زیمنس و اشنایدر الکتریک در مجموع 19 توصیه امنیتی را به عنوان بخشی از وصله سه شنبه اکتبر صادر کردند که 36 آسیب پذیری را در محصولات ICS بستند.

زیمنس 15 بولتن منتشر کرده است که ۱۲ باگ را می بندد. مهمترین آنها CVE-2022-38465 است که به دلیل محافظت ضعیف کلید رمزنگاری جهانی است که در پست قبلی گزارش دادیم.
زیمنس مشتریان را از آسیب‌پذیری احراز هویت حیاتی در Desigo CC و Cerberus DMS آگاه کرده است که امکان جعل هویت سایر کاربران یا استفاده از پروتکل سرویس گیرنده-سرور بدون احراز هویت را فراهم می‌کند.
علیرغم این واقعیت که وصله ها برای آن در دسترس نیستند، سازنده اقداماتی را برای حذف آنها ایجاد کرده است.
شایان ذکر است که برای آسیب‌پذیری‌های مهم و جدی RCE که دستگاه‌های Logo 8 BM را تحت تأثیر قرار می‌دهند، اصلاحاتی نیز در دسترس نیست.
آسیب‌پذیری‌های دستگاه‌های Sicam P850 و P855 نیز بحرانی ارزیابی شده‌اند. این به مهاجم احراز هویت شده اجازه می دهد تا کد دلخواه را اجرا کند یا شرایط DoS ایجاد کند. علاوه بر این، مشکلات XSS، جعل، افزایش امتیاز و DoS در Desigo PXMScalance و Ruggedcom، محصولات مبتنی بر Nucleus RTOS، پانل‌های Simatic HMI، مدیریت لبه‌های صنعتی، Solid Edge، JTTK، و Simcenter Femap برطرف شده‌اند.

اشنایدر الکتریک چهار بولتن جدید منتشر کرده است که ده ها آسیب پذیری رفع شده را توصیف می کند. EcoStruxure Operator Terminal Expert و Pro-face BLUE دارای شش آسیب پذیری با شدت بالا هستند که می تواند منجر به RCE شود. با این حال، بهره برداری از این آسیب پذیری ها مستلزم حقوق کاربر محلی و دانلود فایل های مخرب است.
نرم افزار Schneider EcoStruxure Power Operation and Power SCADA Operation در برابر آسیب پذیری آسیب پذیر است که به مهاجم اجازه می دهد داده ها را مشاهده کند، تنظیمات را تغییر دهد یا با مجبور کردن کاربر به کلیک بر روی یک پیوند ساخته شده خاص باعث خرابی شود. EcoStruxure Panel Server Box در معرض مشکلات زیاد تا متوسطی است که می تواند برای نوشتن تصادفی مورد سوء استفاده قرار گیرد که می تواند منجر به RCE و DoS شود.
در نهایت، نرم افزار شخص ثالث ISaGRAF Workbench مورد استفاده در SAGE RTU در معرض سه اشکال با شدت متوسط است که می تواند منجر به RCE یا افزایش امتیاز شود. عملیات نیاز به تعامل کاربر دارد. وصله‌ها و کاهش‌دهنده‌ها برای همه آسیب‌پذیری‌ها در دسترس هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شرکت Cisco Talos اخیراً 9 آسیب پذیری را در روتر سلولی صنعتی Robustel R1510 کشف کرده است که برخی از آنها می تواند منجر به RCE و DoS شود.

Robustel R1510 یک روتر بی سیم دو پورت اترنت است که سیگنال های نسل ۳ و نسل ۴ بی سیم را برای کاربردهای صنعتی و IoT به اشتراک می گذارد.
این شامل استفاده از تونل VPN باز، یک پلت فرم مدیریت مبتنی بر ابر برای سایر دستگاه ها و روترها و راه حل های امنیتی مختلف است.

محققان خاطرنشان کردند که پنج آسیب‌پذیری RCE را می‌توان با ارسال یک درخواست شبکه ساخته شده ویژه به دستگاه مورد نظر فعال کرد: TALOS-2022-1578 (CVE-2022-34850)، TALOS-2022-1577 (CVE-2022-33150)، TALOS- 2022-1576 (CVE-2022-32765)، TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) و TALOS-2022-1572 (CVE-2022-333312 - CVE-2022-333312 - CVE-2022-33325). همه دارای نمره شدت CVSS 9.1 از 10 هستند. دو TALOS-2022-1580 دیگر (CVE-2022-34845) و TALOS-2022-1570 (CVE-2022-32585) نیز می توانند منجر به RCE شوند، اما کمتر مدیر یک مهاجم همچنین می‌تواند یک درخواست شبکه ساخته شده ویژه برای فعال کردن TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) ارسال کند و باعث انکار سرویس در عملکرد hashFirst سرور وب دستگاه شود. آسیب‌پذیری TALOS-2022-1571 (CVE-2022-28127) در وب سرور دستگاه وجود دارد، اما در عوض می‌تواند برای حذف فایل‌های دلخواه حتی در صورت وجود بررسی پیمایش مسیر استفاده شود. Cisco Talos با Robustel کار کرد تا راه حلی برای مشکلات شناسایی شده و به روز رسانی برای مشتریان آسیب دیده ارائه دهد.

به کاربران توصیه می شود محصولات آسیب دیده Robustel R1510 را در اسرع وقت به آخرین نسخه 3.3.0 و 3.1.16 به روز کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بزرگترین شرکت انرژی هند تاتا پاور تایید کرد که مورد حمله سایبری قرار گرفته است
به گفته منابع، این حمله زیرساخت‌های فناوری اطلاعات شرکت را تحت تأثیر قرار داده و تعدادی از سیستم‌های اطلاعاتی را از بین برده است.
این شرکت با بیان اینکه در حال حاضر تمام اقدامات لازم برای بازسازی ماشین آلات آسیب دیده انجام شده است، افزود: تمام سیستم های اطلاعات حیاتی در حال کار هستند. همچنین به منظور جلوگیری از دسترسی های غیرمجاز، برای احتیاط، دسترسی محدود و بررسی های پیشگیرانه برای کارکنان و مشتریان در هنگام تعامل با پورتال ها در نظر گرفته شد.
شرکت برق مستقر در بمبئی، بخشی از گروه گروه تاتا، جزئیات بیشتری در مورد ماهیت حمله یا زمان وقوع آن منتشر نکرد. با این حال، شرکت امنیت سایبری Recorded Future در ماه آوریل حملاتی را علیه سازمان‌های شبکه انرژی هند توسط مهاجمان مرتبط با چین گزارش کرد. این حملات به یک عامل تهدید جدید نسبت داده شد که Recorded Future را به عنوان گروه فعالیت تهدید 38 (TAG-38) دنبال می‌کند. چین البته اتهامات مربوط به دست داشتن در این حملات را رد کرد. با این حال، یک رئیس ارشد بخش سایبری پلیس ماهاراشترا گفت که اطلاعات اطلاعاتی در مورد تهدید تاتا پاور و سایر شرکت های برق دریافت کرده است. به گفته وی، به تمامی شرکت های ذینفع اخطار داده شده و در حال حاضر ممیزی و راستی آزمایی مناسب امنیت اطلاعات در حال انجام است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اولین زنان متخصص کامپیوتر در ایران سال ۱۳۵۲
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴 هک اطلاعات سازمان انرژی اتمی تایید شد

سازمان انرژی اتمی ایران روز یکشنبه اول آبان (۲۳ اکتبر) با انتشار بیانیه‌ای "نفوذ به سرور پست الکترونیک یکی از شرکت‌های تابعه" خود را تایید کرد.

در بیانیه سازمان انرژی اتمی، محتوای موجود در ایمیل‌های کاربران "حاوی پیام‌های فنی و تبادلات معمول و جاری روزمره" اعلام و افزوده شده است: «بدیهی است هدف از انجام این‌گونه تلاش‌های غیرقانونی که از روی استیصال انجام می‌شود، به منظور جلب توجه عموم، فضاسازی‌های رسانه‌ای و عملیات روانی بوده و فاقد هرگونه ارزش دیگری است.»

انتشار این بیانیه پس از آن صورت گرفت که گروه هکری "بلک ریوارد" (جایزه سیاه) روز شنبه و در پایان التیماتوم ۲۴ ساعته خود، با انتشار پیامی در پیام‌رسان تلگرام، ۵۰ گیگابایت اسناد هک شده شرکت توسعه انرژی اتمی ایران را منتشر کرد.

منبع: @dw_farsi

🔻 حمله هسته ای به جو زمین راهکار چینی علیه اینترنت استارلینک آمریکایی

▫️سلاحی به ارتش چین این توانایی را می‌دهد که ماهواره‌های استارلینک در مدار لئو را هدف قرار دهد. چین مدت‌هاست که نگرانی‌های خود را درباره استارلینک و اینترنت ماهواره‌ای بیان کرده است.
▫️در ماه مه نشریه رسمی ارتش چین با ابراز نگرانی درباره ماهواره‌های استارلینک و اینکه قرار است تعدادشان به ۴۲ هزار عدد برسد، اعلام کرده بود که این فناوری به ارتش آمریکا در فضا دست برتر را خواهد داد.
▫️از آنجا که با سلاح‌های متعارف همچون موشک‌های ضدماهواره تنها می‌توان تعداد اندکی از ماهواره‌های استارلینک را هدف قرار داد و این موضوع تهدید چندانی علیه شبکه بزرگ ماهواره‌های ارزان قیمت این شرکت نخواهد بود، دانشمندان چینی رو به راه‌حلی چون استفاده از سلاح هسته‌ای ضدماهواره آورده‌اند./ خبرآنلاین

استفاده از 0-day در ویندوز به مهاجمان اجازه می دهد تا از فایل های آفلاین مخرب امضا شده با Authenticode و اصلاح شده برای دور زدن هشدارهای امنیتی Mark-of-the-Web استفاده کنند.

قابلیت های جدید در حال حاضر در حملات باج افزار استفاده می شود. ویندوز دارای یک ویژگی امنیتی به نام Mark-of-the-Web (MoTW) است که یک فایل را به عنوان دانلود شده از اینترنت مشخص می کند. MoTW به عنوان یک جریان داده جایگزین ویژه به نام Zone.Identifier به فایل آپلود شده یا پیوست ایمیل اضافه می شود که شامل منطقه امنیتی URL، ارجاع دهنده و URL فایل است.
اخیراً، تیم اطلاعاتی تهدید HP دریافته است که مهاجمان با استفاده از فایل‌های جاوا اسکریپت توزیع شده به عنوان پیوست یا دانلود که می‌توانند خارج از مرورگر وب اجرا شوند، دستگاه‌های باج‌افزار Magniber را آلوده می‌کنند.
مگنیبر از امضای دیجیتالی با استفاده از بلوک امضای کدگذاری شده مبتنی بر خطی 64 استفاده کرد. با این حال، پس از تجزیه و تحلیل توسط Will Dormann از ANALYGENCE، مشخص شد که مهاجمان این فایل ها را با کلید اشتباه امضا کرده اند. در این حالت، فایل اجرایی امضا شده را می توان با استفاده از ویرایشگر هگز تغییر داد تا برخی از بایت ها را در قسمت امضای فایل تغییر داده و در نتیجه امضا را خراب کند. با این امضا، علیرغم اینکه فایل JS از اینترنت دانلود شده و پرچم MoTW را دریافت کرده است، مایکروسافت اخطار امنیتی نمایش نمی دهد و اسکریپت نصب Magniber به صورت خودکار اجرا می شود. Dormann استفاده از این امضای مخدوش را در فایل‌های جاوا اسکریپت آزمایش کرد و توانست فایل‌های جاوا اسکریپت اثبات مفهومی را تولید کند که هشدار MoTW را نیز دور می‌زند. درست است، به نظر او، این خطا برای اولین بار با انتشار ویندوز 10 ظاهر شد، زیرا یک دستگاه ویندوز 8.1 کاملاً اصلاح شده هشدار امنیتی MoTW را همانطور که انتظار می رفت نمایش می دهد. این مشکل به ویژگی جدید SmartScreen در Win10 مربوط می‌شود، و غیرفعال کردن آن باعث می‌شود که وقتی نکات MotW هنوز با امضاهای Authenticode ارتباطی نداشته باشد، ویندوز را به رفتار منسوخ برمی‌گرداند. دورمن PoC را با مایکروسافت به اشتراک گذاشت. توسعه دهنده گفت که آنها از مشکل کشف شده آگاه هستند - در حال بررسی است. به هر حال، 0-day یک نگرانی جدی است، زیرا مهاجمان در حال حاضر به طور فعال از آن در حملات باج افزار استفاده می کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

سیسکو به مشتریان خود در مورد دو آسیب پذیری در موتور خدمات هویت، از جمله یک مشکل با شدت بالا، هشدار داده است.

Davide Virruso، محقق Yoroi، کشف کرده است که رابط مدیریت وب Identity Services Engine در برابر آسیب‌پذیری دسترسی به فایل آسیب‌پذیر است.
این مشکل به عنوان CVE-2022-20822 پیگیری می شود.
یک مهاجم می تواند با ارسال یک درخواست HTTP دستکاری شده حاوی توالی کاراکترهای خاص به سیستم آسیب دیده از این آسیب پذیری سوء استفاده کند.
یک اکسپلویت موفق می تواند به یک مهاجم از راه دور احراز هویت شده اجازه دهد تا فایل ها را در دستگاه های آسیب دیده بخواند و حذف کند. سیسکو روی به‌روزرسانی‌های نرم‌افزاری کار می‌کند که باید حفره امنیتی را برطرف کند - انتظار می‌رود وصله‌ها در نوامبر 2022 و ژانویه 2023 در دسترس قرار گیرند، با این حال ممکن است در صورت درخواست، اصلاحات داغ در دسترس باشد. Virruso همچنین یک آسیب‌پذیری بین سایتی اسکریپت (XSS) را در API موتور خدمات هویتی خدمات خارجی RESTful Services (ERS) کشف کرد. این آسیب‌پذیری می‌تواند برای اجرای کد اسکریپت دلخواه با مجبور کردن کاربر احراز هویت شده برای کلیک کردن روی یک پیوند ساخته‌شده خاص مورد سوء استفاده قرار گیرد. در یک نسخه رفع شده است و ممکن است در صورت درخواست برای نسخه‌های دیگر، رفع‌های داغ در دسترس باشد. سیسکو در بولتن‌های مربوط به این آسیب‌پذیری‌ها اشاره کرد که از حملات مخرب آگاه نبود، اما اعلام کرد که PoC پس از انتشار اصلاحات نرم‌افزاری در دسترس خواهد بود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Zscaler ThreatLabz بدافزار جدید WarHawk را کشف کرده‌اند که توسط گروه تهدید SideWinder در کمپین‌هایی که زیرساخت‌های حیاتی پاکستان را هدف قرار می‌دهند، استفاده می‌شود.

SideWinder که با نام‌های Rattlesnake، T-APT4، APT-C-17 و Razor Tiger نیز شناخته می‌شود و حداقل از سال 2012 فعال بوده است. این گروه با تعدادی از حملات به سازمان ها در سراسر آسیا و همچنین حملات به تأسیسات نظامی پاکستان اعتبار دارد.
اولین نمونه بدافزار در سپتامبر 2022، پس از اینکه متخصصان فایل ISO "32-Advisory-No-32.iso" حاوی WarHawk را دریافت کردند و در وب سایت رسمی سازمان تنظیم مقررات ملی برق پاکستان پست شد، ثبت شد.

درب پشتی شامل ماژول های مختلفی از جمله TTP های جدید است: KernelCallBackTable Injection و توانایی بررسی منطقه زمانی پاکستان. علاوه بر این، KernelCallBackTable قبلاً به طور فعال توسط APT FinFisher و Lazarus استفاده می شد. WarHawk از چهار ماژول تشکیل شده است: Download & Execute، Command Execution، File Manager InfoExfil و UploadFromC2. از طریق Download & Execute، به backdoor دستور داده می‌شود که Cobalt Strike را به‌عنوان محموله نهایی دانلود کند.
در این حملات، هکرها از فایل های ISO، کامل با یک فایل LNK، و یک فایل پی دی اف فریبنده استفاده می کنند که یک کپی از "توصیه ها" (با درب پشتی) در مورد امنیت سایبری صادر شده توسط کابینه پاکستان را نمایش می دهد.
اگرچه ART همچنین مظنون به داشتن ارتباط با ایالت هند است، گزارش ماه می توسط آزمایشگاه کسپرسکی به ناپدید شدن ویژگی‌های شناسایی اشاره کرد که قبلاً برای نسبت دادن دسته‌ای از تهدیدات به یک کشور خاص استفاده می‌شدند. محققان متوجه افزایش فعالیت SideWinder شده‌اند: تنها از آوریل 2020، هکرها بیش از 1000 حمله انجام داده‌اند. در عین حال، نه تنها فرکانس آنها قابل توجه است، بلکه زرادخانه قابل توجهی از اجزای مورد استفاده نیز وجود دارد. به عنوان مثال، در ژوئن 2022، یک مهاجم از یک اسکریپت AntiBot استفاده کرد که برای فیلتر کردن قربانیان طراحی شده بود و محیط مرورگر مشتری، به ویژه آدرس IP را بررسی کرد تا مطمئن شود هدف در پاکستان است.
در میان چیزهای دیگر، WarHawk به عنوان برنامه‌های کاربردی قانونی مانند ASUS Update Setup و Realtek HD Audio Manager ظاهر می‌شود تا هرچه بیشتر قربانیان را فریب دهد. به گفته Zscaler، پیوندهای کمپین اخیر به APT SideWinder در درجه اول به دلیل استفاده مجدد از زیرساخت است که توسط کارشناسان در حملات جاسوسی قبلی علیه پاکستان مشاهده شده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

30 cybersecurity search engines for researchers:

1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayhatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

30 cybersecurity search engines for researchers:

1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayhatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه امنیت اتوماسیون ‌و کنترل صنعتی در تلگرام:
https://t.me/ICSCERT_IR

کاستی های جدی سیستم عامل Juniper Junos بر دستگاه های شبکه شرکتی تأثیر می گذارد. محققان Octagon Networks آسیب‌پذیری‌های زیادی را در دستگاه‌های Juniper Networks کشف کرده‌اند که برخی از آنها می‌توانند برای RCE مورد سوء استفاده قرار گیرند. مهم‌ترین آنها آسیب‌پذیری از پیش تأیید شده بایگانی PHP (CVE-2022-22241، امتیاز CVSS: 8.1) در مؤلفه J-Web سیستم عامل Junos است. این خطا می‌تواند توسط یک مهاجم از راه دور تأیید نشده برای بی‌ثبت کردن فایل‌های phar از راه دور مورد سوء استفاده قرار گیرد که منجر به نوشتن فایل دلخواه و اجرای کد از راه دور می‌شود. سایر مشکلات عبارتند از: - CVE-2022-22242 (امتیاز CVSS: 6.1) - XSS از پیش تأیید شده که در صفحه خطا منعکس شده است ("error.php") که به مهاجم از راه دور اجازه می دهد تا یک جلسه مدیر سیستم عامل Junos را ربوده و با سایر نقاط ضعف مرتبط باشد که نیاز به احراز هویت دارد. . - CVE-2022-22243 (امتیاز CVSS: 4.3) و CVE-2022-22244 (امتیاز CVSS: 5.3) دو آسیب پذیری تزریق XPATH هستند که می توانند توسط یک مهاجم از راه دور تأیید شده برای سرقت و دستکاری جلسات مدیر سیستم عامل Junos استفاده شوند. - CVE-2022-22245 (امتیاز CVSS: 4.3) - آسیب‌پذیری پیمایش مسیر که به مهاجم از راه دور تأیید شده اجازه می‌دهد فایل‌های PHP را در هر مکان دلخواه آپلود کند، مشابه آسیب‌پذیری RARlab UnRAR که اخیراً کشف شده است (CVE-2-2-332 - CVE-2-2032) 22246 (امتیاز CVSS: 7.5) یک آسیب پذیری درج فایل محلی است که می تواند برای اجرای کدهای PHP نامعتبر استفاده شود. CVE-2022-22246 به مهاجم اجازه می دهد تا هر فایل PHP ذخیره شده در سرور را شامل شود، که همراه با یک آسیب پذیری آپلود فایل می تواند منجر به RCE شود. به کاربران فایروال‌ها، روترها و سوئیچ‌های Juniper Networks توصیه می‌شود که آخرین وصله نرم‌افزاری موجود برای Junos OS را نصب کنند. مشکلات در نسخه‌های 19.1R3-S9، 19.2R3-S6، 19.3R3-S7، 19.4R3-S9، 20.1R3-S5، 20.2R3-S5، 20.3R3-S5، 20.3R3-S5، 20.3R3-S5، 20.3R3-S1، 20.1R3-S9، 20.1R3-S5، 20.2R3-S5، 20.3R3-S5، 19.2R3-S9، 19.2R3-S6، 19.3R3-S7، مشکلات سیستم عامل Junos رفع شده است. R3-S2، 21.3R3، 21.4R3، 22.1R2، 22.2R1 و بالاتر.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کسب و کار متالورژی توسط باج افزار ضربه خورد.
به ویژه، تولیدکننده مس آلمانی Aurubis و تولید کننده فلزات دقیق Asahi Holdings مورد حمله قرار گرفتند. Aurubis بزرگترین تولید کننده مس در اروپا و دومین تولید کننده مس در جهان است. این شرکت 6900 کارمند در سراسر جهان دارد و سالانه یک میلیون تن کاتد مس تولید می کند.
حمله سایبری به Aurubis منجر به خاموش شدن سیستم های IT شد.
این شرکت در بیانیه ای اعلام کرد که این امر بر تولید تاثیری ندارد. تاسیسات تولیدی و محیطی در کارخانه های ذوب به صورت عادی کار می کنند، در حالی که کالاهای ورودی و خروجی به صورت دستی انجام می شود.
این شرکت در حال حاضر هنوز در حال ارزیابی تاثیر این حمله سایبری است و از نزدیک با مقامات برای تسریع روند بازیابی همکاری می کند.
اولویت در حال حاضر حفظ حجم تولید در سطح نرمال و تامین بی وقفه مواد اولیه و تامین محصولات نهایی است.
تمام نشانه های حمله باج افزار در چهره است. تا کنون، Aurubis هیچ جزئیاتی ارائه نکرده است، اما اشاره کرده است که این حادثه بخشی از حمله بزرگتر به صنعت فولاد و معدن است.
این حادثه در Asahi Holdings که دارای امکانات تولیدی در ژاپن، ایالات متحده، مالزی و کره است، نه از سازنده، بلکه از باج افزار BlackByte شناخته شد. آنها ادعا می کنند که چندین گیگابایت اسناد از جمله گزارش های مالی و عملیاتی را به سرقت برده اند.
باند زورگیر برای اقدامات خود و بازگشت تاریخ، 500 هزار دلار و 600 هزار دلار دیگر برای حذف کامل آن می‌خواهند.
هنوز جزئیات فنی و نظری از سوی شرکت در مورد این وضعیت وجود ندارد، اما احتمالاً در آینده نزدیک ظاهر خواهند شد.
همانطور که می دانید، بلک بایت از سپتامبر 2021 فعالیت می کند و طبق بیانیه فوریه FBI، حداقل سه سازمان در بخش های زیرساختی حیاتی ایالات متحده قبلا هک شده اند.
علاوه بر این، چندی پیش نسخه جدیدی از نرم افزار BlackByte منتشر شد و خود گروه شروع به استفاده از روش های اخاذی قرض گرفته شده از LockBit کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کسب و کار متالورژی توسط باج افزار ضربه خورد.
به ویژه، تولیدکننده مس آلمانی Aurubis و تولید کننده فلزات دقیق Asahi Holdings مورد حمله قرار گرفتند. Aurubis بزرگترین تولید کننده مس در اروپا و دومین تولید کننده مس در جهان است. این شرکت 6900 کارمند در سراسر جهان دارد و سالانه یک میلیون تن کاتد مس تولید می کند.
حمله سایبری به Aurubis منجر به خاموش شدن سیستم های IT شد.
این شرکت در بیانیه ای اعلام کرد که این امر بر تولید تاثیری ندارد. تاسیسات تولیدی و محیطی در کارخانه های ذوب به صورت عادی کار می کنند، در حالی که کالاهای ورودی و خروجی به صورت دستی انجام می شود.
این شرکت در حال حاضر هنوز در حال ارزیابی تاثیر این حمله سایبری است و از نزدیک با مقامات برای تسریع روند بازیابی همکاری می کند.
اولویت در حال حاضر حفظ حجم تولید در سطح نرمال و تامین بی وقفه مواد اولیه و تامین محصولات نهایی است.
تمام نشانه های حمله باج افزار در چهره است. تا کنون، Aurubis هیچ جزئیاتی ارائه نکرده است، اما اشاره کرده است که این حادثه بخشی از حمله بزرگتر به صنعت فولاد و معدن است.
این حادثه در Asahi Holdings که دارای امکانات تولیدی در ژاپن، ایالات متحده، مالزی و کره است، نه از سازنده، بلکه از باج افزار BlackByte شناخته شد. آنها ادعا می کنند که چندین گیگابایت اسناد از جمله گزارش های مالی و عملیاتی را به سرقت برده اند.
باند زورگیر برای اقدامات خود و بازگشت تاریخ، 500 هزار دلار و 600 هزار دلار دیگر برای حذف کامل آن می‌خواهند.
هنوز جزئیات فنی و نظری از سوی شرکت در مورد این وضعیت وجود ندارد، اما احتمالاً در آینده نزدیک ظاهر خواهند شد.
همانطور که می دانید، بلک بایت از سپتامبر 2021 فعالیت می کند و طبق بیانیه فوریه FBI، حداقل سه سازمان در بخش های زیرساختی حیاتی ایالات متحده قبلا هک شده اند.
علاوه بر این، چندی پیش نسخه جدیدی از نرم افزار BlackByte منتشر شد و خود گروه شروع به استفاده از روش های اخاذی قرض گرفته شده از LockBit کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هکرها به پلتفرم ارتباطی ارتش استرالیا فورس نت حمله کردند تا از آن باج بگیرند.
مقامات این کشور ادعا می کنند که اطلاعات حساس در نتیجه این حادثه به خطر نیفتاده است.
به گفته مت Thistlethwaite دستیار وزیر دفاع، در این مرحله هیچ مدرکی مبنی بر به خطر افتادن هیچ مجموعه داده ای وجود ندارد که هک را رد کند. با این حال، کارمندان شرکت هنوز در مورد نشت مطلع شدند و به آنها دستور داده شد تا رمزهای عبور را تغییر دهند.
در همان زمان، شرکت پخش استرالیا نیز گزارش داد که هکرها می توانند اطلاعات شخصی مانند تاریخ تولد سربازان و داده های سربازی را سرقت کنند.
حمله جدید و بی‌سابقه به یک موسسه استرالیایی به دنبال چندین هک بزرگ دیگر است که شامل کلید غول مخابراتی Optus، بزرگ‌ترین شرکت بیمه سلامت Medibank است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای گروه
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
تخفیف ویژه لحظه آخری برای علاقه مندان
با کد تخفیف
lastsec
تعداد محدود است

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584