• دیروز، گزارش تحلیلی سالانه محققان آزمایشگاه کسپرسکی منتشر شد که در آن کارشناسان تیم SOC مشاهدات خود را بر اساس تجزیه و تحلیل حوادث در سال 2024 به اشتراک می گذارند. به طور خاص، این گزارش حاوی اطلاعاتی در مورد رایج ترین تاکتیک ها، تکنیک ها و ابزار مهاجمان، ویژگی های حوادث شناسایی شده و توزیع آنها بر اساس منطقه و صنعت است.
• باید به طراحی گزارش توجه ویژه ای شود که خواندن آن تا حد امکان دلپذیر باشد. خوب، اگر در مورد محتوا صحبت کنیم، در اینجا چند روند اصلی وجود دارد:
➡ تعداد حوادث جدی کاهش یافته است، اما پیچیدگی آنها افزایش یافته است. در سال 2024 34 درصد کمتر از سال 2023 حوادث جدی رخ داد. با این حال، میانگین زمان بررسی و پاسخ به چنین حملاتی 48 درصد افزایش یافت که نشان دهنده افزایش قابل توجهی در پیچیدگی آنهاست.
➡ تعداد حملات هدفمند تحت کنترل انسان افزایش یافته است. در سال 2024، 43 درصد از حوادث جدی ناشی از حملات انسانی بوده است. این 74 درصد بیشتر از سال 2023 و 43 درصد بیشتر از سال 2022 است. اگرچه ابزارهای خودکار تشخیص حملات دائماً در حال پیشرفت هستند، مهاجمان همچنان به یافتن راه هایی برای دور زدن آنها می پردازند.
➡ مهاجمان اغلب پس از یک هک موفق باز می گردند. پس از اولین حمله موفق، مهاجمان اغلب به سازمان قربانی باز می گردند . این امر به ویژه در بخش عمومی صادق است، جایی که مهاجمان به جاسوسی سایبری طولانی مدت علاقه مند هستند.
➡ تکنیک Living off the Land بر حملات غالب است. مهاجمان اغلب از تکنیکهای Living off the Land در زیرساختهایی که فاقد ابزارهای کنترل پیکربندی هستند استفاده میکنند.
➡ تکنیک های اصلی اجرای کاربر و فیشینگ باقی می مانند. دستکاری کاربر و فیشینگ دوباره در میان سه تهدید رایج قرار گرفتند. حدود 5 درصد از حوادث جدی در سال 2024 به دلیل مهندسی اجتماعی موفق بوده است.
➡️ در صورت تمایل می توانید نسخه کامل گزارش را از این لینک دانلود کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
• باید به طراحی گزارش توجه ویژه ای شود که خواندن آن تا حد امکان دلپذیر باشد. خوب، اگر در مورد محتوا صحبت کنیم، در اینجا چند روند اصلی وجود دارد:
➡ تعداد حوادث جدی کاهش یافته است، اما پیچیدگی آنها افزایش یافته است. در سال 2024 34 درصد کمتر از سال 2023 حوادث جدی رخ داد. با این حال، میانگین زمان بررسی و پاسخ به چنین حملاتی 48 درصد افزایش یافت که نشان دهنده افزایش قابل توجهی در پیچیدگی آنهاست.
➡ تعداد حملات هدفمند تحت کنترل انسان افزایش یافته است. در سال 2024، 43 درصد از حوادث جدی ناشی از حملات انسانی بوده است. این 74 درصد بیشتر از سال 2023 و 43 درصد بیشتر از سال 2022 است. اگرچه ابزارهای خودکار تشخیص حملات دائماً در حال پیشرفت هستند، مهاجمان همچنان به یافتن راه هایی برای دور زدن آنها می پردازند.
➡ مهاجمان اغلب پس از یک هک موفق باز می گردند. پس از اولین حمله موفق، مهاجمان اغلب به سازمان قربانی باز می گردند . این امر به ویژه در بخش عمومی صادق است، جایی که مهاجمان به جاسوسی سایبری طولانی مدت علاقه مند هستند.
➡ تکنیک Living off the Land بر حملات غالب است. مهاجمان اغلب از تکنیکهای Living off the Land در زیرساختهایی که فاقد ابزارهای کنترل پیکربندی هستند استفاده میکنند.
➡ تکنیک های اصلی اجرای کاربر و فیشینگ باقی می مانند. دستکاری کاربر و فیشینگ دوباره در میان سه تهدید رایج قرار گرفتند. حدود 5 درصد از حوادث جدی در سال 2024 به دلیل مهندسی اجتماعی موفق بوده است.
➡️ در صورت تمایل می توانید نسخه کامل گزارش را از این لینک دانلود کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
هکرهای کره شمالی سامانههای یکی از تولیدکنندگان پیشرو موشکی روسیه - رویترز را هک کردند
گروههای هکری ScarCruft و Lazarus که با دولت کره شمالی مرتبط هستند، در پایان سال 2021 به سیستمهای یکی از شرکتهای پیشرو موشکی و فضایی روسیه، NPO Mashinostroeniya دسترسی پیدا کردند. رویترز با استناد به یافته های شرکت امنیت سایبری آمریکایی SentinelOne می نویسد ، آنها حداقل تا ماه می 2022 این دسترسی را حفظ کردند.
متخصصان SentinelOne زمانی متوجه این هک شدند که یکی از متخصصان IT در NPO Mashinostroyenia به طور تصادفی مکاتبات داخلی شرکت را هنگام بررسی هک فاش کرد.
به گزارش SentinelOne، هکرهای کره شمالی به ایمیل های کارکنان NPO Mashinostroeniya دسترسی پیدا کردند. رویترز خاطرنشان کرد که نمی تواند تعیین کند که آیا هکرها اطلاعات حساسی را سرقت کرده اند یا خیر. چند ماه پس از هک، پیونگ یانگ تعدادی از تغییرات را در برنامه موشک های بالستیک خود اعلام کرد، اما مشخص نیست که آیا این تغییرات به هک مربوط می شود یا خیر.
این آژانس نوشت: «کارشناسان می گویند این حادثه نشان می دهد که چگونه این کشور منزوی حتی متحدان خود مانند روسیه را در تلاش برای دستیابی به فناوری حیاتی هدف قرار می دهد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
گروههای هکری ScarCruft و Lazarus که با دولت کره شمالی مرتبط هستند، در پایان سال 2021 به سیستمهای یکی از شرکتهای پیشرو موشکی و فضایی روسیه، NPO Mashinostroeniya دسترسی پیدا کردند. رویترز با استناد به یافته های شرکت امنیت سایبری آمریکایی SentinelOne می نویسد ، آنها حداقل تا ماه می 2022 این دسترسی را حفظ کردند.
متخصصان SentinelOne زمانی متوجه این هک شدند که یکی از متخصصان IT در NPO Mashinostroyenia به طور تصادفی مکاتبات داخلی شرکت را هنگام بررسی هک فاش کرد.
به گزارش SentinelOne، هکرهای کره شمالی به ایمیل های کارکنان NPO Mashinostroeniya دسترسی پیدا کردند. رویترز خاطرنشان کرد که نمی تواند تعیین کند که آیا هکرها اطلاعات حساسی را سرقت کرده اند یا خیر. چند ماه پس از هک، پیونگ یانگ تعدادی از تغییرات را در برنامه موشک های بالستیک خود اعلام کرد، اما مشخص نیست که آیا این تغییرات به هک مربوط می شود یا خیر.
این آژانس نوشت: «کارشناسان می گویند این حادثه نشان می دهد که چگونه این کشور منزوی حتی متحدان خود مانند روسیه را در تلاش برای دستیابی به فناوری حیاتی هدف قرار می دهد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
این همان فیبر نوری است که در ته اقیانوس ها قرار گرفته و اینترنت را به خانه های ما می آورد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
یک حمله کاربردی کانال جانبی آکوستیک مبتنی بر یادگیری عمیق به صفحه کلید
یک حمله صوتی جدید بر اساس یک مدل یادگیری عمیق. به شما امکان می دهد با دقت 95 درصد تشخیص دهید که چه متنی بر اساس صدای ضبط شده از "ضربه زدن" کلیدها تایپ شده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
یک حمله صوتی جدید بر اساس یک مدل یادگیری عمیق. به شما امکان می دهد با دقت 95 درصد تشخیص دهید که چه متنی بر اساس صدای ضبط شده از "ضربه زدن" کلیدها تایپ شده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🪱 کرم موریس اولین ویروس در تاریخ است که به طور خودکار در سراسر شبکه پخش می شود.
https://t.me/ics_cert/1087
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
https://t.me/ics_cert/1087
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🪱 کرم موریس اولین ویروس در تاریخ است که به طور خودکار در سراسر شبکه پخش می شود.
• موریس فارغ التحصیل سال 1988 از هاروارد و رابرت تاپن، دانشجوی کارشناسی ارشد در دانشگاه کرنل، نیویورک بود. او که پسر یک رمزنگار حرفه ای برای NSA ایالات متحده بود، تصمیم گرفت یک کرم خود تکثیر شونده روی ARPAnet بنویسد.
— ARPANET (شبکه آژانس پروژه های تحقیقاتی پیشرفته) در سال 1969 به ابتکار آژانس پروژه های تحقیقاتی پیشرفته وزارت دفاع ایالات متحده (دارپا، آژانس پروژه های تحقیقاتی پیشرفته دفاعی) ایجاد شد و نمونه اولیه اینترنت بود.
• Morris Worm اولین نرم افزار مخرب در تاریخ فناوری رایانه بود که از مکانیسم های انتشار خودکار در شبکه استفاده می کرد. برای این کار از آسیب پذیری های متعدد در سرویس های شبکه و همچنین ضعف هایی در سیستم های کامپیوتری به دلیل عدم توجه کافی به مسائل امنیتی در آن زمان استفاده شد.
• به گفته موریس، این کرم برای اهداف تحقیقاتی ایجاد شده است. کد او حاوی هیچ "بارگذاری" نبود. با این حال، به دلیل اشتباهات در الگوریتم های عملیاتی، گسترش کرم باعث به اصطلاح "انکار سرویس" شد، زمانی که رایانه ها مشغول اجرای نسخه های متعدد کرم بودند و پاسخ به دستورات اپراتور را متوقف کردند.
• این یک الگوریتم نادرست پیاده سازی شده برای بررسی اینکه آیا سیستم قبلاً آلوده شده بود یا خیر بود که بر خلاف قصد نویسنده آن به گسترش گسترده کرم در شبکه منجر شد. در عمل رایانه های شخصی چندین بار آلوده شدند که اولاً منجر به تخلیه سریع منابع شد و ثانیاً به گسترش بهمن مانند کرم در شبکه کمک کرد. بر اساس برخی برآوردها، کرم موریس حدود 6200 کامپیوتر را آلوده کرده است.
• کرم موریس عملاً کار کامپیوترهای روی شبکه ARPANET را تا پنج روز فلج کرد. برآورد زمان خرابی حداقل 8 میلیون ساعت و بیش از 1 میلیون ساعت زمان صرف شده برای بازگرداندن عملکرد سیستم ها است.
• مجموع زیان به لحاظ پولی 98 میلیون دلار برآورد شد که شامل زیان مستقیم و غیرمستقیم بود. خسارات مستقیم شامل (32 میلیون دلار): خاموش کردن، آزمایش و راه اندازی مجدد 42700 دستگاه. شناسایی کرم، حذف، تمیز کردن حافظه و ترمیم 6200 دستگاه. تجزیه و تحلیل کد کرم، جداسازی قطعات و مستندسازی؛ تعمیر سیستم های یونیکس و تست. خسارات غیرمستقیم شامل (66 میلیون دلار): از دست دادن زمان رایانه در نتیجه عدم دسترسی به شبکه. از دست دادن دسترسی کاربر به شبکه
• خود سازنده با درک مقیاس نتایج اقدام خود، داوطلبانه تسلیم مقامات شد و در مورد همه چیز گفت. جلسه رسیدگی به پرونده او در 22 ژانویه 1990 به پایان رسید. موریس ابتدا با پنج سال زندان و جریمه 25000 دلاری روبرو شد. در واقع، این حکم بسیار ملایم بود. دادگاه 400 ساعت خدمات اجتماعی، 10000 دلار جریمه، یک دوره آزمایشی سه ساله و پرداخت هزینه های مربوط به نظارت بر فرد محکوم را صادر کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
• موریس فارغ التحصیل سال 1988 از هاروارد و رابرت تاپن، دانشجوی کارشناسی ارشد در دانشگاه کرنل، نیویورک بود. او که پسر یک رمزنگار حرفه ای برای NSA ایالات متحده بود، تصمیم گرفت یک کرم خود تکثیر شونده روی ARPAnet بنویسد.
— ARPANET (شبکه آژانس پروژه های تحقیقاتی پیشرفته) در سال 1969 به ابتکار آژانس پروژه های تحقیقاتی پیشرفته وزارت دفاع ایالات متحده (دارپا، آژانس پروژه های تحقیقاتی پیشرفته دفاعی) ایجاد شد و نمونه اولیه اینترنت بود.
• Morris Worm اولین نرم افزار مخرب در تاریخ فناوری رایانه بود که از مکانیسم های انتشار خودکار در شبکه استفاده می کرد. برای این کار از آسیب پذیری های متعدد در سرویس های شبکه و همچنین ضعف هایی در سیستم های کامپیوتری به دلیل عدم توجه کافی به مسائل امنیتی در آن زمان استفاده شد.
• به گفته موریس، این کرم برای اهداف تحقیقاتی ایجاد شده است. کد او حاوی هیچ "بارگذاری" نبود. با این حال، به دلیل اشتباهات در الگوریتم های عملیاتی، گسترش کرم باعث به اصطلاح "انکار سرویس" شد، زمانی که رایانه ها مشغول اجرای نسخه های متعدد کرم بودند و پاسخ به دستورات اپراتور را متوقف کردند.
• این یک الگوریتم نادرست پیاده سازی شده برای بررسی اینکه آیا سیستم قبلاً آلوده شده بود یا خیر بود که بر خلاف قصد نویسنده آن به گسترش گسترده کرم در شبکه منجر شد. در عمل رایانه های شخصی چندین بار آلوده شدند که اولاً منجر به تخلیه سریع منابع شد و ثانیاً به گسترش بهمن مانند کرم در شبکه کمک کرد. بر اساس برخی برآوردها، کرم موریس حدود 6200 کامپیوتر را آلوده کرده است.
• کرم موریس عملاً کار کامپیوترهای روی شبکه ARPANET را تا پنج روز فلج کرد. برآورد زمان خرابی حداقل 8 میلیون ساعت و بیش از 1 میلیون ساعت زمان صرف شده برای بازگرداندن عملکرد سیستم ها است.
• مجموع زیان به لحاظ پولی 98 میلیون دلار برآورد شد که شامل زیان مستقیم و غیرمستقیم بود. خسارات مستقیم شامل (32 میلیون دلار): خاموش کردن، آزمایش و راه اندازی مجدد 42700 دستگاه. شناسایی کرم، حذف، تمیز کردن حافظه و ترمیم 6200 دستگاه. تجزیه و تحلیل کد کرم، جداسازی قطعات و مستندسازی؛ تعمیر سیستم های یونیکس و تست. خسارات غیرمستقیم شامل (66 میلیون دلار): از دست دادن زمان رایانه در نتیجه عدم دسترسی به شبکه. از دست دادن دسترسی کاربر به شبکه
• خود سازنده با درک مقیاس نتایج اقدام خود، داوطلبانه تسلیم مقامات شد و در مورد همه چیز گفت. جلسه رسیدگی به پرونده او در 22 ژانویه 1990 به پایان رسید. موریس ابتدا با پنج سال زندان و جریمه 25000 دلاری روبرو شد. در واقع، این حکم بسیار ملایم بود. دادگاه 400 ساعت خدمات اجتماعی، 10000 دلار جریمه، یک دوره آزمایشی سه ساله و پرداخت هزینه های مربوط به نظارت بر فرد محکوم را صادر کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
World IACS SECURITY PROFESSIONALS
A worldwide IACS group for Professionals to connect, learn, and grow in the field of Operational Technology (OT) - Industrial Automation and Control System (IACS), SCADA, and Substation Automation System (SAS) Security. We share together industry experiences and knowledge and practical experiences to help us stay ahead of the latest trends and challenges.
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram:
https://t.me/ics_cert
Dr. Pedram Kiani
A worldwide IACS group for Professionals to connect, learn, and grow in the field of Operational Technology (OT) - Industrial Automation and Control System (IACS), SCADA, and Substation Automation System (SAS) Security. We share together industry experiences and knowledge and practical experiences to help us stay ahead of the latest trends and challenges.
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram:
https://t.me/ics_cert
Dr. Pedram Kiani
یک آسیبپذیری در رابط وب میانافزار دستگاههای شبکه Moxa EDF-G1002-BP، EDR-810، EDR-8010، EDR-G9004، EDR-G9010، NAT-102، TN-4900 و OnCell G4302-LTE4 به دلیل خنثیسازی عناصر خرابی خاص دستگاههای شبکه است. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا دستورات دلخواه را از طریق تنظیمات NTP اجرا کند و کنترل کامل دستگاه را به دست آورد.
BDU: 2025-03709
CVE-2025-0415
نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال سطح برنامه وب (WAF)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به رابط مدیریت وب یک دستگاه آسیبپذیر از زیرشبکههای دیگر؛
- محدودیت دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیه ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-259491-cve-2025-0415-command-injection-leading-to-denial-of-service-(dos)
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
BDU: 2025-03709
CVE-2025-0415
نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال سطح برنامه وب (WAF)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به رابط مدیریت وب یک دستگاه آسیبپذیر از زیرشبکههای دیگر؛
- محدودیت دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیه ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-259491-cve-2025-0415-command-injection-leading-to-denial-of-service-(dos)
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Moxa
CVE-2025-0415: Command Injection Leading to Denial-of-Service in Secure Routers, Cellular Routers, and Network Security Appliances
Media is too big
VIEW IN TELEGRAM
گروه Z-PENTEST ALLIANCE اعلام کرد که به سیستم کنترل فرآیند خودکار کارخانه سرامیک ایتالیایی PAGNOTTA TERMOMECCANICA SNC دسترسی پیدا کرده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
محققان جزئیات پنج آسیبپذیری با شدت بالا را به اشتراک گذاشتهاند که بر محصولات Iconics و Mitsubishi Electric نظارتی و جمعآوری دادهها (SCADA) تأثیر میگذارند.
راه حل های تحت تأثیر عبارتند از Genesis64 و MC Works64. همین آسیبپذیریها بر روی Iconics و Mitsubishi Electric نیز تأثیر میگذارند، زیرا اولی بخشی از دومی است.
آسیب پذیری های SCADA یافت شده عبارتند از: ربودن DLL (CVE-2024-1182)، مجوزهای پیش فرض نادرست (CVE-2024-7587)، عنصر مسیر جستجوی کنترل نشده (CVE-2024-8299 و CVE-2024-9852)، و کد مرده (CVE-2024-8320).
همه این آسیبپذیریها برای بهرهبرداری نیاز به احراز هویت دارند، اما به مهاجمانی که قبلاً به سیستمهای سازمان هدف دسترسی پیدا کردهاند اجازه میدهند کد دلخواه را اجرا کنند، امتیازات را افزایش دهند و فایلهای حیاتی را دستکاری کنند.
در یک حمله واقعی که سیستمهای صنعتی را هدف قرار میدهد، یک مهاجم میتواند از آسیبپذیریهای SCADA برای ایجاد خرابی سیستم سوء استفاده کند و در برخی موارد کنترل کامل سیستم را به دست آورد.
روی هم رفته، این آسیبپذیریها خطری جدی برای محرمانگی، یکپارچگی و در دسترس بودن سیستمها ایجاد میکنند.
آسیبپذیریها میتواند برای مهاجمان ارزشمند باشد، زیرا محصولات Iconics و Mitsubishi Electric صدها هزار بار در سراسر جهان از جمله در بخش عمومی، دفاع، تامین آب، تولید و انرژی نصب شدهاند.
این آسیبپذیریها در اوایل سال 2024 توسط شرکت Iconics Suite و Mitsubishi Electric MC Works نسخههای 10.97.2 و 10.97.3 برای ویندوز کشف شد. اصلاحات و اقدامات کاهشی در سال گذشته منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
راه حل های تحت تأثیر عبارتند از Genesis64 و MC Works64. همین آسیبپذیریها بر روی Iconics و Mitsubishi Electric نیز تأثیر میگذارند، زیرا اولی بخشی از دومی است.
آسیب پذیری های SCADA یافت شده عبارتند از: ربودن DLL (CVE-2024-1182)، مجوزهای پیش فرض نادرست (CVE-2024-7587)، عنصر مسیر جستجوی کنترل نشده (CVE-2024-8299 و CVE-2024-9852)، و کد مرده (CVE-2024-8320).
همه این آسیبپذیریها برای بهرهبرداری نیاز به احراز هویت دارند، اما به مهاجمانی که قبلاً به سیستمهای سازمان هدف دسترسی پیدا کردهاند اجازه میدهند کد دلخواه را اجرا کنند، امتیازات را افزایش دهند و فایلهای حیاتی را دستکاری کنند.
در یک حمله واقعی که سیستمهای صنعتی را هدف قرار میدهد، یک مهاجم میتواند از آسیبپذیریهای SCADA برای ایجاد خرابی سیستم سوء استفاده کند و در برخی موارد کنترل کامل سیستم را به دست آورد.
روی هم رفته، این آسیبپذیریها خطری جدی برای محرمانگی، یکپارچگی و در دسترس بودن سیستمها ایجاد میکنند.
آسیبپذیریها میتواند برای مهاجمان ارزشمند باشد، زیرا محصولات Iconics و Mitsubishi Electric صدها هزار بار در سراسر جهان از جمله در بخش عمومی، دفاع، تامین آب، تولید و انرژی نصب شدهاند.
این آسیبپذیریها در اوایل سال 2024 توسط شرکت Iconics Suite و Mitsubishi Electric MC Works نسخههای 10.97.2 و 10.97.3 برای ویندوز کشف شد. اصلاحات و اقدامات کاهشی در سال گذشته منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
گروه RipperSec از شرکتهای کره جنوبی عبور کرد و به سیستمهای کنترل فرآیند خودکار یک سازنده راهحلهای انرژی و نیروگاه هستهای و همچنین یک شرکت درگیر در تصفیه آب حمله کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Media is too big
VIEW IN TELEGRAM
هکرهای Z-PENTEST ALLIANCE می نویسند:
ما فرض می کنیم که این ویدئو نیروگاه حرارتی و برق ترکیبی در Busto Arsizio را نشان می دهد. دسترسی کامل به سیستم گرمایش دیگ، کنترل آبرسانی و دمای آن به دست آمده است. ما نتوانستیم در برابر تغییر نام دیگ ها به صلاحدید خود مقاومت کنیم 😉
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
ما فرض می کنیم که این ویدئو نیروگاه حرارتی و برق ترکیبی در Busto Arsizio را نشان می دهد. دسترسی کامل به سیستم گرمایش دیگ، کنترل آبرسانی و دمای آن به دست آمده است. ما نتوانستیم در برابر تغییر نام دیگ ها به صلاحدید خود مقاومت کنیم 😉
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.
BDU: 2025-04081
CVE-2024-41794
اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
BDU: 2025-04081
CVE-2024-41794
اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
روند به سمت انرژی هسته ای برای مراکز داده ادامه دارد: گوگل راکتورهای کوچک مدولار (SMR) با ظرفیت کل 500 مگاوات را به استارتاپ Kairos Power سفارش داده است. در مقایسه با ایستگاه های مقیاس بزرگ، تغییرات مدولار طراحی ذاتا ایمن تر و ساخت سریع تر را ارائه می دهند. ارزش این معامله اعلام نشده است.
SMR ها حداکثر ظرفیت 300 مگاوات دارند و می توانند 7.2 میلیون کیلووات ساعت در روز تولید کنند . در مقام مقایسه، نیروگاه های هسته ای بزرگ ظرفیت خروجی بیش از 1000 مگاوات دارند و می توانند 24 میلیون کیلووات ساعت در روز تولید کنند.
استارت آپ هفت ساله Kairos وعده می دهد که اولین راکتور تجاری خود را تا سال 2030 و با راکتورهای اضافی تا سال 2035 راه اندازی کند. این شرکت رآکتورهای خود را می سازد که به جای آب توسط نمک فلوراید مذاب خنک می شوند. کایروس همچنین از سوخت هسته ای پیشرفته ای به نام TRISO استفاده می کند که از هسته های اورانیوم، کربن و اکسیژن در لایه های محافظ کربن و سرامیک تشکیل شده است. این شرکت ادعا می کند که هر یک از کپسول های توپ گلف می تواند به اندازه چهار تن زغال سنگ انرژی تولید کند.
در دسامبر، Kairos Power از کمیسیون تنظیم مقررات هسته ای ایالات متحده برای ساخت یک راکتور نمایشی 50 مگاواتی در تنسی مجوز دریافت کرد. این راکتور در سال 2027 به بهره برداری می رسد. خود وزارتخانه 300 میلیون دلار در این راکتور سرمایه گذاری خواهد کرد.
این اولین تاییدیه نوع جدیدی از راکتور ایالات متحده در نیم قرن گذشته است. در طول 20 سال گذشته، ایالات متحده تنها سه راکتور را راه اندازی کرده است.
اکنون رآکتورهای هسته ای، از جمله، با پول فناوری های بزرگ ساخته می شوند. علاوه بر گوگل، مایکروسافت ماه گذشته توافقی برای راه اندازی مجدد نیروگاه هسته ای Three Mile Island در سال 2028 امضا کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
SMR ها حداکثر ظرفیت 300 مگاوات دارند و می توانند 7.2 میلیون کیلووات ساعت در روز تولید کنند . در مقام مقایسه، نیروگاه های هسته ای بزرگ ظرفیت خروجی بیش از 1000 مگاوات دارند و می توانند 24 میلیون کیلووات ساعت در روز تولید کنند.
استارت آپ هفت ساله Kairos وعده می دهد که اولین راکتور تجاری خود را تا سال 2030 و با راکتورهای اضافی تا سال 2035 راه اندازی کند. این شرکت رآکتورهای خود را می سازد که به جای آب توسط نمک فلوراید مذاب خنک می شوند. کایروس همچنین از سوخت هسته ای پیشرفته ای به نام TRISO استفاده می کند که از هسته های اورانیوم، کربن و اکسیژن در لایه های محافظ کربن و سرامیک تشکیل شده است. این شرکت ادعا می کند که هر یک از کپسول های توپ گلف می تواند به اندازه چهار تن زغال سنگ انرژی تولید کند.
در دسامبر، Kairos Power از کمیسیون تنظیم مقررات هسته ای ایالات متحده برای ساخت یک راکتور نمایشی 50 مگاواتی در تنسی مجوز دریافت کرد. این راکتور در سال 2027 به بهره برداری می رسد. خود وزارتخانه 300 میلیون دلار در این راکتور سرمایه گذاری خواهد کرد.
این اولین تاییدیه نوع جدیدی از راکتور ایالات متحده در نیم قرن گذشته است. در طول 20 سال گذشته، ایالات متحده تنها سه راکتور را راه اندازی کرده است.
اکنون رآکتورهای هسته ای، از جمله، با پول فناوری های بزرگ ساخته می شوند. علاوه بر گوگل، مایکروسافت ماه گذشته توافقی برای راه اندازی مجدد نیروگاه هسته ای Three Mile Island در سال 2028 امضا کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
در یک کمپین جدید با استفاده از بدافزار HiatusRAT ، مهاجمان به یک سرور متعلق به وزارت دفاع ایالات متحده حمله کردند.
به گفته آزمایشگاه لوتوس سیاه لومن ، این حمله ماهیت شناسایی داشت، زیرا حملات قبلی سازمانهایی را در آمریکای لاتین و اروپا هدف قرار داده بود و برای به خطر انداختن روترهای DrayTek Vigor VPN شرکتها استفاده میشد.
علاوه بر این، کارشناسان خاطرنشان کردند که با هدف قرار گرفتن سیستم تدارکات نظامی ایالات متحده و همچنین برخی سازمان های مستقر در تایوان، تلاش های اطلاعاتی کمپین به طور ناگهانی بین اواسط ژوئن تا اوت تغییر کرد.
نمونههای HiatusRAT برای معماریهای مختلف دوباره کامپایل شدند و روی VPSهای جدید مستقر شدند، با یکی از این گرهها در عملیات انتقال داده با پیشنهاد قرارداد نظامی ایالات متحده و سرور پیشنهاد استفاده میشود.
مهاجمان احتمالاً اطلاعات در دسترس عموم در مورد نیازهای نظامی را هدف قرار می دهند یا صرفاً سعی می کنند اطلاعاتی در مورد سازمان های دخیل در پایگاه صنعتی دفاعی ایالات متحده برای قراردادهای نظامی فعلی و آینده پیدا کنند.
این کمپین به دنبال یک سری حملات قبلی است که در آن بیش از صد شرکت، عمدتاً در اروپا، آمریکای شمالی و جنوبی، به HiatusRAT آلوده شدند تا یک شبکه پراکسی مخفی ایجاد کنند.
این بدافزار در درجه اول برای نصب بارهای اضافی بر روی دستگاه های آلوده و تبدیل سیستم های در معرض خطر به پراکسی های SOCKS5 برای برقراری ارتباط با سرور فرمان و کنترل استفاده می شود.
به طور کلی، لومن تاکید کرد، این تغییر در اولویتهای جمعآوری اطلاعات و هدفگیری در راستای منافع استراتژیک چین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
به گفته آزمایشگاه لوتوس سیاه لومن ، این حمله ماهیت شناسایی داشت، زیرا حملات قبلی سازمانهایی را در آمریکای لاتین و اروپا هدف قرار داده بود و برای به خطر انداختن روترهای DrayTek Vigor VPN شرکتها استفاده میشد.
علاوه بر این، کارشناسان خاطرنشان کردند که با هدف قرار گرفتن سیستم تدارکات نظامی ایالات متحده و همچنین برخی سازمان های مستقر در تایوان، تلاش های اطلاعاتی کمپین به طور ناگهانی بین اواسط ژوئن تا اوت تغییر کرد.
نمونههای HiatusRAT برای معماریهای مختلف دوباره کامپایل شدند و روی VPSهای جدید مستقر شدند، با یکی از این گرهها در عملیات انتقال داده با پیشنهاد قرارداد نظامی ایالات متحده و سرور پیشنهاد استفاده میشود.
مهاجمان احتمالاً اطلاعات در دسترس عموم در مورد نیازهای نظامی را هدف قرار می دهند یا صرفاً سعی می کنند اطلاعاتی در مورد سازمان های دخیل در پایگاه صنعتی دفاعی ایالات متحده برای قراردادهای نظامی فعلی و آینده پیدا کنند.
این کمپین به دنبال یک سری حملات قبلی است که در آن بیش از صد شرکت، عمدتاً در اروپا، آمریکای شمالی و جنوبی، به HiatusRAT آلوده شدند تا یک شبکه پراکسی مخفی ایجاد کنند.
این بدافزار در درجه اول برای نصب بارهای اضافی بر روی دستگاه های آلوده و تبدیل سیستم های در معرض خطر به پراکسی های SOCKS5 برای برقراری ارتباط با سرور فرمان و کنترل استفاده می شود.
به طور کلی، لومن تاکید کرد، این تغییر در اولویتهای جمعآوری اطلاعات و هدفگیری در راستای منافع استراتژیک چین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
به گفته VulnCheck، بیش از 3000 سرور با استفاده از یک اکسپلویت جدید برای وصلهشده CVE-2023-32315 در معرض خطر حملات قرار دارند.
Openfire که توسط Ignite Realtime ارائه می شود، یک سرور همکاری بلادرنگ بین پلتفرمی است که به زبان جاوا نوشته شده و با استفاده از پروتکل XMPP و از طریق یک رابط وب مدیریت می شود.
یک آسیبپذیری با شدت بالا در Openfire Administration Console مربوط به پیمایش مسیر از طریق محیط پیکربندی کشف شده است.
این اجازه می دهد تا مهاجمان احراز هویت نشده به صفحات محدود شده در کنسول مدیریت دسترسی داشته باشند.
این مشکل به دلیل عدم محافظت Openfire در برابر کدگذاری URL غیر استاندارد خاص برای کاراکترهای UTF-16 است که توسط وب سرور پشتیبانی نمی شود - پشتیبانی بدون به روز رسانی حفاظت اضافه شد.
همه نسخههای Openfire تحت تأثیر قرار میگیرند، از نسخه 3.10.0 که در آوریل 2015 منتشر شد و با نسخههای 4.7.5 و 4.6.8 که در می 2023 برای رفع این آسیبپذیری منتشر شد ، پایان مییابد.
این آسیب پذیری بیش از دو ماه در حملات مخرب مورد سوء استفاده قرار گرفت.
مشاهده شد که مهاجمان حسابهای کاربری کنسول مدیریت جدیدی را برای نصب افزونهای با پوسته وب راه دور ایجاد میکنند که به آنها اجازه میدهد دستورات دلخواه را اجرا کنند و به هر دادهای روی سرور دسترسی داشته باشند.
اکسپلویت های موجود تا به امروز که CVE-2023-32315 را هدف قرار می دهند، همگی یک طرح را اجرا می کنند.
با این حال، VulnCheck یک نوع جدید از اکسپلویت را کشف کرد که نیازی به ایجاد حساب مدیر ندارد.
علاوه بر این، محققان بیش از 6300 سرور Openfire را در اینترنت شناسایی کردند که حدود 50 درصد از سرورها از نسخههای آسیبپذیر استفاده میکردند.
از آنجایی که نقص امنیتی به مهاجمی که احراز هویت نشده اجازه دسترسی به نقطه پایانی مدیریت پلاگین را می دهد، مهاجم می تواند افزونه را مستقیما دانلود کرده و سپس به پوسته وب دسترسی داشته باشد، همچنین بدون احراز هویت.
این رویکرد هیچ اثری از ورود به سیستم در گزارش های ممیزی امنیتی باقی نمی گذارد و از ثبت اعلان های مربوط به افزونه بارگذاری شده جلوگیری می کند.
در حالی که فعالیت های مخرب ممکن است در openfire.log قابل مشاهده باشد، مهاجم می تواند از پیمایش مسیر برای حذف گزارش از طریق پوسته وب استفاده کند و خود افزونه را به عنوان تنها نشانگر سازش باقی بگذارد.
همانطور که محققان خاطرنشان می کنند، این آسیب پذیری قبلاً مورد سوء استفاده قرار گرفته است، احتمالاً حتی توسط یک بات نت معروف، و با توجه به سیستم های آسیب پذیر فراوان موجود در شبکه، فرض می شود که بهره برداری در آینده ادامه خواهد داشت.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Openfire که توسط Ignite Realtime ارائه می شود، یک سرور همکاری بلادرنگ بین پلتفرمی است که به زبان جاوا نوشته شده و با استفاده از پروتکل XMPP و از طریق یک رابط وب مدیریت می شود.
یک آسیبپذیری با شدت بالا در Openfire Administration Console مربوط به پیمایش مسیر از طریق محیط پیکربندی کشف شده است.
این اجازه می دهد تا مهاجمان احراز هویت نشده به صفحات محدود شده در کنسول مدیریت دسترسی داشته باشند.
این مشکل به دلیل عدم محافظت Openfire در برابر کدگذاری URL غیر استاندارد خاص برای کاراکترهای UTF-16 است که توسط وب سرور پشتیبانی نمی شود - پشتیبانی بدون به روز رسانی حفاظت اضافه شد.
همه نسخههای Openfire تحت تأثیر قرار میگیرند، از نسخه 3.10.0 که در آوریل 2015 منتشر شد و با نسخههای 4.7.5 و 4.6.8 که در می 2023 برای رفع این آسیبپذیری منتشر شد ، پایان مییابد.
این آسیب پذیری بیش از دو ماه در حملات مخرب مورد سوء استفاده قرار گرفت.
مشاهده شد که مهاجمان حسابهای کاربری کنسول مدیریت جدیدی را برای نصب افزونهای با پوسته وب راه دور ایجاد میکنند که به آنها اجازه میدهد دستورات دلخواه را اجرا کنند و به هر دادهای روی سرور دسترسی داشته باشند.
اکسپلویت های موجود تا به امروز که CVE-2023-32315 را هدف قرار می دهند، همگی یک طرح را اجرا می کنند.
با این حال، VulnCheck یک نوع جدید از اکسپلویت را کشف کرد که نیازی به ایجاد حساب مدیر ندارد.
علاوه بر این، محققان بیش از 6300 سرور Openfire را در اینترنت شناسایی کردند که حدود 50 درصد از سرورها از نسخههای آسیبپذیر استفاده میکردند.
از آنجایی که نقص امنیتی به مهاجمی که احراز هویت نشده اجازه دسترسی به نقطه پایانی مدیریت پلاگین را می دهد، مهاجم می تواند افزونه را مستقیما دانلود کرده و سپس به پوسته وب دسترسی داشته باشد، همچنین بدون احراز هویت.
این رویکرد هیچ اثری از ورود به سیستم در گزارش های ممیزی امنیتی باقی نمی گذارد و از ثبت اعلان های مربوط به افزونه بارگذاری شده جلوگیری می کند.
در حالی که فعالیت های مخرب ممکن است در openfire.log قابل مشاهده باشد، مهاجم می تواند از پیمایش مسیر برای حذف گزارش از طریق پوسته وب استفاده کند و خود افزونه را به عنوان تنها نشانگر سازش باقی بگذارد.
همانطور که محققان خاطرنشان می کنند، این آسیب پذیری قبلاً مورد سوء استفاده قرار گرفته است، احتمالاً حتی توسط یک بات نت معروف، و با توجه به سیستم های آسیب پذیر فراوان موجود در شبکه، فرض می شود که بهره برداری در آینده ادامه خواهد داشت.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
تیم تحقیقاتی Cybernews حادثهای را کشف کرده است که مربوط به کشف یک نمونه باز از Kibana است که حاوی اطلاعات حساس در مورد Belcan، کارکنان آن و زیرساختهای داخلی از جمله دسترسی فوقالعاده مدیر است.
این اشتباه می توانست به یک حمله بزرگ به زنجیره تامین منجر شود. از این گذشته، Belcan یک پیمانکار دفاعی و هوافضا حیاتی است که راه حل هایی در زمینه طراحی، زنجیره تامین نرم افزار، ساخت و مهندسی دیجیتال ارائه می دهد.
این شرکت 950 میلیون دلاری یک شریک استراتژیک با بیش از 40 آژانس فدرال ایالات متحده است.
Kibana یک داشبورد تجسم برای جستجوی داده ها و سیستم تجزیه و تحلیل ElasticSearch است. این سیستم ها به کسب و کارها کمک می کنند تا حجم زیادی از داده ها را پردازش کنند.
این نشت با یک پنتست امکان پذیر شد که نتایج آن به همراه اطلاعات کاربری مدیر با استفاده از bcrypt هش شده بود.
دادهها نشان میدهند که منبع نشت احتمالاً ابزاری بوده که توسط Belcan برای اسکن و نظارت بر زیرساختها برای آسیبپذیریها استفاده میشود.
این شامل: ایمیل، نامهای کاربری، نقشهای مدیر و گذرواژهها، آدرسهای شبکه داخلی، نام میزبان و آدرسهای IP زیرساخت داخلی، آسیبپذیریها و اقدامات انجام شده برای از بین بردن آنها بود.
روی هم رفته، اطلاعات موجود میتواند به مهاجمان اجازه دهد تا سیستمهای آسیبپذیری را که اصلاح نشدهاند شناسایی کرده و دسترسی به اعتبارنامههای ممتاز را برای آنها فراهم کند، و حمله احتمالی به سازمان را بسیار آسانتر و سریعتر کند.
نقض Belcan خطر قابل توجهی را برای طیف گستردهتری از سازمانهای مشتریان، از جمله هوافضا، دفاع و نهادهای دولتی ایالات متحده، که به طور بالقوه توسط APT یا گروههای دارای انگیزه مالی هدف قرار میگیرند، ایجاد میکند.
علاوه بر این، محققان همچنین متوجه ارجاعاتی در داده های فاش شده شدند که نشان می داد برخی از آسیب پذیری ها کشف شده اند اما توسط شرکت به موقع اصلاح نشده اند.
سایبرنیوز آسیب پذیری های کشف شده را به بلکان اطلاع داد و پس از آن این شرکت اقداماتی را برای رفع مشکلات انجام داد که فاش نکرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
این اشتباه می توانست به یک حمله بزرگ به زنجیره تامین منجر شود. از این گذشته، Belcan یک پیمانکار دفاعی و هوافضا حیاتی است که راه حل هایی در زمینه طراحی، زنجیره تامین نرم افزار، ساخت و مهندسی دیجیتال ارائه می دهد.
این شرکت 950 میلیون دلاری یک شریک استراتژیک با بیش از 40 آژانس فدرال ایالات متحده است.
Kibana یک داشبورد تجسم برای جستجوی داده ها و سیستم تجزیه و تحلیل ElasticSearch است. این سیستم ها به کسب و کارها کمک می کنند تا حجم زیادی از داده ها را پردازش کنند.
این نشت با یک پنتست امکان پذیر شد که نتایج آن به همراه اطلاعات کاربری مدیر با استفاده از bcrypt هش شده بود.
دادهها نشان میدهند که منبع نشت احتمالاً ابزاری بوده که توسط Belcan برای اسکن و نظارت بر زیرساختها برای آسیبپذیریها استفاده میشود.
این شامل: ایمیل، نامهای کاربری، نقشهای مدیر و گذرواژهها، آدرسهای شبکه داخلی، نام میزبان و آدرسهای IP زیرساخت داخلی، آسیبپذیریها و اقدامات انجام شده برای از بین بردن آنها بود.
روی هم رفته، اطلاعات موجود میتواند به مهاجمان اجازه دهد تا سیستمهای آسیبپذیری را که اصلاح نشدهاند شناسایی کرده و دسترسی به اعتبارنامههای ممتاز را برای آنها فراهم کند، و حمله احتمالی به سازمان را بسیار آسانتر و سریعتر کند.
نقض Belcan خطر قابل توجهی را برای طیف گستردهتری از سازمانهای مشتریان، از جمله هوافضا، دفاع و نهادهای دولتی ایالات متحده، که به طور بالقوه توسط APT یا گروههای دارای انگیزه مالی هدف قرار میگیرند، ایجاد میکند.
علاوه بر این، محققان همچنین متوجه ارجاعاتی در داده های فاش شده شدند که نشان می داد برخی از آسیب پذیری ها کشف شده اند اما توسط شرکت به موقع اصلاح نشده اند.
سایبرنیوز آسیب پذیری های کشف شده را به بلکان اطلاع داد و پس از آن این شرکت اقداماتی را برای رفع مشکلات انجام داد که فاش نکرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Symantec Threat Hunters یک روش حمله زنجیره تامین نرم افزار جدید را کشف کرده است که سازمان هایی را که عمدتاً در هنگ کنگ و سایر بخش های آسیا قرار دارند را هدف قرار می دهد.
مجموعه حملات سایبری و روش آن Carderbee نام گرفت که در آن مجرمان سایبری از نسخه تروجانیزه شده نرم افزار EsafeNet Cobra DocGuard Client قانونی برای تزریق درب پشتی محبوب PlugX به شبکه های قربانیان استفاده کردند.
علاوه بر این، مهاجمان از بدافزار امضا شده با گواهی قانونی مایکروسافت استفاده کردند.
این تاکتیک قبلاً توسط ESET مشاهده شده بود که هک یک شرکت قمار ناشناخته در هنگ کنگ را در سپتامبر 2022 گزارش کرد.
در آن زمان، گمان می رفت که گروه تهدید چینی ماوس خوش شانس پشت این حمله بوده است.
با این حال، آخرین کمپینی که سیمانتک قبلاً در آوریل 2023 کشف کرده است، به ما اجازه نمی دهد که با اطمینان آن را به بازیگر فوق الذکر مرتبط کنیم، زیرا استفاده از PlugX توسط گروه های مختلف هکر چینی، انتساب را دشوار می کند.
به گفته کارشناسان، حدود 100 کامپیوتر در آخرین حملات آلوده شده اند، اگرچه اپلیکیشن Cobra DocGuard Client روی حدود 2000 نقطه پایانی نصب شده است که نشان دهنده ماهیت هدفمند تاثیر مهاجمان و تمرکز بر اهداف با ارزش بالاتر است.
در یکی از این موارد، مهاجمان از این آسیبپذیری برای استقرار یک دانلودکننده با گواهی دیجیتالی از مایکروسافت استفاده کردند که سپس برای استخراج و نصب PlugX از یک سرور راه دور استفاده شد.
مشخص نیست که Carderbee در کجا قرار دارد، اهداف نهایی آن چیست، یا اینکه آیا ارتباطی با Lucky Mouse دارد یا خیر. بیشتر جزئیات درباره این گروه ناشناخته مانده است.
با این حال، تنها چیزی که تا کنون نشان دهنده ارتباط با چین است، استفاده از PlugX توسط مهاجمان است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
مجموعه حملات سایبری و روش آن Carderbee نام گرفت که در آن مجرمان سایبری از نسخه تروجانیزه شده نرم افزار EsafeNet Cobra DocGuard Client قانونی برای تزریق درب پشتی محبوب PlugX به شبکه های قربانیان استفاده کردند.
علاوه بر این، مهاجمان از بدافزار امضا شده با گواهی قانونی مایکروسافت استفاده کردند.
این تاکتیک قبلاً توسط ESET مشاهده شده بود که هک یک شرکت قمار ناشناخته در هنگ کنگ را در سپتامبر 2022 گزارش کرد.
در آن زمان، گمان می رفت که گروه تهدید چینی ماوس خوش شانس پشت این حمله بوده است.
با این حال، آخرین کمپینی که سیمانتک قبلاً در آوریل 2023 کشف کرده است، به ما اجازه نمی دهد که با اطمینان آن را به بازیگر فوق الذکر مرتبط کنیم، زیرا استفاده از PlugX توسط گروه های مختلف هکر چینی، انتساب را دشوار می کند.
به گفته کارشناسان، حدود 100 کامپیوتر در آخرین حملات آلوده شده اند، اگرچه اپلیکیشن Cobra DocGuard Client روی حدود 2000 نقطه پایانی نصب شده است که نشان دهنده ماهیت هدفمند تاثیر مهاجمان و تمرکز بر اهداف با ارزش بالاتر است.
در یکی از این موارد، مهاجمان از این آسیبپذیری برای استقرار یک دانلودکننده با گواهی دیجیتالی از مایکروسافت استفاده کردند که سپس برای استخراج و نصب PlugX از یک سرور راه دور استفاده شد.
مشخص نیست که Carderbee در کجا قرار دارد، اهداف نهایی آن چیست، یا اینکه آیا ارتباطی با Lucky Mouse دارد یا خیر. بیشتر جزئیات درباره این گروه ناشناخته مانده است.
با این حال، تنها چیزی که تا کنون نشان دهنده ارتباط با چین است، استفاده از PlugX توسط مهاجمان است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یکی از بزرگترین ارائه دهندگان خدمات ابری و میزبانی دنیا، Leaseweb، اعلام کرده است که سیستم های حیاتی به دنبال یک نقض امنیتی اخیر بازیابی شده اند.
یک ارائهدهنده ابر هلندی پس از شناسایی نشانههایی از فعالیت غیرعادی در بخشهایی از زیرساخت خود اعلام کرده است که در حال بررسی است.
Leaseweb با مشکوک شدن به وجود مشکل، برخی از سیستمهای آسیبدیده را برای کاهش خطرات امنیتی آفلاین کرد.
با قضاوت بر اساس زمینه، برخی از سیستم ها تحت تأثیر قرار گرفتند و قربانیانی نیز وجود داشت، زیرا این شرکت متخصصان Digital Forensics و Incident Response (DFIR) را برای کمک به کار آورد.
قطع شدن برخی از زیرساختهای ابری آن منجر به از کار افتادن تعداد کمی از مشتریان ابری شد و فروشنده میگوید تیمش در حال کار برای بازیابی سیستمهای حیاتی متاثر از این حادثه است.
نمایندگان Leaseweb در حال حاضر سکوت کرده اند و هیچ جزئیاتی را فاش نمی کنند و با کمال میل اظهار نظر می کنند که هیچ اطلاعات مشتری یا شرکتی فاش نشده یا از بین رفته است.
با این حال، یکی از مشتریان، ATPS Online، که نرمافزار حضور و غیاب را در اختیار سازمانها قرار میدهد، گزارش داد که قربانی یک حمله سایبری احتمالی به LeaseWeb شده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
یک ارائهدهنده ابر هلندی پس از شناسایی نشانههایی از فعالیت غیرعادی در بخشهایی از زیرساخت خود اعلام کرده است که در حال بررسی است.
Leaseweb با مشکوک شدن به وجود مشکل، برخی از سیستمهای آسیبدیده را برای کاهش خطرات امنیتی آفلاین کرد.
با قضاوت بر اساس زمینه، برخی از سیستم ها تحت تأثیر قرار گرفتند و قربانیانی نیز وجود داشت، زیرا این شرکت متخصصان Digital Forensics و Incident Response (DFIR) را برای کمک به کار آورد.
قطع شدن برخی از زیرساختهای ابری آن منجر به از کار افتادن تعداد کمی از مشتریان ابری شد و فروشنده میگوید تیمش در حال کار برای بازیابی سیستمهای حیاتی متاثر از این حادثه است.
نمایندگان Leaseweb در حال حاضر سکوت کرده اند و هیچ جزئیاتی را فاش نمی کنند و با کمال میل اظهار نظر می کنند که هیچ اطلاعات مشتری یا شرکتی فاش نشده یا از بین رفته است.
با این حال، یکی از مشتریان، ATPS Online، که نرمافزار حضور و غیاب را در اختیار سازمانها قرار میدهد، گزارش داد که قربانی یک حمله سایبری احتمالی به LeaseWeb شده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.