگی، ارتباط دستگاه‌های مشکوک را قطع کرده و بررسی‌های فارنزیک را آغاز کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

وقتی اطلاعات شما تبدیل به یک سلاح می‌شود...

تصور کنید بخشی از داده‌هایی که به‌ظاهر بی‌اهمیت به‌نظر می‌رسند — مثل نام کاربری تکراری، یک پست ساده در شبکه‌های اجتماعی، یا حتی رکورد دامنه وب‌سایت — دست‌به‌دست جمع‌آوری شود.

نتیجه؟ پروند‌ه‌ای کامل از هویت شما که می‌تواند علیه‌تان استفاده شود.
این همان چیزی است که به آن داکسینگ (Doxing) می‌گویند.

انتشار اطلاعات شخصی در فضای آنلاین، بدون اجازه‌ی شما، با هدف آزار، تخریب اعتبار یا حتی آسیب مالی و اجتماعی.

داکسرها از هر چیزی استفاده می‌کنند:

داده‌های عمومی
سوابق WHOIS
ردگیری IP
حملات فیشینگ

یا حتی داده‌های فروخته‌شده توسط بروکرها
و در نهایت، ممکن است شماره تماس، آدرس، اطلاعات بانکی یا جزئیات حساس دیگری از شما روی میز گذاشته شود.

تاثیرات این کار همیشه جدی است: از سرقت هویت گرفته تا تهدید واقعی در دنیای بیرون. و اگر پای کارکنان دولت یا موقعیت‌های حساس در میان باشد، پیامدهای قانونی هم در انتظار خواهد بود.


فورتی نت، هشدار می‌دهد: وقتی داده‌های شخصی به یک «سلاح» تبدیل می‌شوند، اثرات آن ویرانگر است.


اولین قدم برای مقابله، دانستن نحوه‌ی کار داکسینگ است.

شما فکر می‌کنید سازمان‌ها یا حتی افراد عادی چطور می‌توانند جلوی چنین تهدیدی را بگیرند؟

تجربه یا راهکار خودتان را در کامنت‌ها بنویسید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

افزایش چشم‌گیر اسکن‌های مشکوک علیه محصولات Palo Alto Networks

چند روز گذشته، شرکت امنیتی GreyNoise از افزایش ۵۰۰٪ در فعالیت آی‌پی‌هایی خبر داده که به دنبال پورتال‌های ورود و پروفایل‌های GlobalProtect و PAN-OS شرکت Palo Alto Networks می‌گردند.

📈 در تاریخ ۳ اکتبر، بیش از ۱٬۲۸۵ آی‌پی منحصربه‌فرد در این اسکن‌ها شناسایی شدن؛ در حالی‌که معمولاً این عدد کمتر از ۲۰۰ تاست.

بیشتر این آی‌پی‌ها از آمریکا بودن و گروه‌های کوچک‌تری هم از انگلستان، هلند، کانادا و روسیه مشاهده شدن. جالبه بدونید یکی از این گروه‌ها روی اهداف داخل آمریکا تمرکز داشته و دیگری روی پاکستان — با تفاوت‌هایی در اثرانگشت TLS اما شباهت‌های جزئی در رفتار.

طبق تحلیل GreyNoise:
🔹 ۹۱٪ از این آی‌پی‌ها مشکوک هستن
🔹 و ۷٪ هم به‌صورت قطعی مخرب (malicious) شناسایی شدن.

تقریباً تمام این فعالیت‌ها مستقیماً روی پروفایل‌های شبیه‌سازی‌شده Palo Alto انجام شده؛ یعنی هدف هکرها مشخصه: شناسایی و جمع‌آوری اطلاعات از سیستم‌های واقعی Palo Alto در سطح اینترنت — احتمالاً با استفاده از سرویس‌هایی مثل Shodan و Censys.

چنین الگوهایی معمولاً پیش‌درآمد حمله‌هایی هستن که از باگ‌های zero-day یا n-day استفاده می‌کنن.

نمونه مشابهش چند هفته پیش اتفاق افتاد:
در اون زمان افزایش اسکن‌ها روی Cisco ASA دیده شد، و تنها دو هفته بعد یک آسیب‌پذیری zero-day در همون محصول مورد سوءاستفاده قرار گرفت.

با این حال، GreyNoise فعلاً می‌گه ارتباط مستقیم بین اسکن‌های فعلی و حمله واقعی روی محصولات Palo Alto هنوز ضعیف‌تر از نمونه Cisco است.

افزایش این نوع فعالیت‌ها نشونه‌ی واضحی از آماده‌سازی موج جدیدی از حملات هدف‌دار در فضای سایبریه.

اگر شما هم از محصولات Palo Alto یا Grafana استفاده می‌کنید، الان دقیقاً زمانیه که باید به‌روزرسانی‌ها، مانیتورینگ و سیاست‌های دسترسی رو جدی‌تر از همیشه بررسی کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

مایکروسافت و یک سری باگ عجیب در Defender و Exchange Online

1️⃣ باگ در Defender for Endpoint برای دستگاه‌های Dell

مایکروسافت متوجه شده که یه باگ منطقی در Defender for Endpoint باعث میشه برخی دستگاه‌های Dell BIOS خودشون رو اشتباه قدیمی نشون بدن و پیام آپدیت دریافت کنند.

✅ این مشکل کاملاً شناخته شده و مایکروسافت در حال آماده‌سازی فیکس برای انتشارش هست.

2️⃣ رفع مشکل صفحه سیاه در macOS

کاربران macOS که بعد از ۲۹ سپتامبر سیستمشون آپدیت شده بود، بعضاً با صفحه سیاه و کرش مواجه شدن. علت؟ یک deadlock در فریم‌ورک امنیتی Apple وقتی چند ارائه‌دهنده امنیتی همزمان به رویدادها گوش می‌کنند.
🛠️ این مشکل هم توسط مایکروسافت برطرف شده است.

3️⃣ رفع false positive در ضد اسپم

اوایل همین ماه، مایکروسافت یه اشتباه در سیستم ضد اسپم رو اصلاح کرد که باعث می‌شد کاربران Teams و Exchange Online نتونن برخی URL‌ها رو باز کنن و بعضی ایمیل‌ها به اشتباه قرنطینه بشوند.

4️⃣ باگ‌های یادگیری ماشین

از ابتدای سال، چند باگ دیگه هم رفع شده که باعث می‌شد:
ایمیل‌های Adobe در Exchange Online به اشتباه اسپم شناخته بشن
برخی ایمیل‌ها قرنطینه بشن
ایمیل‌های Gmail به اشتباه اسپم علامت بخورند


📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

در کنار هم ۱۶ ساله شدیم

۱۶ سال پیش، آرمان داده پویان با یک ایده آغاز شد؛
ایده‌ای که با تلاش، همدلی و باور جمعی به برندی تبدیل شد که امروز به نوآوری، یادگیری و همکاری افتخار می‌کند.

اما این مسیرِ ۱۶ ساله بدون اعتماد مشتریان وفادارمان معنا نداشت.

از همراهی شما که در تمام این سال‌ها به ما باور داشتید و بخشی از داستان آرمان شدید، صمیمانه سپاسگزاریم.

به تیمی که آرمان داده پویان را ساخت، به مشتریانی که با اعتمادشان مسیر را معنا بخشیدند، و به آینده‌ای که با هم خواهیم ساخت، افتخار می‌کنیم 💙

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

از SSL VPN تا IKEv2 — مهاجرتی که اجتناب‌ناپذیر بود
 
در نسخه‌های جدید FortiOS، مهاجرت از SSL VPN به IPsec VPN فقط یک توصیه امنیتی نیست — بلکه یک الزام واقعی برای سازگاری با نسل جدید کلاینت‌هاست.
اگر با FortiGate کار می‌کنید، احتمالاً متوجه شده‌اید که FortiClient 7.4.4 به بعد، دیگر از IKEv1 پشتیبانی نمی‌کند. این یعنی زمان آن رسیده که به‌طور کامل به IKEv2 مهاجرت کنیم.
 
اما چرا این تغییر مهم است؟

پروتکل IKEv2 نه‌تنها فرآیند مذاکره را ساده‌تر و سریع‌تر کرده، بلکه قابلیت حیاتی‌ای را به همراه دارد:
پشتیبانی از IPsec over TCP
 
در عمل یعنی چه؟

یعنی دیگر لازم نیست با اپراتورها و ISPها برای باز کردن پورت‌های UDP (مثل 500 و 4500) نامه‌نگاری کنید.
VPN شما می‌تواند روی پورت TCP 443 کار کند و بدون دردسر از شبکه‌هایی عبور کند که UDP را فیلتر می‌کنند.
 
این تغییر فقط یک “آپدیت تکنیکی” نیست — بلکه گامی بزرگ در جهت پایداری، امنیت و سهولت مدیریت VPNها در محیط‌های سازمانی است.
پس اگر در مرحله طراحی یا مهاجرت هستید، پیشنهاد ما ساده است:
از همان ابتدا، تونل‌های خود را بر پایه IKEv2 بنا کنید.
 
در نهایت، مثل همیشه Fortinet مسیر را روشن کرده — اما انتخاب اجرای درست، با ماست.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔒 هکرها با سوء‌استفاده از آسیب‌پذیری SNMP در Cisco، روت‌کیت‌های لینوکسی را در حملات «Zero Disco» مستقر کردند

🧠 پژوهشگران امنیتی Trend Micro گزارشی منتشر کرده‌اند از حمله‌ای که از آسیب‌پذیری جدید
(CVE-2025-20352 | CVSS 7.7)
در نرم‌افزارهای Cisco IOS / IOS XE سوء‌استفاده می‌کند.

💥 این نقص امنیتی به مهاجمان اجازه می‌دهد با ارسال بسته‌های SNMP ساختگی، کد دلخواه خود را از راه دور اجرا کنند.

🖥 دستگاه‌های آسیب‌پذیر:
🔹 Cisco 9400
🔹 Cisco 9300
🔹 و مدل قدیمی 3750G


🧩 رفتار مهاجمان:

⚙️ نصب روت‌کیت‌هایی که با ایجاد «پسورد سراسری» شامل کلمه‌ی disco و تزریق هوک در حافظه‌ی فرآیند IOSd،

✅ دسترسی مداوم
✅ و اجرای کد از راه دور
را ممکن می‌کنند.

💀 همچنین از IP و MAC جعل‌شده استفاده شده و تلاش‌هایی برای سوء‌استفاده از نسخه‌ی تغییر‌یافته‌ی

آسیب‌پذیری Telnet (CVE-2017-3881) نیز مشاهده شده است.

🚨 چرا خطرناک است؟

🔸 حمله به‌صورت fileless انجام می‌شود و پس از ری‌استارت، بخشی از شواهد ناپدید می‌شود.

🔸 سیستم‌های قدیمی لینوکسی بدون EDR هدف قرار می‌گیرند، پس شناسایی سخت‌تر است.

🔸 محافظت‌هایی مثل ASLR در مدل‌های جدید تا حدی مؤثر است، اما با تکرار حمله ممکن است نفوذ انجام شود.



📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com