آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.

BDU: 2025-04081
CVE-2024-41794

اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

همگرایی IT / OT: آیا واقعا اتفاق می افتد؟

بله... اما پیچیده است.

صنایع برای دیجیتالی کردن، خودکارسازی و ایمن سازی سریعتر از همیشه تحت فشار هستند. این IT و جهان OT را به هم نزدیک می کند - اما شکاف های فرهنگی، فناوری قدیمی و اولویت های متناقض هنوز مانع هستند.

چرا همگرا می شود:
• تحول دیجیتال نیاز به داده های یکپارچه دارد
• محاسبات ابری و لبه خطوط را محو می کند
• تهدیدات سایبری استراتژی های امنیتی یکپارچه را مجبور می کند
• انطباق با مقررات نیاز به حاکمیت بین دامنه ای دارد

چرا هنوز به طور کامل همگرا نشده است:
• OT آپتایم را ترجیح می دهد. IT چابکی را در اولویت قرار می دهد
• سیستم های قدیمی در برابر ادغام مقاومت می کنند
• عدم تطابق چرخه عمر باعث ایجاد تنش می شود
• همگرایی بیشتر = سطح حمله بزرگتر

ما در مرحله همگرایی تدریجی و ناهموار هستیم - برخی از صنایع پیشرو هستند، برخی دیگر تازه شروع به کار کرده اند.

تجربه شما چیست؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است. :
https://t.me/ics_cert

بدون امنیت؟! "آیا مدل #پوردو به یک یادگار تبدیل شده است - یا هنوز اساس امنیت #OT / #ICS است ؟"

با اعلام #گارتنر (2023) که مدل پوردو (منتشر شده در سال 1990) در عصر #ابر ، #IIoT و معماری‌های توزیع‌شده «منسوخ» شده است، صنعت تقسیم شده است. منتقدان می گویند که سفت و سخت، سلسله مراتبی است و برای محیط های مدرن و پویا مناسب نیست.
طرفداران استدلال می کنند که هنوز یک چارچوب شفاف و لایه ای برای بخش بندی شبکه های صنعتی و حفظ مناطق امنیتی ارائه می دهد.
چرا اهمیت دارد: امنیت OT به #بخش_بندی متکی است و مدل ساختاریافته پوردو به تعریف آن کمک می کند. اما اگر سرویس‌های ابری، دسترسی به تلفن همراه و محاسبات لبه‌ای این لایه‌ها را نادیده بگیرند، آیا مدل همچنان کمک می‌کند یا گمراه می‌کند؟
فکرکنید: آیا زمان کشتن مدل پوردو فرا رسیده است یا آن را برای عصر اعتماد صفر مدرن کنیم؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏pedram_kiani@
کانال:
@ics_cert
واتس آپ :
chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
@ICSCERT_IR

• یکی از پروتکل های کلیدی اینترنت، FTP (پروتکل انتقال فایل)، امروز تولد 54 سالگی خود را جشن می گیرد. Abhay Bhushan، دانشجوی MIT، اولین مشخصات را با نام RFC 114 در 16 آوریل 1971 منتشر کرد ، مدتها قبل از وجود HTTP و حتی سه سال قبل از TCP ( RFC 793 ). استاندارد ساده برای کپی کردن فایل ها، در طول سال ها، از مدل های پیچیده تر کنترل، سازگاری و امنیت پشتیبانی کرده است. پس از 54 سال، FTP منسوخ نشده است و میلیون ها سرور FTP هنوز در اینترنت در دسترس هستند.

• به هر حال، نویسنده این پروتکل تنها کسی نبود که در توسعه FTP شرکت کرد، زیرا پس از فارغ التحصیلی از دانشگاه موقعیتی را در زیراکس به دست آورد و پروتکل بدون او به توسعه خود ادامه داد و یک سری به روز رسانی در قالب RFC در دهه های 1970 و 1980 دریافت کرد . از جمله پیاده سازی که پشتیبانی از مشخصات TCP/IP را ممکن می سازد.

• اگرچه به‌روزرسانی‌های جزئی در طول زمان برای به‌روز نگه‌داشتن پروتکل و پشتیبانی از فناوری‌های جدید انجام شده است، نسخه‌ای که امروز از آن استفاده می‌کنیم در سال 1985 هنگامی که Jon Postel و Joyce C. Reynolds RFC 959 را توسعه دادند، به‌روزرسانی پروتکل‌های قبلی که زیربنای نرم‌افزار مدرن FTP است، منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

⚡️ کارشناسان آزمایشگاه کسپرسکی، همراه با کارشناسان امنیت سایبری T-Technologies، یک درب پشتی پیچیده که قبلاً ناشناخته بود را کشف کردند که در حملات هدفمند به سازمان‌ها در فدراسیون روسیه استفاده می‌شد.

درب پشتی که راه حل های امنیتی ما آن را تشخیص می دهند HEUR:Trojan.Win32.Loader.gen ، رایانه های متصل به شبکه ViPNet را هدف قرار می دهد.

این با پنهان کردن خود به عنوان یک به روز رسانی ViPNet Client توزیع شد و هدف نهایی آن جاسوسی سایبری بود.

بدافزار جدید شامل:

🢔 چندین فایل اجرایی که یک زنجیره اجرایی را تشکیل می دهند.
🢔 یک فایل رمزگذاری شده حاوی "بارگذاری" اصلی - یک درب پشتی جهانی و قبلا ناشناخته که قادر به اجرای کد دلخواه و مجموعه ای از دستورات است.

ده ها شرکت روسی از جمله شرکت های دولتی، آموزشی، مشاوره، تولیدی، خرده فروشی و مالی قربانی این درب پشتی شدند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری سیستم عامل Fortinet FortiOS به دلیل نقص در مکانیسم احراز هویت .

بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا اطلاعات پیکربندی دستگاه را افشا کند و مکانیسم های امنیتی موجود را دور بزند.

BDU: 2025-04602

اقدامات جبرانی:
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت).

منابع اطلاعاتی:
https://gbhackers.com/fortigate-0-day-exploit-allegedly-up-for-sale/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

موسسات پزشکی و دارویی در سراسر جهان خود را در کانون موج جدید سایبری می یابند. مقصر یک تروجان قدرتمند به نام ResolverRAT است که از طریق نامه های ظاهراً رسمی در مورد ادعاهای قانونی منتشر می شود. هکرها فقط تقلبی را ارسال نمی کنند - آنها متون را با زبان های محلی از جمله هندی، ایتالیایی و پرتغالی تطبیق می دهند و اثر اعتماد کامل را در گیرنده ایجاد می کنند. هدف این است که کاربر را مجبور کنند که پیوست را در سریع ترین زمان ممکن باز کند و بدافزار را راه اندازی کند.
پشت راه اندازی یک طرح پیشرفته نهفته است: ResolverRAT با استفاده از تکنیک های بارگذاری جانبی DLL به سیستم نفوذ می کند و خود را به عنوان برنامه های قانونی پنهان می کند. این بدافزار به طور انحصاری در حافظه کار می کند، بدون اینکه ردپای معمولی در سیستم فایل باقی بماند. معماری کار آن شبیه یک سیستم عامل مینیاتوری است - هر فرآیند در یک رشته جداگانه اجرا می شود و داده ها در بلوک های کوچک منتقل می شوند تا مشکوک نباشند.
چیزی که به ویژه نگران کننده است این است که تروجان می تواند ابزارهای تحلیل و نظارت استاندارد را دور بزند: از فراخوانی های معمول API استفاده نمی کند، سیستم گواهی خود را پیاده سازی می کند و ماشین های آلوده را از طریق جایگزینی IP و اعتبارسنجی کانال پیشرفته کنترل می کند. در صورت خرابی، به طور خودکار اتصال را بازیابی می کند و عملیات را طوری ادامه می دهد که انگار هیچ اتفاقی نیفتاده است.
محققان گمان می کنند که ResolverRAT ممکن است زاییده فکر توسعه دهندگان بدافزارهای خطرناک دیگری مانند Rhadamanthys یا Lumma باشد. مقیاس، سطح فنی و هماهنگی نشان دهنده یک گروه حرفه ای با دسترسی به منابع و تجربه کمپین های بین المللی است. با ادامه حملات، امکانات مراقبت های بهداشتی در سراسر جهان همچنان در خطر هستند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سرویس غیرقابل شناسایی: Tycoon2FA قوانین بازی در امنیت سایبری را تغییر خواهد داد

