Codesys اعلام کرده است که بیش از ده ها آسیب پذیری را رفع کرده است.

راه حل های نرم افزار اتوماسیون صنعتی ارائه شده توسط شرکت آلمانی توسط بزرگترین سازندگان سیستم های کنترل صنعتی (ICS) در جهان استفاده می شود و آسیب پذیری های موجود در محصولات Codesys می تواند تعداد قابل توجهی از دستگاه ها را تحت تاثیر قرار دهد.

علاوه بر این، محققان شرکت چینی امنیت سایبری NSFocus مشکلاتی را در محصولات این شرکت آلمانی گزارش کردند.

در مجموع، کارشناسان 13 آسیب پذیری را در محصولات Codesys V2 پیدا کردند که یک شناسه CVE به آنها اختصاص داده شد. دو باگ توسط Codesys در اکتبر 2021 برطرف شد و 11 باگ با به‌روزرسانی‌های 23 ژوئن 2022 برطرف شد.

آسیب‌پذیری‌ها بسیار ساده هستند و می‌توان از آنها برای افشای اطلاعات حساس، قرار دادن یک PLC در حالت خطای بحرانی و اجرای کد دلخواه استفاده کرد و وقتی با سناریوهای صنعتی در این زمینه ترکیب شود، این اشکالات می‌توانند تولید صنعتی را فلج کنند و به تجهیزات آسیب برسانند.

به دو آسیب‌پذیری مربوط به حفاظت از رمز عبور نادرست، درجه‌بندی شدت «بحرانی» و به چندین آسیب‌پذیری دیگر درجه‌بندی «بالا» اختصاص داده شده است. علاوه بر این، بیش از نیمی از کاستی ها را می توان برای حملات انکار سرویس (DoS) استفاده کرد.

Codesys در بولتن های خود اذعان می کند که آسیب پذیری ها می توانند توسط یک مهاجم از راه دور مورد سوء استفاده قرار گیرند، اما در بسیاری از موارد هکر به نوعی دسترسی به سیستم هدف نیاز دارد.

در حال حاضر هیچ اکسپلویت شناخته شده ای در دسترس عموم وجود ندارد که آسیب پذیری های شناسایی شده را هدف قرار دهد.

با این حال، علاقه مندان چندان تنبل نبودند و ویدئویی منتشر کردند که نشان می داد چگونه یک مهاجم بالقوه می تواند یک DoS راه اندازی کند و سعی کند یک ABB PLC را متوقف کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیستم‌های اتوماسیون ساختمان (BAS) یک هدف نسبتاً نادر برای مهاجمان پیشرفته هستند و به خطر افتادن آنها معمولاً تصادفی است.

بر اساس آن هکرها پس از هک کردن BAS، می توانند سایر بخش های زیرساخت هدف از جمله، سیستم های امنیت اطلاعات خود را به خطر بیاندازند. علاوه بر این، این سیستم های اتوماسیون می توانند منبع ارزشمندی از اطلاعات بسیار حساس باشند.

در اکتبر 2021، Kaspersky یک مهاجم چینی زبان قبلاً ناشناخته را شناسایی کرد که به سازمان های مخابراتی، تولیدی و حمل و نقل در پاکستان، افغانستان و مالزی حمله می کرد.

ظاهراً موج حملات از اوایل مارس 2021 آغاز شد، این گروه از آسیب‌پذیری CVE-2021-26855 در Microsoft Exchange برای استقرار بدافزار ShadowPad و نفوذ به سیستم‌های اتوماسیون ساختمان استفاده کرد.

این حملات دارای مجموعه منحصربفردی از TTPها بود که محققان را به این باور رساند که همان تهدید به زبان چینی در پشت آنها وجود دارد. در همان زمان، این بازیگر از کامپیوترهای مهندسی در سیستم های اتوماسیون ساختمان به عنوان نقطه ورود استفاده کرد.

در طول بررسی، محققان ابزارها و دستورات دیگری را پیدا کردند که مهاجم پس از عفونت اولیه استفاده می کرد. بنابراین، از مارس تا اکتبر 2021، درب پشتی ShadowPad در قالب فایل mscoree.dll که توسط AppLaunch.exe، یک برنامه کاملاً قانونی، راه‌اندازی شده بود، در رایانه‌های قربانیان دانلود شد.

بعداً، مهاجمان ShadowPad را با رهگیری یک DLL در یک برنامه قانونی برای مشاهده اشیاء OLE-COM (OleView) راه اندازی کردند. پس از آلودگی اولیه، مهاجمان ابتدا دستورات را به صورت دستی و سپس به طور خودکار از طریق رابط خط فرمان (cmd.exe) ارسال کردند.

بعداً، مهاجمان شروع به توزیع یک اسکریپت مخرب برای cmd.exe در شبکه‌های سازمان‌های تحت حمله کردند. اسکریپت تقریباً کاملاً یکسان بود (از نظر محتوا و ترتیب دستورات) با توالی اقدامات دستی که قبلاً کشف شده بود. نه تنها از طریق شبکه تحویل داده شد، بلکه توسط مهاجمان نیز برای اجرای روزانه به برنامه زمانبندی وظایف اضافه شد.

توجه به این نکته مهم است که این بخش از TTP است که کاملاً منحصر به فرد است و فعالیت های مشابه را به ART چینی زبان قبلاً ناشناخته نسبت می دهد.

سایر ابزارهای مورد استفاده عبارتند از: CobaltStrike، دانلود شده در ماشین های قربانی با استفاده از ابزار certutil.exe، بسته بندی های وب aspx کامپایل شده، ابزارهای procdump و Mimikatz. درب پشتی PlugX. فایل های BAT (برای سرقت اطلاعات اعتباری)؛ پوسته های وب (برای دسترسی از راه دور به سرور وب)، و همچنین Nextnet (برای اسکن گره های شبکه).

مهاجمان از دامنه های ثبت شده در NameSilo، GoDaddy.com و ENOM برای تماس با C2 استفاده کردند. بیشتر C2 ها روی سرورهای اختصاصی اجاره ای Choopa میزبانی می شدند.

در حین تجزیه و تحلیل این حملات، محققان مطابق با یک APT چینی دیگر که به نام Hafnium ردیابی شده بود، یافتند که همچنین شناخته شده است که از اکسپلویت های Exchange ProxyLogon استفاده می کند. با این حال، ابزار ارائه شده برای صحبت در مورد دخالت HAFNUM در حملات توصیف شده در گزارش کافی نیست.

محققان نتوانستند هدف نهایی بازیگر را تعیین کنند، اما ظاهراً هدف این گروه جمع آوری داده ها است. Kaspersky معتقد است که این بازیگر ممکن است علایق جغرافیایی گسترده‌تری داشته باشد و بر این اساس، فهرستی از قربانیان داشته باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اگر برای به‌روزرسانی OpenSSL وقت ندارید، پس نباید عجله کنید، زیرا در نسخه جدید 3.0.4 که در 21 ژوئن 2022 منتشر شد، یک اشکال خرابی حافظه از راه دور شناسایی شد و سیستم‌های x64 با AVX-512 را تحت تأثیر قرار داد.

این آسیب‌پذیری توسط متخصص امنیتی Guido کشف شد که معتقد است با کمک یک باگ، یک مهاجم می‌تواند محتویات حافظه فرآیند را با ارسال داده‌های ساخته‌شده مخصوص در زمان برقراری اتصال TLS خراب کند.

هیچ شناسه یا درجه بحرانی CVE اختصاص داده نشده است زیرا هنوز مشخص نیست که آیا این اشکال می تواند منجر به اجرای کد و نشت حافظه پردازش شود یا خیر. در حال حاضر، خطا فقط محدود به خراب شدن است.

ماهیت آسیب‌پذیری این است که به دلیل تصحیح خطای نادرست در کد، تا 8192 بایت داده می‌تواند خارج از بافر اختصاص‌یافته بازنویسی یا خوانده شود.

محقق گوگل دیوید بنجامین تصمیم گرفت موضوع را دوباره بررسی کند، آسیب پذیری را تجزیه و تحلیل کرد و ادعا کرد که این خطا تهدیدی امنیتی نیست. با این حال، قول داده شده است که این مشکل در نسخه بعدی حل شود.

تصاویر منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨هشدار

اکسپلویت های Log4Shell هنوز برای هک سرورهای VMware استفاده می شود

عوامل تهدید، از جمله گروه‌های هک تحت حمایت دولت‌ها، همچنان سرورهای VMware Horizon و Unified Access Gateway (UAG) را با استفاده از آسیب‌پذیری اجرای کد از راه دور Log4Shell (CVE-2021-44228) هدف قرار می‌دهند.
مهاجمان می‌توانند از Log4Shell از راه دور بر روی سرورهای آسیب‌پذیری که در معرض دسترسی محلی یا اینترنتی هستند برای حرکت جانبی در شبکه‌ها تا زمانی که به سیستم‌های داخلی حاوی داده‌های حساس دسترسی پیدا کنند، سوء استفاده کنند.
پس از افشای آن در دسامبر 2021، چندین عامل تهدید شروع به اسکن و بهره‌برداری از سیستم‌های اصلاح‌نشده ، از جمله گروه‌های هک تحت حمایت دولت از چین، کره شمالی و ترکیه، و همچنین چندین واسطه دسترسی که معمولاً توسط باج‌افزارها استفاده می‌شوند، کردند.

امنیت سایبری آمریکا اعلام کرد سرورها با استفاده از سوء استفاده‌های Log4Shell برای دسترسی اولیه به شبکه‌های سازمان‌های هدف به خطر افتاده‌اند.
پس از نفوذ به شبکه‌ها، آن‌ها انواع بدافزارهای مختلف را مستقر کردند و دسترسی از راه دور مورد نیاز برای استقرار بارهای اضافی و استخراج صدها گیگابایت اطلاعات حساس را در اختیار آنها قرار دادند.
به عنوان بخشی از این بهره برداری، بازیگران مشکوک APT بدافزار لودر را در سیستم های در معرض خطر با فایل های اجرایی تعبیه شده که فرمان و کنترل از راه دور (C2) را امکان پذیر می کند، کاشته اند .
در یک نشست تایید شده، این بازیگران APT توانستند به صورت جانبی در داخل شبکه حرکت کنند، به شبکه بازیابی فاجعه دسترسی پیدا کنند، و داده های حساس را جمع آوری و استخراج کنند.

سیستم‌های VMware وصله‌نشده باید به خطر افتاده در نظر گرفته شوند

به سازمان‌هایی که هنوز سرورهای VMware خود را اصلاح نکرده‌اند، توصیه می‌شود آنها را به‌عنوان هک شده برچسب‌گذاری کنند و رویه‌های واکنش به حادثه (IR) را شروع کنند.

✅مراحل مورد نیاز برای واکنش مناسب در چنین شرایطی شامل:
جداسازی فوری سیستم‌های بالقوه آسیب‌دیده، جمع‌آوری و بررسی لاگ‌ها و موارد مربوطه، استخدام کارشناسان IR شخص ثالث (در صورت نیاز)، و گزارش حادثه به مراجع ملی امنیتی است.
به همه سازمان‌های دارای سیستم‌های آسیب‌دیده توصیه می‌شود که فوراً وصله‌ها یا راه‌حل‌های موجود را اعمال کنند

توصیه امروز پس از آن صورت می گیرد که VMware همچنین در ماه ژانویه از مشتریان خواسته است تا سرورهای VMware Horizon در معرض اینترنت را در برابر حملات Log4Shell ایمن کنند.
از ابتدای سال، سرورهای VMware Horizon توسط بازیگران تهدید چینی زبان برای استقرار باج‌افزار Night Sky ، Lazarus Korean APT برای استقرار دزدان اطلاعات و گروه هکر ایرانی TunnelVision برای استقرار درهای پشتی هدف قرار گرفته‌اند.
تا زمانی که نتوانید با به‌روزرسانی همه سرورهای VMware Horizon و UAG آسیب‌دیده به آخرین نسخه‌ها، ساخت‌های اصلاح‌شده را نصب کنید، می‌توانید سطح حمله را «با میزبانی سرویس‌های ضروری در یک منطقه غیرنظامی جداشده (DMZ)»، استقرار فایروال‌های برنامه‌های کاربردی وب (WAF) کاهش دهید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحله‌ای و پیشرفته

بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود.
مرکز مدیریت راهبردی افتا دیروز ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام Chaplin در زیرساخت‌های کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیق‌تر از عملکرد آن بهمراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.


عملکرد بدافزار:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمی‌آید.

راهکارهای پیشگیری و مقابله:
1) بروزرسانی آنتی‌ویروس و پویش شبکه
2) محدودسازی مجوزهای اجرای کدهای پاورشل
3) استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
4) تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
5) جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
6) معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شناسایی آسیب پذیری ها در محصولات Yokogawa

۱-
انتقال متن شفاف اطلاعات حساس CWE-319
محصول آسیب‌دیده اطلاعات حساس را به صورت متن شفاف منتقل می‌کند، که ممکن است به مهاجمی که ترافیک شبکه روی کنترل‌کننده را شناسایی می‌کند، اجازه می‌دهد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
CVE-2022-29519 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.8 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
استفاده از اعتبارنامه های رمزگذاری شده سخت CWE-798
محصول آسیب‌دیده از اعتبارنامه‌های رمزگذاری‌شده استفاده می‌کند، که می‌تواند مهاجم را قادر ‌سازد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
توجه داشته باشید، واحدهای واحد CPU کنترلر FCN/FCJ تحت تأثیر قرار نمی گیرند.
CVE-2022-30997 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.3 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H) است.

۳-
نقض اصول طراحی ایمن CWE-657
اگر مهاجم با استفاده از CAMS برای نرم‌افزار HIS با موفقیت رایانه‌ای را در معرض خطر قرار دهد، می‌تواند از اعتبارنامه‌های دستگاه در معرض خطر برای دسترسی به داده‌های دستگاه دیگری با استفاده از CAMS برای نرم‌افزار HIS استفاده کند. این می تواند منجر به غیرفعال کردن CAMS برای عملکردهای نرم افزار HIS در هر دستگاه آسیب دیده شود.
CVE-2022-30707 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.4 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در برخی محصولات اتوماسیون صنعتی Omron
۱-
انتقال متن شفاف اطلاعات حساس CWE-319
سری Omron SYSMAC CS1/CJ1/CP1/CP2 در برابر رمز عبور استفاده شده برای محدود کردن عملیات مهندسی که به صورت متن ساده منتقل می شود آسیب پذیر است.
CVE-2022-31204 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
ذخیره سازی متن ساده رمز عبور CWE-256
CP1W-CIF41 Ethernet Option Board در برابر رمز عبور Web UI آسیب پذیر است که می تواند با استفاده از پروتکل Omron FINS از حافظه خوانده شود. مهاجمی که این رمز عبور را به دست می آورد می تواند تنظیمات شبکه گزینه برد را تغییر دهد.
CVE-2022-31205 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۳-
تأیید ناکافی صحت داده ها CWE-345
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد تا بدون استفاده از رمز عبور حفاظتی PLC، کد شی منتقل‌شده را به یک PLC محافظت‌نشده دستکاری کند. سپس یک مهاجم می‌تواند دستورات کد شی دلخواه را بر روی منطق نرم‌افزاری تعریف‌شده برای تمام نسخه‌های کنترل‌کننده‌های سری SYSMAC CS/CJ/CP اجرا کند و شرایط انکار سرویس را ایجاد کند.
CVE-2022-31207 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 5.9 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H) است.

۴-
تأیید ناکافی صحت داده ها CWE-347
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد کد شی منتقل شده به PLC را دستکاری کند و کد ماشین دلخواه را روی پردازنده ماژول CPU PLC برای کنترل‌کننده‌های سری SYSMAC NJ/NX اجرا کند.
CVE-2022-31206 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.4 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار!!
محققان آزمایشگاه کسپرسکی بدافزار SessionManager را کشف کردند که اولین بار در اوایل سال 2022 کشف شد و یک ماژول مخرب خود کدگذاری شده برای نرم افزار وب سرور مایکروسافت خدمات اطلاعات اینترنتی (IIS) است.

به طور کلی، بهره برداری از آسیب پذیری های سرور Exchange از سه ماهه اول سال 2021 به یک اولویت برای مجرمان سایبری در حملات هدفمند تبدیل شده است.

از آن زمان، متخصصان این شرکت از نزدیک فرصت جدیدی را برای مجرمان سایبری که یک درب پشتی را در IIS به کار می‌برند، دنبال می‌کنند، که به یک روند واقعی برای کسانی تبدیل شده است که قبلاً از ProxyLogon در Microsoft Exchange سوء استفاده می‌کردند.

SessionManager هنگام جستجوی این درهای پشتی در IIS، مشابه Owowa، یک ماژول مخرب دیگر IIS که مهاجمان از اواخر سال 2020 در سرورهای Microsoft Exchange Outlook Web Access مستقر کرده اند، برای سرقت اطلاعات کاربری Exchange کشف شد.

درپشتی به مهاجمان اجازه می دهد تا دسترسی دائمی، مقاوم در برابر به روز رسانی و نسبتاً پنهانی به زیرساخت فناوری اطلاعات سازمان هدف را حفظ کنند.

پس از استقرار، ماژول مخرب IIS به اپراتورها اجازه می‌دهد تا اعتبارنامه‌ها را از حافظه سیستم استخراج کنند، اطلاعات را از شبکه‌ای از قربانیان و دستگاه‌های آلوده جمع‌آوری کنند و بارهای اضافی (مانند بارگذار بازتابی Mimikatz مبتنی بر PowerSploit، Mimikatz SSP، ProcDump و تخلیه حافظه Avast را تحویل دهند. ابزار).

قابلیت‌های SessionManager شامل موارد زیر است، اما به این موارد محدود نمی‌شود: حذف و مدیریت فایل‌های دلخواه در سرورهای در معرض خطر. اجرای از راه دور دستورات در دستگاه های دارای درب پشتی؛ اتصال به نقاط پایانی در شبکه محلی قربانی و مدیریت ترافیک شبکه.

ویژگی متمایز SessionManager نرخ کشف پایین آن است. این بدافزار حداقل از مارس 2021، درست پس از آغاز موج عظیم حملات ProxyLogon در سال گذشته، بدون شناسایی در طبیعت مورد استفاده قرار گرفته است.

همانطور که محققان خاطرنشان کردند، SessionManager برای یک سال تقریبا نامرئی بود و هنوز هم مخفیانه استفاده می شود.

آزمایشگاه کسپرسکی دریافت که اکثر نمونه‌های بدافزار شناسایی شده قبلی هنوز بر روی 34 سرور در 24 سازمان (از ژوئن 2022) در اروپا، خاورمیانه، آسیا و آفریقا مستقر هستند.

اپراتور SessionManager علاقه خاصی به سازمان‌های غیردولتی و سازمان‌های دولتی دارد، اما سازمان‌های پزشکی، شرکت‌های نفت، شرکت‌های حمل‌ونقل و غیره نیز قربانی می‌شوند.

بر اساس شباهت قربانی شناسی و استفاده از نوع رایج OwlProxy، کارشناسان آزمایشگاه کسپرسکی معتقدند که درب پشتی SessionManager IIS در این حملات Gelsemium APT به عنوان بخشی از یک کمپین جاسوسی در مقیاس بزرگ استفاده شده است.

این گروه حداقل از سال 2014 فعال بوده است. Gelsemium APT برای هدف قرار دادن دولت‌ها، تولیدکنندگان لوازم الکترونیکی و دانشگاه‌ها در شرق آسیا و خاورمیانه بدنام است و در بیشتر موارد کاملاً محرمانه باقی می‌ماند.

و جای تعجب نیست: بسیاری از سازمان های هدف هنوز در معرض خطر هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

امنیت سایبری در فضا
تجزیه و تحلیل تهدیدها، فن آوری های کلیدی و چالش های امنیت سایبری در صنعت فضایی
گردآوری، ترجمه و تحلیل: دکتر پدرام کیانی
خلاصه
تحولات در فن‌آوری‌ها، نگرش‌ها و سرمایه‌گذاری، محیط فضا را تغییر می‌دهد و دسترسی بیشتری را برای تعداد فزاینده‌ای از طرف‌ها به دست می‌آورد.  صورفلکی جدید و پیشنهادی، جمعیت ماهواره‌های موجود در مدار را به میزان هزاران افزایش می‌دهند و چشم‌انداز تهدید صنعت فضایی را گسترش می‌دهند.  این مقاله تهدیدها و حوادث امنیتی ماهواره‌ای گذشته را برای ارزیابی انگیزه‌ها و ویژگی‌های تهدیدات خصمانه برای ماهواره‌ها تحلیل می‌کند.  ارتباطات زمینی و فرکانس رادیویی مورد علاقه ترین اهداف بودند.  با این حال، رونق صور فلکی ماهواره‌ای در سال‌های آینده ممکن است این تمرکز را به سمت بخش فضایی که باید مورد توجه قرار گیرد، تغییر دهد.  پیشرفت‌های فناوری کلیدی و مسائل باز در صنعت ماهواره‌ای مرتبط با الزامات امنیتی و عملیاتی نیز مورد بحث قرار می‌گیرد
مقاله کامل را از اینک زیر دریافت کنید:
https://lnkd.in/ex3kyt2b

#امنیت_سایبری_فضا #امنیت_سایبری #امنیت_صنعتی #پدرام_کیانی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گنجشک درنده، نسبت به ارسال فایل هایی که ادعا دارد دارای طبقه بندی خیلی محرمانه هستند از سه شرکت فولادمبارکه، فولاد خورستان، فولاد هرمزگان نموده است.
صحت و سقم این ادعا بایستی مورد بررسی قرار گیرد

تصاویر منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آسیب پذیری به هکرها اجازه می دهد تا قفل خودروهای هوندا را از راه دور باز کرده و راه اندازی کنند.

آسیب‌پذیری ورود بدون کلید می‌تواند به‌طور بالقوه بر دیگر خودروها و مدل‌های غیرهوندا تأثیر بگذارد

محققان اخیراً آسیب‌پذیری را کشف کرده‌اند که به هکرها اجازه می‌دهد چندین مدل خودروی هوندا را از راه دور باز کرده و راه‌اندازی کنند.
10 مدل از محبوب‌ترین مدل‌های هوندا را آسیب‌پذیر معرفی می‌کند. بدتر از همه، یافته‌های فعلی محققان را به این باور می‌رساند که این آسیب‌پذیری می‌تواند در تمام خودروهای هوندا از سال 2012 تا 2022 وجود داشته باشد.
این نقص امنیتی که توسط محققان RollingPWN نامیده می شود، از یکی از اجزای سیستم ورود بدون کلید هوندا سوء استفاده می کند. سیستم ورودی فعلی متکی به یک مدل کد متحرک است که هر بار که صاحبان دکمه fob را فشار می‌دهند، یک کد ورودی جدید ایجاد می‌کند. پس از صدور، موارد قبلی باید غیرقابل استفاده شوند تا از حملات مجدد جلوگیری شود. در عوض، محققان Kevin26000 و Wesley Li کشف کردند که کدهای قدیمی را می توان به عقب برگرداند و برای دسترسی ناخواسته به وسیله نقلیه استفاده کرد.
محققان این آسیب‌پذیری را در چندین مدل هوندا از سال 2012 تا 2022 آزمایش کردند. فهرست خودروهای آزمایشی تحت تأثیر شامل موارد زیر است:
هوندا سیویک 2012
هوندا XR-V 2018
هوندا CR-V 2020
هوندا آکورد 2020
هوندا اودیسه 2020
هوندا اینسپایر 2021
هوندا فیت 2022
هوندا سیویک 2022
هوندا VE-1 2022
هوندا بریز 2022
براساس فهرست و آزمایش‌های موفقیت‌آمیز این اکسپلویت، Kevin26000 و Li قویاً معتقدند که این آسیب‌پذیری می‌تواند بر همه خودروهای هوندا و نه فقط ده اولیه فهرست شده در بالا تأثیر بگذارد.

ارائه راه حلی برای آسیب پذیری ممکن است به اندازه خود اکسپلویت پیچیده باشد. هوندا می‌تواند این نقص را از طریق به‌روزرسانی میان‌افزار (OTA) برطرف کند، اما بسیاری از خودروهای آسیب‌دیده از OTA پشتیبانی نمی‌کنند. تعداد زیاد وسایل نقلیه احتمالی آسیب دیده سناریوی فراخوان را بعید می سازد.

در حال حاضر، تحقیقات برای تعیین میزان گستردگی این آسیب‌پذیری ادامه دارد. بر اساس ماهیت حمله، Kevin26000 و Li به شدت مشکوک هستند که این موضوع ممکن است بر سایر خودروسازان نیز تأثیر بگذارد.

این یافته تنها یکی دیگر از یک سری آسیب‌پذیری‌های دسترسی است که در سری خودروهای هوندا در سال جاری کشف شد. در ماه مارس، محققان یک اکسپلویت انسان در وسط ( CVE-2022-27254 ) را شناسایی کردند که در آن سیگنال‌های RF می‌توانند رهگیری و برای استفاده بعدی دستکاری شوند. Kevin26000 همچنین در ژانویه 2022 یک حمله تکراری مشابه ( CVE-2021-46145 ) را گزارش کرده بود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

غول‌های ICS زیمنس و اشنایدر الکتریک به‌روزرسانی‌های ماهانه را ارائه کردند.

زیمنس 19 بولتن جدید منتشر کرده است که 46 آسیب پذیری را توصیف می کند، که دو مورد از آنها "بحرانی" با امتیاز CVSS 10 از 10 هستند.

یکی از بولتن ها آسیب پذیری های حیاتی و جدی در پردازنده ارتباطی SIMATIC CP 1543-1 را توصیف می کند. آسیب‌پذیری‌های RCE تنها در صورتی می‌توانند مورد سوء استفاده قرار گیرند که از ویژگی VPN Remote Connect Server (SRCS) استفاده شود که به‌طور پیش‌فرض غیرفعال است.

آسیب‌پذیری‌های مهم و جدی دیگر در دستیار دیجیتال SIMATIC eaSie رفع شده است. اشکالات را می توان از راه دور با ارسال درخواست های دلخواه به سیستم برای راه اندازی یک شرط DoS مورد سوء استفاده قرار داد.

یکی دیگر از آسیب‌پذیری‌های مهم مرتبط با DHCP که توسط زیمنس وصله شده است، درایوهای قدیمی‌تر SINAMICS Perfect Harmony GH180 را تحت تأثیر قرار می‌دهد و اجازه دسترسی به شبکه داخلی آن را می‌دهد.

یک آسیب‌پذیری بای پس احراز هویت بحرانی در سیستم مدیریت کیفیت Opcenter، و همچنین چندین آسیب‌پذیری حیاتی و جدی در سوئیچ‌های SCALANCE X را که می‌توان برای DoS یا BruteForce استفاده کرد و همچنین منجر به ربودن جلسه می‌شود، بسته است.

ده بولتن آسیب پذیری های با شدت بالا را توصیف می کند. با این حال، 20 اشکال در محصول PADS Viewer این شرکت می تواند برای RCE با فریب کاربر هدف برای باز کردن یک فایل ساخته شده خاص مورد سوء استفاده قرار گیرد.

برای برخی از محصولات، زیمنس اصلاحاتی ارائه نداده و اقدامات کاهشی و راه‌حل‌هایی را توصیه می‌کند.

اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که 13 آسیب پذیری را توصیف می کند. یکی از آنها مشکل جدی تزریق دستورات سیستم عامل را به کنترلر خانگی SpaceLogic C-Bus توصیف می کند.

برخی از ماژول‌های رسانه OPC UA و X80 Advanced RTU تحت تأثیر سه آسیب‌پذیری با شدت بالا هستند که می‌توان از آنها برای DoS استفاده کرد، و همچنین با شدت متوسط ​​4، که امکان دانلود یک تصویر میان‌افزار غیرمجاز را فراهم می‌کند.

این شرکت همچنین توصیه‌هایی را برای آسیب‌پذیری‌های بالا و متوسط ​​در رله امنیتی Easergy P5 منتشر کرده است که می‌تواند به مهاجم اجازه ایجاد یک وضعیت DoS، کسب اعتبار دستگاه یا کنترل کامل دستگاه را بدهد.

یک آسیب‌پذیری با شدت متوسط ​​که می‌تواند امکان دسترسی به سایر دستگاه‌های موجود در شبکه را فراهم کند، در Acti9 PowerTag Link C کشف شد.

فروشنده تمام وصله ها و اقدامات کاهشی را منتشر کرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴 سه‌شنبه وصله... چهارشنبه حمله❗️

♻️ مایکروسافت در به‌روزرسانی روز سه‌شنبه 12 جولای 2022، 84 آسیب‌پذیری با شدت بحرانی و مهم را در محصولات خود برطرف کرده است.

📎 جهت اطلاع از محصولات آسيب‌پذیر و نحوه‌ی وصله یا به‌روزرسانی آن‌ها به لینک زیر مراجعه نمایید:
🌐 https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

✅ برای جلوگیری از حملات سایبری پس از ارائه‌ی وصله‌های امنیتی، توصیه می‌شود در اسرع وقت اقدامات لازم را جهت رفع آسیب‌پذیری‌ها انجام دهید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Trend Micro The state of Industrial CyberSecurity

#cybersecurity #otsecurity #icscybersecurity #technology

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti