انتشار FortiOS 7.2.12

با انتشار نسخه FortiOS 7.2.12 تغییرات مهمی در مسیر پشتیبانی و سیاست‌های ارتقا/بازگشت نسخه (Upgrade/Downgrade) اعمال شده است. این تغییرات مستقیماً بر چرخه عمر نسخه‌ها (Lifecycle)، الزامات لایسنسینگ و همچنین پیکربندی سرویس‌های حیاتی مثل VPN اثر می‌گذارند.

1️⃣پایان پشتیبانی سری 7.0
پشتیبانی از FortiOS 7.0 فقط تا 30 سپتامبر 2025 ادامه خواهد داشت.
بعد از این تاریخ هیچ اصلاحیه امنیتی یا Patch برای آن منتشر نمی‌شود.
اگر هنوز روی 7.0 هستید، باید مهاجرت به نسخه‌های بالاتر را در برنامه عملیاتی قرار دهید.

2️⃣ نسخه‌های پایدار فعلی
در حال حاضر دو نسخه پایدار (Stable) معرفی شده‌اند:
• 7.0.17
• 7.2.12
نسخه 7.2.12 برای محیط‌های عملیاتی (Production) گزینه مناسب‌تری است، چون هم به‌روزتر است و هم امنیت بیشتری دارد.

3️⃣ تغییر در مکانیزم Upgrade/Downgrade از 7.4.2 به بعد
برای ارتقا یا بازگشت نسخه، دستگاه باید دارای لایسنس معتبر و آنلاین باشد.
تجهیزاتی که ثبت نشده‌اند یا دسترسی اینترنتی ندارند، در این بازه دچار محدودیت خواهند شد.

4️⃣ مهاجرت VPN در نسخه 7.6.3
در این نسخه، تنظیمات SSL VPN Tunnel mode پشتیبانی نمی‌شود.

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

انتشار Firmware جدید برای FortiAnalyzer
نسخه‌های جدید سیستم‌عامل FortiAnalyzer به ترتیب زیر منتشر شدند:
7.6.4
7.2.11

🔍 نکات فنی کلیدی:
از Branch 7.6.0 به بعد، ماژول FortiAi به‌صورت Native در FortiAnalyzer فعال شده است. این ماژول با استفاده از مدل‌های AI/ML، قابلیت‌های پیشرفته در Anomaly Detection و Threat Hunting را فراهم می‌کند و به شکل محسوسی سرعت و دقت تحلیل لاگ‌ها را افزایش می‌دهد.

در Upgrade/Downgrade Path برای نسخه‌های 7.2.2 به بالا، الزام به Online Valid License وجود دارد. بدون لایسنس معتبر، امکان Rollback یا Migration بین نسخه‌ها محدود خواهد بود.

در این ریلیز علاوه بر Security Fixes و Patchهای مهم، تغییرات مهمی در Database Engine (Postgres و ClickHouse) اعمال شده که روی فرآیند Log Indexing تأثیرگذار است.

بهبودهایی در زمینه High Availability صورت گرفته تا در صورت عدم پاسخ‌گویی واحد اصلی، فرآیند Failover سریع‌تر و پایدارتر انجام شود.

به‌روزرسانی‌های اخیر، سازگاری FortiAnalyzer با FortiOS 7.6.x و دیگر محصولات Fortinet Security Fabric را تضمین می‌کند.

📌 برای تیم‌های SOC و کارشناسان Incident Response، ارتقا به این نسخه می‌تواند در کاهش MTTD/MTTR (Mean Time to Detect/Respond) نقش مؤثری داشته باشد.

برای خرید محصولات فورتی نت یا دریافت مشاوره رایگان، کافیست با کارشناسان ما تماس بگیرید.

https://www.armandata.ir/product-category/fortianalyzer/

📞 02122910177
📱 09120840788
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 مایکروسافت یک آسیب‌پذیری بحرانی در Entra ID (Azure AD سابق) را برطرف کرد‍!

🆔 CVE-2025-55241
با امتیاز کامل ۱۰ از ۱۰.

🔎 اصل ماجرا:

یک نقص در فرآیند اعتبارسنجی توکن به مهاجم این امکان را می‌داد که با ساخت یک توکن جعلی، خود را به جای هر کاربری — حتی  Global Admin — در هر tenant معرفی کند.

⚡ پیامدها:

این سطح از جعل هویت می‌توانست منجر به دسترسی کامل به
💻 Microsoft 365،
📂 SharePoint،
📧 Exchange و حتی
☁️ Azure subscriptions
شود.

❌ خطر بزرگ‌تر این بود که حمله می‌توانست MFA، Conditional Access و لاگینگ را دور بزند؛ یعنی بدون هیچ رد و نشانی.

📢 مایکروسافت اعلام کرده این مشکل از ۱۷ جولای ۲۰۲۵ پَچ شده و اقدام خاصی از سمت مشتری لازم نیست.

با این حال:

⚠️ اگر اپلیکیشن‌های شما همچنان به Azure AD Graph (graph.windows.net) متکی هستند، در معرض ریسک بوده‌اید.

⏰ این API در پایان آگوست بازنشسته شد و باید سریعاً به Microsoft Graph مهاجرت کنید.

🔐 به دلیل نبود لاگ کافی، توصیه می‌شود تیم‌های SOC بررسی دقیقی انجام دهند:

تغییرات غیرعادی در نقش‌ها، توکن‌های مشکوک یا دسترسی‌های بیش از حد اپلیکیشن‌ها.

🇮🇷 وضعیت برای سازمان‌های ایرانی:

بسیاری از سازمان‌ها به M365 و Entra Connect وصل‌اند و برخی اپ‌های بومی SSO هنوز از Azure AD Graph قدیمی استفاده می‌کنند.

👉 با توجه به بازنشستگی آن API و تاخیرهای اطلاع‌رسانی ناشی از تحریم‌ها، این سازمان‌ها باید سریعاً وابستگی‌ها را شناسایی، به Microsoft Graph مهاجرت و کنترل‌های هویتی‌شان را تقویت کنند.

📌 نکات مهم برای سازمان‌های ایرانی:

1️⃣ تنظیمات اشتباه OAuth

⚠️ اگر اپ یا سیستم ورود یکپارچه (SSO) درست پیکربندی نشده باشه، ممکنه راه نفوذ باز بذاره.
→ 🔍 همهٔ تنظیمات و دسترسی‌های این بخش رو دوباره چک کنید.

2️⃣ مشکل همگام‌سازی OneDrive

💻 اگه لپ‌تاپ یا سیستم کاربر هک بشه، مهاجم می‌تونه به فایل‌های سازمانی روی OneDrive/SharePoint هم دسترسی پیدا کنه.
→ 📂 نظارت روی همگام‌سازی و محدودیت روی داده‌ها ضروریه.

3️⃣ کلیدها توی فایل‌های کانفیگ

🔑 خیلی وقت‌ها رمز و کلیدها داخل فایل‌هایی مثل appsettings.json می‌مونه و لو می‌ره.
→ 🛠 همهٔ کدها و سرورها رو برای secrets بررسی کنید و از ابزار مدیریت کلید استفاده کنید.

4️⃣ اپلیکیشن‌های جعلی OAuth

🎭 مهاجم می‌تونه یه اپ مخرب بسازه و با یک لینک کاربر رو فریب بده تا بهش دسترسی بده.
→ 🚫 اجازهٔ دسترسی (consent) رو فقط برای ادمین فعال کنید و اپ‌های مشکوک رو حذف کنید.

5️⃣ آسیب‌پذیری SSRF

🌐 اگر اپ داخلی مشکل SSRF داشته باشه، می‌شه از اون برای گرفتن توکن‌های ابری استفاده کرد.
→ 🔒 اپ‌ها رو تست کنید و تنظیمات امنیتی سرویس‌های ابری مثل IMDS رو درست کنید.

6️⃣ دستکاری نقش‌ها در AWS

🕵️ مهاجم می‌تونه با تغییر role یا policy توی AWS دسترسی خودش رو نگه داره.
→ 📑 لاگ‌ها رو بررسی کنید و دسترسی‌ها رو فقط به حداقل لازم محدود کنید.

🛡 ما جدیدترین اخبار و هشدارهای امنیتی را به‌موقع در اختیار شما قرار می‌دهیم تا همواره از مهم‌ترین تهدیدها و آسیب‌پذیری‌ها آگاه باشید.
با ما همراه باشید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 هشدار امنیتی مهم درباره آسیب‌پذیری‌های جدید Cisco

مرکزهای امنیتی بین‌المللی اعلام کرده‌اند چندین حفره روزصفر (Zero-day) در محصولات سیسکو شناسایی و هم‌اکنون به‌طور فعال توسط مهاجمان مورد سوءاستفاده قرار گرفته‌اند.

🔍 مهم‌ترین آسیب‌پذیری‌ها:

CVE-2025-20333 → امکان اجرای کد از راه دور با دور زدن مکانیزم‌های احراز هویت در ASA/FTD

CVE-2025-20362 → دسترسی غیرمجاز به بخش‌های حساس بدون نیاز به ورود کاربری

CVE-2025-20363 → اجرای کد بحرانی از راه دور روی سیستم‌های ASA و IOS
CVE-2025-20352 → بروز سرریز بافر در پروتکل SNMP (IOS/IOS XE)

⚠️ بر اساس تحلیل‌ها، مهاجمان با اتکا به این نقص‌ها توانسته‌اند:

اجرای دستورات بدون نیاز به اعتبارسنجی
دستکاری ROMMON برای ماندگاری بعد از ریبوت

خاموش‌کردن لاگ‌ها و رهگیری دستورهای CLI
را عملی کنند.

📢 توصیه فوری به سازمان‌ها:

✅ هرچه سریع‌تر وصله‌های امنیتی جدید مخصوص CVE-2025-20333 و CVE-2025-20362 را روی دستگاه‌های ASA و Firepower نصب کنید.

✅ در صورت شناسایی آلودگی، ارتباط دستگاه‌های مشکوک را قطع کرده و بررسی‌های فارنزیک را آغاز کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

وقتی اطلاعات شما تبدیل به یک سلاح می‌شود...

تصور کنید بخشی از داده‌هایی که به‌ظاهر بی‌اهمیت به‌نظر می‌رسند — مثل نام کاربری تکراری، یک پست ساده در شبکه‌های اجتماعی، یا حتی رکورد دامنه وب‌سایت — دست‌به‌دست جمع‌آوری شود.

نتیجه؟ پروند‌ه‌ای کامل از هویت شما که می‌تواند علیه‌تان استفاده شود.
این همان چیزی است که به آن داکسینگ (Doxing) می‌گویند.

انتشار اطلاعات شخصی در فضای آنلاین، بدون اجازه‌ی شما، با هدف آزار، تخریب اعتبار یا حتی آسیب مالی و اجتماعی.

داکسرها از هر چیزی استفاده می‌کنند:

داده‌های عمومی
سوابق WHOIS
ردگیری IP
حملات فیشینگ

یا حتی داده‌های فروخته‌شده توسط بروکرها
و در نهایت، ممکن است شماره تماس، آدرس، اطلاعات بانکی یا جزئیات حساس دیگری از شما روی میز گذاشته شود.

تاثیرات این کار همیشه جدی است: از سرقت هویت گرفته تا تهدید واقعی در دنیای بیرون. و اگر پای کارکنان دولت یا موقعیت‌های حساس در میان باشد، پیامدهای قانونی هم در انتظار خواهد بود.


فورتی نت، هشدار می‌دهد: وقتی داده‌های شخصی به یک «سلاح» تبدیل می‌شوند، اثرات آن ویرانگر است.


اولین قدم برای مقابله، دانستن نحوه‌ی کار داکسینگ است.

شما فکر می‌کنید سازمان‌ها یا حتی افراد عادی چطور می‌توانند جلوی چنین تهدیدی را بگیرند؟

تجربه یا راهکار خودتان را در کامنت‌ها بنویسید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

افزایش چشم‌گیر اسکن‌های مشکوک علیه محصولات Palo Alto Networks

چند روز گذشته، شرکت امنیتی GreyNoise از افزایش ۵۰۰٪ در فعالیت آی‌پی‌هایی خبر داده که به دنبال پورتال‌های ورود و پروفایل‌های GlobalProtect و PAN-OS شرکت Palo Alto Networks می‌گردند.

📈 در تاریخ ۳ اکتبر، بیش از ۱٬۲۸۵ آی‌پی منحصربه‌فرد در این اسکن‌ها شناسایی شدن؛ در حالی‌که معمولاً این عدد کمتر از ۲۰۰ تاست.

بیشتر این آی‌پی‌ها از آمریکا بودن و گروه‌های کوچک‌تری هم از انگلستان، هلند، کانادا و روسیه مشاهده شدن. جالبه بدونید یکی از این گروه‌ها روی اهداف داخل آمریکا تمرکز داشته و دیگری روی پاکستان — با تفاوت‌هایی در اثرانگشت TLS اما شباهت‌های جزئی در رفتار.

طبق تحلیل GreyNoise:
🔹 ۹۱٪ از این آی‌پی‌ها مشکوک هستن
🔹 و ۷٪ هم به‌صورت قطعی مخرب (malicious) شناسایی شدن.

تقریباً تمام این فعالیت‌ها مستقیماً روی پروفایل‌های شبیه‌سازی‌شده Palo Alto انجام شده؛ یعنی هدف هکرها مشخصه: شناسایی و جمع‌آوری اطلاعات از سیستم‌های واقعی Palo Alto در سطح اینترنت — احتمالاً با استفاده از سرویس‌هایی مثل Shodan و Censys.

چنین الگوهایی معمولاً پیش‌درآمد حمله‌هایی هستن که از باگ‌های zero-day یا n-day استفاده می‌کنن.

نمونه مشابهش چند هفته پیش اتفاق افتاد:
در اون زمان افزایش اسکن‌ها روی Cisco ASA دیده شد، و تنها دو هفته بعد یک آسیب‌پذیری zero-day در همون محصول مورد سوءاستفاده قرار گرفت.

با این حال، GreyNoise فعلاً می‌گه ارتباط مستقیم بین اسکن‌های فعلی و حمله واقعی روی محصولات Palo Alto هنوز ضعیف‌تر از نمونه Cisco است.

افزایش این نوع فعالیت‌ها نشونه‌ی واضحی از آماده‌سازی موج جدیدی از حملات هدف‌دار در فضای سایبریه.

اگر شما هم از محصولات Palo Alto یا Grafana استفاده می‌کنید، الان دقیقاً زمانیه که باید به‌روزرسانی‌ها، مانیتورینگ و سیاست‌های دسترسی رو جدی‌تر از همیشه بررسی کنید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

مایکروسافت و یک سری باگ عجیب در Defender و Exchange Online

1️⃣ باگ در Defender for Endpoint برای دستگاه‌های Dell

مایکروسافت متوجه شده که یه باگ منطقی در Defender for Endpoint باعث میشه برخی دستگاه‌های Dell BIOS خودشون رو اشتباه قدیمی نشون بدن و پیام آپدیت دریافت کنند.

✅ این مشکل کاملاً شناخته شده و مایکروسافت در حال آماده‌سازی فیکس برای انتشارش هست.

2️⃣ رفع مشکل صفحه سیاه در macOS

کاربران macOS که بعد از ۲۹ سپتامبر سیستمشون آپدیت شده بود، بعضاً با صفحه سیاه و کرش مواجه شدن. علت؟ یک deadlock در فریم‌ورک امنیتی Apple وقتی چند ارائه‌دهنده امنیتی همزمان به رویدادها گوش می‌کنند.
🛠️ این مشکل هم توسط مایکروسافت برطرف شده است.

3️⃣ رفع false positive در ضد اسپم

اوایل همین ماه، مایکروسافت یه اشتباه در سیستم ضد اسپم رو اصلاح کرد که باعث می‌شد کاربران Teams و Exchange Online نتونن برخی URL‌ها رو باز کنن و بعضی ایمیل‌ها به اشتباه قرنطینه بشوند.

4️⃣ باگ‌های یادگیری ماشین

از ابتدای سال، چند باگ دیگه هم رفع شده که باعث می‌شد:
ایمیل‌های Adobe در Exchange Online به اشتباه اسپم شناخته بشن
برخی ایمیل‌ها قرنطینه بشن
ایمیل‌های Gmail به اشتباه اسپم علامت بخورند


📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

در کنار هم ۱۶ ساله شدیم

۱۶ سال پیش، آرمان داده پویان با یک ایده آغاز شد؛
ایده‌ای که با تلاش، همدلی و باور جمعی به برندی تبدیل شد که امروز به نوآوری، یادگیری و همکاری افتخار می‌کند.

اما این مسیرِ ۱۶ ساله بدون اعتماد مشتریان وفادارمان معنا نداشت.

از همراهی شما که در تمام این سال‌ها به ما باور داشتید و بخشی از داستان آرمان شدید، صمیمانه سپاسگزاریم.

به تیمی که آرمان داده پویان را ساخت، به مشتریانی که با اعتمادشان مسیر را معنا بخشیدند، و به آینده‌ای که با هم خواهیم ساخت، افتخار می‌کنیم 💙

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

از SSL VPN تا IKEv2 — مهاجرتی که اجتناب‌ناپذیر بود
 
در نسخه‌های جدید FortiOS، مهاجرت از SSL VPN به IPsec VPN فقط یک توصیه امنیتی نیست — بلکه یک الزام واقعی برای سازگاری با نسل جدید کلاینت‌هاست.
اگر با FortiGate کار می‌کنید، احتمالاً متوجه شده‌اید که FortiClient 7.4.4 به بعد، دیگر از IKEv1 پشتیبانی نمی‌کند. این یعنی زمان آن رسیده که به‌طور کامل به IKEv2 مهاجرت کنیم.
 
اما چرا این تغییر مهم است؟

پروتکل IKEv2 نه‌تنها فرآیند مذاکره را ساده‌تر و سریع‌تر کرده، بلکه قابلیت حیاتی‌ای را به همراه دارد:
پشتیبانی از IPsec over TCP
 
در عمل یعنی چه؟

یعنی دیگر لازم نیست با اپراتورها و ISPها برای باز کردن پورت‌های UDP (مثل 500 و 4500) نامه‌نگاری کنید.
VPN شما می‌تواند روی پورت TCP 443 کار کند و بدون دردسر از شبکه‌هایی عبور کند که UDP را فیلتر می‌کنند.
 
این تغییر فقط یک “آپدیت تکنیکی” نیست — بلکه گامی بزرگ در جهت پایداری، امنیت و سهولت مدیریت VPNها در محیط‌های سازمانی است.
پس اگر در مرحله طراحی یا مهاجرت هستید، پیشنهاد ما ساده است:
از همان ابتدا، تونل‌های خود را بر پایه IKEv2 بنا کنید.
 
در نهایت، مثل همیشه Fortinet مسیر را روشن کرده — اما انتخاب اجرای درست، با ماست.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔒 هکرها با سوء‌استفاده از آسیب‌پذیری SNMP در Cisco، روت‌کیت‌های لینوکسی را در حملات «Zero Disco» مستقر کردند

🧠 پژوهشگران امنیتی Trend Micro گزارشی منتشر کرده‌اند از حمله‌ای که از آسیب‌پذیری جدید
(CVE-2025-20352 | CVSS 7.7)
در نرم‌افزارهای Cisco IOS / IOS XE سوء‌استفاده می‌کند.

💥 این نقص امنیتی به مهاجمان اجازه می‌دهد با ارسال بسته‌های SNMP ساختگی، کد دلخواه خود را از راه دور اجرا کنند.

🖥 دستگاه‌های آسیب‌پذیر:
🔹 Cisco 9400
🔹 Cisco 9300
🔹 و مدل قدیمی 3750G


🧩 رفتار مهاجمان:

⚙️ نصب روت‌کیت‌هایی که با ایجاد «پسورد سراسری» شامل کلمه‌ی disco و تزریق هوک در حافظه‌ی فرآیند IOSd،

✅ دسترسی مداوم
✅ و اجرای کد از راه دور
را ممکن می‌کنند.

💀 همچنین از IP و MAC جعل‌شده استفاده شده و تلاش‌هایی برای سوء‌استفاده از نسخه‌ی تغییر‌یافته‌ی

آسیب‌پذیری Telnet (CVE-2017-3881) نیز مشاهده شده است.

🚨 چرا خطرناک است؟

🔸 حمله به‌صورت fileless انجام می‌شود و پس از ری‌استارت، بخشی از شواهد ناپدید می‌شود.

🔸 سیستم‌های قدیمی لینوکسی بدون EDR هدف قرار می‌گیرند، پس شناسایی سخت‌تر است.

🔸 محافظت‌هایی مثل ASLR در مدل‌های جدید تا حدی مؤثر است، اما با تکرار حمله ممکن است نفوذ انجام شود.



📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

به روزرسانی‌های اکتبر مایکروسافت: رفع ۱۷۲ آسیب‌پذیری از جمله ۶ Zero-Day

مایکروسافت به‌روزرسانی امنیتی اکتبر ۲۰۲۵ را منتشر کرد که شامل ۱۷۲ آسیب‌پذیری از جمله ۶ صفر روزه (Zero-Day) است.

📌 نکات کلیدی این Patch Tuesday:

۸ آسیب‌پذیری بحرانی: ۵ اجرای کد از راه دور، ۳ افزایش امتیازات.
دسته‌بندی آسیب‌پذیری‌ها:
۸۰ افزایش امتیاز (Elevation of Privilege)
۳۱ اجرای کد از راه دور (RCE)
۲۸ افشای اطلاعات
۱۱ عدم دسترسی (DoS)
ویندوز ۱۰ امروز به پایان پشتیبانی رسمی رسید. کاربران برای ادامه دریافت به‌روزرسانی‌ها باید Extended Security Updates تهیه کنند.

⚠️ آسیب‌پذیری‌های روز-صفر اصلاح‌شده:

Windows Agere Modem Driver – Elevation of Privilege
Windows Remote Access Connection Manager – Elevation of Privilege
Secure Boot Bypass در IGEL OS قبل از نسخه ۱۱
و چند مورد دیگر از جمله AMD SEV-SNP و TCG TPM2.0


🔗 توصیه می‌شود تمام سازمان‌ها و کاربران سریعاً به‌روزرسانی‌های امروز را اعمال کنند تا از آسیب‌پذیری‌های بحرانی و zero-day محافظت شوند.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

مایکروسافت ASP.NET Core را برای بحرانی‌ترین آسیب‌پذیری تاریخ خود به‌روزرسانی کرد

هفته جاری، مایکروسافت یک آسیب‌پذیری با بالاترین سطح شدت ثبت‌شده در ASP.NET Core را برطرف کرد:

آسیب‌پذیری CVE-2025-55315 – یک HTTP Request Smuggling در سرور وب Kestrel، که به مهاجمان تأیید‌شده اجازه می‌دهد درخواست‌های HTTP دیگری را مخفی کنند و اعتبارنامه کاربران دیگر را ربوده یا کنترل امنیتی لایه جلویی را دور بزنند.

⚠️ پیامدهای احتمالی Exploit:

مشاهده اطلاعات حساس کاربران دیگر (Confidentiality)
تغییر محتوای فایل‌ها در سرور هدف (Integrity)
ایجاد کرش در سرور (Availability)

💡 راهکارهای مایکروسافت:

برای .NET 8 و بالاتر: نصب به‌روزرسانی از Microsoft Update و ری‌استارت برنامه یا سیستم

برای .NET 2.3: بروزرسانی Microsoft.AspNet.Server.Kestrel.Core به نسخه ۲.۳.۶، بازکامپایل و redeploy
برای برنامه‌های self-contained یا single-file: نصب آپدیت، بازکامپایل و redeploy

مایکروسافت همچنین به توسعه‌دهندگان هشدار داده که اثرات Exploit به کد برنامه بستگی دارد و بسته به نحوه پیاده‌سازی، مهاجمان می‌توانند به escalations، bypass کنترل‌ها و حملات تزریق دست یابند.

💻 این به‌روزرسانی بخشی از Patch Tuesday اکتبر ۲۰۲۵ است که شامل ۱۷۲ آسیب‌پذیری از جمله ۶ صفر روزه و ۸ آسیب‌پذیری بحرانی می‌شود و همچنین آخرین به‌روزرسانی امنیتی ویندوز ۱۰ را ارائه می‌دهد.

📌 توصیه می‌شود توسعه‌دهندگان و سازمان‌ها هر چه سریع‌تر به‌روزرسانی‌های ASP.NET Core و ویندوز خود را اعمال کنند.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

تجربه‌ی نسل جدید تین‌کلاینت‌ها با Kaspersky Thin Client، سیستم‌عاملی سایبری-ایمن بر پایه Kaspersky OS، که دسترسی سریع و مطمئن به دسکتاپ‌های فیزیکی و مجازی را ممکن می‌سازد.

با Kaspersky Thin Client، کاربران می‌توانند:

به دسکتاپ‌های ویندوز یا لینوکس از طریق RDP با نام کاربری و رمز عبور متصل شوند.

به سرورهای ترمینال ویندوزی متصل شوند.
به دسکتاپ‌های مجازی مستقر در زیرساخت Basis.WorkPlace دسترسی پیدا کنند.

تصویر دسکتاپ از راه دور را روی مانیتور خود دریافت کنند.

رویدادهای کیبورد و ماوس، و دستگاه‌های USB مانند فلش‌درایو، کارت هوشمند و توکن را به دسکتاپ مجازی منتقل کنند.

تمام این امکانات در کنار کنترل مرکزی و مانیتورینگ از طریق Kaspersky Security Center Web Console، مدیریت امن و ساده تین‌کلاینت‌ها را برای سازمان‌ها فراهم می‌کند.

✅ مناسب سازمان‌هایی با شبکه‌های گسترده یا کلاس‌های آموزشی
✅ پایداری و عملکرد بالا برای انجام وظایف حیاتی کسب‌وکار
✅ بهینه‌سازی هزینه‌ها و امنیت کامل داده‌ها

با Kaspersky Thin Client، ایمنی سایبری و دسترسی امن به دسکتاپ‌های مجازی دیگر یک رویا نیست.

آرمان داده پویان نماینده پلاتینیوم کسپرسکی در ایران.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار: موج حمله به سایت‌های وردپرسی با پلاگین‌های قدیمی

🔵 اخیرا یک کمپین گسترده حمله بر ضد وردپرس گزارش شده است. این کمپین از ضعف امنیتی در نسخه‌های قدیمی دو پلاگین استفاده می‌کند: GutenKit و Hunk Companion.

🔵 این پلاگین‌ها دارای باگ‌های حیاتی در نقاط پایانی REST بودند که به مهاجم اجازه می‌داد بدون هیچ احراز هویتی، افزونه‌ای مخرب نصب و فعال کند — و از آنجا تا اجرای کد دلخواه (RCE) و کنترل سایت، فاصله‌ای نیست.

• اگر از GutenKit نسخه ≤ 2.1.0 یا Hunk Companion نسخه ≤ 1.8.5 استفاده می‌کنید، همین الان آپدیت کنید (نسخه‌های امن منتشر شده‌اند). NVD+1

• به دنبال نشانه‌های نفوذ بگردید:

درخواست‌های
/wp-json/gutenkit/v1/install-active-plugin یا /wp-json/hc/v1/themehunk-import
و همچنین فولدرهای مشکوک مثل
/up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.
اگر مورد مشکوکی مشاهده کردید، سریع بررسی و بازگردانی کنید.


• پلاگین‌ها و هسته وردپرس را همیشه به‌روز نگه دارید، افزونه‌هایی را که دیگر به‌کار نمی‌آیند حذف کنید و دسترسی‌های ادمین را محدود کنید.

استفاده از WAF/IPS و بررسی لاگ‌ها هم به کاهش آسیب کمک می‌کند.

🔵 اگر سایت‌تان با وردپرس میزبانی می‌شود و از پلاگین‌های آسیب پذیر استفاده می‌کنید، همین امروز نسخه پلاگین‌ها را چک کنید و به‌روزرسانی‌ها را انجام دهید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔹 اهمیت فعال‌سازی SD-WAN در FortiGate حتی در سناریوهای تک‌لینک اینترنت

اگر از تجهیزات FortiGate در شبکه‌تون استفاده می‌کنین، یکی از مهم‌ترین اقداماتی که معمولاً نادیده گرفته میشه، فعال‌سازی و کانفیگ SD-WAN هست — حتی اگر فقط یک خط اینترنت دارید.

شاید در نگاه اول، SD-WAN برای محیط‌هایی با چند ISP معنی‌دار به نظر برسه، اما واقعیت اینه که در معماری FortiOS، فعال‌سازی SD-WAN مزایای مهمی داره که مستقیماً روی پایداری، Performance و Visibility شبکه تأثیر می‌ذاره.

⚙️ دلایل فنی برای فعال‌سازی SD-WAN حتی با یک WAN link:

1️⃣ بهبود کیفیت مانیتورینگ و SLA Metrics
قابلیت SD-WAN در FortiGate با مکانیزم‌هایی مثل ping، http و dns probe وضعیت لینک اینترنت رو به‌صورت دقیق پایش می‌کنه.

در Dashboard، شاخص‌های دقیقی از latency، jitter، packet loss نمایش داده میشه — اطلاعاتی که بدون SD-WAN در دسترس نیست.

2️⃣ قابلیت افزونگی (Redundancy) آماده به کار

حتی اگر فعلاً یک خط اینترنت دارید، SD-WAN اجازه میده ساختار لینک‌ها رو طوری تعریف کنید که در آینده، اضافه کردن ISP دوم یا لینک بکاپ بدون هیچ تغییر اساسی در Policyها انجام بشه.

🔁 یعنی Zero Reconfiguration Downtime.

3️⃣ مدیریت مسیریابی هوشمند (Intelligent Routing)

در حالت SD-WAN، فورتی‌گیت از Virtual WAN Interface استفاده می‌کنه تا مسیرها رو بر اساس Performance و SLA به‌صورت داینامیک تغییر بده.

در نتیجه اگر کیفیت لینک افت کنه، فورتی‌گیت به‌صورت خودکار مسیر جایگزین رو انتخاب می‌کنه.

4️⃣ جلوگیری از دوباره‌کاری در طراحی آینده

در صورت غیرفعال بودن SD-WAN، افزودن لینک جدید در آینده نیاز به بازنویسی Policy، Route و Interface Bindingها داره.

اما با SD-WAN فعال، فقط با چند کلیک لینک جدید رو به Virtual WAN اضافه می‌کنید — بدون هیچ تغییر در ساختار امنیتی.

🧩 جمع‌بندی:

قابلیت SD-WAN در FortiGate فقط برای محیط‌های چند‌لینک نیست؛
بلکه یک لایه هوشمند از مدیریت، مانیتورینگ و بهینه‌سازی ترافیکه که حتی در سناریوهای ساده هم ارزش فعال‌سازی داره.

