دانشمندان دستگاهی ساخته اند که استراق سمع را از طریق لپ تاپ تشخیص می دهد - دانشمندان دانشگاه ملی سنگاپور و دانشگاه یونسی (سئول، کره) دستگاهی ساخته اند که می تواند با گرفتن سیگنال های الکترومغناطیسی خاص، وجود میکروفون را در لپ تاپ پنهان کند. - نمونه اولیه TickTock از یک نشانگر میدان نزدیک، یک تقویت کننده RF، یک فرستنده گیرنده قابل برنامه ریزی و یک میکرو کامپیوتر Raspberry Pi 4 Model B تشکیل شده است. دشوار است. این روش مبتنی بر این واقعیت است که وقتی میکروفون روشن می شود، مدارهایی که از طریق آن سیگنال های ساعت به مبدل آنالوگ به دیجیتال (ADC) منتقل می شود شروع به سوسو زدن می کنند. این نشت صدای پس زمینه توسط دستگاه برداشته شده و از سایر نویزهای سیستم جدا می شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Binarly مجموعه جدیدی از آسیبپذیریهای سفتافزار بالقوه جدی را کشف کرده است که میتواند به مهاجم اجازه دسترسی دائمی به هر یک از میلیونها دستگاه آسیبپذیر را بدهد. محققان هفت آسیبپذیری جدید را در میانافزار InsydeH2O UEFI که توسط Insyde Software توسعه داده شده است، کشف کردهاند. در عین حال، کد آسیبپذیر قبلاً در راهحلهای دهها شرکت دیگر از جمله فروشندگان بزرگ مانند HP، Dell، Intel، Microsoft، Fujitsu، Framework و Siemens پیادهسازی شده است. معایب مربوط به حالت مدیریت سیستم SMM است و می تواند منجر به افشای اطلاعات یا RCE شود، با این حال، عملیات نیاز به دسترسی ممتاز محلی به سیستم عامل دارد. یک مهاجم می تواند یک ایمپلنت مخرب را در سطوح مختلف سیستم عامل نصب کند، چه به عنوان یک ماژول اصلاح شده یا به عنوان یک درایور جداگانه. این نوع کدهای مخرب می توانند با طراحی Secure Boot را دور بزنند و بر مراحل بوت بعدی تأثیر بگذارند. Binarly توصیه های جداگانه ای با جزئیات فنی برای هر یک از آسیب پذیری ها منتشر کرده است. نرم افزار Insyde به نوبه خود اصلاحاتی را منتشر کرد و همچنین توصیه های خود را به اشتراک گذاشت. اگر اصلاحات Insyde نیز به سرعت به کد راه حل های آسیب پذیر ترجمه شود، همه چیز خوب خواهد بود. با این حال، محققان تخمین میزنند که ممکن است ۶ تا ۹ ماه طول بکشد تا سازندگان دستگاهها آسیبپذیریها را در همه دستگاههای شرکت برطرف کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
دوستان عزیز آدرس گروه امنیت اتوماسیون و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR
https://t.me/ICSCERT_IR
This media is not supported in your browser
VIEW IN TELEGRAM
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
تیم Claroty's Team82 یازده آسیبپذیری را در راهحلهای IoT در محصولات Carlo Gavazzi پیدا کرد که 6 مورد از آنها حیاتی هستند.
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Carlo Gavazzi یک گروه بین المللی است که راه حل های اتوماسیون را برای بازارهای جهانی اتوماسیون صنعتی و ساختمانی طراحی، تولید و به فروش می رساند. این شرکت محصولات خود را به اروپا، آمریکا و منطقه آسیا و اقیانوسیه از طریق شبکه ای متشکل از 22 شرکت تجاری خود و از طریق بیش از 60 توزیع کننده مستقل ملی عرضه می کند. مشکلات عمدتاً Carlo Gavazzi UWP3.0 و CPY Car Park Server را تحت تأثیر قرار می دهد. همه باگ های مهم دارای امتیاز CVSS V3 9.8 هستند. برخی از آنها به استفاده از اعتبارنامه های رمزگذاری شده (CVE-2022-22522، CVE-2022-28812) در برخی از نسخه های UWP3.0 و CPY Car Park Server مربوط می شوند که به مهاجم غیر احراز هویت اجازه دسترسی کامل به سرور و محصولات آسیب پذیر برخی دیگر به دلیل عدم احراز هویت است که به مهاجم اجازه دسترسی کامل از طریق API (CVE-2022-22526)، اعتبار سنجی ورودی نادرست در پارامتر ارسال شده از طریق API برای دسترسی به محصولات آسیب پذیر (CVE-2022-28811) و پیمایش مسیر نسبی که منجر به RCE (CVE-2022-28814) می شود. علاوه بر این، یک مهاجم راه دور تایید نشده میتواند از آسیبپذیری SQL-Injection برای دسترسی کامل به پایگاه داده (CVE-2022-22524) استفاده کند، و در موارد دیگر، یک آسیبپذیری تزریق SQL میتواند به مهاجم اجازه دهد تا از دیگر جداول سرویس Sentilo پرس و جو کند (CVE-2022-). 28813 با امتیاز CVSS V3 7.5). آسیبپذیریهای جدی مربوط به احراز هویت نادرست است، که اجازه میدهد احراز هویت در زمینه کاربر (CVE-2022-22523 با امتیاز CVSS V3 7.5)، و همچنین اعتبارسنجی ورودی نادرست - CVE-2022-22525 (CVSS V3) دور زده شود. . دومی به یک مهاجم راه دور با حقوق مدیر اجازه می دهد تا دستورات دلخواه را اجرا کند. در برخی از نسخههای UWP3.0، پراکسی Sentilo تحت تأثیر XSS منعکس شده (CVE-2022-28816 با CVSS V3 7.6) قرار میگیرد. کاربران باید به مشکلات توجه کنند و با توجه به بحرانی بودن باگ های یافت شده، در به روز رسانی عجله کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
طی چند هفته گذشته، TrendMicro چندین باج افزار مبتنی بر لینوکس را مشاهده کرده است که مهاجمان برای حمله به سرورهای VMware ESXi راه اندازی کرده اند.
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در این دوره، متخصصان با خانواده Cheerscrypt جدیدی مواجه شدند که هدف آن سرورهای EXSi مشتری بود. سرورهای ESXi در گذشته توسط سایر خانوادههای باجافزار معروف مانند LockBit، Hive و RansomEXX به شدت مورد حمله قرار گرفتهاند، اما جالبترین چیز این است که محققان دریافتند باجافزار جدید Cheerscrypt بر اساس کد منبع فاش شده Babuk است. هنگامی که توسط Cheerscrypt و نسخه لینوکس باج افزار Babuk، به ویژه نسخه ESXi آن مورد بررسی قرار گرفت، کد پایه Cheerscrypt از کد منبع Babuk به دست آمد، اما تغییر و سفارشی سازی شد تا با اهداف مهاجم مطابقت داشته باشد.
محققان Sygnia این حملات را به گروه جاسوسی سایبری چینی Bronze Starlight، که با نامهای DEV-0401، APT10 و Emperor Dragonfly نیز شناخته میشود، نسبت دادند. Bronze Starlight از اواسط سال 2021 فعال بوده و خانوادههای باجافزار پس از حمله را برای مخفی کردن عملیات جاسوسی سایبری مستقر میکند.
اپراتورهای باج افزار Emperor Dragonfly در چین مستقر هستند. برخلاف اطلاعات عمومی، باجافزار Cheerscrypt از محمولههایی استفاده میکند که برای محیطهای Windows و ESXi طراحی شدهاند. زنجیرههای آلودگی که تا به امروز مشاهده شدهاند، از آسیبپذیری حیاتی Log4Shell در کتابخانه Apache Log4j برای به خطر انداختن سرورهای VMware Horizon و رها کردن یک بار PowerShell که قادر به ارائه یک Cobalt Strike رمزگذاریشده است، استفاده میکنند.
علاوه بر این، Sygnia سه ابزار دیگر مبتنی بر Go را پیدا کرد که با Cobalt Strike مستقر شدهاند: یک keylogger که ضربههای کلید ضبطشده را به Alibaba Cloud صادر میکند، یک ابزار پراکسی اینترنتی به نام iox، و نرمافزار تونلسازی NPS. همچنین، ارتباط Cheerscrypt با Emperor Dragonfly به دلیل شباهت بردارهای حمله اولیه، روش های حرکت جانبی و استقرار Cobalt Strike با استفاده از Sideloading DLL است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانههای اجتماعی و خدمات پیامرسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاههایشان استفاده میکند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیامهای SMS، میکروفون، دادههای کلیپبورد، GPS و موارد دیگر را درخواست میکند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.
علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
💢یک منبع در صداوسیما: پلیاوت شبکه خبر هک شده بود؛ هکر سال قبل در سازمان بود
منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.»
منبع: یورونیوز
ایرنا با اشاره به هک بهمن ماه سال گذشته صداوسیما گفت: «بررسیهای فارنزیک [جرمیابی] هک سال گذشته مشخص کرد مهاجم از خرداد ماه ۱۴۰۰ در شبکه سازمان حضور داشته و فرایند امنسازی شبکههای سیما موفق بوده است.» این فرد که در مطلب ایرنا به نامش اشارهای نشده است با این حال میگوید «بعد از هک ۷ بهمن ۱۴۰۰ هیچ کدام از نهادهای مسئول حتی یک ریال نیز به امنسازی شبکه سازمان کمک نکردند.»
وی سپس به هک شبکه خبر اشاره کرد و گفت: «اما شبکه خبر به واسطه ماهیت خبری خود دسترسیهای ویژهای داشته که بعد از رخداد اخیر در حال امنسازی است.»
گروه هکری «عدالت علی» اعلام کرد اخبار ساعت ۲۱ صدا و سیما را شب گذشته هک کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.»
منبع: یورونیوز
ایرنا با اشاره به هک بهمن ماه سال گذشته صداوسیما گفت: «بررسیهای فارنزیک [جرمیابی] هک سال گذشته مشخص کرد مهاجم از خرداد ماه ۱۴۰۰ در شبکه سازمان حضور داشته و فرایند امنسازی شبکههای سیما موفق بوده است.» این فرد که در مطلب ایرنا به نامش اشارهای نشده است با این حال میگوید «بعد از هک ۷ بهمن ۱۴۰۰ هیچ کدام از نهادهای مسئول حتی یک ریال نیز به امنسازی شبکه سازمان کمک نکردند.»
وی سپس به هک شبکه خبر اشاره کرد و گفت: «اما شبکه خبر به واسطه ماهیت خبری خود دسترسیهای ویژهای داشته که بعد از رخداد اخیر در حال امنسازی است.»
گروه هکری «عدالت علی» اعلام کرد اخبار ساعت ۲۱ صدا و سیما را شب گذشته هک کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان واحد امنیت سایبری ویتنامی GTSC گزارش دادند که یک روزصفر به شدت مورد سوء استفاده قرار گرفته است در Microsoft Exchange که به مهاجم اجازه می دهد RCE را انجام دهد. مهاجمان از ترکیب روزصفر برای استقرار پوسته های وب China Chopper بر روی سرورهای در معرض خطر برای ذخیره و سرقت داده ها و برای انتقال به سایر سیستم ها در شبکه های قربانیان استفاده می کنند. GTSC بر اساس صفحه کد پوسته وب، رمزگذاری کاراکتر مایکروسافت برای چینی ساده شده، مشکوک است که ART چینی پشت این حملات است. عامل کاربر مورد استفاده برای نصب پوسته های وب نیز با Antsword، یک ابزار مدیریت وب سایت منبع باز چینی با پشتیبانی از مدیریت پوسته وب مرتبط است. مایکروسافت هنوز هیچ اطلاعاتی در مورد این دو باگ مهم فاش نکرده است و هنوز CVE را به آنها اختصاص نداده است. محققان سه هفته پیش به عنوان بخشی از گزارش امنیتی GTSC، مایکروسافت را از آسیبپذیریها مطلع کردند، جایی که باگهایی بهعنوان ZDI-CAN-18333 و ZDI-CAN-18802 با CVSS در نسخههای 8.8 و 6.3 ردیابی میشوند. ZDI اشکالات را تأیید کرده است، زیرا Trend Micro یک بولتن امنیتی صادر کرده و تشخیص روزصفر را به محصولات خود اضافه کرده است. GTSC هنوز جزئیات فنی 0-days جدید را منتشر نکرده است. با این حال، محققان دریافتند که پرس و جوهای مورد استفاده در این زنجیره بهره برداری مشابه موارد مورد استفاده در حملاتی است که آسیب پذیری های ProxyShell را هدف قرار می دهند. تا زمانی که مایکروسافت اصلاحاتی را برای رسیدگی به روزصفر منتشر نکند، دستورالعملهای کاهش GTSC باید رعایت شود. منابع پیشنهاد می کنند با استفاده از ماژول URL Rewrite Rule یک قانون سرور جدید IIS اضافه کنید. در Autodiscover در FrontEnd، باید تب URL Rewrite، سپس Request Blocking را انتخاب کنید، سپس رشته ".*autodiscover\.json.*\@.*Powershell.*" را به مسیر URL اضافه کنید. هنگام وارد کردن یک شرط، {REQUEST_URI} را انتخاب کنید. برای آزمایش خطر احتمالی سرورهای Exchange با استفاده از روزصفر شناسایی شده، مدیران باید دستور PowerShell زیر را اجرا کنند تا فایلهای گزارش IIS را برای یافتن شاخصهای در معرض خطر اسکن کنند: Get-ChildItem -Recurse -Path<Path_IIS_Logs> -فیلتر "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
💩 موسس Acronis از جاروبرقی خودش می ترسد
بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
IACS
💢یک منبع در صداوسیما: پلیاوت شبکه خبر هک شده بود؛ هکر سال قبل در سازمان بود منابع درباره هک شدن صدا و سیما در حین پخش اخبار ساعت ۲۱ گفتهاند که «بررسیهای اولیه نشان میدهد پخش فایل آلوده در اخبار ساعت ۲۱ روز شنبه ناشی از هک پلیاوت شبکه خبر بوده است.» منبع:…
جبلی: خرابکاری اخیر در حوزههای فناوری سازمان رخ داد
رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسیها حاکم باشد.
🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.
🔹بررسیهای امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسیها حاکم باشد.
🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.
🔹بررسیهای امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
خبرگزاری تسنیم | Tasnim
جبلی: خرابکاری اخیر در تلویزیون در حوزههای فناوری سازمان رخ داده است
به گزارش گروه پارلمانی خبرگزاری تسنیم، پیمان جبلی رئیس سازمان صداوسیمادر توضیح نشست مشترک خود با کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی در خصوص تحولات اخیر کشور، گفت: جلسه همفکری و همافزایی را امروز با اعضای کمیسیون امنیت ملی مجلس داشتیم، در…
یک آسیبپذیری مهم RCE در Zimbra Collaboration Suite، یک سرویسگیرنده وب و سرور پستی پرکاربرد، تحت بهرهبرداری فعال است.
با این حال، هیچ راه حلی برای حل این مشکل وجود ندارد. 0-day به عنوان CVE-2022-41352 ردیابی می شود و دارای رتبه بندی CVSS 9.8 است. این باگ مربوط به روش (cpio) است و به مهاجمان اجازه میدهد تا فایلهای دلخواه را از طریق Amavis (یک سیستم امنیتی ایمیل) فایلهای دلخواه آپلود کنند و اقدامات مخربی را روی نصبهای آسیبپذیر انجام دهند. @ics_cert همچنین اشاره کرد که CVE-2022-41352 تقریباً با CVE-2022-30333 یکسان است، یک آسیبپذیری پیمایش مسیر در نسخه یونیکس ابزار RARlab unRAR که اوایل ژوئن سال جاری کشف شد. مؤلفه cpio دارای نقصی است که به مهاجم اجازه می دهد آرشیوهایی ایجاد کند که می توانند در هر نقطه از یک سیستم فایل قابل دسترسی زیمبرا استخراج شوند. هنگامی که یک ایمیل به سرور زیمبرا ارسال می شود، سیستم امنیتی Amavis آرشیو را استخراج می کند تا محتویات آن را برای ویروس ها بررسی کند. با این حال، اگر آرشیو cpio.، tar.، یا rpm. را که خاص ساخته شده است استخراج کند، محتویات را می توان در ریشه وب Zimbra استخراج کرد.
بهره برداری موفقیت آمیز از آسیب پذیری به مهاجم این امکان را می دهد که دایرکتوری ریشه Zimbra را بازنویسی کند، کد پوسته را تزریق کند و به حساب های کاربری دیگر دسترسی پیدا کند. با توجه به پستهای موجود در انجمن زیمبرا، از ابتدای سپتامبر 2022 از این آسیبپذیری سوء استفاده شده است. سپس Zimbra یک توصیه امنیتی در 14 سپتامبر صادر کرد و به مدیران سیستم هشدار داد که Pax، یک ابزار بایگانی قابل حمل را نصب کنند و سرورهای خود را برای جایگزینی cpio مجددا راه اندازی کنند. آسیبپذیری موجود در نسخههای 8.8.15 و 9.0 نرمافزار، بر چندین توزیع لینوکس مانند Oracle Linux 8، Red Hat Enterprise Linux 8، Rocky Linux 8 و CentOS 8 تأثیر میگذارد، به استثنای Ubuntu به دلیل این واقعیت که این بسته قبلاً به طور پیش فرض روی نصب شده است. 0-day به عنوان CVE-2022-41352 ردیابی می شود و به جز اوبونتو به دلیل اینکه pax قبلاً به طور پیش فرض نصب شده است. زیمبرا گفت انتظار دارد این آسیبپذیری در وصله نرمافزاری بعدی برطرف شود، که cpio را حذف میکند و pax را به یک جزء ضروری تبدیل میکند. با این حال، توسعه دهنده جدول زمانی مشخصی برای رفع مشکل ارائه نکرده است. حتی نگرانکنندهتر این است که گفته میشود Zimbra در برابر افزایش امتیاز 0 روزه دیگری که میتواند با بسته cpio برای دستیابی به نفوذ کامل از راه دور سرورها استفاده شود، آسیبپذیرتر است. گزارش جدید Rapid7 جزئیات فنی را روشن می کند و شامل یک PoC است که به مهاجمان اجازه می دهد به راحتی آرشیوهای مخرب ایجاد کنند. مدیران باید برای محافظت از ZCS خود اقدام فوری انجام دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
با این حال، هیچ راه حلی برای حل این مشکل وجود ندارد. 0-day به عنوان CVE-2022-41352 ردیابی می شود و دارای رتبه بندی CVSS 9.8 است. این باگ مربوط به روش (cpio) است و به مهاجمان اجازه میدهد تا فایلهای دلخواه را از طریق Amavis (یک سیستم امنیتی ایمیل) فایلهای دلخواه آپلود کنند و اقدامات مخربی را روی نصبهای آسیبپذیر انجام دهند. @ics_cert همچنین اشاره کرد که CVE-2022-41352 تقریباً با CVE-2022-30333 یکسان است، یک آسیبپذیری پیمایش مسیر در نسخه یونیکس ابزار RARlab unRAR که اوایل ژوئن سال جاری کشف شد. مؤلفه cpio دارای نقصی است که به مهاجم اجازه می دهد آرشیوهایی ایجاد کند که می توانند در هر نقطه از یک سیستم فایل قابل دسترسی زیمبرا استخراج شوند. هنگامی که یک ایمیل به سرور زیمبرا ارسال می شود، سیستم امنیتی Amavis آرشیو را استخراج می کند تا محتویات آن را برای ویروس ها بررسی کند. با این حال، اگر آرشیو cpio.، tar.، یا rpm. را که خاص ساخته شده است استخراج کند، محتویات را می توان در ریشه وب Zimbra استخراج کرد.
بهره برداری موفقیت آمیز از آسیب پذیری به مهاجم این امکان را می دهد که دایرکتوری ریشه Zimbra را بازنویسی کند، کد پوسته را تزریق کند و به حساب های کاربری دیگر دسترسی پیدا کند. با توجه به پستهای موجود در انجمن زیمبرا، از ابتدای سپتامبر 2022 از این آسیبپذیری سوء استفاده شده است. سپس Zimbra یک توصیه امنیتی در 14 سپتامبر صادر کرد و به مدیران سیستم هشدار داد که Pax، یک ابزار بایگانی قابل حمل را نصب کنند و سرورهای خود را برای جایگزینی cpio مجددا راه اندازی کنند. آسیبپذیری موجود در نسخههای 8.8.15 و 9.0 نرمافزار، بر چندین توزیع لینوکس مانند Oracle Linux 8، Red Hat Enterprise Linux 8، Rocky Linux 8 و CentOS 8 تأثیر میگذارد، به استثنای Ubuntu به دلیل این واقعیت که این بسته قبلاً به طور پیش فرض روی نصب شده است. 0-day به عنوان CVE-2022-41352 ردیابی می شود و به جز اوبونتو به دلیل اینکه pax قبلاً به طور پیش فرض نصب شده است. زیمبرا گفت انتظار دارد این آسیبپذیری در وصله نرمافزاری بعدی برطرف شود، که cpio را حذف میکند و pax را به یک جزء ضروری تبدیل میکند. با این حال، توسعه دهنده جدول زمانی مشخصی برای رفع مشکل ارائه نکرده است. حتی نگرانکنندهتر این است که گفته میشود Zimbra در برابر افزایش امتیاز 0 روزه دیگری که میتواند با بسته cpio برای دستیابی به نفوذ کامل از راه دور سرورها استفاده شود، آسیبپذیرتر است. گزارش جدید Rapid7 جزئیات فنی را روشن می کند و شامل یک PoC است که به مهاجمان اجازه می دهد به راحتی آرشیوهای مخرب ایجاد کنند. مدیران باید برای محافظت از ZCS خود اقدام فوری انجام دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🚨هشدار
شرکت Fortinet به طور خصوصی به مشتریان در مورد آسیب پذیری امنیتی که فایروال های FortiGate و وب پروکسی FortiProxy را تحت تاثیر قرار می دهد هشدار داده است. آسیبپذیری بحرانی
CVE-2022-40684 دارای امتیاز CVSS 9.6 است و مربوط به یک آسیبپذیری بای پس احراز هویت است که میتواند به یک مهاجم احراز هویت نشده اجازه دهد تا با استفاده از درخواستهای HTTP یا HTTPS دستکاری شده خاص، عملیات دلخواه را در رابط اداری انجام دهد. این اشکال بر نسخههای زیر FortiOS از 7.0.0 تا 7.0.6 و 7.2.0 تا 7.2.1، FortiProxy از 7.0.0 تا 7.0.6 و 7.2.0 تأثیر میگذارد.
شرکت Fortinet افشای عمومی آسیبپذیری و جزئیات حملاتی که از آن استفاده میکنند را تا زمانی که مشتریانش وصلهها را اعمال کنند، به تعویق میاندازد. این مشکل در FortiOS 7.0.7 و 7.2.2 و FortiProxy 7.0.7 و 7.2.1 برطرف شده است. با توجه به پتانسیل برای بهره برداری از راه دور از این مشکل و در دسترس بودن بیش از 100000 فایروال FortiGate در شبکه بر اساس جستجوی Shodan، Fortinet قویاً توصیه می کند که همه مشتریان دارای نسخه های آسیب دیده فوراً آن را ارتقا دهند. بهعنوان یک راهحل موقت، فورتینت توصیه میکند که کاربران مدیریت HTTPS روی وب را تا زمانی که بهروزرسانیها نصب نشدهاند غیرفعال کنند، یا آدرسهای IP را که میتوانند از طریق خطمشی محلی به رابط اداری دسترسی داشته باشند، محدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
شرکت Fortinet به طور خصوصی به مشتریان در مورد آسیب پذیری امنیتی که فایروال های FortiGate و وب پروکسی FortiProxy را تحت تاثیر قرار می دهد هشدار داده است. آسیبپذیری بحرانی
CVE-2022-40684 دارای امتیاز CVSS 9.6 است و مربوط به یک آسیبپذیری بای پس احراز هویت است که میتواند به یک مهاجم احراز هویت نشده اجازه دهد تا با استفاده از درخواستهای HTTP یا HTTPS دستکاری شده خاص، عملیات دلخواه را در رابط اداری انجام دهد. این اشکال بر نسخههای زیر FortiOS از 7.0.0 تا 7.0.6 و 7.2.0 تا 7.2.1، FortiProxy از 7.0.0 تا 7.0.6 و 7.2.0 تأثیر میگذارد.
شرکت Fortinet افشای عمومی آسیبپذیری و جزئیات حملاتی که از آن استفاده میکنند را تا زمانی که مشتریانش وصلهها را اعمال کنند، به تعویق میاندازد. این مشکل در FortiOS 7.0.7 و 7.2.2 و FortiProxy 7.0.7 و 7.2.1 برطرف شده است. با توجه به پتانسیل برای بهره برداری از راه دور از این مشکل و در دسترس بودن بیش از 100000 فایروال FortiGate در شبکه بر اساس جستجوی Shodan، Fortinet قویاً توصیه می کند که همه مشتریان دارای نسخه های آسیب دیده فوراً آن را ارتقا دهند. بهعنوان یک راهحل موقت، فورتینت توصیه میکند که کاربران مدیریت HTTPS روی وب را تا زمانی که بهروزرسانیها نصب نشدهاند غیرفعال کنند، یا آدرسهای IP را که میتوانند از طریق خطمشی محلی به رابط اداری دسترسی داشته باشند، محدود کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
در این مقاله، آزمایشگاه کسپرسکی 10 کمپین مرموز APT را که بدون ذکر منبع باقی مانده اند، افشا می کند.
1. پروژه تاج محل. یک چارچوب پیچیده جاسوسی که از دو بسته مختلف توکیو و یوکوهاما تشکیل شده است. این می تواند داده های مختلف را با استفاده از بیش از 80 ماژول مختلف بدزدد. تاج محل حداقل 5 سال قبل از اینکه در یک حمله به یک سازمان دیپلماتیک کشف شود مورد استفاده قرار گرفت.
2. DarkUniverse یکی دیگر از چارچوب های APT است که از سال 2009 تا 2017 در حملات به 20 سازمان غیر نظامی و نظامی در کشورهای مختلف مورد استفاده قرار گرفت. از طریق فیشینگ پخش می شود و از چندین ماژول برای جاسوسی تشکیل شده است.
3. پازل ساز. در آوریل 2021، محققان چندین حمله هدفمند را بر اساس زنجیره پیچیده ای از سوء استفاده های 0 روزه کشف کردند. CVE-2021-21224 در Google Chrome برای نفوذ به سیستم در ارتباط با CVE-2021-31955 و CVE-2021-31956 استفاده شد. پس از بهره برداری موفقیت آمیز، بسته مخرب PuzzleMaker که مخصوص هر مورد طراحی شده بود، معرفی شد.
4. ProjectSauron برای اولین بار در سال 2015 کشف شد. این یک پلت فرم APT پیچیده است که برای حمله به سازمان ها در روسیه، ایران، رواندا استفاده می شود. در حملات از ایمپلنت های اولیه منحصر به فرد استفاده می شود. گروه پشتیبان ProjectSauron زیرساخت پیچیده C2 را با طیف گسترده ای از ISP ها در ایالات متحده و اروپا اداره می کند. مهاجمان به احتمال زیاد از تجربه سایر کمپین های APT مانند Duqu، Flame، Equation و Regin استفاده کردند.
5.دزد USB. در سال 2016، ESET یک تروجان USB با مکانیزم هوشمندانه محافظت از خود را کشف کرد. این بدافزار از شش فایل تشکیل شده بود که دو تای آن ها فایل های پیکربندی و چهار فایل باقی مانده قابل اجرا بودند. آنها فقط با یک ترتیب معین راه اندازی می شدند و برخی با استفاده از الگوریتم AES-128 رمزگذاری شدند. کلید رمزگذاری با استفاده از شناسه منحصربهفرد دستگاه USB و ویژگیهای درایو خاص ایجاد شد. این سه فایل اجرایی لودر هستند که هر کدام فایل مرحله بعدی را در حافظه بارگذاری می کنند. داده های دزدیده شده که همیشه در درایو USB آلوده آپلود می شوند. ممکن است با گروه Lamberts APT مرتبط باشد.
6. TENSHO (تور سفید). در اوایل سال 2021، هنگام جستجوی صفحات فیشینگ، محققان PwC با صفحهای مواجه شدند که برای سرقت حسابهای وزارت دفاع صربستان مورد استفاده قرار میگرفت. این توسط گروه ناشناخته قبلی TENSHO یا White Tur ایجاد شده است. این گروه از سال 2017 فعال بوده و از انواع روش ها و ابزارهای منحصر به فرد از جمله OpenHardwareMonitor استفاده می کند که بدافزار TENSHO را در قالب یک اسکریپت PowerShell یا فایل اجرایی ویندوز ارائه می دهد.
7.PlexingEagle. در کنفرانس HITBSec 2017 در آمستردام، Emmanuel Gadaix در مورد کشف مجموعه بسیار جالبی از ابزارهای جاسوسی سایبری در شبکه های GSM صحبت کرد.
8. سین سونو. در ماه مه 2021، شرکت مخابراتی Syniverse دسترسی غیرمجاز به سیستمهای IT خود را کشف کرد. تحقیقات داخلی نشان داد که این بازیگر برای اولین بار در سال 2016 به زیرساخت نفوذ کرده است. در طی پنج سال، در حالی که ناشناخته ماند، از پایگاه داده های داخلی استفاده کرد و توانست اعتبار ورود به سیستم EDT را از 235 مشتری شرکت بدزدد. با استفاده از آنها، مهاجمان می توانند به اطلاعات محرمانه مشترکین، از جمله سوابق تماس و پیامک دسترسی پیدا کنند.
9. MagicScroll یک چارچوب بدافزار پیچیده است که اولین بار در سال 2019 توسط Palo Alto کشف شد. این بدافزار چند مرحله ای است. تنها قربانی (از روسیه) در سال 2017 مورد حمله قرار گرفت. مکانیسم عفونت اولیه ناشناخته است. مرحله اول بوت لودر است که به عنوان یک ارائه دهنده پشتیبانی امنیتی ایجاد شده است. هدف اصلی آن ارائه یک ماژول مرحله بعدی است که در رجیستری قرار دارد و از یک آسیب پذیری VirtualBox برای بارگذاری یک درایور مخرب در حالت هسته سوء استفاده می کند.
10. Metador اولین بار توسط SentinelLabs در سپتامبر 2022 توصیف شد. به ارائه دهندگان و دانشگاه ها در خاورمیانه و آفریقا حمله می کند. Metador از دو پلتفرم مخرب استفاده می کند: metaMain و Mafalda که منحصراً در حافظه مستقر می شوند و داده ها را با سایر ایمپلنت های ناشناخته به اشتراک می گذارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
1. پروژه تاج محل. یک چارچوب پیچیده جاسوسی که از دو بسته مختلف توکیو و یوکوهاما تشکیل شده است. این می تواند داده های مختلف را با استفاده از بیش از 80 ماژول مختلف بدزدد. تاج محل حداقل 5 سال قبل از اینکه در یک حمله به یک سازمان دیپلماتیک کشف شود مورد استفاده قرار گرفت.
2. DarkUniverse یکی دیگر از چارچوب های APT است که از سال 2009 تا 2017 در حملات به 20 سازمان غیر نظامی و نظامی در کشورهای مختلف مورد استفاده قرار گرفت. از طریق فیشینگ پخش می شود و از چندین ماژول برای جاسوسی تشکیل شده است.
3. پازل ساز. در آوریل 2021، محققان چندین حمله هدفمند را بر اساس زنجیره پیچیده ای از سوء استفاده های 0 روزه کشف کردند. CVE-2021-21224 در Google Chrome برای نفوذ به سیستم در ارتباط با CVE-2021-31955 و CVE-2021-31956 استفاده شد. پس از بهره برداری موفقیت آمیز، بسته مخرب PuzzleMaker که مخصوص هر مورد طراحی شده بود، معرفی شد.
4. ProjectSauron برای اولین بار در سال 2015 کشف شد. این یک پلت فرم APT پیچیده است که برای حمله به سازمان ها در روسیه، ایران، رواندا استفاده می شود. در حملات از ایمپلنت های اولیه منحصر به فرد استفاده می شود. گروه پشتیبان ProjectSauron زیرساخت پیچیده C2 را با طیف گسترده ای از ISP ها در ایالات متحده و اروپا اداره می کند. مهاجمان به احتمال زیاد از تجربه سایر کمپین های APT مانند Duqu، Flame، Equation و Regin استفاده کردند.
5.دزد USB. در سال 2016، ESET یک تروجان USB با مکانیزم هوشمندانه محافظت از خود را کشف کرد. این بدافزار از شش فایل تشکیل شده بود که دو تای آن ها فایل های پیکربندی و چهار فایل باقی مانده قابل اجرا بودند. آنها فقط با یک ترتیب معین راه اندازی می شدند و برخی با استفاده از الگوریتم AES-128 رمزگذاری شدند. کلید رمزگذاری با استفاده از شناسه منحصربهفرد دستگاه USB و ویژگیهای درایو خاص ایجاد شد. این سه فایل اجرایی لودر هستند که هر کدام فایل مرحله بعدی را در حافظه بارگذاری می کنند. داده های دزدیده شده که همیشه در درایو USB آلوده آپلود می شوند. ممکن است با گروه Lamberts APT مرتبط باشد.
6. TENSHO (تور سفید). در اوایل سال 2021، هنگام جستجوی صفحات فیشینگ، محققان PwC با صفحهای مواجه شدند که برای سرقت حسابهای وزارت دفاع صربستان مورد استفاده قرار میگرفت. این توسط گروه ناشناخته قبلی TENSHO یا White Tur ایجاد شده است. این گروه از سال 2017 فعال بوده و از انواع روش ها و ابزارهای منحصر به فرد از جمله OpenHardwareMonitor استفاده می کند که بدافزار TENSHO را در قالب یک اسکریپت PowerShell یا فایل اجرایی ویندوز ارائه می دهد.
7.PlexingEagle. در کنفرانس HITBSec 2017 در آمستردام، Emmanuel Gadaix در مورد کشف مجموعه بسیار جالبی از ابزارهای جاسوسی سایبری در شبکه های GSM صحبت کرد.
8. سین سونو. در ماه مه 2021، شرکت مخابراتی Syniverse دسترسی غیرمجاز به سیستمهای IT خود را کشف کرد. تحقیقات داخلی نشان داد که این بازیگر برای اولین بار در سال 2016 به زیرساخت نفوذ کرده است. در طی پنج سال، در حالی که ناشناخته ماند، از پایگاه داده های داخلی استفاده کرد و توانست اعتبار ورود به سیستم EDT را از 235 مشتری شرکت بدزدد. با استفاده از آنها، مهاجمان می توانند به اطلاعات محرمانه مشترکین، از جمله سوابق تماس و پیامک دسترسی پیدا کنند.
9. MagicScroll یک چارچوب بدافزار پیچیده است که اولین بار در سال 2019 توسط Palo Alto کشف شد. این بدافزار چند مرحله ای است. تنها قربانی (از روسیه) در سال 2017 مورد حمله قرار گرفت. مکانیسم عفونت اولیه ناشناخته است. مرحله اول بوت لودر است که به عنوان یک ارائه دهنده پشتیبانی امنیتی ایجاد شده است. هدف اصلی آن ارائه یک ماژول مرحله بعدی است که در رجیستری قرار دارد و از یک آسیب پذیری VirtualBox برای بارگذاری یک درایور مخرب در حالت هسته سوء استفاده می کند.
10. Metador اولین بار توسط SentinelLabs در سپتامبر 2022 توصیف شد. به ارائه دهندگان و دانشگاه ها در خاورمیانه و آفریقا حمله می کند. Metador از دو پلتفرم مخرب استفاده می کند: metaMain و Mafalda که منحصراً در حافظه مستقر می شوند و داده ها را با سایر ایمپلنت های ناشناخته به اشتراک می گذارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیبپذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم میکند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیبپذیریهای مهم و جدی RCE که دستگاههای Logo 8 BM را تحت تأثیر قرار میدهند، اصلاحاتی نیز در دسترس نیست.
آسیبپذیریهای دستگاههای Sicam P850 و P855 نیز بحرانی ارزیابی شدهاند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانلهای Simatic HMI، مدیریت لبههای صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شدهاند.
اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصلهها و کاهشدهندهها برای همه آسیبپذیریها در دسترس هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیبپذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم میکند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیبپذیریهای مهم و جدی RCE که دستگاههای Logo 8 BM را تحت تأثیر قرار میدهند، اصلاحاتی نیز در دسترس نیست.
آسیبپذیریهای دستگاههای Sicam P850 و P855 نیز بحرانی ارزیابی شدهاند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانلهای Simatic HMI، مدیریت لبههای صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شدهاند.
اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصلهها و کاهشدهندهها برای همه آسیبپذیریها در دسترس هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیبپذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم میکند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیبپذیریهای مهم و جدی RCE که دستگاههای Logo 8 BM را تحت تأثیر قرار میدهند، اصلاحاتی نیز در دسترس نیست.
آسیبپذیریهای دستگاههای Sicam P850 و P855 نیز بحرانی ارزیابی شدهاند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانلهای Simatic HMI، مدیریت لبههای صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شدهاند.
اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصلهها و کاهشدهندهها برای همه آسیبپذیریها در دسترس هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیبپذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم میکند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیبپذیریهای مهم و جدی RCE که دستگاههای Logo 8 BM را تحت تأثیر قرار میدهند، اصلاحاتی نیز در دسترس نیست.
آسیبپذیریهای دستگاههای Sicam P850 و P855 نیز بحرانی ارزیابی شدهاند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانلهای Simatic HMI، مدیریت لبههای صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شدهاند.
اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصلهها و کاهشدهندهها برای همه آسیبپذیریها در دسترس هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
ICS Cert
زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید…
زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید…
شرکت Cisco Talos اخیراً 9 آسیب پذیری را در روتر سلولی صنعتی Robustel R1510 کشف کرده است که برخی از آنها می تواند منجر به RCE و DoS شود.
Robustel R1510 یک روتر بی سیم دو پورت اترنت است که سیگنال های نسل ۳ و نسل ۴ بی سیم را برای کاربردهای صنعتی و IoT به اشتراک می گذارد.
این شامل استفاده از تونل VPN باز، یک پلت فرم مدیریت مبتنی بر ابر برای سایر دستگاه ها و روترها و راه حل های امنیتی مختلف است.
محققان خاطرنشان کردند که پنج آسیبپذیری RCE را میتوان با ارسال یک درخواست شبکه ساخته شده ویژه به دستگاه مورد نظر فعال کرد: TALOS-2022-1578 (CVE-2022-34850)، TALOS-2022-1577 (CVE-2022-33150)، TALOS- 2022-1576 (CVE-2022-32765)، TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) و TALOS-2022-1572 (CVE-2022-333312 - CVE-2022-333312 - CVE-2022-33325). همه دارای نمره شدت CVSS 9.1 از 10 هستند. دو TALOS-2022-1580 دیگر (CVE-2022-34845) و TALOS-2022-1570 (CVE-2022-32585) نیز می توانند منجر به RCE شوند، اما کمتر مدیر یک مهاجم همچنین میتواند یک درخواست شبکه ساخته شده ویژه برای فعال کردن TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) ارسال کند و باعث انکار سرویس در عملکرد hashFirst سرور وب دستگاه شود. آسیبپذیری TALOS-2022-1571 (CVE-2022-28127) در وب سرور دستگاه وجود دارد، اما در عوض میتواند برای حذف فایلهای دلخواه حتی در صورت وجود بررسی پیمایش مسیر استفاده شود. Cisco Talos با Robustel کار کرد تا راه حلی برای مشکلات شناسایی شده و به روز رسانی برای مشتریان آسیب دیده ارائه دهد.
به کاربران توصیه می شود محصولات آسیب دیده Robustel R1510 را در اسرع وقت به آخرین نسخه 3.3.0 و 3.1.16 به روز کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Robustel R1510 یک روتر بی سیم دو پورت اترنت است که سیگنال های نسل ۳ و نسل ۴ بی سیم را برای کاربردهای صنعتی و IoT به اشتراک می گذارد.
این شامل استفاده از تونل VPN باز، یک پلت فرم مدیریت مبتنی بر ابر برای سایر دستگاه ها و روترها و راه حل های امنیتی مختلف است.
محققان خاطرنشان کردند که پنج آسیبپذیری RCE را میتوان با ارسال یک درخواست شبکه ساخته شده ویژه به دستگاه مورد نظر فعال کرد: TALOS-2022-1578 (CVE-2022-34850)، TALOS-2022-1577 (CVE-2022-33150)، TALOS- 2022-1576 (CVE-2022-32765)، TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) و TALOS-2022-1572 (CVE-2022-333312 - CVE-2022-333312 - CVE-2022-33325). همه دارای نمره شدت CVSS 9.1 از 10 هستند. دو TALOS-2022-1580 دیگر (CVE-2022-34845) و TALOS-2022-1570 (CVE-2022-32585) نیز می توانند منجر به RCE شوند، اما کمتر مدیر یک مهاجم همچنین میتواند یک درخواست شبکه ساخته شده ویژه برای فعال کردن TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) ارسال کند و باعث انکار سرویس در عملکرد hashFirst سرور وب دستگاه شود. آسیبپذیری TALOS-2022-1571 (CVE-2022-28127) در وب سرور دستگاه وجود دارد، اما در عوض میتواند برای حذف فایلهای دلخواه حتی در صورت وجود بررسی پیمایش مسیر استفاده شود. Cisco Talos با Robustel کار کرد تا راه حلی برای مشکلات شناسایی شده و به روز رسانی برای مشتریان آسیب دیده ارائه دهد.
به کاربران توصیه می شود محصولات آسیب دیده Robustel R1510 را در اسرع وقت به آخرین نسخه 3.3.0 و 3.1.16 به روز کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
بزرگترین شرکت انرژی هند تاتا پاور تایید کرد که مورد حمله سایبری قرار گرفته است
به گفته منابع، این حمله زیرساختهای فناوری اطلاعات شرکت را تحت تأثیر قرار داده و تعدادی از سیستمهای اطلاعاتی را از بین برده است.
این شرکت با بیان اینکه در حال حاضر تمام اقدامات لازم برای بازسازی ماشین آلات آسیب دیده انجام شده است، افزود: تمام سیستم های اطلاعات حیاتی در حال کار هستند. همچنین به منظور جلوگیری از دسترسی های غیرمجاز، برای احتیاط، دسترسی محدود و بررسی های پیشگیرانه برای کارکنان و مشتریان در هنگام تعامل با پورتال ها در نظر گرفته شد.
شرکت برق مستقر در بمبئی، بخشی از گروه گروه تاتا، جزئیات بیشتری در مورد ماهیت حمله یا زمان وقوع آن منتشر نکرد. با این حال، شرکت امنیت سایبری Recorded Future در ماه آوریل حملاتی را علیه سازمانهای شبکه انرژی هند توسط مهاجمان مرتبط با چین گزارش کرد. این حملات به یک عامل تهدید جدید نسبت داده شد که Recorded Future را به عنوان گروه فعالیت تهدید 38 (TAG-38) دنبال میکند. چین البته اتهامات مربوط به دست داشتن در این حملات را رد کرد. با این حال، یک رئیس ارشد بخش سایبری پلیس ماهاراشترا گفت که اطلاعات اطلاعاتی در مورد تهدید تاتا پاور و سایر شرکت های برق دریافت کرده است. به گفته وی، به تمامی شرکت های ذینفع اخطار داده شده و در حال حاضر ممیزی و راستی آزمایی مناسب امنیت اطلاعات در حال انجام است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
به گفته منابع، این حمله زیرساختهای فناوری اطلاعات شرکت را تحت تأثیر قرار داده و تعدادی از سیستمهای اطلاعاتی را از بین برده است.
این شرکت با بیان اینکه در حال حاضر تمام اقدامات لازم برای بازسازی ماشین آلات آسیب دیده انجام شده است، افزود: تمام سیستم های اطلاعات حیاتی در حال کار هستند. همچنین به منظور جلوگیری از دسترسی های غیرمجاز، برای احتیاط، دسترسی محدود و بررسی های پیشگیرانه برای کارکنان و مشتریان در هنگام تعامل با پورتال ها در نظر گرفته شد.
شرکت برق مستقر در بمبئی، بخشی از گروه گروه تاتا، جزئیات بیشتری در مورد ماهیت حمله یا زمان وقوع آن منتشر نکرد. با این حال، شرکت امنیت سایبری Recorded Future در ماه آوریل حملاتی را علیه سازمانهای شبکه انرژی هند توسط مهاجمان مرتبط با چین گزارش کرد. این حملات به یک عامل تهدید جدید نسبت داده شد که Recorded Future را به عنوان گروه فعالیت تهدید 38 (TAG-38) دنبال میکند. چین البته اتهامات مربوط به دست داشتن در این حملات را رد کرد. با این حال، یک رئیس ارشد بخش سایبری پلیس ماهاراشترا گفت که اطلاعات اطلاعاتی در مورد تهدید تاتا پاور و سایر شرکت های برق دریافت کرده است. به گفته وی، به تمامی شرکت های ذینفع اخطار داده شده و در حال حاضر ممیزی و راستی آزمایی مناسب امنیت اطلاعات در حال انجام است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اولین زنان متخصص کامپیوتر در ایران سال ۱۳۵۲
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
🔴 هک اطلاعات سازمان انرژی اتمی تایید شد
سازمان انرژی اتمی ایران روز یکشنبه اول آبان (۲۳ اکتبر) با انتشار بیانیهای "نفوذ به سرور پست الکترونیک یکی از شرکتهای تابعه" خود را تایید کرد.
در بیانیه سازمان انرژی اتمی، محتوای موجود در ایمیلهای کاربران "حاوی پیامهای فنی و تبادلات معمول و جاری روزمره" اعلام و افزوده شده است: «بدیهی است هدف از انجام اینگونه تلاشهای غیرقانونی که از روی استیصال انجام میشود، به منظور جلب توجه عموم، فضاسازیهای رسانهای و عملیات روانی بوده و فاقد هرگونه ارزش دیگری است.»
انتشار این بیانیه پس از آن صورت گرفت که گروه هکری "بلک ریوارد" (جایزه سیاه) روز شنبه و در پایان التیماتوم ۲۴ ساعته خود، با انتشار پیامی در پیامرسان تلگرام، ۵۰ گیگابایت اسناد هک شده شرکت توسعه انرژی اتمی ایران را منتشر کرد.
منبع: @dw_farsi
سازمان انرژی اتمی ایران روز یکشنبه اول آبان (۲۳ اکتبر) با انتشار بیانیهای "نفوذ به سرور پست الکترونیک یکی از شرکتهای تابعه" خود را تایید کرد.
در بیانیه سازمان انرژی اتمی، محتوای موجود در ایمیلهای کاربران "حاوی پیامهای فنی و تبادلات معمول و جاری روزمره" اعلام و افزوده شده است: «بدیهی است هدف از انجام اینگونه تلاشهای غیرقانونی که از روی استیصال انجام میشود، به منظور جلب توجه عموم، فضاسازیهای رسانهای و عملیات روانی بوده و فاقد هرگونه ارزش دیگری است.»
انتشار این بیانیه پس از آن صورت گرفت که گروه هکری "بلک ریوارد" (جایزه سیاه) روز شنبه و در پایان التیماتوم ۲۴ ساعته خود، با انتشار پیامی در پیامرسان تلگرام، ۵۰ گیگابایت اسناد هک شده شرکت توسعه انرژی اتمی ایران را منتشر کرد.
منبع: @dw_farsi
🔻 حمله هسته ای به جو زمین راهکار چینی علیه اینترنت استارلینک آمریکایی
▫️سلاحی به ارتش چین این توانایی را میدهد که ماهوارههای استارلینک در مدار لئو را هدف قرار دهد. چین مدتهاست که نگرانیهای خود را درباره استارلینک و اینترنت ماهوارهای بیان کرده است.
▫️در ماه مه نشریه رسمی ارتش چین با ابراز نگرانی درباره ماهوارههای استارلینک و اینکه قرار است تعدادشان به ۴۲ هزار عدد برسد، اعلام کرده بود که این فناوری به ارتش آمریکا در فضا دست برتر را خواهد داد.
▫️از آنجا که با سلاحهای متعارف همچون موشکهای ضدماهواره تنها میتوان تعداد اندکی از ماهوارههای استارلینک را هدف قرار داد و این موضوع تهدید چندانی علیه شبکه بزرگ ماهوارههای ارزان قیمت این شرکت نخواهد بود، دانشمندان چینی رو به راهحلی چون استفاده از سلاح هستهای ضدماهواره آوردهاند./ خبرآنلاین
▫️سلاحی به ارتش چین این توانایی را میدهد که ماهوارههای استارلینک در مدار لئو را هدف قرار دهد. چین مدتهاست که نگرانیهای خود را درباره استارلینک و اینترنت ماهوارهای بیان کرده است.
▫️در ماه مه نشریه رسمی ارتش چین با ابراز نگرانی درباره ماهوارههای استارلینک و اینکه قرار است تعدادشان به ۴۲ هزار عدد برسد، اعلام کرده بود که این فناوری به ارتش آمریکا در فضا دست برتر را خواهد داد.
▫️از آنجا که با سلاحهای متعارف همچون موشکهای ضدماهواره تنها میتوان تعداد اندکی از ماهوارههای استارلینک را هدف قرار داد و این موضوع تهدید چندانی علیه شبکه بزرگ ماهوارههای ارزان قیمت این شرکت نخواهد بود، دانشمندان چینی رو به راهحلی چون استفاده از سلاح هستهای ضدماهواره آوردهاند./ خبرآنلاین