بیشتر نقضهای OT از کارخانه شروع نمیشوند - آنها از فناوری اطلاعات شروع میشوند.
یک نظرسنجی اخیر در صنعت توسط موسسه SANS نشان میدهد:
✏️ ۵۸٪ از حوادث با نفوذ در شبکه فناوری اطلاعات شرکت شروع میشوند که بعداً به OT تبدیل میشوند.
✏️ ۳۳٪ ناشی از دستگاههایی هستند که مستقیماً در معرض اینترنت قرار گرفتهاند.
✏️ ۳۰٪ از ایستگاههای کاری مهندسی ناشی میشوند که مهاجمان موفق به آلوده کردن آنها میشوند.
✏️ ۲۷٪ مربوط به برنامههای کاربردی عمومی هستند که مورد سوءاستفاده قرار میگیرند - و همین درصد شامل لپتاپهای فروشنده یا "گذرا" است که به برق وصل میشوند.
سه نکته برای بحث با تیم شما در این هفته
۱. سیلوهای فناوری اطلاعات/OT یک افسانه هستند. اگر SOC شما نمیتواند حرکت جانبی را از دفتر به کارخانه دنبال کند، شما در حال حاضر در حال عقب افتادن هستید.
۲. "شکافهای هوایی" تا حد زیادی نوستالژی بازاریابی هستند. نگهداری از راه دور، مورخان و رابطهای ابری سوراخهایی ایجاد کردهاند - با آنها به عنوان داراییهای حیاتی رفتار کنید، نه وسایل رفاهی.
۳. ایستگاههای کاری مهندسی جواهرات تاج هستند. آنها منطق نردبانی، پیکربندیهای ایمنی و ابزارهای PLC با دسترسی ممتاز را ذخیره میکنند. مقاومسازی و MFA چیزهای خوبی هستند که داشته باشید.
آزمایش فکری: اگر امشب یک مهاجم به سرور فایل منابع انسانی شما نفوذ کند، چند کلیک طول میکشد تا به HMI یا PLC برسد؟
هر عددی را که تصور کردید - آن را نصف کنید. سپس کنترلهایی برای آن سناریو بسازید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
#OTSecurity #ICS #CyberRisk #ZeroTrust
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
یک نظرسنجی اخیر در صنعت توسط موسسه SANS نشان میدهد:
✏️ ۵۸٪ از حوادث با نفوذ در شبکه فناوری اطلاعات شرکت شروع میشوند که بعداً به OT تبدیل میشوند.
✏️ ۳۳٪ ناشی از دستگاههایی هستند که مستقیماً در معرض اینترنت قرار گرفتهاند.
✏️ ۳۰٪ از ایستگاههای کاری مهندسی ناشی میشوند که مهاجمان موفق به آلوده کردن آنها میشوند.
✏️ ۲۷٪ مربوط به برنامههای کاربردی عمومی هستند که مورد سوءاستفاده قرار میگیرند - و همین درصد شامل لپتاپهای فروشنده یا "گذرا" است که به برق وصل میشوند.
سه نکته برای بحث با تیم شما در این هفته
۱. سیلوهای فناوری اطلاعات/OT یک افسانه هستند. اگر SOC شما نمیتواند حرکت جانبی را از دفتر به کارخانه دنبال کند، شما در حال حاضر در حال عقب افتادن هستید.
۲. "شکافهای هوایی" تا حد زیادی نوستالژی بازاریابی هستند. نگهداری از راه دور، مورخان و رابطهای ابری سوراخهایی ایجاد کردهاند - با آنها به عنوان داراییهای حیاتی رفتار کنید، نه وسایل رفاهی.
۳. ایستگاههای کاری مهندسی جواهرات تاج هستند. آنها منطق نردبانی، پیکربندیهای ایمنی و ابزارهای PLC با دسترسی ممتاز را ذخیره میکنند. مقاومسازی و MFA چیزهای خوبی هستند که داشته باشید.
آزمایش فکری: اگر امشب یک مهاجم به سرور فایل منابع انسانی شما نفوذ کند، چند کلیک طول میکشد تا به HMI یا PLC برسد؟
هر عددی را که تصور کردید - آن را نصف کنید. سپس کنترلهایی برای آن سناریو بسازید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
#OTSecurity #ICS #CyberRisk #ZeroTrust
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یکی از حیاتیترین مراحل در پاسخ به یک حمله #سایبری ، مهار حادثه سایبری با ایزوله کردن سیستمهای آسیبدیده و بخشبندی شبکه برای جلوگیری از گسترش و آسیب بیشتر است.
اتفاقی که در سنت پال افتاد، نمونه خوبی است. واکنش فوری دولت به خاموش کردن سرویسهای خارجی، نشاندهنده یک استراتژی مهار است که بخش مهمی از هر برنامه واکنش به حادثه است.
اگر مهار نکنیم، اوضاع را بدتر میکنیم. برنامهریزی کنید، آماده شوید و آماده باشید.
https://www.stpaul.gov/news/mayor-carter-declare-state-emergency-response-digital-security-incident
#امنیت_سایبری #پاسخ_به_حادثه #زیرساخت_حیاتی #ICS
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اتفاقی که در سنت پال افتاد، نمونه خوبی است. واکنش فوری دولت به خاموش کردن سرویسهای خارجی، نشاندهنده یک استراتژی مهار است که بخش مهمی از هر برنامه واکنش به حادثه است.
اگر مهار نکنیم، اوضاع را بدتر میکنیم. برنامهریزی کنید، آماده شوید و آماده باشید.
https://www.stpaul.gov/news/mayor-carter-declare-state-emergency-response-digital-security-incident
#امنیت_سایبری #پاسخ_به_حادثه #زیرساخت_حیاتی #ICS
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Saint Paul Minnesota
Mayor Carter to Declare State of Emergency in Response to Digital Security Incident
City of Saint Paul working with local, state, and federal partners to assess and mitigate disruptions in operations and internal systems
موسسه فناوری ماساچوست به تازگی بررسی کرده است که هنگام استفاده از #ChatGPT چه اتفاقی برای مغز شما میافتد .
و یافتهها هم جذاب و هم کمی ترسناک هستند.
وقتی شرکتکنندگان بدون هیچ ابزاری مقاله مینوشتند، مغزشان فعال میشد.
اسکنهای #EEG امواج آلفا (خلاقیت) و امواج تتا (حافظه کاری) قوی را نشان میداد. آنها کلمات خود را به خاطر میآوردند. نوشتههایشان صدا، بافت و روح داشت. وقتی از گوگل استفاده میکردند، میزان مشارکتشان کاهش مییافت، اما مغز همچنان کار میکرد - جستجو، فیلتر کردن، تصمیمگیری. وقتی با ChatGPT مینوشتند، فعالیت عصبی به ضعیفترین حد خود میرسید.
🚩مقالهها همگن بودند.
🚩نویسندگان فراموش میکردند چه نوشتهاند.
🚩حس مالکیت آنها محو میشد.
🚩در طول جلسات مکرر، آنها دست از کلنجار رفتن با ایدهها برداشتند - آنها به سادگی کپی میکردند.
و نکته اینجاست:
❗️وقتی کاربرانی که فقط از مغز استفاده میکردند به ChatGPT روی آوردند، مغزشان سرشار از نوآوری شد.
❗️وقتی کاربران ChatGPT به نوشتن انفرادی برگشتند، مغزشان کمنور ماند.
این مطالعه نمیگوید از هوش مصنوعی استفاده نکنید. بلکه میگوید: نحوه استفاده از آن مهم است.
🧠 اگر هوش مصنوعی اولین قدم شما باشد، تفکر شما تحلیل میرود.
🧠 اگر هوش مصنوعی آخرین قدم شما باشد - اصلاح آنچه قبلاً با آن دست و پنجه نرم کردهاید - شما را تقویت میکند.
این اولین باری است که اسکنهای مغزی را میبینیم که آنچه بسیاری احساس کردهاند را ثابت میکند:
#هوش_مصنوعی میتواند شناخت ما را تیزتر کند یا آن را کند کند. انتخاب در توالی است. انتخاب در طراحی است. انتخاب با شماست.
💬 آیا با هوش مصنوعی شروع میکنید یا با آن تمام میکنید؟ همین یک تصمیم میتواند تعیین کند که آیا مغز خود را برونسپاری میکنید یا آن را گسترش میدهید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
و یافتهها هم جذاب و هم کمی ترسناک هستند.
وقتی شرکتکنندگان بدون هیچ ابزاری مقاله مینوشتند، مغزشان فعال میشد.
اسکنهای #EEG امواج آلفا (خلاقیت) و امواج تتا (حافظه کاری) قوی را نشان میداد. آنها کلمات خود را به خاطر میآوردند. نوشتههایشان صدا، بافت و روح داشت. وقتی از گوگل استفاده میکردند، میزان مشارکتشان کاهش مییافت، اما مغز همچنان کار میکرد - جستجو، فیلتر کردن، تصمیمگیری. وقتی با ChatGPT مینوشتند، فعالیت عصبی به ضعیفترین حد خود میرسید.
🚩مقالهها همگن بودند.
🚩نویسندگان فراموش میکردند چه نوشتهاند.
🚩حس مالکیت آنها محو میشد.
🚩در طول جلسات مکرر، آنها دست از کلنجار رفتن با ایدهها برداشتند - آنها به سادگی کپی میکردند.
و نکته اینجاست:
❗️وقتی کاربرانی که فقط از مغز استفاده میکردند به ChatGPT روی آوردند، مغزشان سرشار از نوآوری شد.
❗️وقتی کاربران ChatGPT به نوشتن انفرادی برگشتند، مغزشان کمنور ماند.
این مطالعه نمیگوید از هوش مصنوعی استفاده نکنید. بلکه میگوید: نحوه استفاده از آن مهم است.
🧠 اگر هوش مصنوعی اولین قدم شما باشد، تفکر شما تحلیل میرود.
🧠 اگر هوش مصنوعی آخرین قدم شما باشد - اصلاح آنچه قبلاً با آن دست و پنجه نرم کردهاید - شما را تقویت میکند.
این اولین باری است که اسکنهای مغزی را میبینیم که آنچه بسیاری احساس کردهاند را ثابت میکند:
#هوش_مصنوعی میتواند شناخت ما را تیزتر کند یا آن را کند کند. انتخاب در توالی است. انتخاب در طراحی است. انتخاب با شماست.
💬 آیا با هوش مصنوعی شروع میکنید یا با آن تمام میکنید؟ همین یک تصمیم میتواند تعیین کند که آیا مغز خود را برونسپاری میکنید یا آن را گسترش میدهید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤2
فناوریهای آگاه از ویژگیهای صنعتی، مانند فایروالهای صنعتی با قابلیت بازرسی عمیق بستهها ( #DPI )، برای ایمنسازی محیطهای OT/ICS، به ویژه در عصر #دیجیتالیسازی ، افزایش اتکا به دسترسی از راه دور و انتقال دادهها به سطح سازمانی، بسیار مهم هستند.
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
میتوانید تصور کنید که دنیا به جای برق با نیروی بخار کار کند؟
تعویض روغن کامپیوتر؟
من طرفدار پروپاقرص موتورهای V8 هستم، اما خوشحالم که میبینم شهرها از 30 سال پیش تمیزتر هستند.
تقدیر از این پروژه دانشجویی جالب سال 2010 کارگردان / ایده: استفان هیلپرت مدیر فیلمبرداری: توماس بکمن تهیهکننده: نوئوسوپر - سیمون امبرگر، کوربینیان دافتر، رافائل پارنت مدرسه فیلمسازی: HFF مونیخ / دانشگاه تلویزیون و فیلم مونیخ، آلمان
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
تعویض روغن کامپیوتر؟
من طرفدار پروپاقرص موتورهای V8 هستم، اما خوشحالم که میبینم شهرها از 30 سال پیش تمیزتر هستند.
تقدیر از این پروژه دانشجویی جالب سال 2010 کارگردان / ایده: استفان هیلپرت مدیر فیلمبرداری: توماس بکمن تهیهکننده: نوئوسوپر - سیمون امبرگر، کوربینیان دافتر، رافائل پارنت مدرسه فیلمسازی: HFF مونیخ / دانشگاه تلویزیون و فیلم مونیخ، آلمان
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
یازدهمین کنفرانس کنترل، ابزار دقیق و اتوماسیون (ICCIA 2025) برگزار خواهد شد
این دوره از کنفرانس بینالمللی کنترل، ابزار دقیق و اتوماسیون (ICCIA 2025) توسط دانشگاه ملی مهارت و با همکاری انجمن مهندسان کنترل و ابزار دقیق ایران از ۲۰ تا۲۲ آبان ماه ۱۴۰۴ در تهران برگزار خواهد شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
این دوره از کنفرانس بینالمللی کنترل، ابزار دقیق و اتوماسیون (ICCIA 2025) توسط دانشگاه ملی مهارت و با همکاری انجمن مهندسان کنترل و ابزار دقیق ایران از ۲۰ تا۲۲ آبان ماه ۱۴۰۴ در تهران برگزار خواهد شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
❤1
بدون شرح!!!!
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
یک آسیبپذیری در پلتفرم مدیریت HVAC، روشنایی و انرژی Niagara Framework و راهکار کنترل دسترسی و امنیتی Niagara Enterprise Security به دلیل محاسبه ناکافی هش رمز عبور است. سوءاستفاده از این آسیبپذیری ممکن است به مهاجمی که از راه دور اقدام میکند، اجازه دهد تا به دستگاه دسترسی پیدا کند.
BDU:2025-09156
CVE-2025-3937
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای فیلتر کردن ترافیک شبکه؛
- بخشبندی شبکه برای محدود کردن دسترسی به نرمافزارهای آسیبپذیر از زیرشبکههای دیگر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
با استفاده از توصیههای سازنده:
نرمافزار را به نسخههای ۴.۱۴.۲u۲، ۴.۱۵.u۱، ۴.۱۰u.۱۱ یا بالاتر بهروزرسانی کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
BDU:2025-09156
CVE-2025-3937
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای فیلتر کردن ترافیک شبکه؛
- بخشبندی شبکه برای محدود کردن دسترسی به نرمافزارهای آسیبپذیر از زیرشبکههای دیگر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
با استفاده از توصیههای سازنده:
نرمافزار را به نسخههای ۴.۱۴.۲u۲، ۴.۱۵.u۱، ۴.۱۰u.۱۱ یا بالاتر بهروزرسانی کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یک آسیبپذیری در Arena Simulation، ابزاری نرمافزاری برای مدلسازی و خودکارسازی رویدادهای گسسته، مربوط به سرریز بافر است. سوءاستفاده از این آسیبپذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند یا اطلاعات محافظتشده را افشا کند.
BDU:2025-09444
CVE-2025-7025
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از سیستمهای SIEM برای ردیابی تلاشها برای سوءاستفاده از آسیبپذیری؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی که برای سوءاستفاده از آسیبپذیری انجام میشود.
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1731.html
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
BDU:2025-09444
CVE-2025-7025
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از سیستمهای SIEM برای ردیابی تلاشها برای سوءاستفاده از آسیبپذیری؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی که برای سوءاستفاده از آسیبپذیری انجام میشود.
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1731.html
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Rockwell Automation
SD1731 | Security Advisory | Rockwell Automation | US
❤1
🔓 هوش مصنوعی کدهای پین را در کسری از ثانیه رمزگشایی میکند
کد پین حتی هنگام استفاده از اثر انگشت و تشخیص چهره نیز یک عنصر امنیتی اجباری است. اما در حال تبدیل شدن به آسیبپذیرترین نقطه است. هوش مصنوعی دیگر فقط ترکیبها را انتخاب نمیکند - آنها را پیشبینی میکند. در مطالعهای توسط Messente، یک شبکه عصبی کد "5555" را در 0.37 ثانیه رمزگشایی کرد. حتی "1234" و "سال تولد" نیز برای آن دشوار نیستند.
دلیل آن در الگوهایی است که افراد کدها را انتخاب میکنند. الگوریتمها روانشناسی رفتاری را در نظر میگیرند و گزینهها را مرتب نمیکنند. اگر از یک پین برای تلفن و کارت بانکی استفاده شود، خطر به حداکثر میرسد. در صورت گم شدن دستگاه، این دسترسی مستقیم به تمام دادهها و حسابها است.
توصیه تحلیلگران: کدهای چهار رقمی را کاملاً کنار بگذارید. سیستم مسدودکننده به شما امکان میدهد تا 10 رقم وارد کنید. چنین رمز عبوری حتی برای پیشرفتهترین الگوریتمهای هوش مصنوعی نیز غیرقابل نفوذ است. فعلاً.
#پین #هک #تهدیدات سایبری
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
کد پین حتی هنگام استفاده از اثر انگشت و تشخیص چهره نیز یک عنصر امنیتی اجباری است. اما در حال تبدیل شدن به آسیبپذیرترین نقطه است. هوش مصنوعی دیگر فقط ترکیبها را انتخاب نمیکند - آنها را پیشبینی میکند. در مطالعهای توسط Messente، یک شبکه عصبی کد "5555" را در 0.37 ثانیه رمزگشایی کرد. حتی "1234" و "سال تولد" نیز برای آن دشوار نیستند.
دلیل آن در الگوهایی است که افراد کدها را انتخاب میکنند. الگوریتمها روانشناسی رفتاری را در نظر میگیرند و گزینهها را مرتب نمیکنند. اگر از یک پین برای تلفن و کارت بانکی استفاده شود، خطر به حداکثر میرسد. در صورت گم شدن دستگاه، این دسترسی مستقیم به تمام دادهها و حسابها است.
توصیه تحلیلگران: کدهای چهار رقمی را کاملاً کنار بگذارید. سیستم مسدودکننده به شما امکان میدهد تا 10 رقم وارد کنید. چنین رمز عبوری حتی برای پیشرفتهترین الگوریتمهای هوش مصنوعی نیز غیرقابل نفوذ است. فعلاً.
#پین #هک #تهدیدات سایبری
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
اغلب در پروژههایی که لاتین ندارند (روسی، 漢語، اللُّغَةُ العَرَبِیَّة، 👄🗣💬🔤) وضعیتی پیش میآید که API، jsonهایی با متن escape شده (Unicode Escaped) برمیگرداند. در چنین متنی، کاراکترهای یونیکد به صورت توالیهایی مانند \u043f\u0440\u0438\u0432\u0435\u0442 کدگذاری میشوند. این امر پشتیبانی از زبانهای ملی را در سیستمهایی که فقط با زبان پیشفرض کار میکنند، تضمین میکند.
برای درک محتوای چنین متنی، معمولاً باید Hackvertor را پیکربندی کنید یا محتوا را از طریق پایتون رمزگشایی کنید، که خیلی راحت نیست. همچنین میتوانید افزونههایی برای Burp در اینترنت پیدا کنید که توالیهای Unicode Escaped را تبدیل میکنند - با این حال، آنها مدتها پیش نوشته شدهاند و دیگر در آخرین نسخههای Burp کار نمیکنند.
به همین دلیل است که متخصص ما، Evgeny Velikoivanenko، افزونه UnUnicode خود را نوشته است که به شما امکان میدهد به راحتی json های دارای کاراکترهای escape شده را به فرمتی قابل خواندن تبدیل کنید. این افزونه میتواند در تبهای Proxy و Repeater کار کند و همچنین با سوکتهای وب نیز کار میکند.
میتوانید UnUnicode را از GitHub دانلود کنید.
https://github.com/bit4woo/u2c
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
برای درک محتوای چنین متنی، معمولاً باید Hackvertor را پیکربندی کنید یا محتوا را از طریق پایتون رمزگشایی کنید، که خیلی راحت نیست. همچنین میتوانید افزونههایی برای Burp در اینترنت پیدا کنید که توالیهای Unicode Escaped را تبدیل میکنند - با این حال، آنها مدتها پیش نوشته شدهاند و دیگر در آخرین نسخههای Burp کار نمیکنند.
به همین دلیل است که متخصص ما، Evgeny Velikoivanenko، افزونه UnUnicode خود را نوشته است که به شما امکان میدهد به راحتی json های دارای کاراکترهای escape شده را به فرمتی قابل خواندن تبدیل کنید. این افزونه میتواند در تبهای Proxy و Repeater کار کند و همچنین با سوکتهای وب نیز کار میکند.
میتوانید UnUnicode را از GitHub دانلود کنید.
https://github.com/bit4woo/u2c
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
GitHub
GitHub - bit4woo/u2c: Unicode To Chinese -- U2C : A burpsuite Extender That Convert Unicode To Chinese 【Unicode编码转中文的burp插件】
Unicode To Chinese -- U2C : A burpsuite Extender That Convert Unicode To Chinese 【Unicode编码转中文的burp插件】 - GitHub - bit4woo/u2c: Unicode To Chinese -- U2C : A burpsuite Extender That Convert Unico...
آسیبپذیری جدید سرور مایکروسافت اکسچنج به مهاجمان اجازه میدهد تا امتیازات مدیریتی کسب کنند.
این آسیبپذیری که با شناسه CVE-2025-53786 ردیابی میشود، پس از ارائه توسط یک محقق امنیتی در کنفرانس امنیت سایبری Black Hat، رسماً توسط مایکروسافت در تاریخ ۶ آگوست ۲۰۲۵ مستند شد.
این آسیبپذیری ناشی از معماری استقرار ترکیبی Exchange مایکروسافت است که به طور سنتی از یک سرویس اصلی مشترک بین سرورهای Exchange داخلی و Exchange Online برای احراز هویت استفاده میکرد.
محقق امنیتی، دیرک-یان مولما از شرکت آوتسایدر سکیوریتی، تکنیکهای بهرهبرداری دقیقی را در کنفرانس بلک هت ۲۰۲۵ ارائه داد و نشان داد که چگونه مهاجمان میتوانند از این پیکربندی برای تغییر رمزهای عبور کاربران، تبدیل کاربران ابری به کاربران ترکیبی و جعل هویت کاربران ترکیبی استفاده کنند.
مولما در طول ارائه خود توضیح داد: «این توکنها، اساساً به مدت ۲۴ ساعت اعتبار دارند. شما نمیتوانید آنها را لغو کنید. بنابراین اگر کسی این توکن را داشته باشد، از نظر دفاعی مطلقاً هیچ کاری نمیتوانید انجام دهید.»
این آسیبپذیری از توکنهای دسترسی ویژهای که برای ارتباط سرور Exchange با مایکروسافت ۳۶۵ استفاده میشوند، سوءاستفاده میکند . این توکنها پس از سرقت قابل لغو نیستند و به مهاجمان تا ۲۴ ساعت دسترسی بدون کنترل میدهند.
این آسیبپذیری «به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور پیشفرض Microsoft Exchange اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیرِ ترکیبی-پیوندی، امتیازات خود را افزایش دهد».
آسیبپذیری سرور مایکروسافت اکسچنج
در صورت عدم رسیدگی، این نقص میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
نکته قابل توجه این است که مایکروسافت پیش از این از طریق تغییرات امنیتی اعلام شده در 18 آوریل 2025، شروع به رفع این آسیبپذیری کرده بود. این شرکت راهنمای تغییرات امنیتی سرور Exchange برای استقرارهای ترکیبی را در کنار یک اصلاحیه فوری غیرامنیتی منتشر کرد، ظاهراً برای بهبود امنیت استقرارهای ترکیبی Exchange.
با این حال، تحقیقات بعدی نشان داد که این مراحل پیکربندی در واقع یک آسیبپذیری امنیتی واقعی را برطرف میکنند و مایکروسافت را بر آن داشت تا کد CVE-2025-53786 را برای مستندسازی رسمی این نقص منتشر کند.
اعلامیه ماه آوریل، انتقال از اصول خدمات مشترک به برنامههای ترکیبی اختصاصی Exchange را معرفی کرد. این تغییر برای از بین بردن مشکلات مربوط به مرز امنیتی که این آسیبپذیری را ممکن میکرد، طراحی شده بود.
اسناد رسمی مایکروسافت توضیح میدهد که Exchange Server قبلاً از «یک سرویس اصلی مشترک با همان برنامه Exchange Online» برای ویژگیهای ترکیبی مانند اشتراکگذاری تقویم و تصاویر پروفایل کاربر استفاده میکرد.
این آسیبپذیری سناریوهای حمله پیچیدهای را ممکن میسازد که در آن مهاجمان با دسترسی اولیه مدیریتی به سرورهای Exchange داخلی میتوانند امتیازات خود را در محیطهای ابری متصل افزایش دهند.
سوءاستفاده موفقیتآمیز میتواند مهاجمان را قادر سازد تا «در محیط ابری متصل سازمان، بدون برجای گذاشتن ردپایی که به راحتی قابل تشخیص و حسابرسی باشد»، امتیازات خود را افزایش دهند.
پیچیدگی حمله بالا ارزیابی شده است و مستلزم آن است که مهاجمان ابتدا دسترسی مدیریتی روی یک سرور Exchange داشته باشند. با این حال، پس از برآورده شدن این پیشنیاز، رتبهبندی تغییر دامنه آسیبپذیری نشان میدهد که سوءاستفاده میتواند منابعی فراتر از مؤلفه اولیه آسیبپذیر را تحت تأثیر قرار دهد.
این ویژگی، آن را به ویژه برای سازمانهایی که از Exchange ترکیبی استفاده میکنند، خطرناک میکند، زیرا یک سرور داخلیِ آسیبپذیر میتواند دسترسی ابری گستردهای را فراهم کند.
کارشناسان امنیتی خاطرنشان کردهاند که این آسیبپذیری بهویژه نگرانکننده است زیرا در لایه هویت عمل میکند و بهطور بالقوه به مهاجمان اجازه میدهد مجوزهای اجرایی را تغییر دهند و دسترسی مداوم بین سیستمهای Exchange داخلی و Microsoft 365 برقرار کنند.
مایکروسافت اظهار داشته است که تا تاریخ اعلام این خبر، هیچ سوءاستفادهای از این آسیبپذیری مشاهده نشده است، اگرچه محققان امنیتی حملات اثبات مفهومی را نشان دادهاند.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
این آسیبپذیری که با شناسه CVE-2025-53786 ردیابی میشود، پس از ارائه توسط یک محقق امنیتی در کنفرانس امنیت سایبری Black Hat، رسماً توسط مایکروسافت در تاریخ ۶ آگوست ۲۰۲۵ مستند شد.
این آسیبپذیری ناشی از معماری استقرار ترکیبی Exchange مایکروسافت است که به طور سنتی از یک سرویس اصلی مشترک بین سرورهای Exchange داخلی و Exchange Online برای احراز هویت استفاده میکرد.
محقق امنیتی، دیرک-یان مولما از شرکت آوتسایدر سکیوریتی، تکنیکهای بهرهبرداری دقیقی را در کنفرانس بلک هت ۲۰۲۵ ارائه داد و نشان داد که چگونه مهاجمان میتوانند از این پیکربندی برای تغییر رمزهای عبور کاربران، تبدیل کاربران ابری به کاربران ترکیبی و جعل هویت کاربران ترکیبی استفاده کنند.
مولما در طول ارائه خود توضیح داد: «این توکنها، اساساً به مدت ۲۴ ساعت اعتبار دارند. شما نمیتوانید آنها را لغو کنید. بنابراین اگر کسی این توکن را داشته باشد، از نظر دفاعی مطلقاً هیچ کاری نمیتوانید انجام دهید.»
این آسیبپذیری از توکنهای دسترسی ویژهای که برای ارتباط سرور Exchange با مایکروسافت ۳۶۵ استفاده میشوند، سوءاستفاده میکند . این توکنها پس از سرقت قابل لغو نیستند و به مهاجمان تا ۲۴ ساعت دسترسی بدون کنترل میدهند.
این آسیبپذیری «به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور پیشفرض Microsoft Exchange اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیرِ ترکیبی-پیوندی، امتیازات خود را افزایش دهد».
آسیبپذیری سرور مایکروسافت اکسچنج
در صورت عدم رسیدگی، این نقص میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
نکته قابل توجه این است که مایکروسافت پیش از این از طریق تغییرات امنیتی اعلام شده در 18 آوریل 2025، شروع به رفع این آسیبپذیری کرده بود. این شرکت راهنمای تغییرات امنیتی سرور Exchange برای استقرارهای ترکیبی را در کنار یک اصلاحیه فوری غیرامنیتی منتشر کرد، ظاهراً برای بهبود امنیت استقرارهای ترکیبی Exchange.
با این حال، تحقیقات بعدی نشان داد که این مراحل پیکربندی در واقع یک آسیبپذیری امنیتی واقعی را برطرف میکنند و مایکروسافت را بر آن داشت تا کد CVE-2025-53786 را برای مستندسازی رسمی این نقص منتشر کند.
اعلامیه ماه آوریل، انتقال از اصول خدمات مشترک به برنامههای ترکیبی اختصاصی Exchange را معرفی کرد. این تغییر برای از بین بردن مشکلات مربوط به مرز امنیتی که این آسیبپذیری را ممکن میکرد، طراحی شده بود.
اسناد رسمی مایکروسافت توضیح میدهد که Exchange Server قبلاً از «یک سرویس اصلی مشترک با همان برنامه Exchange Online» برای ویژگیهای ترکیبی مانند اشتراکگذاری تقویم و تصاویر پروفایل کاربر استفاده میکرد.
این آسیبپذیری سناریوهای حمله پیچیدهای را ممکن میسازد که در آن مهاجمان با دسترسی اولیه مدیریتی به سرورهای Exchange داخلی میتوانند امتیازات خود را در محیطهای ابری متصل افزایش دهند.
سوءاستفاده موفقیتآمیز میتواند مهاجمان را قادر سازد تا «در محیط ابری متصل سازمان، بدون برجای گذاشتن ردپایی که به راحتی قابل تشخیص و حسابرسی باشد»، امتیازات خود را افزایش دهند.
پیچیدگی حمله بالا ارزیابی شده است و مستلزم آن است که مهاجمان ابتدا دسترسی مدیریتی روی یک سرور Exchange داشته باشند. با این حال، پس از برآورده شدن این پیشنیاز، رتبهبندی تغییر دامنه آسیبپذیری نشان میدهد که سوءاستفاده میتواند منابعی فراتر از مؤلفه اولیه آسیبپذیر را تحت تأثیر قرار دهد.
این ویژگی، آن را به ویژه برای سازمانهایی که از Exchange ترکیبی استفاده میکنند، خطرناک میکند، زیرا یک سرور داخلیِ آسیبپذیر میتواند دسترسی ابری گستردهای را فراهم کند.
کارشناسان امنیتی خاطرنشان کردهاند که این آسیبپذیری بهویژه نگرانکننده است زیرا در لایه هویت عمل میکند و بهطور بالقوه به مهاجمان اجازه میدهد مجوزهای اجرایی را تغییر دهند و دسترسی مداوم بین سیستمهای Exchange داخلی و Microsoft 365 برقرار کنند.
مایکروسافت اظهار داشته است که تا تاریخ اعلام این خبر، هیچ سوءاستفادهای از این آسیبپذیری مشاهده نشده است، اگرچه محققان امنیتی حملات اثبات مفهومی را نشان دادهاند.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
❤1
IACS
آسیبپذیری جدید سرور مایکروسافت اکسچنج به مهاجمان اجازه میدهد تا امتیازات مدیریتی کسب کنند. این آسیبپذیری که با شناسه CVE-2025-53786 ردیابی میشود، پس از ارائه توسط یک محقق امنیتی در کنفرانس امنیت سایبری Black Hat، رسماً توسط مایکروسافت در تاریخ ۶ آگوست…
راهنماییهای اصلاحی برای سازمانهای آسیبدیده ارائه کرده است:
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرورهای اکسچنج داخلی نصب کنید.
دستورالعملهای پیکربندی مایکروسافت را برای استقرار برنامههای ترکیبی اختصاصی Exchange دنبال کنید.
برای تنظیم مجدد اعتبارنامههای کلید اصلی سرویس، راهنمای حالت پاکسازی سرویس اصلی مایکروسافت را مرور کنید.
برای تعیین اینکه آیا مراحل اضافی مورد نیاز است یا خیر، Microsoft Exchange Health Checker را اجرا کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرورهای اکسچنج داخلی نصب کنید.
دستورالعملهای پیکربندی مایکروسافت را برای استقرار برنامههای ترکیبی اختصاصی Exchange دنبال کنید.
برای تنظیم مجدد اعتبارنامههای کلید اصلی سرویس، راهنمای حالت پاکسازی سرویس اصلی مایکروسافت را مرور کنید.
برای تعیین اینکه آیا مراحل اضافی مورد نیاز است یا خیر، Microsoft Exchange Health Checker را اجرا کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
حمله باجافزار جدید BERT به زیرساختهای ایران : حملات چند رشتهای با لینکهای REvil به ویندوز، لینوکس و ESXi حمله میکند
تحلیلگران امنیتی در Trend Micro شاهد ظهور یک گروه باجافزار ناشناخته بودند که اکنون با نام BERT ردیابی میشود - یک عامل تهدید که انواع باجافزار چند رشتهای را علیه قربانیان در سراسر آسیا، اروپا و ایالات متحده به کار میگیرد. اهداف این گروه شامل بخشهای مراقبتهای بهداشتی، فناوری و خدمات رویداد است که آنها را به عنوان یک نیروی رو به رشد در اکوسیستم باجافزار نشان میدهد.
این گزارش تأیید میکند: "BERT (که توسط Trend Micro با نام Water Pombero ردیابی میشود) یک گروه باجافزار نوظهور است که هر دو پلتفرم ویندوز و لینوکس را هدف قرار میدهد."
در سیستمهای ویندوز، بدافزار BERT از طریق یک بارگذار PowerShell (start.ps1) مستقر میشود که سیستمهای دفاعی را غیرفعال میکند، امتیازات را افزایش میدهد و بار داده (payload.exe) را از یک دایرکتوری باز میزبانی شده در یک IP مرتبط با ASN 39134، یک ارائه دهنده زیرساخت روسی، دانلود میکند.
در این گزارش توضیح داده شده است: "اسکریپت PowerShell امتیازات را افزایش میدهد، Windows Defender، فایروال و کنترل حساب کاربری (UAC) را غیرفعال میکند، سپس باجافزار را دانلود و اجرا میکند."
این بدافزار قبل از شروع رمزگذاری با استفاده از AES، سرویسهای مرتبط با سرورهای وب و پایگاههای داده را خاتمه میدهد، پسوند .encryptedbybert را اضافه میکند و یک یادداشت باجخواهی منتشر میکند.
ترند میکرو همچنین وجود نظرات به زبان روسی را در اسکریپت PowerShell برجسته میکند - که به طور بالقوه نشاندهنده منشأ یا تأثیر کدگذاری عوامل تهدید است.
نوع لینوکس BERT که در ماه مه کشف شد، حتی فعالتر است. این با حداکثر ۵۰ رشته همزمان برای رمزگذاری سریع دایرکتوریهای هدف اجرا میشود و میتواند ماشینهای مجازی ESXi را به زور خاموش کند تا حداکثر تأثیر را تضمین کند.
ترند میکرو هشدار میدهد: «هنگامی که بدون پارامترهای خط فرمان اجرا شود، به خاموش کردن ماشینهای مجازی ادامه میدهد... [و] خاتمه اجباری تمام فرآیندهای ماشین مجازی در حال اجرا را اجباری میکند.»
این باجافزار پسوند .encrypted_by_bert را اضافه میکند و یک یادداشت باجخواهی با رمزگذاری Base64 را رها میکند و بنری را نمایش میدهد که خلاصهای از فایلهای رمزگذاری شده را نشان میدهد.
طراحی ماژولار آن از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند که حاوی کلیدها، پسوندها و یادداشتهای باجخواهی است - مشابه تکنیکهای مشاهده شده در ابزارهای باجافزار مدرن.
در این گزارش آمده است: «این نسخه از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند - یک ویژگی معمول در اکثر باجافزارهای مدرن.»
تحقیقات ترند نشان داد که انواع قدیمیتر BERT به یک فرآیند رمزگذاری دو مرحلهای متکی بودند - ابتدا جمعآوری مسیرهای فایل، سپس رمزگذاری. در مقابل، نمونههای جدیدتر از یک ConcurrentQueue استفاده میکنند و DiskWorkers را در هر درایو ایجاد میکنند و به رمزگذاری اجازه میدهند بلافاصله پس از کشف فایلها شروع شود.
محققان توضیح میدهند: "این امر باعث میشود که باجافزار برخلاف نسخه قدیمیتر، به محض کشف فایلها، رمزگذاری آنها را آغاز کند."
تحلیلگران ترند میکرو شباهتهای کدی بین BERT و نوع لینوکس REvil را که در سال 2021 به طور عمومی فاش شد، مشاهده میکنند. این ارتباطات نشان میدهد که این گروه ممکن است بر اساس چارچوبهای باجافزار موجود که در حملات مهم قبلی علیه سیستمهای ESXi و لینوکس استفاده شده بود، ساخته شده باشد.
این گزارش میافزاید: "تحقیقات بیشتر نشان میدهد که این گروه ممکن است از نوع لینوکس REvil مشتق شده باشد."
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
تحلیلگران امنیتی در Trend Micro شاهد ظهور یک گروه باجافزار ناشناخته بودند که اکنون با نام BERT ردیابی میشود - یک عامل تهدید که انواع باجافزار چند رشتهای را علیه قربانیان در سراسر آسیا، اروپا و ایالات متحده به کار میگیرد. اهداف این گروه شامل بخشهای مراقبتهای بهداشتی، فناوری و خدمات رویداد است که آنها را به عنوان یک نیروی رو به رشد در اکوسیستم باجافزار نشان میدهد.
این گزارش تأیید میکند: "BERT (که توسط Trend Micro با نام Water Pombero ردیابی میشود) یک گروه باجافزار نوظهور است که هر دو پلتفرم ویندوز و لینوکس را هدف قرار میدهد."
در سیستمهای ویندوز، بدافزار BERT از طریق یک بارگذار PowerShell (start.ps1) مستقر میشود که سیستمهای دفاعی را غیرفعال میکند، امتیازات را افزایش میدهد و بار داده (payload.exe) را از یک دایرکتوری باز میزبانی شده در یک IP مرتبط با ASN 39134، یک ارائه دهنده زیرساخت روسی، دانلود میکند.
در این گزارش توضیح داده شده است: "اسکریپت PowerShell امتیازات را افزایش میدهد، Windows Defender، فایروال و کنترل حساب کاربری (UAC) را غیرفعال میکند، سپس باجافزار را دانلود و اجرا میکند."
این بدافزار قبل از شروع رمزگذاری با استفاده از AES، سرویسهای مرتبط با سرورهای وب و پایگاههای داده را خاتمه میدهد، پسوند .encryptedbybert را اضافه میکند و یک یادداشت باجخواهی منتشر میکند.
ترند میکرو همچنین وجود نظرات به زبان روسی را در اسکریپت PowerShell برجسته میکند - که به طور بالقوه نشاندهنده منشأ یا تأثیر کدگذاری عوامل تهدید است.
نوع لینوکس BERT که در ماه مه کشف شد، حتی فعالتر است. این با حداکثر ۵۰ رشته همزمان برای رمزگذاری سریع دایرکتوریهای هدف اجرا میشود و میتواند ماشینهای مجازی ESXi را به زور خاموش کند تا حداکثر تأثیر را تضمین کند.
ترند میکرو هشدار میدهد: «هنگامی که بدون پارامترهای خط فرمان اجرا شود، به خاموش کردن ماشینهای مجازی ادامه میدهد... [و] خاتمه اجباری تمام فرآیندهای ماشین مجازی در حال اجرا را اجباری میکند.»
این باجافزار پسوند .encrypted_by_bert را اضافه میکند و یک یادداشت باجخواهی با رمزگذاری Base64 را رها میکند و بنری را نمایش میدهد که خلاصهای از فایلهای رمزگذاری شده را نشان میدهد.
طراحی ماژولار آن از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند که حاوی کلیدها، پسوندها و یادداشتهای باجخواهی است - مشابه تکنیکهای مشاهده شده در ابزارهای باجافزار مدرن.
در این گزارش آمده است: «این نسخه از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند - یک ویژگی معمول در اکثر باجافزارهای مدرن.»
تحقیقات ترند نشان داد که انواع قدیمیتر BERT به یک فرآیند رمزگذاری دو مرحلهای متکی بودند - ابتدا جمعآوری مسیرهای فایل، سپس رمزگذاری. در مقابل، نمونههای جدیدتر از یک ConcurrentQueue استفاده میکنند و DiskWorkers را در هر درایو ایجاد میکنند و به رمزگذاری اجازه میدهند بلافاصله پس از کشف فایلها شروع شود.
محققان توضیح میدهند: "این امر باعث میشود که باجافزار برخلاف نسخه قدیمیتر، به محض کشف فایلها، رمزگذاری آنها را آغاز کند."
تحلیلگران ترند میکرو شباهتهای کدی بین BERT و نوع لینوکس REvil را که در سال 2021 به طور عمومی فاش شد، مشاهده میکنند. این ارتباطات نشان میدهد که این گروه ممکن است بر اساس چارچوبهای باجافزار موجود که در حملات مهم قبلی علیه سیستمهای ESXi و لینوکس استفاده شده بود، ساخته شده باشد.
این گزارش میافزاید: "تحقیقات بیشتر نشان میدهد که این گروه ممکن است از نوع لینوکس REvil مشتق شده باشد."
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Trend Micro
BERT Ransomware Group Targets Asia and Europe on Multiple Platforms
BERT is a newly emerged ransomware group that pairs simple code with effective execution—carrying out attacks across Europe and Asia. In this entry, we examine the group’s tactics, how their variants have evolved, and the tools they use to get past defenses…
هکرها یک شرکت چند میلیارد دلاری را فقط با درخواست رمز عبور از پشتیبانی فنی هک کردند
کلروکس بزرگترین تولیدکننده مواد شوینده خانگی در جهان است که بیش از ۱۰۰ سال قدمت دارد. امروزه ارزش این شرکت حدود ۱۶ میلیارد دلار برآورد میشود. و اکنون آنها به دلیل اینکه چند سال پیش سیستمشان به سادهترین روش هک شده بود، با شرکت فناوری اطلاعات خود در حال دعوا هستند.
هکر فقط با پشتیبانی تماس گرفت، خود را کارمند کلروکس معرفی کرد و درخواست بازنشانی رمز عبور کرد. پشتیبانی فنی هویت را بررسی نکرد — نه شناسه، نه نام مدیر، هیچ چیز. فقط دسترسی را دادند.
قطعهای از گفتوگو در مدارک شکایت:
— من رمز عبور ندارم، بنابراین نمیتوانم وارد شوم.
— متوجه شدم. پس اجازه دهید رمز عبور را به شما بدهم، خوب است؟
خسارت این «حمله هکری» ۳۸۰ میلیون دلار بود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
کلروکس بزرگترین تولیدکننده مواد شوینده خانگی در جهان است که بیش از ۱۰۰ سال قدمت دارد. امروزه ارزش این شرکت حدود ۱۶ میلیارد دلار برآورد میشود. و اکنون آنها به دلیل اینکه چند سال پیش سیستمشان به سادهترین روش هک شده بود، با شرکت فناوری اطلاعات خود در حال دعوا هستند.
هکر فقط با پشتیبانی تماس گرفت، خود را کارمند کلروکس معرفی کرد و درخواست بازنشانی رمز عبور کرد. پشتیبانی فنی هویت را بررسی نکرد — نه شناسه، نه نام مدیر، هیچ چیز. فقط دسترسی را دادند.
قطعهای از گفتوگو در مدارک شکایت:
— من رمز عبور ندارم، بنابراین نمیتوانم وارد شوم.
— متوجه شدم. پس اجازه دهید رمز عبور را به شما بدهم، خوب است؟
خسارت این «حمله هکری» ۳۸۰ میلیون دلار بود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
اخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
خونریزی مجدد برگشته است. و خطرناکتر از سال ۲۰۲۲ شده است.
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
GPT-5 در عرض ۲۴ ساعت هک شد
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آیا «ربودن» ماهواره بدون موشک امکانپذیر است؟ محققان ادعا میکنند این کار آسانتر از آن چیزی است که به نظر میرسد
فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.
در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسانتر و ارزانتر از استفاده از سلاحهای ضد ماهواره است. کافی است آسیبپذیریهای موجود در نرمافزاری که خود دستگاه را کنترل میکند یا ایستگاههای زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهرهبرداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار میکرده و در آنجا بارها به آسیبپذیریهای موجود در زیرساخت فناوری اطلاعات ایستگاههای زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.
طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهوارههای عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهوارهها، ماهوارههای استارلینک اسپیس ایکس هستند، اما تعداد پلتفرمهای نظامی نیز در بحبوحه تنشهای ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهوارهها ارزانتر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.
با این حال، رشد تعداد دستگاهها با مشکلاتی در امنیت نرمافزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاههای مداری استفاده میشود. پنج آسیبپذیری با شناسههای CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم میکرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه میتوان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیهساز انجام شد و دستگاههای واقعی آسیب ندیدند.
وضعیت در OpenC3 Cosmos، یکی دیگر از سیستمهای باز برای کنترل دستگاهها از ایستگاههای زمینی، حتی بدتر هم شد. در اینجا هفت آسیبپذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپتنویسی بینسایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بستهی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس میشوند، یک آسیبپذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم میکند. چنین خطاهایی میتوانند نرمافزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستمها را بدهند.
حتی کتابخانه رمزگذاری متنباز CryptoLib که در بسیاری از ماهوارهها استفاده میشود، از مشکلات جدی در امان نمانده است. چهار آسیبپذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیبپذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرمافزار داخلی اجازه میدهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راهاندازی مجدد میشود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی میشوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار میگیرد.
تمام نقصهای شناساییشده به توسعهدهندگان منتقل و برطرف شدهاند. با این حال، متخصصان VisionSpace مطمئن هستند که نمیتوان کنترل وسیله نقلیه مداری را به راهحلهای ناامن سپرد و فرض میکنند که سایر آسیبپذیریهای حیاتی ممکن است در نرمافزار مورد استفاده باقی مانده باشند
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.
در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسانتر و ارزانتر از استفاده از سلاحهای ضد ماهواره است. کافی است آسیبپذیریهای موجود در نرمافزاری که خود دستگاه را کنترل میکند یا ایستگاههای زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهرهبرداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار میکرده و در آنجا بارها به آسیبپذیریهای موجود در زیرساخت فناوری اطلاعات ایستگاههای زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.
طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهوارههای عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهوارهها، ماهوارههای استارلینک اسپیس ایکس هستند، اما تعداد پلتفرمهای نظامی نیز در بحبوحه تنشهای ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهوارهها ارزانتر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.
با این حال، رشد تعداد دستگاهها با مشکلاتی در امنیت نرمافزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاههای مداری استفاده میشود. پنج آسیبپذیری با شناسههای CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم میکرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه میتوان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیهساز انجام شد و دستگاههای واقعی آسیب ندیدند.
وضعیت در OpenC3 Cosmos، یکی دیگر از سیستمهای باز برای کنترل دستگاهها از ایستگاههای زمینی، حتی بدتر هم شد. در اینجا هفت آسیبپذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپتنویسی بینسایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بستهی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس میشوند، یک آسیبپذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم میکند. چنین خطاهایی میتوانند نرمافزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستمها را بدهند.
حتی کتابخانه رمزگذاری متنباز CryptoLib که در بسیاری از ماهوارهها استفاده میشود، از مشکلات جدی در امان نمانده است. چهار آسیبپذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیبپذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرمافزار داخلی اجازه میدهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راهاندازی مجدد میشود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی میشوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار میگیرد.
تمام نقصهای شناساییشده به توسعهدهندگان منتقل و برطرف شدهاند. با این حال، متخصصان VisionSpace مطمئن هستند که نمیتوان کنترل وسیله نقلیه مداری را به راهحلهای ناامن سپرد و فرض میکنند که سایر آسیبپذیریهای حیاتی ممکن است در نرمافزار مورد استفاده باقی مانده باشند
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
اسکن فعال در محیطهای #OT نگرانیهای زیادی را ایجاد میکند زیرا میتواند با تحریک سیگنالهای نامطلوب، بر دسترسیپذیری یا یکپارچگی سیستم تأثیر بگذارد، اما همه اسکنهای فعال به یک اندازه خطرناک نیستند. انواعی از اسکن فعال وجود دارند که به طور خاص برای OT طراحی شدهاند و با دستگاههای تعبیهشده به زبان بومی خود (پروتکلهای ارتباطی صنعتی) ارتباط برقرار میکنند. این ابزارهای کشف OT مانند نرمافزارهای مهندسی رفتار میکنند و سیستم (مانند PLCها، RTUها و کنترلکنندههای DCS) را به روشی که دستگاه میفهمد، میخوانند تا اطلاعات دقیقی در مورد داراییها را با خیال راحت جمعآوری کنند. اسکن فعال، هنگامی که به درستی انجام شود و با آگاهی از پروتکلهای OT و رفتار دستگاه، میتواند از کشف جامع داراییها پشتیبانی کند که همچنان یکی از بزرگترین چالشها در ایمنسازی محیطهای OT است. همیشه به یاد داشته باشید: هر فعالیتی در OT باید به مجوزها، فرآیندهای مجوز کار و ماهیت منحصر به فرد سیستمهای OT احترام بگذارد، جایی که ایمنی و تداوم کسبوکار بسیار مهم هستند.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert
مایکروسافت راهنمایی در مورد آسیبپذیری با شدت بالا (CVE-2025-53786) در پیادهسازیهای Hybrid Exchange منتشر کرد.
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir