🔐 COBIT در مقابل ISO 27001 در مقابل NIST – کدام چارچوب امنیت سایبری برای سازمان
شما مناسب‌تر است؟ 🔐
در چشم‌انداز تهدید امروزی که به سرعت در حال تحول است، انتخاب چارچوب امنیت سایبری مناسب برای مدیریت ریسک، انطباق و حاکمیت فناوری اطلاعات بسیار مهم است. اما با چند چارچوب موجود، چگونه تصمیم می گیرید؟

🤔 در اینجا یک تفکیک سریع از سه چارچوب پرکاربرد آورده شده است:
✅ COBIT (اهداف کنترلی برای اطلاعات و فناوری‌های مرتبط) – COBIT که توسط ISACA توسعه داده شده است، بر حاکمیت فناوری اطلاعات تمرکز می‌کند و اهداف تجاری را با مدیریت ریسک موثر همسو می‌کند. ایده آل برای سازمان هایی که به دنبال بهبود فرآیندها و همسویی فناوری اطلاعات هستند.

✅ ISO 27001 (سازمان بین المللی استاندارد) – یک استاندارد شناخته شده جهانی برای سیستم های مدیریت امنیت اطلاعات (ISMS). این یک رویکرد ساختاریافته برای پیاده سازی و بهبود کنترل های امنیتی برای مدیریت داده های حساس شرکت ارائه می دهد.

✅ NIST (موسسه ملی استانداردها و فناوری) – در ابتدا در ایالات متحده استفاده می شود اما در سطح جهانی پذیرفته شده است، NIST بر مدیریت ریسک امنیت سایبری تمرکز دارد. این بهترین شیوه ها را برای پیشگیری، شناسایی، پاسخ به تهدیدات سایبری و بازیابی از آنها ارائه می دهد.

💡 هر چارچوب هدف منحصر به فردی را دنبال می کند. برخی از سازمان ها عناصر هر سه را برای ایجاد یک استراتژی امنیتی قوی ترکیب می کنند!

🚀 سازمان شما از کدام چارچوب استفاده می کند و چرا؟ بیایید در نظرات بحث کنیم! 👇
#امنیت_سایبری #InfoSec #RiskManagement #ISO27001 #COBIT #NIST #ITGovernance #Compliance #CyberRisk

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

آسیب پذیری بوت لودر سیستم درایو سروو SINAMICS S200 به دلیل نقص در روش احراز هویت

بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند.

BDU: 2025-02718
CVE-2024-56336

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور به دستگاه ها.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر؛
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

منابع اطلاعاتی:
https://cert-portal.siemens.com/productcert/html/ssa-787280.html
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🖥 مبارزه با بدهی های امنیتی

نیمی از شرکت‌هایی که نرم‌افزار تولید می‌کنند، «بدهی امنیت اطلاعات» حیاتی دارند که ۷۰ درصد از بدهی مربوط به استفاده از کد شخص ثالث است.
بر اساس گزارش 2025 وضعیت امنیت نرم افزار Veracode، درصد برنامه های کاربردی با آسیب پذیری های با شدت بالا از سال 2020 تا 181 درصد افزایش یافته است.

برای کسانی که می‌خواهند بدانند بدهی امنیت اطلاعات از کجا می‌آید و شرکت‌ها چگونه با آن مبارزه نمی‌کنند، در اینجا بر توصیه‌های عملی تمرکز خواهیم کرد:

1. از دید کامل فرآیند توسعه امن خود اطمینان حاصل کنید
اسکن مداوم در سراسر SDLC را برای شناسایی آسیب‌پذیری‌های جدید قبل از انتشار کد به صورت خودکار انجام دهید. SAST، DAST و SCA را ادغام کنید تا کد خود را هنگام نوشتن آن ردیابی کنید. تشخیص زودهنگام به جلوگیری از تجمع خطرات کمک می کند. شرکت‌هایی که از ابزارهای خودکار استفاده می‌کنند، نرخ پاس‌های برتر OWASP 10 خود را تا 63 درصد بهبود داده‌اند.

2. از هوش مصنوعی برای خودکارسازی رفع آسیب پذیری استفاده کنید
از هوش مصنوعی برای اولویت‌بندی خودکار و رفع آسیب‌پذیری‌های پیچیده‌تر استفاده کنید. ابزارهای هوش مصنوعی تصحیح خطاهای ساده و تکراری را سرعت می‌بخشند و به متخصصان اجازه می‌دهند روی کارهای پیچیده‌تر تمرکز کنند. تیم‌هایی که از هوش مصنوعی استفاده می‌کنند کاهش قابل توجهی در میانگین «نیمه عمر» آسیب‌پذیری‌ها مشاهده کرده‌اند - مدت زمانی که برای رفع نیمی از نقص‌ها نیاز است.

3. سیاست Secure-by-Design را اجرا کنید
توسعه و اجرای سیاست های توسعه ای که مستلزم رعایت شیوه های کدگذاری ایمن است. هنگام انجام بازبینی کد، از دستورالعمل های OWASP به عنوان یک استاندارد پایه استفاده کنید تا اطمینان حاصل کنید که امنیت در مراحل اولیه توسعه یکپارچه شده است.

4. رفع آسیب پذیری های پرخطر را در اولویت قرار دهید
فرآیندی ایجاد کنید که 8 درصد از آسیب‌پذیری‌ها را با بالاترین امتیازات شدت و قابلیت بهره‌برداری شناسایی و اصلاح کند. از مدل‌های ارزیابی ریسک برای اولویت‌بندی رفع آسیب‌پذیری‌های مهم نسبت به آسیب‌پذیری‌های کمتر مهم استفاده کنید. این امر بسیاری از ریسک های واقعی در سرمایه گذاری منابع محدود را از بین می برد.

5. اختصاص زمان به طرح هایی برای کاهش «بدهی امنیتی»
برای از بین بردن بدهی های امنیتی، "متخصصان امنیتی" را به تیم های توسعه اختصاص دهید که به طور انحصاری بر رفع آسیب پذیری های کلیدی تمرکز دارند.

6. از امنیت اجزای شخص ثالث و منبع باز اطمینان حاصل کنید
کدهای شخص ثالث را به طور فعال اسکن و نظارت کنید تا از معرفی مؤلفه هایی که می توانند خطرات قابل توجهی ایجاد کنند، جلوگیری کنید.

7. استراتژی ها را با طول عمر و زبان برنامه های خود تطبیق دهید
زبان برنامه نویسی و طول عمر برنامه های کاربردی را در برنامه های کاهش آسیب پذیری خود در نظر بگیرید. به پایگاه های کد بزرگ و قدیمی توجه ویژه ای داشته باشید، زیرا آنها اغلب بدهی امنیت اطلاعات قابل توجهی را انباشته می کنند و آنها را به هدفی آشکار برای بهبود تبدیل می کند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان یک کمپین فیشینگ بسیار هدفمند جدید را کشف کردند که حداقل پنج سازمان امارات متحده عربی را در بخش‌های هوانوردی، ارتباطات ماهواره‌ای و زیرساخت‌های حیاتی با استفاده از درپشتی Sosano که قبلاً مستند نشده بود، هدف قرار می‌دهد.

این فعالیت مخرب در پایان اکتبر 2024 شناسایی شد و از آن زمان به عنوان یک خوشه جدید با نام رمز UNK_CraftyCamel ردیابی شده است.

یکی از جنبه های قابل توجه زنجیره حمله، استفاده مهاجم از یک حساب ایمیل در معرض خطر متعلق به شرکت هندی INDIC Electronics برای ارسال ایمیل های فیشینگ و تحویل Sosano است.

شرکت الکترونیک هندی به روابط تجاری با تمام اهداف کمپین اعتماد داشت و فریب ها شخصاً برای هر یک از آنها طراحی شده بودند.

ایمیل‌ها حاوی نشانی‌های اینترنتی بودند که به دامنه‌ای اشاره می‌کردند که به عنوان یک شرکت هندی ("indicelectronics[.]net") که میزبان یک آرشیو ZIP حاوی یک فایل XLS و دو فایل PDF بود، نشان می‌داد.

اما در واقعیت، XLS یک میانبر ویندوز (LNK) با استفاده از یک پسوند دوگانه بود که به عنوان یک سند مایکروسافت اکسل ظاهر می شد.

این دو PDF چند زبانه بودند: یکی با یک فایل HTA تکمیل شد و دیگری با یک آرشیو ZIP پیوست شده به آن.

هر دو فایل PDF بسته به اینکه چگونه با استفاده از برنامه هایی مانند مدیر فایل، ابزارهای خط فرمان و مرورگرها تجزیه می شوند، می توانند به عنوان دو فرمت معتبر متفاوت تفسیر شوند.

توالی حمله شامل استفاده از یک فایل LNK برای راه‌اندازی cmd.exe، سپس mshta.exe برای راه‌اندازی یک فایل چند زبانه PDF/HTA بود که منجر به اجرای یک اسکریپت HTA می‌شد که به نوبه خود حاوی دستورالعمل‌هایی برای باز کردن محتوای آرشیو ZIP موجود در فایل PDF دوم بود.

یکی از فایل‌های PDF دوم، یک فایل میانبر اینترنتی (URL) است که وظیفه دانلود یک فایل باینری را بر عهده دارد و از طریق یک فایل تصویری، رمزگشایی و اجرای یک DLL درب پشتی به نام Sosano را اجرا می‌کند.

این ایمپلنت که در Golang نوشته شده است، عملکرد محدودی دارد که به آن اجازه می دهد با C2 برای اجرای دستورات بیشتر، از جمله راه اندازی یک بار ناشناخته در مرحله بعدی، ارتباط برقرار کند.

فعالیت UNK_CraftyCamel با دیگر بازیگران یا گروه های تهدید شناخته شده همپوشانی ندارد، اما با توجه به بخش های هدف (هواپیمایی، ارتباطات ماهواره ای، زیرساخت های مهم حمل و نقل در امارات متحده عربی) احتمالاً با ایران مرتبط است.

با این حال، مقیاس کوچک، همراه با چندین روش مبهم سازی، و مصالحه مورد اعتماد شخص ثالث برای حمله، نشان دهنده علاقه استراتژیک بازیگر APT در به دست آوردن اطلاعات اطلاعاتی است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

آسیب‌پذیری در مؤلفه WebHMI سیستم SCADA رابط کاربری سیستم اتوماسیون برق EcoStruxure (EcoSUI) و سیستم بهینه‌سازی منبع انرژی توزیع‌شده EcoStruxure Microgrid Operation Large (EMO-L) به مقداردهی اولیه منابع ناامن مربوط می‌شود. سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجمی که از راه دور عمل می‌کند اجازه دسترسی غیرمجاز به دستگاه را بدهد.

BD U:2025-02540
CVE-2025-1960

نصب به روز رسانی از منابع قابل اعتماد توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به دستگاه ها.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-070-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-070-03.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب پذیری در هسته Juniper Networks Junos OS به دلیل جداسازی فضایی ناکافی است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا با ارسال یک فایل ساخته شده خاص، کد دلخواه را اجرا کند.

BDU: 2025-02715
CVE-2025-21590

نصب به روز رسانی از منابع قابل اعتماد توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای جلوگیری از تلاش برای سوء استفاده از آسیب پذیری.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از یک محیط نرم افزاری بسته برای کار با فایل های دریافت شده از منابع نامعتبر.
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده

استفاده از توصیه ها:
https://supportportal.juniper.net/s/article/2025-03-Out-of-Cycle-Security-Bulletin-Junos-OS-A-local-attacker-with-shell-access-can-execute-arbitrary-code-CVE-2025-21590USGU?
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب پذیری در مکانیزم مدیریت رابط کاربری سیستم عامل ویندوز (UI) برای فایل های LNK. به دلیل خطا در ارائه اطلاعات توسط UI است. سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا دستورات سیستم عامل دلخواه را با ارسال یک فایل .LNK به‌طور مخفیانه اجرا کند.

BDU: 2025-02936

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای جلوگیری از تلاش برای سوء استفاده از آسیب پذیری.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری.

منابع اطلاعاتی:
https://www.zerodayinitiative.com/advisories/ZDI-25-148/

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری اجزای Veeam.Backup.Core.BackupSummary و Veeam.Backup.EsxManager.xmlFrameworkDs از Veeam Backup & Replication، یک راه حل حفاظتی سیستم های ابری، مجازی و فیزیکی، به کاستی های مکانیسم deserialization مربوط می شود. سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجم راه دور اجازه دهد تا با ارسال درخواست‌های ساخته‌شده خاص، کد دلخواه را اجرا کند.

BDU: 2025-03134
CVE-2025-23120

نصب به روز رسانی از منابع قابل اعتماد توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به نرم افزارهای آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از ابزارهای تشخیص نفوذ و پیشگیری (IDS/IPS) برای شناسایی و پاسخ به تلاش‌ها برای بهره‌برداری از آسیب‌پذیری؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده

از توصیه های سازنده استفاده کنید:
https://www.veeam.com/kb4724
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

باتوجه به شناسایی گروه هکری APT15، مرکز مدیریت راهبردی افتا با هدف کمک به راهبران سایبری زیرساخت‌ها و برای شناسایی ردپاهای احتمالی این گروه در سازمان‌ها و دستگاه‌ها، ابزار شناساگر APT15 را منتشر کرده است.

لینک دانلود و آموزش نحوه استفاده از ابزار شناسایی:
https://afta.gov.ir/fa-IR/Portal/1/news/view/14594/2203/Staging/


متخصصان و راهبران سایبری دستگاه‌ها و سازمان‌ها، پس از اجرای ابزار در سامانه‌های خود، به محض مشاهده ردپایی از گروه هکری APT15 باید بلافاصله، مرکز افتا را مطلع کنند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

افتا اعلام كرد: قطع دسترسی گروهی هكری به برخی اطلاعات كشوری
متخصصان امنیت سایبری مرکز مدیریت راهبردی افتا موفق به شناسایی گروه هکری (APT) شدند که به زیرساخت‌های حیاتی کشور نفوذ کرده بودند.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، این گروه هکری با نام‌ APT15 موفق شده بودند که در برخی از دستگاهها و سازمان‌های دارای زیرساخت‌های حیاتی کشور، به اطلاعاتی دست یابند.
اقدام به موقع متخصصان امنیت سایبری مرکز مدیریت راهبردی افتا و مقابله با نفوذ هکران موجب قطع ارتباط آنان با زیرساخت‌های حیاتی ایران شده و سامانه‌های سایبری سازمان‌های هدف هکران، پاکسازی و امن سازی شده است.
گروه‌ هکری APT15 که نام اصلیش CloudComputating است و همچنین با نام‌های دیگری همچون BackdoorDiplomacy,Vixen Panda,Ke3Chang,NICKEL نیز شناخته می‌شود، یک گروه تهدید دائمی پیشرفته است که در کمپین‌های جاسوسی سایبری پیشرفته دنیا فعالیت دارد و اهداف اصلی آن‌ها شامل سازمان‌های دولتی و دیپلماتیک در آمریکای شمالی و جنوبی، آفریقا و خاورمیانه است.
این گروه با استفاده از تکنیک‌هایی همچون: فیشینگ پیشرفته، مهندسی اجتماعی، بهره‌برداری از آسیب‌پذیری‌ها، استفاده از بدافزارهای سفارشی، جمع‌آوری اطلاعات، نقض زیرساخت‌های امنیتی و نظارت طولانی‌مدت ضمن ایجاد اختلال در سیستم‌ها یا ایجاد دسترسی‌های پنهان برای بهره‌برداری در آینده، به داده‌های حساس، ایمیل‌ها، یا اسناد مهم دسترسی می یابند.
این گروه هکری برای افشای اطلاعات حساس یا اجرای فایل‌های مخرب کاربران دستگاه‌ها و سازمان‌ها را فریب داده، نقاط ضعف امنیتی در نرم‌افزارهای سازمانی را شناسایی و از آنها سوءاستفاده کرده و برای دو زدن مکانیزم‌های امنیت سایبری از بدافزارهای منحصر به فردی استفاده می‌کنند.
هکران گروه APT15 همچنین با حفظ حضور در سیستم‌های هدف و قربانی شده، بر فعالیت‌های سازمان‌ها و دستگاهها نظارت مستمر دارند.
مرکز مدیریت راهبردی افتا همچنان مشغول شناسایی آلودگی‌های احتمالی درسازمان‌های دارای زیرساخت حیاتی کشور است و متخصصان این مرکز، تمام تلاش خود را خواهند کرد تا از اطلاعات سازمان‌ها و دستگاههای دارای زیر ساخت حیاتی مراقبت کنند.
https://afta.gov.ir/fa-IR/Portal/1/news/view/14594/2201/Staging/

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🛑هشدار : دیتای sample نشر داده شده برای هک بانک سپه به احتمال بسیار زیاد حاوی malware هست!!

اگر sample های نشر داده شده توسط گروه codebreakers را دانلود میکنید حتما حتما در فضای sandbox باز کنید! چون بعد از باز کردن فایل اکسل یک xml داخلی run میشه و یک xn--mgb5ck75c.exe دانلود میشه روی سیستمتون!!
احتمالا برای data collect و recon برای شناسایی تارگت حمله های بعدی از این روش استفاده می کنند

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

✨ عید سعید فطر مبارک! ✨

یک ماه بندگی، یک عمر رحمت! 🌙✨
عید فطر، جشن بازگشت به پاکی و آغازی دوباره است. امیدوارم این عید برای شما و عزیزانتان پر از شادی، آرامش و برکت باشد. 🌸💫

عیدتان مبارک! 🙏🎉

درایور سیستم فایل HFS هسته لینوکس در برابر عملیات بافر حافظه خارج از محدوده آسیب پذیر است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را با نصب یک تصویر سیستم فایل ساخته شده خاص اجرا کند.

BDU: 2025-03186
CVE-2025-0927

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای جلوگیری از تلاش برای سوء استفاده از آسیب پذیری.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از یک ایستگاه کاری مجزا برای نصب تصاویر سیستم فایل به دست آمده از منابع نامعتبر.

استفاده از توصیه ها:
برای لینوکس:
نصب به‌روزرسانی‌های هسته لینوکس از مخزن مرکز فناوری:
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/log/?h=v5.10.232-lvc40
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/log/?h=v6.1.121-lvc11

برای سیستم عامل های اوبونتو:
https://ubuntu.com/security/CVE-2025-0927
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یک آسیب پذیری در مجموعه ابزار VMware Tools برای سیستم عامل های ویندوز مربوط به دور زدن رویه احراز هویت با استفاده از یک مسیر یا کانال جایگزین است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا امتیازات خود را در یک ماشین مجازی افزایش دهد.

BDU: 2025-03269
CVE-2025-22230

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به ماشین های مجازی.
- تقسیم بندی شبکه برای محدود کردن دسترسی به ماشین های مجازی از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از ابزارهای تشخیص نفوذ و پیشگیری (IDS/IPS) برای شناسایی و پاسخ به تلاش‌ها برای سوء استفاده از آسیب‌پذیری؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

پردازش تصویر نوری: دوربینی که همزمان می بیند و می فهمد

دانشمندان دانشگاه پرینستون و دانشگاه واشنگتن یک فناوری بینایی کامپیوتری ایجاد کرده اند که در آن فرآیند تشخیص اشیاء با عبور نور از سیستم اتفاق می افتد. به جای عناصر نوری سنتی، محققان از 50 لایه فراسطح استفاده کردند - مواد بسیار نازک با نانوساختارهایی که می توانند امواج نور را دستکاری کنند.

مزیت کلیدی سیستم جدید این است که محاسبات را مستقیماً در محیط نوری انجام می دهد و به عنوان یک شبکه عصبی فیزیکی عمل می کند. برخلاف روش‌های سنتی، که در آن دوربین ابتدا یک تصویر ایجاد می‌کند و سپس پردازشگر آن را تجزیه و تحلیل می‌کند، متاسرفیس‌ها داده‌های نوری را در مرحله اکتساب فیلتر می‌کنند و تنها ویژگی‌های مهم اشیا را برجسته می‌کنند.

نتیجه سیستمی است که 200 برابر سریع‌تر از روش‌های بینایی کامپیوتری معمولی عمل می‌کند و در عین حال حداقل انرژی را مصرف می‌کند. این فناوری با الهام از دید موجودات دریایی خاص مانند میگوی آخوندک و ساعد ماهی، امکانات جدیدی را برای سیستم‌های خودمختار، تشخیص‌های پزشکی و دستگاه‌های واقعیت افزوده می‌گشاید که می‌توانند فوراً محیط اطراف خود را تجزیه و تحلیل کنند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سیسکو اصلاحی را برای آسیب‌پذیری Webex برای BroadWorks اعلام کرد که می‌تواند به مهاجمان غیرمجاز اجازه دسترسی از راه دور به اعتبارنامه‌ها را بدهد.

در حالی که هنوز یک شناسه CVE به این مشکل اختصاص داده نشده است، سیسکو در بولتن امنیتی خود اشاره می کند که قبلاً تغییراتی در پیکربندی برای رفع مشکل ایجاد کرده است و توصیه می کند که مشتریان برنامه Cisco Webex را مجدداً راه اندازی کنند تا رفع مشکل را دریافت کنند.

یک آسیب‌پذیری در Cisco Webex for BroadWorks نسخه 45.2 می‌تواند به کاربر احراز هویت شده اجازه دسترسی به اعتبار متن واضح در گزارش‌های سرویس گیرنده و سرور را بدهد، زمانی که حمل و نقل ناامن برای ارتباطات SIP پیکربندی شده است.

این آسیب‌پذیری به دلیل اطلاعات حساس افشا شده در هدرهای SIP است و فقط بر روی نمونه‌های Cisco BroadWorks (On-Premises) و Cisco Webex for BroadWorks (Hybrid Cloud/On-Premises) که در محیط‌های ویندوز اجرا می‌شوند، تأثیر می‌گذارد.

این شرکت توصیه می کند که مدیران انتقال امن را برای ارتباطات SIP پیکربندی کنند تا داده های ارسال شده را به عنوان یک راه حل موقت رمزگذاری کنند تا زمانی که تغییر پیکربندی به محیط آنها برسد. علاوه بر این، اعتبارنامه ها را بچرخانید.

Cisco PSIRT اطمینان می دهد که هیچ مدرکی دال بر سوء استفاده مخرب یا اظهارات عمومی حاوی اطلاعات اضافی در مورد این آسیب پذیری وجود ندارد.
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-credexp-xMN85y6

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

کمپین مرتبط با بهره برداری از سه کمپین روزصفر VMware که اخیراً وصله شده اند، اکنون به عنوان ESXicape ردیابی می شود و ده ها هزار نمونه را تحت تأثیر قرار می دهد، همانطور که نتایج اسکن فعلی نشان می دهد.

در 4 مارس، Broadcom به مشتریان ESXi، Workstation و Fusion هشدار داد که اصلاحات فوری را برای CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226 منتشر کنند، که بهره برداری از آنها می تواند منجر به اجرای کد دلخواه، فرارهای حافظه sandbox شود. 

کشف باگ‌ها به مرکز اطلاعات تهدیدات مایکروسافت نسبت داده می‌شود (مایکروسافت احتمالاً شاهد حملات روزصفر نیز بوده است)، اما نه Broadcom و نه مایکروسافت هیچ اطلاعاتی در مورد فعالیت مخرب مشاهده شده به اشتراک نگذاشته‌اند. 

محققان Netlas گزارش داده اند که بیش از 7000 نمونه VMware ESXi متصل به اینترنت را پیدا کرده اند که به نظر می رسد در برابر آسیب پذیری ها آسیب پذیر هستند. 

به نوبه خود، بنیاد Shadowserver بیش از 41000 نمونه آسیب پذیر ESXi را شناسایی کرده است که بیشتر آنها در چین، فرانسه، ایالات متحده آمریکا، آلمان، ایران، برزیل و کره جنوبی و روسیه قرار دارند.

اسکن‌های آن‌ها CVE-2025-22224 را هدف قرار دادند، اما نمونه‌های شناسایی‌شده احتمالاً تحت تأثیر آسیب‌پذیری‌های دیگر قرار گرفتند، زیرا همگی نسخه‌های نرم‌افزار مشابهی را تحت تأثیر قرار دادند.

جزئیات فنی و PoC هنوز در دسترس نیست، که احتمالاً در حال حاضر شروع عملیات در مقیاس بزرگ را متوقف می کند. 

محقق Kevin Beaumont این آسیب‌پذیری‌ها را ESXicape نامیده است و توضیح می‌دهد که در صورت دسترسی به ESX، مهاجم می‌تواند به همه چیز در سرور ESX، از جمله داده‌های ماشین مجازی و مهم‌تر از همه، پیکربندی ESX و ذخیره‌سازی نصب شده دسترسی پیدا کند و از آنها برای پیمایش در محیط VMware استفاده کند.

بنابراین، اگر سازمانی از vMotion استفاده کند تا به ماشین‌های مجازی اجازه دهد تا به طور خودکار بین میزبان‌های ESX حرکت کنند، بارها را متعادل کرده و خدمات ارائه دهند، مهاجم به فضای ذخیره‌سازی ماشین مجازی هم در آن میزبان و هم در خارج از آن، بر اساس طراحی، دسترسی مستقیم دارد - آنها اساساً در backend رایگان هستند.

به گفته این محقق، مهاجمان می‌توانند از آسیب‌پذیری‌ها برای دور زدن راه‌حل‌های امنیتی و دسترسی به دارایی‌های ارزشمند مانند پایگاه‌داده‌های کنترل‌کننده دامنه Active Directory بدون ایجاد هشدار سوء استفاده کنند.

و این اغلب در حوادث باج‌افزار مشاهده می‌شود، زمانی که کاربران مستقیماً از یک سرور ESX یا vCenter از طریق شبکه مدیریت VMware با استفاده از آسیب‌پذیری‌های اصلاح نشده سوء استفاده می‌کنند. هنگامی که هکرها به ESX می رسند، مستقیماً به فضای ذخیره سازی در سراسر خوشه نفوذ می کنند.

با این حال، امکان دسترسی مستقیم به هایپروایزر سرور ESX از یک ماشین مجازی به طور قابل توجهی خطر را افزایش می دهد. نیازی به جستجوی اطلاعات سرور ESX یا اتصال به شبکه ایزوله نیست.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

دانستن نحوه استفاده از هوش مصنوعی یک مهارت کلیدی است:

سام آلتمن، مدیر عامل OpenAI در مصاحبه با بن تامپسون (Stratechery) گفت ، که از نظر او مهمترین مهارت امروزه توانایی استفاده از ابزارهای هوش مصنوعی است. پیش از این، وقتی مدرسه را تمام کرد، فکر می‌کرد قدم منطقی این است که «یک برنامه‌نویس واقعاً خوب» شود.

اکنون آلتمن می‌گوید: «نکته واضح تاکتیکی این است که در استفاده از ابزارهای هوش مصنوعی بسیار خوب شویم.» وی خاطرنشان کرد که این به نوعی جایگزین آموزش برنامه نویسی سنتی شده است.

بسیاری از مدیران عامل فناوری نیز دیدگاه مشابهی دارند. داریو آمودی، مدیر عامل آنتروپیک، اوایل ماه مارس بیان کرد ، هوش مصنوعی تا سال آینده به طور کامل کد نرم افزاری را برای مهندسان خواهد نوشت.

مارک زاکربرگ، مدیرعامل متا در مصاحبه ای در ژانویه با جو روگان گفت این شرکت در حال توسعه هوش مصنوعی است که قادر به ایجاد "بیشتر کد در برنامه های ما" است.

آلتمن به Stratechery گفت که تسلط بر ابزارهای هوش مصنوعی "نسخه جدیدی" از یادگیری برنامه نویسی است. به گفته وی، حداقل نیمی از فرآیند کدنویسی در حال حاضر خودکار است.

آلتمن گفت: "من فکر می کنم در برخی از شرکت ها این رقم در حال حاضر بیش از 50 درصد است." وی افزود که گام مهم بعدی می تواند به اصطلاح برنامه نویسی عامل باشد که هنوز هیچکس به طور کامل آن را اجرا نکرده است.

آلتمن وقتی از او پرسیده شد که آیا OpenAI به استخدام مهندسان نرم افزار ادامه می دهد یا خیر، گفت که در حال حاضر کار زیادی وجود دارد، اما می تواند در دراز مدت تغییر کند.

وی خاطرنشان کرد: "فرض من این است که هر مهندس به سادگی کارهای بیشتری را در طول زمان انجام خواهد داد. و سپس شاید، بله، ما به مهندسان کمتری نیاز داشته باشیم."

آلتمن تاکید کرد که این می تواند نتیجه پیشرفت های هوش مصنوعی باشد که تیمش در حال حاضر روی آن کار می کند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری روزصفر در ویندوز: بدون یک کلیک به داده های حساس خود دسترسی پیدا کنید

یک آسیب‌پذیری روز صفر در ویندوز به مهاجمان اجازه می‌دهد تا هش‌های NTLM کاربران را به سادگی با مجبور کردن آنها برای باز کردن یک فایل مخرب در Explorer سرقت کنند.

کارشناسان امنیتی هنوز به این خطا یک شناسه رسمی CVE اختصاص نداده‌اند، اما قبلاً آن را خطرناک تشخیص داده‌اند - این خطا بر تمام نسخه‌های ویندوز، از ویندوز 7 تا آخرین نسخه‌های ویندوز 11، و همچنین نسخه‌های سرور از سرور 2008 R2 تا سرور 2025 تأثیر می‌گذارد.

ماهیت آسیب‌پذیری این است که اگر کاربر صرفاً پوشه‌ای حاوی یک فایل SCF ساخته شده را مشاهده کند، می‌تواند اعتبار NTLM را افشا کند. بنابراین، هنگام باز کردن یک درایو فلش، یک پوشه شبکه، یا حتی یک فهرست محلی "دانلودها"، جایی که چنین فایلی می توانست به طور خودکار از صفحه وب مهاجم ذخیره شود، هش NTLM به طور خودکار به یک سرور خارجی ارسال می شود.

NTLM مدت‌هاست که در حملات NTLM و رله‌های هش استفاده می‌شود، جایی که مهاجمان دستگاه را مجبور می‌کنند تا به یک سرور کنترل‌شده وارد شود، هش رمز عبور را رهگیری کرده و از آن برای احراز هویت از طرف قربانی استفاده کند. این به شما امکان می دهد به بخش های بسته شبکه نفوذ کنید، به اطلاعات حساس دسترسی پیدا کنید و حمله را بیشتر توسعه دهید.

اگرچه چنین آسیب‌پذیری‌هایی به دلیل تعدادی از شرایط بهره‌برداری - به عنوان مثال، نیاز به دسترسی به یک شبکه داخلی یا وجود یک منبع هدف خارجی برای انتقال، حیاتی در نظر گرفته نمی‌شوند، اما همچنان به طور فعال در حملات واقعی استفاده می‌شوند. چنین روش هایی قبلاً علیه سرویس های عمومی از جمله سرورهای Exchange استفاده شده است.

اخیرا مایکروسافت به روز رسانی های امنیتی ماه مارس منتشر شد وصله 2025، رفع 57 آسیب پذیری، از جمله 6 روز صفر مورد سوء استفاده فعال. در میان مشکلات رفع شده، 6 آسیب پذیری حیاتی وجود دارد که امکان اجرای کد از راه دور را فراهم می کند.
پچ غیر رسمی از لینک زیر قابل دسترس است (هرگونه تستسترون وکنترل قبل از اعمال پچ تاکید میگردد)
https://blog.0patch.com/2025/03/scf-file-ntlm-hash-disclosure.html?utm_source=Securitylabru&m=1

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

اپراتور OpenAI: هوش مصنوعی با یک فرمان شرکت ها را هک می کند

توسعه فناوری‌های هوش مصنوعی افق‌های جدیدی را نه تنها برای خودکارسازی فرآیندها، بلکه برای مجرمان سایبری نیز باز کرده است. کارشناسان سیمانتک ثابت کرده اند که عوامل هوش مصنوعی مدرن قادر به اجرای سناریوهای حمله پیچیده بدون دخالت انسانی هستند.

یک سال پیش، کارشناسان هشدار دادند که مدل‌های LLM قبلاً توسط مهاجمان برای ایجاد مواد فیشینگ و نوشتن کدهای مخرب استفاده می‌شدند. با این حال، در آن زمان، مدل ها تنها یک ابزار کمکی بودند. امروز، وضعیت تغییر کرده است: با ظهور عواملی مانند OpenAI's Operator ، سطح حمله به طور قابل توجهی گسترش یافته است. چنین عواملی نه تنها می توانند متن تولید کنند، بلکه می توانند با صفحات وب تعامل داشته باشند، ایمیل ارسال کنند و حتی اسکریپت ها را اجرا کنند.

سیمانتک با استفاده از یک عامل هوش مصنوعی برای انجام یک حمله سایبری با کمترین مداخله انسانی آزمایش کرد. آزمایشی انجام شد: به یک نماینده دستور داده شد تا یک کارمند را شناسایی کند، ایمیل او را پیدا کند، یک اسکریپت مخرب PowerShell ایجاد کند تا اطلاعات مربوط به سیستم را جمع آوری کند و آن را در یک ایمیل با بهانه ای قابل قبول ارسال کند.

در ابتدا، اپراتور با استناد به خط مشی امنیتی از تکمیل کار خودداری کرد، اما تغییر جزئی در عبارتی که بیان می کرد هدف اجازه ارسال ایمیل را صادر کرده بود، امکان دور زدن محدودیت را فراهم کرد.

در نتیجه، عامل هوش مصنوعی با تجزیه و تحلیل منابع باز مانند وب سایت شرکت و نشریات رسانه ای، به سرعت فرد مناسب را پیدا کرد. یافتن ایمیل بیشتر طول کشید زیرا در دسترس عموم نبود. با این حال، اپراتور توانست آن را با استفاده از تجزیه و تحلیل آدرس شرکت Broadcom کشف کند.

سپس سیستم اقدام به ایجاد یک اسکریپت مخرب PowerShell کرد. جالب است که قبل از انجام این کار، اپراتور چندین صفحه وب حاوی اطلاعاتی در مورد PowerShell را مطالعه کرده بود که نشان دهنده توانایی یادگیری در حین انجام یک کار است. اسکریپت ایجاد شده امکان جمع آوری اطلاعات مربوط به سیستم و ارسال آن به مهاجم را فراهم می کرد.

مرحله آخر نوشتن و ارسال نامه بود. به نماینده حداقل راهنمایی داده شد، اما توانست یک متن قانع کننده را فرموله کند و از گیرنده بخواهد اسکریپت پیوست شده را اجرا کند. علاوه بر این، ارسال نامه نیازی به تایید هویت فرستنده نداشت و نویسنده ساختگی "اریک هوگان" نیز شک سیستم را برانگیخت.
در حالی که چنین حملاتی در حال حاضر نسبتاً ساده باقی مانده اند، پیشرفت در فناوری به زودی می تواند آنها را بسیار دشوارتر کند. در آینده، مهاجمان قادر خواهند بود به سادگی به یک عامل هوش مصنوعی فرمانی برای هک کردن یک شرکت خاص بدهند و به طور مستقل مسیر عمل بهینه را انتخاب کند، کد مخرب ایجاد کند، زیرساخت کنترلی را مستقر کند و از حضور طولانی مدت در شبکه قربانی اطمینان حاصل کند. این به میزان قابل توجهی آستانه ورود مجرمان سایبری را کاهش می دهد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

☀️ پنجاه آسیب پذیری در باتری های خورشیدی

بازوی تحقیقاتی گزارشی عظیم در مورد آسیب‌پذیری‌ها در زیرساخت‌های انرژی خورشیدی منتشر کرده است . از آنجایی که تقریباً تمام پنل‌های خورشیدی، از آن‌هایی که روی پشت بام خانه‌ها قرار دارند تا مزارع بزرگ چند مگاواتی، به ابزارهای تله‌متری و مدیریت بار متصل هستند، در معرض تمام حملات معمولی آشنا از سایر دستگاه‌های نشتی اینترنت اشیا هستند. این گزارش حداقل به سه حادثه مهم در سال گذشته اشاره می‌کند، از همه گروه‌های حمله، از هکریست‌ها تا APTهای جاسوسی.

ناامید کننده است که پنل خورشیدی شما به صورت پاره وقت برای Mirai کار کند، اما تهدید اصلی مسلماً اختلال در شبکه برق است. اینورترهای در معرض خطر می توانند منجر به اختلال هدفمند در تولید برق و حتی قطعی های گسترده شوند که از طریق دسته ای از حملات به نام تغییر بار قابل دستیابی است. این ممکن است برای مناطقی با سهم رو به رشد پویا از تولید خورشیدی مرتبط باشد، خواه هلند باشد یا Transbaikalia.

🔥 این گزارش به 93 آسیب‌پذیری افشا شده قبلی اشاره می‌کند که به درجات مختلف منجر به آسیب‌پذیری دستگاه‌ها، سرویس ابری مرتبط با آن‌ها و سایر مؤلفه‌ها می‌شود که 80 درصد آنها دارای سطح شدت بالا یا بحرانی هستند. اما محققان با بررسی ادبیات قانع نشدند و در عوض به پانل‌های تولیدکنندگان برجسته از جمله Huawei، Sungrow، Ginlong Solis، Growatt، GoodWe و SMA نگاه کردند.
مشخص شد که Sungrow، Growatt و SMA دارای 46 آسیب‌پذیری جدید هستند، از جمله اعتبارنامه‌های رمزگذاری شده سخت، رمزگذاری ضعیف، توانایی اعمال brute-force کاربران، و حتی XSS و سرریز بافر کلاسیک با RCE.

نکات کلیدی برای هر کسی که از پنل های خورشیدی استفاده می کند (بزرگتر از ماشین حساب و چراغ های باغ):
🢔 اینورترها را به عنوان زیرساخت حیاتی در نظر بگیرید.
🢔 آنها را در زیر شبکه های مجزا قرار دهید و از نظارت مداوم ترافیک و رویدادها اطمینان حاصل کنید.
🢔 انجام ممیزی امنیتی تأسیسات خورشیدی مشابه سایر زیرساخت‌های فناوری اطلاعات/OT.
🢔 فروشندگان را بر اساس پایبندی آنها به اصول توسعه ایمن، تست نفوذ منظم و انطباق با استانداردهای امنیتی بین المللی انتخاب کنید.

برای این دسته از دستگاه ها، دستورالعمل های امنیتی اطلاعات دقیق از NIST و وزارت انرژی ایالات متحده وجود دارد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR