پیش‌بینی مقام اسرائیلی: نخستین جنگ سایبری تمام‌عیار به زودی در خاورمیانه رخ می‌دهد!

🔸جهان به‌سوی «نخستین جنگ مبتنی بر سایبر» پیش می‌رود؛ جنگی که در آن حتی یک گلوله هم شلیک نمی‌شود.

این یک سناریوی تخیلی نیست، بلکه مسیری کاملا واقعی است؛ محاصره دیجیتال را تصور کنید: نیروگاه‌ها خاموش می‌شوند، ارتباطات قطع می‌شود، حمل‌ونقل فلج می‌شود و منابع آب آلوده می‌شود.

منبع: بلومبرگ
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب پذیری مدیریت اتصال دسترسی از راه دور ویندوز امکان اجرای که دلخواه را فراهم می کند

یک مسئله امنیتی حیاتی مربوط به مدیر اتصال دسترسی از راه دور ويندوز (Ras Man) که به مهاجمان محلی اجازه می دهد که دلخواه را با دسترسی سیستم اجرا کنند. در حین بررسی 59230-2025-CVE، آسیب پذیری ای که مایکروسافت در به روزرسانی های امنیتی اکتبر ۲۰۲۵ به آن پرداخت.

یک زنجیره بهره برداری پیچیده که برای عملکرد مؤثر به یک نقص ثانویه و ناشناخته در روز صفر متکی است. آسیب پذیری اصلی 2025-59230-CVE، بر نحوه مدیریت نقاط پایانی RPC توسط سرویسRasan متمرکز است

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب پذیری روزصفر سيسكو AsyncOS به طور گسترده برای اجرای دستورات سطح سیستم استفاده شده

یک کمپین فعال که از آسیب پذیری روز صفر در نرم افزار Cisco Asynco بهره برداری می کند و هدفش Secure Email Gateway که قبلا Email Security Appliance یا ESA نام داشت و Secure Email and Web Manager (که قبلا Content Security

کنند.

Management Appliance یا SMA نام داشت را هدف قرار می دهد.

این حمله که از اواخر نوامبر ۲۰۲۵ شناسایی شده و در ۱۰ دسامبر به طور عمومی اعلام شد به مهاجمان اجازه می دهد دستورات سطح سیستم را اجرا کرده و یک در پشتی پایتون پایدار به نام «AquaShell» را نصب

تالوس این عملیات را با اطمینان نسبی به 9686-UAT، یک عامل تهدید پایدار پیشرفته (APT) وابسته به چین نسبت می دهد. همپوشانی در تاکتیک ها تکنیک ها رویه ها (TTP) ابزارها و زیرساخت ها 9686-AT را به گروه هایی مانند APT41 و UNC5174 متصل می کند
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

درود بیکران
روزگاری خوش و روشن به بلندای یلدا برایتان آرزو دارم

آسیب‌پذیری ماژول Endpoint Manager در رابط وب مدیریت سیستم‌های تلفن IP FreePBX به دلیل نقص‌هایی در مکانیزم احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دسترسی غیرمجاز به سیستم را بدهد.

CVE-2025-66039

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ماژول User Manager برای سازماندهی احراز هویت جهت دسترسی به نرم‌افزار آسیب‌پذیر؛
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن ترافیک شبکه؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر؛
- استفاده از سیستم‌های SIEM برای رصد رویدادهای مرتبط با تغییر مکانیزم احراز هویت؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.

استفاده از توصیه‌های تولیدکننده:
به‌روزرسانی نرم‌افزار به نسخه 16.0.44 و بالاتر؛
به‌روزرسانی نرم‌افزار به نسخه 17.0.23 و بالاتر؛
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری در سیستم مدیریت زیرساخت فناوری اطلاعات HPE OneView به دلیل مدیریت نادرست تولید کد رخ داده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند اجازه دهد کد دلخواه خود را اجرا کند.

BDU:2025-16117
CVE-2025-37164

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر با استفاده از طرح دسترسی بر اساس «فهرست‌های سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US#vulnerability-summary-1
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری کنسول مدیریت نرم‌افزار فایروال‌های SonicWall SMA1000 به دلیل نقص در مکانیزم تفکیک دسترسی ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه افزایش امتیازات خود را بدهد.

BDU:2025-16145
CVE-2025-40602

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019/dr_kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری پلتفرم اتوماسیون گردش کار N8n مربوط به کنترل ناکافی منابع با مدیریت پویا است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دسترسی غیرمجاز به پلتفرم را بدهد.

BDU:2025-16183
CVE-2025-68613

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیب‌پذیر؛
- بخش‌بندی شبکه برای محدود کردن دسترسی به پلتفرم آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
به‌روزرسانی نرم‌افزار به نسخه‌های 1.120.4، 1.121.1، 1.122.0:
https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری تابع SafeUrlFilter() در نرم‌افزار روترهای Tenda WH450 مربوط به خروج عملیات از محدوده بافر در حافظه است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد کد دلخواه اجرا کند و باعث ایجاد اختلال در سرویس شود

CVE-2025-15010

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن درخواست‌های HTTP؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه آسیب‌پذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

منابع اطلاعات:
https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md#reproduce/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری در پیاده‌سازی پروتکل Zlib در سیستم مدیریت پایگاه داده MongoDB مربوط به پردازش نادرست ناسازگاری پارامتر طول است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد اطلاعات محافظت‌شده را افشا کند.

BDU:2025-16225
CVE-2025-14847

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- محدود کردن امکان استفاده از پروتکل Zlib؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://jira.mongodb.org/browse/SERVER-115508
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری تابع sub_F934() در نرم‌افزار میکروکنترلر آداپتور Wi-Fi مدل TRENDnet TEW-800MB به دلیل عدم انجام اقدامات پاک‌سازی داده‌ها در سطح کنترل‌کننده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP به‌طور خاص ساخته شده، دستورات دلخواه را اجرا کند.

CVE-2025-15137

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن درخواست‌های HTTP؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

منابع اطلاعات:
https://pentagonal-time-3a7.notion.site/TRENDnet-TEW-800MB-NTP-2c7e5dd4c5a580f999adcaff2c31978b/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

بات‌نت جدید اینترنت اشیاء مبتنی بر Mirai، که نام Aisuru را به خود اختصاص داده است، برای راه‌اندازی چندین حمله قدرتمند و گسترده DDoS با سرعت بیش از ۲۰ ترابیت بر ثانیه یا ۴ میلیارد بسته در ثانیه استفاده شده است که پیش‌تر توسط Cloudflare گزارش شده بود.

بر اساس داده‌های Netscout، Aisuru به کلاس جدیدی از بدافزارها تعلق دارد که قادر به انجام حملات DDoS است و به عنوان TurboMirai شناخته می‌شود.

اپراتورها این بدافزار را در سرویس‌هایی برای انجام حملات DDoS سفارشی به کار می‌گیرند و در عین حال از هدف قرار دادن اهداف دولتی، انتظامی، نظامی و سایر اهداف پرخطر خودداری می‌کنند.

مطالعات نشان می‌دهد که Aisuru عمدتاً به پلتفرم‌های بازی آنلاین حمله کرده است.

مشابه سایر بات‌نت‌های کلاس TurboMirai، Aisuru قادر است ترافیک حملات را در هر گره بات‌نت افزایش دهد و دارای قابلیت‌های گسترده‌ای است که به اپراتورها اجازه می‌دهد از آن برای جعل اطلاعات کاربری، استخراج داده با استفاده از هوش مصنوعی، فیشینگ و ارسال هرزنامه استفاده کنند.

این بات‌نت از پروکسی‌های مقیم برای انعکاس حملات HTTPS-DDoS بهره می‌برد.

گره‌های آن عمدتاً شامل روترها، سیستم‌های نظارت تصویری و سایر دستگاه‌های آسیب‌پذیر هستند که تحت نسخه‌های مشابه فریمور OEM کار می‌کنند.

اپراتورها به طور مداوم به دنبال روش‌های جدید بهره‌برداری از آسیب‌پذیری‌ها برای گسترش بات‌نت هستند.

بات‌نت قابلیت ارسال انبوه درخواست‌های UDP، TCP، GRE و DNS را به صورت مستقیم دارد، مشابه بات‌نت اصلی Mirai.

Aisuru قادر است حملات با پهنای باند بالا (بسته‌های بزرگ، تعداد بیت زیاد در ثانیه) و همچنین حملات با توان عملیاتی بالا (بسته‌های کوچک، تعداد زیاد بسته در ثانیه) را اجرا کند و همچنین می‌تواند با حملات خروجی و متقاطع عملکرد سرویس‌ها را مختل کند.

Netscout اشاره می‌کند که بات‌نت‌های اینترنت اشیاء کلاس Aisuru و TurboMirai عمدتاً حملات DDoS تک‌برداری را به صورت مستقیم اجرا می‌کنند و گاهی حملات چندبرداری را با سایر سرویس‌های زیرزمینی DDoS ترکیب می‌کنند.

حملات شامل سیل UDP با بسته‌های متوسط، بزرگ یا کوچک، سیل TCP با بسته‌های کوچک یا بزرگ و تا ۱۱۹ ترکیب مختلف پرچم TCP است.

برخی از ترافیک‌ها بسته‌های HTTP قانونی را شبیه‌سازی می‌کنند، در حالی که حملات HTTPS از پروکسی‌های مقیم داخلی استفاده می‌کنند.

محققان همچنین اشاره می‌کنند که ترافیک بات‌نت جعل نمی‌شود زیرا دسترسی ویژه‌ای وجود ندارد.

علاوه بر این، بات‌ها بخشی از شبکه‌های دسترسی پهن‌باند با مکانیزم‌های تأیید آدرس مبدأ (SAV) فعال هستند.

Netscout معتقد است که این امکان ردیابی و همبستگی با اطلاعات مشترک را فراهم می‌کند که به متخصصان امنیتی اجازه می‌دهد دستگاه‌های آلوده را شناسایی، قرنطینه و اصلاح کنند.

حفاظت جامع نیازمند ابزارهای نظارتی در تمام مرزهای شبکه است و مهار حملات خروجی و بین‌شبکه‌ای به همان اندازه مهار حملات ورودی اهمیت دارد.

سیستم‌های هوشمند مقابله با حملات DDoS (IDMS)، روش‌های پیشرفته زیرساخت شبکه (BCP) مانند فهرست‌های کنترل دسترسی (iACL) و حذف پیشگیرانه آسیب‌پذیری‌های CPE اهمیت ویژه‌ای دارند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

مرکز امنیت سایبری کانادا از افزایش فعالیت‌های هکری که سیستم‌های کنترل صنعتی (ICS) قابل دسترسی از طریق اینترنت را هدف قرار داده‌اند، گزارش می‌دهد.

متخصصان اشاره می‌کنند که هکرها بارها سیستم‌های زیرساختی حیاتی در سراسر کشور را هک کرده‌اند که به آن‌ها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر می‌توانست منجر به ایجاد موقعیت‌های خطرناک شود.

به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره می‌کند که در آن فعالان هکری در عملکرد سیستم‌های حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کرده‌اند.

این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شده‌اند.

در نتیجه حمله به ایستگاه آب، شاخص‌های فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.

مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقص‌هایی در عملکرد سطح‌سنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.

مورد سوم در خشک‌کن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم می‌شد، که اگر مشکل به موقع برطرف نمی‌شد، می‌توانست به وضعیت بسیار خطرناکی منجر شود.

با این حال، مقامات کانادا معتقدند که همه این حملات برنامه‌ریزی شده یا سازمان‌یافته پیچیده نبوده‌اند، بلکه بیشتر ماهیتی فرصت‌طلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانه‌ها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بوده‌اند.

اگرچه هیچ یک از سازمان‌های هدف‌گرفته شده در کانادا دچار پیامدهای فاجعه‌بار نشدند، این حملات نشان‌دهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاه‌های صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

در ایالات متحده آمریکا حادثه‌ای جنجالی جدید رخ داده است که شرکت بزرگ ملی مخابراتی Ribbon Communications را تحت تأثیر قرار داده است.
شرکت آمریکایی راه‌حل‌های ارتباطی و شبکه‌ای و همچنین فناوری‌های اصلی برای شبکه‌های ارتباطی ارائه می‌دهد. راه‌حل‌های آن مورد اعتماد ارائه‌دهندگان خدمات پیشرو، شرکت‌ها و زیرساخت‌های حیاتی است.

در میان مشتریان Ribbon Communications شرکت‌هایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لس‌آنجلس دیده می‌شوند.

در گزارش مالی سه‌ماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.

تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان می‌دهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.

در زمان ارائه گزارش سه‌ماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.

با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپ‌تاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتاده‌اند».

مشتریان آسیب‌دیده به طور مناسب مطلع شده‌اند.

به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیت‌های آن نخواهد داشت.

Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.

در پی رسوایی‌های اخیر پیرامون هکرهای چینی همه‌جا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.

به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.

اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

دویچه وله، یک رسانه بین‌المللی که در سال ۱۹۶۰ تأسیس شد و توسط دولت آلمان تأمین مالی می‌شود، هک شده است.

یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش می‌رسد (مدرک آن نیز ارائه شده است).

به گفته فروشنده، داده‌های فاش شده شامل آدرس‌های ایمیل کاربر، نام‌های کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

مقامات استرالیایی نسبت به یک کمپین APT فعال که دستگاه‌های Cisco IOS XE وصله نشده را هدف قرار می‌دهد، هشدار می‌دهند و هدف آن آلوده کردن روترها با پوسته وب BadCandy مبتنی بر Lua است.

این آسیب‌پذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه می‌دهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاه‌ها را به دست بگیرند.

سیسکو این آسیب‌پذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیب‌پذیری فعال مورد سوءاستفاده علامت‌گذاری شد.

دو هفته بعد، یک بهره‌برداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیب‌پذیری را برای نصب درهای پشتی در دستگاه‌های متصل به اینترنت تسهیل می‌کرد.

پس از نصب، BadCandy به مهاجمان از راه دور اجازه می‌دهد تا دستورات را با امتیازات ریشه در دستگاه‌های آسیب‌دیده اجرا کنند.

پس از راه‌اندازی مجدد، از دستگاه‌ها حذف می‌شود. با این حال، با توجه به عدم وجود وصله در این دستگاه‌ها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان می‌توانند به راحتی آن را دوباره نصب کنند.

اداره سیگنال‌های استرالیا تخمین می‌زند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیب‌پذیر بوده‌اند و بیش از ۱۵۰ دستگاه باقی مانده است.

در حالی که تعداد آلودگی‌ها به طور پیوسته در حال کاهش بوده است، ASD نشانه‌هایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.

به گفته این آژانس، مهاجمان می‌توانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.

به گفته ASD، این آسیب‌پذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعه‌ای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.

در حالی که این تهدید در حال حاضر فاقد یک نسبت‌دهی واضح است، ASD افزایش اخیر فعالیت‌ها را به مجرمان سایبری تحت حمایت دولت نسبت می‌دهد.

مدیران سیستم‌های Cisco IOS XE در سراسر جهان باید توصیه‌های کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاوم‌سازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

محققان Socket Security بسته‌های مخرب NuGet را که در سال‌های ۲۰۲۳ و ۲۰۲۴ دانلود شده بودند، کشف کردند که برای اجرای کد مخرب پس از تاریخ‌های مشخص در سال‌های ۲۰۲۷ و ۲۰۲۸ طراحی شده‌اند و قادر به ایجاد حمله DoS به پایگاه‌های داده و سیستم‌های ICS هستند.

مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.

این بسته‌ها در مجموع ۹۴۸۸ بار دانلود شده‌اند.

این بسته‌ها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.

طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار می‌کنند و باعث می‌شوند توسعه‌دهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.

مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار می‌کردند.

اکنون همه آنها از NuGet حذف شده‌اند.

Socket Security همچنین خاطرنشان می‌کند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار می‌دهد - یک پیاده‌سازی .NET برای تعامل با PLC های Siemens S7.

گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد می‌کند و این واقعیت را پنهان می‌کند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق می‌کند.

متدهای افزونه به توسعه‌دهندگان اجازه می‌دهند بدون تغییر کد منبع، متدهای جدیدی را به انواع داده‌های موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده می‌کنند.

هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام می‌دهد، این متدهای افزونه به طور خودکار اجرا می‌شوند و تاریخ فعلی را با تاریخ‌های شروع (که در اکثر بسته‌ها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شده‌اند) مقایسه می‌کنند.

هشت بسته سیستم‌های پایگاه داده را هدف قرار می‌دهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه می‌دهند.

در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال می‌شود و تا 6 ژوئن 2028 فعال می‌ماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف می‌شود.

این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار می‌دهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن داده‌های جدید توسط PLC می‌شود و عملاً دستگاه را از بین می‌برد.

قرار است پیاده‌سازی‌های خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بسته‌ها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راه‌اندازی شوند.

این رویکرد مرحله‌ای به مهاجم زمان بیشتری می‌دهد تا قبل از فعال شدن بدافزار با تأخیر فعال‌سازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستم‌های ICS را مختل کند.

اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان می‌دهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.

توسعه‌دهندگانی که در سال ۲۰۲۴ بسته‌ها را نصب کرده‌اند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر می‌شود، به پروژه‌ها یا شرکت‌های دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابی‌های سخت‌افزاری پنهان می‌کند.

این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیب‌دیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک می‌کند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ما همچنان به معرفی رایج‌ترین آسیب‌پذیری‌ها و تهدیدهای مرتبط می‌پردازیم:

۱. محققان سیسکو آسیب‌پذیری‌های متقاطع را در هشت مدل LLM متن‌باز موجود در بازار از شرکت‌هایی مانند OpenAI، Alibaba، Mistral، Google و دیگران کشف کردند. این تعجب‌آور نیست، زیرا این مدل‌ها به ندرت پس از انتشار کد منبع به‌روزرسانی می‌شوند.

۲. Cyderes یک آسیب‌پذیری در Advanced Installer، چارچوبی برای ایجاد نصاب‌های ویندوز، کشف کرد که به مهاجمان اجازه می‌دهد مکانیسم‌های به‌روزرسانی برنامه را ربوده و در صورت عدم امضای دیجیتالی بسته‌های به‌روزرسانی، کد خارجی مخرب را اجرا کنند.

Advanced Installers توسط برخی از بزرگترین شرکت‌های جهان مانند اپل، مایکروسافت، گوگل و IBM استفاده می‌شود.

۳. محققان Tenable هفت آسیب‌پذیری و روش حمله را شناسایی کردند که کاربران ChatGPT را هدف قرار می‌دهد. این نقص‌ها به مهاجمان اجازه می‌دهد تا اطلاعات حساس را از حافظه و تاریخچه چت کاربران سرقت کنند.

۴. محققان Zscaler یک آسیب‌پذیری دسترسی به فایل و SSRF (CVE-2025-12058) را در پلتفرم هوش مصنوعی Keras کشف کردند.

۵. گروهی از محققان وابسته به موسسه فناوری ماساچوست (MIT) گزارشی نسبتاً بحث‌برانگیز ارائه دادند که محکومیت گسترده‌ای را در حوزه امنیت اطلاعات برانگیخت.

مردم این ادعا را که هوش مصنوعی زیربنای ۸۰٪ از کل حملات باج‌افزاری مدرن است، زیر سوال برده‌اند.

محققان برجسته و کارشناسان امنیت اطلاعات، یافته‌های این مطالعه را مورد انتقاد قرار دادند و آنها را از نظر فنی بی‌اساس و چیزی بیش از یک تبلیغ تبلیغاتی ندانستند.

۶. گوگل نیز به نوبه خود، گزارش خود را در مورد گونه‌های بدافزار مبتنی بر هوش مصنوعی منتشر کرد.

تنها پنج مورد از آنها وجود دارد و همه آنها اساساً "سرباره" هستند. با این حال، یکی از این پنج مورد در نهایت به یک پروژه واقعی دانشمندان تبدیل شد.

بنابراین، طبق گفته گوگل، دوران بدافزارهای تمام عیار مبتنی بر هوش مصنوعی هنوز فرا نرسیده است، اما توسعه‌دهندگان بدافزار هنوز در حال ایجاد ابزارهای LLM خود برای اهداف بسیار خاص هستند.

۷. گزارش "آزمایشگاه‌های تهدید: تولید ۲۰۲۵" نتسکوپ، جزئیات آخرین تهدیدات امنیت سایبری را که بر سازمان‌های صنعت تولید تأثیر می‌گذارند، شرح می‌دهد.

به طور خاص، این موضوع روندهایی مانند وابستگی فزاینده به زیرساخت‌های ابری و تکنیک‌های پیچیده‌ی نفوذ به زنجیره‌ی تأمین که منجر به اختلال در فرآیندهای تولید می‌شود را برجسته می‌کند.


۸. طبق گفته‌ی Palo Alto Networks، مهاجمان از آسیب‌پذیری CVE-2025-21042 برای ارائه‌ی جاسوس‌افزار Landfall برای اندروید به کاربران در خاورمیانه با استفاده از تصاویر DNG دستکاری‌شده‌ی خاص و واتس‌اپ سوءاستفاده کرده‌اند.

این حملات ظاهراً گوشی‌های سامسونگ گلکسی را هدف قرار داده‌اند و مهاجم ممکن است Landfall را با استفاده از یک اکسپلویت ZeroClick مستقر کرده باشد.


سامسونگ در ماه آوریل CVE-2025-21042 را وصله کرد، اما در اعلامیه‌ی این غول فناوری هیچ اشاره‌ای به سوءاستفاده از این آسیب‌پذیری در سطح اینترنت نشده است.


Palo Alto اظهار داشت که حملات Landfall حداقل از ژوئیه ۲۰۲۴ ادامه داشته است و CVE-2025-21042 حتی قبل از انتشار وصله‌های سامسونگ، به عنوان یک آسیب‌پذیری روز صفر مورد سوءاستفاده قرار می‌گرفته است.


CVE-2025-21042 مشابه CVE-2025-21043 است، یکی دیگر از آسیب‌پذیری‌های روز صفر که اخیراً توسط سامسونگ در همان کتابخانه تصویر وصله شده است.

چند هفته قبل از افشای CVE-2025-21043، اپل CVE-2025-43300 را وصله کرد، آسیب‌پذیری مشابهی که گمان می‌رود با آسیب‌پذیری روز صفر واتس‌اپ (CVE-2025-55177) مرتبط باشد که برای ارائه جاسوس‌افزار به مشتریان اپل استفاده می‌شود.

شرکت Palo Alto Networks نتوانست تأیید کند که زنجیره بهره‌برداری CVE-2025-43300/CVE-2025-55177 برای ارائه جاسوس‌افزار Landfall به کاربران iOS استفاده شده است.

مهاجم شناسایی نشده و اکنون با نام CL-UNK-1054 ردیابی می‌شود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

😆QNAPهفت آسیب پذیری روز صفر را پس از نمایش در مسابقات Pwn2Own 2025 وصله کرد

QNAP، تولیدکننده تایوانی، به‌روزرسانی‌های امنیتی اضطراری را منتشر کرده است که هفت آسیب‌پذیری روز صفر را که در مسابقات Pwn2Own ایرلند 2025 نشان داده شده بود، وصله می‌کند.

این آسیب‌پذیری‌ها نه تنها یک محصول، بلکه کل اکوسیستم کیو ان ای پی، از جمله QTS، QuTS hero، نرم‌افزار پشتیبان‌گیری (HBS 3 Hybrid Backup Sync)، نرم‌افزار حفاظت از داده‌ها (Hyper Data Protector) و حتی اسکنر آنتی ویروس (Malware Remover) را تحت تأثیر قرار می‌دهند.

🛡 نسخه‌های نرم‌افزاری آسیب‌پذیر (نیازمند به‌روزرسانی فوری):

▪️Hyper Data Protector: تمام نسخه‌های قبل از ۲.۲.۴.۱ (CVE-2025-59389)
▪️Malware Remover: تمام نسخه‌های قبل از ۶.۶.۸.۲۰۲۵۱۰۲۳ (CVE-2025-11837)
▪️HBS 3 Hybrid Backup Sync: تمام نسخه‌های قبل از ۲۶.۲.۰.۹۳۸ (CVE-2025-62840، CVE-2025-62842)
▪️QTS 5.2.7: تمام نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.2.7: همه نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.3.1: تمام نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)

هر هفت آسیب‌پذیری توسط تیم Summoning، DEVCORE، تیم DDOS و یک کارآموز از CyCraft technology نشان داده شده است.

👆QNAP اکیداً به کاربران توصیه می‌کند که به آخرین نسخه‌های نرم‌افزار به‌روزرسانی کنند.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

باند باج‌افزار Cl0p در حال تکمیل آخرین کمپین خود است و انتشار اسامی قربانیان هک Oracle E-Business Suite (EBS) را که گفته می‌شود در اواخر سپتامبر ایمیل‌های باج‌خواهی دریافت کرده‌اند، در DLS آغاز کرده است.

هکرها تقریباً 30 شرکت بزرگ آسیب‌دیده از جمله Logitech، The Washington Post، Cox Enterprises، Pan American Silver، LKQ Corporation و Copeland را فهرست کرده‌اند.

ما قبلاً در اواسط اکتبر به برخی از آنها اشاره کردیم. اولین شرکت‌هایی که شناسایی شدند دانشگاه هاروارد، دانشگاه Wits (آفریقای جنوبی) و Envoy Air بودند. همه آنها این حوادث را تأیید کرده‌اند.

هفته گذشته، واشنگتن پست نیز تأیید کرد که در طول این کمپین مورد حمله قرار گرفته است، اما جزئیات بیشتری ارائه نکرد.

در همین حال، اکثر قربانیان ادعایی دیگر هنوز هک یا نشت داده‌ها را تأیید نکرده‌اند، از جمله Schneider Electric و Emerson و همچنین همه موارد فوق.

سایر قربانیان ادعایی شامل شرکت‌هایی در زمینه تولید، خدمات حرفه‌ای، خدمات رفاهی، ساخت و ساز، بیمه، امور مالی، حمل و نقل، فناوری، خودرو و انرژی هستند.

ظاهراً همه آنها در حال انجام تحقیقات هستند (یا حداقل شروع کرده‌اند)، اما قصد ندارند یافته‌های خود را به اشتراک بگذارند. بنابراین، Cl0p شروع به افشای داده‌های سرقت شده کرده است - در حال حاضر، این لیست شامل ۱۸ قربانی است که داده‌های آنها اکنون در دسترس عموم قرار دارد.

تحلیل ساختاری برخی از فایل‌های فاش شده نشان می‌دهد که احتمالاً همه آنها مستقیماً با محیط اوراکل مرتبط هستند.

در واقع، با توجه به کمپین‌های قبلی Cl0p شامل Cleo، MOVEit و Fortra، شکی در مورد مشروعیت افشاگری‌ها و جدی بودن اهداف این باند وجود ندارد.

با این حال، جزئیات دیگری ناشناخته مانده است: کدام آسیب‌پذیری‌های خاص Oracle EBS در این حمله مورد سوءاستفاده قرار گرفته‌اند.

به احتمال زیاد CVE-2025-61882 و CVE-2025-61884 هستند، زیرا هر دو می‌توانند از راه دور و بدون احراز هویت یا تعامل با کاربر برای دسترسی به داده‌های حساس مورد سوءاستفاده قرار گیرند.

علاوه بر این، در مورد CVE-2025-61882، ظاهراً بهره‌برداری از آسیب‌پذیری روز صفر حداقل دو ماه قبل از انتشار وصله‌ها آغاز شده است، که با امضای این اشکالات سازگار است.

اما خواهیم دید.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

شرکت Comparitech نتایج تحلیل رمز عبور ۲۰۲۵ خود را منتشر کرده است که یافته‌های آن به‌طور سنتی برای این موضوع ناامیدکننده بوده است.

محققان بیش از ۲ میلیارد حساب کاربری را از نشت‌هایی که در وب تاریک و گزارش‌های واکنش به حوادث جمع‌آوری کرده بودند، تجزیه و تحلیل کردند.

این مطالعه فقط شامل داده‌هایی بود که واقعاً در سال ۲۰۲۵ به خطر افتاده بودند.

Comparitech با استفاده از این داده‌ها، فهرستی از پرکاربردترین رمزهای عبور را ارائه کرد.

۱۰ مورد برتر، همانطور که احتمالاً حدس زده‌اید، شامل رهبران همیشگی این رتبه‌بندی ضد-رتبه‌بندی در رتبه اول هستند - ۱۲۳۴۵۶ با ۷۶۱۸۱۹۲ منشن.

به ترتیب نزولی، 12345678 (3,676,487)، 123456789 (2,866,100)، admin (1,987,808)، 1234 (1,771,335)، Aa123456 (1,411,847)، 12345 (1,301,052)، password (1,082,010، و Password is 470,313)، 123 (959,741) و 1234567890 (674,200) در رتبه‌های بعدی قرار دارند.


تعداد شگفت‌انگیزی از رمزهای عبور، اعدادی هستند که به راحتی حدس زده می‌شوند و به ترتیب صعودی یا نزولی هستند. یک چهارم از 1000 رمز عبور برتر منحصراً از اعداد تشکیل شده‌اند.


38.6٪ شامل توالی اعداد "123" و 2٪ دیگر شامل ارقام نزولی "321" بودند. به طور مشابه، ۳.۱٪ شامل توالی حروف "abc" بودند. بسیاری از رمزهای عبور رایج از یک کاراکتر تشکیل شده‌اند. "۱۱۱۱۱۱" هجدهمین رمز عبور رایج و "****" سی و پنجمین رمز عبور رایج است.

همه این اعداد و حروف اغلب با کلمات ضعیف مشابه مانند "password"، "admin" و "qwerty" ترکیب می‌شوند.

۳.۹٪ از ۱۰۰۰ رمز عبور رایج شامل نوعی از "pass" یا "password" بودند، ۲.۷٪ شامل نوعی از "admin"، ۱.۶٪ شامل رشته "qwerty" و ۱٪ شامل کلمه "welcome" بودند.

"Minecraft" در بین رمزهای عبور در مجموعه داده‌های تجزیه و تحلیل شده، رتبه ۱۰۰ را کسب کرد و تقریباً ۷۰،۰۰۰ بار به علاوه ۲۰،۰۰۰ بار دیگر با alt-case "Minecraft" ظاهر شد.

رمز عبور "India@123" که در رتبه ۵۳ قرار دارد، به عنوان یک رمز عبور بسیار رایج اما کمتر جهانی، برجسته است.

توزیع طول به شرح زیر است: ۶۵.۸٪ از رمزهای عبور مورد بررسی شامل کمتر از ۱۲ کاراکتر، ۶.۹٪ کمتر از ۸ کاراکتر و ۳.۲٪ از ۱۶ کاراکتر یا بیشتر استفاده کرده‌اند.

بنابراین، در اینجا چیزی برای اظهار نظر وجود ندارد.💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t