⛔️ هشدار: انتشار اکسپلویت برای آسیب‌پذیری بحرانی
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service

این آسیب‌پذیری بحرانی بوده و تمامی سیستم‌عامل‌های ویندوزی را تحت تاثیر قرار داده و انتشار اکسپلویت آن بصورت عمومی و گسترده بسیار حساس و خطرناک است.

برای اطلاعات بیشتر به لینک‌های زیر مراجعه کنید:

🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

🌐 https://github.com/afwu/PrintNightmare

🌐 https://github.com/cube0x0/CVE-2021-1675

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

رسانه‌ها گزارش کرده‌اند که بدنبال اختلال سراسری در ساعات اخیر در سیستمهای کامپیوتری شرکت راه آهن ایران "فعالیت صدها خطوط قطار به تعویق افتاده و حتی لغو شد، ورودی ها و خروجی ها، مراکز خرید بلیط، خدمات الکترونیک باری و مسافری" از کار افتاده است.
همچنین سایت شرکت راه‌آهن ایران هم دچار اختلال شده است.
خبرگزاری فارس اعلام کرده که این اختلال در اثر "حمله سایبری" بوده است.
تاکنون هیچ مقام رسمی در وزارت راه و ارتباطات ایران حمله سایبری را تایید نکرده است.
فارس نوشته "صفحات اعلان ساعات ورود و خروج قطار، لغو فعالیت تمامی خطوط قطار را اعلان کرده و پیام 'تاخیر زیاد بدنبال حملات سایبری' بر روی آنها قید شده است".

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

✅ روابط عمومی رجا: اختلالی در حرکت قطارها نداریم

مدیر روابط عمومی راه‌آهن جمهوری اسلامی ایران:

🔹کارشناسان راه‌آهن در حال بررسی اختلال در سیستم‌های بازرگانی راه‌آهن هستند.

🔹در حال حاضر حرکت قطارها دچار تاخیری نشده و بر اساس زمان بندی سیر قطارها در شبکه سراسری راه‌آهن در حال انجام است.

🔹حرکت قطارها با اتوماسیون داخلی راه‌آهن است و قطارها به صورت ایمن در حال تردد هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴🔴🔴هک گسترده‌ی سیستم‌های اداری وزارت راه و شهرسازی

♨️هک گسترده‌ی سیستم‌های اداری وزارت راه و شهرسازی، این وزارتخانه را نیمه تعطیل کرد.

▪️به گزارش انصاف نیوز، بدنبال حمله سایبری روز گذشته به شرکت راه آهن و ستاد وزارت راه و شهرسازی، بسیاری از فعالیت‌های جاری این وزارتخانه متوقف شده است.

▪️بنا بر گفته‌ی یک کارشناس وزارت راه به انصاف نیوز، بررسی‌های بعمل آمده ضعف لایه‌های امنیتی و عدم سرمایه‌گذاری مناسب در حوزه‌ی امنیت، متولی دوگانه‌ی حراست و فاوا در حوزه‌ی امنیت، وجود سیستم‌های جزیره‌ای، عدم سرمایه‌گذاری در توسعه‌ی زیرساخت‌های یکپارچه، عدم انجام تست نفوذ سیستم‌ها مطابق با دستورالعمل‌های افتا، متوقف شدن اجرای طرح معماری سازمانی و معماری سیستم‌های اطلاعاتی، ضعف ساختاری و نیروی انسانی مدیریت فناوری اطلاعات و ارتباطات، نگاه بخشی به مباحث و وظایف فاوا در وزارت راه و شهرسازی، از جمله‌ی مسائل و مشکلات فاوا وزارت راه و شهرسازی در سال‌های اخیر برشمرده شده که بروز مشکلات این چنینی را بوجود آورده است. منبع (http://www.ensafnews.com/301578/%D9%87%DA%A9-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87%E2%80%8C%DB%8C-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%A7%D8%AF%D8%A7%D8%B1%DB%8C-%D9%88%D8%B2%D8%A7%D8%B1%D8%AA-%D8%B1%D8%A7/)

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

دستورالعمل‌هایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر

لازم به ذکر است که با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امن‌سازی لازم است حتما سیاست‌های دفاع در عمق با اولویت بالا رعایت گردد که در ادامه به برخی از مهمترین نکات اشاره می‌شود:
1. تمامی دسترسی های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و حتی‌المقدور پسوردهای قبلی اکانت‌های ادمین به سرعت تغییر نماید.
همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی گردد.
2. تمامی دسترسی های سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصب شده بر روی سرورهای فیزیکی مورد بازبینی قرار گرفته و حتی‌المقدور رمز اکانت های روت/ ادمین بازنشانی گردد.
3. سرویس SSH را در سرورهای ESX غیرفعال نمایید.
4. دسترسی پورت‌های ILO در سرورهای HP از شبکه کاملا قطع شود.
5. دسترسی از راه دور به شبکه در ساعات غیرکاری حتی‌المقدور محدود گردد و از VPN (مبتنی بر کلید خصوصی نرم‌افزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود.
6. سامانه‌های ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکره‌بندی سیستم ها را شامل شود. نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH به سرورها و دسترسی‌های ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری نمایید.
7. تهیه پشتیبان منظم از داده‌ها بر روی رسانه‌های آفلاین و اطمینان از صحت پشتیبان‌ها

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

⛔️ هشدار در خصوص کنترل دسترسی به سرویس HP-INTEGERATED LIGHTS OUT (ILO) و پیکربندی نادرست آن

بررسی سه آسیب‌پذیری HP-Integerated lights out با شناسه‌های CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند. پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده از HP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور می‌باشد.

به کاربران توصیه می‌شود:

- اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود نمایند.

- با به‌روزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیب‌پذیری قرار ندارند.

- با توجه به امکان نفوذ به این سرویس توسط گره‌های الوده شده شبکه داخلی، سیاست‌های امنیتی سخت گیرانه‌ای از جمله vlanبندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه میشود.

- با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH سرورها در نظر گرفته شود.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار در خصوص سوءاستفاده از آسیب پذیری SolarWinds
📝 شرکت SolarWinds با اعلام وجود یک آسیب پذیری در Serv-U از مشتریان خود خواسته فوراً اقدام به نصب به روزرسانی مربوطه کنند.
به استناد گزارش مایکروسافت، سوءاستفاده از این آسیب پذیری توسط حداقل یک گروه از مهاجمان تایید شده است.
شناسه آسیب پذیری: CVE-2021-35211

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

ابزار DevSecOps شما چیست؟
امنیت و مدیریت ریسک باید ابزارها ، فرایندها و سیاست های امنیتی را با کند کردن روند توسعه و انتشار با ابزار DevOps سازگار کند.

پذیرش DevOps همچنان به عنوان جایگزینی برای روش های سنتی توسعه آبشار و چابک رشد می کند - امنیت و انطباق به طور معمول همچنان مورد پسند است.

1-DevOps روشهای اتوماسیون را برای دستیابی به مقیاس تشویق می کنند - امنیت به طور سنتی دستی ، دارای فرآیند سنگین و مبتنی بر دروازه بوده است ، برعکس اتوماسیون حاکی از، شفافیت و سرعت است.
2-بیشتر توسعه دهندگان از کدگذاری ایمن اطلاع ندارند ، از جمله کسانی که به چابکی و DevOps آشنا هستند.
3-رویکردهای آزمایش امنیتی برنامه سنتی برای سرعت و شفافیت طراحی نشده اند.
4- برای برخی از کاربردها در صنایع خاص ، نسخه های جدید باید پس از هر بار به روزرسانی تولید مجدداً توسط مدیران تأیید شوند و این مسئله تغییر سریع است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

⚠️ رفع آسیب‌پذیری روز صفر با شدت بحرانی در برخی از محصولات SolarWinds❗️

🔷 این آسیب‌پذیری با شناسه CVE-2021-35211 و شدت بحرانی، در محصولات Serv-U به مهاجم این امکان را خواهد داد تا از راه دور کد دلخواه خود را اجرا کرده و از این آسیب‌پذیری بهره‌برداری کند.

❌ محصولات تحت تأثیر :
▪️Serv-U 15.2.3 HF1
▪️Serv-U 15.2.3
▪️All Serv-U versions prior to 15.2.3

✅ توصیه می‌شود به‌روزرسانی‌های منتشر شده را در اسرع وقت اعمال نمایید.
منبع خبر:

https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

https://securityaffairs.co/wordpress/120020/security/solarwinds-serv-u-zero-day.html

https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild/‎

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨 هشدار آسیب پذیری PLC های اشنایدر الکتریک M340 و M580 :
☣️ محصولات آسیب پذیر:
• EcoStruxure Control Expert (all versions prior to V15.0 SP1, including all versions of Unity Pro)
• EcoStruxure Control Expert V15.0 SP1
• EcoStruxure Process Expert (all versions, including all versions of EcoStruxure Hybrid DCS)
• SCADAPack RemoteConnect for x70 (all versions)
• Modicon M580 CPU (all versions - part numbers BMEP* and BMEH*) • Modicon M340 CPU (all versions - part numbers BMXP34*)

🔴 لیست آسیب پذیریهای کشف شده:

1️⃣ شناسه CVE: CVE-2021-22778CVSS v3.1 امتیاز پایه 8.6 | بالا | : آسیب پذیری اعتبارات کافی محافظت نشده وجود دارد که می تواند باعث شود بلوک های عملکرد محافظت شده توسط کاربران غیر مجاز هنگام دسترسی به پرونده پروژه خوانده یا اصلاح شوند.

2️⃣ شناسه CVE: CVE-2021-22779CVSS v3.1 امتیاز پایه 9.8 | حیاتی | : آسیب پذیری احراز هویت توسط Spoofing وجود دارد که می تواند با جعل ارتباط Modbus بین نرم افزار مهندسی و کنترل کننده ، به دسترسی غیرمجاز در حالت خواندن و نوشتن به کنترل کننده منجر شود. !!!

3️⃣ شناسه CVE: CVE-2020-12525CVSS v3.1 امتیاز پایه 7.3 | بالا |:
HM&M نرم افزار fdtCONTAINER کامپوننت در نسخه های 3.5.20304.x و بین 3.6 تا 3.6.20304.x در برابر محرومیت زدایی از داده های غیرقابل اعتماد در ذخیره سازی پروژه خود آسیب پذیر است. توجه: این آسیب پذیری می تواند باعث اجرای کد محلی در ایستگاه کاری مهندسی در هنگام پروژه مخرب شود پرونده در نرم افزار مهندسی بارگیری می شود.

4️⃣ شناسه CVE: CVE-2021-22780CVSS v3.1 امتیاز پایه 7.1 | بالا | : آسیب پذیری اعتبار کافی محافظت نشده وجود دارد که می تواند باعث دسترسی غیرمجاز به پرونده پروژه محافظت شده با گذرواژه شود ، درصورت اشتراک این پرونده با منابع غیرمعتبر. یک مهاجم ممکن است از حفاظت از رمز عبور عبور کند و بتواند یک فایل پروژه را مشاهده و اصلاح کند.

5️⃣ شناسه CVE: CVE-2021-22781CVSS v3.1 امتیاز پایه 6.2 | متوسط | : آسیب پذیری اعتبار کافی محافظت نشده وجود دارد که می تواند باعث نشت اعتبار SMTP مورد استفاده برای احراز هویت صندوق پستی شود وقتی مهاجم می تواند به یک فایل پروژه دسترسی پیدا کند.

6️⃣ شناسه CVE: CVE-2021-22782CVSS v3.1 امتیاز پایه 6.2 | متوسط | : رمزگذاری رمزنگاری آسیب پذیری داده های حساس وجود ندارد که می تواند باعث نشت اطلاعات شود ، درصورتی که مهاجم می تواند به یک پرونده پروژه دسترسی پیدا کند ، باعث افشای اطلاعات شبکه ، پردازش اطلاعات ، اعتبارنامه ها یا دارایی های معنوی می شود.

✅ مستند شرکت اشنایدر:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-194-01

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

ببینید: اثبات مفهوم نمایش برای CVE-2021-22779. این آسیب پذیری PLC های اشنایدر الکتریک M340 و M580 را تحت تأثیر قرار می دهد و در حال حاضر وصله نشده است.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری هفته گذشته
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدار‌های افتا، آن‌ها را در برابر حملات سایبری، کم‌دفاع و یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا می‌گویند: این بی توجهی‌ها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسی‌های از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیری‌های اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسی‌های کارشناسان امنیت سایبری افتا نشان می‌دهد که:
1- مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها، دسترسی یافته و موجب اختلال در عملکرد عادی آن‌ها شوند.
2- نفوذ به سامانه‌های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزار‌های خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختار‌های دیتا بسنده کرده‌اند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساخت‌های IP را تخریب می‌کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرور‌های فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمز‌های عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیب‌پذیری‌های خطرناکی که در سیستم‌های عامل ویندوز کشف و از طریق مرکز افتا به دستگاه‌های دارای زیر ساخت حیاتی کشور برای ترمیم آن‌ها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهره‌برداری کرده‌اند.
8- تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی می‌خواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورت‌های مدیریتی سرور‌ها و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیر‌های و وصله فوری آن‌ها و جمع‌آوری و پایش لاگ و رویداد‌های امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتی‌ویروس سرور و کلاینت‌ها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بین‌المللی، جداسازی شبکه‌های سامانه‌های زیرساختی از سایر شبکه‌های غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعال سازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی را از اقدام‌های پیشگیرانه برای نفوذ به سیستم‌های سازمانی برمی‌شمارند.
5- کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت موظفند، از دیتا‌های سازمان خود، بطور منظم نسخه‌های پشتیبان تهیه و آن‌ها را در محلی امن و مجزا نگهداری کنند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آسیب‌پذیری‌های محصولات Siemens در سه سال اخیر
مرکز مدیریت راهبردی افتا مستندی از آخرین آسیب پذیری های محصولات Siemens در ۳ سال اخیر گردآوری کرده است.
نظر به استفاده گسترده از محصولات این شرکت در زیرساخت‌های حیاتی، لازم است برای رفع آسیب‌پذیری‌ها مطابق با دستوراالعمل ارائه شده توسط سازنده عمل و در اسرع وقت این آسیب پذیری‌ها رفع شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

DevOps چابکی به ارمغان می آورد. DevSecOps چابکی امن به ارمغان می آورد. نوآوری بخشی جدایی ناپذیر از این فرایند است.

حفاظت از این نوآوری مستلزم پرداختن به نقاط ضعف امنیتی بالقوه و حملات در هر دو برنامه های کاربردی میزبانی توسعه و زیرساخت است. این رویکرد هم در مورد ابر و هم در محل اعمال می شود.

مهاجمان ممکن است نقاط ضعف زیر را بهره برداری کنند:
👉 روند توسعه
👉فرافرایند
👉 عرضه

تامین امنیت فرایند DevOps برای موفقیت سازمان حیاتی است.

#cybersecurity #informationsecurity #security
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

⚠️برای نفوذ به یک سازمان و دسترسی به اطلاعات، دو راه اصلی وجود دارد:
1- نفوذ از طریق شبکه و تجهیزات ارتباطی
2- نفوذ از طریق فریب یا خطای نیروی انسانی

➖و جالب است بدانید بر اساس گزارش IBM در 95 درصد از نفوذهایی که منجر به نشت اطلاعات شده است خطای انسانی عامل اصلی بوده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

انالله و اناالیه راجعون

مطلع شدم که استاد عزیزمان، جناب آقای دکتر مسعود اخوان فرد، از چهره‌های بارز حقوق ارتباطات و فناوری اطلاعات که سالهای مدیدی است این بخش از وجود ایشان به عنوان عضو صاحبنظر در کمیسیون تنظیم مقررات ارتباطات بهره می‌برد، بر اثر ابتلا به بیماری کرونا، به رحمت ایزدی پیوستند.

دکتر اخوان فرد با سابقه اجرایی معاونت سازمان انرژی اتمی و همچنین سابقه درخشان علمی و مدیریتی در دانشگاه آزاد اسلامی، منشا خدمات موثری به کشور بودند.

ضایعه فقدان این استاد عزیز را به خانواده‌ی محترم وی و همچنین خانواده بزرگ ارتباطات و فناوری اطلاعات کشور، تسلیت عرض می‌کنم.

روحش شاد.

نوعی حمله جدید به نام PetitPotam کشف شده است که به کمک آن می‌توان یک دامین ویندوز را تسخیر کرد. علت این نقص، وجود یک آسیب‌پذیری در پروتکلی به نام EFSRPC است.

🔻مایکروسافت توصیه‌هایی برای جلوگیری از این حمله ارائه داده است، از جمله اینکه در صورت امکان، احراز هویت NTLM را در دامین ویندوز غیرفعال کنید.

🔻با این وجود هنوز مایکروسافت برای آسیب‌پذیری موجود در پروتکل EFSRPC وصله‌ای ارائه نداده است.

✅ توصیه‌نامه مایکروسافت:
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

TA456 - هکرهای ایرانی با بدافزار برای پراکنده کردن اطلاعات حساس به پیمانکاران دفاعی حمله می کنند

TA456 - هکرهای ایرانی با بدافزار برای پراکنده کردن اطلاعات حساس به پیمانکاران دفاعی حمله می کنند
محققان امنیتی در Proofpoint کشف کرده اند که گروه هک ایرانی ، TA456 که به "Tortoiseshell" و "Imperial Kitten" نیز معروف است چندین حمله هدفمند به پیمانکاران دفاعی را با بدافزار انجام داده است.

در فیس بوک ، هکرهای این گروه خود را به عنوان مربیان ایروبیک تقلید می کردند تا فقط پیمانکاران دفاعی را گول بزنند و سپس سیستم های آنها را برای استفاده از اطلاعات حساس به خطر بیاندازند.

در اینجا هنگام جاسوسی سایبری مداوم ، هکرها عمدتا کارمندان شرکت های پیمانکاری را که در دفاع هوافضای ایالات متحده کار می کنند ، هدف قرار دادند. به خصوص کسانی که در عملیات خاورمیانه نقش دارند.

در سال 2019 هکرها نمایه فیس بوک و اینستاگرام "مارسلا فلورس" را ایجاد کردند و با سو استفاده از این مشخصات جعلی ، هکرها به عنوان مربی ایروبیک تقلید کردند.

مارسلا فلورس شخصیتی خیالی است که توسط هکرها برای فعالیت های نامشروع خود استفاده می شود.

در اینجا در این مرحله عوامل تهدید وقت خود را صرف کردند و ماه ها با برقراری ارتباط با اهداف خود ، مکاتبه با آنها از طریق پست و پیام های خصوصی ، قبل از اقدام به نفوذ به بدافزار ، صرف کردند.

کارشناسان امنیت سایبری در Proofpoint این بدافزار را گزارش کرده و لقب "Lempo" را داده اند که نسخه به روز شده "Liderc" است. Lempo اساساً یک VBS (اسکریپت ویژوال بیسیک) است که توسط ماکرو اکسل حذف می شود.

این VBS با بهره گیری از دستورات داخلی ویندوز ، میزبان را به چندین روش شناسایی می کند و سپس با استفاده از Microsoft's CDO (همکاری با اشیا Data داده ها) داده ها را از بین می برد.

جدا از این ، عوامل تهدید کننده ایجاد و سو profile استفاده از مشخصات جعلی همچنین از موارد زیر برای فریب قربانیان خود و ایجاد باور در واقعی بودن استفاده کرده اند:

پست الکترونیک
پیام خصوصی
پروفایل های رسانه های اجتماعی
عکسها
پیام های شخصی عاشقانه

در حالی که به عنوان بخشی از عملیات جاسوسی خود ، هکرها از این ایمیل ها برای ارسال پیوند قربانیان خود به OneDrive استفاده کرده اند که منجر به ارسال سندی با یک نظرسنجی مربوط به رژیم غذایی یا یک فایل ویدیویی ، به عنوان بخشی از مکاتبات دیرینه خود شده است.

اطلاعات و سوابق جمع آوری شده توسط لمپو شامل:

تاریخ و زمان
رایانه و نامهای کاربری
اطلاعات سیستم از طریق WMIC سیستم عامل ، sysaccount ، محیط و دستورات سیستم رایانه ای
محصولات ضد ویروس واقع در مسیر "SecurityCenter2"
درایوها
فهرست وظیفه یا لیست کار
نرم افزار و نسخه
کاربران خالص و جزئیات کاربر
علاوه بر این ، در رایانه ویندوزی قربانی ، بدافزار عوامل نفوذ مهاجمین را فراهم می کند که به آنها امکان می دهد تمام داده های محرمانه موجود در سیستم به خطر افتاده را جستجو و سرقت کنند. از طریق آن مهاجم می تواند اقدامات پیچیده جاسوسی را انجام دهد.

با این حال ، در این لحظه مشخصات جعلی با نام "Marcella Flores" توسط عوامل تهدید غیرفعال شد. بر اساس گزارش ها ، در این کارزار جاسوسی ، هکرهای این گروه بیش از 200 شرکت دفاعی نظامی و هوافضا را در آمریکا ، انگلیس و اروپا هدف قرار دادند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

صفحه اختصاصی مربی جعلی هکرها با نام Marcella Flores

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یادداشت امنیت ملی ایالات متحده آمریکا در مورد بهبود امنیت سایبری برای سیستم های کنترل زیرساخت های حیاتی
تاریخ انتشار: 28 ژوئیه 2021

مسئولیت حفاظت از زیرساخت های حیاتی ملت ما بر عهده دولت در سطح فدرال ، ایالتی ، محلی ، قبیله ای و سرزمینی و مالکان و بهره برداران آن زیرساخت است. تهدیدهای امنیت سایبری علیه سیستم هایی که زیرساخت های حیاتی را که همه ما به آن وابسته هستیم کنترل و کار می کنند ، از مهمترین و رو به رشدترین مسائلی است که ملت ما با آن روبروست. تخریب ، تخریب یا نقص سیستم هایی که این زیرساخت ها را کنترل می کنند می تواند آسیب قابل توجهی به امنیت ملی و اقتصادی ایالات متحده وارد کند.

بخش 1. خط مشی. این سیاست دولت من است که از زیرساخت های حیاتی ملت محافظت کند ، با تمرکز ویژه بر امنیت سایبری و انعطاف پذیری سیستم های حمایتی از عملکردهای مهم ملی ، که به عنوان وظایف دولت و بخش خصوصی برای ایالات متحده بسیار مهم تعریف شده است. اختلال ، فساد یا اختلال عملکرد می تواند بر امنیت ملی ، امنیت اقتصادی ، سلامت عمومی یا ایمنی یا هر ترکیبی از آنها تأثیر ناتوان کننده ای داشته باشد.

بخش 2. ابتکار امنیت سایبری سیستم های کنترل صنعتی. بر این اساس ، من یک ابتکار عمل برای سیستم های کنترل صنعتی (ابتکار) ایجاد کرده ام ، یک تلاش داوطلبانه و مشارکتی بین دولت فدرال و جامعه زیرساخت های حیاتی برای بهبود قابل توجه امنیت سایبری این سیستم های مهم. هدف اصلی این طرح دفاع از زیرساخت های حیاتی ایالات متحده با تشویق و تسهیل استقرار فناوری ها و سیستم هایی است که قابلیت تهدید ، نشانه ها ، تشخیص و هشدارها را فراهم می کند و قابلیت های پاسخگویی را برای امنیت سایبری در سیستم کنترل ضروری و فناوری عملیاتی تسهیل می کند. شبکه های. هدف ابتکار توسعه گسترده این فناوری ها در زیرساخت های حیاتی اولویت دار است.

بخش 3. پیشبرد سیستم های کنترل صنعتی ابتکار امنیت سایبری. این ابتکار مسیری را برای دولت و صنعت ایجاد می کند تا برای مقابله با این تهدیدات جدی اقدام فوری در حوزه کنترل خود انجام دهند. این ابتکار تلاشهای مداوم امنیت سایبری در بخشهای زیربنایی حیاتی را تقویت ، گسترش و تسریع می کند و گامی مهم در جهت مقابله با این تهدیدها است. ما نمی توانیم تهدیدهایی را که نمی توانیم ببینیم ، برطرف کنیم. بنابراین ، استقرار سیستم ها و فناوری هایی که می توانند سیستم های کنترلی را برای تشخیص فعالیت های مخرب و تسهیل اقدامات واکنش در برابر تهدیدات سایبری نظارت کنند ، برای اطمینان از عملیات ایمن این سیستم های حیاتی بسیار مهم است. دولت فدرال با صنعت همکاری می کند تا اطلاعات تهدید را برای زیرساخت های حیاتی سیستم کنترل اولویت در سراسر کشور به اشتراک بگذارد.

(الف) ابتکار با تلاش آزمایشی با زیرمجموعه برق آغاز شد و اکنون تلاش مشابهی برای خطوط لوله گاز طبیعی دنبال می شود. تلاشها برای سیستمهای بخش آب و فاضلاب و بخش شیمیایی اواخر امسال دنبال می شود.

ب) آژانسهای مدیریت ریسک بخشی ، همانطور که در بخش 9002 (الف) (7) قانون عمومی 116-283 تعریف شده است ، و سایر ادارات و سازمانهای اجرایی (آژانسها) ، در صورت لزوم و مطابق با قوانین قابل اجرا ، باید با ذینفعان زیرساخت های مهم همکاری کنند. و صاحبان و اپراتورها برای اجرای اصول و سیاست های مشخص شده در این یادداشت.
ادامه در پست بعد.....
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti