محققان واحد امنیت سایبری ویتنامی GTSC گزارش دادند که یک روزصفر به شدت مورد سوء استفاده قرار گرفته است در Microsoft Exchange که به مهاجم اجازه می دهد RCE را انجام دهد. مهاجمان از ترکیب روزصفر برای استقرار پوسته های وب China Chopper بر روی سرورهای در معرض خطر برای ذخیره و سرقت داده ها و برای انتقال به سایر سیستم ها در شبکه های قربانیان استفاده می کنند. GTSC بر اساس صفحه کد پوسته وب، رمزگذاری کاراکتر مایکروسافت برای چینی ساده شده، مشکوک است که ART چینی پشت این حملات است. عامل کاربر مورد استفاده برای نصب پوسته های وب نیز با Antsword، یک ابزار مدیریت وب سایت منبع باز چینی با پشتیبانی از مدیریت پوسته وب مرتبط است. مایکروسافت هنوز هیچ اطلاعاتی در مورد این دو باگ مهم فاش نکرده است و هنوز CVE را به آنها اختصاص نداده است. محققان سه هفته پیش به عنوان بخشی از گزارش امنیتی GTSC، مایکروسافت را از آسیب‌پذیری‌ها مطلع کردند، جایی که باگ‌هایی به‌عنوان ZDI-CAN-18333 و ZDI-CAN-18802 با CVSS در نسخه‌های 8.8 و 6.3 ردیابی می‌شوند. ZDI اشکالات را تأیید کرده است، زیرا Trend Micro یک بولتن امنیتی صادر کرده و تشخیص روزصفر را به محصولات خود اضافه کرده است. GTSC هنوز جزئیات فنی 0-days جدید را منتشر نکرده است. با این حال، محققان دریافتند که پرس و جوهای مورد استفاده در این زنجیره بهره برداری مشابه موارد مورد استفاده در حملاتی است که آسیب پذیری های ProxyShell را هدف قرار می دهند. تا زمانی که مایکروسافت اصلاحاتی را برای رسیدگی به روزصفر منتشر نکند، دستورالعمل‌های کاهش GTSC باید رعایت شود. منابع پیشنهاد می کنند با استفاده از ماژول URL Rewrite Rule یک قانون سرور جدید IIS اضافه کنید. در Autodiscover در FrontEnd، باید تب URL Rewrite، سپس Request Blocking را انتخاب کنید، سپس رشته ".*autodiscover\.json.*\@.*Powershell.*" را به مسیر URL اضافه کنید. هنگام وارد کردن یک شرط، {REQUEST_URI} را انتخاب کنید. برای آزمایش خطر احتمالی سرورهای Exchange با استفاده از روزصفر شناسایی شده، مدیران باید دستور PowerShell زیر را اجرا کنند تا فایل‌های گزارش IIS را برای یافتن شاخص‌های در معرض خطر اسکن کنند: Get-ChildItem -Recurse -Path<Path_IIS_Logs> -فیلتر "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

💩 موسس Acronis از جاروبرقی خودش می ترسد

بلوسوف در توضیح صحبت های خود گفت: "شما باید از جاروبرقی خود بترسید، زیرا به احتمال زیاد ساخت چین است." اینترنت، دارای دوربین، میکروفون و نقشه آپارتمان. - معلوم می شود که جاروبرقی تمام این داده ها را ظاهراً به نفع کاربر جمع آوری می کند، اما هیچ راهی برای فهمیدن اینکه چه کسی و چگونه دقیقاً از تمام اطلاعات جمع آوری شده استفاده می شود وجود ندارد. - به گفته بلوسف، مردم به طور کلی به اندازه کافی از امنیت و حریم خصوصی خود آگاه نیستند، به خصوص در مورد گسترش سریع دستگاه های هوشمند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

جبلی: خرابکاری اخیر در حوزه‌های فناوری سازمان رخ داد

رئیس سازمان صدا و سیما:
🔹 اتفاقی که اخیرا افتاد از ابعاد مختلف در حال بررسی است چون یک نگاه تخصصی باید بر این بررسی‌ها حاکم باشد.

🔹این اتفاق در حوزه های فناوری سازمان رخ داده و حتما باید با اِشراف و تسلط دقیق فناورانه به این موضوع نگاه و آن را بررسی کرد.

🔹بررسی‌های امنیتی و تکنولوژیک در حال انجام است و بعد از مشخص شدن نتیجه، متناسب با آن تصمیمات لازم را خواهیم گرفت.
tn.ai/2786814

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب‌پذیری مهم RCE در Zimbra Collaboration Suite، یک سرویس‌گیرنده وب و سرور پستی پرکاربرد، تحت بهره‌برداری فعال است.

با این حال، هیچ راه حلی برای حل این مشکل وجود ندارد. 0-day به عنوان CVE-2022-41352 ردیابی می شود و دارای رتبه بندی CVSS 9.8 است. این باگ مربوط به روش (cpio) است و به مهاجمان اجازه می‌دهد تا فایل‌های دلخواه را از طریق Amavis (یک سیستم امنیتی ایمیل) فایل‌های دلخواه آپلود کنند و اقدامات مخربی را روی نصب‌های آسیب‌پذیر انجام دهند. @ics_cert همچنین اشاره کرد که CVE-2022-41352 تقریباً با CVE-2022-30333 یکسان است، یک آسیب‌پذیری پیمایش مسیر در نسخه یونیکس ابزار RARlab unRAR که اوایل ژوئن سال جاری کشف شد. مؤلفه cpio دارای نقصی است که به مهاجم اجازه می دهد آرشیوهایی ایجاد کند که می توانند در هر نقطه از یک سیستم فایل قابل دسترسی زیمبرا استخراج شوند. هنگامی که یک ایمیل به سرور زیمبرا ارسال می شود، سیستم امنیتی Amavis آرشیو را استخراج می کند تا محتویات آن را برای ویروس ها بررسی کند. با این حال، اگر آرشیو cpio.، tar.، یا rpm. را که خاص ساخته شده است استخراج کند، محتویات را می توان در ریشه وب Zimbra استخراج کرد.
بهره برداری موفقیت آمیز از آسیب پذیری به مهاجم این امکان را می دهد که دایرکتوری ریشه Zimbra را بازنویسی کند، کد پوسته را تزریق کند و به حساب های کاربری دیگر دسترسی پیدا کند. با توجه به پست‌های موجود در انجمن زیمبرا، از ابتدای سپتامبر 2022 از این آسیب‌پذیری سوء استفاده شده است. سپس Zimbra یک توصیه امنیتی در 14 سپتامبر صادر کرد و به مدیران سیستم هشدار داد که Pax، یک ابزار بایگانی قابل حمل را نصب کنند و سرورهای خود را برای جایگزینی cpio مجددا راه اندازی کنند. آسیب‌پذیری موجود در نسخه‌های 8.8.15 و 9.0 نرم‌افزار، بر چندین توزیع لینوکس مانند Oracle Linux 8، Red Hat Enterprise Linux 8، Rocky Linux 8 و CentOS 8 تأثیر می‌گذارد، به استثنای Ubuntu به دلیل این واقعیت که این بسته قبلاً به طور پیش فرض روی نصب شده است. 0-day به عنوان CVE-2022-41352 ردیابی می شود و به جز اوبونتو به دلیل اینکه pax قبلاً به طور پیش فرض نصب شده است. زیمبرا گفت انتظار دارد این آسیب‌پذیری در وصله نرم‌افزاری بعدی برطرف شود، که cpio را حذف می‌کند و pax را به یک جزء ضروری تبدیل می‌کند. با این حال، توسعه دهنده جدول زمانی مشخصی برای رفع مشکل ارائه نکرده است. حتی نگران‌کننده‌تر این است که گفته می‌شود Zimbra در برابر افزایش امتیاز 0 روزه دیگری که می‌تواند با بسته cpio برای دستیابی به نفوذ کامل از راه دور سرورها استفاده شود، آسیب‌پذیرتر است. گزارش جدید Rapid7 جزئیات فنی را روشن می کند و شامل یک PoC است که به مهاجمان اجازه می دهد به راحتی آرشیوهای مخرب ایجاد کنند. مدیران باید برای محافظت از ZCS خود اقدام فوری انجام دهند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨هشدار
شرکت Fortinet به طور خصوصی به مشتریان در مورد آسیب پذیری امنیتی که فایروال های FortiGate و وب پروکسی FortiProxy را تحت تاثیر قرار می دهد هشدار داده است. آسیب‌پذیری بحرانی
CVE-2022-40684 دارای امتیاز CVSS 9.6 است و مربوط به یک آسیب‌پذیری بای پس احراز هویت است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا با استفاده از درخواست‌های HTTP یا HTTPS دستکاری شده خاص، عملیات دلخواه را در رابط اداری انجام دهد. این اشکال بر نسخه‌های زیر FortiOS از 7.0.0 تا 7.0.6 و 7.2.0 تا 7.2.1، FortiProxy از 7.0.0 تا 7.0.6 و 7.2.0 تأثیر می‌گذارد.
شرکت Fortinet افشای عمومی آسیب‌پذیری و جزئیات حملاتی که از آن استفاده می‌کنند را تا زمانی که مشتریانش وصله‌ها را اعمال کنند، به تعویق می‌اندازد. این مشکل در FortiOS 7.0.7 و 7.2.2 و FortiProxy 7.0.7 و 7.2.1 برطرف شده است. با توجه به پتانسیل برای بهره برداری از راه دور از این مشکل و در دسترس بودن بیش از 100000 فایروال FortiGate در شبکه بر اساس جستجوی Shodan، Fortinet قویاً توصیه می کند که همه مشتریان دارای نسخه های آسیب دیده فوراً آن را ارتقا دهند. به‌عنوان یک راه‌حل موقت، فورتی‌نت توصیه می‌کند که کاربران مدیریت HTTPS روی وب را تا زمانی که به‌روزرسانی‌ها نصب نشده‌اند غیرفعال کنند، یا آدرس‌های IP را که می‌توانند از طریق خط‌مشی محلی به رابط اداری دسترسی داشته باشند، محدود کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

در این مقاله، آزمایشگاه کسپرسکی 10 کمپین مرموز APT را که بدون ذکر منبع باقی مانده اند، افشا می کند.

1. پروژه تاج محل. یک چارچوب پیچیده جاسوسی که از دو بسته مختلف توکیو و یوکوهاما تشکیل شده است. این می تواند داده های مختلف را با استفاده از بیش از 80 ماژول مختلف بدزدد. تاج محل حداقل 5 سال قبل از اینکه در یک حمله به یک سازمان دیپلماتیک کشف شود مورد استفاده قرار گرفت.
2. DarkUniverse یکی دیگر از چارچوب های APT است که از سال 2009 تا 2017 در حملات به 20 سازمان غیر نظامی و نظامی در کشورهای مختلف مورد استفاده قرار گرفت. از طریق فیشینگ پخش می شود و از چندین ماژول برای جاسوسی تشکیل شده است.
3. پازل ساز. در آوریل 2021، محققان چندین حمله هدفمند را بر اساس زنجیره پیچیده ای از سوء استفاده های 0 روزه کشف کردند. CVE-2021-21224 در Google Chrome برای نفوذ به سیستم در ارتباط با CVE-2021-31955 و CVE-2021-31956 استفاده شد. پس از بهره برداری موفقیت آمیز، بسته مخرب PuzzleMaker که مخصوص هر مورد طراحی شده بود، معرفی شد.
4. ProjectSauron برای اولین بار در سال 2015 کشف شد. این یک پلت فرم APT پیچیده است که برای حمله به سازمان ها در روسیه، ایران، رواندا استفاده می شود. در حملات از ایمپلنت های اولیه منحصر به فرد استفاده می شود. گروه پشتیبان ProjectSauron زیرساخت پیچیده C2 را با طیف گسترده ای از ISP ها در ایالات متحده و اروپا اداره می کند. مهاجمان به احتمال زیاد از تجربه سایر کمپین های APT مانند Duqu، Flame، Equation و Regin استفاده کردند.
5.دزد USB. در سال 2016، ESET یک تروجان USB با مکانیزم هوشمندانه محافظت از خود را کشف کرد. این بدافزار از شش فایل تشکیل شده بود که دو تای آن ها فایل های پیکربندی و چهار فایل باقی مانده قابل اجرا بودند. آنها فقط با یک ترتیب معین راه اندازی می شدند و برخی با استفاده از الگوریتم AES-128 رمزگذاری شدند. کلید رمزگذاری با استفاده از شناسه منحصربه‌فرد دستگاه USB و ویژگی‌های درایو خاص ایجاد شد. این سه فایل اجرایی لودر هستند که هر کدام فایل مرحله بعدی را در حافظه بارگذاری می کنند. داده های دزدیده شده که همیشه در درایو USB آلوده آپلود می شوند. ممکن است با گروه Lamberts APT مرتبط باشد.
6. TENSHO (تور سفید). در اوایل سال 2021، هنگام جستجوی صفحات فیشینگ، محققان PwC با صفحه‌ای مواجه شدند که برای سرقت حساب‌های وزارت دفاع صربستان مورد استفاده قرار می‌گرفت. این توسط گروه ناشناخته قبلی TENSHO یا White Tur ایجاد شده است. این گروه از سال 2017 فعال بوده و از انواع روش ها و ابزارهای منحصر به فرد از جمله OpenHardwareMonitor استفاده می کند که بدافزار TENSHO را در قالب یک اسکریپت PowerShell یا فایل اجرایی ویندوز ارائه می دهد.
7.PlexingEagle. در کنفرانس HITBSec 2017 در آمستردام، Emmanuel Gadaix در مورد کشف مجموعه بسیار جالبی از ابزارهای جاسوسی سایبری در شبکه های GSM صحبت کرد.
8. سین سونو. در ماه مه 2021، شرکت مخابراتی Syniverse دسترسی غیرمجاز به سیستم‌های IT خود را کشف کرد. تحقیقات داخلی نشان داد که این بازیگر برای اولین بار در سال 2016 به زیرساخت نفوذ کرده است. در طی پنج سال، در حالی که ناشناخته ماند، از پایگاه داده های داخلی استفاده کرد و توانست اعتبار ورود به سیستم EDT را از 235 مشتری شرکت بدزدد. با استفاده از آنها، مهاجمان می توانند به اطلاعات محرمانه مشترکین، از جمله سوابق تماس و پیامک دسترسی پیدا کنند.
9. MagicScroll یک چارچوب بدافزار پیچیده است که اولین بار در سال 2019 توسط Palo Alto کشف شد. این بدافزار چند مرحله ای است. تنها قربانی (از روسیه) در سال 2017 مورد حمله قرار گرفت. مکانیسم عفونت اولیه ناشناخته است. مرحله اول بوت لودر است که به عنوان یک ارائه دهنده پشتیبانی امنیتی ایجاد شده است. هدف اصلی آن ارائه یک ماژول مرحله بعدی است که در رجیستری قرار دارد و از یک آسیب پذیری VirtualBox برای بارگذاری یک درایور مخرب در حالت هسته سوء استفاده می کند.
10. Metador اولین بار توسط SentinelLabs در سپتامبر 2022 توصیف شد. به ارائه دهندگان و دانشگاه ها در خاورمیانه و آفریقا حمله می کند. Metador از دو پلتفرم مخرب استفاده می کند: metaMain و Mafalda که منحصراً در حافظه مستقر می شوند و داده ها را با سایر ایمپلنت های ناشناخته به اشتراک می گذارند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.

زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیب‌پذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم می‌کند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیب‌پذیری‌های مهم و جدی RCE که دستگاه‌های Logo 8 BM را تحت تأثیر قرار می‌دهند، اصلاحاتی نیز در دسترس نیست.
آسیب‌پذیری‌های دستگاه‌های Sicam P850 و P855 نیز بحرانی ارزیابی شده‌اند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانل‌های Simatic HMI، مدیریت لبه‌های صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شده‌اند.

اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصله‌ها و کاهش‌دهنده‌ها برای همه آسیب‌پذیری‌ها در دسترس هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.

زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیب‌پذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم می‌کند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیب‌پذیری‌های مهم و جدی RCE که دستگاه‌های Logo 8 BM را تحت تأثیر قرار می‌دهند، اصلاحاتی نیز در دسترس نیست.
آسیب‌پذیری‌های دستگاه‌های Sicam P850 و P855 نیز بحرانی ارزیابی شده‌اند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانل‌های Simatic HMI، مدیریت لبه‌های صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شده‌اند.

اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصله‌ها و کاهش‌دهنده‌ها برای همه آسیب‌پذیری‌ها در دسترس هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شرکت Cisco Talos اخیراً 9 آسیب پذیری را در روتر سلولی صنعتی Robustel R1510 کشف کرده است که برخی از آنها می تواند منجر به RCE و DoS شود.

Robustel R1510 یک روتر بی سیم دو پورت اترنت است که سیگنال های نسل ۳ و نسل ۴ بی سیم را برای کاربردهای صنعتی و IoT به اشتراک می گذارد.
این شامل استفاده از تونل VPN باز، یک پلت فرم مدیریت مبتنی بر ابر برای سایر دستگاه ها و روترها و راه حل های امنیتی مختلف است.

محققان خاطرنشان کردند که پنج آسیب‌پذیری RCE را می‌توان با ارسال یک درخواست شبکه ساخته شده ویژه به دستگاه مورد نظر فعال کرد: TALOS-2022-1578 (CVE-2022-34850)، TALOS-2022-1577 (CVE-2022-33150)، TALOS- 2022-1576 (CVE-2022-32765)، TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) و TALOS-2022-1572 (CVE-2022-333312 - CVE-2022-333312 - CVE-2022-33325). همه دارای نمره شدت CVSS 9.1 از 10 هستند. دو TALOS-2022-1580 دیگر (CVE-2022-34845) و TALOS-2022-1570 (CVE-2022-32585) نیز می توانند منجر به RCE شوند، اما کمتر مدیر یک مهاجم همچنین می‌تواند یک درخواست شبکه ساخته شده ویژه برای فعال کردن TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) ارسال کند و باعث انکار سرویس در عملکرد hashFirst سرور وب دستگاه شود. آسیب‌پذیری TALOS-2022-1571 (CVE-2022-28127) در وب سرور دستگاه وجود دارد، اما در عوض می‌تواند برای حذف فایل‌های دلخواه حتی در صورت وجود بررسی پیمایش مسیر استفاده شود. Cisco Talos با Robustel کار کرد تا راه حلی برای مشکلات شناسایی شده و به روز رسانی برای مشتریان آسیب دیده ارائه دهد.

به کاربران توصیه می شود محصولات آسیب دیده Robustel R1510 را در اسرع وقت به آخرین نسخه 3.3.0 و 3.1.16 به روز کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بزرگترین شرکت انرژی هند تاتا پاور تایید کرد که مورد حمله سایبری قرار گرفته است
به گفته منابع، این حمله زیرساخت‌های فناوری اطلاعات شرکت را تحت تأثیر قرار داده و تعدادی از سیستم‌های اطلاعاتی را از بین برده است.
این شرکت با بیان اینکه در حال حاضر تمام اقدامات لازم برای بازسازی ماشین آلات آسیب دیده انجام شده است، افزود: تمام سیستم های اطلاعات حیاتی در حال کار هستند. همچنین به منظور جلوگیری از دسترسی های غیرمجاز، برای احتیاط، دسترسی محدود و بررسی های پیشگیرانه برای کارکنان و مشتریان در هنگام تعامل با پورتال ها در نظر گرفته شد.
شرکت برق مستقر در بمبئی، بخشی از گروه گروه تاتا، جزئیات بیشتری در مورد ماهیت حمله یا زمان وقوع آن منتشر نکرد. با این حال، شرکت امنیت سایبری Recorded Future در ماه آوریل حملاتی را علیه سازمان‌های شبکه انرژی هند توسط مهاجمان مرتبط با چین گزارش کرد. این حملات به یک عامل تهدید جدید نسبت داده شد که Recorded Future را به عنوان گروه فعالیت تهدید 38 (TAG-38) دنبال می‌کند. چین البته اتهامات مربوط به دست داشتن در این حملات را رد کرد. با این حال، یک رئیس ارشد بخش سایبری پلیس ماهاراشترا گفت که اطلاعات اطلاعاتی در مورد تهدید تاتا پاور و سایر شرکت های برق دریافت کرده است. به گفته وی، به تمامی شرکت های ذینفع اخطار داده شده و در حال حاضر ممیزی و راستی آزمایی مناسب امنیت اطلاعات در حال انجام است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اولین زنان متخصص کامپیوتر در ایران سال ۱۳۵۲
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴 هک اطلاعات سازمان انرژی اتمی تایید شد

سازمان انرژی اتمی ایران روز یکشنبه اول آبان (۲۳ اکتبر) با انتشار بیانیه‌ای "نفوذ به سرور پست الکترونیک یکی از شرکت‌های تابعه" خود را تایید کرد.

در بیانیه سازمان انرژی اتمی، محتوای موجود در ایمیل‌های کاربران "حاوی پیام‌های فنی و تبادلات معمول و جاری روزمره" اعلام و افزوده شده است: «بدیهی است هدف از انجام این‌گونه تلاش‌های غیرقانونی که از روی استیصال انجام می‌شود، به منظور جلب توجه عموم، فضاسازی‌های رسانه‌ای و عملیات روانی بوده و فاقد هرگونه ارزش دیگری است.»

انتشار این بیانیه پس از آن صورت گرفت که گروه هکری "بلک ریوارد" (جایزه سیاه) روز شنبه و در پایان التیماتوم ۲۴ ساعته خود، با انتشار پیامی در پیام‌رسان تلگرام، ۵۰ گیگابایت اسناد هک شده شرکت توسعه انرژی اتمی ایران را منتشر کرد.

منبع: @dw_farsi

🔻 حمله هسته ای به جو زمین راهکار چینی علیه اینترنت استارلینک آمریکایی

▫️سلاحی به ارتش چین این توانایی را می‌دهد که ماهواره‌های استارلینک در مدار لئو را هدف قرار دهد. چین مدت‌هاست که نگرانی‌های خود را درباره استارلینک و اینترنت ماهواره‌ای بیان کرده است.
▫️در ماه مه نشریه رسمی ارتش چین با ابراز نگرانی درباره ماهواره‌های استارلینک و اینکه قرار است تعدادشان به ۴۲ هزار عدد برسد، اعلام کرده بود که این فناوری به ارتش آمریکا در فضا دست برتر را خواهد داد.
▫️از آنجا که با سلاح‌های متعارف همچون موشک‌های ضدماهواره تنها می‌توان تعداد اندکی از ماهواره‌های استارلینک را هدف قرار داد و این موضوع تهدید چندانی علیه شبکه بزرگ ماهواره‌های ارزان قیمت این شرکت نخواهد بود، دانشمندان چینی رو به راه‌حلی چون استفاده از سلاح هسته‌ای ضدماهواره آورده‌اند./ خبرآنلاین

استفاده از 0-day در ویندوز به مهاجمان اجازه می دهد تا از فایل های آفلاین مخرب امضا شده با Authenticode و اصلاح شده برای دور زدن هشدارهای امنیتی Mark-of-the-Web استفاده کنند.

قابلیت های جدید در حال حاضر در حملات باج افزار استفاده می شود. ویندوز دارای یک ویژگی امنیتی به نام Mark-of-the-Web (MoTW) است که یک فایل را به عنوان دانلود شده از اینترنت مشخص می کند. MoTW به عنوان یک جریان داده جایگزین ویژه به نام Zone.Identifier به فایل آپلود شده یا پیوست ایمیل اضافه می شود که شامل منطقه امنیتی URL، ارجاع دهنده و URL فایل است.
اخیراً، تیم اطلاعاتی تهدید HP دریافته است که مهاجمان با استفاده از فایل‌های جاوا اسکریپت توزیع شده به عنوان پیوست یا دانلود که می‌توانند خارج از مرورگر وب اجرا شوند، دستگاه‌های باج‌افزار Magniber را آلوده می‌کنند.
مگنیبر از امضای دیجیتالی با استفاده از بلوک امضای کدگذاری شده مبتنی بر خطی 64 استفاده کرد. با این حال، پس از تجزیه و تحلیل توسط Will Dormann از ANALYGENCE، مشخص شد که مهاجمان این فایل ها را با کلید اشتباه امضا کرده اند. در این حالت، فایل اجرایی امضا شده را می توان با استفاده از ویرایشگر هگز تغییر داد تا برخی از بایت ها را در قسمت امضای فایل تغییر داده و در نتیجه امضا را خراب کند. با این امضا، علیرغم اینکه فایل JS از اینترنت دانلود شده و پرچم MoTW را دریافت کرده است، مایکروسافت اخطار امنیتی نمایش نمی دهد و اسکریپت نصب Magniber به صورت خودکار اجرا می شود. Dormann استفاده از این امضای مخدوش را در فایل‌های جاوا اسکریپت آزمایش کرد و توانست فایل‌های جاوا اسکریپت اثبات مفهومی را تولید کند که هشدار MoTW را نیز دور می‌زند. درست است، به نظر او، این خطا برای اولین بار با انتشار ویندوز 10 ظاهر شد، زیرا یک دستگاه ویندوز 8.1 کاملاً اصلاح شده هشدار امنیتی MoTW را همانطور که انتظار می رفت نمایش می دهد. این مشکل به ویژگی جدید SmartScreen در Win10 مربوط می‌شود، و غیرفعال کردن آن باعث می‌شود که وقتی نکات MotW هنوز با امضاهای Authenticode ارتباطی نداشته باشد، ویندوز را به رفتار منسوخ برمی‌گرداند. دورمن PoC را با مایکروسافت به اشتراک گذاشت. توسعه دهنده گفت که آنها از مشکل کشف شده آگاه هستند - در حال بررسی است. به هر حال، 0-day یک نگرانی جدی است، زیرا مهاجمان در حال حاضر به طور فعال از آن در حملات باج افزار استفاده می کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

سیسکو به مشتریان خود در مورد دو آسیب پذیری در موتور خدمات هویت، از جمله یک مشکل با شدت بالا، هشدار داده است.

Davide Virruso، محقق Yoroi، کشف کرده است که رابط مدیریت وب Identity Services Engine در برابر آسیب‌پذیری دسترسی به فایل آسیب‌پذیر است.
این مشکل به عنوان CVE-2022-20822 پیگیری می شود.
یک مهاجم می تواند با ارسال یک درخواست HTTP دستکاری شده حاوی توالی کاراکترهای خاص به سیستم آسیب دیده از این آسیب پذیری سوء استفاده کند.
یک اکسپلویت موفق می تواند به یک مهاجم از راه دور احراز هویت شده اجازه دهد تا فایل ها را در دستگاه های آسیب دیده بخواند و حذف کند. سیسکو روی به‌روزرسانی‌های نرم‌افزاری کار می‌کند که باید حفره امنیتی را برطرف کند - انتظار می‌رود وصله‌ها در نوامبر 2022 و ژانویه 2023 در دسترس قرار گیرند، با این حال ممکن است در صورت درخواست، اصلاحات داغ در دسترس باشد. Virruso همچنین یک آسیب‌پذیری بین سایتی اسکریپت (XSS) را در API موتور خدمات هویتی خدمات خارجی RESTful Services (ERS) کشف کرد. این آسیب‌پذیری می‌تواند برای اجرای کد اسکریپت دلخواه با مجبور کردن کاربر احراز هویت شده برای کلیک کردن روی یک پیوند ساخته‌شده خاص مورد سوء استفاده قرار گیرد. در یک نسخه رفع شده است و ممکن است در صورت درخواست برای نسخه‌های دیگر، رفع‌های داغ در دسترس باشد. سیسکو در بولتن‌های مربوط به این آسیب‌پذیری‌ها اشاره کرد که از حملات مخرب آگاه نبود، اما اعلام کرد که PoC پس از انتشار اصلاحات نرم‌افزاری در دسترس خواهد بود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Zscaler ThreatLabz بدافزار جدید WarHawk را کشف کرده‌اند که توسط گروه تهدید SideWinder در کمپین‌هایی که زیرساخت‌های حیاتی پاکستان را هدف قرار می‌دهند، استفاده می‌شود.

SideWinder که با نام‌های Rattlesnake، T-APT4، APT-C-17 و Razor Tiger نیز شناخته می‌شود و حداقل از سال 2012 فعال بوده است. این گروه با تعدادی از حملات به سازمان ها در سراسر آسیا و همچنین حملات به تأسیسات نظامی پاکستان اعتبار دارد.
اولین نمونه بدافزار در سپتامبر 2022، پس از اینکه متخصصان فایل ISO "32-Advisory-No-32.iso" حاوی WarHawk را دریافت کردند و در وب سایت رسمی سازمان تنظیم مقررات ملی برق پاکستان پست شد، ثبت شد.

درب پشتی شامل ماژول های مختلفی از جمله TTP های جدید است: KernelCallBackTable Injection و توانایی بررسی منطقه زمانی پاکستان. علاوه بر این، KernelCallBackTable قبلاً به طور فعال توسط APT FinFisher و Lazarus استفاده می شد. WarHawk از چهار ماژول تشکیل شده است: Download & Execute، Command Execution، File Manager InfoExfil و UploadFromC2. از طریق Download & Execute، به backdoor دستور داده می‌شود که Cobalt Strike را به‌عنوان محموله نهایی دانلود کند.
در این حملات، هکرها از فایل های ISO، کامل با یک فایل LNK، و یک فایل پی دی اف فریبنده استفاده می کنند که یک کپی از "توصیه ها" (با درب پشتی) در مورد امنیت سایبری صادر شده توسط کابینه پاکستان را نمایش می دهد.
اگرچه ART همچنین مظنون به داشتن ارتباط با ایالت هند است، گزارش ماه می توسط آزمایشگاه کسپرسکی به ناپدید شدن ویژگی‌های شناسایی اشاره کرد که قبلاً برای نسبت دادن دسته‌ای از تهدیدات به یک کشور خاص استفاده می‌شدند. محققان متوجه افزایش فعالیت SideWinder شده‌اند: تنها از آوریل 2020، هکرها بیش از 1000 حمله انجام داده‌اند. در عین حال، نه تنها فرکانس آنها قابل توجه است، بلکه زرادخانه قابل توجهی از اجزای مورد استفاده نیز وجود دارد. به عنوان مثال، در ژوئن 2022، یک مهاجم از یک اسکریپت AntiBot استفاده کرد که برای فیلتر کردن قربانیان طراحی شده بود و محیط مرورگر مشتری، به ویژه آدرس IP را بررسی کرد تا مطمئن شود هدف در پاکستان است.
در میان چیزهای دیگر، WarHawk به عنوان برنامه‌های کاربردی قانونی مانند ASUS Update Setup و Realtek HD Audio Manager ظاهر می‌شود تا هرچه بیشتر قربانیان را فریب دهد. به گفته Zscaler، پیوندهای کمپین اخیر به APT SideWinder در درجه اول به دلیل استفاده مجدد از زیرساخت است که توسط کارشناسان در حملات جاسوسی قبلی علیه پاکستان مشاهده شده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

30 cybersecurity search engines for researchers:

1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayhatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

30 cybersecurity search engines for researchers:

1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayhatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

کاستی های جدی سیستم عامل Juniper Junos بر دستگاه های شبکه شرکتی تأثیر می گذارد. محققان Octagon Networks آسیب‌پذیری‌های زیادی را در دستگاه‌های Juniper Networks کشف کرده‌اند که برخی از آنها می‌توانند برای RCE مورد سوء استفاده قرار گیرند. مهم‌ترین آنها آسیب‌پذیری از پیش تأیید شده بایگانی PHP (CVE-2022-22241، امتیاز CVSS: 8.1) در مؤلفه J-Web سیستم عامل Junos است. این خطا می‌تواند توسط یک مهاجم از راه دور تأیید نشده برای بی‌ثبت کردن فایل‌های phar از راه دور مورد سوء استفاده قرار گیرد که منجر به نوشتن فایل دلخواه و اجرای کد از راه دور می‌شود. سایر مشکلات عبارتند از: - CVE-2022-22242 (امتیاز CVSS: 6.1) - XSS از پیش تأیید شده که در صفحه خطا منعکس شده است ("error.php") که به مهاجم از راه دور اجازه می دهد تا یک جلسه مدیر سیستم عامل Junos را ربوده و با سایر نقاط ضعف مرتبط باشد که نیاز به احراز هویت دارد. . - CVE-2022-22243 (امتیاز CVSS: 4.3) و CVE-2022-22244 (امتیاز CVSS: 5.3) دو آسیب پذیری تزریق XPATH هستند که می توانند توسط یک مهاجم از راه دور تأیید شده برای سرقت و دستکاری جلسات مدیر سیستم عامل Junos استفاده شوند. - CVE-2022-22245 (امتیاز CVSS: 4.3) - آسیب‌پذیری پیمایش مسیر که به مهاجم از راه دور تأیید شده اجازه می‌دهد فایل‌های PHP را در هر مکان دلخواه آپلود کند، مشابه آسیب‌پذیری RARlab UnRAR که اخیراً کشف شده است (CVE-2-2-332 - CVE-2-2032) 22246 (امتیاز CVSS: 7.5) یک آسیب پذیری درج فایل محلی است که می تواند برای اجرای کدهای PHP نامعتبر استفاده شود. CVE-2022-22246 به مهاجم اجازه می دهد تا هر فایل PHP ذخیره شده در سرور را شامل شود، که همراه با یک آسیب پذیری آپلود فایل می تواند منجر به RCE شود. به کاربران فایروال‌ها، روترها و سوئیچ‌های Juniper Networks توصیه می‌شود که آخرین وصله نرم‌افزاری موجود برای Junos OS را نصب کنند. مشکلات در نسخه‌های 19.1R3-S9، 19.2R3-S6، 19.3R3-S7، 19.4R3-S9، 20.1R3-S5، 20.2R3-S5، 20.3R3-S5، 20.3R3-S5، 20.3R3-S5، 20.3R3-S1، 20.1R3-S9، 20.1R3-S5، 20.2R3-S5، 20.3R3-S5، 19.2R3-S9، 19.2R3-S6، 19.3R3-S7، مشکلات سیستم عامل Junos رفع شده است. R3-S2، 21.3R3، 21.4R3، 22.1R2، 22.2R1 و بالاتر.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti