اکیدا توصیه می گردد دارندگان این روترها، ضمن بروزرسانی سیستم عامل RouterOS، دسترسی به پورت ۸۲۹۱ (winbox) را بصورت عمومی بر بستر اینترنت مسدود نمایند.
@futuresnet
@futuresnet
⚠️ آسیب پذیری zero day در مرورگر کروم.
گوگل می گوید این آسیب پذیری بسیار شدید است و فعلا جزئیاتی را ارائه نداده است. پست وبلاگ گوگل در مورد آسیب پذیری آن را "CVE-2019-5786: Use-after-free در FileReader" می نامد.
این حمله شامل API Chrome FileReader است. و اجازه می دهد مرورگر برای دسترسی به فایل های محلی بر روی سیستم کاربر مجوز داشته باشد و براحتی قادر به نصب برنامه بر روی سیستم کاربر می باشد. در تمام سیستم عامل ها مانند لینوکس، ویندوز و مک آسیب پذیری قابل اجرا می باشد.
@futuresnet
گوگل می گوید این آسیب پذیری بسیار شدید است و فعلا جزئیاتی را ارائه نداده است. پست وبلاگ گوگل در مورد آسیب پذیری آن را "CVE-2019-5786: Use-after-free در FileReader" می نامد.
این حمله شامل API Chrome FileReader است. و اجازه می دهد مرورگر برای دسترسی به فایل های محلی بر روی سیستم کاربر مجوز داشته باشد و براحتی قادر به نصب برنامه بر روی سیستم کاربر می باشد. در تمام سیستم عامل ها مانند لینوکس، ویندوز و مک آسیب پذیری قابل اجرا می باشد.
@futuresnet
مرکز ماهر:
افزایش تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور
در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور به شدت افزایش پیدا کرده است.
بیش از ۷۵۰۰ دستگاه دارای این ضعف امنیتی در سطح کشور شناسایی شده. این درگاه مربوط به یک قابلیت مستند نشده دیباگ در این تجهیزات است
Www.Cert.ir/news/12645
افزایش تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور
در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به دوربینهای مدار بسته تحت IP در سطح کشور به شدت افزایش پیدا کرده است.
بیش از ۷۵۰۰ دستگاه دارای این ضعف امنیتی در سطح کشور شناسایی شده. این درگاه مربوط به یک قابلیت مستند نشده دیباگ در این تجهیزات است
Www.Cert.ir/news/12645
خبر !
انتشار وصله برای بسياری از نقصهای جدی سوئيچهای Nexus توسط سيسکو
# سیسکو در هفتهی اول ماه مارس سال 2019 بیش از دو دوجین آسیبپذیری جدی را در سوئیچهای Nexus برطرف ساخته است. این آسیبپذیریها در صورتی که مورد سوءاستفاده قرار بگیرند میتوانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیهنامههای جداگانهای برای هر یک از این نقصها متشر شده است که بسیاری از آنها، نرمافزار NX-OS که سوئیچهای Nexus را روشن میکند و برخی دستگاههای دیگر سیسکو را تحتتأثیر قرار میدهد.
شکافهای امنیتی که با شدت «بالا» رتبهبندی شدهاند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیادهسازی پوستهی Bash، پیادهسازی پروتکل FCoE NPV، اجزای سیستمفایل، پشتهی شبکه، اجزای Fabric Services، ویژگی NX-API و پیادهسازی 802.1X را تحتتأثیر قرار میدهند.
بسیاری از این نقصها به مهاجمان داخلی مجاز اجازه میدهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرمافزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوستهی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیبپذیریها که میتوانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه میدهند منجر به یک وضعیت DoS در دستگاههای متأثر شوند. یکی از این نقصها میتواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بستههای HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیبپذیریها توسط خود سیسکو کشف شدهاند و به گفتهی این شرکت، تاکنون سوءاستفادهی مخربی از این آسیبپذیریها مشاهده نشده است.
سیسکو یک توصیهنامهی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور میکند شبکههایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیشفرض فعال است و بدین منظور طراحی شده است تا به سازمانها کمک کند راهاندازی و پیکربندی اولیهی سوئیچهای Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخدهی میپذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، میتواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه میدهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیادهسازی اولیهی POAP دارای گزینهای برای غیرفعالسازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعالکردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان میتوانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین میکند POAP طی بوت بعدی شروع به کار نمیکند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصلههایی که سیسکو در هفتهی اول ماه مارس سال جاری منتشر ساخته است در وبسایت آن در دسترس است
انتشار وصله برای بسياری از نقصهای جدی سوئيچهای Nexus توسط سيسکو
# سیسکو در هفتهی اول ماه مارس سال 2019 بیش از دو دوجین آسیبپذیری جدی را در سوئیچهای Nexus برطرف ساخته است. این آسیبپذیریها در صورتی که مورد سوءاستفاده قرار بگیرند میتوانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیهنامههای جداگانهای برای هر یک از این نقصها متشر شده است که بسیاری از آنها، نرمافزار NX-OS که سوئیچهای Nexus را روشن میکند و برخی دستگاههای دیگر سیسکو را تحتتأثیر قرار میدهد.
شکافهای امنیتی که با شدت «بالا» رتبهبندی شدهاند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیادهسازی پوستهی Bash، پیادهسازی پروتکل FCoE NPV، اجزای سیستمفایل، پشتهی شبکه، اجزای Fabric Services، ویژگی NX-API و پیادهسازی 802.1X را تحتتأثیر قرار میدهند.
بسیاری از این نقصها به مهاجمان داخلی مجاز اجازه میدهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرمافزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوستهی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیبپذیریها که میتوانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه میدهند منجر به یک وضعیت DoS در دستگاههای متأثر شوند. یکی از این نقصها میتواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بستههای HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیبپذیریها توسط خود سیسکو کشف شدهاند و به گفتهی این شرکت، تاکنون سوءاستفادهی مخربی از این آسیبپذیریها مشاهده نشده است.
سیسکو یک توصیهنامهی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور میکند شبکههایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیشفرض فعال است و بدین منظور طراحی شده است تا به سازمانها کمک کند راهاندازی و پیکربندی اولیهی سوئیچهای Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخدهی میپذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، میتواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه میدهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیادهسازی اولیهی POAP دارای گزینهای برای غیرفعالسازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعالکردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان میتوانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین میکند POAP طی بوت بعدی شروع به کار نمیکند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصلههایی که سیسکو در هفتهی اول ماه مارس سال جاری منتشر ساخته است در وبسایت آن در دسترس است
futures Network
#Alert
هک CCleaner یکی از بزرگترین حملات زنجیره تامین بود که بیش از 2.3 میلیون کاربر را با نسخه دارای backdoor نرم افزار در سپتامبر 2017 آلوده کرد!
گروهی از هکرهای دولتی سال گذشته موفق به ربودن سرور به روزرسانی خودکار نرم افزار ASUS Live در ماه ژوئن و نوامبر 2018 شدند و به روز رسانی های مخرب را برای نصب بیش از یک میلیون کامپیوتر ویندوز در سراسر جهان تحت فشار قرار دادند.
به گفته محققان امنیتی سایبری از آزمایشگاه کسپرسکی روسیه، که این حمله را کشف و به نام Operation ShadowHammer نامگذاری کرده است، Asus در مورد حمله زنجیره تامین عرضه در 31 ژانویه 2019 مطلع شده است.
پس از تجزیه و تحلیل بیش از 200 نمونه از به روز رسانی مخرب، محققان متوجه شدند که هکرها نمی خواستند همه کاربران را هدف قرار دهند، بلکه فقط یک لیست خاص از کاربران شناسایی شده توسط آدرس های MAC منحصر به فرد خود را که به نرم افزارهای مخرب hardcoded شده است.
محققان می گویند: "ما توانستیم بیش از 600 آدرس منحصر به فرد MAC را از بیش از 200 نمونه مورد استفاده در این حمله استخراج کنیم. البته، ممکن است نمونه های دیگری نیز وجود داشته باشد که با لیست های مختلف MAC در لیست آنها وجود داشته باشد.
@futuresnet
گروهی از هکرهای دولتی سال گذشته موفق به ربودن سرور به روزرسانی خودکار نرم افزار ASUS Live در ماه ژوئن و نوامبر 2018 شدند و به روز رسانی های مخرب را برای نصب بیش از یک میلیون کامپیوتر ویندوز در سراسر جهان تحت فشار قرار دادند.
به گفته محققان امنیتی سایبری از آزمایشگاه کسپرسکی روسیه، که این حمله را کشف و به نام Operation ShadowHammer نامگذاری کرده است، Asus در مورد حمله زنجیره تامین عرضه در 31 ژانویه 2019 مطلع شده است.
پس از تجزیه و تحلیل بیش از 200 نمونه از به روز رسانی مخرب، محققان متوجه شدند که هکرها نمی خواستند همه کاربران را هدف قرار دهند، بلکه فقط یک لیست خاص از کاربران شناسایی شده توسط آدرس های MAC منحصر به فرد خود را که به نرم افزارهای مخرب hardcoded شده است.
محققان می گویند: "ما توانستیم بیش از 600 آدرس منحصر به فرد MAC را از بیش از 200 نمونه مورد استفاده در این حمله استخراج کنیم. البته، ممکن است نمونه های دیگری نیز وجود داشته باشد که با لیست های مختلف MAC در لیست آنها وجود داشته باشد.
@futuresnet
🚨هشدار، اتفاق عجیب در آخرین آپدیت تلگرام !
در این آپدیت، طرف مقابل شما جدا از اینکه میتونه پیام های خودش رو پاک کنه، میتونه پیام های شما رو هم از صفحه تلگرامتون پاک کنه، این نسخه، با این مشکل بزرگ، باعث افزایش کلاهبرداری ها خراب کاری و حتی اقدامات تروریستی میشه !
▫️پاول دورف، به خاطر اعتراض ها، یک نظرسنجی در کانالش گذاشته، شما با زدن گزینه دوم؛ (Awful, take it back) میتونید با این آپدیت مخالفت کنید تا این امکان از آپدیت برداشته بشه
امیدواریم در نسخه بعدی این ویژگی بهبود یابد:)
@futuresnet
در این آپدیت، طرف مقابل شما جدا از اینکه میتونه پیام های خودش رو پاک کنه، میتونه پیام های شما رو هم از صفحه تلگرامتون پاک کنه، این نسخه، با این مشکل بزرگ، باعث افزایش کلاهبرداری ها خراب کاری و حتی اقدامات تروریستی میشه !
▫️پاول دورف، به خاطر اعتراض ها، یک نظرسنجی در کانالش گذاشته، شما با زدن گزینه دوم؛ (Awful, take it back) میتونید با این آپدیت مخالفت کنید تا این امکان از آپدیت برداشته بشه
امیدواریم در نسخه بعدی این ویژگی بهبود یابد:)
@futuresnet
♦️هشدار: در اقدامی عجیب، سیسکو برای آسیبپذیری بحرانی تزریق دستور (CVE-2019-1652) در خانواده روترهای RV320 و RV325 وصلهای ارائه کرده که در آن مهاجمین احمق فرض شدهاند (گفته شده که اگر در User-agent مهاجم کلمه کلیدی curl وجود داشت بلاک شود!) اما این حمله به روشهای مختلفی انجام خواهد شد. متخصصین زیرساختهای ایران و بخش خصوصی در جریان باشند.
هرچند که نهادهای اطلاعرسانی در ایران همچنان خوابند و در تعطیلات عید بسر میبرند. گزارش توزیع این آسیبپذیری در ایران از طریق آفسک در مطالب بعدی منتشر خواهد شد. منبع:رسانه آفسک
هرچند که نهادهای اطلاعرسانی در ایران همچنان خوابند و در تعطیلات عید بسر میبرند. گزارش توزیع این آسیبپذیری در ایران از طریق آفسک در مطالب بعدی منتشر خواهد شد. منبع:رسانه آفسک
futures Network
congestion control flow control new record coming soon about core network on : ISDN MPLS ATM PSTN PSDN FrameRelay x.25 GSM SS7 SGNS VANET NGN network کاربردی ترین نکات زیرساخت شبکه های wan و Ganطی ۱سال تحقیقات و مطالعه در زمینه زیرساخت پس از ارائه مقاله…
This media is not supported in your browser
VIEW IN TELEGRAM
♦️ فوری: کشف آسیب پذیری امنیتی جدید در پروتکل جدید وایفای
پس از نزدیک به یک سال از انتشار استاندارد جدید وایفای (WPA3)، محققین امنیتی موفق به کشف آسیب پذیری هایی در این پروتکل شدند که می تواند منجر به دسترسی هکر ها به پسورد شبکه وایفای شود. این آسیب پذیری توسط Mathy Vanhoef کشف شده که قبلا نیز آسیب پذیری KRACK را در WPA2 کشف و منتشر کرده بود. یکی از مزایای WPA3 ، استفاده از Dragonfly handshake بود که این پروتکل را نسبت به نسخه قبلی خود امن تر کرده و کرک پسورد را تقریبا غیرممکن می کرد، اما این محقق به همراه همکارش موفق به کشف دو نوع حمله علیه این پروتکل شده است:
۱- متدی که این حمله استفاده می کند Downgrade attack نام دارد که در واقع به هر نوع حمله که منجر به اجبار یک نرم افزار به استفاده از نسخه های قدیمی تر یک پروتکل شود اطلاق می شود (حملات مشابهی در TLS/SSL هم قبلا منتشر شده اند). مزیت اصلی این نوع حملات برای هکر ها، خنثی کردن امکانات امنیتی اضافه شده در نسخه جدید پروتکل، و امکان استفاده از تکنیک های قدیمی تر حمله بر روی نسخه های قدیمی تر آن است. حمله کننده برای این کار تنها کافی است SSID شبکه را بداند.
۲- این دو محقق همچنین دو آسیب پذیری کانال جانبی (side channel) منتشر کرده اند که در حملات دیکشنری برای شکستن پسورد وایفای می تواند استفاده شود. یکی از این آسیب پذیری ها مبتنی بر cache و دومی مبتنی بر زمان است. به زودی ابزار PoC این آسیب پذیری ها توسط این محققین بر روی گیت هاب منتشر خواهد شد.: https://wpa3.mathyvanhoef.com
پس از نزدیک به یک سال از انتشار استاندارد جدید وایفای (WPA3)، محققین امنیتی موفق به کشف آسیب پذیری هایی در این پروتکل شدند که می تواند منجر به دسترسی هکر ها به پسورد شبکه وایفای شود. این آسیب پذیری توسط Mathy Vanhoef کشف شده که قبلا نیز آسیب پذیری KRACK را در WPA2 کشف و منتشر کرده بود. یکی از مزایای WPA3 ، استفاده از Dragonfly handshake بود که این پروتکل را نسبت به نسخه قبلی خود امن تر کرده و کرک پسورد را تقریبا غیرممکن می کرد، اما این محقق به همراه همکارش موفق به کشف دو نوع حمله علیه این پروتکل شده است:
۱- متدی که این حمله استفاده می کند Downgrade attack نام دارد که در واقع به هر نوع حمله که منجر به اجبار یک نرم افزار به استفاده از نسخه های قدیمی تر یک پروتکل شود اطلاق می شود (حملات مشابهی در TLS/SSL هم قبلا منتشر شده اند). مزیت اصلی این نوع حملات برای هکر ها، خنثی کردن امکانات امنیتی اضافه شده در نسخه جدید پروتکل، و امکان استفاده از تکنیک های قدیمی تر حمله بر روی نسخه های قدیمی تر آن است. حمله کننده برای این کار تنها کافی است SSID شبکه را بداند.
۲- این دو محقق همچنین دو آسیب پذیری کانال جانبی (side channel) منتشر کرده اند که در حملات دیکشنری برای شکستن پسورد وایفای می تواند استفاده شود. یکی از این آسیب پذیری ها مبتنی بر cache و دومی مبتنی بر زمان است. به زودی ابزار PoC این آسیب پذیری ها توسط این محققین بر روی گیت هاب منتشر خواهد شد.: https://wpa3.mathyvanhoef.com
Mathyvanhoef
Dragonblood: Analysing WPA3's Dragonfly Handshake
This website presents the Dragonblood Attack. It is a collection of attacks against the WPA3 protocol, which mainly abuse the password element generation algorithm of WPA3's Dragonfly handshake.
♦️هشدار: باگ خطرناک WinRAR و لزوم توجه ایران نسبت به حملات APT با بهرهگیری از این باگ
چند وقت پیش تیم امنیت مایکرسافت حملهای سازمانیافته را تشخیص داد که از یک آسیب پذیری برنامه WinRAR (که چند هفته قبل تر از آن منتشر شده بود) استفاده میکرد و مهاجمین بصورت هدفمند (سازمان های ماهواره ای و ارتباطات) را به اجرای حملات خود باسواستفاده از این ضعف امنیتی پرداخته بودند. این حملات پیچیده با زنجیرهای از تکنیک های تزریق کد (Code Injection) سعی در اجرای یک درب پشتی پاورشل (Fileless PowerShell) به منظور دسترسی کامل بر روی سیستم قربانی داشتند.
محققان امنیتی Check Point نزدیک یک ماه پیش با کشف این آسیب پذیری و ارائه دمو بر روی فایلهای با پسوند ACE (مرتبط با یکی از کتابخانههای آسیبپذیر Winrar) نشان دادند که چطور مهاجمین با اجرای کد مخرب خود (بصورت راه دور) می توانند از این ضعف سواستفاده کنند. شدت استفاده مهاجمین از این آسیب پذیری به گونه ای بود که در حدود ۳۶۰ حمله تنها در بازه زمانی ۲ روز توسط محققین امنیتی کشف گردید.
با اینکه استفاده از فایلهای ACE در میان مهاجمین سایبری غیرمعمول نیست، اما همزمان با انتشار این ضعف و اهمیت این موضوع، بسیاری از تیم های امنیتی کشورهای مختلف با کمک تشخیص براساس رفتار و ابزارهای پیشرفته به منظور تشخیص تهدیدات شروع به بررسی کرده اند.
@futuresnet
چند وقت پیش تیم امنیت مایکرسافت حملهای سازمانیافته را تشخیص داد که از یک آسیب پذیری برنامه WinRAR (که چند هفته قبل تر از آن منتشر شده بود) استفاده میکرد و مهاجمین بصورت هدفمند (سازمان های ماهواره ای و ارتباطات) را به اجرای حملات خود باسواستفاده از این ضعف امنیتی پرداخته بودند. این حملات پیچیده با زنجیرهای از تکنیک های تزریق کد (Code Injection) سعی در اجرای یک درب پشتی پاورشل (Fileless PowerShell) به منظور دسترسی کامل بر روی سیستم قربانی داشتند.
محققان امنیتی Check Point نزدیک یک ماه پیش با کشف این آسیب پذیری و ارائه دمو بر روی فایلهای با پسوند ACE (مرتبط با یکی از کتابخانههای آسیبپذیر Winrar) نشان دادند که چطور مهاجمین با اجرای کد مخرب خود (بصورت راه دور) می توانند از این ضعف سواستفاده کنند. شدت استفاده مهاجمین از این آسیب پذیری به گونه ای بود که در حدود ۳۶۰ حمله تنها در بازه زمانی ۲ روز توسط محققین امنیتی کشف گردید.
با اینکه استفاده از فایلهای ACE در میان مهاجمین سایبری غیرمعمول نیست، اما همزمان با انتشار این ضعف و اهمیت این موضوع، بسیاری از تیم های امنیتی کشورهای مختلف با کمک تشخیص براساس رفتار و ابزارهای پیشرفته به منظور تشخیص تهدیدات شروع به بررسی کرده اند.
@futuresnet