- خب، انگار امنیت داریم.
- خب، بله. یه آنتی‌ویروس هست. یه فایروال هم هست. مرکز عملیات امنیت (SOC) یه چیزی رو اونجا زیر نظر داره.
- آیا حوادثی رخ داده است؟
- خب... کوچولو بودن. انگار باهاشون جنگیدن.
- و در مورد حملات جدی چطور؟
خب، ایمیل پر از هرزنامه بود. یه بار یه نفر روی یه لینک فیشینگ کلیک کرد. اما مرکز عملیات ویژه گفت «مثبت کاذب». پس نه، همچین اتفاقی نیفتاده. یا ما نمی‌دونیم.
- شاید باید نگاهی سیستماتیک به نقاط ضعفمان بیندازیم؟
- باشه، شروع می‌کنیم...
نه، جدی می‌گویم. ما نمی‌دانیم کجا واقعاً ممکن است خطر داشته باشیم.
خب، اونا هکر هستن. اگه بخوان می‌تونن به هر نحوی نفوذ کنن.
- الان نقطه قوت ما چیه؟
- امم. شبکه ایزوله؟ وصله؟ به نظر میاد مردم هوشیارن... نکات امنیت اطلاعات رو توی کوکی‌های کریسمس مخفی کردن.
- و کدام یک از اینها واقعاً از کسب و کار ما محافظت می کند؟
- …
کمی مکث. کسی با نگرانی خودکاری را به زمین می‌کوبد، کسی غرق در افکارش است، کسی یوتیوب را با فیلترشکن باز کرده است. پیغام‌رسانی از گوشه‌ای زنگ زد: «وی‌پی‌ان دوباره از کار افتاده.» سکوت.

و سپس صدایی از لبه میز، که معمولاً به آن گوش داده نمی‌شود:
- تو فقط به شانس تکیه کردی.
در مورد این واقعیت که «انگار هیچ اتفاقی نیفتاده است.»
در مورد این واقعیت که «اگر ما هک نشده باشیم، به این معنی است که هکرها به ما علاقه‌ای ندارند.»
در مورد این واقعیت که "اگر SOC ساکت باشد، همه چیز خوب است."
در مورد این واقعیت که «اگر چیزی کار می‌کند، آن را خراب نکن.»

و اتاق ساکت شد. چون به نظر می‌رسید حق با او است. خب، همه می‌دانستند که حق با اوست، اما هیچ‌کس نمی‌خواست آن را بپذیرد یا کاری در موردش انجام دهد.

تمام این امنیتی که «به نظر می‌رسد وجود دارد» در واقع امنیت نیست. این یک پوشش دودی است. این خودپسندی است. این امیدی است که این [امنیت] بگذرد. ​​اما ما بزرگسالانی هستیم که در یک کسب و کار واقعی کار می‌کنیم. در اینجا «این [امنیت] می‌گذرد» راهی برای از دست دادن پول، داده‌ها و اعتبار است. بی‌سروصدا. بدون تیترهای بلند. به سادگی - به ناکجاآباد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

وقتی به‌روزرسانی از پشتیبان‌گیری مهم‌تر است

📍 آسیب‌پذیری StoreOnce یک یادآوری است: امنیت یک سیستم ذخیره‌سازی داده به اندازه قابلیت اطمینان آن مهم است. CVE-2025-37093 نشان می‌دهد که چگونه یک آسیب‌پذیری در سطح احراز هویت، یک ابزار پشتیبان‌گیری را به جای محافظت، به یک نقطه خطر تبدیل می‌کند. به خصوص وقتی صحبت از پلتفرم‌هایی در مرکز چشم‌انداز فناوری اطلاعات باشد.

🔍 یک سوال مهم استراتژیک دیگر: چگونه StoreOnce به مدت شش ماه بدون هیچ نشانه عمومی از فعالیت، آسیب‌پذیر شد؟ این نمونه‌ای از یک نقطه کور است، زمانی که محصولات زیرساختی "ساکت" و ظاهراً ایمن به نظر می‌رسند. اما چنین گره‌های ساکتی اهداف مناسبی هستند: هیچ کس انتظار حمله به راهکاری را ندارد که از داده‌ها محافظت می‌کند.

📌 در حال حاضر، StoreOnce اقدامات حفاظتی موقت ارائه نمی‌دهد - فقط یک ارتقاء ارائه می‌دهد. اگر این پلتفرم در محیط‌های بحرانی استفاده شود، ارتقاء با تأخیر نه تنها یک ریسک است، بلکه یک نقطه شکست احتمالی برای کل تداوم کسب‌وکار است.

#hpe #storeonce
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

بدون نیاز به ورود - دسترسی کامل: StoreOnce فراموش کرد که درِ ارزشمندترین‌ها را ببندد

در حالی که برخی در حال تهیه نسخه پشتیبان بودند، برخی دیگر به دنبال راه‌هایی برای هک کردن مخفیانه سیستم شخص دیگری بودند.


شرکت Hewlett Packard Enterprise در رابطه با هشت آسیب‌پذیری در پلتفرم نرم‌افزاری StoreOnce backup و data deduplication خود، یک هشدار امنیتی فوری صادر کرده است. تمام آسیب‌پذیری‌ها در نسخه جدید نرم‌افزار، StoreOnce 4.3.11، که اکنون برای همه کاربران توصیه می‌شود، برطرف شده‌اند.

خطرناک‌ترین آسیب‌پذیری CVE-2025-37093 است که در مقیاس CVSS نسخه ۳.۱ امتیاز بحرانی ۹.۸ را دریافت کرده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا به دلیل خطایی در پیاده‌سازی روش machineAccountCheck، مکانیزم احراز هویت را دور بزند. همانطور که تیم ZDI، که این اشکال را شناسایی کرده است، توضیح می‌دهد، اصل مشکل در منطق احراز هویت نادرست نهفته است - می‌توان آن را به طور کامل دور زد و راه را برای سایر آسیب‌پذیری‌ها باز کرد.

فهرست تمام آسیب‌پذیری‌های رفع‌شده در نسخه ۴.۳.۱۱ شامل موارد زیر است:

CVE-2025-37089 - اجرای کد از راه دور؛
CVE-2025-37090 - حمله جعل درخواست سرور (SSRF)؛
CVE-2025-37091 - اجرای کد از راه دور؛
CVE-2025-37092 - اجرای کد از راه دور؛
CVE-2025-37093 - دور زدن احراز هویت (بحرانی)؛
CVE-2025-37094 - حذف فایل‌های دلخواه از طریق پیمایش دایرکتوری؛
CVE-2025-37095 - افشای اطلاعات از طریق پیمایش دایرکتوری؛
CVE-2025-37096 - اجرای کد از راه دور.
اگرچه CVE-2025-37093 تنها موردی است که رسماً به عنوان بحرانی طبقه‌بندی شده است، کارشناسان تأکید می‌کنند که سایر آسیب‌پذیری‌ها را نباید دست کم گرفت. خطر ترکیبی آنها در صورت دور زدن موفقیت‌آمیز احراز هویت به طور قابل توجهی افزایش می‌یابد. این امر حتی آسیب‌پذیری‌های با درجه متوسط ​​مانند CVE-2025-37094 و CVE-2025-37095 را بسیار خطرناک می‌کند - حذف فایل و نشت داده‌ها بدون تلاش زیاد امکان‌پذیر است.

طبق گزارش Zero Day Initiative، StoreOnce بیش از شش ماه در برابر این آسیب‌پذیری‌ها آسیب‌پذیر بوده است. کارشناسان این مشکلات را در اکتبر ۲۰۲۴ گزارش کردند، اما حدود هفت ماه طول کشید تا وصله‌ها منتشر شوند. با وجود این، هیچ تأییدی وجود ندارد که این آسیب‌پذیری‌ها به طور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته‌اند.

StoreOnce در زیرساخت‌های بزرگ فناوری اطلاعات، مراکز داده و سازمان‌هایی با حجم زیادی از داده‌ها - از ارائه‌دهندگان خدمات ابری گرفته تا کاربران شرکتی - استفاده می‌شود. از جمله در روسیه. این محصول با راهکارهای پشتیبان‌گیری مانند HPE Data Protector، Veeam، Commvault و Veritas NetBackup ادغام می‌شود و به عنوان یک جزء کلیدی در استراتژی‌های تداوم کسب‌وکار عمل می‌کند.

HPE هیچ راه حل موقت یا اقدام موقتی برای محافظت در برابر مشکلات شناسایی شده ارائه نکرده است. تنها راه برای بستن این آسیب‌پذیری‌ها، نسخه فعلی StoreOnce 4.3.11 است. برای مدیران سیستم که محیط‌های آسیب‌دیده را نگهداری می‌کنند، این به‌روزرسانی در اولویت قرار می‌گیرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

از ابزارهای داخلی ویندوز برای هک مخفیانه استفاده شد

🧩 CVE-2025-33053 فقط یک اشکال در مدیریت مسیر نیست. این مشکل، مشکل وسیع‌تری را نشان می‌دهد: محیط زمان اجرا و اولویت‌های جستجو برای فایل‌های اجرایی در ویندوز. توانایی مجبور کردن "iediagcmd.exe" برای دسترسی به یک سرور WebDAV خارجی به جای دایرکتوری سیستم، راه را برای هرگونه جایگزینی باز می‌کند - در حالی که خود ابزار امضا شده است و سوءظنی ایجاد نمی‌کند.

🧠 این طرح نه تنها به محاسبات مهندسی، بلکه به درک استراتژیک از نحوه ادغام در یک بستر قابل اعتماد نیز نیاز دارد. هیچ اسکریپت سنتی استفاده نمی‌شود - این حمله کاملاً بر اساس اجزای داخلی سیستم عامل ساخته شده است. این ما را به یک سوال قدیمی، اما دوباره مرتبط، بازمی‌گرداند: خود محیط عملیاتی بدون لودرهای خارجی چقدر امن است؟

🧱 این واقعیت که PDF با تزریق به Edge از طریق ZwAllocateVirtualMemory، اجرای یک لودر C++ را آغاز می‌کند، جنبه‌ی زیبایی‌شناختی کد مخرب نیست، بلکه یک سلاح معماری است. هدف آن ممکن است نه تنها نفوذ، بلکه دور زدن هرگونه مکانیسم حفاظتی ساخته شده بر اساس نظارت بر فعالیت‌های خارجی باشد.

#horusagent #stealthfalcon #webdav #windows
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یک آسیب‌پذیری میان‌افزار در دستگاه ضبط خطای دیجیتال Elspec G5 مربوط به استفاده از اعتبارنامه‌های پیش‌فرض مدیریتی است. سوءاستفاده از این آسیب‌پذیری می‌تواند به مهاجمی که از راه دور عمل می‌کند، اجازه دهد تا به صورت غیرمجاز به دستگاه دسترسی پیدا کند.

CVE-2025-40585

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط فعلی، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- تغییر اعتبارنامه‌های پیش‌فرض؛
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به یک دستگاه آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای تشخیص (شناسایی، ثبت) و پاسخ به تلاش‌ها برای سوءاستفاده از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به دستگاه‌ها از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/html/ssa-345750.html

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

چک لیست اضطراری امن سازی زیرساخت های شبکه و فناوری اطلاعات در شرایط جنگی

این سند توسط کمیسیون افتای استان البرز تهیه شده و شامل دستورالعمل های جامع برای محافظت از زیرساخت های فناوری اطلاعات در شرایط بحرانی و جنگی است. در این راهنما، اقدامات ضروری برای حفاظت فیزیکی کنترل دسترسی امنیت شبکه پشتیبان گیری مانیتورینگ احراز هویت ایزوله سازی سیستم ها آگاهی رسانی به کارکنان و واکنش اضطراری به حوادث ارائه شده است. رویکرد اصلی این سند بر قطع کامل ارتباط اینترنت و حفظ امنیت در شرایط محدودیت ارتباطات تمرکز دارد.
اجرای دستورالعمل‌های این چک لیست توسط کلیه مدیران IT و OT توصیه اکید می‌گردد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

CISA رسماً آسیب‌پذیری خطرناک هسته لینوکس را به عنوان یک آسیب‌پذیری فعال مورد سوءاستفاده شناسایی کرد.

🚨 آژانس امنیت سایبری آمریکا، CISA، یک حفره خطرناک در هسته لینوکس - CVE-2023-0386 - را به فهرست آسیب‌پذیری‌های فعال مورد سوءاستفاده اضافه کرده است . این یک اشکال در زیرسیستم OverlayFS است که هکرها به طور فعال در حملات واقعی از آن استفاده می‌کنند، اگرچه وصله مربوطه در اوایل سال ۲۰۲۳ منتشر شده است.

⚙️ این آسیب‌پذیری به مهاجم اجازه می‌دهد تا فایلی با پرچم SUID در دایرکتوری مانند /tmp ایجاد کند و حقوق کامل کاربر ریشه را به دست آورد. این روش حمله آنقدر ساده است که می‌توان آن را به راحتی خودکار کرد و در کمپین‌های انبوه استفاده کرد - این دقیقاً همان چیزی است که تحقیقات Datadog نشان داد.

📅 با توجه به خطرات فزاینده، CISA به همه آژانس‌های فدرال دستور داده است که تا ۸ ژوئیه ۲۰۲۵ وصله‌ها را نصب کنند. سرورهای عمومی، پلتفرم‌های ابری و سیستم‌های CI/CD که به عملکرد صحیح مکانیسم‌های جداسازی لینوکس وابسته هستند، به طور خاص در معرض خطر هستند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

شرکت زیمنس به مشتریان خود در مورد مشکلی در آنتی‌ویروس مایکروسافت دیفندر اطلاع می‌دهد که می‌تواند منجر به از دست رفتن هشدارهای بدافزار یا اختلال در کسب‌وکار شود.

طبق توصیه‌های ارائه شده ، مشکل این است که آنتی‌ویروس دیفندر در حال حاضر قابلیت «فقط اعلان‌ها» را پیاده‌سازی نمی‌کند.

مستندات زیمنس برای سیستم‌های کنترل فرآیند Simatic PCS 7 و PCS Neo، پیکربندی‌های آنتی‌ویروس را با سطوح هشدار تهدید شرح می‌دهد که در آنها هنگام شناسایی تهدید، هیچ اقدام پیش‌فرضی انجام نمی‌شود.

مشکل این است که اگر محصول روی «نادیده گرفتن» تنظیم شده باشد، هیچ اقدامی انجام نمی‌شود و هنگام شناسایی بدافزار، هیچ اعلانی برای اپراتور و مدیر ایجاد نمی‌شود.

اگر از تنظیم متفاوتی استفاده کنید، آنتی‌ویروس دیفندر ممکن است فایل‌هایی را که به عنوان فایل‌های مخرب علامت‌گذاری شده‌اند (چه مثبت واقعی و چه مثبت کاذب) حذف یا قرنطینه کند، که در صورت استفاده سیستم از فایل‌های آلوده، ممکن است مشکلاتی ایجاد کند.

بنابراین، همانطور که زیمنس خاطرنشان می‌کند، دستگاه‌های آسیب‌دیده ممکن است از کار بیفتند که می‌تواند منجر به از دست رفتن کنترل و مدیریت شرکت شود.

تا زمانی که زیمنس با همکاری مایکروسافت ، وصله‌ای ارائه دهد، به مشتریان توصیه می‌شود ارزیابی ریسک انجام دهند و مشخص کنند که آیا می‌خواهند در صورت حذف فایل‌های بالقوه مهم توسط نرم‌افزار آنتی‌ویروس، در مورد آلودگی به بدافزار و اختلال در ریسک، هشدار دریافت کنند یا خیر.

علاوه بر این، به مشتریان توصیه می‌شود که دستگاه‌های آسیب‌دیده را دسته‌بندی کنند تا پیکربندی‌های مختلفی را بر اساس نیازها و الزامات خود برای هر دستگاه اعمال کنند.
https://cert-portal.siemens.com/productcert/html/ssb-295699.html
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

تصور کنید که یک سرور مستقل در سازمانی نصب شده است که موضوع زیرساخت اطلاعات حیاتی است.✈️ که باید محاسبات مهمی را به نفع امنیت ملی انجام دهد. سرور در اتاقی که طبق تمام قوانین تأیید شده است، در یک محیط ایزوله - بدون دسترسی حتی به شبکه محلی، بدون امکان اجرای فایل‌های خارجی - فعالیت می‌کند.🤒 هیچ تداخل الکترومغناطیسی امکان‌پذیر نیست. هر ساعت، هش‌های تمام فایل‌ها به‌طور خودکار بررسی می‌شوند تا از صحت کل سیستم اطمینان حاصل شود. هیچ نرم‌افزاری نمی‌تواند اجرا شود - فقط ورودی متن دستی از یک اپراتور کاملاً مورد اعتماد روی صفحه کلید. هیچ چیز جز عملیات کاملاً تنظیم‌شده.🚫

و سپس یک روز سرور ناگهان نتایج محاسبه نادرستی ارائه می‌دهد که منجر به عواقب فاجعه‌باری می‌شود.💥 تحقیقات نشان داد که بدافزاری روی سرور نصب شده بود که نتایج محاسبات را تغییر داده بود.🦠

سوال: چطور ممکن است این اتفاق بیفتد و بدافزار روی سرور از کجا آمده است؟🤔
منتظر پاسخهای شما هستم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اشنایدر الکتریک گزارش می‌دهد که محصولات زیر تحت تأثیر قرار گرفته‌اند:

کنترل‌کننده‌های Modicon M241: نسخه‌های قبل از 5.3.12.51
کنترل‌کننده‌های Modicon M251: نسخه‌های قبل از 5.3.12.51
کنترل‌کننده‌های Modicon M262: نسخه‌های قبل از 5.3.9.18 (CVE-2025-3898، CVE-2025-3117)
کنترل‌کننده‌های Modicon M258: همه نسخه‌ها (CVE-2025-3905، CVE-2025-3116، CVE-2025-3117)
کنترل‌کننده‌های Modicon LMC058: همه نسخه‌ها (CVE-2025-3905، CVE-2025-3116، CVE-2025-3117)

اعتبارسنجی ورودی نامناسب CWE-20
یک آسیب‌پذیری اعتبارسنجی ورودی نامناسب وجود دارد که می‌تواند باعث ... شرایط انکار سرویس زمانی رخ می‌دهد که یک کاربر مخرب احراز هویت شده، یک درخواست HTTPS حاوی نوع داده نامعتبر به وب سرور ارسال کند.

همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-3898 محاسبه شده است. امتیاز پایه ۷.۱ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N).

خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') CWE-79
یک آسیب‌پذیری خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') در صفحه گواهینامه‌های وب سرور وجود دارد که می‌تواند باعث تزریق داده‌های نامعتبر توسط یک کاربر مخرب احراز هویت شده و در نتیجه تغییر یا خواندن داده‌ها در مرورگر قربانی شود. همچنین برای CVE-2025-3899 امتیاز CVSS نسخه ۴ محاسبه شده است. امتیاز پایه ۵.۱ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N) است.

مصرف منابع کنترل نشده CWE-400
یک آسیب‌پذیری مصرف منابع کنترل نشده وجود دارد که می‌تواند باعث ایجاد شرایط انکار سرویس شود، زمانی که یک کاربر مخرب احراز هویت شده یک هدر HTTPS Content-Length دستکاری شده را به وب سرور ارسال می‌کند.

همچنین برای CVE-2025-3112 امتیاز CVSS نسخه ۴ محاسبه شده است. امتیاز پایه ۷.۱ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N).

خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') CWE-79
آسیب‌پذیری خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') وجود دارد که بر متغیرهای سیستم PLC تأثیر می‌گذارد و می‌تواند باعث تزریق داده‌های نامعتبر توسط یک کاربر مخرب احراز هویت شده شود که منجر به تغییر یا خواندن داده‌ها در مرورگر قربانی می‌شود.

همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-3905 محاسبه شده است. امتیاز پایه ۵.۱ محاسبه شده است. رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N) است.

اعتبارسنجی ورودی نامناسب CWE-20
یک آسیب‌پذیری اعتبارسنجی ورودی نامناسب وجود دارد که می‌تواند باعث ایجاد شرایط انکار سرویس شود، زمانی که یک کاربر مخرب احراز هویت شده یک درخواست HTTPS خاص ناقص حاوی داده‌های بدنه با فرمت نامناسب را به کنترل‌کننده ارسال می‌کند. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-3116 محاسبه شده است. امتیاز پایه ۷.۱ محاسبه شده است. رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N) است.

خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') CWE-79
آسیب‌پذیری خنثی‌سازی نامناسب ورودی در طول تولید صفحه وب ('اسکریپت‌نویسی بین‌سایتی') وجود دارد که مسیرهای فایل پیکربندی را تحت تأثیر قرار می‌دهد و می‌تواند باعث تزریق داده‌های نامعتبر توسط یک کاربر مخرب احراز هویت شده شود که منجر به تغییر یا خواندن داده‌ها در مرورگر قربانی می‌شود.

همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-3117 محاسبه شده است. امتیاز پایه ۵.۱ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N).

https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-03
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در بایگانی‌کننده‌ی فایل WinRAR مربوط به محدود کردن نادرست نام مسیر به یک دایرکتوری با دسترسی محدود است. سوءاستفاده از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد هنگام باز کردن یک فایل دستکاری‌شده‌ی خاص، کد دلخواه را اجرا کند.

CVE-2025-6218

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از نرم‌افزار آنتی‌ویروس برای بررسی فایل‌های دریافتی از منابع نامعتبر؛
- استفاده از سیستم‌های SIEM برای ردیابی تلاش‌ها برای سوءاستفاده از آسیب‌پذیری‌ها؛
- استفاده از یک محیط نرم‌افزاری بسته برای کار با فایل‌های به دست آمده از منابع نامعتبر.

استفاده از توصیه‌ها:
https://www.win-rar.com/singlenewsview.html?&L=0
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

برای تحلیل امنیتی، بر CMD ویندوز مسلط شوید!
با این راهنمای جامع برای تحلیلگران امنیتی، قدرت خط فرمان ویندوز را آزاد کنید! از تشخیص سیستم گرفته تا جرم‌شناسی شبکه، این PDF بیش از ۱۰۰ دستور ضروری را پوشش می‌دهد تا به شما در بررسی، تحلیل و ایمن‌سازی محیط‌های ویندوز مانند یک حرفه‌ای کمک کند.
- تحلیل سیستم و شبکه
- مدیریت فرآیندها و سرویس‌ها
- حسابرسی سیستم فایل و گزارش‌ها
- کنترل‌های کاربر و سیاست‌ها
- PowerShell و ابزارهای پیشرفته. ایده‌آل برای متخصصان امنیت سایبری، مدیران فناوری اطلاعات و هکرهای اخلاقی!
این راهنما را ذخیره کنید و همین امروز مهارت‌های خط فرمان خود را ارتقا دهید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

هدیه‌ من برای متخصصین فناوری اطلاعات و منابع انسانی کشورمان در شرایط حساس جنگی


نحوه مدیریت و رهبری سازمان‌های فناوری محور به‌عنوان یکی از ستون‌های فناوری و پیشرانهای ملی، نیازمند توانمندسازی همه افراد علاقه‌مند و متخصص است.

از این رو، دوره تخصصی و کامل ITIL4 CDS که پیش‌تر با هدف ارتقاء دانش و مهارت‌های حرفه‌ای تهیه شده بود، از امروز تا پایان روز جمعه به‌صورت کاملاً رایگان در دسترس همه هم‌وطنان گرامی قرار می‌گیرد.



برای دریافت دوره و شروع آموزش رایگان، همین حالا به لینک زیر مراجعه کنید و با کد تخفیف بلیط VATANAM دوره را خریداری کنید.

https://mohit.online/course/8pmtxb
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🛡 دستگاه‌های اداری - مرز جدیدی در حملات به زیرساخت‌ها

📠 مدت‌هاست که پیوندهای ضعیف از سرور فراتر رفته‌اند. اکنون نقطه ورود به شبکه شما می‌تواند... یک چاپگر معمولی باشد. به خصوص اگر رمز عبور آن با استفاده از یک الگوریتم ساده و به راحتی محاسبه شده تولید شود - مانند مورد آسیب‌پذیری CVE-2024-51978.

🧩 مشکل بسیار گسترده‌تر از آن چیزی است که به نظر می‌رسد. علاوه بر آسیب‌پذیری رمز عبور، کارشناسان هفت حفره امنیتی دیگر پیدا کرده‌اند - از نشت داده‌ها گرفته تا خرابی کامل دستگاه. همه آنها می‌توانند توسط مهاجمان در یک زنجیره برای یک حمله پیچیده ترکیب شوند.

💡 نتیجه گیری ساده اما نگران کننده است: محیط پیرامونی مدت‌هاست که از توجه سرویس‌های فناوری اطلاعات خارج شده است و تولیدکنندگان همچنان در امنیت صرفه‌جویی می‌کنند. وقت آن است که رویکرد محافظت از حتی "معمولی‌ترین" دستگاه‌ها را نیز مورد تجدید نظر قرار دهیم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

۱۶ کاراکتر اول شماره دستگاه گرفته می‌شود، ۸ بایت از یک جدول استاتیک از مقادیر به آنها اضافه می‌شود و سپس کل رشته با استفاده از SHA-256 هش می‌شود. هش حاصل با استفاده از استاندارد Base64 کدگذاری می‌شود و هشت کاراکتر اول از رشته نهایی گرفته می‌شود، جایی که برخی از حروف با کاراکترهای ویژه جایگزین می‌شوند. به گفته کارشناسان، این فرآیند به راحتی قابل برگشت است، که باعث می‌شود محافظت از دستگاه‌ها بسیار ضعیف باشد.

علاوه بر این، محققان هفت آسیب‌پذیری دیگر در چاپگرهای Brother و سایر تولیدکنندگان، از جمله نشت اطلاعات محرمانه، سرریز پشته، باز شدن اجباری اتصالات TCP و احتمال خرابی دستگاه، پیدا کردند. برخی از این آسیب‌پذیری‌ها امکان انجام حملات را حتی بدون مجوز قبلی فراهم می‌کنند.

لیست کامل آسیب‌پذیری‌ها به شرح زیر است:

CVE-2024-51977 - به شما امکان می‌دهد اطلاعات محرمانه را به دست آورید (امتیاز ۵.۳)؛

CVE-2024-51978 - آسیب‌پذیری بحرانی با رمز عبور ادمین قابل پیش‌بینی (امتیاز ۹.۸)؛

CVE-2024-51979 - سرریز پشته در حین دسترسی احراز هویت شده (امتیاز ۷.۲)؛

CVE-2024-51980 و CVE-2024-51981 - امکان باز کردن اجباری اتصال TCP یا اجرای درخواست HTTP دلخواه (هر کدام امتیاز ۵.۳)؛

CVE-2024-51982 و CVE-2024-51983 - امکان از کار افتادن دستگاه (هر کدام امتیاز ۷.۵)؛

CVE-2024-51984 - افشای رمز عبور سرویس خارجی (امتیاز ۶.۸).

با ترکیب این آسیب‌پذیری‌ها، مهاجمان نه تنها می‌توانند دسترسی مدیریتی به دست آورند، بلکه می‌توانند تنظیمات دستگاه را تغییر دهند، داده‌ها را سرقت کنند، کد از راه دور اجرا کنند، تجهیزات را غیرفعال کنند یا از آن برای پیشبرد بیشتر حمله در شبکه استفاده کنند.

طبق گفته Rapid7، آسیب‌پذیری CVE-2024-51978 نه تنها دستگاه‌های Brother، بلکه بسیاری از مدل‌های سایر تولیدکنندگان را نیز تحت تأثیر قرار می‌دهد: Fujifilm (46 مدل)، Konica Minolta (6 مدل)، Ricoh (5 مدل) و Toshiba (2 مدل). با این حال، هر هشت آسیب‌پذیری در همه دستگاه‌ها وجود ندارند؛ لیست بسته به مدل خاص متفاوت است.

Brother این مشکل را تصدیق کرد و اظهار داشت که CVE-2024-51978 را نمی‌توان تنها با به‌روزرسانی نرم‌افزار برطرف کرد. راه‌حل نهایی نیاز به تغییراتی در فرآیند تولید دستگاه‌های جدید داشت. چاپگرهایی که قبلاً منتشر شده‌اند، همچنان آسیب‌پذیر هستند، مگر اینکه کاربر رمز عبور پیش‌فرض را به صورت دستی تغییر دهد.

روند افشای اطلاعات در مورد مشکلات یافت شده از ماه مه 2024 آغاز شد. Rapid7 با کمک مرکز هماهنگی JPCERT/CC ژاپن، به تولیدکنندگان اطلاع داد و به سازماندهی انتشار به‌روزرسانی‌ها کمک کرد. با وجود این، آسیب‌پذیری بحرانی با رمزهای عبور قابل پیش‌بینی برای دستگاه‌هایی که قبلاً خریداری شده‌اند، همچنان غیرقابل رفع است.

به دارندگان چاپگرهایی که از مدل‌های آسیب‌دیده هستند، توصیه می‌شود در اسرع وقت رمز عبور پیش‌فرض مدیر را تغییر دهند و همچنین تمام به‌روزرسانی‌های موجود برای میان‌افزار را نصب کنند. علاوه بر این، توصیه می‌شود دسترسی به رابط‌های مدیریتی دستگاه‌ها را از طریق شبکه‌های خارجی و محافظت نشده محدود کنند.

وب‌سایت‌های Brother، Konica Minolta، Fujifilm، Ricoh و Toshiba قبلاً دستورالعمل‌ها و به‌روزرسانی‌هایی را برای کاهش خطر سوءاستفاده از آسیب‌پذیری‌ها منتشر کرده‌اند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

💢 شناسایی مکان بر اساس عکس

❇️ پروژه Geospy یک ابزار پایتون است که از سرویس موقعیت جغرافیایی مبتنی بر هوش مصنوعی Graylark برای شناسایی مکان عکس‌برداری استفاده می‌کند.
❇️ این ابزار نیازی به ابرداده ندارد. شبکه عصبی به سادگی نمای پنجره عکس های شما را تجزیه و تحلیل می کند و تعیین می کند که کجا هستید.
🚫 در شرایط حساس کنونی مراقب به اشتراک گذاری عکس‌ها و فیلم‌ها در شبکه های اجتماعی باشید.

منبع: آپا دانشگاه صنعتی اصفهان

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری در API خصوصی پلتفرم مدیریت سیاست اتصال موتور خدمات هویت سیسکو (ISE) به دلیل عدم وجود مکانیزمی برای اعتبارسنجی فایل‌های آپلود شده . سوءاستفاده از این آسیب‌پذیری ممکن است به یک مهاجم از راه دور اجازه دهد تا با آپلود یک فایل دستکاری شده خاص، کد دلخواه را با امتیازات ریشه اجرا کند.


BDU:2025-07648

CVE-2025-20282

نصب به‌روزرسانی‌ها از منابع معتبر، توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.


اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح لیست سفید؛
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌های برای سوءاستفاده از آسیب‌پذیری‌ها.


با استفاده از این توصیه‌نامه:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🤒 کمی خبر نگران کننده

در روزهای اخیر آسیب‌پذیری‌های حیاتی و خطرناک زیادی در محصولات محبوب وجود داشته است، بنابراین وصله‌گذاری باید سریع و فراوان انجام شود.

🟣سیسکو با دو بولتن حاوی آسیب‌پذیری‌های ۱۰ امتیازی در Cisco ISE، طرفداران Zero Trust را خوشحال کرد. CVE-2025-20281 و -20282 به مهاجم اجازه می‌دهند از راه دور و بدون احراز هویت به دستگاه دسترسی ریشه پیدا کند. برای رفع این مشکل، باید به‌روزرسانی کنید، هیچ اقدام کاهش‌دهنده‌ای وجود ندارد. همزمان، چند نقص دیگر در ISE برطرف شد، دور زدن احراز هویت و بارگیری فایل‌های دلخواه.

🟣اهمیت CVE-2025-5777 در NetScaler ADC و Gateway افزایش یافته است - اکنون جانشین CitrixBleed بدنام نامیده می‌شود و علاوه بر به‌روزرسانی‌های Citrix، دوباره توصیه می‌شود که پس از وصله‌گذاری، تمام جلسات فعال را خاتمه دهید.


🟣 طبق گفته سیتریکس، نقص دیگری در NetScaler با شناسه CVE-2025-6543 در حملات واقعی مورد سوءاستفاده قرار می‌گیرد، منجر به DoS می‌شود و دستگاه‌ها را غیرفعال می‌کند.


🟣 کسانی که Citrix و Cisco را وارد کرده‌اند و می‌خواهند با خیال راحت بخوابند، باید ببینند که آیا WinRAR در زیرساخت مجاز است یا خیر. این بایگانی، آسیب‌پذیری پیمایش مسیر CVE-2025-6218 را بسته است. این به شما امکان می‌دهد فایل‌ها را از بایگانی به زور در یک پوشه مشخص استخراج کنید.


🟣 و برای کسانی که می‌خواهند هفته خود را فراموش‌نشدنی کنند، مجموعه‌ای از هشت آسیب‌پذیری در مدل‌های 689 (!) چاپگرهای Brother، FUJIFILM، Ricoh، Toshiba و Konica Minolta وجود دارد. این نقص‌ها به شما امکان می‌دهند رمز عبور استاندارد مدیر را حدس بزنید، اتصالات را از شبکه خارجی به شبکه داخلی از طریق چاپگر هدایت کنید، باعث انکار سرویس شوید و حتی RCE را در دستگاه دریافت کنید. فروشندگان برای اکثر نقص‌ها وصله‌هایی منتشر کرده‌اند
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🤖 هک سد، هکر هوش مصنوعی در صدر و اخبار فراوان APT برای هفته

🌎 بررسی حوادث امنیت اطلاعات صنعتی در سه ماهه اول. شامل حملاتی مانند حمله به فرودگاه تاتا و کوالالامپور. در مجموع، ۵۲٪ از حملات، شرکت‌های تولیدی را هدف قرار داده بود و صنایع ساختمانی و غذایی نیز در صدر قرار داشتند.

🔥 یک مورد جالب از نروژ در این بررسی گنجانده نشده است - مهاجمان رمز عبور سیستم کنترل سد آب را به صورت بروت فورس (brute-force) پیدا کردند و شیرها را به طور کامل باز کردند. با این حال، این حادثه هیچ خسارتی به بار نیاورد.

🟣سازمان تنظیم مقررات امنیت اطلاعات کانادا هشدار می‌دهد که حملات گروه Salt Typhoon محدود به ایالات متحده نیست و فقط ارائه دهندگان خدمات مخابراتی را هدف قرار نمی‌دهد. مهاجمان به جاسوسی و تحقیقات عمومی در شبکه‌های استراتژیک ادامه می‌دهند. آنها از طریق CVE-2023-20198 و سایر آسیب‌پذیری‌ها در دستگاه‌های لبه‌ای به سازمان‌ها نفوذ می‌کنند.


🔵یک کلاهبرداری جدید فیشینگ نیزه‌ای، ادعاهای پیش از محاکمه علیه سازمان‌های صنعتی، فناوری اطلاعات و مالی روسیه را تقلید می‌کند. این کلاهبرداری توسط گروه باج‌افزار Werewolves ارسال می‌شود که زرادخانه آنها شامل باج‌افزار Lockbit، Cobalt Strike، Meterpreter و Anydesk است.


🟣مهاجمان بیشتر شروع به سوءاستفاده از عملکرد Exchange Direct Send کرده‌اند که معمولاً برای ارسال یک سند اسکن شده از یک MFP شبکه به خودشان استفاده می‌شود. در Microsoft 365، ارسال چنین ایمیل‌هایی نیازی به احراز هویت ندارد، بنابراین این عملکرد برای ارسال هرزنامه و فیشینگ در یک سازمان واحد ایده‌آل است. برای محافظت از خود، باید گزینه Reject Direct Send را در تنظیمات Exchange فعال کنید.


🟡یک گروه جدید OneClick، احتمالاً چینی، به شرکت‌هایی در بخش‌های انرژی و نفت و گاز حمله می‌کند و از فناوری ClickOnce که برای نصب و به‌روزرسانی برنامه‌های .NET طراحی شده است، سوءاستفاده می‌کند. با کمک آن، لودر OneClikNet مستقر می‌شود که سپس یک درب پشتی در Go راه‌اندازی می‌کند.


⚪️یک بات‌نت جدید کشف شده است که به عنوان شبکه پروکسی خانگی، شبکه ORB و LapDogs نیز شناخته می‌شود. بدافزار ShortLeash بر روی روترهای SOHO آسیب‌پذیر نصب شده است و قربانیان عمدتاً در ایالات متحده و آسیای جنوب شرقی هستند.


🔴سیستم جستجوی آسیب‌پذیری هوش مصنوعی Xbow در صدر فهرست HackerOne ایالات متحده قرار گرفت. داستان مفصل توسعه‌دهندگان، به انتخاب دقیق کلاس‌های آسیب‌پذیری و اینکه از چه کسی جستجو شود، اشاره دارد. اما نتایج واقعی را نمی‌توان نادیده گرفت.


🟣گروه Kimsuky همچنان به بهبود تکنیک‌های ذخیره‌سازی بدافزار در GitHub ادامه می‌دهد. پیلودها و داده‌های سرقت شده تا حدی در مخازن خصوصی ذخیره می‌شوند و بوت‌لودر دارای یک توکن شخصی Github (PAT) است که در آن تعبیه شده است.


🟣یک حمله پیچیده APT-Q-14 که گفته می‌شود بخشی از DarkHotel است. این بدافزار از ترکیبی از ClickOnce، XSS در یک وب‌میل بدون نام و همچنین Android zerodei بدون نام استفاده می‌کند.


🟢گروه CL-CRI-1014 (با موفقیت) به مؤسسات مالی در آفریقا نفوذ می‌کند و سپس دسترسی به آنها را به سایر مهاجمان می‌فروشد.



🔥تکنیک جدید FileFix نوعی از ClickFix است و به شما امکان می‌دهد دستوراتی را به پنجره پاپ‌آپ Explorer ("Choose file") تزریق کنید که می‌تواند توسط وب‌سایت‌ها باز شود. با توجه به سادگی این تکنیک، واضح است که پیاده‌سازی آن توسط مهاجمان بسیار سریع اتفاق خواهد افتاد
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اطلاعات سوژه. ها چطور از کف اینترنت قابل دسترس است!!
پاسخ به اونهایی ‌که میگن اطلاعاتمون به درد چه کاری میخوره؟
 👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

یک آسیب‌پذیری در برنامه مدیریت سیستم sudo مربوط به گنجاندن توابع از یک ناحیه کنترل‌شده غیرقابل اعتماد هنگام استفاده از گزینه "-R" ("--chroot") است. سوءاستفاده از این آسیب‌پذیری ممکن است به یک مهاجم از راه دور اجازه دهد تا کد دلخواه را اجرا کند و با قرار دادن فایل پیکربندی nsswitch.conf در دایرکتوری ریشه chroot، امتیازات خود را افزایش دهد.

BDU:2025-07765
CVE-2025-32463

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از نرم‌افزار آنتی‌ویروس برای اسکن فایل‌های به‌دست‌آمده از منابع غیرقابل اعتماد؛
- استفاده از یک محیط نرم‌افزاری بسته برای کار با فایل‌های به‌دست‌آمده از منابع غیرقابل اعتماد؛
- استفاده از سیستم‌های SIEM برای ردیابی تلاش‌ها برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی که برای سوءاستفاده از آسیب‌پذیری‌ها انجام می‌شود.

استفاده از توصیه‌ها:
برای sudo:
https://www.sudo.ws/releases/stable/#1.9.17p1

برای محصولات نرم‌افزاری RedHat Inc.:
https://access.redhat.com/security/cve/cve-2025-32463

برای اوبونتو:
https://ubuntu.com/security/CVE-2025-32463

برای محصولات نرم‌افزاری Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-32463.html

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2