😞 وضعیت غم‌انگیز فعلی امنیت API

چه وجه مشترکی بین سرقت اطلاعات ۴۹ میلیون مشتری Dell و حادثه افشای اطلاعات تماس مشترکین Verizon در حوزه عمومی وجود دارد؟ در هر دو مورد، مهاجمان از APIهای با محافظت ضعیف که امکان حملات جستجوی فراگیر، جعل شناسه‌های دسترسی و عدم احراز هویت را فراهم می‌کنند، سوءاستفاده کردند.

به عنوان مثال، هر کسی که سعی در استفاده از APIهای OpenAI، Anthropic یا DeepSeek داشته باشد، می‌داند که حتی شرکت‌های برتر نیز از محافظت ضعیفی در دسترسی به داده‌های API برخوردارند - شما برای دسترسی به هیچ چیز جز کلید API استاتیک نیاز ندارید. سال ۲۰۲۵ است... جای تعجب نیست که مهاجمان در حال یافتن راه‌های خلاقانه جدیدی برای سوءاستفاده از دسترسی به API هستند - از سرقت منابع محاسباتی و داده‌ها گرفته تا دور زدن ابزارهای امنیتی در وب‌سایت‌ها و ارسال ایمیل‌های فیشینگ.

طبق گزارش Raidiam، ۸۴٪ از شرکت‌ها از روش‌های امنیتی بسیار ضعیفی در APIهایی که پشتیبانی می‌کنند استفاده می‌کنند:

⚪️ کلیدهای API استاتیک و احراز هویت اولیه OAuth؛
⚪️ عدم احراز هویت کلاینت.
⚪️ حقوق دسترسی بیش از حد، بدون تنظیم دقیق (RBAC/ABAC).
⚪️ کمتر از نیمی از شرکت‌ها به طور منظم APIها را آزمایش یا نظارت می‌کنند.

هر API بر اساس نوع اطلاعاتی که پردازش می‌کند ارزیابی شد. برای API که آمار ناشناس یا داده‌های فنی اولیه را پردازش می‌کند، محافظت از طریق یک کلید API استاتیک کافی است. اما برای داده‌های پرداخت یا پزشکی، مجموعه‌ای کامل از اقدامات امنیتی مورد نیاز است. آنها عبارتند از:

⚪️ رمزنگاری: TLS متقابل، PKI، JWT امضا شده یا توکن‌های مرتبط با گواهی‌ها؛

⚪️ توکن‌هایی با دوره اعتبار کوتاه و اعتبارسنجی مکرر؛

⚪️ حقوق دسترسی محدود در هر درخواست OAuth؛

⚪️ نظارت بر ناهنجاری‌های شبکه.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری رابط وب نرم‌افزار مدیریت زیرساخت مرکز داده EcoStruxure IT Data Center Expert مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه با ایجاد یک پوشه خاص می‌کند، اجازه دهد.

BDU:2025-08324
CVE-2025-50121

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدود کردن دسترسی به رابط وب برای مدیریت نرم‌افزارهای آسیب‌پذیر از طریق HTTP؛
- استفاده از فایروال سطح برنامه (WAF) برای فیلتر کردن ترافیک شبکه؛
- محدود کردن دسترسی به رابط وب برای مدیریت نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای دسترسی از راه دور (VPN)؛

- محدود کردن دسترسی به رابط وب مدیریت نرم‌افزارهای آسیب‌پذیر از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

نقص سایبری بحرانی مرتبط با ماژول EoT که به مدت ۱۲ سال در سیستم‌های ریلی ایالات متحده نادیده گرفته شده بود، تا سال ۲۰۲۷ رفع نخواهد شد.
بخش ۱ از ۳
یک آسیب‌پذیری امنیتی سایبری حیاتی که سیستم‌های قطار آمریکایی را تحت تأثیر قرار می‌دهد ، علی‌رغم هشدارهای اولیه از سال ۲۰۱۲، بیش از یک دهه است که مورد توجه قرار نگرفته است. این مشکل که به ماژول‌های انتهای قطار (EoT) که داده‌های تله‌متری را به صورت بی‌سیم از عقب به جلوی قطارهای باری منتقل می‌کنند، مرتبط است، اولین بار توسط نیلز، محقق امنیت سخت‌افزار، در سال ۲۰۱۲ شناسایی شد. او هفته گذشته جزئیاتی را در X، که قبلاً توییتر نام داشت، به اشتراک گذاشت و خاطرنشان کرد که این خطر زمانی پدیدار شد که رادیوهای تعریف‌شده توسط نرم‌افزار (SDR) قابل دسترس‌تر شدند و به مهاجمان اجازه دادند تا به طور بالقوه ارتباطات EoT را رهگیری یا جعل کنند.

با این حال، سال‌ها انجمن راه‌آهن آمریکا (AAR) از اقدام در مورد یافته‌ها خودداری کرد. اخیراً در سال ۲۰۲۴، مدیر امنیت اطلاعات AAR این تهدید را کم‌اهمیت جلوه داد و استدلال کرد که این دستگاه‌ها به پایان عمر خود نزدیک می‌شوند و نیازی به توجه فوری ندارند. مهاجم می‌تواند از راه دور و با استفاده از سخت‌افزاری با هزینه کمتر از ۵۰۰ دلار آمریکا، کنترل کنترل‌کننده ترمز قطار را از فاصله قابل توجهی به دست گیرد. این دسترسی می‌تواند باعث از کار افتادن ترمز شود که به طور بالقوه باعث خروج قطار از ریل می‌شود یا امکان خاموش شدن کل سیستم راه‌آهن ملی را فراهم کند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) که از این بی‌عملی ناامید شده بود، چند روز پیش یک هشدار رسمی صادر کرد و AAR را مجبور کرد که سرانجام این موضوع را علناً بپذیرد. این گروه در ماه آوریل طرحی را برای جایگزینی سیستم‌های آسیب‌پذیر اعلام کرد، اما اجرای آن به کندی پیش می‌رود. اولین تاریخ استقرار برای سال ۲۰۲۷ پیش‌بینی شده است.

این تأخیر، سوالاتی را در مورد مدیریت ریسک در بخش‌های زیرساخت‌های حیاتی و اینکه چرا برای جلب توجه به یک آسیب‌پذیری سیستمی، به فشار عمومی نیاز بوده است، مطرح می‌کند.

کریس بوترا، معاون اجرایی موقت مدیر امنیت سایبری CISA، در بیانیه‌ای ایمیلی نوشت: «آسیب‌پذیری انتهای قطار (EOT) و ابتدای قطار (HOT) بیش از یک دهه است که توسط ذینفعان بخش ریلی درک و رصد شده است. برای سوءاستفاده از این مشکل، یک عامل تهدید نیاز به دسترسی فیزیکی به خطوط ریلی، دانش عمیق پروتکل و تجهیزات تخصصی دارد که امکان سوءاستفاده گسترده را محدود می‌کند - به‌ویژه بدون حضور گسترده و توزیع‌شده در ایالات متحده.»

بوترا خاطرنشان کرد که اگرچه این آسیب‌پذیری از نظر فنی قابل توجه است، CISA با شرکای صنعتی خود برای تدوین استراتژی‌های کاهش آسیب همکاری کرده است.

او افزود که «رفع این مشکل نیازمند تغییراتی در یک پروتکل مبتنی بر استاندارد است و این کار در حال حاضر در حال انجام است. CISA همچنان تولیدکنندگان را تشویق می‌کند تا اصول طراحی ایمن را برای کاهش سطح حمله و تضمین سیستم‌های ارتباطی انعطاف‌پذیر برای اپراتورها اتخاذ کنند.»

در این توصیه‌نامه، CISA یک آسیب‌پذیری «احراز هویت ضعیف» را در پروتکل اتصال از راه دور مورد استفاده بین دستگاه‌های End-of-Train و Head-of-Train شناسایی کرد که بر تمام نسخه‌های فعلی مستقر در سیستم‌های ریلی ایالات متحده تأثیر می‌گذارد. «سوءاستفاده موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا دستورات کنترل ترمز خود را به دستگاه انتهای قطار ارسال کند و باعث توقف ناگهانی قطار شود که ممکن است منجر به اختلال در عملیات یا از کار افتادن ترمز شود.»
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

بخش ۲ از ۳
پروتکل مورد استفاده برای اتصال از راه دور از طریق RF برای پایان قطار و ابتدای قطار (که با نام FRED نیز شناخته می‌شود) برای ایجاد بسته به یک مجموع کنترلی BCH متکی است. می‌توان این بسته‌های EoT و HoT را با یک رادیوی تعریف‌شده توسط نرم‌افزار ایجاد کرد و دستورات کنترل ترمز را به دستگاه EoT صادر کرد که باعث اختلال در عملیات یا احتمالاً از کار افتادن سیستم‌های ترمز می‌شود.

این آسیب‌پذیری با شناسه CVE-2025-1727 شناسایی شده است. امتیاز پایه CVSS نسخه ۳ آن ۸.۱ است که نشان‌دهنده شدت بالا است. تحت سیستم جدیدتر CVSS نسخه ۴، امتیاز پایه آن ۷.۲ است.

نیل اسمیت و اریک رویتر این آسیب‌پذیری را به CISA گزارش دادند.

این آژانس افزود که AAR در حال پیگیری تجهیزات و پروتکل‌های جدیدی است که باید جایگزین دستگاه‌های سنتی End-of-Train و Head-of-Train شوند. کمیته‌های استاندارد درگیر در این به‌روزرسانی‌ها از این آسیب‌پذیری آگاه هستند و در حال بررسی راه‌حل‌های کاهش‌دهنده آن هستند.

کمیته استانداردهای الکترونیک راه‌آهن AAR (RESC) این پروتکل را حفظ می‌کند که توسط چندین تولیدکننده در سراسر صنعت، از جمله Hitachi Rail STS USA، Wabtec، Siemens و دیگران استفاده می‌شود.

CISA از کاربران دستگاه‌های EoT/HoT خواست تا در صورت داشتن هرگونه سوال با تولیدکنندگان دستگاه خود تماس بگیرند. این هشدار پس از برآوردهای اخیر مبنی بر نیاز حدود ۲۵۰۰۰ لوکوموتیو باری به ارتقاء سیستم Head-of-Train (HOT) منتشر شد، در حالی که تقریباً ۴۵۰۰۰ دستگاه EOT در حال حاضر در ناوگان ملی در حال استفاده هستند.

نیلز در تاپیک خود در X نوشت: «من این موضوع را در سال ۲۰۱۲ گزارش دادم، زمانی که در ICS-CERT بسیار فعال بودم و تحقیقات امنیتی کنترل صنعتی جاسازی‌شده انجام می‌دادم. ICS-CERT گروه نوپا و تازه‌کاری بود، اما گروه فوق‌العاده‌ای بود که هر کاری از دستش بر می‌آمد برای کمک به حل آسیب‌پذیری‌های زیرساخت‌های حیاتی انجام می‌داد.» او افزود: «از ۲۰۱۲ تا ۲۰۱۶، بن‌بستی بین ICS-CERT و انجمن راه‌آهن آمریکا (AAR) وجود داشت. وقتی در حال معکوس کردن یک پروتکل در آزمایشگاه با استفاده از ترافیک رادیویی شبیه‌سازی‌شده هستید، همه چیز فقط «نظری» است و AAR فقط در صورتی آسیب‌پذیری را تأیید می‌کند که بتوانیم آن را در دنیای واقعی اثبات کنیم.»

در سال ۲۰۱۶، نیلز مقاله‌ای در بوستون ریویو منتشر کرد که در آن به تفصیل توضیح داده بود که چگونه اداره راه‌آهن فدرال (FRA) تأسیسات تست مسیر خود را اداره نمی‌کند و چگونه انجمن راه‌آهن آمریکا (AAR) به طور معمول آزمایش‌های مرتبط با امنیت را که می‌تواند آسیب‌پذیری‌ها را آشکار کند، مسدود می‌کند. AAR بعداً با ردیه‌ای تحقیرآمیز در مجله فورچون پاسخ داد: «بعد از آن مقاله، مدتی از این موضوع خسته شدم. احساس می‌کردم که این موضوع هرگز به مرحله اجرا نخواهد رسید و من در برابر لابی‌گری شرکت‌های بزرگ پیروز نخواهم شد.»

در سال ۲۰۱۸، اریک رویتر به‌طور مستقل همین آسیب‌پذیری را پیدا کرد، «اما فقط در defcon در مورد مهندسی معکوس پروتکل سخنرانی کرد. اگر می‌خواهید جزئیات بیشتری در مورد مهندسی معکوس این آسیب‌پذیری بدانید، اکیداً توصیه می‌کنم PyEOT را بررسی کنید.»

نیلز اضافه کرد که «در سال ۲۰۲۴، متوجه شدم که ICS-CERT چندین بار سازماندهی مجدد شده است و تصمیم گرفتم یک تیکت جدید با آنها باز کنم تا ببینم چه اتفاقی برای این موضوع افتاده است؟ آیا آنها تسلیم شده‌اند؟»

او گفت: «هیچ‌کس واقعاً نمی‌داند چه اتفاقی برایش افتاده، اما این بار آنها ۱۰۰٪ در حل مشکل عقب بودند. ما چند ماه با فروشندگان و AAR در تماس بودیم تا طرف‌های مناسب را برای رسیدگی به این مشکل پیدا کنیم.» «مدیر امنیت اطلاعات AAR تصمیم گرفت که این موضوع چندان مهم نیست و آنها قرار نیست کاری در مورد آن انجام دهند زیرا دستگاه‌ها و پروتکل «پایان عمر» خود را تجربه می‌کنند که طعنه‌آمیز است زیرا آنها هنوز در حال استفاده هستند. AAR چندین بار از صحبت با CISA طفره رفت.»

او در توییتی نوشت: «CISA بالاخره با من موافقت کرد که انتشار این اطلاعات تنها گزینه باقی‌مانده برای اعمال فشار بر AAR برای رفع این مشکل است. و تا حدودی هم جواب داد. در ماه آوریل، آنها اعلام کردند که 802.16t جایگزین پروتکل آسیب‌پذیر EOT/HOT خواهد شد. این اتفاق چه زمانی خواهد افتاد؟ در بهترین حالت تا سال 2027.»
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

بخش ۳ از ۳
اوایل امسال، پس از گزارش‌هایی مبنی بر حمله سایبری گسترده به شرکت راه‌آهن دولتی اوکرزالیزنیتسیا، ایستگاه مرکزی راه‌آهن کیف صبح دوشنبه به طور غیرمعمولی شلوغ بود. صف‌های طولانی تشکیل شد و ده‌ها مسافر منتظر خرید بلیط برای مسیرهای داخلی و بین‌المللی بودند. طبق بیانیه اوکرزالیزنیتسیا، این حمله سایبری خدمات دیجیتال، از جمله برنامه تلفن همراه مورد استفاده برای خرید بلیط، را مختل کرد، اگرچه برنامه‌های قطارها بدون تغییر باقی ماند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

حمله روز صفر به بزرگترین فولادسازی ژاپن
دیروز ۵۰۰ گیگابایت، امروز ده‌ها هزار قربانی.
نیپون استیل دارد کنترل را از دست می‌دهد
حمله دوم، روز صفر و بزرگترین شرکت فولاد ژاپن دوباره به زانو درآمد.


شرکت ژاپنی نیپون استیل ، یکی از بزرگترین شرکت‌های متالورژی جهان ، از یک حمله سایبری گسترده خبر داد که طی آن هکرها به داده‌های مشتریان، کارمندان و شرکای تجاری دسترسی پیدا کردند. این آسیب‌پذیری در ۷ مارس مورد بهره‌برداری قرار گرفت و ماهیت این حادثه نشان دهنده یک حمله روز صفر است .

طبق اطلاعات رسمی، این نشت اطلاعات ممکن است اطلاعات مربوط به صدها شریک بین‌المللی، بیش از ۱۰۰۰۰۰ کارمند و تعداد نامشخصی از مشتریان را تحت تأثیر قرار داده باشد. در میان داده‌های افشا شده، نام‌ها، آدرس‌های کاری، سمت‌ها، ایمیل‌های شرکتی و شماره تلفن‌ها وجود دارد. علاوه بر این، این اطلاعات هم مربوط به تراکنش‌های جاری و هم قراردادهای از پیش تکمیل شده است.

این شرکت تأکید می‌کند که سرویس‌های ابری ارائه شده به مشتریان تحت تأثیر قرار نگرفته‌اند و فعالیت مخرب به سرعت محلی‌سازی شده است: سرور از شبکه جدا شده و عواقب حمله با مشارکت متخصصان خارجی کاهش یافته است.

با این حال، سوالاتی در این صنعت مطرح می‌شود: این دومین حادثه مربوط به شرکت فولاد نیپون در سال ۲۰۲۵ است. در ماه فوریه، گروه BianLian اعلام کرد که بخش آمریکایی این شرکت را هک کرده و بیش از ۵۰۰ گیگابایت داده، از جمله گزارش‌های مالی، داده‌های مشتری و اسناد داخلی و همچنین اطلاعات تماس مدیران ارشد، از جمله مدیرعامل و رئیس شرکت، را به سرقت برده است.

یک نکته جالب: کمی پس از انتشار داده‌ها در وب‌سایت BianLian، صفحه‌ای که اطلاعات فاش شده در آن بود، ناپدید شد. این موضوع باعث ایجاد گمانه‌زنی‌هایی مبنی بر پرداخت باج توسط شرکت Nippon Steel شد - یک عنصر معمول از یک طرح اخاذی دوگانه که در آن مجرمان ابتدا برای رمزگشایی داده‌ها درخواست پول می‌کنند و سپس با حمله دوم از آنها اخاذی می‌کنند.

هنوز مشخص نیست که آیا این دو ماجرا مستقیماً به هم مرتبط هستند یا خیر. اما از نظر فنی، باگی که هکرها در ماه مارس از آن سوءاستفاده کردند، واقعاً جدید است: همانطور که شرکت مشخص می‌کند، «ما در مورد یک آسیب‌پذیری روز صفر در تجهیزات شبکه صحبت می‌کنیم.»

چه اطلاعاتی در مورد قربانیان وجود دارد؟
مشتریان : نام، شرکت، سمت، آدرس محل کار، ایمیل، تلفن؛
شرکا : نام، ایمیل شرکتی؛
کارمندان : نام، دپارتمان، سمت، ایمیل کاری.
تا به امروز، هیچ مدرکی مبنی بر اینکه این داده‌ها در دسترس عموم قرار گرفته یا در پلتفرم‌های سایه قرار گرفته باشد، وجود ندارد . با این حال، این شرکت به همه شرکت‌کنندگان در این حادثه هشدار داد که به ویژه مراقب ایمیل‌ها و تماس‌های مشکوک باشند - حملات فیشینگ هدفمند امکان‌پذیر است.

دولت قبلاً به همه واحدهای تجاری اطلاع داده و ارسال اعلان‌ها به قربانیان احتمالی را آغاز کرده است، که برخی از آنها هنوز در حال انجام این کار هستند.

این حادثه تنها چند هفته پس از آن رخ داد که نیپون استیل قرارداد خود را برای خرید یو اس استیل ، یک غول فولاد آمریکایی، نهایی کرد. این ادغام بحث‌برانگیز بود و درست قبل از اولین حمله سایبری در ماه فوریه به تعویق افتاد. اکنون، به نظر می‌رسد خطرات سایبری تهدیدی واقعی برای کل زیرساخت‌های جهانی این شرکت هستند. و هیچ تضمینی وجود ندارد که اتفاقات بیشتری رخ ندهد.

در واقع، باندها به طور فزاینده‌ای از تاکتیک‌های اخاذی مضاعف استفاده می‌کنند و پرداخت باج، امنیت داده‌ها را در آینده تضمین نمی‌کند. به همین دلیل است که هوشیاری کسب‌وکارهای بزرگ در فضای دیجیتال بسیار مهم است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در تابع get_fabric_user_by_token() از کامپوننت Fabric Connector فایروال برنامه وب FortiWeb مربوط به پردازش نادرست درخواست‌های HTTP با هدر Authorization است. سوءاستفاده از این آسیب‌پذیری ممکن است به یک مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP و HTTPs دستکاری‌شده خاص، کد دلخواه یا دستورات دلخواه را اجرا کند.

BDU:2025-08439
CVE-2025-25257

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- غیرفعال کردن رابط مدیریت وب دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه به منظور محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای ردیابی تلاش‌ها برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به سیستم از شبکه‌های خارجی (اینترنت). - غیرفعال کردن قابلیت استفاده از پروتکل‌های HTTP و HTTPS مطابق با دستورالعمل‌های توسعه‌دهنده (https://docs.fortinet.com/document/fortiweb/7.6.2/administration-guide/685507/how-to-use-the-web-ui)

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-151
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در پیاده‌سازی رابط ارتباطی ماشین مجازی (VMCI) در محصولات نرم‌افزاری VMware ESXi، Workstation، Fusion، Cloud Foundation مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

BDU:2025-08573
CVE-2025-41237

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- به حداقل رساندن امتیازات کاربرانی که به ماشین‌های مجازی دسترسی دارند؛

غیرفعال کردن رابط VMCI؛

محدود کردن دسترسی شبکه به ماشین‌های مجازی
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛

استفاده از یک محیط نرم‌افزاری ایزوله برای به حداقل رساندن عواقب احتمالی سوءاستفاده از آسیب‌پذیری.

استفاده از توصیه‌ها:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Rockwell Automation Arena

CVSS 4.0: AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 7.1
اعتبارسنجی ورودی ناکافی (CWE-20)، نوشتن خارج از محدوده (CWE-787)
یک آسیب‌پذیری در نرم‌افزار شبیه‌سازی و اتوماسیون رویدادهای گسسته Rockwell Automation Arena به دلیل اعتبارسنجی ورودی ناکافی است. در صورت سوءاستفاده، این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را با استفاده از یک فایل DOE دستکاری‌شده خاص اجرا کند.

https://bdu.fstec.ru/vul/2025-08441
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Siemens TIA Administrator: همه نسخه‌های قبل از V3.0.6

تأیید نادرست امضای رمزنگاری CWE-347
برنامه آسیب‌دیده به طور نادرست گواهی‌های امضای کد را تأیید می‌کند. این می‌تواند به مهاجم اجازه دهد تا بررسی را دور بزند و کد دلخواه را در حین نصب اجرا کند. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-23364 محاسبه شده است. امتیاز پایه ۶.۹ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N).

کنترل دسترسی نادرست CWE-284
برنامه آسیب‌دیده به کاربران با امتیاز پایین اجازه می‌دهد تا با بازنویسی فایل‌های حافظه پنهان و تغییر مسیر دانلودها، نصب‌ها را آغاز کنند. این امر به مهاجم اجازه می‌دهد تا امتیاز را افزایش داده و کد دلخواه را اجرا کند. همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-23365 محاسبه شده است. امتیاز پایه ۸.۵ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

زیمنس گزارش می‌دهد که محصولات زیر تحت تأثیر قرار گرفته‌اند:

TIA Project-Server: نسخه‌های قبل از V2.1.1
TIA Project-Server V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V18: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V19: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V20: نسخه‌های قبل از به‌روزرسانی ۳ V20

آپلود نامحدود فایل با نوع خطرناک CWE-434
برنامه آسیب‌دیده به طور نامناسب پروژه‌های آپلود شده در ریشه سند را مدیریت می‌کند. این می‌تواند به مهاجمی با امتیازات مشارکت‌کننده اجازه دهد تا با آپلود یک پروژه مخرب باعث انکار سرویس شود. همچنین امتیاز CVSS نسخه ۴ برای آسیب‌پذیری CVE-2025-27127 محاسبه شده است. امتیاز پایه ۵.۳ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب پذیری زیمنس سیپروتک ۵

استفاده از روش درخواست GET با رشته‌های پرس‌وجوی حساس CWE-598
دستگاه‌های آسیب‌دیده شامل شناسه‌های جلسه در درخواست‌های URL برای عملکردهای خاص هستند. این می‌تواند به مهاجم اجازه دهد تا داده‌های حساس جلسه را از تاریخچه مرورگر، گزارش‌ها یا سایر مکانیسم‌های ذخیره‌سازی بازیابی کند که به طور بالقوه منجر به دسترسی غیرمجاز می‌شود. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-40742 محاسبه شده است. امتیاز پایه ۶.۰ محاسبه شده است. رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N) است.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

در امنیت کنترل محیطی را درنظر گرفته اید؟
ویدیویی از یک میمون که به طور اتفاقی یک شیر را در یک محیط صنعتی باز میکند. خنده‌دار به نظر می‌رسد تا زمانی که تصور کنید پشت آن شیر چیست: گاز، بخار، مواد شیمیایی؟
در زندگی واقعی، ما بدتر از این‌ها را دیده‌ایم: دسترسی غیرمجاز، عملیات تصادفی و حوادث پرهزینه. HAZOP فقط کاغذبازی نیست.
اگر کسی آموزش دیده یا ندیده اشتباهاً این شیر را باز کند چه؟
اقدامات کنترلی فقط برای ماشین‌ها نیستند.باید عوامل انسانی را نیز پوشش دهند.
• آیا یک شیر می‌تواند به طور تصادفی باز یا بسته شود؟
• آیا برچسب‌گذاری و علائم واضحی وجود دارد؟
• آیا شیرهای دستی قابل قفل شدن هستند؟
• آیا شیر برای پرسنل غیرمجاز قابل دسترسی است؟
• آیا محافظ‌هایی مانند قفل داخلی، آلارم یا جداسازی از راه دور وجود دارد؟

✅ این فقط مربوط به انحرافات فرآیند نیست، بلکه مربوط به افراد است.
چه کنترل‌هایی را توصیه می‌کنید؟

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

کشف یک آسیب‌پذیری در API موتور خدمات هویت سیسکو (ISE) به دلیل عدم انجام اقدامات لازم برای خنثی‌سازی عناصر ویژه ایجاد شده است.
سوءاستفاده از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا با ارسال یک درخواست API خاص، کد دلخواه را با امتیازات ریشه اجرا کند.


BDU:2025-08631
CVE-2025-20337

نصب به‌روزرسانی‌ها از منابع معتبر.، توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.


اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی که برای سوءاستفاده از آسیب‌پذیری‌ها انجام می‌شود.


استفاده از توصیه‌ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

پانزده سال پس از استاکس‌نت، کمیته فرعی مجلس نمایندگان آمریکا قرار است از کارشناسان امنیتی فناوری عملیاتی در مورد چشم‌انداز تهدید زیرساخت‌ها بشنود

کمیته امنیت داخلی مجلس نمایندگان ایالات متحده، سه‌شنبه آینده جلسه‌ای برای بررسی سیر تکامل تهدیدات علیه زیرساخت‌های حیاتی پس از کشف استاکس‌نت در ۱۵ سال پیش برگزار خواهد کرد.
بر اساس نسخه‌ای از این اطلاعیه، شاهدانی که برای این جلسه ذکر شده‌اند عبارتند از: تاتیانا بولتون، مدیر اجرایی ائتلاف امنیت سایبری فناوری عملیاتی (OTCC)؛ کیم زتر، روزنامه‌نگار امنیت سایبری و نویسنده کتاب «شمارش معکوس تا روز صفر»؛ رابرت لی ، مدیرعامل و یکی از بنیانگذاران شرکت امنیت سایبری صنعتی دراگوس ؛ و نیت گلیسون، رهبر برنامه در آزمایشگاه ملی لارنس لیورمور.

اندرو گاربارینو، نماینده جمهوری‌خواه نیویورک و رئیس کمیته فرعی امنیت سایبری و حفاظت از زیرساخت‌ها، روز چهارشنبه در یک بیانیه رسانه‌ای گفت : «استاکس‌نت عصر جدیدی را در هدف قرار دادن فناوری عملیاتی آغاز کرد، روشی برای حمله که در ۱۵ سال گذشته پیچیدگی آن افزایش یافته است. این لحظه نشان داد که چگونه می‌توان از بدافزار برای هدف قرار دادن و فلج کردن بالقوه عملیات زیرساخت‌های حیاتی استفاده کرد، که این امر اهمیت تاب‌آوری زیرساخت‌های حیاتی را برای بخش‌های مختلف در سراسر جهان افزایش داده است.»

او افزود: «امروزه، بازیگران بد در استفاده از بدافزار برای ایجاد جای پایی در خدماتی که آمریکایی‌ها هر روز به آن متکی هستند و ایجاد ویرانی در شیوه زندگی ما، تردیدی نخواهند کرد .»

گاربارینو خاطرنشان کرد که با توجه به افزایش تهدیدات علیه زیرساخت‌های حیاتی از سوی عواملی مانند ولت تایفون، بررسی میراث استاکس‌نت، اولین سلاح سایبری جهان، بسیار مهم است. «من مشتاقانه منتظر شنیدن بینش‌های ارزشمند رهبران و کارشناسان صنعت در مورد چگونگی تأثیر استاکس‌نت بر چشم‌انداز امنیت سایبری و وضعیت امنیت سایبری ایالات متحده هستم.»

استاکس‌نت فقط یک بدافزار معمولی نبود. این یک سلاح دیجیتالی با تأثیر فیزیکی بود. این ویروس که در سال ۲۰۱۰ کشف شد، مخفیانه سانتریفیوژهای هسته‌ای ایران را هدف قرار داد و باعث اختلال در عملکرد آنها شد، در حالی که وانمود می‌کرد همه چیز عادی است. این ویروس که گمان می‌رود حاصل عملیات مشترک آمریکا و اسرائیل باشد، اولین باری بود که از کد برای ایجاد خسارت در دنیای واقعی استفاده می‌شد. استاکس‌نت بازی را تغییر داد و نشان داد که حملات سایبری تا چه حد می‌توانند به دنیای فیزیکی نفوذ کنند.

در ۱۵ سالی که از زمان استاکس‌نت می‌گذرد، زیرساخت‌های حیاتی ایالات متحده توسط مجرمان سایبری، گروه‌های باج‌افزار و دولت-ملت‌ها مورد حمله قرار گرفته‌اند. سیاست‌گذاران در حال بررسی مجدد استاکس‌نت هستند به این امید که بتواند به آنها در یادگیری دفاع بهتر از صنایع داخلی‌شان کمک کند.

یکی از دستیاران کمیته گفت که استاکس‌نت «بخشی از داستان امنیت سایبری فناوری عملیاتی است».

این دستیار گفت: «این لحظه‌ای محوری در تاب‌آوری زیرساخت‌های حیاتی و نحوه تفکر ما در مورد عملیات سایبری تهاجمی و دفاعی بود. اکنون که در ۱۵ سال از کشف استاکس‌نت گذشته‌ایم، زمان آن رسیده است که بررسی کنیم چشم‌انداز تهدید سایبری چگونه تکامل یافته است تا از تاب‌آوری عملیات عملیاتی خود اطمینان حاصل کنیم، به‌ویژه که وزارت امنیت داخلی در مورد تهدیدات فزاینده از سوی ایران علیه زیرساخت‌های حیاتی هشدار می‌دهد.»

این دستیار افزود که این درس‌ها می‌تواند برای قانون‌گذاران ارزشمند باشد، چرا که کنگره قرار است به دو قانون مهم امنیت سایبری که قرار است امسال منقضی شوند، رسیدگی کند.

داده‌های اخیر Dragos نشان داد که گروه‌های باج‌افزاری و شرکت‌های وابسته به آنها در سه‌ماهه اول سال ۲۰۲۵ عملیات خود را تشدید کرده‌اند و تاکتیک‌ها، تکنیک‌ها و رویه‌های نوظهور و قدیمی را با هم ترکیب کرده‌اند. اپراتورهای شناخته‌شده‌ای مانند Cl0p، Akira و RansomHub سطح بالایی از فعالیت را حفظ کرده‌اند، در حالی که تهدیدهای نوظهور، از جمله FunkSec، Sarcoma و Lynx، تکنیک‌های پیشرفته‌ای مانند بدافزارهای مبتنی بر هوش مصنوعی و استراتژی‌های پیشرفته گریز از EDR (تشخیص و پاسخ به نقطه پایانی) را معرفی کرده‌اند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

معاون داتین تشریح کرد: ماجرای از کار افتادن خدمات بانکهای سپه و پاسارگاد

در جریان جنگ ۱۲ روزه ایران و اسرائیل، حملهای سایبری به دیتاسنترهای دو بانک کشور، خدمات بانکهای سپه و پاسارگاد را به طور کامل از دسترس خارج کرد. یادداشت منتشرشده توسط حمیدرضا آموزگار، معاون توسعه محصول داتین، در لینکدین، پرده از بحرانی برداشت که او و همکارانش از سر گذراندند.

بر اساس یادداشت آموزگار، حادثه رخ داده برای دو بانک سپه و پاسارگاد، حاصل نفوذ به دیتاسنتر دو بانک یاد شده بوده نه نقض امنیتی نرمافزار کربانکینگ. البته برای انتشار جزئیات فنی بیشتر باید منتظر گزارش نهادهای متولی بود.

آنگونه که آموزگار نوشته، صبح روز ۲۷ خرداد ۱۴۰۴، پس از چند روز از آغاز حملات نظامی اسرائیل به ایران، ناگهان همه اطلاعات دادههای بانک سپه از دسترس خارج شده، سیستمهای مانیتورینگ خاموش شده و هیچ نموداری بارگذاری نمیشد. اولین نشانهها حاکی از آن بود که استوریجهای بانک سپه آسیب دیدهاند و دسترسی به دادهها ممکن نیست. تلاش برای دسترسی به سایت پشتیبان نیز نتیجهای نداشت، چرا که آنجا نیز وضعیت مشابهی گزارش شد.

آموزگار مینویسد:
هیچ چیز قابل دسترسی نبود. هیچ چیز برای دیدن نبود. سرورهای بانک سپه قابل دسترسی نبودند. که ناگهان خبری رسید: استوریجها آسیب دیدهاند و دادهها در دسترس نیستند (عبارات و توضیحات فنی دقیق ترش رامیسپارم به گزارش دهندگان رسمی امنیتی) اوه. اولین راه فرار، خب برویم سراغ سایت پشتیبان.... پاسخ: در آنجا هم همین اتفاق افتاده است.
گزارش را از لینک زیر بخوانید:
https://static.digiato.com/digiato/2025/07/1752819886034.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

به افتخار روز جهانی مبارزه با باج‌افزار، محققان آزمایشگاه کسپرسکی گزارشی در مورد تکامل تهدیدات باج‌افزاری و تأثیر آنها بر امنیت سایبری منتشر کرده‌اند.

طبق گزارش شبکه امنیتی کسپرسکی، از سال ۲۰۲۳ تا ۲۰۲۴، تعداد شناسایی باج‌افزار ۱۸٪ کاهش یافته است - از ۵,۷۱۵,۸۹۲ به ۴,۶۶۸,۲۲۹.

در عین حال، سهم کاربرانی که تحت تأثیر حملات باج‌افزار قرار گرفته‌اند، با ۰.۰۲ درصد افزایش به ۰.۴۴٪ رسیده است.

از سوی دیگر، آمار مربوط به واکنش‌ها به حوادث سایبری نشان می‌دهد که در سال ۲۰۲۴، ۴۱.۶٪ از آنها مربوط به باج‌افزار بوده است، در حالی که در سال ۲۰۲۳، ۳۳.۳٪ از این موارد وجود داشته است.

بنابراین، می‌توانیم فرض کنیم که حملات هدفمند باج‌افزار برای آینده‌ای قابل پیش‌بینی، تهدید اصلی برای سازمان‌ها در سراسر جهان باقی خواهد ماند.

به طور کلی، در این گزارش، محققان LK تعدادی از روندهای جهانی مشاهده شده در رابطه با باج‌افزارها در سال ۲۰۲۴ را برجسته می‌کنند:

۱. مدل RaaS همچنان روش اصلی سازماندهی حملات باج‌افزاری است و با کاهش آستانه فنی برای مهاجمان، توزیع آنها را تسهیل می‌کند.

طبق نتایج سال ۲۰۲۴، RansomHub با طرح توزیع باج ۹۰/۱۰ برای اپراتورها، برجسته بود. در مرحله بعد، Play قرار گرفت.

پلتفرم‌های RaaS همچنان در حال تکامل هستند و دسترسی اولیه و خدمات کارگزاری استخراج داده‌ها را ارائه می‌دهند که تسلط آنها را در سال ۲۰۲۵ تضمین می‌کند.

۲. اکثر حملات باج‌افزاری هنوز به دلیل استفاده گسترده از این سیستم در محیط شرکت‌ها، رایانه‌های مبتنی بر ویندوز را هدف قرار می‌دهند.

با این حال، در سال‌های اخیر، مهاجمان شروع به تنوع بخشیدن به فعالیت‌های خود کرده‌اند، به طوری که گروه‌هایی مانند RansomHub و Akira نسخه‌های لینوکس و VMware از بدافزار خود را توسعه می‌دهند و به طور خاص محیط‌های ابری و مجازی را هدف قرار می‌دهند.

۳. طبق گزارش Chainalysis، کل باج پرداختی در سال ۲۰۲۴ به طور قابل توجهی به ۸۱۳.۵۵ میلیون دلار کاهش یافته است که نسبت به رکورد ۱.۲۵ میلیارد دلار در سال ۲۰۲۳، ۳۵ درصد کاهش یافته است.

با این حال، طبق گزارشی از Sophos، میانگین باج پرداختی از ۱,۵۴۲,۳۳۳ دلار در سال ۲۰۲۳ به ۳,۹۶۰,۹۱۷ دلار در سال ۲۰۲۴ افزایش یافته است.

با این حال، سهم سازمان‌هایی که باج پرداخت می‌کنند در سه‌ماهه چهارم ۲۰۲۴ به پایین‌ترین حد خود یعنی ۲۵ درصد کاهش یافته است، در حالی که این رقم در مدت مشابه در سال ۲۰۲۳، ۲۹ درصد بوده است.

۴. در سال ۲۰۲۴، مجرمان سایبری علاوه بر رمزگذاری یا به جای آن، به طور فزاینده‌ای از استخراج داده‌ها استفاده کردند و با تحت فشار قرار دادن قربانیان، به دنبال استخراج حداکثر ارزش از اطلاعات محرمانه سرقت شده بودند.

۵. در سال ۲۰۲۴، چندین اپراتور بزرگ باج‌افزار اختلالات عمده‌ای را در عملیات خود تجربه کردند، اما اکوسیستم باج‌افزار همچنان مقاوم است.

در همان زمان، LockBit پس از حمله آژانس‌های اطلاعاتی توانست بازگردد، که نمی‌توان در مورد ALPHV/BlackCat که اعضای آن به گروه‌های دیگر، از جمله RansomHub، مهاجرت کردند، گفت.


6. برخی از گروه‌ها ناپدید شدند، برخی دیگر به کار خود ادامه دادند: کد و تاکتیک‌های مخرب گروه‌هایی مانند BlackMatter یا REvil که تحت فشار نیروهای امنیتی قرار گرفتند، بعداً توسط جانشینان آنها، به ویژه BlackCat و سپس Cicada3301، اتخاذ شد.


علاوه بر این، گاهی اوقات ابزارهای مخرب به شبکه "نشت" می‌کنند، همانطور که با LockBit 3.0 اتفاق افتاد.


7. باندهای باج‌افزار به طور فزاینده‌ای در حال توسعه ابزارهای منحصر به فرد خود هستند و تلاش برای استفاده از هوش مصنوعی در عملیات نیز ثبت می‌شود، مانند مورد FunkSec.


8. تکنیک Bring Your Own Vulnerable Driver (BYOVD) به طور فزاینده‌ای در حملات برای دور زدن مکانیسم‌های دفاعی و دسترسی در سطح هسته در سیستم‌های ویندوز استفاده می‌شود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

به نظر می‌رسد که زیرساخت شارژ خودروهای برقی به طور فزاینده‌ای در حال تبدیل شدن به یک هدف محبوب است 🤕
چرا؟ زیرا شارژرها فقط "پریزهای هوشمند" نیستند، بلکه دستگاه‌های اینترنت اشیا تمام عیار با دسترسی به اینترنت، API و ارتباط با شبکه شرکتی اپراتور هستند. و بسیاری از آنها به اینترنت متصل هستند و از طریق ابر یا سرورهای از راه دور مدیریت می‌شوند ⚡️

محققان دریافتند که:
1️⃣ بسیاری از ایستگاه‌های شارژ به پنل‌های ابری مدیریت شده متصل هستند - آنها به شما امکان می‌دهند وضعیت شارژ را کنترل کنید، دستگاه‌ها را روشن/خاموش کنید، تعرفه‌ها را مدیریت کنید 🤑
2️⃣ در برخی موارد، هیچ احراز هویت اولیه‌ای وجود ندارد یا "برای نمایش" پیکربندی شده است - پنل‌های مدیریتی بدون محدودیت IP یا بدون MFA به اینترنت باز هستند.
3️⃣ رمز عبور ضعیف یا پیش‌فرض یک مشکل رایج است 🤦‍♂️

در نتیجه، هکرها می‌توانند:
1️⃣ صدها شارژر را از راه دور غیرفعال کنند، که این یک خطر غیرقابل قبول برای کسب و کار اپراتورها، ترافیک شهری و حتی کل شبکه‌های حمل و نقل است 🔋
2️⃣ تعرفه‌ها را دستکاری کرده و پرداخت‌ها را به جزئیات جعلی هدایت کنند.
3️⃣ اطلاعات شخصی را سرقت کنند، زیرا بسیاری از شارژرها داده‌های پروفایل راننده - از جمله داده‌های پرداخت، سابقه شارژ و حتی موقعیت جغرافیایی - را ذخیره یا منتقل می‌کنند.
4️⃣ یک در پشتی به شبکه‌های داخلی اپراتورهای هاب شارژ یا حتی شرکت‌های انرژی ایجاد کنند 🚪

در تئوری، با ورود گسترده شارژرها به زیرساخت‌های شهری، کلان‌شهرها به شبکه توزیع‌شده خودروهای برقی وابسته می‌شوند. یک حمله برنامه‌ریزی‌شده می‌تواند منجر به یک رویداد غیرقابل قبول و عواقب فاجعه‌بار شود. در این حالت، برخلاف بنزین، نمی‌توانید برق را در یک کپسول بیاورید 🚗

#آسیب‌پذیری #غیرقابل‌قبول
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درمان OWASP برای یک زنجیره تامین هوش مصنوعی بیمار


هوش مصنوعی از ابتدا ساخته نمی‌شود. بلکه مونتاژ می‌شود. مدل‌ها، افزونه‌ها، داده‌های آموزشی و آداپتورها. توسعه‌دهندگان این اجزا را از سراسر اینترنت به هم می‌چسبانند و سپس آنها را به مرحله تولید می‌رسانند.
بعضی وقت‌ها، آنها نمی‌ایستند بپرسند که آن قسمت‌ها از کجا آمده‌اند.

این همان چیزی است که زنجیره تأمین هوش مصنوعی را به یکی از بزرگترین خطرات در یادگیری ماشینی امروز تبدیل می‌کند. و به همین دلیل است که OWASP، که به خاطر ردیابی آسیب‌پذیری‌های حیاتی برنامه‌های وب شناخته می‌شود، اکنون حملات زنجیره تأمین را در بین 10 خطر اصلی که برنامه‌های مدل زبان بزرگ (LLM) با آن مواجه هستند، قرار می‌دهد.
OWASP در راهنمای رسمی خود، نه تنها تهدید، بلکه راه‌حل را نیز تشریح می‌کند: یک چک‌لیست عملی و عملیاتی برای ایمن‌سازی هر لایه از زنجیره تأمین هوش مصنوعی. اینها بهترین شیوه‌های مبهم نیستند. آنها اقدامات ملموس و آزمایش‌شده در میدان هستند که به سازمان‌ها کمک می‌کنند تا آنچه را که در مدل‌هایشان قرار می‌گیرد، تأیید کنند، در برابر دستکاری دفاع کنند و اعتماد را در خط تولید بازسازی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🚂 هر قطار باری در آمریکا می‌تواند از طریق رادیو هک شود.

اطلاعات بیشتر را از اینجا بخوانید:
https://t.me/ics_cert/1233

•،این آسیب‌پذیری ۶ سال پیش توسط محقق امنیت اطلاعات، اریک رایتر، در DEFCON نشان داده شد. اگر علاقه‌مند هستید، بررسی کامل آن در YT موجود است:

➡️ https://www.youtube.com/watch?v=vloWB0LHT_4

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آژانس سلاح‌های هسته‌ای ایالات متحده توسط هکرها با استفاده از آسیب‌پذیری روز صفر مایکروسافت شیرپوینت مورد نفوذ قرار گرفت

آژانس سلاح‌های هسته‌ای آمریکا هک شد
اداره ملی امنیت هسته‌ای (NNSA) قربانی یک حمله سایبری پیچیده شده است که از یک آسیب‌پذیری ناشناخته در مایکروسافت شیرپوینت سوءاستفاده می‌کند و یکی از مهم‌ترین نقض‌های امنیتی را که زیرساخت‌های دفاعی حیاتی ایالات متحده را در سال جاری هدف قرار داده است، رقم زده است.

گروه‌های هکری وابسته به دولت چین از یک آسیب‌پذیری روز صفر که بر روی نصب‌های SharePoint در محل تأثیر می‌گذاشت، برای نفوذ به بیش از ۵۰ سازمان، از جمله آژانس مسئول نگهداری راکتورهای زیردریایی هسته‌ای نیروی دریایی، استفاده کردند.

✅نکات کلیدی
۱. هکرهای چینی از طریق آسیب‌پذیری روز صفر SharePoint به سازمان امنیت هسته‌ای ایالات متحده نفوذ کردند.
۲. به دلیل استفاده از سیستم‌های مبتنی بر ابر، هیچ داده طبقه‌بندی‌شده‌ای به سرقت نرفت.
۳. به‌روزرسانی‌های فوری SharePoint الزامی است.

حمله به شیرپوینت NNSA
این آسیب‌پذیری که نسخه‌های ۲۰۱۹ و Subscription Server SharePoint را تحت تأثیر قرار می‌دهد، به مهاجمان اجازه می‌دهد تا سازوکارهای احراز هویت را دور زده و کد دلخواه را در سیستم‌های هدف اجرا کنند.

طبق گزارش خبری بلومبرگ ، این حمله از یک آسیب‌پذیری deserialization همراه با یک نقص دور زدن احراز هویت سوءاستفاده کرده است که هر دو در ابتدا در مسابقه هک Pwn2Own ونکوور در ماه مه 2024 نشان داده شدند.

این زنجیره‌ی بهره‌برداری، عاملان تهدید را قادر می‌سازد تا به سرورهای SharePoint دسترسی غیرمجاز پیدا کنند، داده‌های حساس را استخراج کنند، اعتبارنامه‌های کاربران را برداشت کنند و به‌طور بالقوه به زیرساخت‌های شبکه‌ی متصل نفوذ کنند.

مقامات وزارت انرژی آمریکاتأیید کردند که هیچ اطلاعات هسته‌ای طبقه‌بندی‌شده یا حساسی در جریان این حادثه به خطر نیفتاده است.

به نظر می‌رسد استراتژی مهاجرت به فضای ابری مایکروسافت ۳۶۵ این سازمان، تأثیر این حمله را محدود کرده است، زیرا این آسیب‌پذیری روز صفر به طور خاص، استقرارهای SharePoint در محل را به جای سرویس SharePoint Online مبتنی بر ابر هدف قرار می‌دهد.

سخنگوی وزارت انرژی اظهار داشت: «این وزارتخانه به دلیل استفاده گسترده از فضای ابری مایکروسافت M365 و سیستم‌های امنیت سایبری بسیار توانمند، کمترین تأثیر را پذیرفته است.»

✅️پاسخ مایکروسافت
مایکروسافت وصله‌های امنیتی اضطراری را برای رفع این آسیب‌پذیری در تمام نسخه‌های آسیب‌پذیر SharePoint Server منتشر کرده است .

مرکز پاسخگویی امنیتی این شرکت (MSRC) با انتشار بولتن‌های امنیتی حیاتی، خواستار استقرار فوری وصله امنیتی شد و بر رتبه‌بندی شدت CVSS 9.8 که به این زنجیره بهره‌برداری اختصاص داده شده است، تأکید کرد.

این حادثه نگرانی‌های فزاینده در مورد امنیت زنجیره تأمین و خطرات ناشی از نصب نرم‌افزارهای سازمانی در محل را برجسته می‌کند.

کارشناسان امنیت سایبری هشدار می‌دهند که ماهیت پیچیده این حمله، قابلیت‌های در حال تکامل گروه‌های تهدید پیشرفته مداوم (APT) را در سوءاستفاده از آسیب‌پذیری‌های روز صفر، قبل از اینکه فروشندگان بتوانند وصله‌های امنیتی را توسعه دهند، نشان می‌دهد.

به سازمان‌هایی که محیط‌های SharePoint را به صورت داخلی اجرا می‌کنند، توصیه می‌شود فوراً به‌روزرسانی‌های امنیتی مایکروسافت را اعمال کرده و ارزیابی‌های جامعی در مورد واکنش به حوادث انجام دهند تا شاخص‌های احتمالی نفوذ را شناسایی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2