اخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
خونریزی مجدد برگشته است. و خطرناکتر از سال ۲۰۲۲ شده است.
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
GPT-5 در عرض ۲۴ ساعت هک شد
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آیا «ربودن» ماهواره بدون موشک امکانپذیر است؟ محققان ادعا میکنند این کار آسانتر از آن چیزی است که به نظر میرسد
فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.
در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسانتر و ارزانتر از استفاده از سلاحهای ضد ماهواره است. کافی است آسیبپذیریهای موجود در نرمافزاری که خود دستگاه را کنترل میکند یا ایستگاههای زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهرهبرداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار میکرده و در آنجا بارها به آسیبپذیریهای موجود در زیرساخت فناوری اطلاعات ایستگاههای زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.
طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهوارههای عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهوارهها، ماهوارههای استارلینک اسپیس ایکس هستند، اما تعداد پلتفرمهای نظامی نیز در بحبوحه تنشهای ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهوارهها ارزانتر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.
با این حال، رشد تعداد دستگاهها با مشکلاتی در امنیت نرمافزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاههای مداری استفاده میشود. پنج آسیبپذیری با شناسههای CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم میکرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه میتوان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیهساز انجام شد و دستگاههای واقعی آسیب ندیدند.
وضعیت در OpenC3 Cosmos، یکی دیگر از سیستمهای باز برای کنترل دستگاهها از ایستگاههای زمینی، حتی بدتر هم شد. در اینجا هفت آسیبپذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپتنویسی بینسایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بستهی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس میشوند، یک آسیبپذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم میکند. چنین خطاهایی میتوانند نرمافزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستمها را بدهند.
حتی کتابخانه رمزگذاری متنباز CryptoLib که در بسیاری از ماهوارهها استفاده میشود، از مشکلات جدی در امان نمانده است. چهار آسیبپذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیبپذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرمافزار داخلی اجازه میدهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راهاندازی مجدد میشود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی میشوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار میگیرد.
تمام نقصهای شناساییشده به توسعهدهندگان منتقل و برطرف شدهاند. با این حال، متخصصان VisionSpace مطمئن هستند که نمیتوان کنترل وسیله نقلیه مداری را به راهحلهای ناامن سپرد و فرض میکنند که سایر آسیبپذیریهای حیاتی ممکن است در نرمافزار مورد استفاده باقی مانده باشند
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.
در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسانتر و ارزانتر از استفاده از سلاحهای ضد ماهواره است. کافی است آسیبپذیریهای موجود در نرمافزاری که خود دستگاه را کنترل میکند یا ایستگاههای زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهرهبرداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار میکرده و در آنجا بارها به آسیبپذیریهای موجود در زیرساخت فناوری اطلاعات ایستگاههای زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.
طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهوارههای عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهوارهها، ماهوارههای استارلینک اسپیس ایکس هستند، اما تعداد پلتفرمهای نظامی نیز در بحبوحه تنشهای ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهوارهها ارزانتر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.
با این حال، رشد تعداد دستگاهها با مشکلاتی در امنیت نرمافزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاههای مداری استفاده میشود. پنج آسیبپذیری با شناسههای CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم میکرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه میتوان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیهساز انجام شد و دستگاههای واقعی آسیب ندیدند.
وضعیت در OpenC3 Cosmos، یکی دیگر از سیستمهای باز برای کنترل دستگاهها از ایستگاههای زمینی، حتی بدتر هم شد. در اینجا هفت آسیبپذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپتنویسی بینسایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بستهی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس میشوند، یک آسیبپذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم میکند. چنین خطاهایی میتوانند نرمافزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستمها را بدهند.
حتی کتابخانه رمزگذاری متنباز CryptoLib که در بسیاری از ماهوارهها استفاده میشود، از مشکلات جدی در امان نمانده است. چهار آسیبپذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیبپذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرمافزار داخلی اجازه میدهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راهاندازی مجدد میشود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی میشوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار میگیرد.
تمام نقصهای شناساییشده به توسعهدهندگان منتقل و برطرف شدهاند. با این حال، متخصصان VisionSpace مطمئن هستند که نمیتوان کنترل وسیله نقلیه مداری را به راهحلهای ناامن سپرد و فرض میکنند که سایر آسیبپذیریهای حیاتی ممکن است در نرمافزار مورد استفاده باقی مانده باشند
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
اسکن فعال در محیطهای #OT نگرانیهای زیادی را ایجاد میکند زیرا میتواند با تحریک سیگنالهای نامطلوب، بر دسترسیپذیری یا یکپارچگی سیستم تأثیر بگذارد، اما همه اسکنهای فعال به یک اندازه خطرناک نیستند. انواعی از اسکن فعال وجود دارند که به طور خاص برای OT طراحی شدهاند و با دستگاههای تعبیهشده به زبان بومی خود (پروتکلهای ارتباطی صنعتی) ارتباط برقرار میکنند. این ابزارهای کشف OT مانند نرمافزارهای مهندسی رفتار میکنند و سیستم (مانند PLCها، RTUها و کنترلکنندههای DCS) را به روشی که دستگاه میفهمد، میخوانند تا اطلاعات دقیقی در مورد داراییها را با خیال راحت جمعآوری کنند. اسکن فعال، هنگامی که به درستی انجام شود و با آگاهی از پروتکلهای OT و رفتار دستگاه، میتواند از کشف جامع داراییها پشتیبانی کند که همچنان یکی از بزرگترین چالشها در ایمنسازی محیطهای OT است. همیشه به یاد داشته باشید: هر فعالیتی در OT باید به مجوزها، فرآیندهای مجوز کار و ماهیت منحصر به فرد سیستمهای OT احترام بگذارد، جایی که ایمنی و تداوم کسبوکار بسیار مهم هستند.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert
مایکروسافت راهنمایی در مورد آسیبپذیری با شدت بالا (CVE-2025-53786) در پیادهسازیهای Hybrid Exchange منتشر کرد.
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
✴️ معماری سیستم کنترل صنعتی / OT — کنترلکنندههای دامنه در مقابل اشیاء سیاست گروهی (GPO)
✴️ در محیطهای فناوری عملیاتی (OT)، استقرار کنترلکنندههای دامنه فقط یک دیدگاه فناوری اطلاعات نیست، بلکه یک اقدام حیاتی امنیت سایبری با ایمنی و دسترسی صنعتی در معرض خطر است.
بیایید ببینیم چرا اهمیت دارد: چه در حال مهندسی و طراحی یک سیستم کنترل در حال توسعه باشید و چه در حال ارتقاء یک مجموعه در حال توسعه از معماری سیستم کنترل موجود، اشیاء سیاست گروهی (GPO) نقش محوری در مقاومسازی زیرساخت OT ایفا میکنند.
در اینجا نگاهی سریع به بهترین شیوههای ضروری GPO برای محیطهای صنعتی OT با یکپارچگی بالا و تنظیمشده میاندازیم:
✅ غیرفعال کردن پروتکلهای قدیمی (مانند LM/NTLM fallback)
✅ محدود کردن دسترسی ناشناس (pipes، shareها، SID enumeration)
✅ اعمال رمزهای عبور قوی، UAC و سیاستهای قفلگذاری
✅ جلوگیری از ترافیک رمزگذاری نشده (SMB، WinRM، Digest)
✅ حسابرسی استفاده از امتیازات حساس، تغییرات سیاستها و اشیاء AD
✅ مسدود کردن autorun/auto-play، سوءاستفاده از نصبکنندههای سطح بالا
✅ الزام به امضای "همیشه" SMB
آیا میدانستید؟
ترافیک رمزگذاری نشده محدود به یک فروشنده سیستم کنترل قدیمی نیست، بلکه بیسروصدا در بسیاری از فروشندگان سیستم کنترل وجود دارد.
پروتکلهایی مانند SMB، WinRM و احراز هویت Digest اغلب به دلایل زیر رمزگذاری نشده باقی میمانند:
🔹 محدودیتهای پشتیبانی از سیستمعاملهای قدیمی
🔹 وابستگیهای انتقال فایل مختص فروشنده
🔹 نیازهای سازگاری در معماریهای نسخه ترکیبی.
اما سوال این است که چرا این موضوع مهم است؟
پروتکلهای رمزگذاری نشده، راه را برای سرقت اعتبارنامه، حملات مرد میانی (که قبلاً در صنعت اتفاق میافتد) و دستکاری دادهها اغلب بدون ایجاد هشدار باز میکنند.
👉 کاهش و بهترین شیوهها:
هنگام استقرار کنترلکننده دامنه جدید یا مقاومسازی کنترلکنندههای دامنه OT و میزبانهای ویندوز موجود:
✅ امضا و رمزگذاری SMB را اجباری کنید
✅ Kerberos را به NTLM/Digest ترجیح دهید
✅ گرههای قدیمی را با استفاده از کنترلهای منطقهبندی و جبرانسازی ایزوله کنید زیرا در محیط OT، ایمنی و در دسترس بودن بسیار مهم است اما امنیت چیزی است که آن را قابل اعتماد نگه میدارد.
#امنیت_سایبری #امنیت #IEC62443 #سیستمهای_کنترلی #تابآوری_سایبری #امنیت_صنعتی #دفاع_در_عمق #NERC_CIP
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
✴️ در محیطهای فناوری عملیاتی (OT)، استقرار کنترلکنندههای دامنه فقط یک دیدگاه فناوری اطلاعات نیست، بلکه یک اقدام حیاتی امنیت سایبری با ایمنی و دسترسی صنعتی در معرض خطر است.
بیایید ببینیم چرا اهمیت دارد: چه در حال مهندسی و طراحی یک سیستم کنترل در حال توسعه باشید و چه در حال ارتقاء یک مجموعه در حال توسعه از معماری سیستم کنترل موجود، اشیاء سیاست گروهی (GPO) نقش محوری در مقاومسازی زیرساخت OT ایفا میکنند.
در اینجا نگاهی سریع به بهترین شیوههای ضروری GPO برای محیطهای صنعتی OT با یکپارچگی بالا و تنظیمشده میاندازیم:
✅ غیرفعال کردن پروتکلهای قدیمی (مانند LM/NTLM fallback)
✅ محدود کردن دسترسی ناشناس (pipes، shareها، SID enumeration)
✅ اعمال رمزهای عبور قوی، UAC و سیاستهای قفلگذاری
✅ جلوگیری از ترافیک رمزگذاری نشده (SMB، WinRM، Digest)
✅ حسابرسی استفاده از امتیازات حساس، تغییرات سیاستها و اشیاء AD
✅ مسدود کردن autorun/auto-play، سوءاستفاده از نصبکنندههای سطح بالا
✅ الزام به امضای "همیشه" SMB
آیا میدانستید؟
ترافیک رمزگذاری نشده محدود به یک فروشنده سیستم کنترل قدیمی نیست، بلکه بیسروصدا در بسیاری از فروشندگان سیستم کنترل وجود دارد.
پروتکلهایی مانند SMB، WinRM و احراز هویت Digest اغلب به دلایل زیر رمزگذاری نشده باقی میمانند:
🔹 محدودیتهای پشتیبانی از سیستمعاملهای قدیمی
🔹 وابستگیهای انتقال فایل مختص فروشنده
🔹 نیازهای سازگاری در معماریهای نسخه ترکیبی.
اما سوال این است که چرا این موضوع مهم است؟
پروتکلهای رمزگذاری نشده، راه را برای سرقت اعتبارنامه، حملات مرد میانی (که قبلاً در صنعت اتفاق میافتد) و دستکاری دادهها اغلب بدون ایجاد هشدار باز میکنند.
👉 کاهش و بهترین شیوهها:
هنگام استقرار کنترلکننده دامنه جدید یا مقاومسازی کنترلکنندههای دامنه OT و میزبانهای ویندوز موجود:
✅ امضا و رمزگذاری SMB را اجباری کنید
✅ Kerberos را به NTLM/Digest ترجیح دهید
✅ گرههای قدیمی را با استفاده از کنترلهای منطقهبندی و جبرانسازی ایزوله کنید زیرا در محیط OT، ایمنی و در دسترس بودن بسیار مهم است اما امنیت چیزی است که آن را قابل اعتماد نگه میدارد.
#امنیت_سایبری #امنیت #IEC62443 #سیستمهای_کنترلی #تابآوری_سایبری #امنیت_صنعتی #دفاع_در_عمق #NERC_CIP
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یک گروه دیگر (گفته میشود طرفدار روسیه است) که تمرکز خود را بر حملات به سیستمهای کنترل و اتوماسیون صنعتی در جهان گذاشته است
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
استاندارد NIST برای تبدیلات رمزنگاری در دستگاههای با توان محدود (مثلاً اینترنت اشیاء) منتشر شد
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
CSRC | NIST
NIST Special Publication (SP) 800-232, Ascon-Based Lightweight Cryptography Standards for Constrained Devices: Authenticated Encryption…
In 2023, the National Institute of Standards and Technology (NIST) announced the selection of the Ascon family of algorithms designed by Dobraunig, Eichlseder, Mendel, and Schläffer to provide efficient cryptographic solutions for resource-constrained devices.…
#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیبپذیریهای سیستمهای سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستمهای کنترل صنعتی #ICS ، آسیبپذیریهای شناختهشده زیادی وجود دارند و در حالی که وصلهها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامهریزیشده بعدی، اعمال آنها را به تأخیر میاندازند.
با تنشهای سیاسی فعلی بین کشورهای بزرگ، زیرساختهای حیاتی به هدف اصلی تبدیل شدهاند.
اخیراً، گروههای تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساختهای حیاتی در ایالات متحده را هدف قرار میدهند.
حتی اگر کشورهای ما مستقیماً درگیر این درگیریهای ژئوپلیتیکی نباشند، ما هنوز هم میتوانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیطهای خاص ICS طراحی شدهاند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هستهای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجههای امنیت سایبری در اکثر شرکتهای زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT میتواند بسیار فراتر از نقض دادهها باشد، میتواند بر زندگی انسانها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
در سیستمهای کنترل صنعتی #ICS ، آسیبپذیریهای شناختهشده زیادی وجود دارند و در حالی که وصلهها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامهریزیشده بعدی، اعمال آنها را به تأخیر میاندازند.
با تنشهای سیاسی فعلی بین کشورهای بزرگ، زیرساختهای حیاتی به هدف اصلی تبدیل شدهاند.
اخیراً، گروههای تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساختهای حیاتی در ایالات متحده را هدف قرار میدهند.
حتی اگر کشورهای ما مستقیماً درگیر این درگیریهای ژئوپلیتیکی نباشند، ما هنوز هم میتوانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیطهای خاص ICS طراحی شدهاند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هستهای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجههای امنیت سایبری در اکثر شرکتهای زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT میتواند بسیار فراتر از نقض دادهها باشد، میتواند بر زندگی انسانها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
ما به عنوان متخصصان امنیت سایبری فقط میخواهیم به سازمانهایی که محیطهای OT دارند کمک کنیم تا در صورت وقوع، آسیب حوادث امنیت سایبری را محدود کنند.
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025
به طور خاص در رابطه با بخش OT IR نشان میدهد که چگونه حملات مسیر خود را طی کردهاند و داراییهای در معرض اینترنت، رمزهای عبور ضعیف، پیکربندیهای نادرست، نقاط پایانی بدون آنتیویروس و غیره را به خطر انداختهاند.
آنها درک میکنند که در دسترس بودن سیستمها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیمهای OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد میشنوند، در داخل خود در برابر تغییر مقاومت میکنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترلهای مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیمهای OT با حمایت تیمهای امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیمهای IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترلها/تغییرات در سیستمهای آنها پیش نرویم.
همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاستها/رویهها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهمتر از اجرای واقعی کنترلها و غیره است. استانداردها/دستورالعملهای ما مانند IEC-62443، NIST 800-82 توصیههایی برای کنترلها ارائه دادهاند و همیشه گزینهای برای جبران کنترلها ارائه دادهاند.
هدف از جبران کنترلها نباید فقط به سیستمهای قدیمی/منسوخ یا سیستمهایی که نمیتوانند در کوتاهمدت دورههای نگهداری داشته باشند، محدود شود. ما همچنین باید تیمهای OT را درک و با آنها همدلی کنیم تا در جایی که احساس میکنند کنترلهای جبرانی برای آنها مشکل ایجاد میکند و در برابر تغییر مقاومت ایجاد میکند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانیهای آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترلهای امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄
بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025
به طور خاص در رابطه با بخش OT IR نشان میدهد که چگونه حملات مسیر خود را طی کردهاند و داراییهای در معرض اینترنت، رمزهای عبور ضعیف، پیکربندیهای نادرست، نقاط پایانی بدون آنتیویروس و غیره را به خطر انداختهاند.
آنها درک میکنند که در دسترس بودن سیستمها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیمهای OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد میشنوند، در داخل خود در برابر تغییر مقاومت میکنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترلهای مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیمهای OT با حمایت تیمهای امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیمهای IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترلها/تغییرات در سیستمهای آنها پیش نرویم.
همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاستها/رویهها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهمتر از اجرای واقعی کنترلها و غیره است. استانداردها/دستورالعملهای ما مانند IEC-62443، NIST 800-82 توصیههایی برای کنترلها ارائه دادهاند و همیشه گزینهای برای جبران کنترلها ارائه دادهاند.
هدف از جبران کنترلها نباید فقط به سیستمهای قدیمی/منسوخ یا سیستمهایی که نمیتوانند در کوتاهمدت دورههای نگهداری داشته باشند، محدود شود. ما همچنین باید تیمهای OT را درک و با آنها همدلی کنیم تا در جایی که احساس میکنند کنترلهای جبرانی برای آنها مشکل ایجاد میکند و در برابر تغییر مقاومت ایجاد میکند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانیهای آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترلهای امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄
بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
آسیبپذیری سرور ایمیل Microsoft Exchange Server به دلیل نقصهایی در روند احراز هویت ایجاد شده است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند، اجازه دهد امتیازات خود را افزایش دهد.
BDU:2025-09477
CVE-2025-53786
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیمبندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکهها؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیهها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
BDU:2025-09477
CVE-2025-53786
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیمبندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکهها؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیهها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
درس هایی از حمله سایبری آئروفلوت:
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
آسیبپذیری سرویس نظارت بر وضعیت فرآیند phMonitor در سیستم مدیریت امنیت FortiSIEM مربوط به عدم انجام اقدامات لازم برای خنثیسازی عناصر خاص است. سوءاستفاده از این آسیبپذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه و افزایش امتیازات خود با ارسال دستورات خاص میکند، اجازه دهد.
BDU:2025-09821
CVE-2025-25256
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به نرمافزارهای آسیبپذیر؛
- محدود کردن دسترسی به نرمافزارهای آسیبپذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
BDU:2025-09821
CVE-2025-25256
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به نرمافزارهای آسیبپذیر؛
- محدود کردن دسترسی به نرمافزارهای آسیبپذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
FortiGuard Labs
PSIRT | FortiGuard Labs
None
IACS
درس هایی از حمله سایبری آئروفلوت: ضرورت تقویت امنیت OT در هوانوردی 🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨 زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹ ثبت نام و کسب اطلاعات بیشتر: https://vcoach.ir 💡اگر…
کمتر از ۱ ساعت دیگر رویداد درس هایی از حمله سایبری آئروفلوت:ضرورت تقویت امنیت OT در زیرساختهای حیاتی و حساس آغاز خواهد شد.
لینک ورود به رویداد:
https://m0h.ir/73acmqkw
لینک ورود به رویداد:
https://m0h.ir/73acmqkw
mohit.online
محیط آنلاین | سامانه برگزاری کلاس آنلاین و وبینار آنلاین
آسیبپذیری نرمافزار محاسبه موقعیت ترنسپوندرهای جداگانه RTLS در SIMATIC RTLS Locating Manager به نقصهای مکانیزم بررسی دادههای ورودی هنگام اجرای سناریوهای پشتیبانگیری مرتبط است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند، اجازه دهد کد دلخواه را با دسترسی SYSTEM اجرا کند.
CVE-2025-40746
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر از سایر زیرشبکهها؛
- استفاده از سیستمهای SIEM برای رصد تلاشهای بهرهبرداری از آسیبپذیری؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیهها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
CVE-2025-40746
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر از سایر زیرشبکهها؛
- استفاده از سیستمهای SIEM برای رصد تلاشهای بهرهبرداری از آسیبپذیری؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیهها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری وبپردازشگر ماژول سوئیچینگ Rockwell Automation ControlLogix® Ethernet Modules مربوط به مقداردهی ناامن منبع هنگام استفاده از یک آدرس IP خاص برای اتصال به عامل WDB است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه اجرای کد دلخواه را بدهد.
CVE-2025-7353
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تغییر مقادیر آدرس IP برای اتصال پیشفرض به عامل WDB؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به دستگاه آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر از سایر زیرشبکهها؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- محدود کردن دسترسی به پلتفرم از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1732.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
CVE-2025-7353
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تغییر مقادیر آدرس IP برای اتصال پیشفرض به عامل WDB؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به دستگاه آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر از سایر زیرشبکهها؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- محدود کردن دسترسی به پلتفرم از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1732.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
Rockwell Automation
SD1732 | Security Advisory | Rockwell Automation | US
آسیبپذیری هسته KONG در میانافزار آداپتور شبکه Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter از خانواده کنترلکنندههای اترنت Broadcom NetXtreme-E مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیبپذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.
PT-2025-19
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حسابهای کاربری استفاده نشده.
توصیههای استفاده:
بهروزرسانی میانافزار به نسخه ۲.۳۳ و بالاتر؛
https://www.broadcom.com/support/download-search
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
PT-2025-19
نصب بهروزرسانیها از منابع معتبر. توصیه میشود بهروزرسانیهای نرمافزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حسابهای کاربری استفاده نشده.
توصیههای استفاده:
بهروزرسانی میانافزار به نسخه ۲.۳۳ و بالاتر؛
https://www.broadcom.com/support/download-search
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
Broadcom
Support Documents and Downloads
Search technical documentation and downloads including firmware and drivers.
• لطیفه روز: تولیدکننده چاپگرها Procolored به مدت شش ماه درایورهایی با بدافزار به شکل تروجان دسترسی از راه دور و سرقت ارز دیجیتال منتشر میکرد.
• برای کسانی که درباره Procolored نشنیدهاند، توضیح میدهم: این یک شرکت چینی است که به خاطر محصولاتش برای چاپ روی پارچه، آکریلیک، چوب، فلز و سطوح دیگر شناخته شده است. این شرکت چاپگرهای خود را در بیش از 31 کشور، از جمله ایالات متحده آمریکا میفروشد.
• تحقیقات شرکت امنیت اطلاعات G Data نشان داد که بستههای نرمافزاری رسمی Procolored حداقل به مدت شش ماه بدافزار ارائه میدادند. کارشناس G Data، کارستن هان، اطلاع داد که درایورها حداقل برای شش مدل چاپگر Procolored حاوی بدافزار بودند. تولیدکننده بستههای نرمافزاری را در پلتفرم اشتراک فایل Mega قرار میدهد و دانلود مستقیم درایورها از آنجا امکانپذیر است.
• هان 39 فایل آلوده به XRedRAT و SnipVex را کشف کرد. XRedRAT یک بدافزار شناخته شده است که قابلیتهای کیلاگر، ضبط صفحه، دسترسی از راه دور به شل و مدیریت فایلها را دارد. SnipVex یک برنامه مخرب کلیپر است که قبلاً مستند نشده بود و فایلهای .exe را آلوده میکند، در آنها نفوذ میکند و آدرسهای BTC در کلیپبورد را هنگام کپی کردن هر آدرسی جایگزین میکند (یعنی شما یک آدرس بیتکوین را کپی میکنید اما آدرس بیتکوین هکرها جایگزین میشود). در زمان تحلیل، آخرین بهروزرسانی فایلها در اکتبر 2024 انجام شده بود.
• گزارش شده است که آدرس BTC استفاده شده توسط SnipVex حدود 9,308 بیتکوین دریافت کرده است که معادل حدود 756 میلیون روبل بر اساس نرخ تبدیل فعلی است.
• در نهایت، Procolored بستههای نرمافزاری را در 8 مه حذف کرد و تحقیقات داخلی را آغاز نمود. پس از تماس G Data، شرکت چینی اعتراف کرد که فایلها را روی Mega.nz با استفاده از یک حافظه USB که ممکن است به Floxif آلوده بوده باشد، بارگذاری کرده است. درایورها تنها پس از انجام بررسیهای دقیق ویروس و امنیت نرمافزار به پلتفرم بازخواهند گشت.
➡️ https://www.gdatasoftware.com/printer-infected-software
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
• برای کسانی که درباره Procolored نشنیدهاند، توضیح میدهم: این یک شرکت چینی است که به خاطر محصولاتش برای چاپ روی پارچه، آکریلیک، چوب، فلز و سطوح دیگر شناخته شده است. این شرکت چاپگرهای خود را در بیش از 31 کشور، از جمله ایالات متحده آمریکا میفروشد.
• تحقیقات شرکت امنیت اطلاعات G Data نشان داد که بستههای نرمافزاری رسمی Procolored حداقل به مدت شش ماه بدافزار ارائه میدادند. کارشناس G Data، کارستن هان، اطلاع داد که درایورها حداقل برای شش مدل چاپگر Procolored حاوی بدافزار بودند. تولیدکننده بستههای نرمافزاری را در پلتفرم اشتراک فایل Mega قرار میدهد و دانلود مستقیم درایورها از آنجا امکانپذیر است.
• هان 39 فایل آلوده به XRedRAT و SnipVex را کشف کرد. XRedRAT یک بدافزار شناخته شده است که قابلیتهای کیلاگر، ضبط صفحه، دسترسی از راه دور به شل و مدیریت فایلها را دارد. SnipVex یک برنامه مخرب کلیپر است که قبلاً مستند نشده بود و فایلهای .exe را آلوده میکند، در آنها نفوذ میکند و آدرسهای BTC در کلیپبورد را هنگام کپی کردن هر آدرسی جایگزین میکند (یعنی شما یک آدرس بیتکوین را کپی میکنید اما آدرس بیتکوین هکرها جایگزین میشود). در زمان تحلیل، آخرین بهروزرسانی فایلها در اکتبر 2024 انجام شده بود.
• گزارش شده است که آدرس BTC استفاده شده توسط SnipVex حدود 9,308 بیتکوین دریافت کرده است که معادل حدود 756 میلیون روبل بر اساس نرخ تبدیل فعلی است.
• در نهایت، Procolored بستههای نرمافزاری را در 8 مه حذف کرد و تحقیقات داخلی را آغاز نمود. پس از تماس G Data، شرکت چینی اعتراف کرد که فایلها را روی Mega.nz با استفاده از یک حافظه USB که ممکن است به Floxif آلوده بوده باشد، بارگذاری کرده است. درایورها تنها پس از انجام بررسیهای دقیق ویروس و امنیت نرمافزار به پلتفرم بازخواهند گشت.
➡️ https://www.gdatasoftware.com/printer-infected-software
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
• یک پژوهشگر با نام مستعار es3n1n سرویس Windows Security Center را معکوس کرد و به این ترتیب راهی برای غیرفعال کردن Microsoft Defender در دستگاههای ویندوز پیدا کرد. همچنین توسعهدهنده ابزاری به نام Defendnot ساخته است که از این آسیبپذیری استفاده میکند و اجازه میدهد Defender را بدون حذف یا دخالت در سرویسهای سیستمی غیرفعال کنید.
• اصل موضوع ساده است: Windows Security Center (WSC) دارای یک API مستندسازی نشده است که به کمک آن میتوان یک محصول آنتیویروس جعلی را در سیستم ثبت کرد، که میتواند تمام بررسیهای ویندوز را پشت سر بگذارد. پس از آن ویندوز بهطور خودکار Microsoft Defender را غیرفعال میکند، تا از بروز تعارض هنگام اجرای چند برنامه امنیتی روی یک دستگاه جلوگیری شود.
• به طور کلی، ابزار Defendnot از این API سوءاستفاده میکند، تمام اقدامات لازم برای غیرفعال کردن Defender را انجام میدهد و یک وظیفه در «برنامهریز وظایف» ایجاد میکند که به ابزار اجازه میدهد در هر بار راهاندازی ویندوز اجرا شود.
• اگرچه Defendnot یک پروژه تحقیقاتی محسوب میشود، این ابزار نشان میدهد چگونه میتوان با دستکاری عملکردهای قابل اعتماد سیستم، سیستمهای امنیتی را غیرفعال کرد. در حال حاضر Microsoft Defender ابزار Defendnot را به عنوان «Win32/Sabsik.FL.!ml;» شناسایی و قرنطینه میکند.
➡️ در وبلاگ نویسنده مقاله خوبی درباره توسعه این ابزار و معکوسسازی سرویس وجود دارد: https://blog.es3n1n.eu
➡️ گیتهاب: https://github.com/es3n1n/defendnot
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
• اصل موضوع ساده است: Windows Security Center (WSC) دارای یک API مستندسازی نشده است که به کمک آن میتوان یک محصول آنتیویروس جعلی را در سیستم ثبت کرد، که میتواند تمام بررسیهای ویندوز را پشت سر بگذارد. پس از آن ویندوز بهطور خودکار Microsoft Defender را غیرفعال میکند، تا از بروز تعارض هنگام اجرای چند برنامه امنیتی روی یک دستگاه جلوگیری شود.
• به طور کلی، ابزار Defendnot از این API سوءاستفاده میکند، تمام اقدامات لازم برای غیرفعال کردن Defender را انجام میدهد و یک وظیفه در «برنامهریز وظایف» ایجاد میکند که به ابزار اجازه میدهد در هر بار راهاندازی ویندوز اجرا شود.
• اگرچه Defendnot یک پروژه تحقیقاتی محسوب میشود، این ابزار نشان میدهد چگونه میتوان با دستکاری عملکردهای قابل اعتماد سیستم، سیستمهای امنیتی را غیرفعال کرد. در حال حاضر Microsoft Defender ابزار Defendnot را به عنوان «Win32/Sabsik.FL.!ml;» شناسایی و قرنطینه میکند.
➡️ در وبلاگ نویسنده مقاله خوبی درباره توسعه این ابزار و معکوسسازی سرویس وجود دارد: https://blog.es3n1n.eu
➡️ گیتهاب: https://github.com/es3n1n/defendnot
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
GitHub
GitHub - es3n1n/defendnot: An even funnier way to disable windows defender. (through WSC api)
An even funnier way to disable windows defender. (through WSC api) - es3n1n/defendnot
🪙 استخراجکنندگان و آلودگی کانتینرها از طریق APIهای باز Docker.
• حملات به کانتینرها به اندازه سیستمهای دیگر رایج نیست، اما این موضوع آنها را کمتر خطرناک نمیکند. در این مقاله یک طرح جالب شرح داده شده است که در آن محیط کانتینریزه شده با ترکیبی از استخراجکننده شناختهشده قبلی و نرمافزار مخرب جدید به خطر افتاده است، که امکان ایجاد کانتینرهای آلوده جدید و آلوده کردن کانتینرهای موجود را فراهم کرده است. هر دو مؤلفه مخرب بدون استفاده از سرور فرماندهی منتشر میشوند، که هر شبکهای با زیرساخت کانتینریزه شده و API باز و ناامن Docker را در معرض خطر قرار میدهد.
• به گفته تحلیل Shodan، در آوریل ۲۰۲۵ در سراسر جهان ۵۲۰ API Docker که روی پورت ۲۳۷۵ منتشر شده بودند، برای دسترسی از اینترنت باز بودند. این اطلاعات نمایی از پتانسیل مخرب این تهدید را به ما میدهد و بر ضرورت نظارت دقیق بر کانتینرها و حفاظت مطمئن آنها تأکید میکند.
➡️ https://securelist.ru/dero-docker-api
#امنیت_اطلاعات #Docker
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
• حملات به کانتینرها به اندازه سیستمهای دیگر رایج نیست، اما این موضوع آنها را کمتر خطرناک نمیکند. در این مقاله یک طرح جالب شرح داده شده است که در آن محیط کانتینریزه شده با ترکیبی از استخراجکننده شناختهشده قبلی و نرمافزار مخرب جدید به خطر افتاده است، که امکان ایجاد کانتینرهای آلوده جدید و آلوده کردن کانتینرهای موجود را فراهم کرده است. هر دو مؤلفه مخرب بدون استفاده از سرور فرماندهی منتشر میشوند، که هر شبکهای با زیرساخت کانتینریزه شده و API باز و ناامن Docker را در معرض خطر قرار میدهد.
• به گفته تحلیل Shodan، در آوریل ۲۰۲۵ در سراسر جهان ۵۲۰ API Docker که روی پورت ۲۳۷۵ منتشر شده بودند، برای دسترسی از اینترنت باز بودند. این اطلاعات نمایی از پتانسیل مخرب این تهدید را به ما میدهد و بر ضرورت نظارت دقیق بر کانتینرها و حفاظت مطمئن آنها تأکید میکند.
➡️ https://securelist.ru/dero-docker-api
#امنیت_اطلاعات #Docker
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t