کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان امنیت سایبری میگویند که ترکیبی از تنشهای ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همهگیری جهانی فرصتهای جدیدی را برای هکرها ایجاد کرده است تا راههای جدیدی برای نفوذ و استفاده از شرکتها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.
به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت میشوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکتها و شرکتهای زیرساختی دارند که داراییهای کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام میشوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالتهای خود انجام میدهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Forwarded from کانال تخصصی امنیت سایبری «کتاس»
تحت تعقیب FBI ده میلیون دلار جایزه!
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیبپذیریهای شناختهشده یا افشاشده در شبکههای مورد استفاده عمومی و برنامههای نرمافزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانهداری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریمهای خود افزود.
https://lnkd.in/d2g2-4zT
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
گروه هک طرفدار فلسطین، PLCهای Berghof در اسرائیل را به خطر انداخت
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بررسی اجمالی: PLC های Berghof در معرض خطر هستند
در 4 سپتامبر 2022، یک گروه هکریست "GhostSec" که قبلا مشاهده شده بود سازمان ها و پلتفرم های اسرائیلی را هدف قرار می دهد، در رسانه های اجتماعی و کانال تلگرام خود اعلام کرد که این گروه با موفقیت 55 دستگاه PLC Berghof را در اسرائیل نقض کرده است.
در پیامی که GhostSec منتشر کرد، ویدیویی را ضمیمه کرد که نشان دهنده ورود موفقیت آمیز به پنل مدیریت PLC است، همراه با تصویری از صفحه نمایش HMI که وضعیت فعلی و کنترل فرآیند PLC را نشان می دهد، و تصویر دیگری که نشان می دهد PLC دردسترس است. در پیام درج شده این گروه داده های تخلیه شده از PLC های نقض شده را منتشر کرد.
مشاهده اطلاعات منتشر شده سیستم از آرشیوهای ZIP (part_1.zip و part_2.zip) نشانیهای IP عمومی (زیر) PLCهای آسیبدیده را نشان داد. این نشان میدهد که دستگاهها به صورت عمومی در معرض اینترنت بودند.
هر دو بایگانی حاوی انواع یکسانی از دادهها بودند - سیستم تخلیه و اسکرینشاتهای HMI، که مستقیماً از پنل مدیریت Berghof صادر شدند. این پنل با طراحی دارای این قابلیت است و به کاربرانی که وارد سیستم شده اند اجازه می دهد تا یک نسخه پشتیبان تهیه کنند و وضعیت فعلی HMI را از طریق یک اسکرین شات مشاهده کنند.
چگونه PLC های Berghof نقض شدند؟
در زمان بررسی ما، IP ها هنوز از طریق اینترنت قابل دسترسی بودند. دسترسی به پنل مدیریت با رمز عبور محافظت می شود. با این حال، آزمایش چند اعتبار پیش فرض و رایج منجر به ورود موفقیت آمیز شد.
اسکرین شات های HMI را می توان به سادگی با دسترسی به برگه “Screenshot” گرفته و مشاهده کرد.
تخلیه سیستم به طور مشابه فقط با دسترسی به برگه "System Dump" در پنل مدیریت انجام شد.
اگرچه دسترسی به پنل مدیریت کنترل کامل بر برخی از عملکردهای PLC را فراهم می کند، اما کنترل مستقیم بر فرآیند صنعتی را فراهم نمی کند. ممکن است تا حدی بر روند تأثیر بگذارد، اما پیکربندی فرآیند واقعی خود تنها از طریق پنل مدیریت در دسترس نیست.
تحقیقات ما به این نتیجه رسیدکه Berghof از فناوری CODESYS به عنوان HMI خود استفاده می کند و همچنین از طریق مرورگر در یک آدرس خاص قابل دسترسی است. از مشاهدات ما از اثبات نقض GhostSec، ما نمی دانستیم که آیا GhostSec به HMI دسترسی پیدا کرده است یا خیر. اما ما تایید کرده ایم که صفحه نمایش HMI نیز در دسترس عموم قرار گرفته است.
نتیجه
برخلاف حملات سایبری به زیرساختهای فناوری اطلاعات، نقض امنیت OT میتواند بسیار خطرناک باشد زیرا میتواند بر فرآیندهای فیزیکی تأثیر بگذارد و در برخی موارد حتی منجر به موقعیتهای تهدیدکننده زندگی شود.
در حالی که ادعاهای GhostSec در مورد یک حمله سایبری پیچیده است، حادثه مورد بررسی در اینجا صرفاً یک مورد است که در آن پیکربندیهای اشتباه سیستمهای صنعتی به راحتی نادیده گرفته میشوند که منجر به تلاشی بسیار ساده برای نقض خود سیستمها شده است.
این واقعیت که احتمالاً HMI مورد دسترسی قرار نگرفته و توسط GhostSec دستکاری نشده است و هکرها از رابط Modbus سوء استفاده نمیکنند، ناآشنایی با دامنه OT را نشان میدهد. تا جایی که میدانیم، GhostSec آسیب جدی به سیستمهای آسیبدیده وارد نکرده بود، بلکه فقط به دنبال جلب توجه به گروه هکتیویست و فعالیتهای آن بود.
علیرغم تاثیر کم این حادثه، این یک مثال عالی است که در آن میتوان به راحتی با پیکربندی ساده و مناسب از حمله سایبری جلوگیری کرد. غیرفعال کردن نمایش عمومی دارایی ها در اینترنت، و حفظ یک خط مشی رمز عبور خوب، به ویژه تغییر اعتبار پیش فرض ورود به سیستم، باعث شکست تلاش هکتیویست ها برای نقض می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
This media is not supported in your browser
VIEW IN TELEGRAM
اپراتور باج افزار در حال تلاش برای نفوذ به شبکه ای است که توسط امنیت سایبری محافظت می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس و اشنایدر الکتریک، به عنوان بخشی از پچ جدید، مشتریان را در مورد دهها آسیبپذیری مؤثر بر محصولات صنعتی خود مطلع کردند.
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.
یکی از بولتنها کاستیهای مؤلفههای شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.
سایر مؤلفهها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیبپذیری بالا و متوسط بودند.
زیمنس هشدار میدهد که باگها میتوانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، دادههای حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.
زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم میتواند با وادار کردن قربانی به باز کردن فایلهای ساختهشده خاص با برنامههای آسیبپذیر، از اشکالات RCE سوء استفاده کند.
CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.
یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.
در نهایت، زیمنس یک آسیبپذیری DoS با شدت متوسط را در دستگاههای شبکه صنعتی Ruggedcom برطرف کرده است.
اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.
بسیاری از مسائل مربوط به سریالزدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح میدهد که میتواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
فروشنده نرم افزار آلمانی SAP از انتشار هشت بولتن امنیتی جدید و پنج بولتن به روز شده به عنوان بخشی از PatchTuesday سپتامبر خبر داد.
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.
طبق گفته Onapsis، آسیبپذیری مسیر سرویس میتواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیبدیده مورد سوء استفاده قرار گیرد، که میتواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.
SAP همچنین یک آسیبپذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که میتواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.
اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.
در این ماه، SAP همچنین اعلامیههای آسیبپذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects بهروزرسانی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.
Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.
پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایلهای PNG استفاده میکند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.
بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی
با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.
#امنیت_سایبری #سایبری_صنعتی
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اخیراً دو آسیبپذیری مهم در دستگاههای LAN بیسیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاهها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه میدهند:
محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.
• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.
آسیب پذیری ها
در زیر دو آسیبپذیری حیاتی وجود دارد که در زیر مشخص شدهاند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم میتواند از این آسیبپذیریها برای به خطر انداختن انواع سیستمهای سرگرمی در حین پرواز و همچنین سایر جنبههای سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفتافزار برای اولین آسیبپذیری (CVE-2022–36158)، محققان اولین آسیبپذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیبپذیری CVE-2022–36158 را میتوان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام دادههای موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راهحلهایی را برای این دو آسیبپذیری ذکر کردهایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیشفرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاههایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژههای هر دستگاه باید بهطور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربهفرد باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دانشمندان دستگاهی ساخته اند که استراق سمع را از طریق لپ تاپ تشخیص می دهد - دانشمندان دانشگاه ملی سنگاپور و دانشگاه یونسی (سئول، کره) دستگاهی ساخته اند که می تواند با گرفتن سیگنال های الکترومغناطیسی خاص، وجود میکروفون را در لپ تاپ پنهان کند. - نمونه اولیه TickTock از یک نشانگر میدان نزدیک، یک تقویت کننده RF، یک فرستنده گیرنده قابل برنامه ریزی و یک میکرو کامپیوتر Raspberry Pi 4 Model B تشکیل شده است. دشوار است. این روش مبتنی بر این واقعیت است که وقتی میکروفون روشن می شود، مدارهایی که از طریق آن سیگنال های ساعت به مبدل آنالوگ به دیجیتال (ADC) منتقل می شود شروع به سوسو زدن می کنند. این نشت صدای پس زمینه توسط دستگاه برداشته شده و از سایر نویزهای سیستم جدا می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Binarly مجموعه جدیدی از آسیبپذیریهای سفتافزار بالقوه جدی را کشف کرده است که میتواند به مهاجم اجازه دسترسی دائمی به هر یک از میلیونها دستگاه آسیبپذیر را بدهد. محققان هفت آسیبپذیری جدید را در میانافزار InsydeH2O UEFI که توسط Insyde Software توسعه داده شده است، کشف کردهاند. در عین حال، کد آسیبپذیر قبلاً در راهحلهای دهها شرکت دیگر از جمله فروشندگان بزرگ مانند HP، Dell، Intel، Microsoft، Fujitsu، Framework و Siemens پیادهسازی شده است. معایب مربوط به حالت مدیریت سیستم SMM است و می تواند منجر به افشای اطلاعات یا RCE شود، با این حال، عملیات نیاز به دسترسی ممتاز محلی به سیستم عامل دارد. یک مهاجم می تواند یک ایمپلنت مخرب را در سطوح مختلف سیستم عامل نصب کند، چه به عنوان یک ماژول اصلاح شده یا به عنوان یک درایور جداگانه. این نوع کدهای مخرب می توانند با طراحی Secure Boot را دور بزنند و بر مراحل بوت بعدی تأثیر بگذارند. Binarly توصیه های جداگانه ای با جزئیات فنی برای هر یک از آسیب پذیری ها منتشر کرده است. نرم افزار Insyde به نوبه خود اصلاحاتی را منتشر کرد و همچنین توصیه های خود را به اشتراک گذاشت. اگر اصلاحات Insyde نیز به سرعت به کد راه حل های آسیب پذیر ترجمه شود، همه چیز خوب خواهد بود. با این حال، محققان تخمین میزنند که ممکن است ۶ تا ۹ ماه طول بکشد تا سازندگان دستگاهها آسیبپذیریها را در همه دستگاههای شرکت برطرف کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دوستان عزیز آدرس گروه امنیت اتوماسیون و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR
https://t.me/ICSCERT_IR
This media is not supported in your browser
VIEW IN TELEGRAM
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
تیم Claroty's Team82 یازده آسیبپذیری را در راهحلهای IoT در محصولات Carlo Gavazzi پیدا کرد که 6 مورد از آنها حیاتی هستند.
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
طی چند هفته گذشته، TrendMicro چندین باج افزار مبتنی بر لینوکس را مشاهده کرده است که مهاجمان برای حمله به سرورهای VMware ESXi راه اندازی کرده اند.
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
💢یک منبع در صداوسیما: پلیاوت شبکه خبر هک شده بود؛ هکر سال قبل در سازمان بود
منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.»
منبع: یورونیوز
ایرنا با اشاره به هک بهمن ماه سال گذشته صداوسیما گفت: «بررسیهای فارنزیک [جرمیابی] هک سال گذشته مشخص کرد مهاجم از خرداد ماه ۱۴۰۰ در شبکه سازمان حضور داشته و فرایند امنسازی شبکههای سیما موفق بوده است.» این فرد که در مطلب ایرنا به نامش اشارهای نشده است با این حال میگوید «بعد از هک ۷ بهمن ۱۴۰۰ هیچ کدام از نهادهای مسئول حتی یک ریال نیز به امنسازی شبکه سازمان کمک نکردند.»
وی سپس به هک شبکه خبر اشاره کرد و گفت: «اما شبکه خبر به واسطه ماهیت خبری خود دسترسیهای ویژهای داشته که بعد از رخداد اخیر در حال امنسازی است.»
گروه هکری «عدالت علی» اعلام کرد اخبار ساعت ۲۱ صدا و سیما را شب گذشته هک کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.»
منبع: یورونیوز
ایرنا با اشاره به هک بهمن ماه سال گذشته صداوسیما گفت: «بررسیهای فارنزیک [جرمیابی] هک سال گذشته مشخص کرد مهاجم از خرداد ماه ۱۴۰۰ در شبکه سازمان حضور داشته و فرایند امنسازی شبکههای سیما موفق بوده است.» این فرد که در مطلب ایرنا به نامش اشارهای نشده است با این حال میگوید «بعد از هک ۷ بهمن ۱۴۰۰ هیچ کدام از نهادهای مسئول حتی یک ریال نیز به امنسازی شبکه سازمان کمک نکردند.»
وی سپس به هک شبکه خبر اشاره کرد و گفت: «اما شبکه خبر به واسطه ماهیت خبری خود دسترسیهای ویژهای داشته که بعد از رخداد اخیر در حال امنسازی است.»
گروه هکری «عدالت علی» اعلام کرد اخبار ساعت ۲۱ صدا و سیما را شب گذشته هک کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان واحد امنیت سایبری ویتنامی GTSC گزارش دادند که یک روزصفر به شدت مورد سوء استفاده قرار گرفته است در Microsoft Exchange که به مهاجم اجازه می دهد RCE را انجام دهد. مهاجمان از ترکیب روزصفر برای استقرار پوسته های وب China Chopper بر روی سرورهای در معرض خطر برای ذخیره و سرقت داده ها و برای انتقال به سایر سیستم ها در شبکه های قربانیان استفاده می کنند. GTSC بر اساس صفحه کد پوسته وب، رمزگذاری کاراکتر مایکروسافت برای چینی ساده شده، مشکوک است که ART چینی پشت این حملات است. عامل کاربر مورد استفاده برای نصب پوسته های وب نیز با Antsword، یک ابزار مدیریت وب سایت منبع باز چینی با پشتیبانی از مدیریت پوسته وب مرتبط است. مایکروسافت هنوز هیچ اطلاعاتی در مورد این دو باگ مهم فاش نکرده است و هنوز CVE را به آنها اختصاص نداده است. محققان سه هفته پیش به عنوان بخشی از گزارش امنیتی GTSC، مایکروسافت را از آسیبپذیریها مطلع کردند، جایی که باگهایی بهعنوان ZDI-CAN-18333 و ZDI-CAN-18802 با CVSS در نسخههای 8.8 و 6.3 ردیابی میشوند. ZDI اشکالات را تأیید کرده است، زیرا Trend Micro یک بولتن امنیتی صادر کرده و تشخیص روزصفر را به محصولات خود اضافه کرده است. GTSC هنوز جزئیات فنی 0-days جدید را منتشر نکرده است. با این حال، محققان دریافتند که پرس و جوهای مورد استفاده در این زنجیره بهره برداری مشابه موارد مورد استفاده در حملاتی است که آسیب پذیری های ProxyShell را هدف قرار می دهند. تا زمانی که مایکروسافت اصلاحاتی را برای رسیدگی به روزصفر منتشر نکند، دستورالعملهای کاهش GTSC باید رعایت شود. منابع پیشنهاد می کنند با استفاده از ماژول URL Rewrite Rule یک قانون سرور جدید IIS اضافه کنید. در Autodiscover در FrontEnd، باید تب URL Rewrite، سپس Request Blocking را انتخاب کنید، سپس رشته ".*autodiscover\.json.*\@.*Powershell.*" را به مسیر URL اضافه کنید. هنگام وارد کردن یک شرط، {REQUEST_URI} را انتخاب کنید. برای آزمایش خطر احتمالی سرورهای Exchange با استفاده از روزصفر شناسایی شده، مدیران باید دستور PowerShell زیر را اجرا کنند تا فایلهای گزارش IIS را برای یافتن شاخصهای در معرض خطر اسکن کنند: Get-ChildItem -Recurse -Path<Path_IIS_Logs> -فیلتر "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
💩 موسس Acronis از جاروبرقی خودش می ترسد
بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
IACS
💢یک منبع در صداوسیما: پلیاوت شبکه خبر هک شده بود؛ هکر سال قبل در سازمان بود منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.» منبع:…
جبلی: خرابکاری اخیر در حوزههای فناوری سازمان رخ داد
رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسیها حاکم باشد.
🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.
🔹بررسیهای امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسیها حاکم باشد.
🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.
🔹بررسیهای امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
خبرگزاری تسنیم | Tasnim
جبلی: خرابکاری اخیر در تلویزیون در حوزههای فناوری سازمان رخ داده است
به گزارش گروه پارلمانی خبرگزاری تسنیم، پیمان جبلی رئیس سازمان صداوسیمادر توضیح نشست مشترک خود با کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی در خصوص تحولات اخیر کشور، گفت: جلسه همفکری و همافزایی را امروز با اعضای کمیسیون امنیت ملی مجلس داشتیم، در…