تقدیم به همه رزمندگان سایبری ایران

در دل آتش و دود، در روزهایی که میهن زیر بار بمباران و تهدید بود، سربازانی بی‌نام و نشان، بی‌صدا اما پرصلابت، در خط مقدم جبهه سایبری ایستادند.
آنان که سلاحشان نه تفنگ، که دانش، تعهد، و عشق به ایران بود؛
همان فرزندان گمنام فناوری اطلاعات که در ۱۲ روز جنگ تحمیلی، شانه‌به‌شانه‌ مدافعان وطن، در سنگرهای دیجیتال، حملات سایبری دشمن تا دندان مسلح را یکی پس از دیگری خنثی کردند.
این قهرمانان بی‌ادعا حتی یک لحظه سنگرشان را ترک نکردند؛
تا شبکه‌ای قطع نشود، اطلاعاتی به تاراج نرود، و امیدی خاموش نگردد.
به افتخار تمام مردان و زنان IT که در آن روزهای سخت، ایستادند و دیده نشدند:
🌟 دستتان را به گرمی می‌فشارم.
🌟 سرتان را به افتخار بلند دارید، که تاریخ روزی از شما خواهد نوشت.

پدرام کیانی

#قهرمانان_سایبری
#فناوری_اطلاعات
#یادگاران_جنگ
#امنیت_دیجیتال
#دیده‌نشده‌های_سربلند

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

تقدیم به همه رزمندگان سایبری ایران

در دل آتش و دود، در روزهایی که میهن زیر بار بمباران و تهدید بود، سربازانی بی‌نام و نشان، بی‌صدا اما پرصلابت، در خط مقدم جبهه سایبری ایستادند.
آنان که سلاحشان نه تفنگ، که دانش، تعهد، و عشق به ایران بود؛
همان فرزندان گمنام فناوری اطلاعات که در ۱۲ روز جنگ تحمیلی، شانه‌به‌شانه‌ مدافعان وطن، در سنگرهای دیجیتال، حملات سایبری دشمن تا دندان مسلح را یکی پس از دیگری خنثی کردند.
این قهرمانان بی‌ادعا حتی یک لحظه سنگرشان را ترک نکردند؛
تا شبکه‌ای قطع نشود، اطلاعاتی به تاراج نرود، و امیدی خاموش نگردد.
به افتخار تمام مردان و زنان IT که در آن روزهای سخت، ایستادند و دیده نشدند:
🌟 دستتان را به گرمی می‌فشارم.
🌟 سرتان را به افتخار بلند دارید، که تاریخ روزی از شما خواهد نوشت.

پدرام کیانی

#قهرمانان_سایبری
#فناوری_اطلاعات
#یادگاران_جنگ
#امنیت_دیجیتال

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

0️⃣ سوءاستفاده از یک آسیب‌پذیری روز صفر جدید در سرورهای Exchange کشف شد

🔓 گروه سایبری NightEagle از یک آسیب‌پذیری روز صفر که قبلاً ناشناخته بود در Microsoft Exchange برای به دست آوردن machineKey سرور سوءاستفاده می‌کند. هکرها با استفاده از این کلید، deserialization از راه دور را انجام می‌دهند و بدافزار را روی سرورهای هر نسخه سازگار از Exchange نصب می‌کنند.

🎯 این گروه به طور خاص به شرکت‌های پیشرو چینی در زمینه فناوری پیشرفته، تولید تراشه، تحولات کوانتومی و هوش مصنوعی حمله می‌کند. برای انتخاب نسخه مناسب Exchange، مهاجمان به طور مداوم تمام نسخه‌های محبوب موجود در بازار را امتحان کردند و سطح بالایی از آمادگی را نشان دادند.

💻 هکرها از یک بدافزار منحصر به فرد استفاده می‌کنند که منحصراً در حافظه کار می‌کند و برای سیستم‌های امنیتی نامرئی می‌ماند. همه حملات دقیقاً از ساعت 9 شب تا 6 صبح به وقت پکن رخ می‌دهد، که نشان می‌دهد منشأ احتمالی این گروه از آمریکای شمالی است.


#روز_صفر #exchange #حملات_سایبری #چین


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

جالب... چطور می‌توانید فعالیت هکر را که معمولاً قابل مشاهده نیست، نشان دهید 👨‍💻

پی‌نوشت: من تبلیغ فروشنده امنیت اطلاعات را در انتها حذف کردم. چون آنجا می‌گوید که محافظت بسیار ساده است 😂

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری سرویس wuauserv مرکز به‌روزرسانی سیستم عامل ویندوز مربوط به تعریف نادرست پیوندهای نمادین در حین دسترسی به فایل است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد تا با انجام عملیات حذف/جابجایی/تغییر نام دایرکتوری‌ها، امتیازات خود را به سطح سیستم ارتقا دهد.


BDU:2025-08180
CVE-2025-48799

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.


اقدامات جبرانی:
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب‌های کاربری استفاده نشده.


دستورالعمل‌های استفاده:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48799



🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در سیستم برنامه‌ریزی منابع سازمانی SAP S/4HANA و نرم‌افزار مدیریت زنجیره تأمین SAP SCM (Characteristic Propagation) مربوط به مدیریت نادرست تولید کد است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام می‌کند، اجازه دهد تا با ایجاد یک گزارش دستکاری‌شده خاص، کد دلخواه را اجرا کرده و به سیستم دسترسی غیرمجاز پیدا کند.


BDU:2025-08254

CVE-2025-42967

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.


اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر از شبکه‌های خارجی (اینترنت)؛

- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب‌های کاربری بلااستفاده.

استفاده از توصیه‌ها:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/july-2025.html

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری در پیاده‌سازی روش reqToChangePassword سیستم مدیریت شبکه داده SINEC NMS مربوط به فقدان مکانیزم احراز هویت قبل از اعطای دسترسی به تابع تغییر رمز عبور است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام می‌کند، اجازه دسترسی غیرمجاز به سیستم را بدهد.

BDU:2025-08268
CVE-2025-40736

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به سیستم؛
- محدود کردن دسترسی به سیستم با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های SIEM برای ردیابی رویدادهای مربوط به تغییرات در داده‌های احراز هویت کاربر؛
- استفاده از ابزارهای پشتیبان‌گیری برای اطمینان از توانایی بازیابی سیستم پس از سوءاستفاده از آسیب‌پذیری؛
- تغییر اعتبارنامه‌ها در صورت شناسایی تغییر غیرمجاز؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛

- محدود کردن دسترسی به سیستم از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-078892.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

📚 ترجمه کتاب "آی تی آی ال 4: ایجاد ارایه و پشتیبانی" با ترجمه دکتر پدرام کیانی منتشر شد
با این کتاب، مهارت‌های ایجاد بهترین ارایه‌ها و ارائه پشتیبانی حرفه‌ای را فرا خواهید گرفت.
پیشنهاد ویژه برای متخصصین، علاقمندان، دانشجویان تحصیلات تکمیلی مدیرت فناوری اطلاعات و کلیه متخصصین حوزه مدیریت خدمات فناوری اطلاعات

برای تهیه کتاب الکترونیکی از لینک زیر اقدام فرمایید:
https://taaghche.com/book/181496

لینک کتابخانه ملی:
https://opac.nlai.ir/opac-prod/bibliographic/9177946


#ITIL4 #مدیریت_خدمات_IT #آموزش_ITIL4 #ITIL4CDS #ITSM

هشدار
آسیب پذیری فورتی گیت
CVE-2024-55591 Exploit of FortiGate در حال فروش است

تیم وب تاریک Socradar یک پست وب تاریک را شناسایی کرده است که یک اکسپلویت برای CVE-2024-55591 (CVSS 9.8)، یک دور زدن احراز هویت شناخته شده ارائه می دهد. آسیب پذیری در Fortinet Fortios و Fortiproxy.
ظاهراً این پست یک اسکریپت بهره برداری انبوه را توصیف می کند که می تواند اعتبارنامه های VPN و LDAP، پورت های VPN، نام دامنه و اطلاعات سرور DNS را از سیستم های آسیب پذیر استخراج کند.
به گفته The Threat Actor، این اکسپلویت تأثیر می گذارد: FortiOS نسخه های 7.0.0 – 7.0.16 FortiProxy نسخه های 7.0.0 – 7.0.19 و 7.2.0 – 7.2.12 این ابزار این ابزار است.
ظاهراً چند رشته ای است که بسته به ظرفیت سرور قادر به اسکن بین 50 تا 1000 آدرس IP است. این بازیگر همچنین ادعا می کند که سیستم های تازه مستقر شده با نسخه های بدون وصله به طور منظم ظاهر می شوند. ظاهراً این بسته شامل دستورالعمل‌های دقیق است و قیمت آن 2500 دلار است و تنها دو نسخه برای فروش دارد.
توصیه: آپدیت سریع

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

😞 وضعیت غم‌انگیز فعلی امنیت API

چه وجه مشترکی بین سرقت اطلاعات ۴۹ میلیون مشتری Dell و حادثه افشای اطلاعات تماس مشترکین Verizon در حوزه عمومی وجود دارد؟ در هر دو مورد، مهاجمان از APIهای با محافظت ضعیف که امکان حملات جستجوی فراگیر، جعل شناسه‌های دسترسی و عدم احراز هویت را فراهم می‌کنند، سوءاستفاده کردند.

به عنوان مثال، هر کسی که سعی در استفاده از APIهای OpenAI، Anthropic یا DeepSeek داشته باشد، می‌داند که حتی شرکت‌های برتر نیز از محافظت ضعیفی در دسترسی به داده‌های API برخوردارند - شما برای دسترسی به هیچ چیز جز کلید API استاتیک نیاز ندارید. سال ۲۰۲۵ است... جای تعجب نیست که مهاجمان در حال یافتن راه‌های خلاقانه جدیدی برای سوءاستفاده از دسترسی به API هستند - از سرقت منابع محاسباتی و داده‌ها گرفته تا دور زدن ابزارهای امنیتی در وب‌سایت‌ها و ارسال ایمیل‌های فیشینگ.

طبق گزارش Raidiam، ۸۴٪ از شرکت‌ها از روش‌های امنیتی بسیار ضعیفی در APIهایی که پشتیبانی می‌کنند استفاده می‌کنند:

⚪️ کلیدهای API استاتیک و احراز هویت اولیه OAuth؛
⚪️ عدم احراز هویت کلاینت.
⚪️ حقوق دسترسی بیش از حد، بدون تنظیم دقیق (RBAC/ABAC).
⚪️ کمتر از نیمی از شرکت‌ها به طور منظم APIها را آزمایش یا نظارت می‌کنند.

هر API بر اساس نوع اطلاعاتی که پردازش می‌کند ارزیابی شد. برای API که آمار ناشناس یا داده‌های فنی اولیه را پردازش می‌کند، محافظت از طریق یک کلید API استاتیک کافی است. اما برای داده‌های پرداخت یا پزشکی، مجموعه‌ای کامل از اقدامات امنیتی مورد نیاز است. آنها عبارتند از:

⚪️ رمزنگاری: TLS متقابل، PKI، JWT امضا شده یا توکن‌های مرتبط با گواهی‌ها؛

⚪️ توکن‌هایی با دوره اعتبار کوتاه و اعتبارسنجی مکرر؛

⚪️ حقوق دسترسی محدود در هر درخواست OAuth؛

⚪️ نظارت بر ناهنجاری‌های شبکه.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری رابط وب نرم‌افزار مدیریت زیرساخت مرکز داده EcoStruxure IT Data Center Expert مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه با ایجاد یک پوشه خاص می‌کند، اجازه دهد.

BDU:2025-08324
CVE-2025-50121

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدود کردن دسترسی به رابط وب برای مدیریت نرم‌افزارهای آسیب‌پذیر از طریق HTTP؛
- استفاده از فایروال سطح برنامه (WAF) برای فیلتر کردن ترافیک شبکه؛
- محدود کردن دسترسی به رابط وب برای مدیریت نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای دسترسی از راه دور (VPN)؛

- محدود کردن دسترسی به رابط وب مدیریت نرم‌افزارهای آسیب‌پذیر از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

نقص سایبری بحرانی مرتبط با ماژول EoT که به مدت ۱۲ سال در سیستم‌های ریلی ایالات متحده نادیده گرفته شده بود، تا سال ۲۰۲۷ رفع نخواهد شد.
بخش ۱ از ۳
یک آسیب‌پذیری امنیتی سایبری حیاتی که سیستم‌های قطار آمریکایی را تحت تأثیر قرار می‌دهد ، علی‌رغم هشدارهای اولیه از سال ۲۰۱۲، بیش از یک دهه است که مورد توجه قرار نگرفته است. این مشکل که به ماژول‌های انتهای قطار (EoT) که داده‌های تله‌متری را به صورت بی‌سیم از عقب به جلوی قطارهای باری منتقل می‌کنند، مرتبط است، اولین بار توسط نیلز، محقق امنیت سخت‌افزار، در سال ۲۰۱۲ شناسایی شد. او هفته گذشته جزئیاتی را در X، که قبلاً توییتر نام داشت، به اشتراک گذاشت و خاطرنشان کرد که این خطر زمانی پدیدار شد که رادیوهای تعریف‌شده توسط نرم‌افزار (SDR) قابل دسترس‌تر شدند و به مهاجمان اجازه دادند تا به طور بالقوه ارتباطات EoT را رهگیری یا جعل کنند.

با این حال، سال‌ها انجمن راه‌آهن آمریکا (AAR) از اقدام در مورد یافته‌ها خودداری کرد. اخیراً در سال ۲۰۲۴، مدیر امنیت اطلاعات AAR این تهدید را کم‌اهمیت جلوه داد و استدلال کرد که این دستگاه‌ها به پایان عمر خود نزدیک می‌شوند و نیازی به توجه فوری ندارند. مهاجم می‌تواند از راه دور و با استفاده از سخت‌افزاری با هزینه کمتر از ۵۰۰ دلار آمریکا، کنترل کنترل‌کننده ترمز قطار را از فاصله قابل توجهی به دست گیرد. این دسترسی می‌تواند باعث از کار افتادن ترمز شود که به طور بالقوه باعث خروج قطار از ریل می‌شود یا امکان خاموش شدن کل سیستم راه‌آهن ملی را فراهم کند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) که از این بی‌عملی ناامید شده بود، چند روز پیش یک هشدار رسمی صادر کرد و AAR را مجبور کرد که سرانجام این موضوع را علناً بپذیرد. این گروه در ماه آوریل طرحی را برای جایگزینی سیستم‌های آسیب‌پذیر اعلام کرد، اما اجرای آن به کندی پیش می‌رود. اولین تاریخ استقرار برای سال ۲۰۲۷ پیش‌بینی شده است.

این تأخیر، سوالاتی را در مورد مدیریت ریسک در بخش‌های زیرساخت‌های حیاتی و اینکه چرا برای جلب توجه به یک آسیب‌پذیری سیستمی، به فشار عمومی نیاز بوده است، مطرح می‌کند.

کریس بوترا، معاون اجرایی موقت مدیر امنیت سایبری CISA، در بیانیه‌ای ایمیلی نوشت: «آسیب‌پذیری انتهای قطار (EOT) و ابتدای قطار (HOT) بیش از یک دهه است که توسط ذینفعان بخش ریلی درک و رصد شده است. برای سوءاستفاده از این مشکل، یک عامل تهدید نیاز به دسترسی فیزیکی به خطوط ریلی، دانش عمیق پروتکل و تجهیزات تخصصی دارد که امکان سوءاستفاده گسترده را محدود می‌کند - به‌ویژه بدون حضور گسترده و توزیع‌شده در ایالات متحده.»

بوترا خاطرنشان کرد که اگرچه این آسیب‌پذیری از نظر فنی قابل توجه است، CISA با شرکای صنعتی خود برای تدوین استراتژی‌های کاهش آسیب همکاری کرده است.

او افزود که «رفع این مشکل نیازمند تغییراتی در یک پروتکل مبتنی بر استاندارد است و این کار در حال حاضر در حال انجام است. CISA همچنان تولیدکنندگان را تشویق می‌کند تا اصول طراحی ایمن را برای کاهش سطح حمله و تضمین سیستم‌های ارتباطی انعطاف‌پذیر برای اپراتورها اتخاذ کنند.»

در این توصیه‌نامه، CISA یک آسیب‌پذیری «احراز هویت ضعیف» را در پروتکل اتصال از راه دور مورد استفاده بین دستگاه‌های End-of-Train و Head-of-Train شناسایی کرد که بر تمام نسخه‌های فعلی مستقر در سیستم‌های ریلی ایالات متحده تأثیر می‌گذارد. «سوءاستفاده موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا دستورات کنترل ترمز خود را به دستگاه انتهای قطار ارسال کند و باعث توقف ناگهانی قطار شود که ممکن است منجر به اختلال در عملیات یا از کار افتادن ترمز شود.»
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

بخش ۲ از ۳
پروتکل مورد استفاده برای اتصال از راه دور از طریق RF برای پایان قطار و ابتدای قطار (که با نام FRED نیز شناخته می‌شود) برای ایجاد بسته به یک مجموع کنترلی BCH متکی است. می‌توان این بسته‌های EoT و HoT را با یک رادیوی تعریف‌شده توسط نرم‌افزار ایجاد کرد و دستورات کنترل ترمز را به دستگاه EoT صادر کرد که باعث اختلال در عملیات یا احتمالاً از کار افتادن سیستم‌های ترمز می‌شود.

این آسیب‌پذیری با شناسه CVE-2025-1727 شناسایی شده است. امتیاز پایه CVSS نسخه ۳ آن ۸.۱ است که نشان‌دهنده شدت بالا است. تحت سیستم جدیدتر CVSS نسخه ۴، امتیاز پایه آن ۷.۲ است.

نیل اسمیت و اریک رویتر این آسیب‌پذیری را به CISA گزارش دادند.

این آژانس افزود که AAR در حال پیگیری تجهیزات و پروتکل‌های جدیدی است که باید جایگزین دستگاه‌های سنتی End-of-Train و Head-of-Train شوند. کمیته‌های استاندارد درگیر در این به‌روزرسانی‌ها از این آسیب‌پذیری آگاه هستند و در حال بررسی راه‌حل‌های کاهش‌دهنده آن هستند.

کمیته استانداردهای الکترونیک راه‌آهن AAR (RESC) این پروتکل را حفظ می‌کند که توسط چندین تولیدکننده در سراسر صنعت، از جمله Hitachi Rail STS USA، Wabtec، Siemens و دیگران استفاده می‌شود.

CISA از کاربران دستگاه‌های EoT/HoT خواست تا در صورت داشتن هرگونه سوال با تولیدکنندگان دستگاه خود تماس بگیرند. این هشدار پس از برآوردهای اخیر مبنی بر نیاز حدود ۲۵۰۰۰ لوکوموتیو باری به ارتقاء سیستم Head-of-Train (HOT) منتشر شد، در حالی که تقریباً ۴۵۰۰۰ دستگاه EOT در حال حاضر در ناوگان ملی در حال استفاده هستند.

نیلز در تاپیک خود در X نوشت: «من این موضوع را در سال ۲۰۱۲ گزارش دادم، زمانی که در ICS-CERT بسیار فعال بودم و تحقیقات امنیتی کنترل صنعتی جاسازی‌شده انجام می‌دادم. ICS-CERT گروه نوپا و تازه‌کاری بود، اما گروه فوق‌العاده‌ای بود که هر کاری از دستش بر می‌آمد برای کمک به حل آسیب‌پذیری‌های زیرساخت‌های حیاتی انجام می‌داد.» او افزود: «از ۲۰۱۲ تا ۲۰۱۶، بن‌بستی بین ICS-CERT و انجمن راه‌آهن آمریکا (AAR) وجود داشت. وقتی در حال معکوس کردن یک پروتکل در آزمایشگاه با استفاده از ترافیک رادیویی شبیه‌سازی‌شده هستید، همه چیز فقط «نظری» است و AAR فقط در صورتی آسیب‌پذیری را تأیید می‌کند که بتوانیم آن را در دنیای واقعی اثبات کنیم.»

در سال ۲۰۱۶، نیلز مقاله‌ای در بوستون ریویو منتشر کرد که در آن به تفصیل توضیح داده بود که چگونه اداره راه‌آهن فدرال (FRA) تأسیسات تست مسیر خود را اداره نمی‌کند و چگونه انجمن راه‌آهن آمریکا (AAR) به طور معمول آزمایش‌های مرتبط با امنیت را که می‌تواند آسیب‌پذیری‌ها را آشکار کند، مسدود می‌کند. AAR بعداً با ردیه‌ای تحقیرآمیز در مجله فورچون پاسخ داد: «بعد از آن مقاله، مدتی از این موضوع خسته شدم. احساس می‌کردم که این موضوع هرگز به مرحله اجرا نخواهد رسید و من در برابر لابی‌گری شرکت‌های بزرگ پیروز نخواهم شد.»

در سال ۲۰۱۸، اریک رویتر به‌طور مستقل همین آسیب‌پذیری را پیدا کرد، «اما فقط در defcon در مورد مهندسی معکوس پروتکل سخنرانی کرد. اگر می‌خواهید جزئیات بیشتری در مورد مهندسی معکوس این آسیب‌پذیری بدانید، اکیداً توصیه می‌کنم PyEOT را بررسی کنید.»

نیلز اضافه کرد که «در سال ۲۰۲۴، متوجه شدم که ICS-CERT چندین بار سازماندهی مجدد شده است و تصمیم گرفتم یک تیکت جدید با آنها باز کنم تا ببینم چه اتفاقی برای این موضوع افتاده است؟ آیا آنها تسلیم شده‌اند؟»

او گفت: «هیچ‌کس واقعاً نمی‌داند چه اتفاقی برایش افتاده، اما این بار آنها ۱۰۰٪ در حل مشکل عقب بودند. ما چند ماه با فروشندگان و AAR در تماس بودیم تا طرف‌های مناسب را برای رسیدگی به این مشکل پیدا کنیم.» «مدیر امنیت اطلاعات AAR تصمیم گرفت که این موضوع چندان مهم نیست و آنها قرار نیست کاری در مورد آن انجام دهند زیرا دستگاه‌ها و پروتکل «پایان عمر» خود را تجربه می‌کنند که طعنه‌آمیز است زیرا آنها هنوز در حال استفاده هستند. AAR چندین بار از صحبت با CISA طفره رفت.»

او در توییتی نوشت: «CISA بالاخره با من موافقت کرد که انتشار این اطلاعات تنها گزینه باقی‌مانده برای اعمال فشار بر AAR برای رفع این مشکل است. و تا حدودی هم جواب داد. در ماه آوریل، آنها اعلام کردند که 802.16t جایگزین پروتکل آسیب‌پذیر EOT/HOT خواهد شد. این اتفاق چه زمانی خواهد افتاد؟ در بهترین حالت تا سال 2027.»
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

بخش ۳ از ۳
اوایل امسال، پس از گزارش‌هایی مبنی بر حمله سایبری گسترده به شرکت راه‌آهن دولتی اوکرزالیزنیتسیا، ایستگاه مرکزی راه‌آهن کیف صبح دوشنبه به طور غیرمعمولی شلوغ بود. صف‌های طولانی تشکیل شد و ده‌ها مسافر منتظر خرید بلیط برای مسیرهای داخلی و بین‌المللی بودند. طبق بیانیه اوکرزالیزنیتسیا، این حمله سایبری خدمات دیجیتال، از جمله برنامه تلفن همراه مورد استفاده برای خرید بلیط، را مختل کرد، اگرچه برنامه‌های قطارها بدون تغییر باقی ماند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

حمله روز صفر به بزرگترین فولادسازی ژاپن
دیروز ۵۰۰ گیگابایت، امروز ده‌ها هزار قربانی.
نیپون استیل دارد کنترل را از دست می‌دهد
حمله دوم، روز صفر و بزرگترین شرکت فولاد ژاپن دوباره به زانو درآمد.


شرکت ژاپنی نیپون استیل ، یکی از بزرگترین شرکت‌های متالورژی جهان ، از یک حمله سایبری گسترده خبر داد که طی آن هکرها به داده‌های مشتریان، کارمندان و شرکای تجاری دسترسی پیدا کردند. این آسیب‌پذیری در ۷ مارس مورد بهره‌برداری قرار گرفت و ماهیت این حادثه نشان دهنده یک حمله روز صفر است .

طبق اطلاعات رسمی، این نشت اطلاعات ممکن است اطلاعات مربوط به صدها شریک بین‌المللی، بیش از ۱۰۰۰۰۰ کارمند و تعداد نامشخصی از مشتریان را تحت تأثیر قرار داده باشد. در میان داده‌های افشا شده، نام‌ها، آدرس‌های کاری، سمت‌ها، ایمیل‌های شرکتی و شماره تلفن‌ها وجود دارد. علاوه بر این، این اطلاعات هم مربوط به تراکنش‌های جاری و هم قراردادهای از پیش تکمیل شده است.

این شرکت تأکید می‌کند که سرویس‌های ابری ارائه شده به مشتریان تحت تأثیر قرار نگرفته‌اند و فعالیت مخرب به سرعت محلی‌سازی شده است: سرور از شبکه جدا شده و عواقب حمله با مشارکت متخصصان خارجی کاهش یافته است.

با این حال، سوالاتی در این صنعت مطرح می‌شود: این دومین حادثه مربوط به شرکت فولاد نیپون در سال ۲۰۲۵ است. در ماه فوریه، گروه BianLian اعلام کرد که بخش آمریکایی این شرکت را هک کرده و بیش از ۵۰۰ گیگابایت داده، از جمله گزارش‌های مالی، داده‌های مشتری و اسناد داخلی و همچنین اطلاعات تماس مدیران ارشد، از جمله مدیرعامل و رئیس شرکت، را به سرقت برده است.

یک نکته جالب: کمی پس از انتشار داده‌ها در وب‌سایت BianLian، صفحه‌ای که اطلاعات فاش شده در آن بود، ناپدید شد. این موضوع باعث ایجاد گمانه‌زنی‌هایی مبنی بر پرداخت باج توسط شرکت Nippon Steel شد - یک عنصر معمول از یک طرح اخاذی دوگانه که در آن مجرمان ابتدا برای رمزگشایی داده‌ها درخواست پول می‌کنند و سپس با حمله دوم از آنها اخاذی می‌کنند.

هنوز مشخص نیست که آیا این دو ماجرا مستقیماً به هم مرتبط هستند یا خیر. اما از نظر فنی، باگی که هکرها در ماه مارس از آن سوءاستفاده کردند، واقعاً جدید است: همانطور که شرکت مشخص می‌کند، «ما در مورد یک آسیب‌پذیری روز صفر در تجهیزات شبکه صحبت می‌کنیم.»

چه اطلاعاتی در مورد قربانیان وجود دارد؟
مشتریان : نام، شرکت، سمت، آدرس محل کار، ایمیل، تلفن؛
شرکا : نام، ایمیل شرکتی؛
کارمندان : نام، دپارتمان، سمت، ایمیل کاری.
تا به امروز، هیچ مدرکی مبنی بر اینکه این داده‌ها در دسترس عموم قرار گرفته یا در پلتفرم‌های سایه قرار گرفته باشد، وجود ندارد . با این حال، این شرکت به همه شرکت‌کنندگان در این حادثه هشدار داد که به ویژه مراقب ایمیل‌ها و تماس‌های مشکوک باشند - حملات فیشینگ هدفمند امکان‌پذیر است.

دولت قبلاً به همه واحدهای تجاری اطلاع داده و ارسال اعلان‌ها به قربانیان احتمالی را آغاز کرده است، که برخی از آنها هنوز در حال انجام این کار هستند.

این حادثه تنها چند هفته پس از آن رخ داد که نیپون استیل قرارداد خود را برای خرید یو اس استیل ، یک غول فولاد آمریکایی، نهایی کرد. این ادغام بحث‌برانگیز بود و درست قبل از اولین حمله سایبری در ماه فوریه به تعویق افتاد. اکنون، به نظر می‌رسد خطرات سایبری تهدیدی واقعی برای کل زیرساخت‌های جهانی این شرکت هستند. و هیچ تضمینی وجود ندارد که اتفاقات بیشتری رخ ندهد.

در واقع، باندها به طور فزاینده‌ای از تاکتیک‌های اخاذی مضاعف استفاده می‌کنند و پرداخت باج، امنیت داده‌ها را در آینده تضمین نمی‌کند. به همین دلیل است که هوشیاری کسب‌وکارهای بزرگ در فضای دیجیتال بسیار مهم است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در تابع get_fabric_user_by_token() از کامپوننت Fabric Connector فایروال برنامه وب FortiWeb مربوط به پردازش نادرست درخواست‌های HTTP با هدر Authorization است. سوءاستفاده از این آسیب‌پذیری ممکن است به یک مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP و HTTPs دستکاری‌شده خاص، کد دلخواه یا دستورات دلخواه را اجرا کند.

BDU:2025-08439
CVE-2025-25257

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- غیرفعال کردن رابط مدیریت وب دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه به منظور محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای ردیابی تلاش‌ها برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به سیستم از شبکه‌های خارجی (اینترنت). - غیرفعال کردن قابلیت استفاده از پروتکل‌های HTTP و HTTPS مطابق با دستورالعمل‌های توسعه‌دهنده (https://docs.fortinet.com/document/fortiweb/7.6.2/administration-guide/685507/how-to-use-the-web-ui)

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-151
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در پیاده‌سازی رابط ارتباطی ماشین مجازی (VMCI) در محصولات نرم‌افزاری VMware ESXi، Workstation، Fusion، Cloud Foundation مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

BDU:2025-08573
CVE-2025-41237

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- به حداقل رساندن امتیازات کاربرانی که به ماشین‌های مجازی دسترسی دارند؛

غیرفعال کردن رابط VMCI؛

محدود کردن دسترسی شبکه به ماشین‌های مجازی
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛

استفاده از یک محیط نرم‌افزاری ایزوله برای به حداقل رساندن عواقب احتمالی سوءاستفاده از آسیب‌پذیری.

استفاده از توصیه‌ها:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Rockwell Automation Arena

CVSS 4.0: AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 7.1
اعتبارسنجی ورودی ناکافی (CWE-20)، نوشتن خارج از محدوده (CWE-787)
یک آسیب‌پذیری در نرم‌افزار شبیه‌سازی و اتوماسیون رویدادهای گسسته Rockwell Automation Arena به دلیل اعتبارسنجی ورودی ناکافی است. در صورت سوءاستفاده، این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را با استفاده از یک فایل DOE دستکاری‌شده خاص اجرا کند.

https://bdu.fstec.ru/vul/2025-08441
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Siemens TIA Administrator: همه نسخه‌های قبل از V3.0.6

تأیید نادرست امضای رمزنگاری CWE-347
برنامه آسیب‌دیده به طور نادرست گواهی‌های امضای کد را تأیید می‌کند. این می‌تواند به مهاجم اجازه دهد تا بررسی را دور بزند و کد دلخواه را در حین نصب اجرا کند. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-23364 محاسبه شده است. امتیاز پایه ۶.۹ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N).

کنترل دسترسی نادرست CWE-284
برنامه آسیب‌دیده به کاربران با امتیاز پایین اجازه می‌دهد تا با بازنویسی فایل‌های حافظه پنهان و تغییر مسیر دانلودها، نصب‌ها را آغاز کنند. این امر به مهاجم اجازه می‌دهد تا امتیاز را افزایش داده و کد دلخواه را اجرا کند. همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-23365 محاسبه شده است. امتیاز پایه ۸.۵ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

زیمنس گزارش می‌دهد که محصولات زیر تحت تأثیر قرار گرفته‌اند:

TIA Project-Server: نسخه‌های قبل از V2.1.1
TIA Project-Server V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V18: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V19: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V20: نسخه‌های قبل از به‌روزرسانی ۳ V20

آپلود نامحدود فایل با نوع خطرناک CWE-434
برنامه آسیب‌دیده به طور نامناسب پروژه‌های آپلود شده در ریشه سند را مدیریت می‌کند. این می‌تواند به مهاجمی با امتیازات مشارکت‌کننده اجازه دهد تا با آپلود یک پروژه مخرب باعث انکار سرویس شود. همچنین امتیاز CVSS نسخه ۴ برای آسیب‌پذیری CVE-2025-27127 محاسبه شده است. امتیاز پایه ۵.۳ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب پذیری زیمنس سیپروتک ۵

استفاده از روش درخواست GET با رشته‌های پرس‌وجوی حساس CWE-598
دستگاه‌های آسیب‌دیده شامل شناسه‌های جلسه در درخواست‌های URL برای عملکردهای خاص هستند. این می‌تواند به مهاجم اجازه دهد تا داده‌های حساس جلسه را از تاریخچه مرورگر، گزارش‌ها یا سایر مکانیسم‌های ذخیره‌سازی بازیابی کند که به طور بالقوه منجر به دسترسی غیرمجاز می‌شود. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-40742 محاسبه شده است. امتیاز پایه ۶.۰ محاسبه شده است. رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N) است.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2