پلتفرم هک Tycoon2FA که در تاریک نت به خوبی شناخته شده است، به سطح جدیدی از نامرئی رسیده است. سرویسی که امکان رهگیری داده‌ها را حتی با احراز هویت دو مرحله‌ای فراهم می‌کند، به‌روزرسانی بزرگی دریافت کرده است و اکنون حتی در مخفی شدن از دفاع سایبری حتی بهتر است. علیرغم مقرون به صرفه بودن آن - اشتراک ها از 120 دلار شروع می شود - این ابزار می تواند حتی به سیستم های آماده آسیب جدی وارد کند.
اکنون، مهاجمان به کاراکترهای نامرئی یونیکد تعبیه شده در جاوا اسکریپت دسترسی دارند که خواندن کد را برای سیستم های تحلیل خودکار دشوار می کند. علاوه بر این، یک CAPTCHA خانگی روی بوم HTML وجود دارد که می‌تواند هم کاربران و هم محافظت از Cloudflare را فریب دهد. و عملکرد ضد اشکال‌زدایی داخلی، اسکریپت‌های تحلیلی را که رفتار سایت‌های فیشینگ را ردیابی می‌کنند، مسدود می‌کند.
این سرویس بر اساس یک طرح مرد میانی کار می کند و به شما امکان می دهد لاگین، رمز عبور و کوکی های جلسه را استخراج کنید، حتی اگر قربانی با احراز هویت دو مرحله ای محافظت شود. به گفته محققان، تنها در ماه های اخیر بیش از 400000 دلار از کیف پول های متصل به این پلتفرم عبور کرده است. این پلت فرم به طور فعال استفاده می شود و در حال گسترش است: در حال حاضر بیش از 1100 دامنه درگیر است.
با هر به روز رسانی، Tycoon2FA بیشتر و بیشتر خطرناک می شود - نه تنها به دلیل ترفندهای فنی آن، بلکه به دلیل در دسترس بودن آن در انجمن های سایه. این بدان معناست که حتی یک مجرم سایبری مبتدی ابزاری را به دست می‌آورد که می‌تواند حفاظت از شرکت‌ها و خدمات بزرگ را دور بزند. و در حالی که برخی به دنبال راه هایی برای تشخیص آن هستند، برخی دیگر در حال حاضر از آن با پتانسیل کامل خود استفاده می کنند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

:خاموش شدن برنامه CVE یک سناریوی فرضی اما هشدار دهنده است

MITER در مورد برداشت احتمالی بودجه برای برنامه CVE هشدار داده است. اگر بودجه تمدید نشود، ممکن است برنامه به حالت تعلیق درآید.
این می تواند به طور جدی بر امنیت سایبری جهانی تأثیر بگذارد، زیرا CVE یک ابزار کلیدی برای ردیابی و فهرست نویسی آسیب پذیری ها است.
"خاموش شدن برنامه CVE می تواند یک مشکل جدی برای امنیت سایبری جهانی باشد، اما در این مرحله فقط یک سناریوی فرضی است. علیرغم مشکلات احتمالی در ادامه تامین مالی، احتمال توقف کامل این برنامه در آینده نزدیک کم است.
اولا، ایالات متحده و سایر دولت ها و همچنین شرکت های بزرگ، علاقه مند به حمایت از سیستم امنیتی CVE، حتی اگر سیستم امنیتی CVE مهم باشد، حمایت می کنند. در واقع بازنشسته است، احتمالاً جایگزینی معرفی خواهد شد که عملکرد مشابهی را در سال آینده ارائه می دهد، بنابراین، اگرچه این امر مشکلات موقتی ایجاد می کند، اما راه حلی برای این موضوع پیدا خواهد شد.

پایگاه داده FSTEC تنها به CVE محدود نمی شود، بلکه شامل شناسه هایی از بیش از 60 سیستم دیگر است.
در زمینه نیازهای امنیت سایبری که به سرعت در حال تغییر هستند، لازم است راه حل های قابل اعتمادی برای محافظت از سیستم های اطلاعاتی داشته باشیم.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

خرابی یو پی اس گوگل: قطع شدن ابر گوگل تقصیر تامین کننده تجهیزات است
بزرگترین اختلال در Google Cloud در اواخر ماه مارس به دلیل یک سری اشکالات فنی بود که ارزش یک کتاب درسی مدیریت بحران را دارد. در یکی از مراکز داده گوگل در اوهایو، منبع تغذیه خارجی قطع شد و سپس منبع تغذیه بدون وقفه (UPS) از کار افتاد. آنها نه تنها وضعیت را نجات ندادند، بلکه برعکس از اتصال ژنراتورهای پشتیبان جلوگیری کردند. مهندسان مجبور بودند به سرعت سیستم را دور بزنند تا به صورت دستی تجهیزات را مستقیماً تغذیه کنند.


این واکنش زنجیره ای ده ها سرویس ابری، از موتور محاسباتی گوگل گرفته تا Kubernetes و BigQuery را بدون برق گذاشت. منطقه us-east5-c به معنای واقعی کلمه برای چندین ساعت در تاریکی دیجیتال فرو رفت، اگرچه مناطق در دسترس همسایه (a و b) قطعی را تجربه نکردند. کاربران از در دسترس نبودن منابع و شرکت ها از از دست دادن داده ها و اختلال در عملیات شکایت داشتند.


گوگل اذعان کرد که برخی از کارهای بازیابی بیشتر طول می کشد زیرا نیاز به مداخله دستی دارد. در این گزارش، این شرکت از مشتریان عذرخواهی کرد و قول داد که با تامین کننده UPS که تجهیزات آن اساساً طرح برق اضطراری را که کارساز بوده است، برخورد کند. گوگل، با این حال، نام سازنده را ذکر نمی کند.


قطع شدن در ارائه دهندگان اصلی ابر غیر معمول نیست. AWS، Azure و خود گوگل همگی در سال‌های اخیر از خطای انسانی گرفته تا انفجار مراکز داده آسیب دیده‌اند. در زمینه وابستگی فزاینده کسب و کار به فضای ابری، چنین حوادثی یک علامت هشدار است: هرچه «ابر» بالاتر باشد، در صورت از کار افتادن سخت‌افزار، سقوط سخت‌تر می‌شود.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سفیر چین آمریکا را به حملات سایبری به شبکه انرژی روسیه متهم کرد
زیرساخت های حیاتی بار دیگر در خط آتش قرار گرفته اند – اما این بار، در خط مقدم نیست، در فضای مجازی است. به گفته ژانگ هانهویی، سفیر چین در روسیه، شبکه برق روسیه یکی از قربانیان حملات سایبری است که گفته می شود توسط ایالات متحده انجام شده است. این دیپلمات مدعی است که سازمان های اطلاعاتی آمریکا کدهای مخرب را مستقیماً به سیستم های انرژی این کشور وارد کرده اند.


با این حال، به گفته سفیر، این خود چین است که بیشترین فشار دیجیتال را احساس می کند. گفته می شود که ساختارهای دولتی، دانشگاه ها، موسسات تحقیقاتی و شرکت های بزرگ مورد حمله قرار گرفته اند. این دیپلمات با تاکید بر ماهیت سیستمی حملات به منابع دیجیتال مستقل، آمریکا را یک "امپراتوری هکر" توصیف کرد.


در این زمینه، پکن در حال افزایش همکاری با سایر کشورها در زمینه امنیت سایبری است. روسیه یکی از شرکای اولویت دار در این فهرست است. با قضاوت بر اساس لفاظی های دیپلمات، اتحاد بین دو کشور می تواند از حرف به اقدام دیجیتالی حرکت کند: هماهنگی و ستاد مشترک سایبری موضوع زمان است.


در همین حال، در گزارش‌های اطلاعاتی آمریکا موضع برعکس است: فعالیت روسیه در فضای اطلاعاتی به عنوان تهدیدی برای ایالات متحده تعبیر می‌شود. به نظر می رسد در قرن بیست و یکم، فضای مجازی نیز در حال تبدیل شدن به عرصه ای برای تقابل ژئوپلیتیکی است که به جای تانک، فیلمنامه و به جای تفنگ، فایروال است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

#هشدار

بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایل‌های حساس را می‌دهد در معرض خطر قرار گرفته‌اند.

این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایل‌ها در سیستم ریشه دستگاه‌های FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.

طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.

مهاجمان پس از دسترسی به دستگاه‌ها، پیوندهای نمادینی را در پوشه فایل‌های زبان به سیستم فایل ریشه دستگاه‌های دارای SSL-VPN فعال ایجاد کردند.

از آنجایی که فایل‌های زبان در دستگاه‌های FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم می‌تواند به این پوشه رفته و حتی پس از رفع آسیب‌پذیری‌های اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.

Fortinet همچنین شروع به اطلاع‌رسانی خصوصی به مشتریان از طریق ایمیل از دستگاه‌های فورتی‌گیت کرده است که توسط FortiGuard شناسایی شده‌اند که توسط این درب پشتی symlink در معرض خطر قرار گرفته‌اند.

Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.

آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.

در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایل‌های پیکربندی، از جمله اعتبارنامه‌ها دسترسی داشته باشند.

بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.

به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):

1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودی‌های مرتبط از جدول نصب لینوکس حذف نمی‌شوند.

2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.

3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.

بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):

1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

WinZip ویروس های پنهان شده به عنوان فایل های قانونی را باز می کند

🔍 محققان یک آسیب‌پذیری حیاتی 0day را در WinZip کشف کرده‌اند که به شما امکان می‌دهد از حفاظت Mark-of-the-Web عبور کنید. این برنامه هنگام باز کردن فایل‌ها از آرشیو، برچسب خاصی را ذخیره نمی‌کند، به همین دلیل است که ویندوز هنگام اجرای فایل‌های مشکوک هشداری را نشان نمی‌دهد.

🧱 حتی اسناد مخرب دارای ماکرو می توانند بدون هشدار اجرا شوند. این سیستم آنها را ایمن می داند زیرا "به نظر می رسد" از خارج از اینترنت دریافت شده اند.

📨 سناریوی حمله ساده است: مهاجم آرشیوهای ZIP را از طریق فیشینگ یا وب سایت های جعلی ارسال می کند. اگر کاربر فایل را با استفاده از WinZip استخراج کند، محافظت از ویندوز کار نمی کند و کد مخرب بی صدا فعال می شود.

در حال حاضر هیچ اصلاحی منتشر نشده است. نسخه های WinZip تا و از جمله 29.0 آسیب پذیر هستند. به کاربران توصیه می‌شود فایل‌های بسته‌بندی نشده را به‌صورت دستی مجدداً با یک آنتی‌ویروس بررسی کنند یا بایگانی را به یک بایگانی امن‌تر تغییر دهند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یک آسیب‌پذیری در کنترل‌کننده URL نرم‌افزار کنفرانس وب Cisco Webex App وجود دارد که به شما امکان می‌دهد فایل را از یک منبع نامعتبر دانلود کنید. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا دستورات دلخواه را زمانی که کاربر بر روی یک پیوند ساخته شده ویژه کلیک می کند، اجرا کند.

BDU: 2025-04707
CVE-2025-20236

نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدود کردن توانایی کاربران برای دنبال کردن پیوندهای دریافت شده از منابع نامعتبر؛
- استفاده از ابزارهای محیط نرم افزار ایزوله برای باز کردن لینک های دریافت شده از منابع نامعتبر.
- استفاده از نرم افزار آنتی ویروس برای بررسی لینک های دریافت شده از منابع نامعتبر.
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش ها برای سوء استفاده از یک آسیب پذیری.

استفاده از توصیه ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-client-rce-ufyMMYLC

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

☝🏻ژاپنی ها صاعقه را با پهپاد می گیرند⚡️

شرکت تلگراف و تلفن نیپون سیستم پهپادی را معرفی کرده است که می تواند از شهرها و زیرساخت ها در برابر آسیب صاعقه محافظت کند که سالانه 1.4 میلیارد دلار برای ژاپن هزینه دارد .

پهپادهای مجهز به قفس‌های مخصوص حفاظت در برابر صاعقه، قادر به رهگیری صاعقه و منحرف کردن آن از ساختمان‌ها هستند . 🌩

در طول آزمایش، این پهپاد ، متصل به کابل زمین ، تا 300 متر بالا رفت و با موفقیت صاعقه دریافت کرد و به لطف محافظت خود به پرواز ادامه داد .

او در آینده قصد دارد پهپادها را بهبود بخشد ، دقت پیش‌بینی رعد و برق را افزایش دهد و حتی امکان ذخیره انرژی از رعد و برق تغییر مسیر داده شده را بررسی کند . 🔋

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

😍 تحقیق "چگونه استراتژی های CISO تغییر کرده اند": در مورد CISO و برای CISO

تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.

این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری

برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکت‌ها به‌طور فزاینده‌ای در حال طراحی معماری‌های ترکیبی (انتقالی) هستند و روش‌های ZT و انعطاف‌پذیری سایبری را به لایه‌های ثابت دفاع اضافه می‌کنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکت‌هایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.

این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

ایالات متحده از قوانین داوطلبانه برای نرم افزارهای جاسوسی تجاری حمایت می کند

در اوایل آوریل، دومین کنفرانس فرآیند پال مال، یک ابتکار غربی برای تنظیم استفاده از نرم افزارهای جاسوسی تجاری، در پاریس برگزار شد . این ابتکار یک سال پیش در لندن با بریتانیا و فرانسه به عنوان محرک های اصلی آن راه اندازی شد .

کلمه جاسوس‌افزار در همه جا استفاده می‌شود، اما به‌اندازه کافی بوروکراتیک به نظر نمی‌رسد، بنابراین فرآیند Pall Mall از اصطلاح مناسب‌تری استفاده می‌کند - قابلیت‌های نفوذ سایبری تجاری (CCIC).

شرکت کنندگان در نشست پاریس بر روی یک آئین نامه عمل برای کشورها برای مقابله با گسترش و استفاده غیرمسئولانه از قابلیت های نفوذ سایبری تجاری به توافق رسیدند. این یک راهنمای داوطلبانه و غیر الزام آور برای جلوگیری از سوء استفاده و استفاده غیراخلاقی از نرم افزارهای جاسوسی است که توسط شرکت های خصوصی به جای دولت ها توسعه یافته است. کل فرآیند و کد بهترین شیوه ها اساساً پاسخی از سوی جامعه غربی به رسوایی های سال های اخیر در مورد سوء استفاده در زمینه جاسوسی سایبری و بالاتر از همه هک های استفاده از پگاسوس است.

کد بهترین شیوه ها بر 4 اصل استوار است:
- مسئولیت پذیری: هک با استفاده از نرم افزارهای جاسوسی تجاری باید مطابق با قوانین ملی و بین المللی انجام شود.
- دقت: چنین قوانینی در سطوح مختلف برای کاهش امکان استفاده خودسرانه از نرم افزارهای جاسوسی مورد نیاز است، از شکل گیری سیاست رسمی دولتی تا آموزش پرسنلی که چنین عملیاتی را انجام خواهند داد.
- نظارت: دولت ها باید رویه هایی را برای کنترل استفاده از چنین برنامه هایی ایجاد کنند.
- شفافیت: مجموعه کاملی از اقدامات برای اطمینان از شفافیت، از جمله تلاش برای مطالعه بازار نرم افزارهای جاسوسی (این شامل تحقیقات تشویقی توسط روزنامه نگاران، دانشمندان و سازمان های جامعه مدنی است)، و ایجاد یک مکانیسم شفافیت برای تعامل بین دولت ها و این بازار.

نیت خیر شرکت کنندگان قابل ستایش است، اما مشکلات معمولاً با اجرای چنین توافقاتی آغاز می شود. علاوه بر این، طبق معمول، ما در مورد اعمال داوطلبانه و اختیاری صحبت می کنیم.

دخالت ایالات متحده در این ابتکار یک فتنه باقی ماند. دولت بایدن از اولین نشست پال مال حمایت کرد. اما تیم ترامپ نسبت به تعهدات بین المللی تردید بیشتری دارد. در ابتدا، کد بهترین شیوه ها توسط 23 کشور پشتیبانی می شد، اما پس از چند روز، ایالات متحده رسما به آن پیوست.

دایره حامیان پال مال حتی در میان کشورهای غربی هم چندان گسترده نیست. به عنوان مثال، اسپانیا، کانادا، لتونی، لیتوانی، نروژ و دیگران در میان شرکت کنندگان نیستند، اما مولداوی و کوزوو تا حدی به رسمیت شناخته شده هستند. تنها دو شرکت کننده از مناطق دیگر وجود دارد: غنا و ژاپن.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

👾 ماندگارترین بدافزار

• در سال 2008 ، کرمی به نام Conficker در سراسر جهان گسترش یافت. با سوء استفاده از یک آسیب پذیری حیاتی در سیستم عامل، رایانه هایی را که دارای ویندوز XP هستند، هدف قرار داد.

• کل موضوع این بود که حتی قبل از شروع گسترش کرم، مایکروسافت به روز رسانی امنیتی MS08-067 را منتشر کرد که آسیب پذیری سیستم عامل را بسته و از آلوده شدن سیستم به بدافزار جلوگیری کرد. در نتیجه آن دسته از کاربرانی که این آپدیت را نصب نکرده بودند دچار حمله کرم شدند.

• تخمین تعداد کل دستگاه های آلوده به Conficker دشوار است. تنها در ژانویه 2009، بر اساس برآوردهای مختلف، تعداد آنها از 9 تا 15 میلیون متغیر بود. این کرم همچنین از ویژگی بارگذاری خودکار استفاده کرده و سیستم های تمیز شده را مجدداً آلوده کرد.

• به علاوه، این کرم به معنای واقعی کلمه همه جا حاضر بود. این بدافزار حتی در یک نیروگاه هسته‌ای در آلمان نیز یافت شد و این کرم در حداقل 18 دستگاه ذخیره‌سازی موبایل، عمدتاً USB و رایانه‌های اداری، که جدا از سیستم‌های اصلی نیروگاه استفاده می‌شدند، یافت شد. همچنین خبری منتشر شد مبنی بر اینکه دوربین هایی که پلیس در ایالات متحده روی لباس خود می پوشد نیز به کرم آلوده است. علاوه بر این، کرم از تولید این دستگاه‌ها به آنجا می‌رسد و در صورت اتصال دوربین به رایانه شخصی، در سراسر شبکه پخش می‌شود.

• با دور شدن افراد از سیستم عامل قدیمی، تعداد دستگاه های آلوده کاهش یافت. با این حال، در سال 2019 (10 سال پس از اولین قسمت!)، یک مقاله نیویورک تایمز نشان داد که حدود 500000 دستگاه هنوز آلوده هستند و در سال 2021 (12 سال پس از اولین آلودگی)، کارشناسان BitDefender بدافزار را در 150000 دستگاه پیدا کردند .

• نیروی دریایی فرانسه (Intrama) مجبور شد پروازهای خود را در چندین پایگاه هوایی خود به دلیل وجود این کرم متوقف کند. قطع شبکه ناشی از این کرم برای شورای شهر منچستر 1.5 میلیون پوند هزینه داشت. McAfee خسارت جهانی Conficker را 9.1 میلیارد دلار تخمین زد.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR