بخش ۲ از ۳
پروتکل مورد استفاده برای اتصال از راه دور از طریق RF برای پایان قطار و ابتدای قطار (که با نام FRED نیز شناخته می‌شود) برای ایجاد بسته به یک مجموع کنترلی BCH متکی است. می‌توان این بسته‌های EoT و HoT را با یک رادیوی تعریف‌شده توسط نرم‌افزار ایجاد کرد و دستورات کنترل ترمز را به دستگاه EoT صادر کرد که باعث اختلال در عملیات یا احتمالاً از کار افتادن سیستم‌های ترمز می‌شود.

این آسیب‌پذیری با شناسه CVE-2025-1727 شناسایی شده است. امتیاز پایه CVSS نسخه ۳ آن ۸.۱ است که نشان‌دهنده شدت بالا است. تحت سیستم جدیدتر CVSS نسخه ۴، امتیاز پایه آن ۷.۲ است.

نیل اسمیت و اریک رویتر این آسیب‌پذیری را به CISA گزارش دادند.

این آژانس افزود که AAR در حال پیگیری تجهیزات و پروتکل‌های جدیدی است که باید جایگزین دستگاه‌های سنتی End-of-Train و Head-of-Train شوند. کمیته‌های استاندارد درگیر در این به‌روزرسانی‌ها از این آسیب‌پذیری آگاه هستند و در حال بررسی راه‌حل‌های کاهش‌دهنده آن هستند.

کمیته استانداردهای الکترونیک راه‌آهن AAR (RESC) این پروتکل را حفظ می‌کند که توسط چندین تولیدکننده در سراسر صنعت، از جمله Hitachi Rail STS USA، Wabtec، Siemens و دیگران استفاده می‌شود.

CISA از کاربران دستگاه‌های EoT/HoT خواست تا در صورت داشتن هرگونه سوال با تولیدکنندگان دستگاه خود تماس بگیرند. این هشدار پس از برآوردهای اخیر مبنی بر نیاز حدود ۲۵۰۰۰ لوکوموتیو باری به ارتقاء سیستم Head-of-Train (HOT) منتشر شد، در حالی که تقریباً ۴۵۰۰۰ دستگاه EOT در حال حاضر در ناوگان ملی در حال استفاده هستند.

نیلز در تاپیک خود در X نوشت: «من این موضوع را در سال ۲۰۱۲ گزارش دادم، زمانی که در ICS-CERT بسیار فعال بودم و تحقیقات امنیتی کنترل صنعتی جاسازی‌شده انجام می‌دادم. ICS-CERT گروه نوپا و تازه‌کاری بود، اما گروه فوق‌العاده‌ای بود که هر کاری از دستش بر می‌آمد برای کمک به حل آسیب‌پذیری‌های زیرساخت‌های حیاتی انجام می‌داد.» او افزود: «از ۲۰۱۲ تا ۲۰۱۶، بن‌بستی بین ICS-CERT و انجمن راه‌آهن آمریکا (AAR) وجود داشت. وقتی در حال معکوس کردن یک پروتکل در آزمایشگاه با استفاده از ترافیک رادیویی شبیه‌سازی‌شده هستید، همه چیز فقط «نظری» است و AAR فقط در صورتی آسیب‌پذیری را تأیید می‌کند که بتوانیم آن را در دنیای واقعی اثبات کنیم.»

در سال ۲۰۱۶، نیلز مقاله‌ای در بوستون ریویو منتشر کرد که در آن به تفصیل توضیح داده بود که چگونه اداره راه‌آهن فدرال (FRA) تأسیسات تست مسیر خود را اداره نمی‌کند و چگونه انجمن راه‌آهن آمریکا (AAR) به طور معمول آزمایش‌های مرتبط با امنیت را که می‌تواند آسیب‌پذیری‌ها را آشکار کند، مسدود می‌کند. AAR بعداً با ردیه‌ای تحقیرآمیز در مجله فورچون پاسخ داد: «بعد از آن مقاله، مدتی از این موضوع خسته شدم. احساس می‌کردم که این موضوع هرگز به مرحله اجرا نخواهد رسید و من در برابر لابی‌گری شرکت‌های بزرگ پیروز نخواهم شد.»

در سال ۲۰۱۸، اریک رویتر به‌طور مستقل همین آسیب‌پذیری را پیدا کرد، «اما فقط در defcon در مورد مهندسی معکوس پروتکل سخنرانی کرد. اگر می‌خواهید جزئیات بیشتری در مورد مهندسی معکوس این آسیب‌پذیری بدانید، اکیداً توصیه می‌کنم PyEOT را بررسی کنید.»

نیلز اضافه کرد که «در سال ۲۰۲۴، متوجه شدم که ICS-CERT چندین بار سازماندهی مجدد شده است و تصمیم گرفتم یک تیکت جدید با آنها باز کنم تا ببینم چه اتفاقی برای این موضوع افتاده است؟ آیا آنها تسلیم شده‌اند؟»

او گفت: «هیچ‌کس واقعاً نمی‌داند چه اتفاقی برایش افتاده، اما این بار آنها ۱۰۰٪ در حل مشکل عقب بودند. ما چند ماه با فروشندگان و AAR در تماس بودیم تا طرف‌های مناسب را برای رسیدگی به این مشکل پیدا کنیم.» «مدیر امنیت اطلاعات AAR تصمیم گرفت که این موضوع چندان مهم نیست و آنها قرار نیست کاری در مورد آن انجام دهند زیرا دستگاه‌ها و پروتکل «پایان عمر» خود را تجربه می‌کنند که طعنه‌آمیز است زیرا آنها هنوز در حال استفاده هستند. AAR چندین بار از صحبت با CISA طفره رفت.»

او در توییتی نوشت: «CISA بالاخره با من موافقت کرد که انتشار این اطلاعات تنها گزینه باقی‌مانده برای اعمال فشار بر AAR برای رفع این مشکل است. و تا حدودی هم جواب داد. در ماه آوریل، آنها اعلام کردند که 802.16t جایگزین پروتکل آسیب‌پذیر EOT/HOT خواهد شد. این اتفاق چه زمانی خواهد افتاد؟ در بهترین حالت تا سال 2027.»
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

بخش ۳ از ۳
اوایل امسال، پس از گزارش‌هایی مبنی بر حمله سایبری گسترده به شرکت راه‌آهن دولتی اوکرزالیزنیتسیا، ایستگاه مرکزی راه‌آهن کیف صبح دوشنبه به طور غیرمعمولی شلوغ بود. صف‌های طولانی تشکیل شد و ده‌ها مسافر منتظر خرید بلیط برای مسیرهای داخلی و بین‌المللی بودند. طبق بیانیه اوکرزالیزنیتسیا، این حمله سایبری خدمات دیجیتال، از جمله برنامه تلفن همراه مورد استفاده برای خرید بلیط، را مختل کرد، اگرچه برنامه‌های قطارها بدون تغییر باقی ماند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

حمله روز صفر به بزرگترین فولادسازی ژاپن
دیروز ۵۰۰ گیگابایت، امروز ده‌ها هزار قربانی.
نیپون استیل دارد کنترل را از دست می‌دهد
حمله دوم، روز صفر و بزرگترین شرکت فولاد ژاپن دوباره به زانو درآمد.


شرکت ژاپنی نیپون استیل ، یکی از بزرگترین شرکت‌های متالورژی جهان ، از یک حمله سایبری گسترده خبر داد که طی آن هکرها به داده‌های مشتریان، کارمندان و شرکای تجاری دسترسی پیدا کردند. این آسیب‌پذیری در ۷ مارس مورد بهره‌برداری قرار گرفت و ماهیت این حادثه نشان دهنده یک حمله روز صفر است .

طبق اطلاعات رسمی، این نشت اطلاعات ممکن است اطلاعات مربوط به صدها شریک بین‌المللی، بیش از ۱۰۰۰۰۰ کارمند و تعداد نامشخصی از مشتریان را تحت تأثیر قرار داده باشد. در میان داده‌های افشا شده، نام‌ها، آدرس‌های کاری، سمت‌ها، ایمیل‌های شرکتی و شماره تلفن‌ها وجود دارد. علاوه بر این، این اطلاعات هم مربوط به تراکنش‌های جاری و هم قراردادهای از پیش تکمیل شده است.

این شرکت تأکید می‌کند که سرویس‌های ابری ارائه شده به مشتریان تحت تأثیر قرار نگرفته‌اند و فعالیت مخرب به سرعت محلی‌سازی شده است: سرور از شبکه جدا شده و عواقب حمله با مشارکت متخصصان خارجی کاهش یافته است.

با این حال، سوالاتی در این صنعت مطرح می‌شود: این دومین حادثه مربوط به شرکت فولاد نیپون در سال ۲۰۲۵ است. در ماه فوریه، گروه BianLian اعلام کرد که بخش آمریکایی این شرکت را هک کرده و بیش از ۵۰۰ گیگابایت داده، از جمله گزارش‌های مالی، داده‌های مشتری و اسناد داخلی و همچنین اطلاعات تماس مدیران ارشد، از جمله مدیرعامل و رئیس شرکت، را به سرقت برده است.

یک نکته جالب: کمی پس از انتشار داده‌ها در وب‌سایت BianLian، صفحه‌ای که اطلاعات فاش شده در آن بود، ناپدید شد. این موضوع باعث ایجاد گمانه‌زنی‌هایی مبنی بر پرداخت باج توسط شرکت Nippon Steel شد - یک عنصر معمول از یک طرح اخاذی دوگانه که در آن مجرمان ابتدا برای رمزگشایی داده‌ها درخواست پول می‌کنند و سپس با حمله دوم از آنها اخاذی می‌کنند.

هنوز مشخص نیست که آیا این دو ماجرا مستقیماً به هم مرتبط هستند یا خیر. اما از نظر فنی، باگی که هکرها در ماه مارس از آن سوءاستفاده کردند، واقعاً جدید است: همانطور که شرکت مشخص می‌کند، «ما در مورد یک آسیب‌پذیری روز صفر در تجهیزات شبکه صحبت می‌کنیم.»

چه اطلاعاتی در مورد قربانیان وجود دارد؟
مشتریان : نام، شرکت، سمت، آدرس محل کار، ایمیل، تلفن؛
شرکا : نام، ایمیل شرکتی؛
کارمندان : نام، دپارتمان، سمت، ایمیل کاری.
تا به امروز، هیچ مدرکی مبنی بر اینکه این داده‌ها در دسترس عموم قرار گرفته یا در پلتفرم‌های سایه قرار گرفته باشد، وجود ندارد . با این حال، این شرکت به همه شرکت‌کنندگان در این حادثه هشدار داد که به ویژه مراقب ایمیل‌ها و تماس‌های مشکوک باشند - حملات فیشینگ هدفمند امکان‌پذیر است.

دولت قبلاً به همه واحدهای تجاری اطلاع داده و ارسال اعلان‌ها به قربانیان احتمالی را آغاز کرده است، که برخی از آنها هنوز در حال انجام این کار هستند.

این حادثه تنها چند هفته پس از آن رخ داد که نیپون استیل قرارداد خود را برای خرید یو اس استیل ، یک غول فولاد آمریکایی، نهایی کرد. این ادغام بحث‌برانگیز بود و درست قبل از اولین حمله سایبری در ماه فوریه به تعویق افتاد. اکنون، به نظر می‌رسد خطرات سایبری تهدیدی واقعی برای کل زیرساخت‌های جهانی این شرکت هستند. و هیچ تضمینی وجود ندارد که اتفاقات بیشتری رخ ندهد.

در واقع، باندها به طور فزاینده‌ای از تاکتیک‌های اخاذی مضاعف استفاده می‌کنند و پرداخت باج، امنیت داده‌ها را در آینده تضمین نمی‌کند. به همین دلیل است که هوشیاری کسب‌وکارهای بزرگ در فضای دیجیتال بسیار مهم است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در تابع get_fabric_user_by_token() از کامپوننت Fabric Connector فایروال برنامه وب FortiWeb مربوط به پردازش نادرست درخواست‌های HTTP با هدر Authorization است. سوءاستفاده از این آسیب‌پذیری ممکن است به یک مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP و HTTPs دستکاری‌شده خاص، کد دلخواه یا دستورات دلخواه را اجرا کند.

BDU:2025-08439
CVE-2025-25257

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را فقط پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- غیرفعال کردن رابط مدیریت وب دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه به منظور محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای ردیابی تلاش‌ها برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به سیستم از شبکه‌های خارجی (اینترنت). - غیرفعال کردن قابلیت استفاده از پروتکل‌های HTTP و HTTPS مطابق با دستورالعمل‌های توسعه‌دهنده (https://docs.fortinet.com/document/fortiweb/7.6.2/administration-guide/685507/how-to-use-the-web-ui)

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-151
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک آسیب‌پذیری در پیاده‌سازی رابط ارتباطی ماشین مجازی (VMCI) در محصولات نرم‌افزاری VMware ESXi، Workstation، Fusion، Cloud Foundation مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

BDU:2025-08573
CVE-2025-41237

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- به حداقل رساندن امتیازات کاربرانی که به ماشین‌های مجازی دسترسی دارند؛

غیرفعال کردن رابط VMCI؛

محدود کردن دسترسی شبکه به ماشین‌های مجازی
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛

استفاده از یک محیط نرم‌افزاری ایزوله برای به حداقل رساندن عواقب احتمالی سوءاستفاده از آسیب‌پذیری.

استفاده از توصیه‌ها:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/35877

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Rockwell Automation Arena

CVSS 4.0: AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 7.1
اعتبارسنجی ورودی ناکافی (CWE-20)، نوشتن خارج از محدوده (CWE-787)
یک آسیب‌پذیری در نرم‌افزار شبیه‌سازی و اتوماسیون رویدادهای گسسته Rockwell Automation Arena به دلیل اعتبارسنجی ورودی ناکافی است. در صورت سوءاستفاده، این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را با استفاده از یک فایل DOE دستکاری‌شده خاص اجرا کند.

https://bdu.fstec.ru/vul/2025-08441
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

Siemens TIA Administrator: همه نسخه‌های قبل از V3.0.6

تأیید نادرست امضای رمزنگاری CWE-347
برنامه آسیب‌دیده به طور نادرست گواهی‌های امضای کد را تأیید می‌کند. این می‌تواند به مهاجم اجازه دهد تا بررسی را دور بزند و کد دلخواه را در حین نصب اجرا کند. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-23364 محاسبه شده است. امتیاز پایه ۶.۹ محاسبه شده است؛ رشته بردار CVSS عبارت است از (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N).

کنترل دسترسی نادرست CWE-284
برنامه آسیب‌دیده به کاربران با امتیاز پایین اجازه می‌دهد تا با بازنویسی فایل‌های حافظه پنهان و تغییر مسیر دانلودها، نصب‌ها را آغاز کنند. این امر به مهاجم اجازه می‌دهد تا امتیاز را افزایش داده و کد دلخواه را اجرا کند. همچنین امتیاز CVSS نسخه ۴ برای CVE-2025-23365 محاسبه شده است. امتیاز پایه ۸.۵ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

زیمنس گزارش می‌دهد که محصولات زیر تحت تأثیر قرار گرفته‌اند:

TIA Project-Server: نسخه‌های قبل از V2.1.1
TIA Project-Server V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V17: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V18: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V19: همه نسخه‌ها
Totally Integrated Automation Portal (TIA Portal) V20: نسخه‌های قبل از به‌روزرسانی ۳ V20

آپلود نامحدود فایل با نوع خطرناک CWE-434
برنامه آسیب‌دیده به طور نامناسب پروژه‌های آپلود شده در ریشه سند را مدیریت می‌کند. این می‌تواند به مهاجمی با امتیازات مشارکت‌کننده اجازه دهد تا با آپلود یک پروژه مخرب باعث انکار سرویس شود. همچنین امتیاز CVSS نسخه ۴ برای آسیب‌پذیری CVE-2025-27127 محاسبه شده است. امتیاز پایه ۵.۳ محاسبه شده است؛ رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N) است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب پذیری زیمنس سیپروتک ۵

استفاده از روش درخواست GET با رشته‌های پرس‌وجوی حساس CWE-598
دستگاه‌های آسیب‌دیده شامل شناسه‌های جلسه در درخواست‌های URL برای عملکردهای خاص هستند. این می‌تواند به مهاجم اجازه دهد تا داده‌های حساس جلسه را از تاریخچه مرورگر، گزارش‌ها یا سایر مکانیسم‌های ذخیره‌سازی بازیابی کند که به طور بالقوه منجر به دسترسی غیرمجاز می‌شود. امتیاز CVSS نسخه ۴ نیز برای CVE-2025-40742 محاسبه شده است. امتیاز پایه ۶.۰ محاسبه شده است. رشته بردار CVSS به صورت (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N) است.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

در امنیت کنترل محیطی را درنظر گرفته اید؟
ویدیویی از یک میمون که به طور اتفاقی یک شیر را در یک محیط صنعتی باز میکند. خنده‌دار به نظر می‌رسد تا زمانی که تصور کنید پشت آن شیر چیست: گاز، بخار، مواد شیمیایی؟
در زندگی واقعی، ما بدتر از این‌ها را دیده‌ایم: دسترسی غیرمجاز، عملیات تصادفی و حوادث پرهزینه. HAZOP فقط کاغذبازی نیست.
اگر کسی آموزش دیده یا ندیده اشتباهاً این شیر را باز کند چه؟
اقدامات کنترلی فقط برای ماشین‌ها نیستند.باید عوامل انسانی را نیز پوشش دهند.
• آیا یک شیر می‌تواند به طور تصادفی باز یا بسته شود؟
• آیا برچسب‌گذاری و علائم واضحی وجود دارد؟
• آیا شیرهای دستی قابل قفل شدن هستند؟
• آیا شیر برای پرسنل غیرمجاز قابل دسترسی است؟
• آیا محافظ‌هایی مانند قفل داخلی، آلارم یا جداسازی از راه دور وجود دارد؟

✅ این فقط مربوط به انحرافات فرآیند نیست، بلکه مربوط به افراد است.
چه کنترل‌هایی را توصیه می‌کنید؟

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

کشف یک آسیب‌پذیری در API موتور خدمات هویت سیسکو (ISE) به دلیل عدم انجام اقدامات لازم برای خنثی‌سازی عناصر ویژه ایجاد شده است.
سوءاستفاده از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا با ارسال یک درخواست API خاص، کد دلخواه را با امتیازات ریشه اجرا کند.


BDU:2025-08631
CVE-2025-20337

نصب به‌روزرسانی‌ها از منابع معتبر.، توصیه می‌شود به‌روزرسانی‌های نرم‌افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.


اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از نرم‌افزار آنتی‌ویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیب‌پذیری؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی که برای سوءاستفاده از آسیب‌پذیری‌ها انجام می‌شود.


استفاده از توصیه‌ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

پانزده سال پس از استاکس‌نت، کمیته فرعی مجلس نمایندگان آمریکا قرار است از کارشناسان امنیتی فناوری عملیاتی در مورد چشم‌انداز تهدید زیرساخت‌ها بشنود

کمیته امنیت داخلی مجلس نمایندگان ایالات متحده، سه‌شنبه آینده جلسه‌ای برای بررسی سیر تکامل تهدیدات علیه زیرساخت‌های حیاتی پس از کشف استاکس‌نت در ۱۵ سال پیش برگزار خواهد کرد.
بر اساس نسخه‌ای از این اطلاعیه، شاهدانی که برای این جلسه ذکر شده‌اند عبارتند از: تاتیانا بولتون، مدیر اجرایی ائتلاف امنیت سایبری فناوری عملیاتی (OTCC)؛ کیم زتر، روزنامه‌نگار امنیت سایبری و نویسنده کتاب «شمارش معکوس تا روز صفر»؛ رابرت لی ، مدیرعامل و یکی از بنیانگذاران شرکت امنیت سایبری صنعتی دراگوس ؛ و نیت گلیسون، رهبر برنامه در آزمایشگاه ملی لارنس لیورمور.

اندرو گاربارینو، نماینده جمهوری‌خواه نیویورک و رئیس کمیته فرعی امنیت سایبری و حفاظت از زیرساخت‌ها، روز چهارشنبه در یک بیانیه رسانه‌ای گفت : «استاکس‌نت عصر جدیدی را در هدف قرار دادن فناوری عملیاتی آغاز کرد، روشی برای حمله که در ۱۵ سال گذشته پیچیدگی آن افزایش یافته است. این لحظه نشان داد که چگونه می‌توان از بدافزار برای هدف قرار دادن و فلج کردن بالقوه عملیات زیرساخت‌های حیاتی استفاده کرد، که این امر اهمیت تاب‌آوری زیرساخت‌های حیاتی را برای بخش‌های مختلف در سراسر جهان افزایش داده است.»

او افزود: «امروزه، بازیگران بد در استفاده از بدافزار برای ایجاد جای پایی در خدماتی که آمریکایی‌ها هر روز به آن متکی هستند و ایجاد ویرانی در شیوه زندگی ما، تردیدی نخواهند کرد .»

گاربارینو خاطرنشان کرد که با توجه به افزایش تهدیدات علیه زیرساخت‌های حیاتی از سوی عواملی مانند ولت تایفون، بررسی میراث استاکس‌نت، اولین سلاح سایبری جهان، بسیار مهم است. «من مشتاقانه منتظر شنیدن بینش‌های ارزشمند رهبران و کارشناسان صنعت در مورد چگونگی تأثیر استاکس‌نت بر چشم‌انداز امنیت سایبری و وضعیت امنیت سایبری ایالات متحده هستم.»

استاکس‌نت فقط یک بدافزار معمولی نبود. این یک سلاح دیجیتالی با تأثیر فیزیکی بود. این ویروس که در سال ۲۰۱۰ کشف شد، مخفیانه سانتریفیوژهای هسته‌ای ایران را هدف قرار داد و باعث اختلال در عملکرد آنها شد، در حالی که وانمود می‌کرد همه چیز عادی است. این ویروس که گمان می‌رود حاصل عملیات مشترک آمریکا و اسرائیل باشد، اولین باری بود که از کد برای ایجاد خسارت در دنیای واقعی استفاده می‌شد. استاکس‌نت بازی را تغییر داد و نشان داد که حملات سایبری تا چه حد می‌توانند به دنیای فیزیکی نفوذ کنند.

در ۱۵ سالی که از زمان استاکس‌نت می‌گذرد، زیرساخت‌های حیاتی ایالات متحده توسط مجرمان سایبری، گروه‌های باج‌افزار و دولت-ملت‌ها مورد حمله قرار گرفته‌اند. سیاست‌گذاران در حال بررسی مجدد استاکس‌نت هستند به این امید که بتواند به آنها در یادگیری دفاع بهتر از صنایع داخلی‌شان کمک کند.

یکی از دستیاران کمیته گفت که استاکس‌نت «بخشی از داستان امنیت سایبری فناوری عملیاتی است».

این دستیار گفت: «این لحظه‌ای محوری در تاب‌آوری زیرساخت‌های حیاتی و نحوه تفکر ما در مورد عملیات سایبری تهاجمی و دفاعی بود. اکنون که در ۱۵ سال از کشف استاکس‌نت گذشته‌ایم، زمان آن رسیده است که بررسی کنیم چشم‌انداز تهدید سایبری چگونه تکامل یافته است تا از تاب‌آوری عملیات عملیاتی خود اطمینان حاصل کنیم، به‌ویژه که وزارت امنیت داخلی در مورد تهدیدات فزاینده از سوی ایران علیه زیرساخت‌های حیاتی هشدار می‌دهد.»

این دستیار افزود که این درس‌ها می‌تواند برای قانون‌گذاران ارزشمند باشد، چرا که کنگره قرار است به دو قانون مهم امنیت سایبری که قرار است امسال منقضی شوند، رسیدگی کند.

داده‌های اخیر Dragos نشان داد که گروه‌های باج‌افزاری و شرکت‌های وابسته به آنها در سه‌ماهه اول سال ۲۰۲۵ عملیات خود را تشدید کرده‌اند و تاکتیک‌ها، تکنیک‌ها و رویه‌های نوظهور و قدیمی را با هم ترکیب کرده‌اند. اپراتورهای شناخته‌شده‌ای مانند Cl0p، Akira و RansomHub سطح بالایی از فعالیت را حفظ کرده‌اند، در حالی که تهدیدهای نوظهور، از جمله FunkSec، Sarcoma و Lynx، تکنیک‌های پیشرفته‌ای مانند بدافزارهای مبتنی بر هوش مصنوعی و استراتژی‌های پیشرفته گریز از EDR (تشخیص و پاسخ به نقطه پایانی) را معرفی کرده‌اند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

معاون داتین تشریح کرد: ماجرای از کار افتادن خدمات بانکهای سپه و پاسارگاد

در جریان جنگ ۱۲ روزه ایران و اسرائیل، حملهای سایبری به دیتاسنترهای دو بانک کشور، خدمات بانکهای سپه و پاسارگاد را به طور کامل از دسترس خارج کرد. یادداشت منتشرشده توسط حمیدرضا آموزگار، معاون توسعه محصول داتین، در لینکدین، پرده از بحرانی برداشت که او و همکارانش از سر گذراندند.

بر اساس یادداشت آموزگار، حادثه رخ داده برای دو بانک سپه و پاسارگاد، حاصل نفوذ به دیتاسنتر دو بانک یاد شده بوده نه نقض امنیتی نرمافزار کربانکینگ. البته برای انتشار جزئیات فنی بیشتر باید منتظر گزارش نهادهای متولی بود.

آنگونه که آموزگار نوشته، صبح روز ۲۷ خرداد ۱۴۰۴، پس از چند روز از آغاز حملات نظامی اسرائیل به ایران، ناگهان همه اطلاعات دادههای بانک سپه از دسترس خارج شده، سیستمهای مانیتورینگ خاموش شده و هیچ نموداری بارگذاری نمیشد. اولین نشانهها حاکی از آن بود که استوریجهای بانک سپه آسیب دیدهاند و دسترسی به دادهها ممکن نیست. تلاش برای دسترسی به سایت پشتیبان نیز نتیجهای نداشت، چرا که آنجا نیز وضعیت مشابهی گزارش شد.

آموزگار مینویسد:
هیچ چیز قابل دسترسی نبود. هیچ چیز برای دیدن نبود. سرورهای بانک سپه قابل دسترسی نبودند. که ناگهان خبری رسید: استوریجها آسیب دیدهاند و دادهها در دسترس نیستند (عبارات و توضیحات فنی دقیق ترش رامیسپارم به گزارش دهندگان رسمی امنیتی) اوه. اولین راه فرار، خب برویم سراغ سایت پشتیبان.... پاسخ: در آنجا هم همین اتفاق افتاده است.
گزارش را از لینک زیر بخوانید:
https://static.digiato.com/digiato/2025/07/1752819886034.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

به افتخار روز جهانی مبارزه با باج‌افزار، محققان آزمایشگاه کسپرسکی گزارشی در مورد تکامل تهدیدات باج‌افزاری و تأثیر آنها بر امنیت سایبری منتشر کرده‌اند.

طبق گزارش شبکه امنیتی کسپرسکی، از سال ۲۰۲۳ تا ۲۰۲۴، تعداد شناسایی باج‌افزار ۱۸٪ کاهش یافته است - از ۵,۷۱۵,۸۹۲ به ۴,۶۶۸,۲۲۹.

در عین حال، سهم کاربرانی که تحت تأثیر حملات باج‌افزار قرار گرفته‌اند، با ۰.۰۲ درصد افزایش به ۰.۴۴٪ رسیده است.

از سوی دیگر، آمار مربوط به واکنش‌ها به حوادث سایبری نشان می‌دهد که در سال ۲۰۲۴، ۴۱.۶٪ از آنها مربوط به باج‌افزار بوده است، در حالی که در سال ۲۰۲۳، ۳۳.۳٪ از این موارد وجود داشته است.

بنابراین، می‌توانیم فرض کنیم که حملات هدفمند باج‌افزار برای آینده‌ای قابل پیش‌بینی، تهدید اصلی برای سازمان‌ها در سراسر جهان باقی خواهد ماند.

به طور کلی، در این گزارش، محققان LK تعدادی از روندهای جهانی مشاهده شده در رابطه با باج‌افزارها در سال ۲۰۲۴ را برجسته می‌کنند:

۱. مدل RaaS همچنان روش اصلی سازماندهی حملات باج‌افزاری است و با کاهش آستانه فنی برای مهاجمان، توزیع آنها را تسهیل می‌کند.

طبق نتایج سال ۲۰۲۴، RansomHub با طرح توزیع باج ۹۰/۱۰ برای اپراتورها، برجسته بود. در مرحله بعد، Play قرار گرفت.

پلتفرم‌های RaaS همچنان در حال تکامل هستند و دسترسی اولیه و خدمات کارگزاری استخراج داده‌ها را ارائه می‌دهند که تسلط آنها را در سال ۲۰۲۵ تضمین می‌کند.

۲. اکثر حملات باج‌افزاری هنوز به دلیل استفاده گسترده از این سیستم در محیط شرکت‌ها، رایانه‌های مبتنی بر ویندوز را هدف قرار می‌دهند.

با این حال، در سال‌های اخیر، مهاجمان شروع به تنوع بخشیدن به فعالیت‌های خود کرده‌اند، به طوری که گروه‌هایی مانند RansomHub و Akira نسخه‌های لینوکس و VMware از بدافزار خود را توسعه می‌دهند و به طور خاص محیط‌های ابری و مجازی را هدف قرار می‌دهند.

۳. طبق گزارش Chainalysis، کل باج پرداختی در سال ۲۰۲۴ به طور قابل توجهی به ۸۱۳.۵۵ میلیون دلار کاهش یافته است که نسبت به رکورد ۱.۲۵ میلیارد دلار در سال ۲۰۲۳، ۳۵ درصد کاهش یافته است.

با این حال، طبق گزارشی از Sophos، میانگین باج پرداختی از ۱,۵۴۲,۳۳۳ دلار در سال ۲۰۲۳ به ۳,۹۶۰,۹۱۷ دلار در سال ۲۰۲۴ افزایش یافته است.

با این حال، سهم سازمان‌هایی که باج پرداخت می‌کنند در سه‌ماهه چهارم ۲۰۲۴ به پایین‌ترین حد خود یعنی ۲۵ درصد کاهش یافته است، در حالی که این رقم در مدت مشابه در سال ۲۰۲۳، ۲۹ درصد بوده است.

۴. در سال ۲۰۲۴، مجرمان سایبری علاوه بر رمزگذاری یا به جای آن، به طور فزاینده‌ای از استخراج داده‌ها استفاده کردند و با تحت فشار قرار دادن قربانیان، به دنبال استخراج حداکثر ارزش از اطلاعات محرمانه سرقت شده بودند.

۵. در سال ۲۰۲۴، چندین اپراتور بزرگ باج‌افزار اختلالات عمده‌ای را در عملیات خود تجربه کردند، اما اکوسیستم باج‌افزار همچنان مقاوم است.

در همان زمان، LockBit پس از حمله آژانس‌های اطلاعاتی توانست بازگردد، که نمی‌توان در مورد ALPHV/BlackCat که اعضای آن به گروه‌های دیگر، از جمله RansomHub، مهاجرت کردند، گفت.


6. برخی از گروه‌ها ناپدید شدند، برخی دیگر به کار خود ادامه دادند: کد و تاکتیک‌های مخرب گروه‌هایی مانند BlackMatter یا REvil که تحت فشار نیروهای امنیتی قرار گرفتند، بعداً توسط جانشینان آنها، به ویژه BlackCat و سپس Cicada3301، اتخاذ شد.


علاوه بر این، گاهی اوقات ابزارهای مخرب به شبکه "نشت" می‌کنند، همانطور که با LockBit 3.0 اتفاق افتاد.


7. باندهای باج‌افزار به طور فزاینده‌ای در حال توسعه ابزارهای منحصر به فرد خود هستند و تلاش برای استفاده از هوش مصنوعی در عملیات نیز ثبت می‌شود، مانند مورد FunkSec.


8. تکنیک Bring Your Own Vulnerable Driver (BYOVD) به طور فزاینده‌ای در حملات برای دور زدن مکانیسم‌های دفاعی و دسترسی در سطح هسته در سیستم‌های ویندوز استفاده می‌شود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

به نظر می‌رسد که زیرساخت شارژ خودروهای برقی به طور فزاینده‌ای در حال تبدیل شدن به یک هدف محبوب است 🤕
چرا؟ زیرا شارژرها فقط "پریزهای هوشمند" نیستند، بلکه دستگاه‌های اینترنت اشیا تمام عیار با دسترسی به اینترنت، API و ارتباط با شبکه شرکتی اپراتور هستند. و بسیاری از آنها به اینترنت متصل هستند و از طریق ابر یا سرورهای از راه دور مدیریت می‌شوند ⚡️

محققان دریافتند که:
1️⃣ بسیاری از ایستگاه‌های شارژ به پنل‌های ابری مدیریت شده متصل هستند - آنها به شما امکان می‌دهند وضعیت شارژ را کنترل کنید، دستگاه‌ها را روشن/خاموش کنید، تعرفه‌ها را مدیریت کنید 🤑
2️⃣ در برخی موارد، هیچ احراز هویت اولیه‌ای وجود ندارد یا "برای نمایش" پیکربندی شده است - پنل‌های مدیریتی بدون محدودیت IP یا بدون MFA به اینترنت باز هستند.
3️⃣ رمز عبور ضعیف یا پیش‌فرض یک مشکل رایج است 🤦‍♂️

در نتیجه، هکرها می‌توانند:
1️⃣ صدها شارژر را از راه دور غیرفعال کنند، که این یک خطر غیرقابل قبول برای کسب و کار اپراتورها، ترافیک شهری و حتی کل شبکه‌های حمل و نقل است 🔋
2️⃣ تعرفه‌ها را دستکاری کرده و پرداخت‌ها را به جزئیات جعلی هدایت کنند.
3️⃣ اطلاعات شخصی را سرقت کنند، زیرا بسیاری از شارژرها داده‌های پروفایل راننده - از جمله داده‌های پرداخت، سابقه شارژ و حتی موقعیت جغرافیایی - را ذخیره یا منتقل می‌کنند.
4️⃣ یک در پشتی به شبکه‌های داخلی اپراتورهای هاب شارژ یا حتی شرکت‌های انرژی ایجاد کنند 🚪

در تئوری، با ورود گسترده شارژرها به زیرساخت‌های شهری، کلان‌شهرها به شبکه توزیع‌شده خودروهای برقی وابسته می‌شوند. یک حمله برنامه‌ریزی‌شده می‌تواند منجر به یک رویداد غیرقابل قبول و عواقب فاجعه‌بار شود. در این حالت، برخلاف بنزین، نمی‌توانید برق را در یک کپسول بیاورید 🚗

#آسیب‌پذیری #غیرقابل‌قبول
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درمان OWASP برای یک زنجیره تامین هوش مصنوعی بیمار


هوش مصنوعی از ابتدا ساخته نمی‌شود. بلکه مونتاژ می‌شود. مدل‌ها، افزونه‌ها، داده‌های آموزشی و آداپتورها. توسعه‌دهندگان این اجزا را از سراسر اینترنت به هم می‌چسبانند و سپس آنها را به مرحله تولید می‌رسانند.
بعضی وقت‌ها، آنها نمی‌ایستند بپرسند که آن قسمت‌ها از کجا آمده‌اند.

این همان چیزی است که زنجیره تأمین هوش مصنوعی را به یکی از بزرگترین خطرات در یادگیری ماشینی امروز تبدیل می‌کند. و به همین دلیل است که OWASP، که به خاطر ردیابی آسیب‌پذیری‌های حیاتی برنامه‌های وب شناخته می‌شود، اکنون حملات زنجیره تأمین را در بین 10 خطر اصلی که برنامه‌های مدل زبان بزرگ (LLM) با آن مواجه هستند، قرار می‌دهد.
OWASP در راهنمای رسمی خود، نه تنها تهدید، بلکه راه‌حل را نیز تشریح می‌کند: یک چک‌لیست عملی و عملیاتی برای ایمن‌سازی هر لایه از زنجیره تأمین هوش مصنوعی. اینها بهترین شیوه‌های مبهم نیستند. آنها اقدامات ملموس و آزمایش‌شده در میدان هستند که به سازمان‌ها کمک می‌کنند تا آنچه را که در مدل‌هایشان قرار می‌گیرد، تأیید کنند، در برابر دستکاری دفاع کنند و اعتماد را در خط تولید بازسازی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🚂 هر قطار باری در آمریکا می‌تواند از طریق رادیو هک شود.

اطلاعات بیشتر را از اینجا بخوانید:
https://t.me/ics_cert/1233

•،این آسیب‌پذیری ۶ سال پیش توسط محقق امنیت اطلاعات، اریک رایتر، در DEFCON نشان داده شد. اگر علاقه‌مند هستید، بررسی کامل آن در YT موجود است:

➡️ https://www.youtube.com/watch?v=vloWB0LHT_4

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آژانس سلاح‌های هسته‌ای ایالات متحده توسط هکرها با استفاده از آسیب‌پذیری روز صفر مایکروسافت شیرپوینت مورد نفوذ قرار گرفت

آژانس سلاح‌های هسته‌ای آمریکا هک شد
اداره ملی امنیت هسته‌ای (NNSA) قربانی یک حمله سایبری پیچیده شده است که از یک آسیب‌پذیری ناشناخته در مایکروسافت شیرپوینت سوءاستفاده می‌کند و یکی از مهم‌ترین نقض‌های امنیتی را که زیرساخت‌های دفاعی حیاتی ایالات متحده را در سال جاری هدف قرار داده است، رقم زده است.

گروه‌های هکری وابسته به دولت چین از یک آسیب‌پذیری روز صفر که بر روی نصب‌های SharePoint در محل تأثیر می‌گذاشت، برای نفوذ به بیش از ۵۰ سازمان، از جمله آژانس مسئول نگهداری راکتورهای زیردریایی هسته‌ای نیروی دریایی، استفاده کردند.

✅نکات کلیدی
۱. هکرهای چینی از طریق آسیب‌پذیری روز صفر SharePoint به سازمان امنیت هسته‌ای ایالات متحده نفوذ کردند.
۲. به دلیل استفاده از سیستم‌های مبتنی بر ابر، هیچ داده طبقه‌بندی‌شده‌ای به سرقت نرفت.
۳. به‌روزرسانی‌های فوری SharePoint الزامی است.

حمله به شیرپوینت NNSA
این آسیب‌پذیری که نسخه‌های ۲۰۱۹ و Subscription Server SharePoint را تحت تأثیر قرار می‌دهد، به مهاجمان اجازه می‌دهد تا سازوکارهای احراز هویت را دور زده و کد دلخواه را در سیستم‌های هدف اجرا کنند.

طبق گزارش خبری بلومبرگ ، این حمله از یک آسیب‌پذیری deserialization همراه با یک نقص دور زدن احراز هویت سوءاستفاده کرده است که هر دو در ابتدا در مسابقه هک Pwn2Own ونکوور در ماه مه 2024 نشان داده شدند.

این زنجیره‌ی بهره‌برداری، عاملان تهدید را قادر می‌سازد تا به سرورهای SharePoint دسترسی غیرمجاز پیدا کنند، داده‌های حساس را استخراج کنند، اعتبارنامه‌های کاربران را برداشت کنند و به‌طور بالقوه به زیرساخت‌های شبکه‌ی متصل نفوذ کنند.

مقامات وزارت انرژی آمریکاتأیید کردند که هیچ اطلاعات هسته‌ای طبقه‌بندی‌شده یا حساسی در جریان این حادثه به خطر نیفتاده است.

به نظر می‌رسد استراتژی مهاجرت به فضای ابری مایکروسافت ۳۶۵ این سازمان، تأثیر این حمله را محدود کرده است، زیرا این آسیب‌پذیری روز صفر به طور خاص، استقرارهای SharePoint در محل را به جای سرویس SharePoint Online مبتنی بر ابر هدف قرار می‌دهد.

سخنگوی وزارت انرژی اظهار داشت: «این وزارتخانه به دلیل استفاده گسترده از فضای ابری مایکروسافت M365 و سیستم‌های امنیت سایبری بسیار توانمند، کمترین تأثیر را پذیرفته است.»

✅️پاسخ مایکروسافت
مایکروسافت وصله‌های امنیتی اضطراری را برای رفع این آسیب‌پذیری در تمام نسخه‌های آسیب‌پذیر SharePoint Server منتشر کرده است .

مرکز پاسخگویی امنیتی این شرکت (MSRC) با انتشار بولتن‌های امنیتی حیاتی، خواستار استقرار فوری وصله امنیتی شد و بر رتبه‌بندی شدت CVSS 9.8 که به این زنجیره بهره‌برداری اختصاص داده شده است، تأکید کرد.

این حادثه نگرانی‌های فزاینده در مورد امنیت زنجیره تأمین و خطرات ناشی از نصب نرم‌افزارهای سازمانی در محل را برجسته می‌کند.

کارشناسان امنیت سایبری هشدار می‌دهند که ماهیت پیچیده این حمله، قابلیت‌های در حال تکامل گروه‌های تهدید پیشرفته مداوم (APT) را در سوءاستفاده از آسیب‌پذیری‌های روز صفر، قبل از اینکه فروشندگان بتوانند وصله‌های امنیتی را توسعه دهند، نشان می‌دهد.

به سازمان‌هایی که محیط‌های SharePoint را به صورت داخلی اجرا می‌کنند، توصیه می‌شود فوراً به‌روزرسانی‌های امنیتی مایکروسافت را اعمال کرده و ارزیابی‌های جامعی در مورد واکنش به حوادث انجام دهند تا شاخص‌های احتمالی نفوذ را شناسایی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

به‌روزرسانی: مایکروسافت راهنمایی در مورد بهره‌برداری از آسیب‌پذیری‌های SharePoint منتشر کرد

به‌روزرسانی (۲۴/۰۷/۲۰۲۵) این به‌روزرسانی شامل اطلاعات بیشتری در مورد استقرار باج‌افزار، وب‌شِل‌های جدید درگیر در بهره‌برداری و راهنمای تشخیص پیشرفته است.

به‌روزرسانی (۲۲/۰۷/۲۰۲۵): این هشدار به‌روزرسانی شده است تا اطلاعات تازه منتشر شده از مایکروسافت را منعکس کند و آسیب‌پذیری‌ها و آسیب‌پذیری‌های رایج (CVE) که به طور فعال مورد سوءاستفاده قرار می‌گیرند را اصلاح کند، که به عنوان CVE-2025-49706 ، یک آسیب‌پذیری جعل شبکه، و CVE-2025-49704 ، یک آسیب‌پذیری اجرای کد از راه دور (RCE) تأیید شده‌اند.

از سوءاستفاده فعال از زنجیره آسیب‌پذیری‌های جعل و اجرای کد از راه دور (RCE) شامل CVE-2025-49706 و CVE-2025-49704 که امکان دسترسی غیرمجاز به سرورهای SharePoint داخلی را فراهم می‌کند، آگاه است. در حالی که دامنه و تأثیر آن همچنان در حال ارزیابی است، این زنجیره که به طور عمومی با عنوان "ToolShell" گزارش شده است، به ترتیب دسترسی غیرمجاز به سیستم‌ها و دسترسی احراز هویت شده را از طریق جعل شبکه فراهم می‌کند و به عاملان مخرب اجازه می‌دهد تا به طور کامل به محتوای SharePoint، از جمله سیستم‌های فایل و پیکربندی‌های داخلی، دسترسی پیدا کرده و کد را از طریق شبکه اجرا کنند. فراتر از webshell های معمولی، مانند .aspx و .exe، بارهای داده .dll در طول سوءاستفاده مشاهده شده است. اخیراً، عاملان تهدید نیز در حال رمزگذاری فایل‌ها و توزیع باج‌افزار Warlock در سیستم‌های آسیب‌دیده مشاهده شده‌اند.

اگرچه به‌طور فعال مورد سوءاستفاده قرار نگرفته است، مایکروسافت CVE های جدید زیر را شناسایی کرده است که خطر بالقوه‌ای را ایجاد می‌کنند:

CVE-2025-53771 یک آسیب‌پذیری دور زدن وصله برای CVE-2025-49706 است.
CVE-2025-53770 یک آسیب‌پذیری دور زدن وصله برای CVE-2025-49704 است.
CISA اقدامات زیر را برای کاهش خطرات مرتبط با نفوذ RCE توصیه می‌کند:

به‌روزرسانی‌های امنیتی لازم منتشر شده توسط مایکروسافت را اعمال کنید.
رابط اسکن ضدبدافزار (AMSI) را در SharePoint مطابق با دستورالعمل‌های مایکروسافت پیکربندی کنید و آنتی‌ویروس Microsoft Defender را روی تمام سرورهای SharePoint مستقر کنید.
اگر AMSI فعال نیست، محصولات آسیب‌دیده را از سرویس‌هایی که در اینترنت در دسترس عموم هستند، جدا کنید تا زمانی که راه‌حل‌های رسمی برای کاهش خطرات ارائه شوند. پس از ارائه راه‌حل‌ها، آنها را طبق دستورالعمل‌های IACS و فروشنده اعمال کنید.
در صورت عدم وجود راهکارهای کاهش اثرات، از دستورالعمل‌های BOD 22-01 مربوط به سرویس‌های ابری پیروی کنید یا استفاده از محصول را متوقف کنید.
برای کسب اطلاعات در مورد تشخیص، پیشگیری و اقدامات پیشرفته شکار تهدید، به « اختلال در بهره‌برداری فعال از آسیب‌پذیری‌های SharePoint در محل» و توصیه‌نامه مایکروسافت برای CVE-2025-49706 مراجعه کنید. IACS سازمان‌ها را تشویق می‌کند تا تمام مقالات و به‌روزرسانی‌های امنیتی منتشر شده توسط مایکروسافت در 8 ژوئیه 2025، مربوط به پلتفرم SharePoint مستقر در محیط خود را بررسی کنند.
فراتر از وصله کردن، برای سازمان‌ها بسیار مهم است که سیستم‌ها را برای یافتن نشانه‌های سوءاستفاده بیشتر بررسی کنند. شناسایی بدافزارهایی که از طریق فایل‌های .dll مستقر می‌شوند، به ویژه دشوار است و می‌توان از آنها برای به دست آوردن کلیدهای دستگاه استفاده کرد.
کلیدهای ماشین ASP.NET را بچرخانید، سپس پس از اعمال به‌روزرسانی امنیتی مایکروسافت، دوباره کلیدهای ماشین ASP.NET را بچرخانید و وب سرور IIS را مجدداً راه‌اندازی کنید .
نسخه‌های عمومی SharePoint Server که به پایان عمر (EOL) یا پایان سرویس (EOS) خود رسیده‌اند را از اینترنت جدا کنید. به عنوان مثال، SharePoint Server 2013 و نسخه‌های قبلی آن به پایان عمر خود رسیده‌اند و در صورت استفاده هنوز باید متوقف شوند.
درخواست‌های مشکوک به صفحه خروج را زیر نظر داشته باشید: /_layouts/SignOut.aspx is the exact HTTP header used by threat actors to exploit ToolPane.aspx for initial access

اسکن آی‌پی‌های ‎107.191.58[.]76، ‎104.238.159[.]149، و ‎96.9.125[.]147‎ را، به‌ویژه بین ۱۸ و ۱۹ ژوئیه ۲۰۲۵، انجام دهید.
سلب مسئولیت:

اطلاعات موجود در این گزارش صرفاً جهت اطلاع‌رسانی و «به همین صورت» ارائه می‌شود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید , توصیه یا جانبداری نمیکند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

🤓 اخبار جالب در مورد امنیت سایبری شخصی و حریم خصوصی

نیمی از اخبار حریم خصوصی اخیراً حول محور هوش مصنوعی می‌چرخد:

🐩 فایرفاکس ۱۴۱ منتشر شده است. همانطور که حدس زدید، یک عامل هوش مصنوعی برای مدیریت گروه‌های بوکمارک شما دارد! این مدل به صورت محلی کار می‌کند.

🔄 ضمناً، کروم ۱۳۸ که اخیراً منتشر شده است، دارای یک API در زیر کاپوت برای ترجمه محلی و استخراج متن با استفاده از Gemini Nano است.

📱 گوگل حتی اخبار ناخوشایندتری هم دارد - Gemini اکنون می‌تواند به طور دلخواه پیام‌ها، تماس‌ها و چت‌های واتس‌اپ را در دستگاه‌های اندروید جاسوسی کند، که مایکروسافت فراخوان داد. خوشبختانه، این کابوس حریم خصوصی را می‌توان غیرفعال کرد.


💻 نسخه جدید Brave Blocks فراخوان می‌دهد، محصول مایکروسافت قادر به گرفتن اسکرین شات از مرورگر نخواهد بود.


👁 و شرکت معروف پروتون، لومو ای‌آی را منتشر کرد - یک چت‌بات هوش مصنوعی معمولی که به گفته توسعه‌دهندگان، تاریخچه مکاتبات را روی سرورها ذخیره نمی‌کند، از چت‌ها برای آموزش استفاده نمی‌کند، مبتنی بر مدل‌های زبان متن‌باز است و کد منبع آن نیز متن‌باز است.

🥳 خب، موتور جستجوی داک‌داک‌گو نوعی صفحه جستجو منتشر کرد که «نمای کلی هوش مصنوعی» (نمای کلی هوش مصنوعی / دستیار جستجو) ندارد.

👀 در طول سال ۲۰۲۵، افزایش شدیدی در حملات با استفاده از دستگاه‌های پیامکی - دستگاه‌های قابل حملی که به تمام تلفن‌های موجود در شعاع حدود یک کیلومتری پیامک ارسال می‌کنند - وجود داشت. آنها البته فیشینگ ارسال می‌کنند.

کمریسک حوادث را در سراسر جهان پیگیری می‌کند و تحلیلی از روش حمله و روش‌های محافظت در وبلاگ ما موجود است.

🙄 ردیابی حرکات شما در خانه با استفاده از هر دستگاه وای‌فای از مقالات علمی به محصولات ارائه شده توسط اپراتورهای اینترنت خانگی منتقل شده است - Xfinity این سیستم امنیتی منحصر به فرد را به صورت رایگان ارائه می‌دهد، اما بلافاصله هشدار می‌دهد که در صورت بروز هرگونه اتفاقی، داده‌ها را به پلیس منتقل می‌کند.

🗿 Roblox در حال آزمایش سیستمی است که سن بازیکنان را با استفاده از تجزیه و تحلیل ویدیویی تعیین می‌کند.

😤 گوگل در حال غیرفعال کردن کوتاه‌کننده لینک goo.gl است. از سال ۲۰۱۹ هیچ لینک جدیدی در آنجا وجود نداشته است، اما چرا لینک‌های قدیمی را که هنوز هم می‌توانند به چیزهای زیادی مرتبط باشند، از بین ببریم - این فراتر از درک است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

چگونه Gemini را از طریق برنامه تلفن همراه آن غیرفعال کنیم؟
برنامه Gemini را در دستگاه اندروید خود باز کنید.
روی تصویر پروفایل یا حروف اول اسم خود در گوشه بالا سمت راست کلیک کنید.
فعالیت برنامه‌های Gemini را انتخاب کنید .
روی خاموش کردن کلیک کنید یا خاموش کردن و حذف فعالیت را انتخاب کنید .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2