سرویسهای VPN بیش از ۲ سال است که اطلاعات کاربران iOS را لو میدهند
یک مطالعه جدید نشان داده است که اشخاص ثالث می توانند ترافیک و آدرس IP شما را ببینند.
بر اساس یک مطالعه جدید، دستگاههای iOS مقداری از ترافیک شبکه را به خارج از تونل VPN هدایت میکنند. مایکل هوروویتز محقق امنیت سایبری در این مورد در وبلاگ خود نوشت .
جلسات و اتصالاتی که قبل از فعالسازی VPN ایجاد شدهاند قطع نمیشوند و با کمک گزارش پیشرفته روتر، همچنان میتوانند در زمانی که تونل VPN فعال است، دادهها را به خارج از تونل ارسال کنند.
به عبارت دیگر، داده ها دستگاه را خارج از تونل VPN ترک می کنند و این یک نشت کامل داده است.
طبق گزارشهای هورویتز، یک iPad متصل به VPN با ارائهدهنده VPN (37.19.214.1) و Apple Push (17.57.144.12) تماس میگیرد. اتصال Apple خارج از VPN است و در صورت مشاهده ISP یا سایر طرفها، میتواند آدرس IP را به طور بالقوه فاش کند.
شرکت حریم خصوصی Proton قبلاً یک آسیب پذیری مشابه را گزارش کرده است که حداقل در iOS 13.3.1 ظاهر شده است. ProtonVPN در آن زمان اشاره کرد که VPN معمولاً تمام اتصالات موجود را می بندد و آنها را در داخل تونل VPN باز می کند، اما این اتفاق در iOS رخ نداد. بیشتر اتصالات موجود به داخل تونل ختم میشوند، اما برخی مانند سرویس اعلان فشار اپل، ممکن است ساعتها طول بکشد.
هوروویتز برنامه ProtonVPN را در اواسط سال 2022 روی یک آیپد با سیستم عامل iOS 15.4.1 آزمایش کرد و دریافت که همچنان امکان اتصال مداوم و بدون تونل به سرویس فشار اپل را میدهد. هوروویتز گفت، ویژگی Kill Switch ProtonVPN، که در صورت از بین رفتن تونل VPN، تمام ترافیک شبکه را مسدود می کند، نشت را متوقف نکرد.
و آزمایش بر روی iOS 15.5 با یک ارائه دهنده OVPN VPN که پروتکل WireGuard را اجرا می کند نشان داد که iPad او همچنان به خدمات اپل و خدمات وب آمازون درخواست می دهد.
ProtonVPN یک راه حل پیشنهاد کرد: به یک سرور VPN متصل شوید، حالت هواپیما را روشن کنید، سپس آن را خاموش کنید. سایر اتصالات شما نیز باید در داخل تونل VPN دوباره وصل شوند، اما ProtonVPN این را 100٪ تضمین نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
یک مطالعه جدید نشان داده است که اشخاص ثالث می توانند ترافیک و آدرس IP شما را ببینند.
بر اساس یک مطالعه جدید، دستگاههای iOS مقداری از ترافیک شبکه را به خارج از تونل VPN هدایت میکنند. مایکل هوروویتز محقق امنیت سایبری در این مورد در وبلاگ خود نوشت .
جلسات و اتصالاتی که قبل از فعالسازی VPN ایجاد شدهاند قطع نمیشوند و با کمک گزارش پیشرفته روتر، همچنان میتوانند در زمانی که تونل VPN فعال است، دادهها را به خارج از تونل ارسال کنند.
به عبارت دیگر، داده ها دستگاه را خارج از تونل VPN ترک می کنند و این یک نشت کامل داده است.
طبق گزارشهای هورویتز، یک iPad متصل به VPN با ارائهدهنده VPN (37.19.214.1) و Apple Push (17.57.144.12) تماس میگیرد. اتصال Apple خارج از VPN است و در صورت مشاهده ISP یا سایر طرفها، میتواند آدرس IP را به طور بالقوه فاش کند.
شرکت حریم خصوصی Proton قبلاً یک آسیب پذیری مشابه را گزارش کرده است که حداقل در iOS 13.3.1 ظاهر شده است. ProtonVPN در آن زمان اشاره کرد که VPN معمولاً تمام اتصالات موجود را می بندد و آنها را در داخل تونل VPN باز می کند، اما این اتفاق در iOS رخ نداد. بیشتر اتصالات موجود به داخل تونل ختم میشوند، اما برخی مانند سرویس اعلان فشار اپل، ممکن است ساعتها طول بکشد.
هوروویتز برنامه ProtonVPN را در اواسط سال 2022 روی یک آیپد با سیستم عامل iOS 15.4.1 آزمایش کرد و دریافت که همچنان امکان اتصال مداوم و بدون تونل به سرویس فشار اپل را میدهد. هوروویتز گفت، ویژگی Kill Switch ProtonVPN، که در صورت از بین رفتن تونل VPN، تمام ترافیک شبکه را مسدود می کند، نشت را متوقف نکرد.
و آزمایش بر روی iOS 15.5 با یک ارائه دهنده OVPN VPN که پروتکل WireGuard را اجرا می کند نشان داد که iPad او همچنان به خدمات اپل و خدمات وب آمازون درخواست می دهد.
ProtonVPN یک راه حل پیشنهاد کرد: به یک سرور VPN متصل شوید، حالت هواپیما را روشن کنید، سپس آن را خاموش کنید. سایر اتصالات شما نیز باید در داخل تونل VPN دوباره وصل شوند، اما ProtonVPN این را 100٪ تضمین نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
.png){kind=link}
بچه گربه جذاب دست به یک بدافزار جدید زد
هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند
گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخههای اولیه HYPERSCRAPE این گزینه را داشتند که دادهها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه میدهد دادههای خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند
گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخههای اولیه HYPERSCRAPE این گزینه را داشتند که دادهها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه میدهد دادههای خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Google
New Iranian APT data extraction tool
As part of TAG's mission to counter serious threats to Google and our users, we've analyzed a range of persistent threats including APT35 and Charming Kitten, …
غول نفت و گاز ایتالیایی انی که حتی یک چاه در این کشور ندارد اما در آفریقا، روسیه و قزاقستان با موفقیت تولید می کند، مورد حمله سایبری قرار گرفت.
در توضیحات خود، یکی از نمایندگان شرکت تایید کرد که نقضهای امنیتی وجود داشته و مهاجمان به شبکه آن دسترسی پیدا کردهاند، اما این حمله عواقب جزئی داشت، زیرا به سرعت شناسایی شد و اقدامات مناسب انجام شد.
این شرکت این حادثه را به مقامات ایتالیایی گزارش داد و تحقیقات برای تعیین میزان تهدیدات و عواقب آن آغاز شده است. این حمله برای اولین بار توسط بلومبرگ نیوز در روز چهارشنبه گزارش شد که نشان می دهد انی توسط باج افزار مورد حمله قرار گرفته است.
با این حال، هنوز جزئیات فنی در مورد این حمله وجود ندارد و در حال حاضر نمی توان تعیین کرد که مهاجمان چگونه شرکت را هک کرده اند، انگیزه آنها و چه عاملی تهدید کننده در پشت این حمله قرار دارد.
متأسفانه، این تنها حادثه در چند وقت اخیر نیست که بخش انرژی ایتالیا آسیب دیده است. به معنای واقعی کلمه روز دیگر، آژانس انرژی ایتالیایی Gestore dei Servizi Energetici SpA مورد حمله قرار گرفت. علاوه بر این، GSE یک ساختار دولتی است که بازار برق ایتالیا را مدیریت می کند.
جزئیات این حادثه نیز در دست نیست و سایت GSE همچنان از کار افتاده است، اما منابع آگاه گفتند که زیرساخت های شرکت به خطر افتاده است و این بر عملکرد آژانس تأثیر می گذارد.
روزی بدون باج افزار نیست.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در توضیحات خود، یکی از نمایندگان شرکت تایید کرد که نقضهای امنیتی وجود داشته و مهاجمان به شبکه آن دسترسی پیدا کردهاند، اما این حمله عواقب جزئی داشت، زیرا به سرعت شناسایی شد و اقدامات مناسب انجام شد.
این شرکت این حادثه را به مقامات ایتالیایی گزارش داد و تحقیقات برای تعیین میزان تهدیدات و عواقب آن آغاز شده است. این حمله برای اولین بار توسط بلومبرگ نیوز در روز چهارشنبه گزارش شد که نشان می دهد انی توسط باج افزار مورد حمله قرار گرفته است.
با این حال، هنوز جزئیات فنی در مورد این حمله وجود ندارد و در حال حاضر نمی توان تعیین کرد که مهاجمان چگونه شرکت را هک کرده اند، انگیزه آنها و چه عاملی تهدید کننده در پشت این حمله قرار دارد.
متأسفانه، این تنها حادثه در چند وقت اخیر نیست که بخش انرژی ایتالیا آسیب دیده است. به معنای واقعی کلمه روز دیگر، آژانس انرژی ایتالیایی Gestore dei Servizi Energetici SpA مورد حمله قرار گرفت. علاوه بر این، GSE یک ساختار دولتی است که بازار برق ایتالیا را مدیریت می کند.
جزئیات این حادثه نیز در دست نیست و سایت GSE همچنان از کار افتاده است، اما منابع آگاه گفتند که زیرساخت های شرکت به خطر افتاده است و این بر عملکرد آژانس تأثیر می گذارد.
روزی بدون باج افزار نیست.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
آمازون بازیگران مشهور هالیوود را برای تبلیغ موضوع احراز هویت چند عاملی استخدام کرده است.
من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سلام به همه!
تجزیه و تحلیل های آماده شده در مورد تهدیدات سایبری برای سه ماهه دوم سال 2022.
تعداد حملات سایبری علیه مؤسسات صنعتی نسبت به سه ماهه اول سال جاری افزایش چشمگیری داشته است. 76 درصد از آنها با استفاده از بدافزار مرتکب شدند که در میان آنها باج افزار پیشتاز بود (61 درصد).
در اغلب موارد، اقدامات مزاحمان منجر به اختلال در شرکت های صنعتی (53%) و درز اطلاعات محرمانه (55%) شده است.
🛡به منظور افزایش سطح حفاظت از شرکت های صنعتی، استفاده از پلتفرم جامع حفاظت از صنعت در برابر تهدیدات سایبری را توصیه می کنیم.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
تجزیه و تحلیل های آماده شده در مورد تهدیدات سایبری برای سه ماهه دوم سال 2022.
تعداد حملات سایبری علیه مؤسسات صنعتی نسبت به سه ماهه اول سال جاری افزایش چشمگیری داشته است. 76 درصد از آنها با استفاده از بدافزار مرتکب شدند که در میان آنها باج افزار پیشتاز بود (61 درصد).
در اغلب موارد، اقدامات مزاحمان منجر به اختلال در شرکت های صنعتی (53%) و درز اطلاعات محرمانه (55%) شده است.
🛡به منظور افزایش سطح حفاظت از شرکت های صنعتی، استفاده از پلتفرم جامع حفاظت از صنعت در برابر تهدیدات سایبری را توصیه می کنیم.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دانشمندان ژاپنی یک سوسک سایبورگ برای کار نجات ساخته اند
دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بیسیم با باتری لیتیوم پلیمری نصب کردند.
مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسکها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کردهاند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
https://t.me/ics_cert
دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بیسیم با باتری لیتیوم پلیمری نصب کردند.
مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسکها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کردهاند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
https://t.me/ics_cert
مایکروسافت: هکرهای ایرانی سیستم های ویندوز را با استفاده از BitLocker رمزگذاری می کنند
مایکروسافت میگوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی میکند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستمهای قربانیان سوء استفاده کرده است.
تیمهای اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیبپذیریهای امنیتی جدید فاش شده سوء استفاده میکند و به طور گسترده از باینریهای زنده خارج از زمین (LOLBIN) در حملات استفاده میکند.
CISA به آژانسها دستور میدهد تا نقصهای Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."
برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.
مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.
ردموند میگوید این یک زیرگروه از گروه جاسوسی سایبری تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمعآوری اطلاعات از قربانیان برجسته مرتبط با دولتها، سازمانهای غیردولتی و سازمانهای دفاعی در سراسر جهان شناخته میشود.
مایکروسافت بر اساس «همپوشانیهای زیرساختهای متعدد» میگوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته میشود اداره میشود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).
ردموند افزود: «این سازمانها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.
این گروه معمولاً در هدفیابی خود فرصتطلب است: بازیگر اینترنت را اسکن میکند تا سرورها و دستگاههای آسیبپذیر را بیابد و سازمانهایی را که سرورها و دستگاههای آسیبپذیر و قابل کشف دارند، مستعد این حملات میکند.»
از آنجایی که بسیاری از حملات DEV-0270 از آسیبپذیریهای شناختهشده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کردهاند، به شرکتها توصیه میشود که سرورهای اینترنتی خود را اصلاح کنند تا تلاشهای بهرهبرداری و حملات بعدی باجافزار را مسدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مایکروسافت میگوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی میکند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستمهای قربانیان سوء استفاده کرده است.
تیمهای اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیبپذیریهای امنیتی جدید فاش شده سوء استفاده میکند و به طور گسترده از باینریهای زنده خارج از زمین (LOLBIN) در حملات استفاده میکند.
CISA به آژانسها دستور میدهد تا نقصهای Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."
برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.
مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.
ردموند میگوید این یک زیرگروه از گروه جاسوسی سایبری تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمعآوری اطلاعات از قربانیان برجسته مرتبط با دولتها، سازمانهای غیردولتی و سازمانهای دفاعی در سراسر جهان شناخته میشود.
مایکروسافت بر اساس «همپوشانیهای زیرساختهای متعدد» میگوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته میشود اداره میشود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).
ردموند افزود: «این سازمانها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.
این گروه معمولاً در هدفیابی خود فرصتطلب است: بازیگر اینترنت را اسکن میکند تا سرورها و دستگاههای آسیبپذیر را بیابد و سازمانهایی را که سرورها و دستگاههای آسیبپذیر و قابل کشف دارند، مستعد این حملات میکند.»
از آنجایی که بسیاری از حملات DEV-0270 از آسیبپذیریهای شناختهشده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کردهاند، به شرکتها توصیه میشود که سرورهای اینترنتی خود را اصلاح کنند تا تلاشهای بهرهبرداری و حملات بعدی باجافزار را مسدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
پونمون: حملات سایبری منجر به افزایش مرگ و میر در بیمارستان ها می شود
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
حملات سایبری به مراکز پزشکی یک اتفاق تقریباً ثابت در ایالات متحده است.
حملات سایبری به مراکز پزشکی، که تقریباً به طور مداوم در ایالات متحده رخ می دهد، اغلب منجر به افزایش نرخ مرگ و میر بیماران می شود.
این مطالعه که توسط مؤسسه پونمون، یک اندیشکده مستقر در واشنگتن دی سی انجام شد، با بیش از 600 متخصص فناوری اطلاعات از بیش از 100 موسسه مراقبت های بهداشتی مصاحبه کرد. نتایج این مطالعه ملموسترین شواهد تا به امروز را ارائه میکند که نشان میدهد هک مداوم مراکز پزشکی ایالات متحده منجر به بدتر شدن کیفیت مراقبت از بیماران و افزایش احتمال مرگ آنها میشود.
دو سوم از پاسخ دهندگانی که حملات باج افزار را تجربه کردند ، گفتند که چنین حملاتی مراقبت از بیمار را مختل می کند. 59 درصد از افراد مورد بررسی افزایش طول مدت اقامت بیماران در بیمارستان را گزارش کردند که منجر به اضافه بار منابع شد. نزدیک به یک چهارم گفتند که این حملات منجر به افزایش تلفات در تاسیسات آنها شده است.
در یک حمله باج افزار، هکرها به شبکه های کامپیوتری یک سازمان دسترسی پیدا می کنند، آنها را مسدود می کنند و درخواست پرداخت می کنند. در سال های اخیر، چنین هک هایی به یک فاجعه واقعی برای صنعت مراقبت های بهداشتی تبدیل شده اند. بیمارستان ها همیشه مواردی را که قربانی شده اند گزارش نمی کنند. با این حال، از سال 2018، تعداد حملات مستند از سال 2018 هر سال افزایش یافته است و بر اساس مطالعه Recorded Future، در سال گذشته به 297 حمله رسیده است.
برت کالو، تحلیلگر امسی سافت گفت که در سال جاری حداقل 12 حمله باج افزار به سازمان های مراقبت های بهداشتی در ایالات متحده صورت گرفته است. کالو افزود، اما از آنجایی که برخی از مراکز پزشکی شعبه های متعددی دارند، 56 مرکز مختلف مورد حمله قرار گرفته اند .
طبق یک مطالعه Ponemon، طی سه سال گذشته، بیش از نیمی از سازمانهای مراقبتهای بهداشتی در این نظرسنجی در سه سال گذشته به بدافزار آلوده شدهاند.
امکانات مراقبتهای بهداشتی از زنجیرههای بیمارستانی غولپیکر گرفته تا کلینیکهای خصوصی کوچک با تعداد کمی کارمند و متخصصان فناوری اطلاعات یا امنیت سایبری بسیار کم است. شبکههای بیمارستانی بزرگ ممکن است متخصصان امنیت اطلاعات واجد شرایط بیشتری داشته باشند، اما چنین بیمارستانهایی نیز اهداف بزرگتری هستند. یک حمله می تواند مراقبت از بیمار را در صدها بیمارستان در سراسر کشور کند کند، همانطور که در حمله سال 2020 به خدمات بهداشت جهانی اتفاق افتاد.
جاش کورمان، معاون شرکت امنیت سایبری کلاروتی، گفت: اما مدتهاست که مشخص شده است که حملات سایبری مداوم به بیمارستانها عوارضی را بر بیماران وارد میکند.
کورمان گفت: «ما می دانیم که تأخیر کمک ها بر میزان مرگ و میر تأثیر می گذارد و می دانیم که حملات سایبری باعث تأخیر می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان تیم 82 Claroty آسیبپذیریهای مهمی را در محصولات اتوماسیون نیروگاه صنعتی MZ Automation کشف کردهاند که برخی از آنها دارای امتیاز CVSS V3 10 از 10 هستند.
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
این کتابخانه کد منبع libIEC61850 است که به شما امکان می دهد پروتکل های IEC 61850 (MMS، GOOSE، Sampled Values) را در دستگاه ها و برنامه ها پیاده سازی کنید. کتابخانه هسته به زبان C نوشته شده است (سازگار با C99 برای حداکثر قابلیت حمل).
این آسیبپذیری حیاتی که بهعنوان CVE-2022-2970 (CVSS V3:10) ردیابی میشود، مربوط به سرریز بافر مبتنی بر پشته است. محصول قبل از استفاده از memcpy ورودی را پاک نمی کند، که می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
یک CVE-2022-2972 دیگر با ارزیابی مشابه و ماهیت مشکل می تواند به مهاجم اجازه دهد یک دستگاه را غیرفعال کند یا کد دلخواه را از راه دور اجرا کند.
دو باگ دیگر دارای امتیاز بالای CVSS V3 8.6 هستند.
در عین حال، یکی از CVE-2022-2971 به دلیل دسترسی به منبع با استفاده از نوع ناسازگار است و دیگری CVE-2022-2973 به دلیل استفاده از یک اشاره گر تهی در شرایط خاص است که در هر دو موقعیت می تواند اجازه دهد. یک مهاجم برای غیرفعال کردن سرور، از جمله با یک بار مخرب.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
متخصصان آزمایشگاه کسپرسکی گزارشی را ارائه کرده اند که منعکس کننده چشم انداز تهدید برای سیستم های اتوماسیون صنعتی برای نیمه اول سال 2022 است.
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
به گفته محققان، طی شش ماه گذشته، اشیاء مخرب بر روی 31.8 درصد از کامپیوترهای ICS در جهان مسدود شده اند.
بیشتر این اشیاء در آفریقا مسدود شده اند - 41.5٪، روسیه 30.2٪، در حالی که ایالات متحده و کانادا 18.1٪، و حداقل رقم 12.8٪ - در شمال اروپا به اشتراک گذاشته شده است.
اتوماسیون ساختمان در رتبهبندی صنایع منتخب از نظر درصد رایانههای ICS که اشیای مخرب روی آنها مسدود شدهاند (42.2 درصد) رتبه اول را دارد و پس از آن «نفت و گاز» (39.6 درصد) قرار دارد. شاخص های صنایع "مهندسی و یکپارچه سازهای سیستم های کنترل خودکار"، "انرژی" و "تولید" با یک دهم درصد تفاوت دارند.
از جمله منابع اصلی تهدید در زیرساخت های فناوری سازمان ها می توان به اینترنت (16.5%)، رسانه های قابل جابجایی (3.5%) و ایمیل (7.0%) اشاره کرد.
در نیمه اول سال 2022، بیش از 102000 اصلاح بدافزار از 7219 خانواده مختلف توسط راه حل های امنیتی آزمایشگاه در سیستم های اتوماسیون صنعتی مسدود شد.
در همان زمان، درصد رایانههای ICS که در آنها موارد زیر مسدود شدهاند، به میزان قابلتوجهی افزایش یافت: اسکریپتهای مخرب و صفحات فیشینگ (JS و HTML) - به میزان 3.5 p.p. اسناد مخرب - توسط 3.0 p.p. و نرم افزارهای جاسوسی - تروجان ها، درهای پشتی و کی لاگرها - با 0.5 p.p.
درصد رایانههای ICS که نرمافزارهای جاسوسی روی آنها مسدود شدهاند از سال 2020 در حال افزایش است، و درست همانطور که تعداد بدافزارهای استخراج رمزارز پنهان در شش ماه گذشته افزایش یافته است: استخراجکنندههای وب در مرورگرها با 0.4 p.p. و ماینرها - فایل های اجرایی برای OC Windows - توسط 0.2 p.p.
از سوی دیگر، سهم رایانههای ICS که روی آنها ویروسها و کرمها مسدود شدهاند همچنان کاهش مییابد که نشاندهنده کار سیستماتیک برای استقرار راهحلهای امنیتی در OTها است.
دوره مطالعه بالاترین درصد (0.65٪) کامپیوترهای ICS را نشان داد که باج افزار روی آنها مسدود شده بود.
رتبه بندی مناطق توسط باج افزار توسط آسیای شرقی (0.95٪) پیشتاز بود. تعداد کامپیوترهای ICS مورد حمله باج افزار در 9 منطقه جهان، به ویژه در خاورمیانه و آمریکای لاتین (تقریباً 2.5 برابر) افزایش یافته است. در همان زمان، بیشتر حملات متوجه سیستمهای اتوماسیون ساختمان بود.
نتایج تجزیه و تحلیل داده های آماری به لطف شبکه ضد ویروس توزیع شده Kaspersky Security Network (KSN) به دست آمد که نه تنها به ارزیابی تهدیدها کمک می کند، بلکه در شناسایی تهدیدهای جدید از جمله حملات هدفمند و APT ها نیز کمک می کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بدافزار جدید لینوکس مخفیکاری غیرمعمول را با مجموعه کاملی از قابلیت ها ترکیب می کند که به طور بالقوه سرورها و اینترنت اشیا را هدف قرار می دهد.
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.
ادامه مطلب:
https://t.me/linux_news/678
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
New Linux malware combines unusual stealth with a full suite of capabilities potentially Targeting servers and IoT
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
AT&T Alien Labs Researchers this week unveiled a new strain of Linux malware that's notable for its stealth and sophistication in infecting…
کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Forwarded from کانال تخصصی امنیت سایبری «کتاس»
تحت تعقیب FBI ده میلیون دلار جایزه!
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
اپراتور باج افزار در حال تلاش برای نفوذ به شبکه ای است که توسط امنیت سایبری محافظت می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس و اشنایدر الکتریک، به عنوان بخشی از پچ جدید، مشتریان را در مورد دهها آسیبپذیری مؤثر بر محصولات صنعتی خود مطلع کردند.
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
فروشنده نرم افزار آلمانی SAP از انتشار هشت بولتن امنیتی جدید و پنج بولتن به روز شده به عنوان بخشی از PatchTuesday سپتامبر خبر داد.
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.