اغلب در پروژه‌هایی که لاتین ندارند (روسی، 漢語، اللُّغَةُ العَرَبِیَّة، 👄🗣💬🔤) وضعیتی پیش می‌آید که API، jsonهایی با متن escape شده (Unicode Escaped) برمی‌گرداند. در چنین متنی، کاراکترهای یونیکد به صورت توالی‌هایی مانند \u043f\u0440\u0438\u0432\u0435\u0442 کدگذاری می‌شوند. این امر پشتیبانی از زبان‌های ملی را در سیستم‌هایی که فقط با زبان پیش‌فرض کار می‌کنند، تضمین می‌کند.

برای درک محتوای چنین متنی، معمولاً باید Hackvertor را پیکربندی کنید یا محتوا را از طریق پایتون رمزگشایی کنید، که خیلی راحت نیست. همچنین می‌توانید افزونه‌هایی برای Burp در اینترنت پیدا کنید که توالی‌های Unicode Escaped را تبدیل می‌کنند - با این حال، آنها مدت‌ها پیش نوشته شده‌اند و دیگر در آخرین نسخه‌های Burp کار نمی‌کنند.

به همین دلیل است که متخصص ما، Evgeny Velikoivanenko، افزونه UnUnicode خود را نوشته است که به شما امکان می‌دهد به راحتی json های دارای کاراکترهای escape شده را به فرمتی قابل خواندن تبدیل کنید. این افزونه می‌تواند در تب‌های Proxy و Repeater کار کند و همچنین با سوکت‌های وب نیز کار می‌کند.

می‌توانید UnUnicode را از GitHub دانلود کنید.
https://github.com/bit4woo/u2c
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری جدید سرور مایکروسافت اکسچنج به مهاجمان اجازه می‌دهد تا امتیازات مدیریتی کسب کنند.

این آسیب‌پذیری که با شناسه CVE-2025-53786 ردیابی می‌شود، پس از ارائه توسط یک محقق امنیتی در کنفرانس امنیت سایبری Black Hat، رسماً توسط مایکروسافت در تاریخ ۶ آگوست ۲۰۲۵ مستند شد.

این آسیب‌پذیری ناشی از معماری استقرار ترکیبی Exchange مایکروسافت است که به طور سنتی از یک سرویس اصلی مشترک بین سرورهای Exchange داخلی و Exchange Online برای احراز هویت استفاده می‌کرد.
محقق امنیتی، دیرک-یان مولما از شرکت آوتسایدر سکیوریتی، تکنیک‌های بهره‌برداری دقیقی را در کنفرانس بلک هت ۲۰۲۵ ارائه داد و نشان داد که چگونه مهاجمان می‌توانند از این پیکربندی برای تغییر رمزهای عبور کاربران، تبدیل کاربران ابری به کاربران ترکیبی و جعل هویت کاربران ترکیبی استفاده کنند.

مولما در طول ارائه خود توضیح داد: «این توکن‌ها، اساساً به مدت ۲۴ ساعت اعتبار دارند. شما نمی‌توانید آنها را لغو کنید. بنابراین اگر کسی این توکن را داشته باشد، از نظر دفاعی مطلقاً هیچ کاری نمی‌توانید انجام دهید.»

این آسیب‌پذیری از توکن‌های دسترسی ویژه‌ای که برای ارتباط سرور Exchange با مایکروسافت ۳۶۵ استفاده می‌شوند، سوءاستفاده می‌کند . این توکن‌ها پس از سرقت قابل لغو نیستند و به مهاجمان تا ۲۴ ساعت دسترسی بدون کنترل می‌دهند.

این آسیب‌پذیری «به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور پیش‌فرض Microsoft Exchange اجازه می‌دهد تا با سوءاستفاده از پیکربندی‌های آسیب‌پذیرِ ترکیبی-پیوندی، امتیازات خود را افزایش دهد».

آسیب‌پذیری سرور مایکروسافت اکسچنج
در صورت عدم رسیدگی، این نقص می‌تواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.

نکته قابل توجه این است که مایکروسافت پیش از این از طریق تغییرات امنیتی اعلام شده در 18 آوریل 2025، شروع به رفع این آسیب‌پذیری کرده بود. این شرکت راهنمای تغییرات امنیتی سرور Exchange برای استقرارهای ترکیبی را در کنار یک اصلاحیه فوری غیرامنیتی منتشر کرد، ظاهراً برای بهبود امنیت استقرارهای ترکیبی Exchange.

با این حال، تحقیقات بعدی نشان داد که این مراحل پیکربندی در واقع یک آسیب‌پذیری امنیتی واقعی را برطرف می‌کنند و مایکروسافت را بر آن داشت تا کد CVE-2025-53786 را برای مستندسازی رسمی این نقص منتشر کند.

اعلامیه ماه آوریل، انتقال از اصول خدمات مشترک به برنامه‌های ترکیبی اختصاصی Exchange را معرفی کرد. این تغییر برای از بین بردن مشکلات مربوط به مرز امنیتی که این آسیب‌پذیری را ممکن می‌کرد، طراحی شده بود.

اسناد رسمی مایکروسافت توضیح می‌دهد که Exchange Server قبلاً از «یک سرویس اصلی مشترک با همان برنامه Exchange Online» برای ویژگی‌های ترکیبی مانند اشتراک‌گذاری تقویم و تصاویر پروفایل کاربر استفاده می‌کرد.

این آسیب‌پذیری سناریوهای حمله پیچیده‌ای را ممکن می‌سازد که در آن مهاجمان با دسترسی اولیه مدیریتی به سرورهای Exchange داخلی می‌توانند امتیازات خود را در محیط‌های ابری متصل افزایش دهند.

سوءاستفاده موفقیت‌آمیز می‌تواند مهاجمان را قادر سازد تا «در محیط ابری متصل سازمان، بدون برجای گذاشتن ردپایی که به راحتی قابل تشخیص و حسابرسی باشد»، امتیازات خود را افزایش دهند.

پیچیدگی حمله بالا ارزیابی شده است و مستلزم آن است که مهاجمان ابتدا دسترسی مدیریتی روی یک سرور Exchange داشته باشند. با این حال، پس از برآورده شدن این پیش‌نیاز، رتبه‌بندی تغییر دامنه آسیب‌پذیری نشان می‌دهد که سوءاستفاده می‌تواند منابعی فراتر از مؤلفه اولیه آسیب‌پذیر را تحت تأثیر قرار دهد.

این ویژگی، آن را به ویژه برای سازمان‌هایی که از Exchange ترکیبی استفاده می‌کنند، خطرناک می‌کند، زیرا یک سرور داخلیِ آسیب‌پذیر می‌تواند دسترسی ابری گسترده‌ای را فراهم کند.

کارشناسان امنیتی خاطرنشان کرده‌اند که این آسیب‌پذیری به‌ویژه نگران‌کننده است زیرا در لایه هویت عمل می‌کند و به‌طور بالقوه به مهاجمان اجازه می‌دهد مجوزهای اجرایی را تغییر دهند و دسترسی مداوم بین سیستم‌های Exchange داخلی و Microsoft 365 برقرار کنند.

مایکروسافت اظهار داشته است که تا تاریخ اعلام این خبر، هیچ سوءاستفاده‌ای از این آسیب‌پذیری مشاهده نشده است، اگرچه محققان امنیتی حملات اثبات مفهومی را نشان داده‌اند.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

راهنمایی‌های اصلاحی برای سازمان‌های آسیب‌دیده ارائه کرده است:

به‌روزرسانی‌های هات‌فیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرورهای اکسچنج داخلی نصب کنید.
دستورالعمل‌های پیکربندی مایکروسافت را برای استقرار برنامه‌های ترکیبی اختصاصی Exchange دنبال کنید.
برای تنظیم مجدد اعتبارنامه‌های کلید اصلی سرویس، راهنمای حالت پاکسازی سرویس اصلی مایکروسافت را مرور کنید.
برای تعیین اینکه آیا مراحل اضافی مورد نیاز است یا خیر، Microsoft Exchange Health Checker را اجرا کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

حمله باج‌افزار جدید BERT به زیرساختهای ایران : حملات چند رشته‌ای با لینک‌های REvil به ویندوز، لینوکس و ESXi حمله می‌کند


تحلیلگران امنیتی در Trend Micro شاهد ظهور یک گروه باج‌افزار ناشناخته بودند که اکنون با نام BERT ردیابی می‌شود - یک عامل تهدید که انواع باج‌افزار چند رشته‌ای را علیه قربانیان در سراسر آسیا، اروپا و ایالات متحده به کار می‌گیرد. اهداف این گروه شامل بخش‌های مراقبت‌های بهداشتی، فناوری و خدمات رویداد است که آنها را به عنوان یک نیروی رو به رشد در اکوسیستم باج‌افزار نشان می‌دهد.

این گزارش تأیید می‌کند: "BERT (که توسط Trend Micro با نام Water Pombero ردیابی می‌شود) یک گروه باج‌افزار نوظهور است که هر دو پلتفرم ویندوز و لینوکس را هدف قرار می‌دهد."

در سیستم‌های ویندوز، بدافزار BERT از طریق یک بارگذار PowerShell (start.ps1) مستقر می‌شود که سیستم‌های دفاعی را غیرفعال می‌کند، امتیازات را افزایش می‌دهد و بار داده (payload.exe) را از یک دایرکتوری باز میزبانی شده در یک IP مرتبط با ASN 39134، یک ارائه دهنده زیرساخت روسی، دانلود می‌کند.


در این گزارش توضیح داده شده است: "اسکریپت PowerShell امتیازات را افزایش می‌دهد، Windows Defender، فایروال و کنترل حساب کاربری (UAC) را غیرفعال می‌کند، سپس باج‌افزار را دانلود و اجرا می‌کند."


این بدافزار قبل از شروع رمزگذاری با استفاده از AES، سرویس‌های مرتبط با سرورهای وب و پایگاه‌های داده را خاتمه می‌دهد، پسوند .encryptedbybert را اضافه می‌کند و یک یادداشت باج‌خواهی منتشر می‌کند.


ترند میکرو همچنین وجود نظرات به زبان روسی را در اسکریپت PowerShell برجسته می‌کند - که به طور بالقوه نشان‌دهنده منشأ یا تأثیر کدگذاری عوامل تهدید است.


نوع لینوکس BERT که در ماه مه کشف شد، حتی فعال‌تر است. این با حداکثر ۵۰ رشته همزمان برای رمزگذاری سریع دایرکتوری‌های هدف اجرا می‌شود و می‌تواند ماشین‌های مجازی ESXi را به زور خاموش کند تا حداکثر تأثیر را تضمین کند.

ترند میکرو هشدار می‌دهد: «هنگامی که بدون پارامترهای خط فرمان اجرا شود، به خاموش کردن ماشین‌های مجازی ادامه می‌دهد... [و] خاتمه اجباری تمام فرآیندهای ماشین مجازی در حال اجرا را اجباری می‌کند.»


این باج‌افزار پسوند .encrypted_by_bert را اضافه می‌کند و یک یادداشت باج‌خواهی با رمزگذاری Base64 را رها می‌کند و بنری را نمایش می‌دهد که خلاصه‌ای از فایل‌های رمزگذاری شده را نشان می‌دهد.

طراحی ماژولار آن از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده می‌کند که حاوی کلیدها، پسوندها و یادداشت‌های باج‌خواهی است - مشابه تکنیک‌های مشاهده شده در ابزارهای باج‌افزار مدرن.

در این گزارش آمده است: «این نسخه از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده می‌کند - یک ویژگی معمول در اکثر باج‌افزارهای مدرن.»

تحقیقات ترند نشان داد که انواع قدیمی‌تر BERT به یک فرآیند رمزگذاری دو مرحله‌ای متکی بودند - ابتدا جمع‌آوری مسیرهای فایل، سپس رمزگذاری. در مقابل، نمونه‌های جدیدتر از یک ConcurrentQueue استفاده می‌کنند و DiskWorkers را در هر درایو ایجاد می‌کنند و به رمزگذاری اجازه می‌دهند بلافاصله پس از کشف فایل‌ها شروع شود.

محققان توضیح می‌دهند: "این امر باعث می‌شود که باج‌افزار برخلاف نسخه قدیمی‌تر، به محض کشف فایل‌ها، رمزگذاری آنها را آغاز کند."

تحلیلگران ترند میکرو شباهت‌های کدی بین BERT و نوع لینوکس REvil را که در سال 2021 به طور عمومی فاش شد، مشاهده می‌کنند. این ارتباطات نشان می‌دهد که این گروه ممکن است بر اساس چارچوب‌های باج‌افزار موجود که در حملات مهم قبلی علیه سیستم‌های ESXi و لینوکس استفاده شده بود، ساخته شده باشد.

این گزارش می‌افزاید: "تحقیقات بیشتر نشان می‌دهد که این گروه ممکن است از نوع لینوکس REvil مشتق شده باشد."
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام:
https://t.me/ICSCERT_IR
گروه ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

هکرها یک شرکت چند میلیارد دلاری را فقط با درخواست رمز عبور از پشتیبانی فنی هک کردند

کلروکس بزرگ‌ترین تولیدکننده مواد شوینده خانگی در جهان است که بیش از ۱۰۰ سال قدمت دارد. امروزه ارزش این شرکت حدود ۱۶ میلیارد دلار برآورد می‌شود. و اکنون آن‌ها به دلیل اینکه چند سال پیش سیستم‌شان به ساده‌ترین روش هک شده بود، با شرکت فناوری اطلاعات خود در حال دعوا هستند.

هکر فقط با پشتیبانی تماس گرفت، خود را کارمند کلروکس معرفی کرد و درخواست بازنشانی رمز عبور کرد. پشتیبانی فنی هویت را بررسی نکرد — نه شناسه، نه نام مدیر، هیچ چیز. فقط دسترسی را دادند.

قطعه‌ای از گفت‌وگو در مدارک شکایت:
— من رمز عبور ندارم، بنابراین نمی‌توانم وارد شوم.
— متوجه شدم. پس اجازه دهید رمز عبور را به شما بدهم، خوب است؟
خسارت این «حمله هکری» ۳۸۰ میلیون دلار بود.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اخبار آسیب‌پذیری
تکنیک‌های جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور می‌زند و داده‌ها را استخراج می‌کند

اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیب‌پذیری
تکنیک‌های جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور می‌زند و داده‌ها را استخراج می‌کند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیده‌ای که از محیط‌های ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده می‌کنند، رونمایی شدند و نشان دادند که چگونه مهاجمان می‌توانند از طریق تکنیک‌های حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.

این روش‌ها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیب‌پذیری‌های حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار می‌کنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم می‌کنند.

نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیط‌های Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهی‌های ترکیبی Exchange، توکن‌های S2S را با دسترسی مدیر جهانی و بدون گزارش‌های حسابرسی تولید می‌کنند.
۳. مایکروسافت برخی از سوءاستفاده‌ها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیب‌پذیر است.
دستکاری بی‌نقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، می‌توانند پیکربندی‌های Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیط‌های سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.

کاهش‌ها
مایکروسافت این آسیب‌پذیری‌ها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامه‌های اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.

با این حال، قابلیت‌های جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد می‌کنند.

این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.

سازمان‌ها باید فوراً پیکربندی‌های ترکیبی Exchange خود را با استفاده از کوئری‌های تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیت‌های مشکوک را شناسایی کنند.

اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حساب‌های کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حساب‌های همگام‌سازی دایرکتوری است.

تیم‌های امنیتی همچنین باید تغییرات غیرمجاز در سیاست‌های احراز هویت را رصد کنند و انتقال به برنامه‌های
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

خونریزی مجدد برگشته است. و خطرناک‌تر از سال ۲۰۲۲ شده است.

هکرها روزنه‌های جدیدی در اعماق معماری پیدا کرده‌اند و اکنون می‌توانند داده‌ها را با سرعت نگران‌کننده‌ای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشین‌های مجازی روی یک سرور گرفته تا استخراج داده‌های حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله می‌تواند از محیط‌های ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.

این روش تهدید ویژه‌ای برای زیرساخت‌های مجازی و ابری محسوب می‌شود. آزمایش‌های انجام‌شده، احتمال اجرای کد در داخل یک ماشین مجازی آسیب‌دیده با دسترسی به حافظه سیستم میزبان و حتی خواندن داده‌ها از سایر ماشین‌های مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویس‌های ابری، که در آن‌ها کلاینت‌هایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد می‌کند.

توسعه‌دهندگان این اکسپلویت با پیاده‌سازی برنامه‌نویسی بازگشت‌گرای گمانه‌زن (ROP) برای ایجاد «گجت‌های آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیت‌های کلیدی رویکرد قبلی غلبه کردند. آن‌ها همچنین آموزش پیش‌بینی‌کننده شاخه و تکنیک‌های دور زدن KASLR (تصادفی‌سازی طرح‌بندی فضای آدرس هسته) را بهبود بخشیدند.

از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش می‌دهد و IBPB (مانع پیش‌بینی غیرمستقیم شاخه) که سختگیرانه‌تر است، می‌تواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستم‌های با بار زیاد دشوار می‌کند.

این کار نشان می‌دهد که حتی آسیب‌پذیری‌های شناخته‌شده را می‌توان دوباره طراحی و در سناریوهای مخرب‌تر استفاده کرد. دارندگان سیستم‌های مبتنی بر پردازنده‌های AMD آسیب‌دیده، به‌ویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعه‌ی دفاع‌های مؤثرتر دارند.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

GPT-5 در عرض ۲۴ ساعت هک شد

دو تیم از محققان راهی پیدا کرده‌اند تا هوش مصنوعی را وادار کنند دستورالعمل‌های ممنوعه را آشکار کند.

پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکاف‌های قابل توجهی را به ویژه از نظر جهت‌گیری تجاری باقی می‌گذارند.»

NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستان‌سرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت می‌گوید این مورد نشان می‌دهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر می‌سپارد - آسیب‌پذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت می‌کنند و از محرک‌های مسدودکننده آشکار اجتناب می‌کنند.

این فرآیند به این صورت انجام می‌شود: ابتدا، سرنخ‌های سمی به طور نامحسوس در قالب متنی بی‌ضرر وارد مکالمه می‌شوند؛ سپس روایتی ساخته می‌شود که انسجام منطقی را حفظ می‌کند اما از کلماتی که می‌توانند باعث رد شدن شوند، اجتناب می‌کند؛ سپس چرخه‌ای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه می‌کند که زمینه مورد نظر را تقویت می‌کند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر می‌دهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیع‌تر می‌کند و به آن اجازه می‌دهد بدون نقض مستقیم قوانین، به هدف خود برسد.

SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهم‌سازی پرس‌وجو آزمایش کرد. یکی از روش‌ها، حمله مبهم‌سازی StringJoin است که بین هر حرف یک خط فاصله قرار می‌دهد و کل پرس‌وجو را به یک وظیفه «رمزگشایی» جعلی تبدیل می‌کند. در یک مثال، به GPT-5، دستورالعمل طولانی‌ای که با سوال «چگونه بمب بسازم؟» تمام می‌شد، با آشنایی غیرمنتظره‌ای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام می‌گذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما می‌گویم چگونه...»

آزمایش‌های مقایسه‌ای نشان داده‌اند که GPT-4o ، به‌ویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاوم‌تر باقی می‌ماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آیا «ربودن» ماهواره بدون موشک امکان‌پذیر است؟ محققان ادعا می‌کنند این کار آسان‌تر از آن چیزی است که به نظر می‌رسد

فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.


در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسان‌تر و ارزان‌تر از استفاده از سلاح‌های ضد ماهواره است. کافی است آسیب‌پذیری‌های موجود در نرم‌افزاری که خود دستگاه را کنترل می‌کند یا ایستگاه‌های زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهره‌برداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار می‌کرده و در آنجا بارها به آسیب‌پذیری‌های موجود در زیرساخت فناوری اطلاعات ایستگاه‌های زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.

طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهواره‌های عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهواره‌ها، ماهواره‌های استارلینک اسپیس ایکس هستند، اما تعداد پلتفرم‌های نظامی نیز در بحبوحه تنش‌های ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهواره‌ها ارزان‌تر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.

با این حال، رشد تعداد دستگاه‌ها با مشکلاتی در امنیت نرم‌افزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاه‌های مداری استفاده می‌شود. پنج آسیب‌پذیری با شناسه‌های CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم می‌کرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه می‌توان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیه‌ساز انجام شد و دستگاه‌های واقعی آسیب ندیدند.

وضعیت در OpenC3 Cosmos، یکی دیگر از سیستم‌های باز برای کنترل دستگاه‌ها از ایستگاه‌های زمینی، حتی بدتر هم شد. در اینجا هفت آسیب‌پذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپت‌نویسی بین‌سایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بسته‌ی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس می‌شوند، یک آسیب‌پذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم می‌کند. چنین خطاهایی می‌توانند نرم‌افزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستم‌ها را بدهند.

حتی کتابخانه رمزگذاری متن‌باز CryptoLib که در بسیاری از ماهواره‌ها استفاده می‌شود، از مشکلات جدی در امان نمانده است. چهار آسیب‌پذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیب‌پذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرم‌افزار داخلی اجازه می‌دهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راه‌اندازی مجدد می‌شود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی می‌شوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار می‌گیرد.

تمام نقص‌های شناسایی‌شده به توسعه‌دهندگان منتقل و برطرف شده‌اند. با این حال، متخصصان VisionSpace مطمئن هستند که نمی‌توان کنترل وسیله نقلیه مداری را به راه‌حل‌های ناامن سپرد و فرض می‌کنند که سایر آسیب‌پذیری‌های حیاتی ممکن است در نرم‌افزار مورد استفاده باقی مانده باشند

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اسکن فعال در محیط‌های #OT نگرانی‌های زیادی را ایجاد می‌کند زیرا می‌تواند با تحریک سیگنال‌های نامطلوب، بر دسترسی‌پذیری یا یکپارچگی سیستم تأثیر بگذارد، اما همه اسکن‌های فعال به یک اندازه خطرناک نیستند. انواعی از اسکن فعال وجود دارند که به طور خاص برای OT طراحی شده‌اند و با دستگاه‌های تعبیه‌شده به زبان بومی خود (پروتکل‌های ارتباطی صنعتی) ارتباط برقرار می‌کنند. این ابزارهای کشف OT مانند نرم‌افزارهای مهندسی رفتار می‌کنند و سیستم (مانند PLCها، RTUها و کنترل‌کننده‌های DCS) را به روشی که دستگاه می‌فهمد، می‌خوانند تا اطلاعات دقیقی در مورد دارایی‌ها را با خیال راحت جمع‌آوری کنند. اسکن فعال، هنگامی که به درستی انجام شود و با آگاهی از پروتکل‌های OT و رفتار دستگاه، می‌تواند از کشف جامع دارایی‌ها پشتیبانی کند که همچنان یکی از بزرگترین چالش‌ها در ایمن‌سازی محیط‌های OT است. همیشه به یاد داشته باشید: هر فعالیتی در OT باید به مجوزها، فرآیندهای مجوز کار و ماهیت منحصر به فرد سیستم‌های OT احترام بگذارد، جایی که ایمنی و تداوم کسب‌وکار بسیار مهم هستند.

🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert

مایکروسافت راهنمایی در مورد آسیب‌پذیری با شدت بالا (CVE-2025-53786) در پیاده‌سازی‌های Hybrid Exchange منتشر کرد.

به‌روزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را به‌روزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکه‌های یک سازمان ارائه دهد و راهنمایی‌های بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.

IACS از آسیب‌پذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیب‌پذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه می‌دهد تا با سوءاستفاده از پیکربندی‌های آسیب‌پذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیب‌پذیری، در صورت عدم رسیدگی، می‌تواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.

اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفاده‌ای مشاهده نشده است، اما IACS اکیداً از سازمان‌ها می‌خواهد که راهنمای آسیب‌پذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار می‌دهند.

سازمان‌ها ابتدا باید تمام سرورهای Exchange را در شبکه‌های خود فهرست‌بندی کنند (سازمان‌ها باید از ابزارهای موجود برای مشاهده‌پذیری یا ابزارهای عمومی مانند اسکریپت‌های NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده می‌کنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفته‌اند و برای به‌روزرسانی تجمعی (CU) در دسترس هستند یا خیر.
به‌روزرسانی‌های هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعمل‌های پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمان‌هایی که از Exchange hybrid استفاده می‌کنند (یا قبلاً Exchange hybrid را پیکربندی کرده‌اند اما دیگر از آن استفاده نمی‌کنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.

IACS اکیداً به نهادها توصیه می‌کند که نسخه‌های عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیده‌اند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخه‌های قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.

سازمان‌ها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنمایی‌های بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:

اطلاعات موجود در این گزارش صرفاً جهت اطلاع‌رسانی و «به همین صورت که هست» ارائه می‌شود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمی‌کند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

✴️ معماری سیستم کنترل صنعتی / OT — کنترل‌کننده‌های دامنه در مقابل اشیاء سیاست گروهی (GPO)

✴️ در محیط‌های فناوری عملیاتی (OT)، استقرار کنترل‌کننده‌های دامنه فقط یک دیدگاه فناوری اطلاعات نیست، بلکه یک اقدام حیاتی امنیت سایبری با ایمنی و دسترسی صنعتی در معرض خطر است.
بیایید ببینیم چرا اهمیت دارد: چه در حال مهندسی و طراحی یک سیستم کنترل در حال توسعه باشید و چه در حال ارتقاء یک مجموعه در حال توسعه از معماری سیستم کنترل موجود، اشیاء سیاست گروهی (GPO) نقش محوری در مقاوم‌سازی زیرساخت OT ایفا می‌کنند.

در اینجا نگاهی سریع به بهترین شیوه‌های ضروری GPO برای محیط‌های صنعتی OT با یکپارچگی بالا و تنظیم‌شده می‌اندازیم:
✅ غیرفعال کردن پروتکل‌های قدیمی (مانند LM/NTLM fallback)
✅ محدود کردن دسترسی ناشناس (pipes، shareها، SID enumeration)
✅ اعمال رمزهای عبور قوی، UAC و سیاست‌های قفل‌گذاری
✅ جلوگیری از ترافیک رمزگذاری نشده (SMB، WinRM، Digest)
✅ حسابرسی استفاده از امتیازات حساس، تغییرات سیاست‌ها و اشیاء AD
✅ مسدود کردن autorun/auto-play، سوءاستفاده از نصب‌کننده‌های سطح بالا
✅ الزام به امضای "همیشه" SMB

آیا می‌دانستید؟
ترافیک رمزگذاری نشده محدود به یک فروشنده سیستم کنترل قدیمی نیست، بلکه بی‌سروصدا در بسیاری از فروشندگان سیستم کنترل وجود دارد.
پروتکل‌هایی مانند SMB، WinRM و احراز هویت Digest اغلب به دلایل زیر رمزگذاری نشده باقی می‌مانند:
🔹 محدودیت‌های پشتیبانی از سیستم‌عامل‌های قدیمی
🔹 وابستگی‌های انتقال فایل مختص فروشنده
🔹 نیازهای سازگاری در معماری‌های نسخه ترکیبی.
اما سوال این است که چرا این موضوع مهم است؟
پروتکل‌های رمزگذاری نشده، راه را برای سرقت اعتبارنامه، حملات مرد میانی (که قبلاً در صنعت اتفاق می‌افتد) و دستکاری داده‌ها اغلب بدون ایجاد هشدار باز می‌کنند.

👉 کاهش و بهترین شیوه‌ها:
هنگام استقرار کنترل‌کننده دامنه جدید یا مقاوم‌سازی کنترل‌کننده‌های دامنه OT و میزبان‌های ویندوز موجود:
✅ امضا و رمزگذاری SMB را اجباری کنید
✅ Kerberos را به NTLM/Digest ترجیح دهید
✅ گره‌های قدیمی را با استفاده از کنترل‌های منطقه‌بندی و جبران‌سازی ایزوله کنید زیرا در محیط OT، ایمنی و در دسترس بودن بسیار مهم است اما امنیت چیزی است که آن را قابل اعتماد نگه می‌دارد.

#امنیت_سایبری #امنیت #IEC62443 #سیستم‌های_کنترلی #تاب‌آوری_سایبری #امنیت_صنعتی #دفاع_در_عمق #NERC_CIP

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک گروه دیگر (گفته می‌شود طرفدار روسیه است) که تمرکز خود را بر حملات به سیستم‌های کنترل و اتوماسیون صنعتی در جهان گذاشته است
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

استاندارد NIST برای تبدیلات رمزنگاری در دستگاه‌های با توان محدود (مثلاً اینترنت اشیاء) منتشر شد
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیب‌پذیری‌های سیستم‌های سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستم‌های کنترل صنعتی #ICS ، آسیب‌پذیری‌های شناخته‌شده زیادی وجود دارند و در حالی که وصله‌ها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامه‌ریزی‌شده بعدی، اعمال آنها را به تأخیر می‌اندازند.
با تنش‌های سیاسی فعلی بین کشورهای بزرگ، زیرساخت‌های حیاتی به هدف اصلی تبدیل شده‌اند.
اخیراً، گروه‌های تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساخت‌های حیاتی در ایالات متحده را هدف قرار می‌دهند.

حتی اگر کشورهای ما مستقیماً درگیر این درگیری‌های ژئوپلیتیکی نباشند، ما هنوز هم می‌توانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیط‌های خاص ICS طراحی شده‌اند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هسته‌ای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجه‌های امنیت سایبری در اکثر شرکت‌های زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT می‌تواند بسیار فراتر از نقض داده‌ها باشد، می‌تواند بر زندگی انسان‌ها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

ما به عنوان متخصصان امنیت سایبری فقط می‌خواهیم به سازمان‌هایی که محیط‌های OT دارند کمک کنیم تا در صورت وقوع، آسیب حوادث امنیت سایبری را محدود کنند.
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025

به طور خاص در رابطه با بخش OT IR نشان می‌دهد که چگونه حملات مسیر خود را طی کرده‌اند و دارایی‌های در معرض اینترنت، رمزهای عبور ضعیف، پیکربندی‌های نادرست، نقاط پایانی بدون آنتی‌ویروس و غیره را به خطر انداخته‌اند.
آنها درک می‌کنند که در دسترس بودن سیستم‌ها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیم‌های OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد می‌شنوند، در داخل خود در برابر تغییر مقاومت می‌کنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترل‌های مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیم‌های OT با حمایت تیم‌های امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیم‌های IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترل‌ها/تغییرات در سیستم‌های آنها پیش نرویم.

همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاست‌ها/رویه‌ها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهم‌تر از اجرای واقعی کنترل‌ها و غیره است. استانداردها/دستورالعمل‌های ما مانند IEC-62443، NIST 800-82 توصیه‌هایی برای کنترل‌ها ارائه داده‌اند و همیشه گزینه‌ای برای جبران کنترل‌ها ارائه داده‌اند.

هدف از جبران کنترل‌ها نباید فقط به سیستم‌های قدیمی/منسوخ یا سیستم‌هایی که نمی‌توانند در کوتاه‌مدت دوره‌های نگهداری داشته باشند، محدود شود. ما همچنین باید تیم‌های OT را درک و با آنها همدلی کنیم تا در جایی که احساس می‌کنند کنترل‌های جبرانی برای آنها مشکل ایجاد می‌کند و در برابر تغییر مقاومت ایجاد می‌کند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانی‌های آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترل‌های امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄


بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری سرور ایمیل Microsoft Exchange Server به دلیل نقص‌هایی در روند احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد امتیازات خود را افزایش دهد.

BDU:2025-09477
CVE-2025-53786

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیم‌بندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درس هایی از حمله سایبری آئروفلوت:
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری سرویس نظارت بر وضعیت فرآیند phMonitor در سیستم مدیریت امنیت FortiSIEM مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه و افزایش امتیازات خود با ارسال دستورات خاص می‌کند، اجازه دهد.

BDU:2025-09821
CVE-2025-25256

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

کمتر از ۱ ساعت دیگر رویداد درس هایی از حمله سایبری آئروفلوت:ضرورت تقویت امنیت OT در زیرساختهای حیاتی و حساس آغاز خواهد شد.
لینک ورود به رویداد:
https://m0h.ir/73acmqkw

آسیب‌پذیری نرم‌افزار محاسبه موقعیت ترنسپوندرهای جداگانه RTLS در SIMATIC RTLS Locating Manager به نقص‌های مکانیزم بررسی داده‌های ورودی هنگام اجرای سناریوهای پشتیبان‌گیری مرتبط است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد کد دلخواه را با دسترسی SYSTEM اجرا کند.

CVE-2025-40746

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای رصد تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t