🛑هشدار : دیتای sample نشر داده شده برای هک بانک سپه به احتمال بسیار زیاد حاوی malware هست!!

اگر sample های نشر داده شده توسط گروه codebreakers را دانلود میکنید حتما حتما در فضای sandbox باز کنید! چون بعد از باز کردن فایل اکسل یک xml داخلی run میشه و یک xn--mgb5ck75c.exe دانلود میشه روی سیستمتون!!
احتمالا برای data collect و recon برای شناسایی تارگت حمله های بعدی از این روش استفاده می کنند

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

✨ عید سعید فطر مبارک! ✨

یک ماه بندگی، یک عمر رحمت! 🌙✨
عید فطر، جشن بازگشت به پاکی و آغازی دوباره است. امیدوارم این عید برای شما و عزیزانتان پر از شادی، آرامش و برکت باشد. 🌸💫

عیدتان مبارک! 🙏🎉

درایور سیستم فایل HFS هسته لینوکس در برابر عملیات بافر حافظه خارج از محدوده آسیب پذیر است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را با نصب یک تصویر سیستم فایل ساخته شده خاص اجرا کند.

BDU: 2025-03186
CVE-2025-0927

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای جلوگیری از تلاش برای سوء استفاده از آسیب پذیری.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از یک ایستگاه کاری مجزا برای نصب تصاویر سیستم فایل به دست آمده از منابع نامعتبر.

استفاده از توصیه ها:
برای لینوکس:
نصب به‌روزرسانی‌های هسته لینوکس از مخزن مرکز فناوری:
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/log/?h=v5.10.232-lvc40
https://git.linuxtesting.ru/pub/scm/linux/kernel/git/lvc/linux-stable.git/log/?h=v6.1.121-lvc11

برای سیستم عامل های اوبونتو:
https://ubuntu.com/security/CVE-2025-0927
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یک آسیب پذیری در مجموعه ابزار VMware Tools برای سیستم عامل های ویندوز مربوط به دور زدن رویه احراز هویت با استفاده از یک مسیر یا کانال جایگزین است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا امتیازات خود را در یک ماشین مجازی افزایش دهد.

BDU: 2025-03269
CVE-2025-22230

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به ماشین های مجازی.
- تقسیم بندی شبکه برای محدود کردن دسترسی به ماشین های مجازی از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- استفاده از ابزارهای تشخیص نفوذ و پیشگیری (IDS/IPS) برای شناسایی و پاسخ به تلاش‌ها برای سوء استفاده از آسیب‌پذیری؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

پردازش تصویر نوری: دوربینی که همزمان می بیند و می فهمد

دانشمندان دانشگاه پرینستون و دانشگاه واشنگتن یک فناوری بینایی کامپیوتری ایجاد کرده اند که در آن فرآیند تشخیص اشیاء با عبور نور از سیستم اتفاق می افتد. به جای عناصر نوری سنتی، محققان از 50 لایه فراسطح استفاده کردند - مواد بسیار نازک با نانوساختارهایی که می توانند امواج نور را دستکاری کنند.

مزیت کلیدی سیستم جدید این است که محاسبات را مستقیماً در محیط نوری انجام می دهد و به عنوان یک شبکه عصبی فیزیکی عمل می کند. برخلاف روش‌های سنتی، که در آن دوربین ابتدا یک تصویر ایجاد می‌کند و سپس پردازشگر آن را تجزیه و تحلیل می‌کند، متاسرفیس‌ها داده‌های نوری را در مرحله اکتساب فیلتر می‌کنند و تنها ویژگی‌های مهم اشیا را برجسته می‌کنند.

نتیجه سیستمی است که 200 برابر سریع‌تر از روش‌های بینایی کامپیوتری معمولی عمل می‌کند و در عین حال حداقل انرژی را مصرف می‌کند. این فناوری با الهام از دید موجودات دریایی خاص مانند میگوی آخوندک و ساعد ماهی، امکانات جدیدی را برای سیستم‌های خودمختار، تشخیص‌های پزشکی و دستگاه‌های واقعیت افزوده می‌گشاید که می‌توانند فوراً محیط اطراف خود را تجزیه و تحلیل کنند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سیسکو اصلاحی را برای آسیب‌پذیری Webex برای BroadWorks اعلام کرد که می‌تواند به مهاجمان غیرمجاز اجازه دسترسی از راه دور به اعتبارنامه‌ها را بدهد.

در حالی که هنوز یک شناسه CVE به این مشکل اختصاص داده نشده است، سیسکو در بولتن امنیتی خود اشاره می کند که قبلاً تغییراتی در پیکربندی برای رفع مشکل ایجاد کرده است و توصیه می کند که مشتریان برنامه Cisco Webex را مجدداً راه اندازی کنند تا رفع مشکل را دریافت کنند.

یک آسیب‌پذیری در Cisco Webex for BroadWorks نسخه 45.2 می‌تواند به کاربر احراز هویت شده اجازه دسترسی به اعتبار متن واضح در گزارش‌های سرویس گیرنده و سرور را بدهد، زمانی که حمل و نقل ناامن برای ارتباطات SIP پیکربندی شده است.

این آسیب‌پذیری به دلیل اطلاعات حساس افشا شده در هدرهای SIP است و فقط بر روی نمونه‌های Cisco BroadWorks (On-Premises) و Cisco Webex for BroadWorks (Hybrid Cloud/On-Premises) که در محیط‌های ویندوز اجرا می‌شوند، تأثیر می‌گذارد.

این شرکت توصیه می کند که مدیران انتقال امن را برای ارتباطات SIP پیکربندی کنند تا داده های ارسال شده را به عنوان یک راه حل موقت رمزگذاری کنند تا زمانی که تغییر پیکربندی به محیط آنها برسد. علاوه بر این، اعتبارنامه ها را بچرخانید.

Cisco PSIRT اطمینان می دهد که هیچ مدرکی دال بر سوء استفاده مخرب یا اظهارات عمومی حاوی اطلاعات اضافی در مورد این آسیب پذیری وجود ندارد.
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-credexp-xMN85y6

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

کمپین مرتبط با بهره برداری از سه کمپین روزصفر VMware که اخیراً وصله شده اند، اکنون به عنوان ESXicape ردیابی می شود و ده ها هزار نمونه را تحت تأثیر قرار می دهد، همانطور که نتایج اسکن فعلی نشان می دهد.

در 4 مارس، Broadcom به مشتریان ESXi، Workstation و Fusion هشدار داد که اصلاحات فوری را برای CVE-2025-22224، CVE-2025-22225 و CVE-2025-22226 منتشر کنند، که بهره برداری از آنها می تواند منجر به اجرای کد دلخواه، فرارهای حافظه sandbox شود. 

کشف باگ‌ها به مرکز اطلاعات تهدیدات مایکروسافت نسبت داده می‌شود (مایکروسافت احتمالاً شاهد حملات روزصفر نیز بوده است)، اما نه Broadcom و نه مایکروسافت هیچ اطلاعاتی در مورد فعالیت مخرب مشاهده شده به اشتراک نگذاشته‌اند. 

محققان Netlas گزارش داده اند که بیش از 7000 نمونه VMware ESXi متصل به اینترنت را پیدا کرده اند که به نظر می رسد در برابر آسیب پذیری ها آسیب پذیر هستند. 

به نوبه خود، بنیاد Shadowserver بیش از 41000 نمونه آسیب پذیر ESXi را شناسایی کرده است که بیشتر آنها در چین، فرانسه، ایالات متحده آمریکا، آلمان، ایران، برزیل و کره جنوبی و روسیه قرار دارند.

اسکن‌های آن‌ها CVE-2025-22224 را هدف قرار دادند، اما نمونه‌های شناسایی‌شده احتمالاً تحت تأثیر آسیب‌پذیری‌های دیگر قرار گرفتند، زیرا همگی نسخه‌های نرم‌افزار مشابهی را تحت تأثیر قرار دادند.

جزئیات فنی و PoC هنوز در دسترس نیست، که احتمالاً در حال حاضر شروع عملیات در مقیاس بزرگ را متوقف می کند. 

محقق Kevin Beaumont این آسیب‌پذیری‌ها را ESXicape نامیده است و توضیح می‌دهد که در صورت دسترسی به ESX، مهاجم می‌تواند به همه چیز در سرور ESX، از جمله داده‌های ماشین مجازی و مهم‌تر از همه، پیکربندی ESX و ذخیره‌سازی نصب شده دسترسی پیدا کند و از آنها برای پیمایش در محیط VMware استفاده کند.

بنابراین، اگر سازمانی از vMotion استفاده کند تا به ماشین‌های مجازی اجازه دهد تا به طور خودکار بین میزبان‌های ESX حرکت کنند، بارها را متعادل کرده و خدمات ارائه دهند، مهاجم به فضای ذخیره‌سازی ماشین مجازی هم در آن میزبان و هم در خارج از آن، بر اساس طراحی، دسترسی مستقیم دارد - آنها اساساً در backend رایگان هستند.

به گفته این محقق، مهاجمان می‌توانند از آسیب‌پذیری‌ها برای دور زدن راه‌حل‌های امنیتی و دسترسی به دارایی‌های ارزشمند مانند پایگاه‌داده‌های کنترل‌کننده دامنه Active Directory بدون ایجاد هشدار سوء استفاده کنند.

و این اغلب در حوادث باج‌افزار مشاهده می‌شود، زمانی که کاربران مستقیماً از یک سرور ESX یا vCenter از طریق شبکه مدیریت VMware با استفاده از آسیب‌پذیری‌های اصلاح نشده سوء استفاده می‌کنند. هنگامی که هکرها به ESX می رسند، مستقیماً به فضای ذخیره سازی در سراسر خوشه نفوذ می کنند.

با این حال، امکان دسترسی مستقیم به هایپروایزر سرور ESX از یک ماشین مجازی به طور قابل توجهی خطر را افزایش می دهد. نیازی به جستجوی اطلاعات سرور ESX یا اتصال به شبکه ایزوله نیست.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

دانستن نحوه استفاده از هوش مصنوعی یک مهارت کلیدی است:

سام آلتمن، مدیر عامل OpenAI در مصاحبه با بن تامپسون (Stratechery) گفت ، که از نظر او مهمترین مهارت امروزه توانایی استفاده از ابزارهای هوش مصنوعی است. پیش از این، وقتی مدرسه را تمام کرد، فکر می‌کرد قدم منطقی این است که «یک برنامه‌نویس واقعاً خوب» شود.

اکنون آلتمن می‌گوید: «نکته واضح تاکتیکی این است که در استفاده از ابزارهای هوش مصنوعی بسیار خوب شویم.» وی خاطرنشان کرد که این به نوعی جایگزین آموزش برنامه نویسی سنتی شده است.

بسیاری از مدیران عامل فناوری نیز دیدگاه مشابهی دارند. داریو آمودی، مدیر عامل آنتروپیک، اوایل ماه مارس بیان کرد ، هوش مصنوعی تا سال آینده به طور کامل کد نرم افزاری را برای مهندسان خواهد نوشت.

مارک زاکربرگ، مدیرعامل متا در مصاحبه ای در ژانویه با جو روگان گفت این شرکت در حال توسعه هوش مصنوعی است که قادر به ایجاد "بیشتر کد در برنامه های ما" است.

آلتمن به Stratechery گفت که تسلط بر ابزارهای هوش مصنوعی "نسخه جدیدی" از یادگیری برنامه نویسی است. به گفته وی، حداقل نیمی از فرآیند کدنویسی در حال حاضر خودکار است.

آلتمن گفت: "من فکر می کنم در برخی از شرکت ها این رقم در حال حاضر بیش از 50 درصد است." وی افزود که گام مهم بعدی می تواند به اصطلاح برنامه نویسی عامل باشد که هنوز هیچکس به طور کامل آن را اجرا نکرده است.

آلتمن وقتی از او پرسیده شد که آیا OpenAI به استخدام مهندسان نرم افزار ادامه می دهد یا خیر، گفت که در حال حاضر کار زیادی وجود دارد، اما می تواند در دراز مدت تغییر کند.

وی خاطرنشان کرد: "فرض من این است که هر مهندس به سادگی کارهای بیشتری را در طول زمان انجام خواهد داد. و سپس شاید، بله، ما به مهندسان کمتری نیاز داشته باشیم."

آلتمن تاکید کرد که این می تواند نتیجه پیشرفت های هوش مصنوعی باشد که تیمش در حال حاضر روی آن کار می کند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری روزصفر در ویندوز: بدون یک کلیک به داده های حساس خود دسترسی پیدا کنید

یک آسیب‌پذیری روز صفر در ویندوز به مهاجمان اجازه می‌دهد تا هش‌های NTLM کاربران را به سادگی با مجبور کردن آنها برای باز کردن یک فایل مخرب در Explorer سرقت کنند.

کارشناسان امنیتی هنوز به این خطا یک شناسه رسمی CVE اختصاص نداده‌اند، اما قبلاً آن را خطرناک تشخیص داده‌اند - این خطا بر تمام نسخه‌های ویندوز، از ویندوز 7 تا آخرین نسخه‌های ویندوز 11، و همچنین نسخه‌های سرور از سرور 2008 R2 تا سرور 2025 تأثیر می‌گذارد.

ماهیت آسیب‌پذیری این است که اگر کاربر صرفاً پوشه‌ای حاوی یک فایل SCF ساخته شده را مشاهده کند، می‌تواند اعتبار NTLM را افشا کند. بنابراین، هنگام باز کردن یک درایو فلش، یک پوشه شبکه، یا حتی یک فهرست محلی "دانلودها"، جایی که چنین فایلی می توانست به طور خودکار از صفحه وب مهاجم ذخیره شود، هش NTLM به طور خودکار به یک سرور خارجی ارسال می شود.

NTLM مدت‌هاست که در حملات NTLM و رله‌های هش استفاده می‌شود، جایی که مهاجمان دستگاه را مجبور می‌کنند تا به یک سرور کنترل‌شده وارد شود، هش رمز عبور را رهگیری کرده و از آن برای احراز هویت از طرف قربانی استفاده کند. این به شما امکان می دهد به بخش های بسته شبکه نفوذ کنید، به اطلاعات حساس دسترسی پیدا کنید و حمله را بیشتر توسعه دهید.

اگرچه چنین آسیب‌پذیری‌هایی به دلیل تعدادی از شرایط بهره‌برداری - به عنوان مثال، نیاز به دسترسی به یک شبکه داخلی یا وجود یک منبع هدف خارجی برای انتقال، حیاتی در نظر گرفته نمی‌شوند، اما همچنان به طور فعال در حملات واقعی استفاده می‌شوند. چنین روش هایی قبلاً علیه سرویس های عمومی از جمله سرورهای Exchange استفاده شده است.

اخیرا مایکروسافت به روز رسانی های امنیتی ماه مارس منتشر شد وصله 2025، رفع 57 آسیب پذیری، از جمله 6 روز صفر مورد سوء استفاده فعال. در میان مشکلات رفع شده، 6 آسیب پذیری حیاتی وجود دارد که امکان اجرای کد از راه دور را فراهم می کند.
پچ غیر رسمی از لینک زیر قابل دسترس است (هرگونه تستسترون وکنترل قبل از اعمال پچ تاکید میگردد)
https://blog.0patch.com/2025/03/scf-file-ntlm-hash-disclosure.html?utm_source=Securitylabru&m=1

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

اپراتور OpenAI: هوش مصنوعی با یک فرمان شرکت ها را هک می کند

توسعه فناوری‌های هوش مصنوعی افق‌های جدیدی را نه تنها برای خودکارسازی فرآیندها، بلکه برای مجرمان سایبری نیز باز کرده است. کارشناسان سیمانتک ثابت کرده اند که عوامل هوش مصنوعی مدرن قادر به اجرای سناریوهای حمله پیچیده بدون دخالت انسانی هستند.

یک سال پیش، کارشناسان هشدار دادند که مدل‌های LLM قبلاً توسط مهاجمان برای ایجاد مواد فیشینگ و نوشتن کدهای مخرب استفاده می‌شدند. با این حال، در آن زمان، مدل ها تنها یک ابزار کمکی بودند. امروز، وضعیت تغییر کرده است: با ظهور عواملی مانند OpenAI's Operator ، سطح حمله به طور قابل توجهی گسترش یافته است. چنین عواملی نه تنها می توانند متن تولید کنند، بلکه می توانند با صفحات وب تعامل داشته باشند، ایمیل ارسال کنند و حتی اسکریپت ها را اجرا کنند.

سیمانتک با استفاده از یک عامل هوش مصنوعی برای انجام یک حمله سایبری با کمترین مداخله انسانی آزمایش کرد. آزمایشی انجام شد: به یک نماینده دستور داده شد تا یک کارمند را شناسایی کند، ایمیل او را پیدا کند، یک اسکریپت مخرب PowerShell ایجاد کند تا اطلاعات مربوط به سیستم را جمع آوری کند و آن را در یک ایمیل با بهانه ای قابل قبول ارسال کند.

در ابتدا، اپراتور با استناد به خط مشی امنیتی از تکمیل کار خودداری کرد، اما تغییر جزئی در عبارتی که بیان می کرد هدف اجازه ارسال ایمیل را صادر کرده بود، امکان دور زدن محدودیت را فراهم کرد.

در نتیجه، عامل هوش مصنوعی با تجزیه و تحلیل منابع باز مانند وب سایت شرکت و نشریات رسانه ای، به سرعت فرد مناسب را پیدا کرد. یافتن ایمیل بیشتر طول کشید زیرا در دسترس عموم نبود. با این حال، اپراتور توانست آن را با استفاده از تجزیه و تحلیل آدرس شرکت Broadcom کشف کند.

سپس سیستم اقدام به ایجاد یک اسکریپت مخرب PowerShell کرد. جالب است که قبل از انجام این کار، اپراتور چندین صفحه وب حاوی اطلاعاتی در مورد PowerShell را مطالعه کرده بود که نشان دهنده توانایی یادگیری در حین انجام یک کار است. اسکریپت ایجاد شده امکان جمع آوری اطلاعات مربوط به سیستم و ارسال آن به مهاجم را فراهم می کرد.

مرحله آخر نوشتن و ارسال نامه بود. به نماینده حداقل راهنمایی داده شد، اما توانست یک متن قانع کننده را فرموله کند و از گیرنده بخواهد اسکریپت پیوست شده را اجرا کند. علاوه بر این، ارسال نامه نیازی به تایید هویت فرستنده نداشت و نویسنده ساختگی "اریک هوگان" نیز شک سیستم را برانگیخت.
در حالی که چنین حملاتی در حال حاضر نسبتاً ساده باقی مانده اند، پیشرفت در فناوری به زودی می تواند آنها را بسیار دشوارتر کند. در آینده، مهاجمان قادر خواهند بود به سادگی به یک عامل هوش مصنوعی فرمانی برای هک کردن یک شرکت خاص بدهند و به طور مستقل مسیر عمل بهینه را انتخاب کند، کد مخرب ایجاد کند، زیرساخت کنترلی را مستقر کند و از حضور طولانی مدت در شبکه قربانی اطمینان حاصل کند. این به میزان قابل توجهی آستانه ورود مجرمان سایبری را کاهش می دهد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

☀️ پنجاه آسیب پذیری در باتری های خورشیدی

بازوی تحقیقاتی گزارشی عظیم در مورد آسیب‌پذیری‌ها در زیرساخت‌های انرژی خورشیدی منتشر کرده است . از آنجایی که تقریباً تمام پنل‌های خورشیدی، از آن‌هایی که روی پشت بام خانه‌ها قرار دارند تا مزارع بزرگ چند مگاواتی، به ابزارهای تله‌متری و مدیریت بار متصل هستند، در معرض تمام حملات معمولی آشنا از سایر دستگاه‌های نشتی اینترنت اشیا هستند. این گزارش حداقل به سه حادثه مهم در سال گذشته اشاره می‌کند، از همه گروه‌های حمله، از هکریست‌ها تا APTهای جاسوسی.

ناامید کننده است که پنل خورشیدی شما به صورت پاره وقت برای Mirai کار کند، اما تهدید اصلی مسلماً اختلال در شبکه برق است. اینورترهای در معرض خطر می توانند منجر به اختلال هدفمند در تولید برق و حتی قطعی های گسترده شوند که از طریق دسته ای از حملات به نام تغییر بار قابل دستیابی است. این ممکن است برای مناطقی با سهم رو به رشد پویا از تولید خورشیدی مرتبط باشد، خواه هلند باشد یا Transbaikalia.

🔥 این گزارش به 93 آسیب‌پذیری افشا شده قبلی اشاره می‌کند که به درجات مختلف منجر به آسیب‌پذیری دستگاه‌ها، سرویس ابری مرتبط با آن‌ها و سایر مؤلفه‌ها می‌شود که 80 درصد آنها دارای سطح شدت بالا یا بحرانی هستند. اما محققان با بررسی ادبیات قانع نشدند و در عوض به پانل‌های تولیدکنندگان برجسته از جمله Huawei، Sungrow، Ginlong Solis، Growatt، GoodWe و SMA نگاه کردند.
مشخص شد که Sungrow، Growatt و SMA دارای 46 آسیب‌پذیری جدید هستند، از جمله اعتبارنامه‌های رمزگذاری شده سخت، رمزگذاری ضعیف، توانایی اعمال brute-force کاربران، و حتی XSS و سرریز بافر کلاسیک با RCE.

نکات کلیدی برای هر کسی که از پنل های خورشیدی استفاده می کند (بزرگتر از ماشین حساب و چراغ های باغ):
🢔 اینورترها را به عنوان زیرساخت حیاتی در نظر بگیرید.
🢔 آنها را در زیر شبکه های مجزا قرار دهید و از نظارت مداوم ترافیک و رویدادها اطمینان حاصل کنید.
🢔 انجام ممیزی امنیتی تأسیسات خورشیدی مشابه سایر زیرساخت‌های فناوری اطلاعات/OT.
🢔 فروشندگان را بر اساس پایبندی آنها به اصول توسعه ایمن، تست نفوذ منظم و انطباق با استانداردهای امنیتی بین المللی انتخاب کنید.

برای این دسته از دستگاه ها، دستورالعمل های امنیتی اطلاعات دقیق از NIST و وزارت انرژی ایالات متحده وجود دارد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

همانطور که کانال ما مطلع شد، شرکت ژاپنی LocationMind که با اطلاعات مکانی و تجزیه و تحلیل داده های بزرگ سروکار دارد، در تاریخ 25 مارس قراردادی 400000 دلاری از سازمان توسعه صنعتی سازمان ملل متحد (UNIDO) برای مشارکت در بازسازی اوکراین دریافت کرد. این شرکت مستقر در توکیو قرار است یک مطالعه امکان سنجی برای نصب پلت فرم نظارت استراتژیک LocationMind xPop برای اوکراین بر اساس محصول LocationMind xPop خود انجام دهد.

این سرویس تجزیه و تحلیل داده های GPS را برای اندازه گیری حرکات و تراکم افراد در یک منطقه خاص و همچنین حرکت تجهیزات حمل و نقل مانند اتومبیل ها و پهپادها ارائه می دهد. این پروژه بخشی از یک حرکت گسترده تر به سمت انتقال فناوری و ایجاد تجارت مشترک بین بخش های خصوصی ژاپن و اوکراین است.

LocationMind که در سال 2019 توسط محققان و دانشیاران دانشگاه توکیو تأسیس شد، در حال ساخت پلت فرمی برای برنامه ریزی پروازهای هواپیماهای بدون سرنشین و تحویل رباتیک در محیط های شهری است. برای انجام این کار، این شرکت با Swift Xi، سرمایه‌گذاری مشترک بین شرکت مهندسی سوئیفت ایالات متحده و موسسه محاسباتی کوبه، و همچنین با ارائه‌دهنده پایگاه داده نقشه‌برداری Zenrin و توسعه‌دهندگان سیستم‌های اطلاعات مکانی، آزمایشگاه نوآوری خدمات فضایی و سبک هوشمند (SSIL) همکاری می‌کند.

این پلتفرم توسط سازمان ملی توسعه انرژی و فناوری صنعتی ژاپن (NEDO) با هدف ادغام پهپادها و سیستم های حمل و نقل هوایی در مناطق شهری ژاپن تا سال 2030 راه اندازی شده است. LocationMind در افتتاحیه رسمی دفتر سازمان تجارت خارجی ژاپن (JETRO) در کیف در ماه اکتبر به عنوان علاقه مند به همکاری با شرکت های اوکراینی توصیف شد. ژاپن مایل است در زمینه اطلاعات مکانی (GEOINT) کارهای بیشتری انجام دهد، به ویژه از زمانی که مذاکرات در اوایل سال جاری بین اداره اطلاعات اصلی وزارت دفاع اوکراین و مقامات ژاپنی برای ارائه تصاویر ماهواره ای راداری به اوکراین آغاز شد.

علاوه بر LocationMind، سایر شرکت‌های ژاپنی هوش مصنوعی نیز از اواخر فوریه قراردادهایی را با UNIDO امضا کرده‌اند تا مطالعات امکان‌سنجی پروژه‌های خود را در اوکراین انجام دهند. اینها شامل ساگری است که تجزیه و تحلیل داده های ماهواره ای را برای توسعه کشاورزی اعمال می کند، GVE که در حال توسعه یک پلت فرم ارز دیجیتال برای بانک های مرکزی است و آزمایشگاه تحقیقات شناختی که روی یک پروژه مین زدایی در کشور کار می کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🚢 پروتکل سیستم شناسایی خودکار (AIS) ابزاری حیاتی برای ناوبری دریایی جهانی است، اما آیا ایمن است؟

❌ مانند اکثر پروتکل‌های ICS/OT، AIS رمزگذاری نشده و احراز هویت نشده است، به این معنی که می‌توان آن را جعل کرد.
جعل AIS شامل پخش موقعیت‌های کشتی جعلی، تغییر داده‌های واقعی کشتی یا حتی ایجاد «کشتی‌های ارواح» است که وجود ندارند.

پیامدها جدی هستند:
🔹 پنهان کردن فعالیت غیرقانونی - قاچاقچیان، دزدان دریایی، و کشتی های تحریم شده می توانند AIS را برای فرار از شناسایی توسط مقامات دستکاری کنند.
🔹 هرج و مرج دریایی – سیگنال های جعلی AIS می تواند کشتی ها، مقامات بندری یا حتی سیستم های ناوبری مستقل را گمراه کند و خطر برخورد و ازدحام را افزایش دهد.
🔹 اختلالات ژئوپلیتیک - جعل AIS با عملیات های تحت حمایت دولت مرتبط است و روایت های نادرستی در مورد حرکت کشتی ها در آب های مورد مناقشه ایجاد می کند.
تجربه عملی امنیت سایبری دریایی را در دوره آتی ما منتظر باشید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

👨‍💻 هکرها یاد گرفته‌اند که اطلاعات شخصی را از طریق فایل‌های خراب MS Word سرقت کنند.

• کارشناسان شرکت تخصصی امنیت اطلاعات Any Run از کشف کمپین جدیدی خبر دادند که در آن هکرها با استفاده از فایل‌های مایکروسافت ورد آسیب‌دیده ویژه حملات فیشینگ را انجام می‌دهند. این رویکرد به مهاجمان اجازه می‌دهد تا داده‌های شخصی کاربرانی را که به آنها حمله می‌کنند بسیار موثرتر سرقت کنند.

• کارشناسان می گویند که در بیشتر موارد، سیستم های امنیتی ایمیل مدرن به طور خودکار پیوست های ایمیل را برای اجزای مخرب بررسی می کنند، قبل از اینکه این ایمیل ها به دست گیرنده برسند. با وجود این، اگر فایل ارسال شده توسط مهاجم خراب باشد، بسیاری از سیستم‌های حفاظت از سرویس پست الکترونیکی به سادگی نمی‌توانند مؤلفه مخرب موجود در آن را شناسایی کرده و آن را به عنوان «بالقوه خطرناک» علامت‌گذاری کنند.

• الگوریتم های داخلی مایکروسافت ورد توانایی بازیابی اسناد نیمه آسیب دیده و خراب را دارند و آنها را خوانا می کند. با این حال، از آنجایی که سیستم‌های امنیتی سرویس ایمیل پس از باز کردن یک فایل بالقوه مخرب در رایانه خود، مجدداً اسکن نمی‌شوند، به قربانیان محتوای مخرب نشان داده می‌شود.

• در یک حادثه، گفته شد که کاربران کدهای QR را در یک سند مایکروسافت ورد که در ابتدا خراب شده بود، باز کرده اند و از تأیید سرویس ایمیل جلوگیری می کنند. اگر کاربر این کد QR را اسکن می کرد، به صفحه ورود جعلی مایکروسافت 365 هدایت می شد.

• چنین فایل های آسیب دیده می توانند با موفقیت باز شوند و تقریباً در همه سیستم عامل ها کار کنند، اما در عین حال برای بسیاری از ابزارهای امنیتی مدرن، از جمله سرویس VirusTotal، دور از چشم باقی می مانند. این به این دلیل است که نرم افزار آنتی ویروس به سادگی نمی تواند چنین فایل های خراب و بالقوه مخرب را به درستی بررسی کند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

⚠ عواقب فاجعه بار خطاهای نرم افزاری قسمت 2.

• در ادامه موضوع قبل، چند داستان دیگر درباره اشکالات جدی و عواقب آنها را با شما به اشتراک خواهم گذاشت. فکر کنم خیلی جالب باشه:

• در سال 1962 ، فضاپیمای مارینر 1 پس از پرتاب به دلیل انحراف از مسیر، از روی زمین منهدم شد. موشک به دلیل نرم افزاری سقوط کرد که توسعه دهنده فقط یک کاراکتر را از دست داد. در نتیجه، فضاپیما به ارزش 18 میلیون دلار (به پول آن زمان) سیگنال های کنترلی نادرستی دریافت می کرد.

• در حین کار بر روی سیستم کنترل موشک، برنامه نویس فرمول های ریاضی دست نویس را به کد کامپیوتری ترجمه کرد. او نماد "خط تیره" (شاخص) را برای یک خط تیره معمولی (یا علامت منفی) گرفت. عملکرد هموارسازی شروع به منعکس کردن تغییرات عادی در سرعت موشک به عنوان بحرانی و غیرقابل قبول کرد. با این حال، حتی اشتباه انجام شده ممکن است منجر به یک شکست جدی نشده باشد، اما به عنوان شانس، آنتن موشک با سیستم هدایت روی زمین ارتباط خود را از دست داد و کامپیوتر آنبورد کنترل را به دست گرفت.

➖➖➖➖➖➖➖➖

• در اینجا داستان دیگری است که منجر به خاموشی در ایالات متحده شد: یک خطای کوچک در نرم افزار نظارت بر عملکرد تجهیزات جنرال الکتریک انرژی منجر به بدون برق ماندن 55 میلیون نفر شد. در ساحل شرقی ایالات متحده، ساختمان های مسکونی، مدارس، بیمارستان ها و فرودگاه ها بدون برق مانده اند.

• در 14 آگوست 2003، در ساعت 12:15 صبح، یک اپراتور سیستم قدرت در ایندیانا متوجه یک مشکل کوچک با استفاده از ابزار نظارت بر تجهیزات شد. مشکل باعث ایجاد یک سیگنال خطای آزاردهنده شد که اپراتور آن را خاموش کرد. اپراتور موفق شد تمام مشکلات را در چند دقیقه حل کند، اما فراموش کرد نظارت را دوباره راه اندازی کند - زنگ در موقعیت خاموش باقی ماند.

• خرابی سیگنال علت اصلی خاموشی نبود. اما زمانی که ساعاتی بعد تماس با یک درخت باعث از بین رفتن خطوط برق در اوهایو شد، هیچ کس از آن خبر نداشت. مشکل گلوله برفی شد، خطوط انتقال بیش از حد و نیروگاه ها در نیویورک، نیوجرسی، میشیگان و فراتر از آن تاریک شدند.

• هیچ یک از اپراتورها متوجه آبشار خطاهایی نشدند که به آرامی سیستم قدرت را از بین می بردند زیرا یک زنگ هشدار خاموش می شد - هیچ سیستم پشتیبان برای مقابله با این موضوع وجود نداشت. به طور رسمی، میزان خسارت کمتر از 6 میلیارد دلار نبود. چنین چیزهایی ...


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

نقص حیاتی در Apache Parket زیرساخت های کلان داده را تهدید می کند

📄 یک باگ خطرناک در RCE Apache Parket پیدا شد . آسیب پذیری CVE-2025-30065 امتیاز بحرانی 10.0 را در مقیاس CVSS v4 دریافت کرد. این مشکل در نسخه 1.15.1 برطرف شده است، اما تمام نسخه های قبلی همچنان در معرض خطر هستند.

🧨 ماهیت آسیب‌پذیری، deserialization ناامن است، که به شما امکان می‌دهد یک فایل پارکت ساخته شده خاص را تزریق کنید و به اجرای کد دلخواه برسید. حمله ممکن است منجر به سرقت داده ها، اختلال در خدمات و نصب بدافزار شود.

🌐 قالب Apache Parket در همه جا در سیستم های بزرگ استفاده می شود. کاربران شامل Netflix، Airbnb، Uber، Amazon و دیگر غول‌های فناوری اطلاعات هستند. این تهدید برای استخر های داده، ابرها و پلتفرم های تحلیلی که فایل ها را از خارج دریافت می کنند، حیاتی است.

#apacheparquet #bigdata
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

#خبر: VMware پس از خریداری شدن توسط یک غول IT حریص، مشتریان اصلی خود را یکی پس از دیگری از دست می دهد
VMware، یک توسعه‌دهنده نرم‌افزار مجازی‌سازی، مشتری اصلی بعدی خود - ارائه‌دهنده زیرساخت Beeks Group را از دست داده است. این شرکت بریتانیایی افزایش 900 درصدی قیمت ها برای استفاده از پشته مجازی سازی را که توسط مالک جدید VMware، Broadcom آغاز شد، غیرقابل قبول دانست و به راه حل باز OpenNebula روی آورد، اگرچه این کار دشواری بود
شرکت Beeks Group یک ارائه دهنده زیرساخت ابری در بریتانیا است . خدمات آن در درجه اول معطوف به نمایندگان بخش مالی اقتصاد است. بر اساس گزارش The Register ، قدرت محاسبات فیزیکی مورد استفاده توسط ارائه دهنده بین ۲۰ مرکز داده توزیع شده است. بر اساس این زیرساخت بیش از ۲۰ هزار سرور مجازی و حدود ۳ هزار سرور فیزیکی فعالیت می کنند.

اکنون اکثریت قریب به اتفاق ماشین‌های گروه Beeks OpenNebula را اجرا می‌کنند ، یک پلتفرم منبع باز، و از هایپروایزر KVM ( مجازی‌سازی هسته لینوکس ) استفاده می‌کنند .
شرکت Broadcom در بهار 2022 VMware را به قیمت رکورد 61 میلیارد دلار خریداری کرد. پیش از این، VMware به عنوان یک تجارت مستقل فعالیت می کرد که در سال 2021 از Dell Technologies جدا شد .

VMware "پیشگام مجازی سازی x86 " نامیده می شود زیرا اولین کسی بود که پیشرفت های خود را در نرم افزار مجازی سازی معماری Intel x86 تجاری کرد.

کار دشوار اما شدنی
مهاجرت به یک پشته مجازی سازی جایگزین برای Beeks Group چالش برانگیز بود. نرم افزار اختصاصی مورد استفاده توسط ارائه دهنده برای کار با VMware API "طراحی شده" بود ، بنابراین باید برای تعامل با OpenNebula سازگار شود .

ابزارهای داخلی پلتفرم باز برای جمع‌آوری معیارهای مهم مانند CPU سرور ، حافظه یا بار دیسک، نیازهای Beeks را برآورده نمی‌کنند، اما از آنجایی که OpenNebula منبع باز است، حل این مشکل کار غیرممکنی نبود. در نتیجه، شرکت ابزارهای مورد نیاز خود را به تنهایی تکمیل کرد.

ارائه‌دهنده ابر ادعا می‌کند که مهاجرت به OpenNebula باعث شده تا ماشین‌های مجازی بیشتری نسبت به آنچه که قبلاً با VMware Cloud Foundation امکان‌پذیر بود، همزمان روی یک سرور فیزیکی واحد اجرا شوند .

مشتریان در حال فرار از Broadcom هستند
Beeks Group اولین مشتری نسبتاً بزرگی نیست که VMware از زمانی که تحت Broadcom قرار گرفت از دست داده است .

پیش از این، شرکت بیمه آمریکایی Geico (به OpenStack تغییر کرد )، شرکت فین‌تک استرالیا Computershare (انتخاب Nutanix )، نماینده قمار و کسب و کار هتل‌داری از ایالات متحده آمریکا Boyd Gaming (Nutanix) و سازنده آمریکایی تجهیزات کشاورزی John Deere از همکاری با پیشگام مجازی‌سازی x86 خودداری کردند. در بسیاری از این موارد، دلیل انتقال به پشته مجازی سازی ابری جایگزین برای شرکت ها، تغییرات در سیاست های مجوز نرم افزار VMware بود که پس از خرید Broadcom رخ داد .

AT&T در سپتامبر 2024، Broadcom را تهدید به امتناع از همکاری کرد، زیرا درگیری برسر شرایط مجوز بیشتر که باید برای غول مخابراتی آمریکایی، کاربر قدیمی نرم افزار VMware اعمال شود. Broadcom معتقد بود که AT&T اکنون باید بیشتر بپردازد، که اپراتور مخابراتی با آن موافقت نکرد و با طرح شکایتی پاسخ داد که در آن برادکام را متهم به امتناع غیرقانونی از اجرای شرایط قرارداد قبلی منعقد شده کرد.

بر اساس مطالعه‌ای که توسط شرکت ابری Civo در سپتامبر 2024 انجام شد، VMware می‌تواند حدود نیمی از مشتریان خود را در آینده قابل پیش‌بینی از دست بدهد، به ویژه به دلیل افزایش قیمت‌ها و کنار گذاشتن مجوزهای "دائمی"، نوآوری‌های معرفی شده توسط Broadcom.

همانطور که TechSpot اشاره می کند ، Broadcom یک تاکتیک زیرکانه را اتخاذ کرده است تا مشتریان فعلی VMware را مجبور به پذیرش سیاست قیمت گذاری جدید کند. این شرکت با اطمینان و به شدت قیمت‌ها را افزایش می‌دهد، به خوبی می‌داند که هزینه‌های انتقال زیرساخت به یک پشته مجازی‌سازی جدید ممکن است بیشتر از هزینه‌های افزایش مجوز به Broadcom باشد. دور شدن از نرم‌افزار VMware می‌تواند از نظر مالی به‌ویژه برای کسب‌وکارهای کوچک و متوسطی که بودجه قابل‌توجهی در دسترس ندارند و می‌توانند برای تغییر به نرم‌افزار از یک فروشنده دیگر سرمایه‌گذاری مجدد کنند، دردناک باشد.
👈 رویکرد سازمانی شما در این خصوص چیست؟ تجارب خود را با ما به اشتراک بگذارید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یک آسیب‌پذیری در رابط وب میان‌افزار دستگاه‌های شبکه Moxa EDF-G1002-BP، EDR-810، EDR-8010، EDR-G9004، EDR-G9010، NAT-102، TN-4900 و OnCell G4302-LTE4 به دلیل خنثی‌سازی عناصر خرابی خاص دستگاه‌های شبکه است. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا دستورات دلخواه را از طریق تنظیمات NTP اجرا کند و کنترل کامل دستگاه را به دست آورد.

BDU: 2025-03709
CVE-2025-0415

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال سطح برنامه وب (WAF)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به رابط مدیریت وب یک دستگاه آسیب‌پذیر از زیرشبکه‌های دیگر؛
- محدودیت دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-259491-cve-2025-0415-command-injection-leading-to-denial-of-service-(dos)
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

• دیروز، گزارش تحلیلی سالانه محققان آزمایشگاه کسپرسکی منتشر شد که در آن کارشناسان تیم SOC مشاهدات خود را بر اساس تجزیه و تحلیل حوادث در سال 2024 به اشتراک می گذارند. به طور خاص، این گزارش حاوی اطلاعاتی در مورد رایج ترین تاکتیک ها، تکنیک ها و ابزار مهاجمان، ویژگی های حوادث شناسایی شده و توزیع آنها بر اساس منطقه و صنعت است.

• باید به طراحی گزارش توجه ویژه ای شود که خواندن آن تا حد امکان دلپذیر باشد. خوب، اگر در مورد محتوا صحبت کنیم، در اینجا چند روند اصلی وجود دارد:

➡ تعداد حوادث جدی کاهش یافته است، اما پیچیدگی آنها افزایش یافته است. در سال 2024 34 درصد کمتر از سال 2023 حوادث جدی رخ داد. با این حال، میانگین زمان بررسی و پاسخ به چنین حملاتی 48 درصد افزایش یافت که نشان دهنده افزایش قابل توجهی در پیچیدگی آنهاست.

➡ تعداد حملات هدفمند تحت کنترل انسان افزایش یافته است. در سال 2024، 43 درصد از حوادث جدی ناشی از حملات انسانی بوده است. این 74 درصد بیشتر از سال 2023 و 43 درصد بیشتر از سال 2022 است. اگرچه ابزارهای خودکار تشخیص حملات دائماً در حال پیشرفت هستند، مهاجمان همچنان به یافتن راه هایی برای دور زدن آنها می پردازند.

➡ مهاجمان اغلب پس از یک هک موفق باز می گردند. پس از اولین حمله موفق، مهاجمان اغلب به سازمان قربانی باز می گردند . این امر به ویژه در بخش عمومی صادق است، جایی که مهاجمان به جاسوسی سایبری طولانی مدت علاقه مند هستند.

➡ تکنیک Living off the Land بر حملات غالب است. مهاجمان اغلب از تکنیک‌های Living off the Land در زیرساخت‌هایی که فاقد ابزارهای کنترل پیکربندی هستند استفاده می‌کنند.

➡ تکنیک های اصلی اجرای کاربر و فیشینگ باقی می مانند. دستکاری کاربر و فیشینگ دوباره در میان سه تهدید رایج قرار گرفتند. حدود 5 درصد از حوادث جدی در سال 2024 به دلیل مهندسی اجتماعی موفق بوده است.

➡️ در صورت تمایل می توانید نسخه کامل گزارش را از این لینک دانلود کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

هکرهای کره شمالی سامانه‌های یکی از تولیدکنندگان پیشرو موشکی روسیه - رویترز را هک کردند

گروه‌های هکری ScarCruft و Lazarus که با دولت کره شمالی مرتبط هستند، در پایان سال 2021 به سیستم‌های یکی از شرکت‌های پیشرو موشکی و فضایی روسیه، NPO Mashinostroeniya دسترسی پیدا کردند. رویترز با استناد به یافته های شرکت امنیت سایبری آمریکایی SentinelOne می نویسد ، آنها حداقل تا ماه می 2022 این دسترسی را حفظ کردند.

متخصصان SentinelOne زمانی متوجه این هک شدند که یکی از متخصصان IT در NPO Mashinostroyenia به طور تصادفی مکاتبات داخلی شرکت را هنگام بررسی هک فاش کرد.

به گزارش SentinelOne، هکرهای کره شمالی به ایمیل های کارکنان NPO Mashinostroeniya دسترسی پیدا کردند. رویترز خاطرنشان کرد که نمی تواند تعیین کند که آیا هکرها اطلاعات حساسی را سرقت کرده اند یا خیر. چند ماه پس از هک، پیونگ یانگ تعدادی از تغییرات را در برنامه موشک های بالستیک خود اعلام کرد، اما مشخص نیست که آیا این تغییرات به هک مربوط می شود یا خیر.

این آژانس نوشت: «کارشناسان می گویند این حادثه نشان می دهد که چگونه این کشور منزوی حتی متحدان خود مانند روسیه را در تلاش برای دستیابی به فناوری حیاتی هدف قرار می دهد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

این همان فیبر نوری است که در ته اقیانوس ها قرار گرفته و اینترنت را به خانه های ما می آورد.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR