زیمنس و اشنایدر الکتریک پچ بولتن های نوامبر 2022 را منتشر کرده اند.

در همان زمان، زیمنس 9 بولتن امنیتی جدید منتشر کرد که در مجموع 30 آسیب پذیری را پوشش می داد، در حالی که اشنایدر تنها یک بولتن جدید منتشر کرد.

از 9 بولتن زیمنس، سه مورد آسیب پذیری های حیاتی را توصیف می کنند. چهار آسیب‌پذیری در دستگاه‌های اندازه‌گیری توان Sicam Q100 یافت شد - یکی با شدت بالا و سه آسیب‌پذیری بحرانی. آنها می توانند به مهاجم اجازه دهند جلسات کاربر را ربوده، یک دستگاه یا RCE را غیرفعال کند.

دستگاه‌های Scalance W1750D بیش از ده‌ها آسیب‌پذیری دارند، از جمله بسیاری از آسیب‌پذیری‌های «بحرانی» که می‌توانند به مهاجم اجازه RCE یا ایجاد یک وضعیت DoS را بدهند.

هیچ اصلاحی در دسترس نیست، اما فروشنده برخی از اصلاحات را ارائه کرده است. این شرکت نشان داد که اکسس پوینت یک دستگاه اختصاصی است که توسط شبکه آروبا ساخته شده است، که در پایان ماه سپتامبر اعلام کرد که اصلاحات را منتشر می کند.

آخرین بولتن زیمنس در مورد یک آسیب پذیری حیاتی، حفاظت کلید ضعیف را در محصولات Sinumerik توصیف می کند.

آسیب‌پذیری‌های با شدت بالا نیز در Teamcenter Visualization و JT2Go (RCE و DoS)، Parasolid (RCE) و QMS Automotive (افشای اعتبار) رفع شدند.

نقص‌های متوسطی در دستگاه‌های Ruggedcom ROS، کنترل‌کننده‌های صنعتی و سیستم مدیریت شبکه Sinec شناسایی شده‌اند.

علاوه بر این، بین این روز و سه‌شنبه پچ قبلی، زیمنس بولتنی منتشر کرد که یک آسیب‌پذیری بای پس احراز هویت حیاتی را که بر سرورهای موبایل Siveillance Video تأثیر می‌گذارد، منتشر کرد.

اشنایدر الکتریک تنها یک بولتن جدید منتشر کرد.

این سه آسیب‌پذیری را پوشش می‌دهد که مانیتورها و محیط‌های امنیتی NetBotz را در معرض حملات اسکریپت بین سایتی (XSS)، ربودن هویت و حملات کلیک‌جکینگ قرار می‌دهند.

غول صنعتی فرانسوی وصله هایی را منتشر کرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

͏سیسکو با استفاده از نرم افزار Cisco Adaptive Security Appliance (ASA)، Firepower Threat Defense (FTD) و Firepower Management Center (FMC) اصلاحاتی را برای 33 آسیب پذیری با شدت بالا و متوسط ​​که فایروال های شرکت را تحت تأثیر قرار می دهند، اعلام کرد.

جدی ترین مشکل، CVE-2022-20927 است، یک اشکال در عملکرد خط مشی DAP پویا ASA و FTD که به یک مهاجم راه دور تأیید نشده اجازه می دهد تا یک وضعیت DoS ایجاد کند.

به دلیل مدیریت نادرست داده های دریافتی از ماژول Posture (HostScan)، مهاجم می تواند داده های HostScan تولید شده را برای راه اندازی مجدد دستگاه ارسال کند.

CVE-2022-20946 به همان اندازه جدی CVSS 8.6 است، یک آسیب پذیری DoS در ویژگی GRE Generic Routing Encapsulation Tunnel Decapsulation در نرم افزار FTD نسخه 6.3.0 و بالاتر. این مشکل به دلیل خطاهای مدیریت حافظه هنگام پردازش ترافیک GRE رخ می دهد.

مهاجم می تواند با ارسال بار GRE تولید شده از طریق دستگاه آسیب دیده از آسیب پذیری سوء استفاده کند و باعث راه اندازی مجدد آن شود.

سه آسیب‌پذیری DoS با شدت بالا بر پروتکل مدیریت شبکه ساده (SNMP) و کلاینت ASA و FTD SSL/TLS و همچنین مدیریت اتصال FMC و FTD SSH تأثیر می‌گذارند.

طبق گفته سیسکو، این خطاها به ترتیب به دلیل اعتبار سنجی ورودی ناکافی، مدیریت نامناسب حافظه هنگام شروع اتصالات SSL/TLS، و مدیریت نادرست خطا هنگام ایجاد یک جلسه SSH است.

دیگر نقص‌های عمده‌ای که سیسکو در این هفته برطرف کرد، شامل مشکل اعتبار پیش‌فرض در ASA و FMC و دور زدن ایمن بوت در فایروال امن سری 3100 با ASA یا FTD است.

سیسکو برای 26 آسیب پذیری با شدت متوسط ​​بولتن منتشر کرده است. مهمترین توصیه ها مربوط به 15 خطای XSS در مدیریت مبتنی بر وب FMC است.

مشکلات ناشی از اعتبار سنجی ناکافی داده های وارد شده توسط کاربر است که به مهاجم اجازه می دهد کد را در زمینه یک رابط آسیب پذیر اجرا کند یا اطلاعات یک مرورگر را بدزدد.

سیسکو با انتشار یک پچ نیمه سالانه برای نرم افزارهای ASA، FTD و FMC، کاستی ها را اصلاح کرد که انتشار آن تقریباً دو هفته به تعویق افتاد.

این شرکت از هیچ گونه سوء استفاده عمومی در دسترس که هر یک از این آسیب پذیری ها را هدف قرار می دهد، آگاه نیست.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

ویدیوی این آسیب پذیری را در اینجا ببینید.
͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

دانلود ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
مترجم: دکتر پدرام کیانی
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

تیمی از محققان دانشگاه میشیگان، دانشگاه پنسیلوانیا و ناسا یک آسیب پذیری بالقوه جدی PCspoof را در فناوری های شبکه مورد استفاده در فضاپیماها، هواپیماها و سیستم های کنترل صنعتی شناسایی کرده اند.

این آسیب‌پذیری بر اترنت Time-Triggered (TTE)، یک پروتکل شبکه برای سیستم‌های فیزیکی سایبری با الزامات امنیتی و در دسترس بودن بالا تأثیر می‌گذارد که برنامه‌ریزی زمانی را برای همگام‌سازی و تحویل بسته‌های شبکه از طریق اترنت اجرا می‌کند. TTE به طور گسترده در فن‌آوری فضا و هوانوردی استفاده می‌شود، زیرا ویژگی همگام‌سازی بسته‌ها به چندین سیستم اجازه می‌دهد تا به طور ایمن روی یک سخت‌افزار در دستگاه‌های حیاتی همزیستی کنند.
به گفته این محقق، حمله PCspooF همگام سازی بین سیستم های مختلف را مختل می کند و به ترافیک شبکه از یک سیستم اجازه می دهد تا با سیستم های دیگر در همان دستگاه تعامل داشته باشد. حمله PCspooF سوئیچ های شبکه را که کنترل کننده های اصلی ترافیک در شبکه های TTE هستند، با ارسال پیام های همگام سازی جعلی شبیه سازی می کند. آنها معمولاً به گونه ای طراحی می شوند که دستگاه های شبکه را بر اساس یک برنامه زمان بندی مشترک در حال اجرا نگه دارند و به مهم ترین دستگاه ها اجازه می دهند سریع با هم ارتباط برقرار کنند. برای اینکه سوئیچ را مجبور به ارسال پیام مخرب ما کنند، محققان تداخل الکترومغناطیسی را روی سوئیچ از طریق کابل اترنت اعمال کردند. هنگامی که حمله شروع می شود، دستگاه های TTE گاه به گاه شروع به از دست دادن همگام سازی کرده و به طور مکرر وصل می شوند. خرابی‌ها به تدریج باعث حذف یا تأخیر پیام‌های فوری می‌شوند که باعث می‌شود سیستم‌ها عملکرد غیرقابل پیش‌بینی و گاهی فاجعه‌باری داشته باشند.

به عنوان اقدامات کاهشی، دانشمندان جایگزینی اترنت مسی با کابل فیبر نوری یا نصب جداکننده‌های نوری بین سوئیچ‌ها و دستگاه‌های غیرقابل اعتماد را پیشنهاد کرده‌اند که باید خطر تداخل الکترومغناطیسی را از بین ببرد. گزینه های دیگر شامل تغییرات در طرح شبکه است. محققان برای نشان دادن یافته های خود، یک سناریوی لنگر انداختن فضاپیمای سرنشین دار واقعی را شبیه سازی کردند. آنها با استفاده از سخت‌افزار و نرم‌افزار واقعی ناسا، نشان دادند که چگونه یک دستگاه مخرب کوچک روی کپسول باعث شد آن از مسیر منحرف شده و تهدید به سقوط کند. جزئیات فنی در این مقاله تحقیقاتی (PDF) موجود است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

پیشنهاد میکنم وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001 ورژن 2022 و تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، و آشنایی با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید را از لینک زیر دریافت کنید:
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://lnkd.in/eRmtpytB

آمار جالبی در مورد سرمایه گذاری های امنیت سایبری در اتحادیه اروپا، در گزارش جدید European Union Agency for Cybersecurity (ENISA). از جمله در مورد امنیت سایبری OT در بخش انرژی (برق، نفت، گاز)

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨 کشف آسیب پذیری در محصولات ABB

محققان Team82 در Claroty یک آسیب‌پذیری با شدت بالا را در یک سیستم کامپیوتری محبوب توسط غول تجهیزات الکتریکی سوئدی-سوئیس ABB کشف کردند که به طور گسترده توسط شرکت‌های بزرگ نفت و گاز در سراسر جهان استفاده می‌شود.
این اشکال بر رایانه‌های جریان ABB تأثیر می‌گذارد، دستگاه‌هایی که حجم و محدودیت‌های نفت و گاز را محاسبه می‌کنند. فلومترها برای ایمنی تاسیسات حیاتی حیاتی هستند، اما نقش مهمی در صورتحساب خدمات نیز دارند. CVE-2022-0902 کشف شده دارای امتیاز CVSS v3 8.1 از 10 است و ABB RMC-100 (استاندارد)، RMC-100-LITE، XIO، XFCG5، XRCG5، uFLOG5 و UDC را تحت تأثیر قرار می دهد.
کلاروتی توضیح می‌دهد که مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی ریشه به دستگاه پخش جریانی ABB، خواندن و نوشتن فایل‌ها و اجرای کد از راه دور استفاده کنند.
فلومترها داده‌های خام را از حسگرهای متصل می‌خوانند که حجم یک ماده را به روش‌های مختلفی اندازه‌گیری می‌کنند، بسته به اینکه گاز یا مایع اندازه‌گیری می‌شود.

بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا کنترل رایانه‌های مصرفی را در دست بگیرد و از راه دور دقت آن‌ها را در اندازه‌گیری مقدار یک پارامتر نقض کند، که مستقیماً بر تسویه حساب‌های مالی و خدمات مشتری تأثیر می‌گذارد.

اختلال فلومتر یک عامل حمله ظریف است که می تواند به طور مشابه نه تنها بر سیستم های IT بلکه بر سیستم های OT نیز تاثیر بگذارد، همانطور که در مورد حادثه خط لوله انتقال انرژی در سال گذشته رخ داد.

یکی از نمایندگان ABB تأیید کرد که این شرکت از گزارش‌های خصوصی آسیب‌پذیری در نسخه‌های محصول فلومتر و کنترل از راه دور فهرست‌شده در بولتن ۱۴ جولای ۲۰۲۲ آگاه است.

✅این آسیب‌پذیری اخیراً با انتشار یک به‌روزرسانی میان‌افزار از ABB اصلاح شد. با این حال، کاهش را می توان با تقسیم بندی مناسب شبکه به دست آورد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کارشناسان امنیت صنعتی 13 آسیب‌پذیری را در سیستم عامل کنترل‌کننده مدیریت برد اصلی (BMC) تولید شده توسط شرکت تایوانی Lanner Electronics کشف کرده‌اند.
BMC یک پردازنده تخصصی است که به شما امکان می دهد دستگاه را بدون دسترسی به سیستم عامل یا برنامه های در حال اجرا از راه دور نظارت و کنترل کنید. از BMC می توان برای راه اندازی مجدد، نصب سیستم عامل، به روز رسانی سیستم عامل، نظارت بر فرآیندهای سیستم و تجزیه و تحلیل گزارش ها استفاده کرد. آسیب‌پذیری‌های میان‌افزار روی برد توسعه IAC-AST2500A که توسط ASUS، Dell، HP، Lenovo، Gigabyte و Nvidia استفاده می‌شود، یافت شده است.

این برد هم در فناوری های عملیاتی OT و هم در دستگاه های IoT استفاده می شود.

در حال حاضر 13 آسیب پذیری فاش شده است که 5 مورد از آنها بحرانی است. اما محققان گفتند که ایرادات دیگری پیدا کرده‌اند که بعد از مشورت با تامین‌کننده، آن‌ها را آشکار خواهند کرد.

12 باگ مربوط به نسخه 1.10.0 سیستم عامل استاندارد و باگ دیگری در نسخه 1.00.0 یافت شد. محققین نشان دادند که چگونه برد توسعه با یک برنامه وب که می تواند برای مدیریت میزبان و همچنین خود BMC مورد استفاده قرار گیرد، تعامل می کند و جزئیاتی را در مورد نحوه سوء استفاده از این دو آسیب پذیری برای حملات از راه دور ارائه می دهد. به گفته کارشناسان، تامین کننده از قبل مطلع شده و قبلا یک سیستم عامل به روز شده را برای رفع نواقص شناسایی شده منتشر کرده است. به گفته کارشناسان، به دنبال روشی مناسب برای نظارت و مدیریت سیستم های کامپیوتری در زمینه OT / IoT که نیازی به دسترسی فیزیکی ندارد، تهدیدی برای سطح حمله گسترده تر ایجاد می شود. به نوبه خود، اگر به درستی محافظت نشوند، این می تواند منجر به افزایش خطر کلی شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نیروگاه برقی در روسیه آتش گرفت و با دیدن ویدیو میشود گفت شاید حمله سایبری بوده باشد.
‏👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

باسلام
با پیشنهاد یکی از همراهان محترم گروه و برپایه استاندارد ۶۲۴۴۳ نام گروه به IACS تغییر یافت

مخاطرات امنیتی CNC

جهش های تکنولوژیکی Industry 4.0 امکان تولید انبوه محصولات پیچیده با دقت و سرعت بالا را فراهم کرده است و تجهیزات تولید را کارآمدتر می کند، اما در عین حال تولید کنندگان را در معرض هدف مجرمان سایبری قرار می دهد.

محققان Trend Micro نتایج یک مطالعه را در مورد خطراتی که ماشین‌ابزارهای CNC با آن‌ها در کارخانه‌های مدرن و شبکه‌ای ادغام می‌کنند، ارائه کردند.

تامین کنندگانی که برای مطالعه انتخاب شده اند به صورت جغرافیایی و بخشی توزیع شده اند، حداقل یک دهه در بازار بوده اند و مجموع درآمد سالانه آنها حداقل 1 میلیارد دلار است.

این مطالعه شامل چهار فروشنده نماینده با پیشرفت‌های فناوری مطابق با پارادایم Industry 4.0 و همچنین انجام حملات عملی به تاسیسات واقعی بود.

به گفته محققان، تهدیدات بالقوه برای تجهیزات صنعتی CNC، عنصر اصلی طبقه تولید، تعدادی از سناریوهای حمله اساسی را پوشش می دهد، از جمله:

- حملاتی که می توانند باعث آسیب شوند: با تغییر در وضعیت یا پارامترهای پیکربندی داخلی دستگاه CNC همراه است.
- حملات انکار سرویس: با تداخل در عملکرد و سیستم کنترل دستگاه CNC باعث خرابکاری در تولید می شود.
- دزدی: دستکاری پارامترهای جبران ابزار یا منطق برنامه های پارامتریک برای معرفی ریز نقص ها.
- سرقت داده: استفاده نادرست از پروتکل ها و عملکردهای شبکه ناامن برای سرقت کد برنامه محرمانه یا اطلاعات تولید محرمانه.

مقاله تحقیقاتی تجزیه و تحلیل فنی گسترده ای از تهدیدات جدیدی را ارائه می دهد که تولید کنندگان ممکن است نیاز به محافظت از ماشین های CNC خود داشته باشند.

علاوه بر این، این شرکت یک مجموعه ویدیویی پنج قسمتی با عنوان Industry 4.0 at Risk منتشر کرد که در آن محققان نگاهی دقیق‌تر به تهدیدات امنیتی برای ماشین‌های CNC ناشی از پذیرش فناوری‌های متحول کردند.

✅ برای محافظت از سیستم های CNC در برابر حملات، محققان به شرکت های تولید کننده توصیه می کنند:

- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ صنعتی حساس به زمینه IPS/IDS برای نظارت بر ناهنجاری‌های ترافیکی در زمان واقعی.
- شبکه های بخش؛
- وصله ها و به روز رسانی ها را به درستی مدیریت کنید.

جزئیات و نتایج بخش اول (از سه) مطالعه در اینجا ارائه شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی

محققان جزئیات آسیب‌پذیری‌های امنیتی جدیدی را فاش کرده‌اند که بر محصولات فناوری عملیاتی (OT) CODESYS و Festo تأثیر می‌گذارد که می‌تواند منجر به دستکاری کد منبع و انکار سرویس (DoS) شود.

متخصصان Forescout Vedere Labs در مورد مشکلات آن صحبت کردند که یک واگن و یک واگن کوچک، و با سهم شیر از انتقاد از تامین کنندگان.

کارشناسان گفتند که این مشکلات یا یک رویکرد ناامن در طراحی محصول را نشان می دهد، زمانی که تولید کنندگان عملکردهای خطرناکی را که می توان بدون احراز هویت به آنها دسترسی داشت، یا اجرای ضعیف رمزنگاری و کنترل های امنیتی را نشان می دهد.

مهم‌ترین آسیب‌پذیری CVE-2022-3270 (امتیاز CVSS: 9.8) است که بر کنترل‌کننده‌های اتوماسیون Festo که از پروتکل Festo Generic Multicast (FGMC) برای راه‌اندازی مجدد دستگاه‌ها بدون هیچ‌گونه احراز هویت استفاده می‌کنند، تأثیر می‌گذارد و اجازه انکار سرویس را می‌دهد.

یکی دیگر از نقص های DoS نیز بر کنترل کننده های Festo تأثیر می گذارد (CVE-2022-3079، امتیاز CVSS: 7.5) و مربوط به امکان دسترسی غیرمجاز از راه دور به یک صفحه وب غیرمستند ("cec-reboot.php") است که می تواند توسط یک کاربر استفاده شود. مهاجم برای دسترسی به PLC های Festo CPX-CEC-C1 و CPX-CMXX از طریق شبکه.

سومین مسئله امنیتی مربوط به استفاده از رمزنگاری ضعیف در زمان اجرا CODESYS V3 برای محافظت از بارگذاری و بارگذاری کد برنامه است.

این اشکال شناسه CVE-2022-4048 و امتیاز CVSS 7.7 را دریافت کرده است و به مهاجم بالقوه اجازه رمزگشایی و دستکاری کد منبع را می‌دهد، در نتیجه محرمانه بودن و حفاظت از یکپارچگی را تضعیف می‌کند.

Forescout بیان کرد که همچنین دو باگ CODESYS را پیدا کرده است که بر کنترل‌کننده‌های Festo CPX-CEC-C1 (CVE-2022-31806 و CVE-2022-22515) تأثیر می‌گذارند که به پیکربندی ناامن در زمان اجرا Control مربوط می‌شوند، که همچنین می‌تواند منجر به خرابی شود.

برای کاهش تهدیدات بالقوه، سازمان‌ها تشویق می‌شوند دستگاه‌های آسیب‌پذیر را رفع مشکل کنند و قوانین مدیریت شبکه و بخش‌بندی مناسب را تنظیم کنند و همچنین ترافیک شبکه را برای فعالیت‌های غیرعادی نظارت کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی دلتا

شرکت تایوانی Delta Electronics آسیب پذیری های بالقوه جدی را در دو محصول شبکه صنعتی خود برطرف کرده است.

کاستی ها توسط محققان CyberDanube اتریشی در روتر ابری Delta DX-2100-L1-CN 3G و نقطه دسترسی بی سیم صنعتی DVW-W02W2-E2 کشف شد.

احراز هویت تزریق فرمان و آسیب پذیری XSS در روتر 3G یافت شد.

اولین مورد به مهاجمی با اعتبار سرویس وب اجازه می‌داد تا دستورات سیستم را با امتیازات ریشه در سیستم عامل اجرا کند.

اگرچه احراز هویت برای سوء استفاده از باگ مورد نیاز است، اما دومین آسیب‌پذیری XSS می‌تواند توسط یک مهاجم برای دور زدن نیاز احراز هویت مورد سوء استفاده قرار گیرد.

در مورد دلتا، محققان CyberDanube یک آسیب‌پذیری تزریق فرمان تأیید شده را کشف کردند.

این آسیب‌پذیری به مهاجم اجازه می‌دهد به سیستم‌عامل زیرین دستگاه با تمام عواقب دسترسی کامل داشته باشد.

اگر یک دستگاه در یک شبکه صنعتی به عنوان یک دستگاه کلیدی عمل کند یا تجهیزات مختلف را از طریق پورت های سریال کنترل کند، مهاجم می تواند آسیب جدی به شبکه مربوطه وارد کند.

در عین حال، می تواند اعتبار لازم برای بهره برداری را با جایگزینی ARP در شبکه یا بروت فورس به دست آورد.

CyberDanube در ماه آگوست به فروشنده اطلاع داد و وصله های سیستم عامل در نوامبر منتشر شد.

محققان همچنین توصیه هایی با جزئیات فنی برای DX-2100-L1-CN و DVW-W02W2-E2 منتشر کرده اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی Moxa

کنترل دسترسی فیزیکی نامناسب CWE-1263
مهاجمی که به دستگاه‌های سری UC آسیب‌دیده دسترسی فیزیکی دارد، می‌تواند دستگاه را راه‌اندازی مجدد کند و به بایوس آن دسترسی پیدا کند. سپس گزینه های خط فرمان را می توان تغییر داد و به مهاجم اجازه دسترسی به ترمینال را می دهد. از ترمینال، مهاجم می‌تواند فایل‌های احراز هویت دستگاه را برای ایجاد یک کاربر جدید و دسترسی کامل به سیستم تغییر دهد.
CVE-2022-3086 به این آسیب‌پذیری اختصاص داده شده است. نمره پایه CVSS v3 7.6 محاسبه شده است.


شرکت Moxa برای رفع این آسیب‌پذیری، به‌روزرسانی‌هایی را برای همه محصولات آسیب‌دیده ایجاد کرده است. Moxa کاربران را تشویق می‌کند تا برای دریافت به‌روزرسانی با پشتیبانی فنی Moxa(link is external) تماس بگیرند  (لازم به ورود به سیستم).

همچنین ما به سازمان ها یادآوری می کنیم که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تاثیر و ارزیابی ریسک مناسب را انجام دهند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هلند: اروپا ممکن است به دلیل هکرهای روسی بدون گاز بماند

— شرکت امنیتی Dragos که متخصص در حفاظت از شرکت های صنعتی است، کشف کرده است که 2 گروه هکر Xenotime و Kamacite در حال انجام "تجزیه و تحلیل سیستم های دیجیتال" پایانه Gasunie LNG در روتردام (هلند) هستند.

انتظار می‌رود هکرها سیستم‌های دیگر پایانه‌های LNG اروپا و زیرساخت‌های بخش انرژی را تجزیه و تحلیل کنند تا ببینند کجا می‌توانند بر سیستم‌ها تأثیر بگذارند.

- به گفته شرکت امنیت اطلاعات هلندی EclecticIQ، گروه Xenotime برای اولین بار بر اروپا تمرکز می کند - "ترمینال های LNG هلندی در حال حاضر هدف ترجیحی برای تحقیقات هکرهای روسی هستند."

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Exploiting Active Directory With Linux

https://t.me/linux_news/682

#intelligence #cybersecurity #informationsecurity

Trend Micro بخش پایانی بررسی خود را از مطالعه با عنوان "خطرات ایمنی با ماشین های CNC در صنعت 4.0" ارائه کرده است.

در این بخش، محققان بر روی اقدامات متقابلی که مشاغل می توانند برای محافظت از ماشین های خود انجام دهند، تمرکز کردند.

محققان دریافتند که از چهار فروشنده ای که مورد تجزیه و تحلیل قرار دادند، تنها دو مورد از احراز هویت پشتیبانی می کنند.

هیچ یک از آنها احراز هویت به طور پیش‌فرض فعال نشده‌اند و ماشین‌ها را در برابر حملات متجاوزان آسیب‌پذیر می‌کند.

فعال کردن احراز هویت برای محافظت از ویژگی‌های Industry 4.0 در برابر سوء استفاده ضروری است.

سیستم های کنترل دسترسی به منابع برای کاهش تأثیر حملات مهم هستند.

بسیاری از فناوری ها امکان دسترسی به تمام منابع کنترل کننده را فراهم می کنند که می تواند خطرناک باشد.

رویکرد صحیح اتخاذ سیستم های کنترل دسترسی به منابع است که دسترسی محدودی را اعطا می کند.

این کمک می کند تا اطمینان حاصل شود که فقط کاربران مجاز به منابع کنترلر دسترسی دارند و از آن منابع در برابر دسترسی غیرمجاز محافظت می کند.

برای یکپارچه‌سازها و کاربران نهایی، Trend Micro اقدامات متقابل زیر را ارائه می‌کند:

⁃ سیستم های پیشگیری و تشخیص نفوذ صنعتی حساس به زمینه (IPS/IDS). این دستگاه‌ها که اخیراً در کاتالوگ‌های فروشندگان امنیتی محبوبیت زیادی پیدا کرده‌اند، به مکانیسم‌های شبکه‌ای مجهز هستند که می‌توانند ترافیک بلادرنگ مرتبط با پروتکل‌های صنعتی را به منظور شناسایی حملات رهگیری کنند.

⁃ تقسیم بندی شبکه: معماری مناسب شبکه ضروری است. همانطور که این مطالعه نشان داد، تمام ماشین های آزمایش شده دارای رابط هایی هستند که می توانند توسط مهاجمان استفاده شوند.

⁃ رفع صحیح: ماشین‌های CNC مدرن مجهز به سیستم‌عامل کامل و نرم‌افزار پیچیده هستند که به ناچار آسیب‌پذیری‌های امنیتی را شامل می‌شوند. این در واقع در مورد ماشین هایی که آنها آزمایش کردند صدق می کرد.

محققان ضمن کار بر روی کنترلرها با فروشندگان راه حل های آسیب پذیر تماس گرفتند: اولین تماس در نوامبر 2021 و آخرین تماس در مارس 2022 بود.

در زمان نگارش این مقاله، هر چهار فروشنده تصمیم گرفتند یا اسناد خود را بهبود بخشند یا ارتباطات خود را با سازندگان ماشین افزایش دهند تا در نهایت راه‌حل‌های امن‌تری را به کاربران نهایی ارائه دهند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک درب پشتی پایتون که قبلاً مستند نشده بود، سرورهای VMware ESXi را هدف قرار می‌دهد که به هکرها اجازه می‌دهد دستورات را از راه دور روی یک سیستم در معرض خطر اجرا کنند.

یک بدافزار جدید در سرور VMware ESXi توسط محققان Juniper Networks پیدا شد. با این حال، محققان نتوانستند دقیقاً تعیین کنند که سرور به دلیل محدودیت ذخیره‌سازی گزارش، چگونه به خطر افتاده است.

محققان بر این باورند که CVE-2019-5544 و CVE-2020-3992 ممکن است در سرویس ESXi OpenSLP استفاده شده باشند.

علیرغم این واقعیت که بدافزار از نظر فنی نیز قادر به حمله به سیستم های لینوکس و یونیکس است، تحلیلگران ترکیبی از نشانه ها معتقدند که این بدافزار به طور خاص برای حمله به ESXi توسعه یافته است.

درپشتی جدید پایتون هفت خط به "/etc/rc.local.d/local.sh" ESXi اضافه می کند که در طول راه اندازی مجدد باقی می مانند و در هنگام راه اندازی اجرا می شوند. معمولا این فایل خالی است.

یکی از خطوط، اسکریپت پایتون "/store/packages/vmtools.py" را در فهرستی که تصاویر دیسک ماشین مجازی، گزارش‌ها و موارد دیگر در آن ذخیره می‌شوند، اجرا می‌کند. با این حال، نام فایل و مکان /store/packages/vmtools.py به گونه‌ای پیاده‌سازی شده‌اند که شکی در مورد میزبان مجازی‌سازی ایجاد نکند.

لازم به ذکر است که اسکریپت پایتون مورد استفاده در این حمله، کراس پلتفرم است و با تغییرات اندک یا بدون تغییرات در لینوکس یا سایر سیستم های مشابه یونیکس قابل استفاده است.

این اسکریپت یک وب سرور را راه‌اندازی می‌کند که درخواست‌های POST محافظت شده با رمز عبور مهاجمان راه دور را می‌پذیرد، که می‌تواند شامل یک بار فرمان کدگذاری شده پایه ۶۴ باشد یا یک پوسته معکوس روی میزبان اجرا کند.

پوسته معکوس باعث می‌شود سرور آسیب‌دیده با نویسنده ارتباط برقرار کند، که به دور زدن محدودیت‌های فایروال کمک می‌کند یا با اتصال شبکه محدود کار می‌کند.

محققان مشاهده کردند که مهاجمان همچنین پیکربندی پروکسی معکوس ESXi HTTP را تغییر دادند تا امکان دسترسی از راه دور برای برقراری ارتباط با وب سرور تعبیه شده را فراهم کند.

از آنجایی که فایل مورد استفاده برای تنظیم این پیکربندی جدید، "/etc/vmware/rhttpproxy/endpoints.conf" نیز پس از راه اندازی مجدد پشتیبان گیری و بازیابی می شود، هرگونه تغییر در آن حفظ می شود.

به کاربران توصیه می‌شود برای یافتن نشانه‌های احتمالی سازش، وجود فایل‌های ذکر شده در بالا و خطوط اضافی را در فایل "local.sh" بررسی کنند.

همه فایل‌های پیکربندی که در طول راه‌اندازی مجدد باقی می‌مانند، باید به دقت بررسی شوند تا تغییرات مشکوک وجود داشته باشد و روی تنظیمات صحیح تنظیم شوند.

در نهایت، مدیران باید تمام اتصالات شبکه ورودی را به میزبان‌های مورد اعتماد محدود کنند و به‌روزرسانی‌های امنیتی موجود که به سوءاستفاده‌های مورد استفاده برای به خطر انداختن اولیه رسیدگی می‌کنند باید در اسرع وقت اعمال شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti