اپراتور باج افزار در حال تلاش برای نفوذ به شبکه ای است که توسط امنیت سایبری محافظت می شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

زیمنس و اشنایدر الکتریک، به عنوان بخشی از پچ جدید، مشتریان را در مورد ده‌ها آسیب‌پذیری مؤثر بر محصولات صنعتی خود مطلع کردند.

زیمنس پنج بولتن منتشر کرده است که در مجموع 37 آسیب پذیری رفع شده را توصیف می کند.

یکی از بولتن‌ها کاستی‌های مؤلفه‌های شخص ثالث را در برنامه وب Sinec INS (خدمات شبکه زیرساخت) برای مدیریت خدمات شبکه ارائه کرد.

سایر مؤلفه‌ها، BIND، ISC DHCP، OpenSSL، Lodash و Axios، در مجموع دارای 14 آسیب‌پذیری بالا و متوسط ​​بودند.

زیمنس هشدار می‌دهد که باگ‌ها می‌توانند به مهاجم اجازه دهند تا وضعیت DoS ایجاد کند، داده‌های حساس را به دست آورد یا یکپارچگی سیستم را به خطر بیندازد.

زیمنس همچنین بسیاری از آسیب پذیری های تجزیه و تحلیل فایل را در Simcenter Femap و Parasolid برطرف کرده است. یک مهاجم می‌تواند با وادار کردن قربانی به باز کردن فایل‌های ساخته‌شده خاص با برنامه‌های آسیب‌پذیر، از اشکالات RCE سوء استفاده کند.

CoreShield One-Way Gateway (OWG) برای ویندوز همچنین یک آسیب پذیری جدی را برطرف کرده است که می تواند برای افزایش امتیاز محلی استفاده شود.

یکی دیگر از مسائل مهمی که می توان از آن برای دور زدن احراز هویت استفاده کرد، در ماژول Mendix SAML بسته شده است.

در نهایت، زیمنس یک آسیب‌پذیری DoS با شدت متوسط ​​را در دستگاه‌های شبکه صنعتی Ruggedcom برطرف کرده است.

اشنایدر الکتریک تنها یک بولتن جدید منتشر کرده است، اما این شرکت بیش از دوجین بولتن موجود را به روز کرده است.

بسیاری از مسائل مربوط به سریال‌زدایی شدید را در محصولات EcoStruxure Machine SCADA Expert و Pro-face Blue Open Studio شرح می‌دهد که می‌تواند منجر به RCE، افشای اطلاعات یا انکار سرویس شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

فروشنده نرم افزار آلمانی SAP از انتشار هشت بولتن امنیتی جدید و پنج بولتن به روز شده به عنوان بخشی از PatchTuesday سپتامبر خبر داد.

مهمترین آنها مربوط به یک آسیب پذیری جدی در Business One است که می تواند منجر به تشدید امتیاز شود. CVE-2022-35292 (با امتیاز CVSS 7.8) به عنوان یک آسیب پذیری مسیر خدمات توصیف می شود.

طبق گفته Onapsis، آسیب‌پذیری مسیر سرویس می‌تواند برای اجرای یک باینری دلخواه هنگام شروع سرویس آسیب‌دیده مورد سوء استفاده قرار گیرد، که می‌تواند به آن اجازه دهد تا امتیازات را به SYSTEM افزایش دهد.

SAP همچنین یک آسیب‌پذیری با شدت بالا را در BusinessObjects (CVE-2022-39014، CVSS 7.7) برطرف کرده است که می‌تواند به مهاجم اجازه دسترسی به اطلاعات حساس رمزگذاری نشده را بدهد.

اعلامیه امنیتی جدید دارای رتبه "متوسط" هستند و برای BusinessObjects، NetWeaver Enterprise Portal، NetWeaver AS ABAP و NetWeaver Application Server ABAP هستند.

در این ماه، SAP همچنین اعلامیه‌های آسیب‌پذیری با اولویت بالا را در Knowledge Store، SuccessFactors و BusinessObjects به‌روزرسانی کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.

Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.

پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایل‌های PNG استفاده می‌کند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.

بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی

با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.

#امنیت_سایبری #سایبری_صنعتی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند


اخیراً دو آسیب‌پذیری مهم در دستگاه‌های LAN بی‌سیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاه‌ها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه می‌دهند:

محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.


• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.


آسیب پذیری ها
در زیر دو آسیب‌پذیری حیاتی وجود دارد که در زیر مشخص شده‌اند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم می‌تواند از این آسیب‌پذیری‌ها برای به خطر انداختن انواع سیستم‌های سرگرمی در حین پرواز و همچنین سایر جنبه‌های سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفت‌افزار برای اولین آسیب‌پذیری (CVE-2022–36158)، محققان اولین آسیب‌پذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیب‌پذیری CVE-2022–36158 را می‌توان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام داده‌های موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راه‌حل‌هایی را برای این دو آسیب‌پذیری ذکر کرده‌ایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیش‌فرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاه‌هایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژه‌های هر دستگاه باید به‌طور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربه‌فرد باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

نقص های مهم در نقطه دسترسی WiFi هواپیما به مهاجمان اجازه می دهد تا دسترسی ریشه ای پیدا کنند


اخیراً دو آسیب‌پذیری مهم در دستگاه‌های LAN بی‌سیم Contec پیدا شده است.
دو مدل از سری FLEXLAN FXA2000 و FXA3000 از CONTEC وجود دارد که عمدتاً در تأسیسات هواپیما به عنوان نقاط دسترسی WiFi استفاده می شود.
در نتیجه، این دستگاه‌ها اتصال بسیار سریعی را در طول سفرهای پروازی برای اهداف زیر ارائه می‌دهند:

محصولات تحت تأثیر
در زیر ما تمام محصولاتی را که تحت تأثیر قرار گرفته اند ذکر کرده ایم:
• تمام دستگاه های سری Contec FLEXLAN FXA3000 از نسخه 1.15.00 و پایین تر.


• تمام دستگاه های سری Contec FLEXLAN FXA2000 از نسخه 1.38.00 و پایین تر.


آسیب پذیری ها
در زیر دو آسیب‌پذیری حیاتی وجود دارد که در زیر مشخص شده‌اند:
• CVE-2022-36158 : صفحه وب فرمان سیستم مخفی.
• CVE-2022-36159 : استفاده از کلیدهای رمزنگاری سخت کدگذاری شده ضعیف و حساب درپشتی.
مهاجم می‌تواند از این آسیب‌پذیری‌ها برای به خطر انداختن انواع سیستم‌های سرگرمی در حین پرواز و همچنین سایر جنبه‌های سیستم سوء استفاده کند.
در حین انجام مهندسی معکوس سفت‌افزار برای اولین آسیب‌پذیری (CVE-2022–36158)، محققان اولین آسیب‌پذیری را کشف کردند.
CVE-2022-36159 دومین آسیب پذیری است که شامل استفاده از دو عنصر زیر است:
• کلیدهای رمزنگاری ضعیف
• حساب های درب پشتی
آسیب‌پذیری CVE-2022–36158 را می‌توان در یک صفحه مخفی در WiFi LAN Manager ردیابی کرد و به عنوان بخشی از رابط داشبورد نمایش داده نشد.
هدف این صفحه آسان کردن کاربر برای اجرای دستورات لینوکس است که دارای امتیازات روت در دستگاه هستند.
پس از دستیابی به تمام داده‌های موجود در دستگاه، عوامل تهدید این توانایی را داشتند که پورت telnet را باز کنند تا کنترل کامل روی آن را به دست آورند.
توصیه
در زیر ما راه‌حل‌هایی را برای این دو آسیب‌پذیری ذکر کرده‌ایم:
• راهکار CVE-2022–36158
از آنجایی که رمز عبور پیش‌فرض صفحه وب مهندسی پنهان بسیار ضعیف است، باید از دستگاه‌هایی که در حال تولید هستند حذف شود. از طریق این وب سایت، یک مهاجم به راحتی می تواند یک درب پشتی را به دستگاه تزریق کند زیرا رمز عبور پیش فرض بسیار ضعیفی دارد.
• راهکار CVE-2022-36159
برای هر دستگاه، یک رمز عبور منحصر به فرد باید ایجاد شود. گذرواژه‌های هر دستگاه باید به‌طور تصادفی در طول فرآیند ساخت تولید شوند و هر رمز عبور باید منحصربه‌فرد باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

دانشمندان دستگاهی ساخته اند که استراق سمع را از طریق لپ تاپ تشخیص می دهد - دانشمندان دانشگاه ملی سنگاپور و دانشگاه یونسی (سئول، کره) دستگاهی ساخته اند که می تواند با گرفتن سیگنال های الکترومغناطیسی خاص، وجود میکروفون را در لپ تاپ پنهان کند. - نمونه اولیه TickTock از یک نشانگر میدان نزدیک، یک تقویت کننده RF، یک فرستنده گیرنده قابل برنامه ریزی و یک میکرو کامپیوتر Raspberry Pi 4 Model B تشکیل شده است. دشوار است. این روش مبتنی بر این واقعیت است که وقتی میکروفون روشن می شود، مدارهایی که از طریق آن سیگنال های ساعت به مبدل آنالوگ به دیجیتال (ADC) منتقل می شود شروع به سوسو زدن می کنند. این نشت صدای پس زمینه توسط دستگاه برداشته شده و از سایر نویزهای سیستم جدا می شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

Binarly مجموعه جدیدی از آسیب‌پذیری‌های سفت‌افزار بالقوه جدی را کشف کرده است که می‌تواند به مهاجم اجازه دسترسی دائمی به هر یک از میلیون‌ها دستگاه آسیب‌پذیر را بدهد. محققان هفت آسیب‌پذیری جدید را در میان‌افزار InsydeH2O UEFI که توسط Insyde Software توسعه داده شده است، کشف کرده‌اند. در عین حال، کد آسیب‌پذیر قبلاً در راه‌حل‌های ده‌ها شرکت دیگر از جمله فروشندگان بزرگ مانند HP، Dell، Intel، Microsoft، Fujitsu، Framework و Siemens پیاده‌سازی شده است. معایب مربوط به حالت مدیریت سیستم SMM است و می تواند منجر به افشای اطلاعات یا RCE شود، با این حال، عملیات نیاز به دسترسی ممتاز محلی به سیستم عامل دارد. یک مهاجم می تواند یک ایمپلنت مخرب را در سطوح مختلف سیستم عامل نصب کند، چه به عنوان یک ماژول اصلاح شده یا به عنوان یک درایور جداگانه. این نوع کدهای مخرب می توانند با طراحی Secure Boot را دور بزنند و بر مراحل بوت بعدی تأثیر بگذارند. Binarly توصیه های جداگانه ای با جزئیات فنی برای هر یک از آسیب پذیری ها منتشر کرده است. نرم افزار Insyde به نوبه خود اصلاحاتی را منتشر کرد و همچنین توصیه های خود را به اشتراک گذاشت. اگر اصلاحات Insyde نیز به سرعت به کد راه حل های آسیب پذیر ترجمه شود، همه چیز خوب خواهد بود. با این حال، محققان تخمین می‌زنند که ممکن است ۶ تا ۹ ماه طول بکشد تا سازندگان دستگاه‌ها آسیب‌پذیری‌ها را در همه دستگاه‌های شرکت برطرف کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

دوستان عزیز آدرس گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

تیم Claroty's Team82 یازده آسیب‌پذیری را در راه‌حل‌های IoT در محصولات Carlo Gavazzi پیدا کرد که 6 مورد از آن‌ها حیاتی هستند.

Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده می‌تواند از آسیب‌پذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیب‌پذیری تزریق SQL می‌تواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیب‌پذیری‌های جدی مربوط به احراز هویت نادرست است، که اجازه می‌دهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخه‌های UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار می‌گیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

طی چند هفته گذشته، TrendMicro چندین باج افزار مبتنی بر لینوکس را مشاهده کرده است که مهاجمان برای حمله به سرورهای VMware ESXi راه اندازی کرده اند.
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانواده‌های باج‌افزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفته‌اند، اما جالب‌ترین چیز این است که محققان دریافتند باج‌افزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نام‌های DEV-0401، APT10 و Emperor Dragonfly نیز شناخته می‌شود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانواده‌های باج‌افزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر می‌کند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باج‌افزار Cheerscrypt از محموله‌هایی استفاده می‌کند که برای محیط‌های Windows و ESXi طراحی شده‌اند. زنجیره‌های آلودگی که تا به امروز مشاهده شده‌اند، از آسیب‌پذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاری‌شده است، استفاده می‌کنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شده‌اند: یک keylogger که ضربه‌های کلید ضبط‌شده را به Alibaba Cloud صادر می‌کند، یک ابزار پراکسی اینترنتی به نام iox، و نرم‌افزار تونل‌سازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانه‌های اجتماعی و خدمات پیام‌رسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاه‌هایشان استفاده می‌کند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیام‌های SMS، میکروفون، داده‌های کلیپ‌بورد، GPS و موارد دیگر را درخواست می‌کند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.

علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

💢یک منبع در صداوسیما: پلی‌اوت شبکه خبر هک شده بود؛ هکر سال قبل در سازمان بود

منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفته‌اند که «بررسی‌های اولیه نشان می‌دهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلی‌اوت شبکه خبر بوده است.»
منبع: یورونیوز

ایرنا با اشاره به هک بهمن ماه سال گذشته صداوسیما گفت: «بررسی‌های فارنزیک [جرم‌یابی] هک سال گذشته مشخص کرد مهاجم از خرداد ماه ۱۴۰۰ در شبکه سازمان حضور داشته و فرایند امن‌سازی شبکه‌های سیما موفق بوده است.» این فرد که در مطلب ایرنا به نامش اشاره‌ای نشده است با این حال می‌گوید «بعد از هک ۷ بهمن ۱۴۰۰ هیچ کدام از نهادهای مسئول حتی یک ریال نیز به امن‌سازی شبکه سازمان کمک نکردند.»

وی سپس به هک شبکه خبر اشاره کرد و گفت: «اما شبکه خبر به واسطه ماهیت خبری خود دسترسی‌های ویژه‌ای داشته که بعد از رخداد اخیر در حال امن‌سازی است.»

گروه هکری «عدالت علی» اعلام کرد اخبار ساعت ۲۱ صدا و سیما را شب گذشته هک کرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان واحد امنیت سایبری ویتنامی GTSC گزارش دادند که یک روزصفر به شدت مورد سوء استفاده قرار گرفته است در Microsoft Exchange که به مهاجم اجازه می دهد RCE را انجام دهد. مهاجمان از ترکیب روزصفر برای استقرار پوسته های وب China Chopper بر روی سرورهای در معرض خطر برای ذخیره و سرقت داده ها و برای انتقال به سایر سیستم ها در شبکه های قربانیان استفاده می کنند. GTSC بر اساس صفحه کد پوسته وب، رمزگذاری کاراکتر مایکروسافت برای چینی ساده شده، مشکوک است که ART چینی پشت این حملات است. عامل کاربر مورد استفاده برای نصب پوسته های وب نیز با Antsword، یک ابزار مدیریت وب سایت منبع باز چینی با پشتیبانی از مدیریت پوسته وب مرتبط است. مایکروسافت هنوز هیچ اطلاعاتی در مورد این دو باگ مهم فاش نکرده است و هنوز CVE را به آنها اختصاص نداده است. محققان سه هفته پیش به عنوان بخشی از گزارش امنیتی GTSC، مایکروسافت را از آسیب‌پذیری‌ها مطلع کردند، جایی که باگ‌هایی به‌عنوان ZDI-CAN-18333 و ZDI-CAN-18802 با CVSS در نسخه‌های 8.8 و 6.3 ردیابی می‌شوند. ZDI اشکالات را تأیید کرده است، زیرا Trend Micro یک بولتن امنیتی صادر کرده و تشخیص روزصفر را به محصولات خود اضافه کرده است. GTSC هنوز جزئیات فنی 0-days جدید را منتشر نکرده است. با این حال، محققان دریافتند که پرس و جوهای مورد استفاده در این زنجیره بهره برداری مشابه موارد مورد استفاده در حملاتی است که آسیب پذیری های ProxyShell را هدف قرار می دهند. تا زمانی که مایکروسافت اصلاحاتی را برای رسیدگی به روزصفر منتشر نکند، دستورالعمل‌های کاهش GTSC باید رعایت شود. منابع پیشنهاد می کنند با استفاده از ماژول URL Rewrite Rule یک قانون سرور جدید IIS اضافه کنید. در Autodiscover در FrontEnd، باید تب URL Rewrite، سپس Request Blocking را انتخاب کنید، سپس رشته ".*autodiscover\.json.*\@.*Powershell.*" را به مسیر URL اضافه کنید. هنگام وارد کردن یک شرط، {REQUEST_URI} را انتخاب کنید. برای آزمایش خطر احتمالی سرورهای Exchange با استفاده از روزصفر شناسایی شده، مدیران باید دستور PowerShell زیر را اجرا کنند تا فایل‌های گزارش IIS را برای یافتن شاخص‌های در معرض خطر اسکن کنند: Get-ChildItem -Recurse -Path<Path_IIS_Logs> -فیلتر "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

💩 موسس Acronis از جاروبرقی خودش می ترسد

بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

جبلی: خرابکاری اخیر در حوزه‌های فناوری سازمان رخ داد

رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسی‌ها حاکم باشد.

🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.

🔹بررسی‌های امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب‌پذیری مهم RCE در Zimbra Collaboration Suite، یک سرویس‌گیرنده وب و سرور پستی پرکاربرد، تحت بهره‌برداری فعال است.

با این حال، هیچ راه حلی برای حل این مشکل وجود ندارد. 0-day به عنوان CVE-2022-41352 ردیابی می شود و دارای رتبه بندی CVSS 9.8 است. این باگ مربوط به روش (cpio) است و به مهاجمان اجازه می‌دهد تا فایل‌های دلخواه را از طریق Amavis (یک سیستم امنیتی ایمیل) فایل‌های دلخواه آپلود کنند و اقدامات مخربی را روی نصب‌های آسیب‌پذیر انجام دهند. @ics_cert همچنین اشاره کرد که CVE-2022-41352 تقریباً با CVE-2022-30333 یکسان است، یک آسیب‌پذیری پیمایش مسیر در نسخه یونیکس ابزار RARlab unRAR که اوایل ژوئن سال جاری کشف شد. مؤلفه cpio دارای نقصی است که به مهاجم اجازه می دهد آرشیوهایی ایجاد کند که می توانند در هر نقطه از یک سیستم فایل قابل دسترسی زیمبرا استخراج شوند. هنگامی که یک ایمیل به سرور زیمبرا ارسال می شود، سیستم امنیتی Amavis آرشیو را استخراج می کند تا محتویات آن را برای ویروس ها بررسی کند. با این حال، اگر آرشیو cpio.، tar.، یا rpm. را که خاص ساخته شده است استخراج کند، محتویات را می توان در ریشه وب Zimbra استخراج کرد.
بهره برداری موفقیت آمیز از آسیب پذیری به مهاجم این امکان را می دهد که دایرکتوری ریشه Zimbra را بازنویسی کند، کد پوسته را تزریق کند و به حساب های کاربری دیگر دسترسی پیدا کند. با توجه به پست‌های موجود در انجمن زیمبرا، از ابتدای سپتامبر 2022 از این آسیب‌پذیری سوء استفاده شده است. سپس Zimbra یک توصیه امنیتی در 14 سپتامبر صادر کرد و به مدیران سیستم هشدار داد که Pax، یک ابزار بایگانی قابل حمل را نصب کنند و سرورهای خود را برای جایگزینی cpio مجددا راه اندازی کنند. آسیب‌پذیری موجود در نسخه‌های 8.8.15 و 9.0 نرم‌افزار، بر چندین توزیع لینوکس مانند Oracle Linux 8، Red Hat Enterprise Linux 8، Rocky Linux 8 و CentOS 8 تأثیر می‌گذارد، به استثنای Ubuntu به دلیل این واقعیت که این بسته قبلاً به طور پیش فرض روی نصب شده است. 0-day به عنوان CVE-2022-41352 ردیابی می شود و به جز اوبونتو به دلیل اینکه pax قبلاً به طور پیش فرض نصب شده است. زیمبرا گفت انتظار دارد این آسیب‌پذیری در وصله نرم‌افزاری بعدی برطرف شود، که cpio را حذف می‌کند و pax را به یک جزء ضروری تبدیل می‌کند. با این حال، توسعه دهنده جدول زمانی مشخصی برای رفع مشکل ارائه نکرده است. حتی نگران‌کننده‌تر این است که گفته می‌شود Zimbra در برابر افزایش امتیاز 0 روزه دیگری که می‌تواند با بسته cpio برای دستیابی به نفوذ کامل از راه دور سرورها استفاده شود، آسیب‌پذیرتر است. گزارش جدید Rapid7 جزئیات فنی را روشن می کند و شامل یک PoC است که به مهاجمان اجازه می دهد به راحتی آرشیوهای مخرب ایجاد کنند. مدیران باید برای محافظت از ZCS خود اقدام فوری انجام دهند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨هشدار
شرکت Fortinet به طور خصوصی به مشتریان در مورد آسیب پذیری امنیتی که فایروال های FortiGate و وب پروکسی FortiProxy را تحت تاثیر قرار می دهد هشدار داده است. آسیب‌پذیری بحرانی
CVE-2022-40684 دارای امتیاز CVSS 9.6 است و مربوط به یک آسیب‌پذیری بای پس احراز هویت است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا با استفاده از درخواست‌های HTTP یا HTTPS دستکاری شده خاص، عملیات دلخواه را در رابط اداری انجام دهد. این اشکال بر نسخه‌های زیر FortiOS از 7.0.0 تا 7.0.6 و 7.2.0 تا 7.2.1، FortiProxy از 7.0.0 تا 7.0.6 و 7.2.0 تأثیر می‌گذارد.
شرکت Fortinet افشای عمومی آسیب‌پذیری و جزئیات حملاتی که از آن استفاده می‌کنند را تا زمانی که مشتریانش وصله‌ها را اعمال کنند، به تعویق می‌اندازد. این مشکل در FortiOS 7.0.7 و 7.2.2 و FortiProxy 7.0.7 و 7.2.1 برطرف شده است. با توجه به پتانسیل برای بهره برداری از راه دور از این مشکل و در دسترس بودن بیش از 100000 فایروال FortiGate در شبکه بر اساس جستجوی Shodan، Fortinet قویاً توصیه می کند که همه مشتریان دارای نسخه های آسیب دیده فوراً آن را ارتقا دهند. به‌عنوان یک راه‌حل موقت، فورتی‌نت توصیه می‌کند که کاربران مدیریت HTTPS روی وب را تا زمانی که به‌روزرسانی‌ها نصب نشده‌اند غیرفعال کنند، یا آدرس‌های IP را که می‌توانند از طریق خط‌مشی محلی به رابط اداری دسترسی داشته باشند، محدود کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

در این مقاله، آزمایشگاه کسپرسکی 10 کمپین مرموز APT را که بدون ذکر منبع باقی مانده اند، افشا می کند.

1. پروژه تاج محل. یک چارچوب پیچیده جاسوسی که از دو بسته مختلف توکیو و یوکوهاما تشکیل شده است. این می تواند داده های مختلف را با استفاده از بیش از 80 ماژول مختلف بدزدد. تاج محل حداقل 5 سال قبل از اینکه در یک حمله به یک سازمان دیپلماتیک کشف شود مورد استفاده قرار گرفت.
2. DarkUniverse یکی دیگر از چارچوب های APT است که از سال 2009 تا 2017 در حملات به 20 سازمان غیر نظامی و نظامی در کشورهای مختلف مورد استفاده قرار گرفت. از طریق فیشینگ پخش می شود و از چندین ماژول برای جاسوسی تشکیل شده است.
3. پازل ساز. در آوریل 2021، محققان چندین حمله هدفمند را بر اساس زنجیره پیچیده ای از سوء استفاده های 0 روزه کشف کردند. CVE-2021-21224 در Google Chrome برای نفوذ به سیستم در ارتباط با CVE-2021-31955 و CVE-2021-31956 استفاده شد. پس از بهره برداری موفقیت آمیز، بسته مخرب PuzzleMaker که مخصوص هر مورد طراحی شده بود، معرفی شد.
4. ProjectSauron برای اولین بار در سال 2015 کشف شد. این یک پلت فرم APT پیچیده است که برای حمله به سازمان ها در روسیه، ایران، رواندا استفاده می شود. در حملات از ایمپلنت های اولیه منحصر به فرد استفاده می شود. گروه پشتیبان ProjectSauron زیرساخت پیچیده C2 را با طیف گسترده ای از ISP ها در ایالات متحده و اروپا اداره می کند. مهاجمان به احتمال زیاد از تجربه سایر کمپین های APT مانند Duqu، Flame، Equation و Regin استفاده کردند.
5.دزد USB. در سال 2016، ESET یک تروجان USB با مکانیزم هوشمندانه محافظت از خود را کشف کرد. این بدافزار از شش فایل تشکیل شده بود که دو تای آن ها فایل های پیکربندی و چهار فایل باقی مانده قابل اجرا بودند. آنها فقط با یک ترتیب معین راه اندازی می شدند و برخی با استفاده از الگوریتم AES-128 رمزگذاری شدند. کلید رمزگذاری با استفاده از شناسه منحصربه‌فرد دستگاه USB و ویژگی‌های درایو خاص ایجاد شد. این سه فایل اجرایی لودر هستند که هر کدام فایل مرحله بعدی را در حافظه بارگذاری می کنند. داده های دزدیده شده که همیشه در درایو USB آلوده آپلود می شوند. ممکن است با گروه Lamberts APT مرتبط باشد.
6. TENSHO (تور سفید). در اوایل سال 2021، هنگام جستجوی صفحات فیشینگ، محققان PwC با صفحه‌ای مواجه شدند که برای سرقت حساب‌های وزارت دفاع صربستان مورد استفاده قرار می‌گرفت. این توسط گروه ناشناخته قبلی TENSHO یا White Tur ایجاد شده است. این گروه از سال 2017 فعال بوده و از انواع روش ها و ابزارهای منحصر به فرد از جمله OpenHardwareMonitor استفاده می کند که بدافزار TENSHO را در قالب یک اسکریپت PowerShell یا فایل اجرایی ویندوز ارائه می دهد.
7.PlexingEagle. در کنفرانس HITBSec 2017 در آمستردام، Emmanuel Gadaix در مورد کشف مجموعه بسیار جالبی از ابزارهای جاسوسی سایبری در شبکه های GSM صحبت کرد.
8. سین سونو. در ماه مه 2021، شرکت مخابراتی Syniverse دسترسی غیرمجاز به سیستم‌های IT خود را کشف کرد. تحقیقات داخلی نشان داد که این بازیگر برای اولین بار در سال 2016 به زیرساخت نفوذ کرده است. در طی پنج سال، در حالی که ناشناخته ماند، از پایگاه داده های داخلی استفاده کرد و توانست اعتبار ورود به سیستم EDT را از 235 مشتری شرکت بدزدد. با استفاده از آنها، مهاجمان می توانند به اطلاعات محرمانه مشترکین، از جمله سوابق تماس و پیامک دسترسی پیدا کنند.
9. MagicScroll یک چارچوب بدافزار پیچیده است که اولین بار در سال 2019 توسط Palo Alto کشف شد. این بدافزار چند مرحله ای است. تنها قربانی (از روسیه) در سال 2017 مورد حمله قرار گرفت. مکانیسم عفونت اولیه ناشناخته است. مرحله اول بوت لودر است که به عنوان یک ارائه دهنده پشتیبانی امنیتی ایجاد شده است. هدف اصلی آن ارائه یک ماژول مرحله بعدی است که در رجیستری قرار دارد و از یک آسیب پذیری VirtualBox برای بارگذاری یک درایور مخرب در حالت هسته سوء استفاده می کند.
10. Metador اولین بار توسط SentinelLabs در سپتامبر 2022 توصیف شد. به ارائه دهندگان و دانشگاه ها در خاورمیانه و آفریقا حمله می کند. Metador از دو پلتفرم مخرب استفاده می کند: metaMain و Mafalda که منحصراً در حافظه مستقر می شوند و داده ها را با سایر ایمپلنت های ناشناخته به اشتراک می گذارند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.

زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیب‌پذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم می‌کند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیب‌پذیری‌های مهم و جدی RCE که دستگاه‌های Logo 8 BM را تحت تأثیر قرار می‌دهند، اصلاحاتی نیز در دسترس نیست.
آسیب‌پذیری‌های دستگاه‌های Sicam P850 و P855 نیز بحرانی ارزیابی شده‌اند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانل‌های Simatic HMI، مدیریت لبه‌های صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شده‌اند.

اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصله‌ها و کاهش‌دهنده‌ها برای همه آسیب‌پذیری‌ها در دسترس هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti