کشف یک آسیبپذیری در API موتور خدمات هویت سیسکو (ISE) به دلیل عدم انجام اقدامات لازم برای خنثیسازی عناصر ویژه ایجاد شده است.
سوءاستفاده از این آسیبپذیری میتواند به یک مهاجم از راه دور اجازه دهد تا با ارسال یک درخواست API خاص، کد دلخواه را با امتیازات ریشه اجرا کند.
BDU:2025-08631
CVE-2025-20337
نصب بهروزرسانیها از منابع معتبر.، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به نرمافزارهای آسیبپذیر؛
- محدود کردن دسترسی به نرمافزارهای آسیبپذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از نرمافزار آنتیویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیبپذیری؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی که برای سوءاستفاده از آسیبپذیریها انجام میشود.
استفاده از توصیهها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
سوءاستفاده از این آسیبپذیری میتواند به یک مهاجم از راه دور اجازه دهد تا با ارسال یک درخواست API خاص، کد دلخواه را با امتیازات ریشه اجرا کند.
BDU:2025-08631
CVE-2025-20337
نصب بهروزرسانیها از منابع معتبر.، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به نرمافزارهای آسیبپذیر؛
- محدود کردن دسترسی به نرمافزارهای آسیبپذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از نرمافزار آنتیویروس برای جلوگیری از تلاش برای سوءاستفاده از آسیبپذیری؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی که برای سوءاستفاده از آسیبپذیریها انجام میشود.
استفاده از توصیهها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Cisco
Cisco Security Advisory: Cisco Identity Services Engine Unauthenticated Remote Code Execution Vulnerabilities
Multiple vulnerabilities in Cisco Identity Services Engine (ISE) and Cisco ISE Passive Identity Connector (ISE-PIC) could allow an unauthenticated, remote attacker to issue commands on the underlying operating system as the root user.
For more information…
For more information…
پانزده سال پس از استاکسنت، کمیته فرعی مجلس نمایندگان آمریکا قرار است از کارشناسان امنیتی فناوری عملیاتی در مورد چشمانداز تهدید زیرساختها بشنود
کمیته امنیت داخلی مجلس نمایندگان ایالات متحده، سهشنبه آینده جلسهای برای بررسی سیر تکامل تهدیدات علیه زیرساختهای حیاتی پس از کشف استاکسنت در ۱۵ سال پیش برگزار خواهد کرد.
بر اساس نسخهای از این اطلاعیه، شاهدانی که برای این جلسه ذکر شدهاند عبارتند از: تاتیانا بولتون، مدیر اجرایی ائتلاف امنیت سایبری فناوری عملیاتی (OTCC)؛ کیم زتر، روزنامهنگار امنیت سایبری و نویسنده کتاب «شمارش معکوس تا روز صفر»؛ رابرت لی ، مدیرعامل و یکی از بنیانگذاران شرکت امنیت سایبری صنعتی دراگوس ؛ و نیت گلیسون، رهبر برنامه در آزمایشگاه ملی لارنس لیورمور.
اندرو گاربارینو، نماینده جمهوریخواه نیویورک و رئیس کمیته فرعی امنیت سایبری و حفاظت از زیرساختها، روز چهارشنبه در یک بیانیه رسانهای گفت : «استاکسنت عصر جدیدی را در هدف قرار دادن فناوری عملیاتی آغاز کرد، روشی برای حمله که در ۱۵ سال گذشته پیچیدگی آن افزایش یافته است. این لحظه نشان داد که چگونه میتوان از بدافزار برای هدف قرار دادن و فلج کردن بالقوه عملیات زیرساختهای حیاتی استفاده کرد، که این امر اهمیت تابآوری زیرساختهای حیاتی را برای بخشهای مختلف در سراسر جهان افزایش داده است.»
او افزود: «امروزه، بازیگران بد در استفاده از بدافزار برای ایجاد جای پایی در خدماتی که آمریکاییها هر روز به آن متکی هستند و ایجاد ویرانی در شیوه زندگی ما، تردیدی نخواهند کرد .»
گاربارینو خاطرنشان کرد که با توجه به افزایش تهدیدات علیه زیرساختهای حیاتی از سوی عواملی مانند ولت تایفون، بررسی میراث استاکسنت، اولین سلاح سایبری جهان، بسیار مهم است. «من مشتاقانه منتظر شنیدن بینشهای ارزشمند رهبران و کارشناسان صنعت در مورد چگونگی تأثیر استاکسنت بر چشمانداز امنیت سایبری و وضعیت امنیت سایبری ایالات متحده هستم.»
استاکسنت فقط یک بدافزار معمولی نبود. این یک سلاح دیجیتالی با تأثیر فیزیکی بود. این ویروس که در سال ۲۰۱۰ کشف شد، مخفیانه سانتریفیوژهای هستهای ایران را هدف قرار داد و باعث اختلال در عملکرد آنها شد، در حالی که وانمود میکرد همه چیز عادی است. این ویروس که گمان میرود حاصل عملیات مشترک آمریکا و اسرائیل باشد، اولین باری بود که از کد برای ایجاد خسارت در دنیای واقعی استفاده میشد. استاکسنت بازی را تغییر داد و نشان داد که حملات سایبری تا چه حد میتوانند به دنیای فیزیکی نفوذ کنند.
در ۱۵ سالی که از زمان استاکسنت میگذرد، زیرساختهای حیاتی ایالات متحده توسط مجرمان سایبری، گروههای باجافزار و دولت-ملتها مورد حمله قرار گرفتهاند. سیاستگذاران در حال بررسی مجدد استاکسنت هستند به این امید که بتواند به آنها در یادگیری دفاع بهتر از صنایع داخلیشان کمک کند.
یکی از دستیاران کمیته گفت که استاکسنت «بخشی از داستان امنیت سایبری فناوری عملیاتی است».
این دستیار گفت: «این لحظهای محوری در تابآوری زیرساختهای حیاتی و نحوه تفکر ما در مورد عملیات سایبری تهاجمی و دفاعی بود. اکنون که در ۱۵ سال از کشف استاکسنت گذشتهایم، زمان آن رسیده است که بررسی کنیم چشمانداز تهدید سایبری چگونه تکامل یافته است تا از تابآوری عملیات عملیاتی خود اطمینان حاصل کنیم، بهویژه که وزارت امنیت داخلی در مورد تهدیدات فزاینده از سوی ایران علیه زیرساختهای حیاتی هشدار میدهد.»
این دستیار افزود که این درسها میتواند برای قانونگذاران ارزشمند باشد، چرا که کنگره قرار است به دو قانون مهم امنیت سایبری که قرار است امسال منقضی شوند، رسیدگی کند.
دادههای اخیر Dragos نشان داد که گروههای باجافزاری و شرکتهای وابسته به آنها در سهماهه اول سال ۲۰۲۵ عملیات خود را تشدید کردهاند و تاکتیکها، تکنیکها و رویههای نوظهور و قدیمی را با هم ترکیب کردهاند. اپراتورهای شناختهشدهای مانند Cl0p، Akira و RansomHub سطح بالایی از فعالیت را حفظ کردهاند، در حالی که تهدیدهای نوظهور، از جمله FunkSec، Sarcoma و Lynx، تکنیکهای پیشرفتهای مانند بدافزارهای مبتنی بر هوش مصنوعی و استراتژیهای پیشرفته گریز از EDR (تشخیص و پاسخ به نقطه پایانی) را معرفی کردهاند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
کمیته امنیت داخلی مجلس نمایندگان ایالات متحده، سهشنبه آینده جلسهای برای بررسی سیر تکامل تهدیدات علیه زیرساختهای حیاتی پس از کشف استاکسنت در ۱۵ سال پیش برگزار خواهد کرد.
بر اساس نسخهای از این اطلاعیه، شاهدانی که برای این جلسه ذکر شدهاند عبارتند از: تاتیانا بولتون، مدیر اجرایی ائتلاف امنیت سایبری فناوری عملیاتی (OTCC)؛ کیم زتر، روزنامهنگار امنیت سایبری و نویسنده کتاب «شمارش معکوس تا روز صفر»؛ رابرت لی ، مدیرعامل و یکی از بنیانگذاران شرکت امنیت سایبری صنعتی دراگوس ؛ و نیت گلیسون، رهبر برنامه در آزمایشگاه ملی لارنس لیورمور.
اندرو گاربارینو، نماینده جمهوریخواه نیویورک و رئیس کمیته فرعی امنیت سایبری و حفاظت از زیرساختها، روز چهارشنبه در یک بیانیه رسانهای گفت : «استاکسنت عصر جدیدی را در هدف قرار دادن فناوری عملیاتی آغاز کرد، روشی برای حمله که در ۱۵ سال گذشته پیچیدگی آن افزایش یافته است. این لحظه نشان داد که چگونه میتوان از بدافزار برای هدف قرار دادن و فلج کردن بالقوه عملیات زیرساختهای حیاتی استفاده کرد، که این امر اهمیت تابآوری زیرساختهای حیاتی را برای بخشهای مختلف در سراسر جهان افزایش داده است.»
او افزود: «امروزه، بازیگران بد در استفاده از بدافزار برای ایجاد جای پایی در خدماتی که آمریکاییها هر روز به آن متکی هستند و ایجاد ویرانی در شیوه زندگی ما، تردیدی نخواهند کرد .»
گاربارینو خاطرنشان کرد که با توجه به افزایش تهدیدات علیه زیرساختهای حیاتی از سوی عواملی مانند ولت تایفون، بررسی میراث استاکسنت، اولین سلاح سایبری جهان، بسیار مهم است. «من مشتاقانه منتظر شنیدن بینشهای ارزشمند رهبران و کارشناسان صنعت در مورد چگونگی تأثیر استاکسنت بر چشمانداز امنیت سایبری و وضعیت امنیت سایبری ایالات متحده هستم.»
استاکسنت فقط یک بدافزار معمولی نبود. این یک سلاح دیجیتالی با تأثیر فیزیکی بود. این ویروس که در سال ۲۰۱۰ کشف شد، مخفیانه سانتریفیوژهای هستهای ایران را هدف قرار داد و باعث اختلال در عملکرد آنها شد، در حالی که وانمود میکرد همه چیز عادی است. این ویروس که گمان میرود حاصل عملیات مشترک آمریکا و اسرائیل باشد، اولین باری بود که از کد برای ایجاد خسارت در دنیای واقعی استفاده میشد. استاکسنت بازی را تغییر داد و نشان داد که حملات سایبری تا چه حد میتوانند به دنیای فیزیکی نفوذ کنند.
در ۱۵ سالی که از زمان استاکسنت میگذرد، زیرساختهای حیاتی ایالات متحده توسط مجرمان سایبری، گروههای باجافزار و دولت-ملتها مورد حمله قرار گرفتهاند. سیاستگذاران در حال بررسی مجدد استاکسنت هستند به این امید که بتواند به آنها در یادگیری دفاع بهتر از صنایع داخلیشان کمک کند.
یکی از دستیاران کمیته گفت که استاکسنت «بخشی از داستان امنیت سایبری فناوری عملیاتی است».
این دستیار گفت: «این لحظهای محوری در تابآوری زیرساختهای حیاتی و نحوه تفکر ما در مورد عملیات سایبری تهاجمی و دفاعی بود. اکنون که در ۱۵ سال از کشف استاکسنت گذشتهایم، زمان آن رسیده است که بررسی کنیم چشمانداز تهدید سایبری چگونه تکامل یافته است تا از تابآوری عملیات عملیاتی خود اطمینان حاصل کنیم، بهویژه که وزارت امنیت داخلی در مورد تهدیدات فزاینده از سوی ایران علیه زیرساختهای حیاتی هشدار میدهد.»
این دستیار افزود که این درسها میتواند برای قانونگذاران ارزشمند باشد، چرا که کنگره قرار است به دو قانون مهم امنیت سایبری که قرار است امسال منقضی شوند، رسیدگی کند.
دادههای اخیر Dragos نشان داد که گروههای باجافزاری و شرکتهای وابسته به آنها در سهماهه اول سال ۲۰۲۵ عملیات خود را تشدید کردهاند و تاکتیکها، تکنیکها و رویههای نوظهور و قدیمی را با هم ترکیب کردهاند. اپراتورهای شناختهشدهای مانند Cl0p، Akira و RansomHub سطح بالایی از فعالیت را حفظ کردهاند، در حالی که تهدیدهای نوظهور، از جمله FunkSec، Sarcoma و Lynx، تکنیکهای پیشرفتهای مانند بدافزارهای مبتنی بر هوش مصنوعی و استراتژیهای پیشرفته گریز از EDR (تشخیص و پاسخ به نقطه پایانی) را معرفی کردهاند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
معاون داتین تشریح کرد: ماجرای از کار افتادن خدمات بانکهای سپه و پاسارگاد
در جریان جنگ ۱۲ روزه ایران و اسرائیل، حملهای سایبری به دیتاسنترهای دو بانک کشور، خدمات بانکهای سپه و پاسارگاد را به طور کامل از دسترس خارج کرد. یادداشت منتشرشده توسط حمیدرضا آموزگار، معاون توسعه محصول داتین، در لینکدین، پرده از بحرانی برداشت که او و همکارانش از سر گذراندند.
بر اساس یادداشت آموزگار، حادثه رخ داده برای دو بانک سپه و پاسارگاد، حاصل نفوذ به دیتاسنتر دو بانک یاد شده بوده نه نقض امنیتی نرمافزار کربانکینگ. البته برای انتشار جزئیات فنی بیشتر باید منتظر گزارش نهادهای متولی بود.
آنگونه که آموزگار نوشته، صبح روز ۲۷ خرداد ۱۴۰۴، پس از چند روز از آغاز حملات نظامی اسرائیل به ایران، ناگهان همه اطلاعات دادههای بانک سپه از دسترس خارج شده، سیستمهای مانیتورینگ خاموش شده و هیچ نموداری بارگذاری نمیشد. اولین نشانهها حاکی از آن بود که استوریجهای بانک سپه آسیب دیدهاند و دسترسی به دادهها ممکن نیست. تلاش برای دسترسی به سایت پشتیبان نیز نتیجهای نداشت، چرا که آنجا نیز وضعیت مشابهی گزارش شد.
آموزگار مینویسد:
هیچ چیز قابل دسترسی نبود. هیچ چیز برای دیدن نبود. سرورهای بانک سپه قابل دسترسی نبودند. که ناگهان خبری رسید: استوریجها آسیب دیدهاند و دادهها در دسترس نیستند (عبارات و توضیحات فنی دقیق ترش رامیسپارم به گزارش دهندگان رسمی امنیتی) اوه. اولین راه فرار، خب برویم سراغ سایت پشتیبان.... پاسخ: در آنجا هم همین اتفاق افتاده است.
گزارش را از لینک زیر بخوانید:
https://static.digiato.com/digiato/2025/07/1752819886034.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
در جریان جنگ ۱۲ روزه ایران و اسرائیل، حملهای سایبری به دیتاسنترهای دو بانک کشور، خدمات بانکهای سپه و پاسارگاد را به طور کامل از دسترس خارج کرد. یادداشت منتشرشده توسط حمیدرضا آموزگار، معاون توسعه محصول داتین، در لینکدین، پرده از بحرانی برداشت که او و همکارانش از سر گذراندند.
بر اساس یادداشت آموزگار، حادثه رخ داده برای دو بانک سپه و پاسارگاد، حاصل نفوذ به دیتاسنتر دو بانک یاد شده بوده نه نقض امنیتی نرمافزار کربانکینگ. البته برای انتشار جزئیات فنی بیشتر باید منتظر گزارش نهادهای متولی بود.
آنگونه که آموزگار نوشته، صبح روز ۲۷ خرداد ۱۴۰۴، پس از چند روز از آغاز حملات نظامی اسرائیل به ایران، ناگهان همه اطلاعات دادههای بانک سپه از دسترس خارج شده، سیستمهای مانیتورینگ خاموش شده و هیچ نموداری بارگذاری نمیشد. اولین نشانهها حاکی از آن بود که استوریجهای بانک سپه آسیب دیدهاند و دسترسی به دادهها ممکن نیست. تلاش برای دسترسی به سایت پشتیبان نیز نتیجهای نداشت، چرا که آنجا نیز وضعیت مشابهی گزارش شد.
آموزگار مینویسد:
هیچ چیز قابل دسترسی نبود. هیچ چیز برای دیدن نبود. سرورهای بانک سپه قابل دسترسی نبودند. که ناگهان خبری رسید: استوریجها آسیب دیدهاند و دادهها در دسترس نیستند (عبارات و توضیحات فنی دقیق ترش رامیسپارم به گزارش دهندگان رسمی امنیتی) اوه. اولین راه فرار، خب برویم سراغ سایت پشتیبان.... پاسخ: در آنجا هم همین اتفاق افتاده است.
گزارش را از لینک زیر بخوانید:
https://static.digiato.com/digiato/2025/07/1752819886034.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
به افتخار روز جهانی مبارزه با باجافزار، محققان آزمایشگاه کسپرسکی گزارشی در مورد تکامل تهدیدات باجافزاری و تأثیر آنها بر امنیت سایبری منتشر کردهاند.
طبق گزارش شبکه امنیتی کسپرسکی، از سال ۲۰۲۳ تا ۲۰۲۴، تعداد شناسایی باجافزار ۱۸٪ کاهش یافته است - از ۵,۷۱۵,۸۹۲ به ۴,۶۶۸,۲۲۹.
در عین حال، سهم کاربرانی که تحت تأثیر حملات باجافزار قرار گرفتهاند، با ۰.۰۲ درصد افزایش به ۰.۴۴٪ رسیده است.
از سوی دیگر، آمار مربوط به واکنشها به حوادث سایبری نشان میدهد که در سال ۲۰۲۴، ۴۱.۶٪ از آنها مربوط به باجافزار بوده است، در حالی که در سال ۲۰۲۳، ۳۳.۳٪ از این موارد وجود داشته است.
بنابراین، میتوانیم فرض کنیم که حملات هدفمند باجافزار برای آیندهای قابل پیشبینی، تهدید اصلی برای سازمانها در سراسر جهان باقی خواهد ماند.
به طور کلی، در این گزارش، محققان LK تعدادی از روندهای جهانی مشاهده شده در رابطه با باجافزارها در سال ۲۰۲۴ را برجسته میکنند:
۱. مدل RaaS همچنان روش اصلی سازماندهی حملات باجافزاری است و با کاهش آستانه فنی برای مهاجمان، توزیع آنها را تسهیل میکند.
طبق نتایج سال ۲۰۲۴، RansomHub با طرح توزیع باج ۹۰/۱۰ برای اپراتورها، برجسته بود. در مرحله بعد، Play قرار گرفت.
پلتفرمهای RaaS همچنان در حال تکامل هستند و دسترسی اولیه و خدمات کارگزاری استخراج دادهها را ارائه میدهند که تسلط آنها را در سال ۲۰۲۵ تضمین میکند.
۲. اکثر حملات باجافزاری هنوز به دلیل استفاده گسترده از این سیستم در محیط شرکتها، رایانههای مبتنی بر ویندوز را هدف قرار میدهند.
با این حال، در سالهای اخیر، مهاجمان شروع به تنوع بخشیدن به فعالیتهای خود کردهاند، به طوری که گروههایی مانند RansomHub و Akira نسخههای لینوکس و VMware از بدافزار خود را توسعه میدهند و به طور خاص محیطهای ابری و مجازی را هدف قرار میدهند.
۳. طبق گزارش Chainalysis، کل باج پرداختی در سال ۲۰۲۴ به طور قابل توجهی به ۸۱۳.۵۵ میلیون دلار کاهش یافته است که نسبت به رکورد ۱.۲۵ میلیارد دلار در سال ۲۰۲۳، ۳۵ درصد کاهش یافته است.
با این حال، طبق گزارشی از Sophos، میانگین باج پرداختی از ۱,۵۴۲,۳۳۳ دلار در سال ۲۰۲۳ به ۳,۹۶۰,۹۱۷ دلار در سال ۲۰۲۴ افزایش یافته است.
با این حال، سهم سازمانهایی که باج پرداخت میکنند در سهماهه چهارم ۲۰۲۴ به پایینترین حد خود یعنی ۲۵ درصد کاهش یافته است، در حالی که این رقم در مدت مشابه در سال ۲۰۲۳، ۲۹ درصد بوده است.
۴. در سال ۲۰۲۴، مجرمان سایبری علاوه بر رمزگذاری یا به جای آن، به طور فزایندهای از استخراج دادهها استفاده کردند و با تحت فشار قرار دادن قربانیان، به دنبال استخراج حداکثر ارزش از اطلاعات محرمانه سرقت شده بودند.
۵. در سال ۲۰۲۴، چندین اپراتور بزرگ باجافزار اختلالات عمدهای را در عملیات خود تجربه کردند، اما اکوسیستم باجافزار همچنان مقاوم است.
در همان زمان، LockBit پس از حمله آژانسهای اطلاعاتی توانست بازگردد، که نمیتوان در مورد ALPHV/BlackCat که اعضای آن به گروههای دیگر، از جمله RansomHub، مهاجرت کردند، گفت.
6. برخی از گروهها ناپدید شدند، برخی دیگر به کار خود ادامه دادند: کد و تاکتیکهای مخرب گروههایی مانند BlackMatter یا REvil که تحت فشار نیروهای امنیتی قرار گرفتند، بعداً توسط جانشینان آنها، به ویژه BlackCat و سپس Cicada3301، اتخاذ شد.
علاوه بر این، گاهی اوقات ابزارهای مخرب به شبکه "نشت" میکنند، همانطور که با LockBit 3.0 اتفاق افتاد.
7. باندهای باجافزار به طور فزایندهای در حال توسعه ابزارهای منحصر به فرد خود هستند و تلاش برای استفاده از هوش مصنوعی در عملیات نیز ثبت میشود، مانند مورد FunkSec.
8. تکنیک Bring Your Own Vulnerable Driver (BYOVD) به طور فزایندهای در حملات برای دور زدن مکانیسمهای دفاعی و دسترسی در سطح هسته در سیستمهای ویندوز استفاده میشود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
طبق گزارش شبکه امنیتی کسپرسکی، از سال ۲۰۲۳ تا ۲۰۲۴، تعداد شناسایی باجافزار ۱۸٪ کاهش یافته است - از ۵,۷۱۵,۸۹۲ به ۴,۶۶۸,۲۲۹.
در عین حال، سهم کاربرانی که تحت تأثیر حملات باجافزار قرار گرفتهاند، با ۰.۰۲ درصد افزایش به ۰.۴۴٪ رسیده است.
از سوی دیگر، آمار مربوط به واکنشها به حوادث سایبری نشان میدهد که در سال ۲۰۲۴، ۴۱.۶٪ از آنها مربوط به باجافزار بوده است، در حالی که در سال ۲۰۲۳، ۳۳.۳٪ از این موارد وجود داشته است.
بنابراین، میتوانیم فرض کنیم که حملات هدفمند باجافزار برای آیندهای قابل پیشبینی، تهدید اصلی برای سازمانها در سراسر جهان باقی خواهد ماند.
به طور کلی، در این گزارش، محققان LK تعدادی از روندهای جهانی مشاهده شده در رابطه با باجافزارها در سال ۲۰۲۴ را برجسته میکنند:
۱. مدل RaaS همچنان روش اصلی سازماندهی حملات باجافزاری است و با کاهش آستانه فنی برای مهاجمان، توزیع آنها را تسهیل میکند.
طبق نتایج سال ۲۰۲۴، RansomHub با طرح توزیع باج ۹۰/۱۰ برای اپراتورها، برجسته بود. در مرحله بعد، Play قرار گرفت.
پلتفرمهای RaaS همچنان در حال تکامل هستند و دسترسی اولیه و خدمات کارگزاری استخراج دادهها را ارائه میدهند که تسلط آنها را در سال ۲۰۲۵ تضمین میکند.
۲. اکثر حملات باجافزاری هنوز به دلیل استفاده گسترده از این سیستم در محیط شرکتها، رایانههای مبتنی بر ویندوز را هدف قرار میدهند.
با این حال، در سالهای اخیر، مهاجمان شروع به تنوع بخشیدن به فعالیتهای خود کردهاند، به طوری که گروههایی مانند RansomHub و Akira نسخههای لینوکس و VMware از بدافزار خود را توسعه میدهند و به طور خاص محیطهای ابری و مجازی را هدف قرار میدهند.
۳. طبق گزارش Chainalysis، کل باج پرداختی در سال ۲۰۲۴ به طور قابل توجهی به ۸۱۳.۵۵ میلیون دلار کاهش یافته است که نسبت به رکورد ۱.۲۵ میلیارد دلار در سال ۲۰۲۳، ۳۵ درصد کاهش یافته است.
با این حال، طبق گزارشی از Sophos، میانگین باج پرداختی از ۱,۵۴۲,۳۳۳ دلار در سال ۲۰۲۳ به ۳,۹۶۰,۹۱۷ دلار در سال ۲۰۲۴ افزایش یافته است.
با این حال، سهم سازمانهایی که باج پرداخت میکنند در سهماهه چهارم ۲۰۲۴ به پایینترین حد خود یعنی ۲۵ درصد کاهش یافته است، در حالی که این رقم در مدت مشابه در سال ۲۰۲۳، ۲۹ درصد بوده است.
۴. در سال ۲۰۲۴، مجرمان سایبری علاوه بر رمزگذاری یا به جای آن، به طور فزایندهای از استخراج دادهها استفاده کردند و با تحت فشار قرار دادن قربانیان، به دنبال استخراج حداکثر ارزش از اطلاعات محرمانه سرقت شده بودند.
۵. در سال ۲۰۲۴، چندین اپراتور بزرگ باجافزار اختلالات عمدهای را در عملیات خود تجربه کردند، اما اکوسیستم باجافزار همچنان مقاوم است.
در همان زمان، LockBit پس از حمله آژانسهای اطلاعاتی توانست بازگردد، که نمیتوان در مورد ALPHV/BlackCat که اعضای آن به گروههای دیگر، از جمله RansomHub، مهاجرت کردند، گفت.
6. برخی از گروهها ناپدید شدند، برخی دیگر به کار خود ادامه دادند: کد و تاکتیکهای مخرب گروههایی مانند BlackMatter یا REvil که تحت فشار نیروهای امنیتی قرار گرفتند، بعداً توسط جانشینان آنها، به ویژه BlackCat و سپس Cicada3301، اتخاذ شد.
علاوه بر این، گاهی اوقات ابزارهای مخرب به شبکه "نشت" میکنند، همانطور که با LockBit 3.0 اتفاق افتاد.
7. باندهای باجافزار به طور فزایندهای در حال توسعه ابزارهای منحصر به فرد خود هستند و تلاش برای استفاده از هوش مصنوعی در عملیات نیز ثبت میشود، مانند مورد FunkSec.
8. تکنیک Bring Your Own Vulnerable Driver (BYOVD) به طور فزایندهای در حملات برای دور زدن مکانیسمهای دفاعی و دسترسی در سطح هسته در سیستمهای ویندوز استفاده میشود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤2
به نظر میرسد که زیرساخت شارژ خودروهای برقی به طور فزایندهای در حال تبدیل شدن به یک هدف محبوب است 🤕
چرا؟ زیرا شارژرها فقط "پریزهای هوشمند" نیستند، بلکه دستگاههای اینترنت اشیا تمام عیار با دسترسی به اینترنت، API و ارتباط با شبکه شرکتی اپراتور هستند. و بسیاری از آنها به اینترنت متصل هستند و از طریق ابر یا سرورهای از راه دور مدیریت میشوند ⚡️
محققان دریافتند که:
1️⃣ بسیاری از ایستگاههای شارژ به پنلهای ابری مدیریت شده متصل هستند - آنها به شما امکان میدهند وضعیت شارژ را کنترل کنید، دستگاهها را روشن/خاموش کنید، تعرفهها را مدیریت کنید 🤑
2️⃣ در برخی موارد، هیچ احراز هویت اولیهای وجود ندارد یا "برای نمایش" پیکربندی شده است - پنلهای مدیریتی بدون محدودیت IP یا بدون MFA به اینترنت باز هستند.
3️⃣ رمز عبور ضعیف یا پیشفرض یک مشکل رایج است 🤦♂️
در نتیجه، هکرها میتوانند:
1️⃣ صدها شارژر را از راه دور غیرفعال کنند، که این یک خطر غیرقابل قبول برای کسب و کار اپراتورها، ترافیک شهری و حتی کل شبکههای حمل و نقل است 🔋
2️⃣ تعرفهها را دستکاری کرده و پرداختها را به جزئیات جعلی هدایت کنند.
3️⃣ اطلاعات شخصی را سرقت کنند، زیرا بسیاری از شارژرها دادههای پروفایل راننده - از جمله دادههای پرداخت، سابقه شارژ و حتی موقعیت جغرافیایی - را ذخیره یا منتقل میکنند.
4️⃣ یک در پشتی به شبکههای داخلی اپراتورهای هاب شارژ یا حتی شرکتهای انرژی ایجاد کنند 🚪
در تئوری، با ورود گسترده شارژرها به زیرساختهای شهری، کلانشهرها به شبکه توزیعشده خودروهای برقی وابسته میشوند. یک حمله برنامهریزیشده میتواند منجر به یک رویداد غیرقابل قبول و عواقب فاجعهبار شود. در این حالت، برخلاف بنزین، نمیتوانید برق را در یک کپسول بیاورید 🚗
#آسیبپذیری #غیرقابلقبول
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
چرا؟ زیرا شارژرها فقط "پریزهای هوشمند" نیستند، بلکه دستگاههای اینترنت اشیا تمام عیار با دسترسی به اینترنت، API و ارتباط با شبکه شرکتی اپراتور هستند. و بسیاری از آنها به اینترنت متصل هستند و از طریق ابر یا سرورهای از راه دور مدیریت میشوند ⚡️
محققان دریافتند که:
1️⃣ بسیاری از ایستگاههای شارژ به پنلهای ابری مدیریت شده متصل هستند - آنها به شما امکان میدهند وضعیت شارژ را کنترل کنید، دستگاهها را روشن/خاموش کنید، تعرفهها را مدیریت کنید 🤑
2️⃣ در برخی موارد، هیچ احراز هویت اولیهای وجود ندارد یا "برای نمایش" پیکربندی شده است - پنلهای مدیریتی بدون محدودیت IP یا بدون MFA به اینترنت باز هستند.
3️⃣ رمز عبور ضعیف یا پیشفرض یک مشکل رایج است 🤦♂️
در نتیجه، هکرها میتوانند:
1️⃣ صدها شارژر را از راه دور غیرفعال کنند، که این یک خطر غیرقابل قبول برای کسب و کار اپراتورها، ترافیک شهری و حتی کل شبکههای حمل و نقل است 🔋
2️⃣ تعرفهها را دستکاری کرده و پرداختها را به جزئیات جعلی هدایت کنند.
3️⃣ اطلاعات شخصی را سرقت کنند، زیرا بسیاری از شارژرها دادههای پروفایل راننده - از جمله دادههای پرداخت، سابقه شارژ و حتی موقعیت جغرافیایی - را ذخیره یا منتقل میکنند.
4️⃣ یک در پشتی به شبکههای داخلی اپراتورهای هاب شارژ یا حتی شرکتهای انرژی ایجاد کنند 🚪
در تئوری، با ورود گسترده شارژرها به زیرساختهای شهری، کلانشهرها به شبکه توزیعشده خودروهای برقی وابسته میشوند. یک حمله برنامهریزیشده میتواند منجر به یک رویداد غیرقابل قبول و عواقب فاجعهبار شود. در این حالت، برخلاف بنزین، نمیتوانید برق را در یک کپسول بیاورید 🚗
#آسیبپذیری #غیرقابلقبول
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
درمان OWASP برای یک زنجیره تامین هوش مصنوعی بیمار
هوش مصنوعی از ابتدا ساخته نمیشود. بلکه مونتاژ میشود. مدلها، افزونهها، دادههای آموزشی و آداپتورها. توسعهدهندگان این اجزا را از سراسر اینترنت به هم میچسبانند و سپس آنها را به مرحله تولید میرسانند.
بعضی وقتها، آنها نمیایستند بپرسند که آن قسمتها از کجا آمدهاند.
این همان چیزی است که زنجیره تأمین هوش مصنوعی را به یکی از بزرگترین خطرات در یادگیری ماشینی امروز تبدیل میکند. و به همین دلیل است که OWASP، که به خاطر ردیابی آسیبپذیریهای حیاتی برنامههای وب شناخته میشود، اکنون حملات زنجیره تأمین را در بین 10 خطر اصلی که برنامههای مدل زبان بزرگ (LLM) با آن مواجه هستند، قرار میدهد.
OWASP در راهنمای رسمی خود، نه تنها تهدید، بلکه راهحل را نیز تشریح میکند: یک چکلیست عملی و عملیاتی برای ایمنسازی هر لایه از زنجیره تأمین هوش مصنوعی. اینها بهترین شیوههای مبهم نیستند. آنها اقدامات ملموس و آزمایششده در میدان هستند که به سازمانها کمک میکنند تا آنچه را که در مدلهایشان قرار میگیرد، تأیید کنند، در برابر دستکاری دفاع کنند و اعتماد را در خط تولید بازسازی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
هوش مصنوعی از ابتدا ساخته نمیشود. بلکه مونتاژ میشود. مدلها، افزونهها، دادههای آموزشی و آداپتورها. توسعهدهندگان این اجزا را از سراسر اینترنت به هم میچسبانند و سپس آنها را به مرحله تولید میرسانند.
بعضی وقتها، آنها نمیایستند بپرسند که آن قسمتها از کجا آمدهاند.
این همان چیزی است که زنجیره تأمین هوش مصنوعی را به یکی از بزرگترین خطرات در یادگیری ماشینی امروز تبدیل میکند. و به همین دلیل است که OWASP، که به خاطر ردیابی آسیبپذیریهای حیاتی برنامههای وب شناخته میشود، اکنون حملات زنجیره تأمین را در بین 10 خطر اصلی که برنامههای مدل زبان بزرگ (LLM) با آن مواجه هستند، قرار میدهد.
OWASP در راهنمای رسمی خود، نه تنها تهدید، بلکه راهحل را نیز تشریح میکند: یک چکلیست عملی و عملیاتی برای ایمنسازی هر لایه از زنجیره تأمین هوش مصنوعی. اینها بهترین شیوههای مبهم نیستند. آنها اقدامات ملموس و آزمایششده در میدان هستند که به سازمانها کمک میکنند تا آنچه را که در مدلهایشان قرار میگیرد، تأیید کنند، در برابر دستکاری دفاع کنند و اعتماد را در خط تولید بازسازی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🚂 هر قطار باری در آمریکا میتواند از طریق رادیو هک شود.
اطلاعات بیشتر را از اینجا بخوانید:
https://t.me/ics_cert/1233
•،این آسیبپذیری ۶ سال پیش توسط محقق امنیت اطلاعات، اریک رایتر، در DEFCON نشان داده شد. اگر علاقهمند هستید، بررسی کامل آن در YT موجود است:
➡️ https://www.youtube.com/watch?v=vloWB0LHT_4
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اطلاعات بیشتر را از اینجا بخوانید:
https://t.me/ics_cert/1233
•،این آسیبپذیری ۶ سال پیش توسط محقق امنیت اطلاعات، اریک رایتر، در DEFCON نشان داده شد. اگر علاقهمند هستید، بررسی کامل آن در YT موجود است:
➡️ https://www.youtube.com/watch?v=vloWB0LHT_4
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
تلگرام:
https://t.me/ics_cert
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
نقص سایبری بحرانی مرتبط با ماژول EoT که به مدت ۱۲ سال در سیستمهای ریلی ایالات متحده نادیده گرفته شده بود، تا سال ۲۰۲۷ رفع نخواهد شد.
بخش ۱ از ۳
یک آسیبپذیری امنیتی سایبری حیاتی که سیستمهای قطار آمریکایی را تحت تأثیر قرار میدهد ، علیرغم هشدارهای اولیه…
بخش ۱ از ۳
یک آسیبپذیری امنیتی سایبری حیاتی که سیستمهای قطار آمریکایی را تحت تأثیر قرار میدهد ، علیرغم هشدارهای اولیه…
آژانس سلاحهای هستهای ایالات متحده توسط هکرها با استفاده از آسیبپذیری روز صفر مایکروسافت شیرپوینت مورد نفوذ قرار گرفت
آژانس سلاحهای هستهای آمریکا هک شد
اداره ملی امنیت هستهای (NNSA) قربانی یک حمله سایبری پیچیده شده است که از یک آسیبپذیری ناشناخته در مایکروسافت شیرپوینت سوءاستفاده میکند و یکی از مهمترین نقضهای امنیتی را که زیرساختهای دفاعی حیاتی ایالات متحده را در سال جاری هدف قرار داده است، رقم زده است.
گروههای هکری وابسته به دولت چین از یک آسیبپذیری روز صفر که بر روی نصبهای SharePoint در محل تأثیر میگذاشت، برای نفوذ به بیش از ۵۰ سازمان، از جمله آژانس مسئول نگهداری راکتورهای زیردریایی هستهای نیروی دریایی، استفاده کردند.
✅نکات کلیدی
۱. هکرهای چینی از طریق آسیبپذیری روز صفر SharePoint به سازمان امنیت هستهای ایالات متحده نفوذ کردند.
۲. به دلیل استفاده از سیستمهای مبتنی بر ابر، هیچ داده طبقهبندیشدهای به سرقت نرفت.
۳. بهروزرسانیهای فوری SharePoint الزامی است.
حمله به شیرپوینت NNSA
این آسیبپذیری که نسخههای ۲۰۱۹ و Subscription Server SharePoint را تحت تأثیر قرار میدهد، به مهاجمان اجازه میدهد تا سازوکارهای احراز هویت را دور زده و کد دلخواه را در سیستمهای هدف اجرا کنند.
طبق گزارش خبری بلومبرگ ، این حمله از یک آسیبپذیری deserialization همراه با یک نقص دور زدن احراز هویت سوءاستفاده کرده است که هر دو در ابتدا در مسابقه هک Pwn2Own ونکوور در ماه مه 2024 نشان داده شدند.
این زنجیرهی بهرهبرداری، عاملان تهدید را قادر میسازد تا به سرورهای SharePoint دسترسی غیرمجاز پیدا کنند، دادههای حساس را استخراج کنند، اعتبارنامههای کاربران را برداشت کنند و بهطور بالقوه به زیرساختهای شبکهی متصل نفوذ کنند.
مقامات وزارت انرژی آمریکاتأیید کردند که هیچ اطلاعات هستهای طبقهبندیشده یا حساسی در جریان این حادثه به خطر نیفتاده است.
به نظر میرسد استراتژی مهاجرت به فضای ابری مایکروسافت ۳۶۵ این سازمان، تأثیر این حمله را محدود کرده است، زیرا این آسیبپذیری روز صفر به طور خاص، استقرارهای SharePoint در محل را به جای سرویس SharePoint Online مبتنی بر ابر هدف قرار میدهد.
سخنگوی وزارت انرژی اظهار داشت: «این وزارتخانه به دلیل استفاده گسترده از فضای ابری مایکروسافت M365 و سیستمهای امنیت سایبری بسیار توانمند، کمترین تأثیر را پذیرفته است.»
✅️پاسخ مایکروسافت
مایکروسافت وصلههای امنیتی اضطراری را برای رفع این آسیبپذیری در تمام نسخههای آسیبپذیر SharePoint Server منتشر کرده است .
مرکز پاسخگویی امنیتی این شرکت (MSRC) با انتشار بولتنهای امنیتی حیاتی، خواستار استقرار فوری وصله امنیتی شد و بر رتبهبندی شدت CVSS 9.8 که به این زنجیره بهرهبرداری اختصاص داده شده است، تأکید کرد.
این حادثه نگرانیهای فزاینده در مورد امنیت زنجیره تأمین و خطرات ناشی از نصب نرمافزارهای سازمانی در محل را برجسته میکند.
کارشناسان امنیت سایبری هشدار میدهند که ماهیت پیچیده این حمله، قابلیتهای در حال تکامل گروههای تهدید پیشرفته مداوم (APT) را در سوءاستفاده از آسیبپذیریهای روز صفر، قبل از اینکه فروشندگان بتوانند وصلههای امنیتی را توسعه دهند، نشان میدهد.
به سازمانهایی که محیطهای SharePoint را به صورت داخلی اجرا میکنند، توصیه میشود فوراً بهروزرسانیهای امنیتی مایکروسافت را اعمال کرده و ارزیابیهای جامعی در مورد واکنش به حوادث انجام دهند تا شاخصهای احتمالی نفوذ را شناسایی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
آژانس سلاحهای هستهای آمریکا هک شد
اداره ملی امنیت هستهای (NNSA) قربانی یک حمله سایبری پیچیده شده است که از یک آسیبپذیری ناشناخته در مایکروسافت شیرپوینت سوءاستفاده میکند و یکی از مهمترین نقضهای امنیتی را که زیرساختهای دفاعی حیاتی ایالات متحده را در سال جاری هدف قرار داده است، رقم زده است.
گروههای هکری وابسته به دولت چین از یک آسیبپذیری روز صفر که بر روی نصبهای SharePoint در محل تأثیر میگذاشت، برای نفوذ به بیش از ۵۰ سازمان، از جمله آژانس مسئول نگهداری راکتورهای زیردریایی هستهای نیروی دریایی، استفاده کردند.
✅نکات کلیدی
۱. هکرهای چینی از طریق آسیبپذیری روز صفر SharePoint به سازمان امنیت هستهای ایالات متحده نفوذ کردند.
۲. به دلیل استفاده از سیستمهای مبتنی بر ابر، هیچ داده طبقهبندیشدهای به سرقت نرفت.
۳. بهروزرسانیهای فوری SharePoint الزامی است.
حمله به شیرپوینت NNSA
این آسیبپذیری که نسخههای ۲۰۱۹ و Subscription Server SharePoint را تحت تأثیر قرار میدهد، به مهاجمان اجازه میدهد تا سازوکارهای احراز هویت را دور زده و کد دلخواه را در سیستمهای هدف اجرا کنند.
طبق گزارش خبری بلومبرگ ، این حمله از یک آسیبپذیری deserialization همراه با یک نقص دور زدن احراز هویت سوءاستفاده کرده است که هر دو در ابتدا در مسابقه هک Pwn2Own ونکوور در ماه مه 2024 نشان داده شدند.
این زنجیرهی بهرهبرداری، عاملان تهدید را قادر میسازد تا به سرورهای SharePoint دسترسی غیرمجاز پیدا کنند، دادههای حساس را استخراج کنند، اعتبارنامههای کاربران را برداشت کنند و بهطور بالقوه به زیرساختهای شبکهی متصل نفوذ کنند.
مقامات وزارت انرژی آمریکاتأیید کردند که هیچ اطلاعات هستهای طبقهبندیشده یا حساسی در جریان این حادثه به خطر نیفتاده است.
به نظر میرسد استراتژی مهاجرت به فضای ابری مایکروسافت ۳۶۵ این سازمان، تأثیر این حمله را محدود کرده است، زیرا این آسیبپذیری روز صفر به طور خاص، استقرارهای SharePoint در محل را به جای سرویس SharePoint Online مبتنی بر ابر هدف قرار میدهد.
سخنگوی وزارت انرژی اظهار داشت: «این وزارتخانه به دلیل استفاده گسترده از فضای ابری مایکروسافت M365 و سیستمهای امنیت سایبری بسیار توانمند، کمترین تأثیر را پذیرفته است.»
✅️پاسخ مایکروسافت
مایکروسافت وصلههای امنیتی اضطراری را برای رفع این آسیبپذیری در تمام نسخههای آسیبپذیر SharePoint Server منتشر کرده است .
مرکز پاسخگویی امنیتی این شرکت (MSRC) با انتشار بولتنهای امنیتی حیاتی، خواستار استقرار فوری وصله امنیتی شد و بر رتبهبندی شدت CVSS 9.8 که به این زنجیره بهرهبرداری اختصاص داده شده است، تأکید کرد.
این حادثه نگرانیهای فزاینده در مورد امنیت زنجیره تأمین و خطرات ناشی از نصب نرمافزارهای سازمانی در محل را برجسته میکند.
کارشناسان امنیت سایبری هشدار میدهند که ماهیت پیچیده این حمله، قابلیتهای در حال تکامل گروههای تهدید پیشرفته مداوم (APT) را در سوءاستفاده از آسیبپذیریهای روز صفر، قبل از اینکه فروشندگان بتوانند وصلههای امنیتی را توسعه دهند، نشان میدهد.
به سازمانهایی که محیطهای SharePoint را به صورت داخلی اجرا میکنند، توصیه میشود فوراً بهروزرسانیهای امنیتی مایکروسافت را اعمال کرده و ارزیابیهای جامعی در مورد واکنش به حوادث انجام دهند تا شاخصهای احتمالی نفوذ را شناسایی کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بهروزرسانی: مایکروسافت راهنمایی در مورد بهرهبرداری از آسیبپذیریهای SharePoint منتشر کرد
بهروزرسانی (۲۴/۰۷/۲۰۲۵) این بهروزرسانی شامل اطلاعات بیشتری در مورد استقرار باجافزار، وبشِلهای جدید درگیر در بهرهبرداری و راهنمای تشخیص پیشرفته است.
بهروزرسانی (۲۲/۰۷/۲۰۲۵): این هشدار بهروزرسانی شده است تا اطلاعات تازه منتشر شده از مایکروسافت را منعکس کند و آسیبپذیریها و آسیبپذیریهای رایج (CVE) که به طور فعال مورد سوءاستفاده قرار میگیرند را اصلاح کند، که به عنوان CVE-2025-49706 ، یک آسیبپذیری جعل شبکه، و CVE-2025-49704 ، یک آسیبپذیری اجرای کد از راه دور (RCE) تأیید شدهاند.
از سوءاستفاده فعال از زنجیره آسیبپذیریهای جعل و اجرای کد از راه دور (RCE) شامل CVE-2025-49706 و CVE-2025-49704 که امکان دسترسی غیرمجاز به سرورهای SharePoint داخلی را فراهم میکند، آگاه است. در حالی که دامنه و تأثیر آن همچنان در حال ارزیابی است، این زنجیره که به طور عمومی با عنوان "ToolShell" گزارش شده است، به ترتیب دسترسی غیرمجاز به سیستمها و دسترسی احراز هویت شده را از طریق جعل شبکه فراهم میکند و به عاملان مخرب اجازه میدهد تا به طور کامل به محتوای SharePoint، از جمله سیستمهای فایل و پیکربندیهای داخلی، دسترسی پیدا کرده و کد را از طریق شبکه اجرا کنند. فراتر از webshell های معمولی، مانند .aspx و .exe، بارهای داده .dll در طول سوءاستفاده مشاهده شده است. اخیراً، عاملان تهدید نیز در حال رمزگذاری فایلها و توزیع باجافزار Warlock در سیستمهای آسیبدیده مشاهده شدهاند.
اگرچه بهطور فعال مورد سوءاستفاده قرار نگرفته است، مایکروسافت CVE های جدید زیر را شناسایی کرده است که خطر بالقوهای را ایجاد میکنند:
CVE-2025-53771 یک آسیبپذیری دور زدن وصله برای CVE-2025-49706 است.
CVE-2025-53770 یک آسیبپذیری دور زدن وصله برای CVE-2025-49704 است.
CISA اقدامات زیر را برای کاهش خطرات مرتبط با نفوذ RCE توصیه میکند:
بهروزرسانیهای امنیتی لازم منتشر شده توسط مایکروسافت را اعمال کنید.
رابط اسکن ضدبدافزار (AMSI) را در SharePoint مطابق با دستورالعملهای مایکروسافت پیکربندی کنید و آنتیویروس Microsoft Defender را روی تمام سرورهای SharePoint مستقر کنید.
اگر AMSI فعال نیست، محصولات آسیبدیده را از سرویسهایی که در اینترنت در دسترس عموم هستند، جدا کنید تا زمانی که راهحلهای رسمی برای کاهش خطرات ارائه شوند. پس از ارائه راهحلها، آنها را طبق دستورالعملهای IACS و فروشنده اعمال کنید.
در صورت عدم وجود راهکارهای کاهش اثرات، از دستورالعملهای BOD 22-01 مربوط به سرویسهای ابری پیروی کنید یا استفاده از محصول را متوقف کنید.
برای کسب اطلاعات در مورد تشخیص، پیشگیری و اقدامات پیشرفته شکار تهدید، به « اختلال در بهرهبرداری فعال از آسیبپذیریهای SharePoint در محل» و توصیهنامه مایکروسافت برای CVE-2025-49706 مراجعه کنید. IACS سازمانها را تشویق میکند تا تمام مقالات و بهروزرسانیهای امنیتی منتشر شده توسط مایکروسافت در 8 ژوئیه 2025، مربوط به پلتفرم SharePoint مستقر در محیط خود را بررسی کنند.
فراتر از وصله کردن، برای سازمانها بسیار مهم است که سیستمها را برای یافتن نشانههای سوءاستفاده بیشتر بررسی کنند. شناسایی بدافزارهایی که از طریق فایلهای .dll مستقر میشوند، به ویژه دشوار است و میتوان از آنها برای به دست آوردن کلیدهای دستگاه استفاده کرد.
کلیدهای ماشین ASP.NET را بچرخانید، سپس پس از اعمال بهروزرسانی امنیتی مایکروسافت، دوباره کلیدهای ماشین ASP.NET را بچرخانید و وب سرور IIS را مجدداً راهاندازی کنید .
نسخههای عمومی SharePoint Server که به پایان عمر (EOL) یا پایان سرویس (EOS) خود رسیدهاند را از اینترنت جدا کنید. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی آن به پایان عمر خود رسیدهاند و در صورت استفاده هنوز باید متوقف شوند.
درخواستهای مشکوک به صفحه خروج را زیر نظر داشته باشید: /_layouts/SignOut.aspx is the exact HTTP header used by threat actors to exploit ToolPane.aspx for initial access
اسکن آیپیهای 107.191.58[.]76، 104.238.159[.]149، و 96.9.125[.]147 را، بهویژه بین ۱۸ و ۱۹ ژوئیه ۲۰۲۵، انجام دهید.
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید , توصیه یا جانبداری نمیکند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
بهروزرسانی (۲۴/۰۷/۲۰۲۵) این بهروزرسانی شامل اطلاعات بیشتری در مورد استقرار باجافزار، وبشِلهای جدید درگیر در بهرهبرداری و راهنمای تشخیص پیشرفته است.
بهروزرسانی (۲۲/۰۷/۲۰۲۵): این هشدار بهروزرسانی شده است تا اطلاعات تازه منتشر شده از مایکروسافت را منعکس کند و آسیبپذیریها و آسیبپذیریهای رایج (CVE) که به طور فعال مورد سوءاستفاده قرار میگیرند را اصلاح کند، که به عنوان CVE-2025-49706 ، یک آسیبپذیری جعل شبکه، و CVE-2025-49704 ، یک آسیبپذیری اجرای کد از راه دور (RCE) تأیید شدهاند.
از سوءاستفاده فعال از زنجیره آسیبپذیریهای جعل و اجرای کد از راه دور (RCE) شامل CVE-2025-49706 و CVE-2025-49704 که امکان دسترسی غیرمجاز به سرورهای SharePoint داخلی را فراهم میکند، آگاه است. در حالی که دامنه و تأثیر آن همچنان در حال ارزیابی است، این زنجیره که به طور عمومی با عنوان "ToolShell" گزارش شده است، به ترتیب دسترسی غیرمجاز به سیستمها و دسترسی احراز هویت شده را از طریق جعل شبکه فراهم میکند و به عاملان مخرب اجازه میدهد تا به طور کامل به محتوای SharePoint، از جمله سیستمهای فایل و پیکربندیهای داخلی، دسترسی پیدا کرده و کد را از طریق شبکه اجرا کنند. فراتر از webshell های معمولی، مانند .aspx و .exe، بارهای داده .dll در طول سوءاستفاده مشاهده شده است. اخیراً، عاملان تهدید نیز در حال رمزگذاری فایلها و توزیع باجافزار Warlock در سیستمهای آسیبدیده مشاهده شدهاند.
اگرچه بهطور فعال مورد سوءاستفاده قرار نگرفته است، مایکروسافت CVE های جدید زیر را شناسایی کرده است که خطر بالقوهای را ایجاد میکنند:
CVE-2025-53771 یک آسیبپذیری دور زدن وصله برای CVE-2025-49706 است.
CVE-2025-53770 یک آسیبپذیری دور زدن وصله برای CVE-2025-49704 است.
CISA اقدامات زیر را برای کاهش خطرات مرتبط با نفوذ RCE توصیه میکند:
بهروزرسانیهای امنیتی لازم منتشر شده توسط مایکروسافت را اعمال کنید.
رابط اسکن ضدبدافزار (AMSI) را در SharePoint مطابق با دستورالعملهای مایکروسافت پیکربندی کنید و آنتیویروس Microsoft Defender را روی تمام سرورهای SharePoint مستقر کنید.
اگر AMSI فعال نیست، محصولات آسیبدیده را از سرویسهایی که در اینترنت در دسترس عموم هستند، جدا کنید تا زمانی که راهحلهای رسمی برای کاهش خطرات ارائه شوند. پس از ارائه راهحلها، آنها را طبق دستورالعملهای IACS و فروشنده اعمال کنید.
در صورت عدم وجود راهکارهای کاهش اثرات، از دستورالعملهای BOD 22-01 مربوط به سرویسهای ابری پیروی کنید یا استفاده از محصول را متوقف کنید.
برای کسب اطلاعات در مورد تشخیص، پیشگیری و اقدامات پیشرفته شکار تهدید، به « اختلال در بهرهبرداری فعال از آسیبپذیریهای SharePoint در محل» و توصیهنامه مایکروسافت برای CVE-2025-49706 مراجعه کنید. IACS سازمانها را تشویق میکند تا تمام مقالات و بهروزرسانیهای امنیتی منتشر شده توسط مایکروسافت در 8 ژوئیه 2025، مربوط به پلتفرم SharePoint مستقر در محیط خود را بررسی کنند.
فراتر از وصله کردن، برای سازمانها بسیار مهم است که سیستمها را برای یافتن نشانههای سوءاستفاده بیشتر بررسی کنند. شناسایی بدافزارهایی که از طریق فایلهای .dll مستقر میشوند، به ویژه دشوار است و میتوان از آنها برای به دست آوردن کلیدهای دستگاه استفاده کرد.
کلیدهای ماشین ASP.NET را بچرخانید، سپس پس از اعمال بهروزرسانی امنیتی مایکروسافت، دوباره کلیدهای ماشین ASP.NET را بچرخانید و وب سرور IIS را مجدداً راهاندازی کنید .
نسخههای عمومی SharePoint Server که به پایان عمر (EOL) یا پایان سرویس (EOS) خود رسیدهاند را از اینترنت جدا کنید. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی آن به پایان عمر خود رسیدهاند و در صورت استفاده هنوز باید متوقف شوند.
درخواستهای مشکوک به صفحه خروج را زیر نظر داشته باشید: /_layouts/SignOut.aspx is the exact HTTP header used by threat actors to exploit ToolPane.aspx for initial access
اسکن آیپیهای 107.191.58[.]76، 104.238.159[.]149، و 96.9.125[.]147 را، بهویژه بین ۱۸ و ۱۹ ژوئیه ۲۰۲۵، انجام دهید.
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید , توصیه یا جانبداری نمیکند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
❤1
🤓 اخبار جالب در مورد امنیت سایبری شخصی و حریم خصوصی
نیمی از اخبار حریم خصوصی اخیراً حول محور هوش مصنوعی میچرخد:
🐩 فایرفاکس ۱۴۱ منتشر شده است. همانطور که حدس زدید، یک عامل هوش مصنوعی برای مدیریت گروههای بوکمارک شما دارد! این مدل به صورت محلی کار میکند.
🔄 ضمناً، کروم ۱۳۸ که اخیراً منتشر شده است، دارای یک API در زیر کاپوت برای ترجمه محلی و استخراج متن با استفاده از Gemini Nano است.
📱 گوگل حتی اخبار ناخوشایندتری هم دارد - Gemini اکنون میتواند به طور دلخواه پیامها، تماسها و چتهای واتساپ را در دستگاههای اندروید جاسوسی کند، که مایکروسافت فراخوان داد. خوشبختانه، این کابوس حریم خصوصی را میتوان غیرفعال کرد.
💻 نسخه جدید Brave Blocks فراخوان میدهد، محصول مایکروسافت قادر به گرفتن اسکرین شات از مرورگر نخواهد بود.
👁 و شرکت معروف پروتون، لومو ایآی را منتشر کرد - یک چتبات هوش مصنوعی معمولی که به گفته توسعهدهندگان، تاریخچه مکاتبات را روی سرورها ذخیره نمیکند، از چتها برای آموزش استفاده نمیکند، مبتنی بر مدلهای زبان متنباز است و کد منبع آن نیز متنباز است.
🥳 خب، موتور جستجوی داکداکگو نوعی صفحه جستجو منتشر کرد که «نمای کلی هوش مصنوعی» (نمای کلی هوش مصنوعی / دستیار جستجو) ندارد.
👀 در طول سال ۲۰۲۵، افزایش شدیدی در حملات با استفاده از دستگاههای پیامکی - دستگاههای قابل حملی که به تمام تلفنهای موجود در شعاع حدود یک کیلومتری پیامک ارسال میکنند - وجود داشت. آنها البته فیشینگ ارسال میکنند.
کمریسک حوادث را در سراسر جهان پیگیری میکند و تحلیلی از روش حمله و روشهای محافظت در وبلاگ ما موجود است.
🙄 ردیابی حرکات شما در خانه با استفاده از هر دستگاه وایفای از مقالات علمی به محصولات ارائه شده توسط اپراتورهای اینترنت خانگی منتقل شده است - Xfinity این سیستم امنیتی منحصر به فرد را به صورت رایگان ارائه میدهد، اما بلافاصله هشدار میدهد که در صورت بروز هرگونه اتفاقی، دادهها را به پلیس منتقل میکند.
🗿 Roblox در حال آزمایش سیستمی است که سن بازیکنان را با استفاده از تجزیه و تحلیل ویدیویی تعیین میکند.
😤 گوگل در حال غیرفعال کردن کوتاهکننده لینک goo.gl است. از سال ۲۰۱۹ هیچ لینک جدیدی در آنجا وجود نداشته است، اما چرا لینکهای قدیمی را که هنوز هم میتوانند به چیزهای زیادی مرتبط باشند، از بین ببریم - این فراتر از درک است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
نیمی از اخبار حریم خصوصی اخیراً حول محور هوش مصنوعی میچرخد:
🐩 فایرفاکس ۱۴۱ منتشر شده است. همانطور که حدس زدید، یک عامل هوش مصنوعی برای مدیریت گروههای بوکمارک شما دارد! این مدل به صورت محلی کار میکند.
🔄 ضمناً، کروم ۱۳۸ که اخیراً منتشر شده است، دارای یک API در زیر کاپوت برای ترجمه محلی و استخراج متن با استفاده از Gemini Nano است.
📱 گوگل حتی اخبار ناخوشایندتری هم دارد - Gemini اکنون میتواند به طور دلخواه پیامها، تماسها و چتهای واتساپ را در دستگاههای اندروید جاسوسی کند، که مایکروسافت فراخوان داد. خوشبختانه، این کابوس حریم خصوصی را میتوان غیرفعال کرد.
💻 نسخه جدید Brave Blocks فراخوان میدهد، محصول مایکروسافت قادر به گرفتن اسکرین شات از مرورگر نخواهد بود.
👁 و شرکت معروف پروتون، لومو ایآی را منتشر کرد - یک چتبات هوش مصنوعی معمولی که به گفته توسعهدهندگان، تاریخچه مکاتبات را روی سرورها ذخیره نمیکند، از چتها برای آموزش استفاده نمیکند، مبتنی بر مدلهای زبان متنباز است و کد منبع آن نیز متنباز است.
🥳 خب، موتور جستجوی داکداکگو نوعی صفحه جستجو منتشر کرد که «نمای کلی هوش مصنوعی» (نمای کلی هوش مصنوعی / دستیار جستجو) ندارد.
👀 در طول سال ۲۰۲۵، افزایش شدیدی در حملات با استفاده از دستگاههای پیامکی - دستگاههای قابل حملی که به تمام تلفنهای موجود در شعاع حدود یک کیلومتری پیامک ارسال میکنند - وجود داشت. آنها البته فیشینگ ارسال میکنند.
کمریسک حوادث را در سراسر جهان پیگیری میکند و تحلیلی از روش حمله و روشهای محافظت در وبلاگ ما موجود است.
🙄 ردیابی حرکات شما در خانه با استفاده از هر دستگاه وایفای از مقالات علمی به محصولات ارائه شده توسط اپراتورهای اینترنت خانگی منتقل شده است - Xfinity این سیستم امنیتی منحصر به فرد را به صورت رایگان ارائه میدهد، اما بلافاصله هشدار میدهد که در صورت بروز هرگونه اتفاقی، دادهها را به پلیس منتقل میکند.
🗿 Roblox در حال آزمایش سیستمی است که سن بازیکنان را با استفاده از تجزیه و تحلیل ویدیویی تعیین میکند.
😤 گوگل در حال غیرفعال کردن کوتاهکننده لینک goo.gl است. از سال ۲۰۱۹ هیچ لینک جدیدی در آنجا وجود نداشته است، اما چرا لینکهای قدیمی را که هنوز هم میتوانند به چیزهای زیادی مرتبط باشند، از بین ببریم - این فراتر از درک است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
IACS
🤓 اخبار جالب در مورد امنیت سایبری شخصی و حریم خصوصی نیمی از اخبار حریم خصوصی اخیراً حول محور هوش مصنوعی میچرخد: 🐩 فایرفاکس ۱۴۱ منتشر شده است. همانطور که حدس زدید، یک عامل هوش مصنوعی برای مدیریت گروههای بوکمارک شما دارد! این مدل به صورت محلی کار میکند.…
چگونه Gemini را از طریق برنامه تلفن همراه آن غیرفعال کنیم؟
برنامه Gemini را در دستگاه اندروید خود باز کنید.
روی تصویر پروفایل یا حروف اول اسم خود در گوشه بالا سمت راست کلیک کنید.
فعالیت برنامههای Gemini را انتخاب کنید .
روی خاموش کردن کلیک کنید یا خاموش کردن و حذف فعالیت را انتخاب کنید .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
برنامه Gemini را در دستگاه اندروید خود باز کنید.
روی تصویر پروفایل یا حروف اول اسم خود در گوشه بالا سمت راست کلیک کنید.
فعالیت برنامههای Gemini را انتخاب کنید .
روی خاموش کردن کلیک کنید یا خاموش کردن و حذف فعالیت را انتخاب کنید .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
IACS
چگونه Gemini را از طریق برنامه تلفن همراه آن غیرفعال کنیم؟ برنامه Gemini را در دستگاه اندروید خود باز کنید. روی تصویر پروفایل یا حروف اول اسم خود در گوشه بالا سمت راست کلیک کنید. فعالیت برنامههای Gemini را انتخاب کنید . روی خاموش کردن کلیک کنید یا خاموش کردن…
چگونه Gemini را از طریق رابط وب غیرفعال کنیم؟
Gemini را در مرورگر خود باز کنید .
روی سه نوار (منو) در گوشه بالا سمت چپ کلیک کنید.
فعالیت یا تنظیمات و راهنما → فعالیت را انتخاب کنید .
روی خاموش کردن یا خاموش کردن و حذف فعالیت کلیک کنید .
همچنین میتوانید مستقیماً به این تنظیمات بروید و فعالیت برنامههای Gemini را فوراً غیرفعال کنید .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Gemini را در مرورگر خود باز کنید .
روی سه نوار (منو) در گوشه بالا سمت چپ کلیک کنید.
فعالیت یا تنظیمات و راهنما → فعالیت را انتخاب کنید .
روی خاموش کردن یا خاموش کردن و حذف فعالیت کلیک کنید .
همچنین میتوانید مستقیماً به این تنظیمات بروید و فعالیت برنامههای Gemini را فوراً غیرفعال کنید .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
IACS
چگونه Gemini را از طریق رابط وب غیرفعال کنیم؟ Gemini را در مرورگر خود باز کنید . روی سه نوار (منو) در گوشه بالا سمت چپ کلیک کنید. فعالیت یا تنظیمات و راهنما → فعالیت را انتخاب کنید . روی خاموش کردن یا خاموش کردن و حذف فعالیت کلیک کنید . همچنین میتوانید مستقیماً…
چگونه دسترسی جمینی را به برنامهها و سرویسهای خاص غیرفعال کنم؟
اگر قصد ندارید Gemini را به طور کامل غیرفعال کنید، اما میخواهید از دسترسی آن به دادههای سرویسهای خاص - مانند ایمیل یا عکسها - جلوگیری کنید، میتوانید به صورت انعطافپذیر پیکربندی کنید که Gemini در کدام برنامهها میتواند اجرا شود و در کدام برنامهها نمیتواند.
غیرفعال کردن دسترسی جمینی به سرویسهای خاص از طریق اپلیکیشن موبایل
برنامه جمینی را باز کنید.
به پروفایل خود بروید و گزینه Apps را انتخاب کنید .
کلیدهای کنار هر برنامه یا سرویسی که نمیخواهید دادههایش با Gemini به اشتراک گذاشته شود را خاموش کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اگر قصد ندارید Gemini را به طور کامل غیرفعال کنید، اما میخواهید از دسترسی آن به دادههای سرویسهای خاص - مانند ایمیل یا عکسها - جلوگیری کنید، میتوانید به صورت انعطافپذیر پیکربندی کنید که Gemini در کدام برنامهها میتواند اجرا شود و در کدام برنامهها نمیتواند.
غیرفعال کردن دسترسی جمینی به سرویسهای خاص از طریق اپلیکیشن موبایل
برنامه جمینی را باز کنید.
به پروفایل خود بروید و گزینه Apps را انتخاب کنید .
کلیدهای کنار هر برنامه یا سرویسی که نمیخواهید دادههایش با Gemini به اشتراک گذاشته شود را خاموش کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
IACS
چگونه دسترسی جمینی را به برنامهها و سرویسهای خاص غیرفعال کنم؟ اگر قصد ندارید Gemini را به طور کامل غیرفعال کنید، اما میخواهید از دسترسی آن به دادههای سرویسهای خاص - مانند ایمیل یا عکسها - جلوگیری کنید، میتوانید به صورت انعطافپذیر پیکربندی کنید که Gemini…
چگونه گزینههای حریم خصوصی بیشتری را برای Gemini تنظیم کنیم؟
حذف دادههای ذخیره شده Gemini
در برنامه موبایل Gemini، به پروفایل خود بروید و Gemini Apps Activity را انتخاب کنید ، و در مرورگر خود ، به بخش Activity بروید ، روی دکمه Delete کلیک کنید و یک دوره زمانی برای حذف انتخاب کنید :
آخرین ساعت /روز - فعالیتهای اخیر را حذف میکند؛
تمام وقت ( تمام وقت - تمام فعالیتها را حذف میکند؛
محدوده سفارشی - به شما امکان میدهد یک محدوده تاریخی برای حذف دادههای ذخیره شده انتخاب کنید .
حذف را تأیید کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
حذف دادههای ذخیره شده Gemini
در برنامه موبایل Gemini، به پروفایل خود بروید و Gemini Apps Activity را انتخاب کنید ، و در مرورگر خود ، به بخش Activity بروید ، روی دکمه Delete کلیک کنید و یک دوره زمانی برای حذف انتخاب کنید :
آخرین ساعت /روز - فعالیتهای اخیر را حذف میکند؛
تمام وقت ( تمام وقت - تمام فعالیتها را حذف میکند؛
محدوده سفارشی - به شما امکان میدهد یک محدوده تاریخی برای حذف دادههای ذخیره شده انتخاب کنید .
حذف را تأیید کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
ادعا مى شود هكرها زبرساخت فناورى اطلاعات ايروفلوت ايزلاينز را در يك حمله يك ساله نابود كردند
آئروفلوت روسيه، يكى از قديمى ترين خطوط هوايى جهان پس از آن كه هكرهاى طرفدار اوكراين ادعا كردند زيرساخت های فناورى ااطلاعات داخلى اين شركت هوابيمايى را به طور كامل نابود كرده اند، با چالش هاى بزرگى روبرو است.
گروه هاى هكري معروف به "كلاغ خاموش 'و همتاى بلاروسى اا "يارتيزان سأييرى " اظهار داشتند كه دسترسى عميقى به سيستم هاى مختلف به دست آورده اند
اين دسترسى از پلتفرم هاى رزرو گرفته سيستم هاى ايميل اجرايى
متغير بود.
اين عمليات با پاک كردن تقريبا 7000 سرور به اوج خود رسيد. علاوه بر اين، كزارش شده است كه آنها حداقل ۲۰ ترابايت اطلاعات حساس از جمله گزارش پرواز، داده هاى مسافران و ارتباطات داخلى را به سرقت بردند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
آئروفلوت روسيه، يكى از قديمى ترين خطوط هوايى جهان پس از آن كه هكرهاى طرفدار اوكراين ادعا كردند زيرساخت های فناورى ااطلاعات داخلى اين شركت هوابيمايى را به طور كامل نابود كرده اند، با چالش هاى بزرگى روبرو است.
گروه هاى هكري معروف به "كلاغ خاموش 'و همتاى بلاروسى اا "يارتيزان سأييرى " اظهار داشتند كه دسترسى عميقى به سيستم هاى مختلف به دست آورده اند
اين دسترسى از پلتفرم هاى رزرو گرفته سيستم هاى ايميل اجرايى
متغير بود.
اين عمليات با پاک كردن تقريبا 7000 سرور به اوج خود رسيد. علاوه بر اين، كزارش شده است كه آنها حداقل ۲۰ ترابايت اطلاعات حساس از جمله گزارش پرواز، داده هاى مسافران و ارتباطات داخلى را به سرقت بردند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
فراتر از راحتی: افشای خطرات ادغام VMware vSphere Active Directory
خلاصه اجرایی
محصول VMware vSphere شرکت Broadcom همچنان یک انتخاب محبوب برای مجازیسازی ابر خصوصی است که زیربنای زیرساختهای حیاتی محسوب میشود. سازمانها نه تنها از محبوبیت آن کم نمیکنند، بلکه همچنان برای ثبات و کنترل به شدت به vSphere متکی هستند. ما همچنین شاهد روند مشخصی هستیم که در آن بارهای کاری حیاتی از سرویسهای ابر عمومی به این محیطهای vSphere داخلی منتقل میشوند، که تحت تأثیر استراتژیهایی مانند فناوری اطلاعات دووجهی و تقاضا برای نظارت عملیاتی بیشتر قرار دارد.
روش رایج ادغام مستقیم vSphere با Microsoft Active Directory (AD)، ضمن سادهسازی وظایف مدیریتی، مسیری برای حمله ایجاد میکند که اغلب به دلیل سوءتفاهم در مورد خطرات ذاتی موجود در دنیای امروز، دست کم گرفته میشود. این پیکربندی، سطح حمله AD را مستقیماً به hypervisor گسترش میدهد. از دیدگاه یک عامل تهدید، این ادغام فرصتی با ارزش بالا را تشکیل میدهد. این امر، وظیفه نسبتاً رایج به خطر انداختن اعتبارنامههای AD را به یک سناریوی بالقوه با ارزش بالا تبدیل میکند و به آنها امکان دسترسی به زیرساختهای زیربنایی میزبان سرورها را میدهد و به نوبه خود به آنها اجازه میدهد تا کنترل مدیریتی ممتازی بر روی میزبانهای ESXi و vCenter به دست آورند و در نهایت کنترل کامل زیرساخت مجازی را به دست گیرند.
باجافزارهایی که زیرساخت vSphere، شامل میزبانهای ESXi و سرور vCenter، را هدف قرار میدهند، به دلیل ظرفیتشان برای فلج کردن فوری و گسترده زیرساخت، خطری منحصر به فرد و جدی را ایجاد میکنند. با نزدیک شدن به پایان پشتیبانی عمومی از vSphere 7.x در اکتبر 2025 - نسخهای که توسط اکثریت قریب به اتفاق سازمانها اجرا میشود - تهدید باجافزارهای هدفمند به امری فوری تبدیل شده است. از آنجایی که بازیابی پس از چنین حملهای به زمان و منابع قابل توجهی نیاز دارد، دفاع پیشگیرانه از اهمیت بالایی برخوردار است. بنابراین، برای سازمانها بسیار مهم است که تهدیدات خاص علیه این اجزای اصلی را درک کرده و اقدامات متقابل مؤثر و یکپارچهای را برای جلوگیری از نفوذ آنها، به ویژه قبل از اینکه مهلتهای پشتیبانی، خطر بیشتری ایجاد کنند، اجرا کنند.
✅به سازمانها اکیداً توصیه میشود که فوراً وضعیت ادغام AD محیط vSphere خود را ارزیابی کرده و اجرای استراتژیهای کاهش خطرات ذکر شده در این سند را به طور قطعی در اولویت قرار دهند. این موضع پیشگیرانه برای مقابله مؤثر با تهدیدات مدرن بسیار مهم است و شامل موارد زیر میشود:
1⃣جداسازی وابستگیهای حیاتی: قطع یکپارچهسازی مستقیم میزبان ESXi با AD برای کاهش سطح حمله AD بسیار مهم است.
2⃣مدرنسازی احراز هویت: پیادهسازی MFA قوی و مقاوم در برابر فیشینگ برای vCenter، ترجیحاً از طریق ادغام هویت با IdPهای مدرن، دیگر اختیاری نیست، بلکه ضروری است.
3⃣مقاومسازی سیستماتیک: رسیدگی پیشگیرانه به پیشفرضهای ناامن برای ESXi و vCenter، فعالسازی ویژگیهایی مانند execInstalledOnly، Secure Boot، TPM، Lockdown Mode و پیکربندی قوانین سختگیرانه فایروال.
4⃣افزایش دید: پیادهسازی گزارشگیری جامع از راه دور برای ESXi و vCenter، و ارسال آن به SIEM با موارد استفادهای که بهطور خاص برای تشخیص حملات سطح hypervisor طراحی شدهاند.
5⃣محافظت از داراییهای Tier 0: جداسازی استراتژیک بارهای کاری حیاتی مانند Active Directory Domain Controllers در محیطهای vSphere اختصاصی و بسیار امن با کنترلهای دسترسی سختگیرانه و به حداقل رسیده و ماشینهای مجازی و vMotion رمزگذاری شده.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
خلاصه اجرایی
محصول VMware vSphere شرکت Broadcom همچنان یک انتخاب محبوب برای مجازیسازی ابر خصوصی است که زیربنای زیرساختهای حیاتی محسوب میشود. سازمانها نه تنها از محبوبیت آن کم نمیکنند، بلکه همچنان برای ثبات و کنترل به شدت به vSphere متکی هستند. ما همچنین شاهد روند مشخصی هستیم که در آن بارهای کاری حیاتی از سرویسهای ابر عمومی به این محیطهای vSphere داخلی منتقل میشوند، که تحت تأثیر استراتژیهایی مانند فناوری اطلاعات دووجهی و تقاضا برای نظارت عملیاتی بیشتر قرار دارد.
روش رایج ادغام مستقیم vSphere با Microsoft Active Directory (AD)، ضمن سادهسازی وظایف مدیریتی، مسیری برای حمله ایجاد میکند که اغلب به دلیل سوءتفاهم در مورد خطرات ذاتی موجود در دنیای امروز، دست کم گرفته میشود. این پیکربندی، سطح حمله AD را مستقیماً به hypervisor گسترش میدهد. از دیدگاه یک عامل تهدید، این ادغام فرصتی با ارزش بالا را تشکیل میدهد. این امر، وظیفه نسبتاً رایج به خطر انداختن اعتبارنامههای AD را به یک سناریوی بالقوه با ارزش بالا تبدیل میکند و به آنها امکان دسترسی به زیرساختهای زیربنایی میزبان سرورها را میدهد و به نوبه خود به آنها اجازه میدهد تا کنترل مدیریتی ممتازی بر روی میزبانهای ESXi و vCenter به دست آورند و در نهایت کنترل کامل زیرساخت مجازی را به دست گیرند.
باجافزارهایی که زیرساخت vSphere، شامل میزبانهای ESXi و سرور vCenter، را هدف قرار میدهند، به دلیل ظرفیتشان برای فلج کردن فوری و گسترده زیرساخت، خطری منحصر به فرد و جدی را ایجاد میکنند. با نزدیک شدن به پایان پشتیبانی عمومی از vSphere 7.x در اکتبر 2025 - نسخهای که توسط اکثریت قریب به اتفاق سازمانها اجرا میشود - تهدید باجافزارهای هدفمند به امری فوری تبدیل شده است. از آنجایی که بازیابی پس از چنین حملهای به زمان و منابع قابل توجهی نیاز دارد، دفاع پیشگیرانه از اهمیت بالایی برخوردار است. بنابراین، برای سازمانها بسیار مهم است که تهدیدات خاص علیه این اجزای اصلی را درک کرده و اقدامات متقابل مؤثر و یکپارچهای را برای جلوگیری از نفوذ آنها، به ویژه قبل از اینکه مهلتهای پشتیبانی، خطر بیشتری ایجاد کنند، اجرا کنند.
✅به سازمانها اکیداً توصیه میشود که فوراً وضعیت ادغام AD محیط vSphere خود را ارزیابی کرده و اجرای استراتژیهای کاهش خطرات ذکر شده در این سند را به طور قطعی در اولویت قرار دهند. این موضع پیشگیرانه برای مقابله مؤثر با تهدیدات مدرن بسیار مهم است و شامل موارد زیر میشود:
1⃣جداسازی وابستگیهای حیاتی: قطع یکپارچهسازی مستقیم میزبان ESXi با AD برای کاهش سطح حمله AD بسیار مهم است.
2⃣مدرنسازی احراز هویت: پیادهسازی MFA قوی و مقاوم در برابر فیشینگ برای vCenter، ترجیحاً از طریق ادغام هویت با IdPهای مدرن، دیگر اختیاری نیست، بلکه ضروری است.
3⃣مقاومسازی سیستماتیک: رسیدگی پیشگیرانه به پیشفرضهای ناامن برای ESXi و vCenter، فعالسازی ویژگیهایی مانند execInstalledOnly، Secure Boot، TPM، Lockdown Mode و پیکربندی قوانین سختگیرانه فایروال.
4⃣افزایش دید: پیادهسازی گزارشگیری جامع از راه دور برای ESXi و vCenter، و ارسال آن به SIEM با موارد استفادهای که بهطور خاص برای تشخیص حملات سطح hypervisor طراحی شدهاند.
5⃣محافظت از داراییهای Tier 0: جداسازی استراتژیک بارهای کاری حیاتی مانند Active Directory Domain Controllers در محیطهای vSphere اختصاصی و بسیار امن با کنترلهای دسترسی سختگیرانه و به حداقل رسیده و ماشینهای مجازی و vMotion رمزگذاری شده.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
مشکل سراسری عجیبی برای تلویزون های #اسنوا و #دوو گویا پیش اومده , همه از حدود سه روز پیش مشکل خودن و الان دیگه تلویزیون ندارن , گویا اپدیت نرم افزاری نامناسب بوده , فعلا مشخص نیست #هک بوده یا اپدیت نرم افزاری نامناسب و اطلاعات بیشتری هم کسی نداده , شما به مشکل خوردید؟
توصیه: به هیچ وجه تلویزیون خود. ا به اینترنت متصل نکنید
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
توصیه: به هیچ وجه تلویزیون خود. ا به اینترنت متصل نکنید
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
بیشتر نقضهای OT از کارخانه شروع نمیشوند - آنها از فناوری اطلاعات شروع میشوند.
یک نظرسنجی اخیر در صنعت توسط موسسه SANS نشان میدهد:
✏️ ۵۸٪ از حوادث با نفوذ در شبکه فناوری اطلاعات شرکت شروع میشوند که بعداً به OT تبدیل میشوند.
✏️ ۳۳٪ ناشی از دستگاههایی هستند که مستقیماً در معرض اینترنت قرار گرفتهاند.
✏️ ۳۰٪ از ایستگاههای کاری مهندسی ناشی میشوند که مهاجمان موفق به آلوده کردن آنها میشوند.
✏️ ۲۷٪ مربوط به برنامههای کاربردی عمومی هستند که مورد سوءاستفاده قرار میگیرند - و همین درصد شامل لپتاپهای فروشنده یا "گذرا" است که به برق وصل میشوند.
سه نکته برای بحث با تیم شما در این هفته
۱. سیلوهای فناوری اطلاعات/OT یک افسانه هستند. اگر SOC شما نمیتواند حرکت جانبی را از دفتر به کارخانه دنبال کند، شما در حال حاضر در حال عقب افتادن هستید.
۲. "شکافهای هوایی" تا حد زیادی نوستالژی بازاریابی هستند. نگهداری از راه دور، مورخان و رابطهای ابری سوراخهایی ایجاد کردهاند - با آنها به عنوان داراییهای حیاتی رفتار کنید، نه وسایل رفاهی.
۳. ایستگاههای کاری مهندسی جواهرات تاج هستند. آنها منطق نردبانی، پیکربندیهای ایمنی و ابزارهای PLC با دسترسی ممتاز را ذخیره میکنند. مقاومسازی و MFA چیزهای خوبی هستند که داشته باشید.
آزمایش فکری: اگر امشب یک مهاجم به سرور فایل منابع انسانی شما نفوذ کند، چند کلیک طول میکشد تا به HMI یا PLC برسد؟
هر عددی را که تصور کردید - آن را نصف کنید. سپس کنترلهایی برای آن سناریو بسازید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
#OTSecurity #ICS #CyberRisk #ZeroTrust
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
یک نظرسنجی اخیر در صنعت توسط موسسه SANS نشان میدهد:
✏️ ۵۸٪ از حوادث با نفوذ در شبکه فناوری اطلاعات شرکت شروع میشوند که بعداً به OT تبدیل میشوند.
✏️ ۳۳٪ ناشی از دستگاههایی هستند که مستقیماً در معرض اینترنت قرار گرفتهاند.
✏️ ۳۰٪ از ایستگاههای کاری مهندسی ناشی میشوند که مهاجمان موفق به آلوده کردن آنها میشوند.
✏️ ۲۷٪ مربوط به برنامههای کاربردی عمومی هستند که مورد سوءاستفاده قرار میگیرند - و همین درصد شامل لپتاپهای فروشنده یا "گذرا" است که به برق وصل میشوند.
سه نکته برای بحث با تیم شما در این هفته
۱. سیلوهای فناوری اطلاعات/OT یک افسانه هستند. اگر SOC شما نمیتواند حرکت جانبی را از دفتر به کارخانه دنبال کند، شما در حال حاضر در حال عقب افتادن هستید.
۲. "شکافهای هوایی" تا حد زیادی نوستالژی بازاریابی هستند. نگهداری از راه دور، مورخان و رابطهای ابری سوراخهایی ایجاد کردهاند - با آنها به عنوان داراییهای حیاتی رفتار کنید، نه وسایل رفاهی.
۳. ایستگاههای کاری مهندسی جواهرات تاج هستند. آنها منطق نردبانی، پیکربندیهای ایمنی و ابزارهای PLC با دسترسی ممتاز را ذخیره میکنند. مقاومسازی و MFA چیزهای خوبی هستند که داشته باشید.
آزمایش فکری: اگر امشب یک مهاجم به سرور فایل منابع انسانی شما نفوذ کند، چند کلیک طول میکشد تا به HMI یا PLC برسد؟
هر عددی را که تصور کردید - آن را نصف کنید. سپس کنترلهایی برای آن سناریو بسازید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
#OTSecurity #ICS #CyberRisk #ZeroTrust
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یکی از حیاتیترین مراحل در پاسخ به یک حمله #سایبری ، مهار حادثه سایبری با ایزوله کردن سیستمهای آسیبدیده و بخشبندی شبکه برای جلوگیری از گسترش و آسیب بیشتر است.
اتفاقی که در سنت پال افتاد، نمونه خوبی است. واکنش فوری دولت به خاموش کردن سرویسهای خارجی، نشاندهنده یک استراتژی مهار است که بخش مهمی از هر برنامه واکنش به حادثه است.
اگر مهار نکنیم، اوضاع را بدتر میکنیم. برنامهریزی کنید، آماده شوید و آماده باشید.
https://www.stpaul.gov/news/mayor-carter-declare-state-emergency-response-digital-security-incident
#امنیت_سایبری #پاسخ_به_حادثه #زیرساخت_حیاتی #ICS
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اتفاقی که در سنت پال افتاد، نمونه خوبی است. واکنش فوری دولت به خاموش کردن سرویسهای خارجی، نشاندهنده یک استراتژی مهار است که بخش مهمی از هر برنامه واکنش به حادثه است.
اگر مهار نکنیم، اوضاع را بدتر میکنیم. برنامهریزی کنید، آماده شوید و آماده باشید.
https://www.stpaul.gov/news/mayor-carter-declare-state-emergency-response-digital-security-incident
#امنیت_سایبری #پاسخ_به_حادثه #زیرساخت_حیاتی #ICS
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Saint Paul Minnesota
Mayor Carter to Declare State of Emergency in Response to Digital Security Incident
City of Saint Paul working with local, state, and federal partners to assess and mitigate disruptions in operations and internal systems
موسسه فناوری ماساچوست به تازگی بررسی کرده است که هنگام استفاده از #ChatGPT چه اتفاقی برای مغز شما میافتد .
و یافتهها هم جذاب و هم کمی ترسناک هستند.
وقتی شرکتکنندگان بدون هیچ ابزاری مقاله مینوشتند، مغزشان فعال میشد.
اسکنهای #EEG امواج آلفا (خلاقیت) و امواج تتا (حافظه کاری) قوی را نشان میداد. آنها کلمات خود را به خاطر میآوردند. نوشتههایشان صدا، بافت و روح داشت. وقتی از گوگل استفاده میکردند، میزان مشارکتشان کاهش مییافت، اما مغز همچنان کار میکرد - جستجو، فیلتر کردن، تصمیمگیری. وقتی با ChatGPT مینوشتند، فعالیت عصبی به ضعیفترین حد خود میرسید.
🚩مقالهها همگن بودند.
🚩نویسندگان فراموش میکردند چه نوشتهاند.
🚩حس مالکیت آنها محو میشد.
🚩در طول جلسات مکرر، آنها دست از کلنجار رفتن با ایدهها برداشتند - آنها به سادگی کپی میکردند.
و نکته اینجاست:
❗️وقتی کاربرانی که فقط از مغز استفاده میکردند به ChatGPT روی آوردند، مغزشان سرشار از نوآوری شد.
❗️وقتی کاربران ChatGPT به نوشتن انفرادی برگشتند، مغزشان کمنور ماند.
این مطالعه نمیگوید از هوش مصنوعی استفاده نکنید. بلکه میگوید: نحوه استفاده از آن مهم است.
🧠 اگر هوش مصنوعی اولین قدم شما باشد، تفکر شما تحلیل میرود.
🧠 اگر هوش مصنوعی آخرین قدم شما باشد - اصلاح آنچه قبلاً با آن دست و پنجه نرم کردهاید - شما را تقویت میکند.
این اولین باری است که اسکنهای مغزی را میبینیم که آنچه بسیاری احساس کردهاند را ثابت میکند:
#هوش_مصنوعی میتواند شناخت ما را تیزتر کند یا آن را کند کند. انتخاب در توالی است. انتخاب در طراحی است. انتخاب با شماست.
💬 آیا با هوش مصنوعی شروع میکنید یا با آن تمام میکنید؟ همین یک تصمیم میتواند تعیین کند که آیا مغز خود را برونسپاری میکنید یا آن را گسترش میدهید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
و یافتهها هم جذاب و هم کمی ترسناک هستند.
وقتی شرکتکنندگان بدون هیچ ابزاری مقاله مینوشتند، مغزشان فعال میشد.
اسکنهای #EEG امواج آلفا (خلاقیت) و امواج تتا (حافظه کاری) قوی را نشان میداد. آنها کلمات خود را به خاطر میآوردند. نوشتههایشان صدا، بافت و روح داشت. وقتی از گوگل استفاده میکردند، میزان مشارکتشان کاهش مییافت، اما مغز همچنان کار میکرد - جستجو، فیلتر کردن، تصمیمگیری. وقتی با ChatGPT مینوشتند، فعالیت عصبی به ضعیفترین حد خود میرسید.
🚩مقالهها همگن بودند.
🚩نویسندگان فراموش میکردند چه نوشتهاند.
🚩حس مالکیت آنها محو میشد.
🚩در طول جلسات مکرر، آنها دست از کلنجار رفتن با ایدهها برداشتند - آنها به سادگی کپی میکردند.
و نکته اینجاست:
❗️وقتی کاربرانی که فقط از مغز استفاده میکردند به ChatGPT روی آوردند، مغزشان سرشار از نوآوری شد.
❗️وقتی کاربران ChatGPT به نوشتن انفرادی برگشتند، مغزشان کمنور ماند.
این مطالعه نمیگوید از هوش مصنوعی استفاده نکنید. بلکه میگوید: نحوه استفاده از آن مهم است.
🧠 اگر هوش مصنوعی اولین قدم شما باشد، تفکر شما تحلیل میرود.
🧠 اگر هوش مصنوعی آخرین قدم شما باشد - اصلاح آنچه قبلاً با آن دست و پنجه نرم کردهاید - شما را تقویت میکند.
این اولین باری است که اسکنهای مغزی را میبینیم که آنچه بسیاری احساس کردهاند را ثابت میکند:
#هوش_مصنوعی میتواند شناخت ما را تیزتر کند یا آن را کند کند. انتخاب در توالی است. انتخاب در طراحی است. انتخاب با شماست.
💬 آیا با هوش مصنوعی شروع میکنید یا با آن تمام میکنید؟ همین یک تصمیم میتواند تعیین کند که آیا مغز خود را برونسپاری میکنید یا آن را گسترش میدهید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤2
فناوریهای آگاه از ویژگیهای صنعتی، مانند فایروالهای صنعتی با قابلیت بازرسی عمیق بستهها ( #DPI )، برای ایمنسازی محیطهای OT/ICS، به ویژه در عصر #دیجیتالیسازی ، افزایش اتکا به دسترسی از راه دور و انتقال دادهها به سطح سازمانی، بسیار مهم هستند.
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1