🔒 هکرها با سوء‌استفاده از آسیب‌پذیری SNMP در Cisco، روت‌کیت‌های لینوکسی را در حملات «Zero Disco» مستقر کردند

🧠 پژوهشگران امنیتی Trend Micro گزارشی منتشر کرده‌اند از حمله‌ای که از آسیب‌پذیری جدید
(CVE-2025-20352 | CVSS 7.7)
در نرم‌افزارهای Cisco IOS / IOS XE سوء‌استفاده می‌کند.

💥 این نقص امنیتی به مهاجمان اجازه می‌دهد با ارسال بسته‌های SNMP ساختگی، کد دلخواه خود را از راه دور اجرا کنند.

🖥 دستگاه‌های آسیب‌پذیر:
🔹 Cisco 9400
🔹 Cisco 9300
🔹 و مدل قدیمی 3750G


🧩 رفتار مهاجمان:

⚙️ نصب روت‌کیت‌هایی که با ایجاد «پسورد سراسری» شامل کلمه‌ی disco و تزریق هوک در حافظه‌ی فرآیند IOSd،

✅ دسترسی مداوم
✅ و اجرای کد از راه دور
را ممکن می‌کنند.

💀 همچنین از IP و MAC جعل‌شده استفاده شده و تلاش‌هایی برای سوء‌استفاده از نسخه‌ی تغییر‌یافته‌ی

آسیب‌پذیری Telnet (CVE-2017-3881) نیز مشاهده شده است.

🚨 چرا خطرناک است؟

🔸 حمله به‌صورت fileless انجام می‌شود و پس از ری‌استارت، بخشی از شواهد ناپدید می‌شود.

🔸 سیستم‌های قدیمی لینوکسی بدون EDR هدف قرار می‌گیرند، پس شناسایی سخت‌تر است.

🔸 محافظت‌هایی مثل ASLR در مدل‌های جدید تا حدی مؤثر است، اما با تکرار حمله ممکن است نفوذ انجام شود.



📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

به روزرسانی‌های اکتبر مایکروسافت: رفع ۱۷۲ آسیب‌پذیری از جمله ۶ Zero-Day

مایکروسافت به‌روزرسانی امنیتی اکتبر ۲۰۲۵ را منتشر کرد که شامل ۱۷۲ آسیب‌پذیری از جمله ۶ صفر روزه (Zero-Day) است.

📌 نکات کلیدی این Patch Tuesday:

۸ آسیب‌پذیری بحرانی: ۵ اجرای کد از راه دور، ۳ افزایش امتیازات.
دسته‌بندی آسیب‌پذیری‌ها:
۸۰ افزایش امتیاز (Elevation of Privilege)
۳۱ اجرای کد از راه دور (RCE)
۲۸ افشای اطلاعات
۱۱ عدم دسترسی (DoS)
ویندوز ۱۰ امروز به پایان پشتیبانی رسمی رسید. کاربران برای ادامه دریافت به‌روزرسانی‌ها باید Extended Security Updates تهیه کنند.

⚠️ آسیب‌پذیری‌های روز-صفر اصلاح‌شده:

Windows Agere Modem Driver – Elevation of Privilege
Windows Remote Access Connection Manager – Elevation of Privilege
Secure Boot Bypass در IGEL OS قبل از نسخه ۱۱
و چند مورد دیگر از جمله AMD SEV-SNP و TCG TPM2.0


🔗 توصیه می‌شود تمام سازمان‌ها و کاربران سریعاً به‌روزرسانی‌های امروز را اعمال کنند تا از آسیب‌پذیری‌های بحرانی و zero-day محافظت شوند.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

مایکروسافت ASP.NET Core را برای بحرانی‌ترین آسیب‌پذیری تاریخ خود به‌روزرسانی کرد

هفته جاری، مایکروسافت یک آسیب‌پذیری با بالاترین سطح شدت ثبت‌شده در ASP.NET Core را برطرف کرد:

آسیب‌پذیری CVE-2025-55315 – یک HTTP Request Smuggling در سرور وب Kestrel، که به مهاجمان تأیید‌شده اجازه می‌دهد درخواست‌های HTTP دیگری را مخفی کنند و اعتبارنامه کاربران دیگر را ربوده یا کنترل امنیتی لایه جلویی را دور بزنند.

⚠️ پیامدهای احتمالی Exploit:

مشاهده اطلاعات حساس کاربران دیگر (Confidentiality)
تغییر محتوای فایل‌ها در سرور هدف (Integrity)
ایجاد کرش در سرور (Availability)

💡 راهکارهای مایکروسافت:

برای .NET 8 و بالاتر: نصب به‌روزرسانی از Microsoft Update و ری‌استارت برنامه یا سیستم

برای .NET 2.3: بروزرسانی Microsoft.AspNet.Server.Kestrel.Core به نسخه ۲.۳.۶، بازکامپایل و redeploy
برای برنامه‌های self-contained یا single-file: نصب آپدیت، بازکامپایل و redeploy

مایکروسافت همچنین به توسعه‌دهندگان هشدار داده که اثرات Exploit به کد برنامه بستگی دارد و بسته به نحوه پیاده‌سازی، مهاجمان می‌توانند به escalations، bypass کنترل‌ها و حملات تزریق دست یابند.

💻 این به‌روزرسانی بخشی از Patch Tuesday اکتبر ۲۰۲۵ است که شامل ۱۷۲ آسیب‌پذیری از جمله ۶ صفر روزه و ۸ آسیب‌پذیری بحرانی می‌شود و همچنین آخرین به‌روزرسانی امنیتی ویندوز ۱۰ را ارائه می‌دهد.

📌 توصیه می‌شود توسعه‌دهندگان و سازمان‌ها هر چه سریع‌تر به‌روزرسانی‌های ASP.NET Core و ویندوز خود را اعمال کنند.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

تجربه‌ی نسل جدید تین‌کلاینت‌ها با Kaspersky Thin Client، سیستم‌عاملی سایبری-ایمن بر پایه Kaspersky OS، که دسترسی سریع و مطمئن به دسکتاپ‌های فیزیکی و مجازی را ممکن می‌سازد.

با Kaspersky Thin Client، کاربران می‌توانند:

به دسکتاپ‌های ویندوز یا لینوکس از طریق RDP با نام کاربری و رمز عبور متصل شوند.

به سرورهای ترمینال ویندوزی متصل شوند.
به دسکتاپ‌های مجازی مستقر در زیرساخت Basis.WorkPlace دسترسی پیدا کنند.

تصویر دسکتاپ از راه دور را روی مانیتور خود دریافت کنند.

رویدادهای کیبورد و ماوس، و دستگاه‌های USB مانند فلش‌درایو، کارت هوشمند و توکن را به دسکتاپ مجازی منتقل کنند.

تمام این امکانات در کنار کنترل مرکزی و مانیتورینگ از طریق Kaspersky Security Center Web Console، مدیریت امن و ساده تین‌کلاینت‌ها را برای سازمان‌ها فراهم می‌کند.

✅ مناسب سازمان‌هایی با شبکه‌های گسترده یا کلاس‌های آموزشی
✅ پایداری و عملکرد بالا برای انجام وظایف حیاتی کسب‌وکار
✅ بهینه‌سازی هزینه‌ها و امنیت کامل داده‌ها

با Kaspersky Thin Client، ایمنی سایبری و دسترسی امن به دسکتاپ‌های مجازی دیگر یک رویا نیست.

آرمان داده پویان نماینده پلاتینیوم کسپرسکی در ایران.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار: موج حمله به سایت‌های وردپرسی با پلاگین‌های قدیمی

🔵 اخیرا یک کمپین گسترده حمله بر ضد وردپرس گزارش شده است. این کمپین از ضعف امنیتی در نسخه‌های قدیمی دو پلاگین استفاده می‌کند: GutenKit و Hunk Companion.

🔵 این پلاگین‌ها دارای باگ‌های حیاتی در نقاط پایانی REST بودند که به مهاجم اجازه می‌داد بدون هیچ احراز هویتی، افزونه‌ای مخرب نصب و فعال کند — و از آنجا تا اجرای کد دلخواه (RCE) و کنترل سایت، فاصله‌ای نیست.

• اگر از GutenKit نسخه ≤ 2.1.0 یا Hunk Companion نسخه ≤ 1.8.5 استفاده می‌کنید، همین الان آپدیت کنید (نسخه‌های امن منتشر شده‌اند). NVD+1

• به دنبال نشانه‌های نفوذ بگردید:

درخواست‌های
/wp-json/gutenkit/v1/install-active-plugin یا /wp-json/hc/v1/themehunk-import
و همچنین فولدرهای مشکوک مثل
/up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.
اگر مورد مشکوکی مشاهده کردید، سریع بررسی و بازگردانی کنید.


• پلاگین‌ها و هسته وردپرس را همیشه به‌روز نگه دارید، افزونه‌هایی را که دیگر به‌کار نمی‌آیند حذف کنید و دسترسی‌های ادمین را محدود کنید.

استفاده از WAF/IPS و بررسی لاگ‌ها هم به کاهش آسیب کمک می‌کند.

🔵 اگر سایت‌تان با وردپرس میزبانی می‌شود و از پلاگین‌های آسیب پذیر استفاده می‌کنید، همین امروز نسخه پلاگین‌ها را چک کنید و به‌روزرسانی‌ها را انجام دهید.

📞 02122910177
📱 https://t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔹 اهمیت فعال‌سازی SD-WAN در FortiGate حتی در سناریوهای تک‌لینک اینترنت

اگر از تجهیزات FortiGate در شبکه‌تون استفاده می‌کنین، یکی از مهم‌ترین اقداماتی که معمولاً نادیده گرفته میشه، فعال‌سازی و کانفیگ SD-WAN هست — حتی اگر فقط یک خط اینترنت دارید.

شاید در نگاه اول، SD-WAN برای محیط‌هایی با چند ISP معنی‌دار به نظر برسه، اما واقعیت اینه که در معماری FortiOS، فعال‌سازی SD-WAN مزایای مهمی داره که مستقیماً روی پایداری، Performance و Visibility شبکه تأثیر می‌ذاره.

⚙️ دلایل فنی برای فعال‌سازی SD-WAN حتی با یک WAN link:

1️⃣ بهبود کیفیت مانیتورینگ و SLA Metrics
قابلیت SD-WAN در FortiGate با مکانیزم‌هایی مثل ping، http و dns probe وضعیت لینک اینترنت رو به‌صورت دقیق پایش می‌کنه.

در Dashboard، شاخص‌های دقیقی از latency، jitter، packet loss نمایش داده میشه — اطلاعاتی که بدون SD-WAN در دسترس نیست.

2️⃣ قابلیت افزونگی (Redundancy) آماده به کار

حتی اگر فعلاً یک خط اینترنت دارید، SD-WAN اجازه میده ساختار لینک‌ها رو طوری تعریف کنید که در آینده، اضافه کردن ISP دوم یا لینک بکاپ بدون هیچ تغییر اساسی در Policyها انجام بشه.

🔁 یعنی Zero Reconfiguration Downtime.

3️⃣ مدیریت مسیریابی هوشمند (Intelligent Routing)

در حالت SD-WAN، فورتی‌گیت از Virtual WAN Interface استفاده می‌کنه تا مسیرها رو بر اساس Performance و SLA به‌صورت داینامیک تغییر بده.

در نتیجه اگر کیفیت لینک افت کنه، فورتی‌گیت به‌صورت خودکار مسیر جایگزین رو انتخاب می‌کنه.

4️⃣ جلوگیری از دوباره‌کاری در طراحی آینده

در صورت غیرفعال بودن SD-WAN، افزودن لینک جدید در آینده نیاز به بازنویسی Policy، Route و Interface Bindingها داره.

اما با SD-WAN فعال، فقط با چند کلیک لینک جدید رو به Virtual WAN اضافه می‌کنید — بدون هیچ تغییر در ساختار امنیتی.

🧩 جمع‌بندی:

قابلیت SD-WAN در FortiGate فقط برای محیط‌های چند‌لینک نیست؛
بلکه یک لایه هوشمند از مدیریت، مانیتورینگ و بهینه‌سازی ترافیکه که حتی در سناریوهای ساده هم ارزش فعال‌سازی داره.

پس حتی با یک اینترنت هم، حتماً SD-WAN رو کانفیگ کنید —
چون در آینده تفاوتش رو در پایداری، گزارش‌گیری و مدیریت شبکه حس خواهید کرد. ✅

👨‍💻 آرمان داده پویان
ارائه‌دهنده محصولات Fortinet در ایران همراه با پشتیبانی فنی

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔴 سوء‌استفاده فعال از آسیب‌پذیری بحرانی در WSUS مایکروسافت

مایکروسافت تأیید کرده که مهاجمان در حال حاضر از یک آسیب‌پذیری بسیار خطرناک در سرویس Windows Server Update Services (WSUS) سوء‌استفاده می‌کنند.

این آسیب‌پذیری با شناسه CVE-2025-59287 شناخته می‌شود و به مهاجم اجازه می‌دهد کد مخرب را با دسترسی سطح SYSTEM روی سرور اجرا کند — بدون نیاز به تعامل کاربر یا دسترسی خاص.

این نقص تنها در سرورهایی وجود دارد که نقش WSUS را برای توزیع به‌روزرسانی بین چند سرور دیگر در سازمان فعال کرده‌اند (قابلیتی که به‌صورت پیش‌فرض غیرفعال است). با توجه به ماهیت آن، این آسیب‌پذیری می‌تواند بین سرورهای WSUS به‌صورت کرم‌گونه (wormable) نیز گسترش پیدا کند.

مایکروسافت روز پنج‌شنبه به‌روزرسانی‌های اضطراری را برای تمامی نسخه‌های Windows Server منتشر کرده است:

Windows Server 2025 (KB5070881)
Windows Server 23H2 (KB5070879)
Windows Server 2022 (KB5070884)
Windows Server 2019 (KB5070883)
Windows Server 2016 (KB5070882)
Windows Server 2012 R2 (KB5070886)
Windows Server 2012 (KB5070887)

برای مدیرانی که فعلاً امکان نصب این وصله‌ها را ندارند، مایکروسافت پیشنهاد داده نقش WSUS Server روی سیستم‌های آسیب‌پذیر به‌طور موقت غیرفعال شود تا مسیر حمله بسته شود.

هم‌زمان، شرکت امنیتی HawkTrace Security نیز کد اثبات مفهوم (PoC) این آسیب‌پذیری را منتشر کرده است که اگرچه اجرای کامل دستورات را ممکن نمی‌کند، اما نشان‌دهنده‌ی خطر بالای بهره‌برداری از آن است.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

قابلیت جدید ویندوز برای اسکن سریع حافظه پس از کرش BSOD

مایکروسافت در ادامه‌ی تلاش‌های خود برای افزایش پایداری Windows 11، قابلیت جدیدی را معرفی کرده که پس از بروز خطای معروف Blue Screen of Death (BSOD) به کاربران پیشنهاد می‌دهد یک اسکن سریع حافظه (Quick Memory Scan) انجام دهند.

🔹 این ویژگی جدید به‌صورت خودکار پس از ورود به سیستم و شناسایی خطای کرنل یا درایور (Bugcheck) ظاهر می‌شود و به کاربر پیشنهاد می‌کند ابزار Windows Memory Diagnostic را در راه‌اندازی بعدی اجرا کند.

🔹 هدف این ابزار، شناسایی و رفع مشکلات احتمالی در حافظه RAM است که یکی از دلایل اصلی کرش‌ها و ری‌استارت‌های ناگهانی سیستم محسوب می‌شود.

🔹 زمان اجرای این اسکن معمولاً کمتر از ۵ دقیقه است و پس از پایان، در صورت شناسایی مشکل، کاربر با پیام رفع خطا روبه‌رو می‌شود.

🧩 این قابلیت برای اولین بار در نسخه‌های Windows Insider Preview Build 26220.6982 (Dev Channel) و 26120.6982 (Beta Channel) با آپدیت KB5067109 عرضه شده است.

البته فعلاً روی دستگاه‌های Arm64، سیستم‌هایی که Administrator Protection فعال دارند یا BitLocker بدون Secure Boot استفاده می‌کنند، در دسترس نیست.

🔍 مایکروسافت اعلام کرده در نسخه‌های بعدی، این ویژگی فقط برای خطاهای خاص فعال می‌شود تا دقت تشخیص افزایش یابد و کاربران بیش از حد با اعلان‌ها مواجه نشوند.

💡 با توجه به افزایش پیچیدگی سخت‌افزارها و ادغام قابلیت‌های هوش مصنوعی (AI) در ویندوز 11، این قابلیت جدید می‌تواند به کاهش توقف‌های ناگهانی، جلوگیری از از دست رفتن داده‌ها و بهبود پایداری سیستم‌های کاری کمک چشمگیری کند.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری‌های جدید در Apache Tomcat — خطر اجرای کد از راه دور (RCE)

بنیاد Apache Software Foundation اخیراً دو آسیب‌پذیری حیاتی را در Apache Tomcat، یکی از پرکاربردترین سرویس‌های جاوایی (Java Servlet Container) برای میزبانی وب‌اپلیکیشن‌ها، افشا کرده است.

🔍 این دو آسیب‌پذیری با شناسه‌های
CVE-2025-55752 و CVE-2025-55754
در تاریخ ۲۷ اکتبر ۲۰۲۵ منتشر شده‌اند و نسخه‌های متعددی از Tomcat را تحت تأثیر قرار می‌دهند.

🧩 جزئیات فنی:

1️⃣ CVE-2025-55752 — Directory Traversal
و امکان RCE
این باگ از نوع directory traversal است که در نتیجه‌ی یک regression در اصلاح قبلی (bug 60013) به‌وجود آمده.

در این حالت، URLها قبل از decode شدن نرمال‌سازی می‌شوند و مهاجم می‌تواند مسیرهای حساس مانند /WEB-INF/ و /META-INF/ را دور بزند.

در صورتی که درخواست PUT در تنظیمات فعال باشد، احتمال آپلود فایل مخرب و اجرای کد از راه دور وجود دارد.

📌 سطح خطر: Important

2️⃣ CVE-2025-55754 — تزریق Escape Sequence در لاگ‌ها

در این نقص، عدم فیلتر درست کاراکترهای ANSI در لاگ‌های Tomcat می‌تواند باعث دستکاری کنسول یا clipboard در سیستم‌های ویندوز شود.

هرچند این آسیب‌پذیری به‌تنهایی خطر بالایی ندارد، اما در ترکیب با آسیب‌پذیری‌های دیگر، می‌تواند تهدید جدی‌تری ایجاد کند.

📌 سطح خطر: Low

🛡️ نسخه‌های آسیب‌پذیر:
Tomcat 11.0.0-M1 تا 11.0.10
Tomcat 10.1.0-M1 تا 10.1.44
Tomcat 9.0.0-M11 تا 9.0.108
و برخی نسخه‌های EOL (مثل 8.5.60 تا 8.5.100)

✅ توصیه امنیتی:
Apache از مدیران سیستم‌ها خواسته است فوراً به نسخه‌های زیر به‌روزرسانی کنند:
Tomcat 11.0.11
Tomcat 10.1.45
Tomcat 9.0.109

همچنین، بررسی پیکربندی‌ها (به‌ویژه فعال بودن PUT و rewrite rules) برای جلوگیری از زنجیره‌های RCE اکیداً توصیه می‌شود.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری‌های حیاتی در Dell Storage Manager — خطر نفوذ کامل به سیستم‌های ذخیره‌سازی

شرکت Dell Technologies از شناسایی سه آسیب‌پذیری بحرانی در Dell Storage Manager خبر داده که می‌توانند به مهاجمان راه دور و بدون احراز هویت اجازه دهند کنترل کامل زیرساخت‌های ذخیره‌سازی را به‌دست گیرند.

این آسیب‌پذیری‌ها که در تاریخ ۲۴ اکتبر ۲۰۲۵ افشا شدند، نسخه‌های پیش از 2020 R1.21 را تحت تأثیر قرار می‌دهند و تهدیدی جدی برای سازمان‌هایی هستند که از زیرساخت Dell Storage Center استفاده می‌کنند.

🧩 جزئیات فنی:

1️⃣ CVE-2025-43995 — Authentication Bypass و دسترسی کامل سیستم (CVSS 9.8)
در این آسیب‌پذیری، نقص در سازوکار احراز هویت مؤلفه‌ی DataCollectorEar.ear باعث می‌شود مهاجم بتواند از طریق APIهای درون ApiProxy.war با استفاده از مقادیر ساختگی SessionKey و UserId وارد سیستم شود.
در نتیجه، دسترسی کامل به توابع مدیریتی، داده‌ها و پیکربندی‌های حیاتی سیستم فراهم می‌شود.
📌 سطح خطر: Critical


2️⃣ CVE-2025-43994 — Missing Authentication (CVSS 8.6)
این نقص نیز در نسخه‌ی 20.1.21 وجود دارد و باعث می‌شود مهاجم بدون اعتبارسنجی بتواند به اطلاعات حساس از جمله جزئیات تنظیمات ذخیره‌سازی، حساب‌های کاربری و توپولوژی سیستم دسترسی پیدا کند.
📌 سطح خطر: Critical
📌 کشف‌شده توسط: Tenable Research

3️⃣ CVE-2025-46425 — XML External Entity (XXE) (CVSS 6.5)
این آسیب‌پذیری در نسخه‌ی 20.1.20 مشاهده شده و در صورت بهره‌برداری، می‌تواند منجر به دسترسی غیرمجاز به فایل‌های داخلی یا حرکت جانبی (Lateral Movement) در شبکه شود.
📌 کشف‌شده توسط: Ahmed Y. Elmogy

⚠️ سطح تهدید:
ترکیب این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد ابتدا احراز هویت را دور بزند و سپس با سوءاستفاده از XXE به داده‌های حساس و کنترل کامل سیستم دست یابد — بدون نیاز به تعامل کاربر.

🛡️ راهکار و وصله امنیتی:
Dell به همه مشتریان خود توصیه کرده فوراً به نسخه‌ی 2020 R1.22 یا جدیدتر ارتقا دهند.

این به‌روزرسانی هر سه آسیب‌پذیری را برطرف می‌کند و باید در اولویت فوری تیم‌های امنیتی و IT قرار گیرد.

💡 با توجه به اینکه این نقص‌ها از طریق شبکه و بدون احراز هویت قابل بهره‌برداری هستند، احتمال حملات هدفمند به زیرساخت‌های ذخیره‌سازی سازمانی بسیار بالاست.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🚨 موج حملات به WSUS با سوءاستفاده از CVE-2025-59287 همچنان ادامه دارد!

پیرو پست هفته گذشته درباره آسیب‌پذیری CVE-2025-59287 در Windows Server Update Services (WSUS)، گزارش‌ها نشان می‌دهد موج حملات فعال همچنان با سرعت در حال گسترش است.

🔍 مهاجمان با سوءاستفاده از باگ deserialization می‌توانند بدون احراز هویت، کد مخرب را از راه دور اجرا کنند.

در این حملات از PowerShell رمزگذاری‌شده با Base64 در فرآیند IIS برای جمع‌آوری داده‌های حساس و ارسال آن به سرورهای کنترل‌شده استفاده می‌شود.

🎯 اهداف اصلی:

دانشگاه‌ها، شرکت‌های فناوری، صنایع تولیدی و مراکز بهداشتی.

⏱️ بهره‌برداری تنها چند ساعت پس از انتشار PoC در GitHub آغاز شده و به‌سرعت در حال افزایش است.

✅ اقدامات فوری توصیه‌شده:

⭕ نصب فوری Patch مایکروسافت برای CVE-2025-59287

⭕ محدودسازی دسترسی به پورت‌های 8530 و 8531 و WSUSهای در معرض اینترنت

⭕ بازبینی دقیق لاگ‌ها و استفاده از Network Segmentation برای جلوگیری از حرکت جانبی

آرمان داده پویان
🔒 امنیت بهینه، شبکه پایدار و زیرساخت هوشمند
📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

⚠️ افزایش حملات به روترهای Cisco IOS XE با وب‌شل BADCANDY

در هفته‌های اخیر، مهاجمان سایبری و گروه‌های وابسته به دولت‌ها با سوءاستفاده از آسیب‌پذیری بحرانی CVE-2023-20198 در Cisco IOS XE، وب‌شلی پیشرفته به نام BADCANDY را روی دستگاه‌های وصله‌نشده مستقر کرده‌اند.

🧩 این وب‌شل مبتنی بر Lua است و با ایجاد مسیرهای مخفی در پیکربندی Nginx، دسترسی سطح ریشه (Root) را برای مهاجم فراهم می‌کند.

اگرچه Cisco از اکتبر ۲۰۲۳ این نقص را وصله کرده، اما بهره‌برداری از آن در سال‌های ۲۰۲۴ و ۲۰۲۵ همچنان ادامه دارد.

🔍 طبق گزارش ASD استرالیا، از جولای ۲۰۲۵ تاکنون بیش از ۴۰۰ دستگاه آلوده شناسایی شده و حدود ۱۵۰ مورد هنوز تحت کنترل مهاجمان هستند — حتی برخی پس از reboot مجدداً آلوده شده‌اند.

✅ توصیه‌های امنیتی:

⭕ وصله فوری CVE-2023-20198
بررسی حساب‌های دارای Privilege 15 (به‌ویژه مواردی مثل cisco_tac_admin)

⭕ غیرفعال‌سازی سرویس HTTP و سخت‌سازی رابط وب

⭕ پایش دقیق لاگ‌های TACACS+ و حذف تنظیمات مشکوک

💡 نکته:
BADCANDY
به‌دلیل اثرگذاری کم‌ردپا و ماندگاری بالا، تشخیص بسیار دشواری دارد و تهدیدی جدی برای زیرساخت‌های شبکه در edge devices محسوب می‌شود.

با به‌روزرسانی فوری و کنترل دقیق پیکربندی‌ها می‌توان از سوءاستفاده مجدد این آسیب‌پذیری جلوگیری کرد.

آرمان داده پویان
🔒 امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔰 انتشار نسخه‌های جدید Firmware برای FortiWeb

شرکت Fortinet سه نسخه جدید از Firmware فایروال اپلیکیشن وب FortiWeb را منتشر کرده است:

🔹 FortiWeb 7.0.12
📌 نسخه‌ی Patch Release — بدون ویژگی جدید

✅ رفع باگ‌های جزئی و بهبود پایداری سیستم

🔹 FortiWeb 7.2.12 —
رفع باگ‌های همگام‌سازی و گزارش‌دهی

1️⃣ مشکل گواهی‌های Let’s Encrypt در سناریوهای HA

🔧 علت: عملیات لغو (revocation) فقط روی نود فعال انجام می‌شد و به نود standby منتقل نمی‌شد.

✅ اکنون فرآیند sync گواهی‌ها اصلاح شده است.

2️⃣ خطای گزارش اشتباه حملات OWASP

🔧 در گزارش‌ها، IPهای مسدود به اشتباه به‌عنوان آسیب‌پذیری OWASP API5:2023 ثبت می‌شدند.

✅ در این نسخه، دسته‌بندی OWASP برای ماژول‌های IP-based اصلاح و به “N/A” تغییر یافته است.

🔹 FortiWeb 8.0.2 —
رفع باگ‌های عملیاتی و پایداری

1️⃣ رفع مشکل ورود SSH با ادمین محلی

🔧 علت: ناسازگاری با نسخه‌های جدید OpenSSH
✅ ورود SSH پایدار شد.

2️⃣ Crash در سرویس proxyd هنگام اسکن PDF

🔧 خطای double-free در PDF parser در شرایط timeout

✅ موتور AV به نسخه 7.0.47 ارتقا یافت و مکانیزم‌های حفاظتی جدید اضافه شد.

3️⃣ تأخیر در اعمال Signature Exception در ترافیک سنگین / HA Failover

🔧 مشکل از قفل‌های نوشتاری در ماژول پیکربندی بود.

✅ رفع شد.

4️⃣ اختلال در ترافیک FTP Active Mode پس از مهاجرت از 100D به 100F

🔧 مشکل در binding پورت داده و VIP

✅ اصلاح و پایداری اتصال بازگردانده شد.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی برای سایت‌های کاریابی با قالب JobMonster

یک آسیب‌پذیری بحرانی (CVE-2025-5397, CVSS: 9.8) در قالب وردپرس JobMonster کشف و بهره‌برداری شده که در صورت روشن‌بودن قابلیت Social Login می‌تواند منجر به دسترسی مهاجم به حساب ادمین شود.

اگر از این قالب تا ورژن 4.8.1 استفاده می‌کنید،
📌 همین حالا به نسخه 4.8.2 آپدیت کنید —
یا تا زمان به‌روزرسانی، Social Login را غیرفعال کنید.

🔍 جزئیات فنی

• مورد آسیب‌پذیر: قالب وردپرس JobMonster (تولید شرکت NooThemes) – یک قالب است، نه افزونه.

• محل آسیب‌پذیری: تابع check_login() که داده‌های ورود از سرویس‌های اجتماعی را به‌درستی اعتبارسنجی نمی‌کند.

• شرط بهره‌برداری: فعال‌بودن قابلیت Social Login (مثل “Sign in with Google / Facebook / LinkedIn”).
• پیامد: امکان ورود بدون رمز به حساب مدیر (administrator) و کنترل کامل سایت.

• شدت: 9.8 از 10 (Critical).

🛡️ توصیه‌های امنیتی

✅ به آخرین نسخه (4.8.2) به‌روزرسانی کنید.

🚫 قابلیت Social Login را تا رفع مشکل غیرفعال نمایید.

🔐 احراز هویت دومرحله‌ای (2FA) را برای حساب‌های ادمین فعال کنید.

🧩 بررسی لاگ‌ها، چرخش رمزها و بک‌آپ منظم را در اولویت قرار دهید.

💡 از سوی آرمان داده پویان

در آرمان داده پویان، ما به سازمان‌ها و تیم‌های فناوری کمک می‌کنیم تا با پایش مداوم آسیب‌پذیری‌ها، تست امنیتی و مدیریت وصله‌ها، ریسک حملات سایبری را به حداقل برسانند.

آرمان داده پویان، متخصص در اجرای انواع تست نفوذ، توسط تیمی خبره و دارای گواهی‌های بین‌المللی.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🛑 آسیب‌پذیری بحرانی در فایروال‌های Cisco ASA و FTD

🔍 وضعیت:
شرکت Cisco هشدار داده است که مهاجمان در حال سوءاستفاده فعال از یک آسیب‌پذیری روز صفر (۰-day) با قابلیت اجرای کد از راه دور (RCE) در نرم‌افزارهای Cisco Secure Firewall ASA و FTD هستند.

📅 کد آسیب‌پذیری: CVE-2025-20333

💥 امتیاز CVSS: 9.9 (بحرانی)

⚠️ تأثیر در صورت اکسپلویت موفق:

مهاجم می‌تواند کد دلخواه را با سطح دسترسی Root اجرا کرده و کنترل کامل دستگاه را به‌دست بگیرد؛ این امر ممکن است منجر به افشای داده‌ها، نصب بدافزار یا حملات جانبی در شبکه داخلی شود.

🧩 جزئیات فنی:

مشکل از بررسی ناکافی ورودی در بخش webvpn ناشی می‌شود. مهاجم دارای اعتبارنامه معتبر VPN می‌تواند با ارسال درخواست‌های HTTPS مخرب، کنترل دستگاه را به دست گیرد.

همچنین Cisco تأیید کرده است که در نسخه‌های وصله‌نشده، نوعی حمله باعث
ریست ناگهانی (DoS) در دستگاه‌ها می‌شود.

🛠 راهکار پیشنهادی:

در حال حاضر هیچ راهکار موقتی (workaround) وجود ندارد.

✅ تنها اقدام مؤثر، به‌روزرسانی فوری به نسخه‌های امن زیر است:

Cisco Secure Firewall ASA:
🔸 نسخه‌های آسیب‌پذیر:
9.8.x تا 9.16.4.22، 9.18.1 تا 9.18.4.18، 9.20.1 و پایین‌تر

🔹 نسخه‌های امن:
9.16.4.23+ ، 9.18.4.19+ ، 9.20.2+

Cisco Secure Firewall FTD:

🔸 نسخه‌های آسیب‌پذیر: 6.2.2 تا 6.6.7.1، 6.7.0 تا 7.0.5، 7.2.0 تا 7.2.5، 7.4.0 تا 7.4.1.1

🔹 نسخه‌های امن: 6.6.7.2+ ، 7.0.6+ ، 7.2.6+ ، 7.4.2+

📋 توصیه امنیتی:
مدیران شبکه با دستور زیر پیکربندی فعلی را بررسی و ترافیک VPN غیرعادی را مانیتور کنند:
show running-config

📞 پشتیبانی و مشاوره:
تیم امنیتی آرمان داده پویان آماده ارائه مشاوره، بررسی پیکربندی و استقرار وصله‌های امنیتی است.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری بحرانی در FortiWeb؛ ایجاد اکانت ادمین بدون احراز هویت!

در روزهای اخیر یک ضعف امنیتی خطرناک در Fortinet FortiWeb WAF شناسایی و در حملات واقعی مشاهده شد؛ مهاجمان می‌توانستند بدون احراز هویت، اکانت ادمین بسازند و کنترل کامل دستگاه را به‌دست بگیرند.

امروز Fortinet رسماً این آسیب‌پذیری را با شناسه CVE-2025-64446 تأیید کرد.

این نقص که ناشی از Path Traversal و ضعف کنترل دسترسی در GUI است، اجازه می‌دهد با یک درخواست HTTP/HTTPS مخرب، احراز هویت دور زده شده و فرمان‌های مدیریتی اجرا شوند — چیزی که پژوهشگران از هفته گذشته در حملات واقعی مشاهده کرده بودند.

🔴 شدت آسیب‌پذیری: 9.1 (Critical)

🔴 بدون نیاز به دسترسی یا تعامل کاربر

🔴 نسخه‌های زیادی در شاخه‌های 8.0، 7.6، 7.4، 7.2 و 7.0 آسیب‌پذیرند

✔️ نسخه‌های امن:
• 8.0.2 و بالاتر
• 7.6.5 و بالاتر
• 7.4.10 و بالاتر
• 7.2.12 و بالاتر
• 7.0.12 و بالاتر

⚠️فوراً به نسخه‌های اعلام‌شده به‌روزرسانی کنید!

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 هشدار امنیتی مهم برای کاربران 7-Zip — آسیب‌پذیری در حال بهره‌برداری فعال

به‌تازگی یک آسیب‌پذیری جدی در 7-Zip با شناسه CVE-2025-11001 (امتیاز CVSS: 7.0) در حملات واقعی، به‌صورت فعال مورد سوءاستفاده قرار گرفته است.

این نقص که در نحوه‌ی پردازش symbolic link‌ها در فایل‌های ZIP ایجاد شده، می‌تواند منجر به اجرای کد دلخواه توسط مهاجم از راه دور شود. این مشکل در نسخه‌ی 7-Zip 25.00 که در جولای 2025 منتشر شد، برطرف شده است.

📌 طبق گزارش ZDI:

داده‌های مخرب در یک فایل ZIP می‌توانند موجب مسیر‌یابی ناخواسته و در نهایت اجرای کد در زمینه یک service account شوند.

کشف این آسیب‌پذیری توسط Ryota Shiga و ابزار هوش مصنوعی AppSec Auditor با نام Takumi انجام شده است.
همچنین نسخه 25.00 مشکل دیگری با شناسه CVE-2025-11002 (امتیاز CVSS: 7.0) را نیز رفع می‌کند؛ هر دو نقص ریشه در تغییرات نسخه 21.02 دارند.

🚨 وجود PoCهای عمومی در مخازن GitHub، ضرورت به‌روزرسانی سریع را دوچندان می‌کند.

⚠️ توصیه مهم:
اگر تاکنون نسخه 25.00 را نصب نکرده‌اید، هم‌اکنون اقدام به به‌روزرسانی کنید.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

حمله فعال به Fortinet FortiGate از طریق دور زدن احراز هویت SAML SSO

🔍 وضعیت فعلی:
مهاجمان سایبری در حال سوءاستفاده فعال از دو آسیب‌پذیری بحرانی در تجهیزات Fortinet FortiGate هستند. این حملات کمتر از یک هفته پس از افشای عمومی آسیب‌پذیری‌ها مشاهده شده‌اند.

📅 شناسه آسیب‌پذیری‌ها:
• CVE-2025-59718
• CVE-2025-59719
⚠️ امتیاز CVSS هر دو: 9.8 (بحرانی)

⚠️ پیامدهای اکسپلویت موفق:
▪️ دور زدن کامل احراز هویت SAML SSO بدون نیاز به نام کاربری و رمز عبور
▪️ دسترسی غیرمجاز به حساب‌های مدیریتی (از جمله admin)
▪️ کنترل کامل تنظیمات فایروال
▪️ استخراج کامل پیکربندی دستگاه

🛠 جزئیات فنی:
این آسیب‌پذیری‌ها با ارسال پیام‌های SAML دست‌کاری‌شده، فرآیند احراز هویت SSO را دور می‌زنند؛ مشروط بر اینکه قابلیت FortiCloud SSO فعال باشد.
اگرچه این قابلیت به‌صورت پیش‌فرض غیرفعال است، اما در زمان ثبت FortiCare به‌طور خودکار فعال می‌شود مگر اینکه مدیر سیستم آن را دستی غیرفعال کند.
در حملات مشاهده‌شده، مهاجمان پس از ورود موفق، پیکربندی دستگاه را از طریق رابط گرافیکی (GUI) استخراج کرده‌اند.

🚑 اقدام فوری (راهکار پیشنهادی):
✅ به‌روزرسانی فوری تمامی محصولات آسیب‌پذیر به نسخه‌های وصله‌شده Fortinet:
• FortiOS
• FortiWeb
• FortiProxy
• FortiSwitchManager

✅ غیرفعال‌سازی موقت FortiCloud SSO تا زمان اعمال کامل وصله‌ها
✅ محدودسازی دسترسی به رابط‌های مدیریتی فایروال و VPN فقط برای کاربران داخلی مورد اعتماد

📌 توصیه امنیتی:
در صورت استفاده از Fortinet، وضعیت SSO و لاگ‌های مدیریتی را فوراً بررسی کنید.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

فرصت شغلی: کارشناس تست نفوذ (Penetration Tester)

در مواجهه با تهدیدات نوظهور و پیچیده‌ای که امنیت سازمان‌ها را به چالش می‌کشد، تیم آزمون نفوذ آرمان داده پویان با تکیه بر دانش فنی، تجربه میدانی و انگیزه بالا، روی ارزیابی امنیتی دقیق و هدفمند فعالیت می‌کند.

ما به دنبال متخصصان توانمند، علاقه‌مند و باانگیزه هستیم تا به تیم حرفه‌ای ما بپیوندند و در مسیر ارتقای امنیت فضای سایبری کشور نقش‌آفرینی کنند.

🛠 توانمندی‌های فنی مورد نیاز

🔹 مسلط به آزمون نفوذ و ارزیابی امنیتی برنامه‌های کاربردی تحت وب و وب سرویس‌ها شامل RESTful API, GraphQL, gRPC و …
🔹 آشنایی با آزمون نفوذ سرویس‌های حیاتی شبکه نظیر DNS، DHCP، SMTP، SNMP، Kerberos، RADIUS / TACACS+ و …
🔹 آشنایی با آزمون نفوذ سرویس‌های مایکروسافت نظیر Active Directory، Microsoft Exchange Server، Microsoft SQL Server
🔹 آشنایی با آزمون نفوذ زیرساخت شبکه نظیر Router، Switch، Firewall و …
🔹 دانش عمیق در خصوص آسیب‌پذیری‌های متداول وب و شبکه
🔹 دانش عمیق در خصوص متدولوژی و استانداردهای بنیاد OWASP نظیر OWASP Top 10 Web، OWASP Top 10 API، OWASP WSTG و …
🔹 تسلط بر ابزار Burp Suite و تجربه کار با پویش‌گر‌های خودکار نظیر Nessus، Acunetix
🔹 آشنایی با فرآیندها و ابزارهای مرتبط با OSINT
🔹 توانایی انجام آزمون نفوذ و ارزیابی‌ امنیتی به صورت دستی و خودکار
🔹 توانایی مستندسازی و تهیه گزارش‌های فنی و مدیریتی
🔹 آشنایی کاربردی با مفاهیم شبکه (TCP/IP، پروتکل‌های رایج، Switching و Routing) و سیستم‌عامل‌های Windows و Linux

توانمندی‌های فنی زیر مزیت محسوب می‌شوند:

🔹 آشنایی با چارچوب MITRE ATT&CK
🔹 تسلط بر مباحث ممیزی امنیتی کد و توسعه امن (Secure Coding)
🔹 تسلط بر ممیزی امنیتی صنعت پرداخت بر اساس PCI DSS
🔹 تسلط بر یک یا چند زبان‌ برنامه نویسی (یا اسکریپت نویسی) و توسعه نرم افزار
🔹 آشنایی با آزمون نفوذ و ارزیابی امنیتی نرم‌افزارهای موبایل (اندروید یا iOS)

توانمندی‌های فردی مورد نیاز:

🔹 مسئولیت پذیری
🔹 توانایی حل مسائل
🔹 کار گروهی و فردی
🔹 تفکر انتقادی
🔹 مدیریت زمان
🔹 دقت به جزئیات و علاقه به کیفیت
🔹 دریافت و ارائه بازخورد حرفه‌ای

مزایا:

🔹 حقوق مناسب
🔹 بیمه تکمیلی
🔹 بن خرید فصلی
🔹 برنامه‌های آموزشی و توسعه مهارت

علاقه‌مندان می‌توانند رزومه خود را به ایمیل زیر ارسال کنند:
pentest-hiring@armandata.com




📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

یلدای پرنور و پرانرژی آرمان داده پویان مبارک! 🎉

با نزدیک شدن بلندترین شب سال، آرمان داده پویان بهترین‌ها را برای شما آرزو می‌کند:
لحظه‌هایی گرم و شیرین در کنار عزیزان، سلامتی، شادی و موفقیت‌های بی‌پایان.
بیایید با هم، تاریکی شب را با نور امید و مهربانی روشن کنیم و سالی نو و پربار را آغاز کنیم.

شب یلدا، شب همدلی، شادی و آغازهای تازه بر شما و خانواده‌تان مبارک باد!

به همین مناسبت، یک دورهمی صمیمانه هم با همکاران عزیزمان داشتیم و لحظاتی شیرین و به‌یادماندنی را تجربه کردیم.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com