🚨 موج حملات به WSUS با سوءاستفاده از CVE-2025-59287 همچنان ادامه دارد!

پیرو پست هفته گذشته درباره آسیب‌پذیری CVE-2025-59287 در Windows Server Update Services (WSUS)، گزارش‌ها نشان می‌دهد موج حملات فعال همچنان با سرعت در حال گسترش است.

🔍 مهاجمان با سوءاستفاده از باگ deserialization می‌توانند بدون احراز هویت، کد مخرب را از راه دور اجرا کنند.

در این حملات از PowerShell رمزگذاری‌شده با Base64 در فرآیند IIS برای جمع‌آوری داده‌های حساس و ارسال آن به سرورهای کنترل‌شده استفاده می‌شود.

🎯 اهداف اصلی:

دانشگاه‌ها، شرکت‌های فناوری، صنایع تولیدی و مراکز بهداشتی.

⏱️ بهره‌برداری تنها چند ساعت پس از انتشار PoC در GitHub آغاز شده و به‌سرعت در حال افزایش است.

✅ اقدامات فوری توصیه‌شده:

⭕ نصب فوری Patch مایکروسافت برای CVE-2025-59287

⭕ محدودسازی دسترسی به پورت‌های 8530 و 8531 و WSUSهای در معرض اینترنت

⭕ بازبینی دقیق لاگ‌ها و استفاده از Network Segmentation برای جلوگیری از حرکت جانبی

آرمان داده پویان
🔒 امنیت بهینه، شبکه پایدار و زیرساخت هوشمند
📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

⚠️ افزایش حملات به روترهای Cisco IOS XE با وب‌شل BADCANDY

در هفته‌های اخیر، مهاجمان سایبری و گروه‌های وابسته به دولت‌ها با سوءاستفاده از آسیب‌پذیری بحرانی CVE-2023-20198 در Cisco IOS XE، وب‌شلی پیشرفته به نام BADCANDY را روی دستگاه‌های وصله‌نشده مستقر کرده‌اند.

🧩 این وب‌شل مبتنی بر Lua است و با ایجاد مسیرهای مخفی در پیکربندی Nginx، دسترسی سطح ریشه (Root) را برای مهاجم فراهم می‌کند.

اگرچه Cisco از اکتبر ۲۰۲۳ این نقص را وصله کرده، اما بهره‌برداری از آن در سال‌های ۲۰۲۴ و ۲۰۲۵ همچنان ادامه دارد.

🔍 طبق گزارش ASD استرالیا، از جولای ۲۰۲۵ تاکنون بیش از ۴۰۰ دستگاه آلوده شناسایی شده و حدود ۱۵۰ مورد هنوز تحت کنترل مهاجمان هستند — حتی برخی پس از reboot مجدداً آلوده شده‌اند.

✅ توصیه‌های امنیتی:

⭕ وصله فوری CVE-2023-20198
بررسی حساب‌های دارای Privilege 15 (به‌ویژه مواردی مثل cisco_tac_admin)

⭕ غیرفعال‌سازی سرویس HTTP و سخت‌سازی رابط وب

⭕ پایش دقیق لاگ‌های TACACS+ و حذف تنظیمات مشکوک

💡 نکته:
BADCANDY
به‌دلیل اثرگذاری کم‌ردپا و ماندگاری بالا، تشخیص بسیار دشواری دارد و تهدیدی جدی برای زیرساخت‌های شبکه در edge devices محسوب می‌شود.

با به‌روزرسانی فوری و کنترل دقیق پیکربندی‌ها می‌توان از سوءاستفاده مجدد این آسیب‌پذیری جلوگیری کرد.

آرمان داده پویان
🔒 امنیت بهینه، شبکه پایدار و زیرساخت هوشمند

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔰 انتشار نسخه‌های جدید Firmware برای FortiWeb

شرکت Fortinet سه نسخه جدید از Firmware فایروال اپلیکیشن وب FortiWeb را منتشر کرده است:

🔹 FortiWeb 7.0.12
📌 نسخه‌ی Patch Release — بدون ویژگی جدید

✅ رفع باگ‌های جزئی و بهبود پایداری سیستم

🔹 FortiWeb 7.2.12 —
رفع باگ‌های همگام‌سازی و گزارش‌دهی

1️⃣ مشکل گواهی‌های Let’s Encrypt در سناریوهای HA

🔧 علت: عملیات لغو (revocation) فقط روی نود فعال انجام می‌شد و به نود standby منتقل نمی‌شد.

✅ اکنون فرآیند sync گواهی‌ها اصلاح شده است.

2️⃣ خطای گزارش اشتباه حملات OWASP

🔧 در گزارش‌ها، IPهای مسدود به اشتباه به‌عنوان آسیب‌پذیری OWASP API5:2023 ثبت می‌شدند.

✅ در این نسخه، دسته‌بندی OWASP برای ماژول‌های IP-based اصلاح و به “N/A” تغییر یافته است.

🔹 FortiWeb 8.0.2 —
رفع باگ‌های عملیاتی و پایداری

1️⃣ رفع مشکل ورود SSH با ادمین محلی

🔧 علت: ناسازگاری با نسخه‌های جدید OpenSSH
✅ ورود SSH پایدار شد.

2️⃣ Crash در سرویس proxyd هنگام اسکن PDF

🔧 خطای double-free در PDF parser در شرایط timeout

✅ موتور AV به نسخه 7.0.47 ارتقا یافت و مکانیزم‌های حفاظتی جدید اضافه شد.

3️⃣ تأخیر در اعمال Signature Exception در ترافیک سنگین / HA Failover

🔧 مشکل از قفل‌های نوشتاری در ماژول پیکربندی بود.

✅ رفع شد.

4️⃣ اختلال در ترافیک FTP Active Mode پس از مهاجرت از 100D به 100F

🔧 مشکل در binding پورت داده و VIP

✅ اصلاح و پایداری اتصال بازگردانده شد.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی برای سایت‌های کاریابی با قالب JobMonster

یک آسیب‌پذیری بحرانی (CVE-2025-5397, CVSS: 9.8) در قالب وردپرس JobMonster کشف و بهره‌برداری شده که در صورت روشن‌بودن قابلیت Social Login می‌تواند منجر به دسترسی مهاجم به حساب ادمین شود.

اگر از این قالب تا ورژن 4.8.1 استفاده می‌کنید،
📌 همین حالا به نسخه 4.8.2 آپدیت کنید —
یا تا زمان به‌روزرسانی، Social Login را غیرفعال کنید.

🔍 جزئیات فنی

• مورد آسیب‌پذیر: قالب وردپرس JobMonster (تولید شرکت NooThemes) – یک قالب است، نه افزونه.

• محل آسیب‌پذیری: تابع check_login() که داده‌های ورود از سرویس‌های اجتماعی را به‌درستی اعتبارسنجی نمی‌کند.

• شرط بهره‌برداری: فعال‌بودن قابلیت Social Login (مثل “Sign in with Google / Facebook / LinkedIn”).
• پیامد: امکان ورود بدون رمز به حساب مدیر (administrator) و کنترل کامل سایت.

• شدت: 9.8 از 10 (Critical).

🛡️ توصیه‌های امنیتی

✅ به آخرین نسخه (4.8.2) به‌روزرسانی کنید.

🚫 قابلیت Social Login را تا رفع مشکل غیرفعال نمایید.

🔐 احراز هویت دومرحله‌ای (2FA) را برای حساب‌های ادمین فعال کنید.

🧩 بررسی لاگ‌ها، چرخش رمزها و بک‌آپ منظم را در اولویت قرار دهید.

💡 از سوی آرمان داده پویان

در آرمان داده پویان، ما به سازمان‌ها و تیم‌های فناوری کمک می‌کنیم تا با پایش مداوم آسیب‌پذیری‌ها، تست امنیتی و مدیریت وصله‌ها، ریسک حملات سایبری را به حداقل برسانند.

آرمان داده پویان، متخصص در اجرای انواع تست نفوذ، توسط تیمی خبره و دارای گواهی‌های بین‌المللی.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🛑 آسیب‌پذیری بحرانی در فایروال‌های Cisco ASA و FTD

🔍 وضعیت:
شرکت Cisco هشدار داده است که مهاجمان در حال سوءاستفاده فعال از یک آسیب‌پذیری روز صفر (۰-day) با قابلیت اجرای کد از راه دور (RCE) در نرم‌افزارهای Cisco Secure Firewall ASA و FTD هستند.

📅 کد آسیب‌پذیری: CVE-2025-20333

💥 امتیاز CVSS: 9.9 (بحرانی)

⚠️ تأثیر در صورت اکسپلویت موفق:

مهاجم می‌تواند کد دلخواه را با سطح دسترسی Root اجرا کرده و کنترل کامل دستگاه را به‌دست بگیرد؛ این امر ممکن است منجر به افشای داده‌ها، نصب بدافزار یا حملات جانبی در شبکه داخلی شود.

🧩 جزئیات فنی:

مشکل از بررسی ناکافی ورودی در بخش webvpn ناشی می‌شود. مهاجم دارای اعتبارنامه معتبر VPN می‌تواند با ارسال درخواست‌های HTTPS مخرب، کنترل دستگاه را به دست گیرد.

همچنین Cisco تأیید کرده است که در نسخه‌های وصله‌نشده، نوعی حمله باعث
ریست ناگهانی (DoS) در دستگاه‌ها می‌شود.

🛠 راهکار پیشنهادی:

در حال حاضر هیچ راهکار موقتی (workaround) وجود ندارد.

✅ تنها اقدام مؤثر، به‌روزرسانی فوری به نسخه‌های امن زیر است:

Cisco Secure Firewall ASA:
🔸 نسخه‌های آسیب‌پذیر:
9.8.x تا 9.16.4.22، 9.18.1 تا 9.18.4.18، 9.20.1 و پایین‌تر

🔹 نسخه‌های امن:
9.16.4.23+ ، 9.18.4.19+ ، 9.20.2+

Cisco Secure Firewall FTD:

🔸 نسخه‌های آسیب‌پذیر: 6.2.2 تا 6.6.7.1، 6.7.0 تا 7.0.5، 7.2.0 تا 7.2.5، 7.4.0 تا 7.4.1.1

🔹 نسخه‌های امن: 6.6.7.2+ ، 7.0.6+ ، 7.2.6+ ، 7.4.2+

📋 توصیه امنیتی:
مدیران شبکه با دستور زیر پیکربندی فعلی را بررسی و ترافیک VPN غیرعادی را مانیتور کنند:
show running-config

📞 پشتیبانی و مشاوره:
تیم امنیتی آرمان داده پویان آماده ارائه مشاوره، بررسی پیکربندی و استقرار وصله‌های امنیتی است.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

آسیب‌پذیری بحرانی در FortiWeb؛ ایجاد اکانت ادمین بدون احراز هویت!

در روزهای اخیر یک ضعف امنیتی خطرناک در Fortinet FortiWeb WAF شناسایی و در حملات واقعی مشاهده شد؛ مهاجمان می‌توانستند بدون احراز هویت، اکانت ادمین بسازند و کنترل کامل دستگاه را به‌دست بگیرند.

امروز Fortinet رسماً این آسیب‌پذیری را با شناسه CVE-2025-64446 تأیید کرد.

این نقص که ناشی از Path Traversal و ضعف کنترل دسترسی در GUI است، اجازه می‌دهد با یک درخواست HTTP/HTTPS مخرب، احراز هویت دور زده شده و فرمان‌های مدیریتی اجرا شوند — چیزی که پژوهشگران از هفته گذشته در حملات واقعی مشاهده کرده بودند.

🔴 شدت آسیب‌پذیری: 9.1 (Critical)

🔴 بدون نیاز به دسترسی یا تعامل کاربر

🔴 نسخه‌های زیادی در شاخه‌های 8.0، 7.6، 7.4، 7.2 و 7.0 آسیب‌پذیرند

✔️ نسخه‌های امن:
• 8.0.2 و بالاتر
• 7.6.5 و بالاتر
• 7.4.10 و بالاتر
• 7.2.12 و بالاتر
• 7.0.12 و بالاتر

⚠️فوراً به نسخه‌های اعلام‌شده به‌روزرسانی کنید!

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

🔐 هشدار امنیتی مهم برای کاربران 7-Zip — آسیب‌پذیری در حال بهره‌برداری فعال

به‌تازگی یک آسیب‌پذیری جدی در 7-Zip با شناسه CVE-2025-11001 (امتیاز CVSS: 7.0) در حملات واقعی، به‌صورت فعال مورد سوءاستفاده قرار گرفته است.

این نقص که در نحوه‌ی پردازش symbolic link‌ها در فایل‌های ZIP ایجاد شده، می‌تواند منجر به اجرای کد دلخواه توسط مهاجم از راه دور شود. این مشکل در نسخه‌ی 7-Zip 25.00 که در جولای 2025 منتشر شد، برطرف شده است.

📌 طبق گزارش ZDI:

داده‌های مخرب در یک فایل ZIP می‌توانند موجب مسیر‌یابی ناخواسته و در نهایت اجرای کد در زمینه یک service account شوند.

کشف این آسیب‌پذیری توسط Ryota Shiga و ابزار هوش مصنوعی AppSec Auditor با نام Takumi انجام شده است.
همچنین نسخه 25.00 مشکل دیگری با شناسه CVE-2025-11002 (امتیاز CVSS: 7.0) را نیز رفع می‌کند؛ هر دو نقص ریشه در تغییرات نسخه 21.02 دارند.

🚨 وجود PoCهای عمومی در مخازن GitHub، ضرورت به‌روزرسانی سریع را دوچندان می‌کند.

⚠️ توصیه مهم:
اگر تاکنون نسخه 25.00 را نصب نکرده‌اید، هم‌اکنون اقدام به به‌روزرسانی کنید.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

حمله فعال به Fortinet FortiGate از طریق دور زدن احراز هویت SAML SSO

🔍 وضعیت فعلی:
مهاجمان سایبری در حال سوءاستفاده فعال از دو آسیب‌پذیری بحرانی در تجهیزات Fortinet FortiGate هستند. این حملات کمتر از یک هفته پس از افشای عمومی آسیب‌پذیری‌ها مشاهده شده‌اند.

📅 شناسه آسیب‌پذیری‌ها:
• CVE-2025-59718
• CVE-2025-59719
⚠️ امتیاز CVSS هر دو: 9.8 (بحرانی)

⚠️ پیامدهای اکسپلویت موفق:
▪️ دور زدن کامل احراز هویت SAML SSO بدون نیاز به نام کاربری و رمز عبور
▪️ دسترسی غیرمجاز به حساب‌های مدیریتی (از جمله admin)
▪️ کنترل کامل تنظیمات فایروال
▪️ استخراج کامل پیکربندی دستگاه

🛠 جزئیات فنی:
این آسیب‌پذیری‌ها با ارسال پیام‌های SAML دست‌کاری‌شده، فرآیند احراز هویت SSO را دور می‌زنند؛ مشروط بر اینکه قابلیت FortiCloud SSO فعال باشد.
اگرچه این قابلیت به‌صورت پیش‌فرض غیرفعال است، اما در زمان ثبت FortiCare به‌طور خودکار فعال می‌شود مگر اینکه مدیر سیستم آن را دستی غیرفعال کند.
در حملات مشاهده‌شده، مهاجمان پس از ورود موفق، پیکربندی دستگاه را از طریق رابط گرافیکی (GUI) استخراج کرده‌اند.

🚑 اقدام فوری (راهکار پیشنهادی):
✅ به‌روزرسانی فوری تمامی محصولات آسیب‌پذیر به نسخه‌های وصله‌شده Fortinet:
• FortiOS
• FortiWeb
• FortiProxy
• FortiSwitchManager

✅ غیرفعال‌سازی موقت FortiCloud SSO تا زمان اعمال کامل وصله‌ها
✅ محدودسازی دسترسی به رابط‌های مدیریتی فایروال و VPN فقط برای کاربران داخلی مورد اعتماد

📌 توصیه امنیتی:
در صورت استفاده از Fortinet، وضعیت SSO و لاگ‌های مدیریتی را فوراً بررسی کنید.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

فرصت شغلی: کارشناس تست نفوذ (Penetration Tester)

در مواجهه با تهدیدات نوظهور و پیچیده‌ای که امنیت سازمان‌ها را به چالش می‌کشد، تیم آزمون نفوذ آرمان داده پویان با تکیه بر دانش فنی، تجربه میدانی و انگیزه بالا، روی ارزیابی امنیتی دقیق و هدفمند فعالیت می‌کند.

ما به دنبال متخصصان توانمند، علاقه‌مند و باانگیزه هستیم تا به تیم حرفه‌ای ما بپیوندند و در مسیر ارتقای امنیت فضای سایبری کشور نقش‌آفرینی کنند.

🛠 توانمندی‌های فنی مورد نیاز

🔹 مسلط به آزمون نفوذ و ارزیابی امنیتی برنامه‌های کاربردی تحت وب و وب سرویس‌ها شامل RESTful API, GraphQL, gRPC و …
🔹 آشنایی با آزمون نفوذ سرویس‌های حیاتی شبکه نظیر DNS، DHCP، SMTP، SNMP، Kerberos، RADIUS / TACACS+ و …
🔹 آشنایی با آزمون نفوذ سرویس‌های مایکروسافت نظیر Active Directory، Microsoft Exchange Server، Microsoft SQL Server
🔹 آشنایی با آزمون نفوذ زیرساخت شبکه نظیر Router، Switch، Firewall و …
🔹 دانش عمیق در خصوص آسیب‌پذیری‌های متداول وب و شبکه
🔹 دانش عمیق در خصوص متدولوژی و استانداردهای بنیاد OWASP نظیر OWASP Top 10 Web، OWASP Top 10 API، OWASP WSTG و …
🔹 تسلط بر ابزار Burp Suite و تجربه کار با پویش‌گر‌های خودکار نظیر Nessus، Acunetix
🔹 آشنایی با فرآیندها و ابزارهای مرتبط با OSINT
🔹 توانایی انجام آزمون نفوذ و ارزیابی‌ امنیتی به صورت دستی و خودکار
🔹 توانایی مستندسازی و تهیه گزارش‌های فنی و مدیریتی
🔹 آشنایی کاربردی با مفاهیم شبکه (TCP/IP، پروتکل‌های رایج، Switching و Routing) و سیستم‌عامل‌های Windows و Linux

توانمندی‌های فنی زیر مزیت محسوب می‌شوند:

🔹 آشنایی با چارچوب MITRE ATT&CK
🔹 تسلط بر مباحث ممیزی امنیتی کد و توسعه امن (Secure Coding)
🔹 تسلط بر ممیزی امنیتی صنعت پرداخت بر اساس PCI DSS
🔹 تسلط بر یک یا چند زبان‌ برنامه نویسی (یا اسکریپت نویسی) و توسعه نرم افزار
🔹 آشنایی با آزمون نفوذ و ارزیابی امنیتی نرم‌افزارهای موبایل (اندروید یا iOS)

توانمندی‌های فردی مورد نیاز:

🔹 مسئولیت پذیری
🔹 توانایی حل مسائل
🔹 کار گروهی و فردی
🔹 تفکر انتقادی
🔹 مدیریت زمان
🔹 دقت به جزئیات و علاقه به کیفیت
🔹 دریافت و ارائه بازخورد حرفه‌ای

مزایا:

🔹 حقوق مناسب
🔹 بیمه تکمیلی
🔹 بن خرید فصلی
🔹 برنامه‌های آموزشی و توسعه مهارت

علاقه‌مندان می‌توانند رزومه خود را به ایمیل زیر ارسال کنند:
pentest-hiring@armandata.com




📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

یلدای پرنور و پرانرژی آرمان داده پویان مبارک! 🎉

با نزدیک شدن بلندترین شب سال، آرمان داده پویان بهترین‌ها را برای شما آرزو می‌کند:
لحظه‌هایی گرم و شیرین در کنار عزیزان، سلامتی، شادی و موفقیت‌های بی‌پایان.
بیایید با هم، تاریکی شب را با نور امید و مهربانی روشن کنیم و سالی نو و پربار را آغاز کنیم.

شب یلدا، شب همدلی، شادی و آغازهای تازه بر شما و خانواده‌تان مبارک باد!

به همین مناسبت، یک دورهمی صمیمانه هم با همکاران عزیزمان داشتیم و لحظاتی شیرین و به‌یادماندنی را تجربه کردیم.


📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com

هشدار امنیتی Fortinet | سوءاستفاده فعال از یک آسیب‌پذیری قدیمی در FortiOS SSL VPN

فورتینت اعلام کرده که اخیراً سوءاستفاده فعال از یک آسیب‌پذیری پنج‌ساله در FortiOS SSL VPN مشاهده شده است. این آسیب‌پذیری با شناسه CVE-2020-12812 و امتیاز CVSS: 5.2 مربوط به نقص در احراز هویت دو مرحله‌ای (2FA) است.

🔍 جزئیات آسیب‌پذیری

این نقص زمانی رخ می‌دهد که:
• احراز هویت دو مرحله‌ای (2FA) برای کاربران Local فعال باشد
• نوع احراز هویت کاربر به روش Remote مانند LDAP تنظیم شده باشد
• تفاوت در حساسیت به حروف بزرگ و کوچک (Case Sensitivity) بین FortiGate و LDAP وجود داشته باشد

در این شرایط، مهاجم می‌تواند با تغییر حروف بزرگ و کوچک نام کاربری (مثلاً jsmith → JSmith) از 2FA عبور کرده و مستقیماً از طریق LDAP احراز هویت شود.

⚠️ نتیجه خطرناک

در صورت وجود این پیکربندی:
• کاربران Admin یا VPN ممکن است بدون 2FA وارد سیستم شوند
• این آسیب‌پذیری پیش‌تر نیز در حملات واقعی سال 2021 علیه تجهیزات Perimeter مورد استفاده قرار گرفته است

🧩 شرایط لازم برای Exploit شدن (طبق Advisory جدید – 24 دسامبر 2025)
• وجود Local User با 2FA که به LDAP ارجاع داده شده
• عضویت همان کاربر در Groupهای LDAP
• استفاده از آن Group در Policyهای احراز هویت (Admin، SSL VPN یا IPsec)

🛠 اقدامات اصلاحی و Mitigation
• این مشکل در نسخه‌های زیر از سال 2020 برطرف شده است:
FortiOS 6.0.10 | 6.2.4 | 6.4.1
• در نسخه‌های قدیمی‌تر، اجرای دستور زیر توصیه می‌شود:

set username-case-sensitivity disable

• در نسخه‌های 6.0.13، 6.2.10، 6.4.7، 7.0.1 و جدیدتر:

set username-sensitivity disable

با غیرفعال‌سازی حساسیت به حروف، FortiGate تمام حالت‌های نوشتاری نام کاربری را یکسان در نظر می‌گیرد و امکان Bypass از بین می‌رود.

🔐 اقدام تکمیلی پیشنهادی
در صورت عدم نیاز، حذف LDAP Group ثانویه می‌تواند کل مسیر حمله را مسدود کند.

📞 021-22910177
📱 t.me/adpsecurity
🌐 www.armandata.ir
✉️ info@armandata.com