پس حتی با یک اینترنت هم، حتماً SD-WAN رو کانفیگ کنید —
چون در آینده تفاوتش رو در پایداری، گزارش‌گیری و مدیریت شبکه حس خواهید کرد. ✅

👨‍💻 آرمان داده پویان
ارائه‌دهنده محصولات Fortinet در ایران همراه با پشتیبانی فنی

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 سوء‌استفاده فعال از آسیب‌پذیری بحرانی در WSUS مایکروسافت

مایکروسافت تأیید کرده که مهاجمان در حال حاضر از یک آسیب‌پذیری بسیار خطرناک در سرویس Windows Server Update Services (WSUS) سوء‌استفاده می‌کنند.

این آسیب‌پذیری با شناسه CVE-2025-59287 شناخته می‌شود و به مهاجم اجازه می‌دهد کد مخرب را با دسترسی سطح SYSTEM روی سرور اجرا کند — بدون نیاز به تعامل کاربر یا دسترسی خاص.

این نقص تنها در سرورهایی وجود دارد که نقش WSUS را برای توزیع به‌روزرسانی بین چند سرور دیگر در سازمان فعال کرده‌اند (قابلیتی که به‌صورت پیش‌فرض غیرفعال است). با توجه به ماهیت آن، این آسیب‌پذیری می‌تواند بین سرورهای WSUS به‌صورت کرم‌گونه (wormable) نیز گسترش پیدا کند.

مایکروسافت روز پنج‌شنبه به‌روزرسانی‌های اضطراری را برای تمامی نسخه‌های Windows Server منتشر کرده است:

Windows Server 2025 (KB5070881)
Windows Server 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)

برای مدیرانی که فعلاً امکان نصب این وصله‌ها را ندارند، مایکروسافت پیشنهاد داده نقش WSUS Server روی سیستم‌های آسیب‌پذیر به‌طور موقت غیرفعال شود تا مسیر حمله بسته شود.

هم‌زمان، شرکت امنیتی HawkTrace Security نیز کد اثبات مفهوم (PoC) این آسیب‌پذیری را منتشر کرده است که اگرچه اجرای کامل دستورات را ممکن نمی‌کند، اما نشان‌دهنده‌ی خطر بالای بهره‌برداری از آن است.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

قابلیت جدید ویندوز برای اسکن سریع حافظه پس از کرش BSOD

مایکروسافت در ادامه‌ی تلاش‌های خود برای افزایش پایداری Windows 11، قابلیت جدیدی را معرفی کرده که پس از بروز خطای معروف Blue Screen of Death (BSOD) به کاربران پیشنهاد می‌دهد یک اسکن سریع حافظه (Quick Memory Scan) انجام دهند.

🔹 این ویژگی جدید به‌صورت خودکار پس از ورود به سیستم و شناسایی خطای کرنل یا درایور (Bugcheck) ظاهر می‌شود و به کاربر پیشنهاد می‌کند ابزار Windows Memory Diagnostic را در راه‌اندازی بعدی اجرا کند.

🔹 هدف این ابزار، شناسایی و رفع مشکلات احتمالی در حافظه RAM است که یکی از دلایل اصلی کرش‌ها و ری‌استارت‌های ناگهانی سیستم محسوب می‌شود.

🔹 زمان اجرای این اسکن معمولاً کمتر از ۵ دقیقه است و پس از پایان، در صورت شناسایی مشکل، کاربر با پیام رفع خطا روبه‌رو می‌شود.

🧩 این قابلیت برای اولین بار در نسخه‌های Windows Insider Preview Build 26220.6982 (Dev Channel) و 26120.6982 (Beta Channel) با آپدیت KB5067109 عرضه شده است.

البته فعلاً روی دستگاه‌های Arm64، سیستم‌هایی که Administrator Protection فعال دارند یا BitLocker بدون Secure Boot استفاده می‌کنند، در دسترس نیست.

🔍 مایکروسافت اعلام کرده در نسخه‌های بعدی، این ویژگی فقط برای خطاهای خاص فعال می‌شود تا دقت تشخیص افزایش یابد و کاربران بیش از حد با اعلان‌ها مواجه نشوند.

💡 با توجه به افزایش پیچیدگی سخت‌افزارها و ادغام قابلیت‌های هوش مصنوعی (AI) در ویندوز 11، این قابلیت جدید می‌تواند به کاهش توقف‌های ناگهانی، جلوگیری از از دست رفتن داده‌ها و بهبود پایداری سیستم‌های کاری کمک چشمگیری کند.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری‌های جدید در Apache Tomcat — خطر اجرای کد از راه دور (RCE)

بنیاد Apache Software Foundation اخیراً دو آسیب‌پذیری حیاتی را در Apache Tomcat، یکی از پرکاربردترین سرویس‌های جاوایی (Java Servlet Container) برای میزبانی وب‌اپلیکیشن‌ها، افشا کرده است.

🔍 این دو آسیب‌پذیری با شناسه‌های
CVE-2025-55752 و CVE-2025-55754
در تاریخ ۲۷ اکتبر ۲۰۲۵ منتشر شده‌اند و نسخه‌های متعددی از Tomcat را تحت تأثیر قرار می‌دهند.

🧩 جزئیات فنی:

1️⃣ CVE-2025-55752 — Directory Traversal
و امکان RCE
این باگ از نوع directory traversal است که در نتیجه‌ی یک regression در اصلاح قبلی (bug 60013) به‌وجود آمده.

در این حالت، URLها قبل از decode شدن نرمال‌سازی می‌شوند و مهاجم می‌تواند مسیرهای حساس مانند /WEB-INF/ و /META-INF/ را دور بزند.

در صورتی که درخواست PUT در تنظیمات فعال باشد، احتمال آپلود فایل مخرب و اجرای کد از راه دور وجود دارد.

📌 سطح خطر: Important

2️⃣ CVE-2025-55754 — تزریق Escape Sequence در لاگ‌ها

در این نقص، عدم فیلتر درست کاراکترهای ANSI در لاگ‌های Tomcat می‌تواند باعث دستکاری کنسول یا clipboard در سیستم‌های ویندوز شود.

هرچند این آسیب‌پذیری به‌تنهایی خطر بالایی ندارد، اما در ترکیب با آسیب‌پذیری‌های دیگر، می‌تواند تهدید جدی‌تری ایجاد کند.

📌 سطح خطر: Low

🛡️ نسخه‌های آسیب‌پذیر:
Tomcat 11.0.0-M1 تا 11.0.10
Tomcat 10.1.0-M1 تا 10.1.44
Tomcat 9.0.0-M11 تا 9.0.108
و برخی نسخه‌های EOL (مثل 8.5.60 تا 8.5.100)

✅ توصیه امنیتی:
Apache از مدیران سیستم‌ها خواسته است فوراً به نسخه‌های زیر به‌روزرسانی کنند:
Tomcat 11.0.11
Tomcat 10.1.45
Tomcat 9.0.109

همچنین، بررسی پیکربندی‌ها (به‌ویژه فعال بودن PUT و rewrite rules) برای جلوگیری از زنجیره‌های RCE اکیداً توصیه می‌شود.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری‌های حیاتی در Dell Storage Manager — خطر نفوذ کامل به سیستم‌های ذخیره‌سازی

شرکت Dell Technologies از شناسایی سه آسیب‌پذیری بحرانی در Dell Storage Manager خبر داده که می‌توانند به مهاجمان راه دور و بدون احراز هویت اجازه دهند کنترل کامل زیرساخت‌های ذخیره‌سازی را به‌دست گیرند.

این آسیب‌پذیری‌ها که در تاریخ ۲۴ اکتبر ۲۰۲۵ افشا شدند، نسخه‌های پیش از 2020 R1.21 را تحت تأثیر قرار می‌دهند و تهدیدی جدی برای سازمان‌هایی هستند که از زیرساخت Dell Storage Center استفاده می‌کنند.

🧩 جزئیات فنی:

1️⃣ CVE-2025-43995 — Authentication Bypass و دسترسی کامل سیستم (CVSS 9.8)
در این آسیب‌پذیری، نقص در سازوکار احراز هویت مؤلفه‌ی DataCollectorEar.ear باعث می‌شود مهاجم بتواند از طریق APIهای درون ApiProxy.war با استفاده از مقادیر ساختگی SessionKey و UserId وارد سیستم شود.
در نتیجه، دسترسی کامل به توابع مدیریتی، داده‌ها و پیکربندی‌های حیاتی سیستم فراهم می‌شود.
📌 سطح خطر: Critical


2️⃣ CVE-2025-43994 — Missing Authentication (CVSS 8.6)
این نقص نیز در نسخه‌ی 20.1.21 وجود دارد و باعث می‌شود مهاجم بدون اعتبارسنجی بتواند به اطلاعات حساس از جمله جزئیات تنظیمات ذخیره‌سازی، حساب‌های کاربری و توپولوژی سیستم دسترسی پیدا کند.
📌 سطح خطر: Critical
📌 کشف‌شده توسط: Tenable Research

3️⃣ CVE-2025-46425 — XML External Entity (XXE) (CVSS 6.5)
این آسیب‌پذیری در نسخه‌ی 20.1.20 مشاهده شده و در صورت بهره‌برداری، می‌تواند منجر به دسترسی غیرمجاز به فایل‌های داخلی یا حرکت جانبی (Lateral Movement) در شبکه شود.
📌 کشف‌شده توسط: Ahmed Y. Elmogy

⚠️ سطح تهدید:
ترکیب این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد ابتدا احراز هویت را دور بزند و سپس با سوءاستفاده از XXE به داده‌های حساس و کنترل کامل سیستم دست یابد — بدون نیاز به تعامل کاربر.

🛡️ راهکار و وصله امنیتی:
Dell به همه مشتریان خود توصیه کرده فوراً به نسخه‌ی 2020 R1.22 یا جدیدتر ارتقا دهند.

این به‌روزرسانی هر سه آسیب‌پذیری را برطرف می‌کند و باید در اولویت فوری تیم‌های امنیتی و IT قرار گیرد.

💡 با توجه به اینکه این نقص‌ها از طریق شبکه و بدون احراز هویت قابل بهره‌برداری هستند، احتمال حملات هدفمند به زیرساخت‌های ذخیره‌سازی سازمانی بسیار بالاست.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com