🚨 کشف آسیب پذیری در محصولات ABB

محققان Team82 در Claroty یک آسیب‌پذیری با شدت بالا را در یک سیستم کامپیوتری محبوب توسط غول تجهیزات الکتریکی سوئدی-سوئیس ABB کشف کردند که به طور گسترده توسط شرکت‌های بزرگ نفت و گاز در سراسر جهان استفاده می‌شود.
این اشکال بر رایانه‌های جریان ABB تأثیر می‌گذارد، دستگاه‌هایی که حجم و محدودیت‌های نفت و گاز را محاسبه می‌کنند. فلومترها برای ایمنی تاسیسات حیاتی حیاتی هستند، اما نقش مهمی در صورتحساب خدمات نیز دارند. CVE-2022-0902 کشف شده دارای امتیاز CVSS v3 8.1 از 10 است و ABB RMC-100 (استاندارد)، RMC-100-LITE، XIO، XFCG5، XRCG5، uFLOG5 و UDC را تحت تأثیر قرار می دهد.
کلاروتی توضیح می‌دهد که مهاجمان می‌توانند از این آسیب‌پذیری برای دسترسی ریشه به دستگاه پخش جریانی ABB، خواندن و نوشتن فایل‌ها و اجرای کد از راه دور استفاده کنند.
فلومترها داده‌های خام را از حسگرهای متصل می‌خوانند که حجم یک ماده را به روش‌های مختلفی اندازه‌گیری می‌کنند، بسته به اینکه گاز یا مایع اندازه‌گیری می‌شود.

بهره‌برداری از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا کنترل رایانه‌های مصرفی را در دست بگیرد و از راه دور دقت آن‌ها را در اندازه‌گیری مقدار یک پارامتر نقض کند، که مستقیماً بر تسویه حساب‌های مالی و خدمات مشتری تأثیر می‌گذارد.

اختلال فلومتر یک عامل حمله ظریف است که می تواند به طور مشابه نه تنها بر سیستم های IT بلکه بر سیستم های OT نیز تاثیر بگذارد، همانطور که در مورد حادثه خط لوله انتقال انرژی در سال گذشته رخ داد.

یکی از نمایندگان ABB تأیید کرد که این شرکت از گزارش‌های خصوصی آسیب‌پذیری در نسخه‌های محصول فلومتر و کنترل از راه دور فهرست‌شده در بولتن ۱۴ جولای ۲۰۲۲ آگاه است.

✅این آسیب‌پذیری اخیراً با انتشار یک به‌روزرسانی میان‌افزار از ABB اصلاح شد. با این حال، کاهش را می توان با تقسیم بندی مناسب شبکه به دست آورد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کارشناسان امنیت صنعتی 13 آسیب‌پذیری را در سیستم عامل کنترل‌کننده مدیریت برد اصلی (BMC) تولید شده توسط شرکت تایوانی Lanner Electronics کشف کرده‌اند.
BMC یک پردازنده تخصصی است که به شما امکان می دهد دستگاه را بدون دسترسی به سیستم عامل یا برنامه های در حال اجرا از راه دور نظارت و کنترل کنید. از BMC می توان برای راه اندازی مجدد، نصب سیستم عامل، به روز رسانی سیستم عامل، نظارت بر فرآیندهای سیستم و تجزیه و تحلیل گزارش ها استفاده کرد. آسیب‌پذیری‌های میان‌افزار روی برد توسعه IAC-AST2500A که توسط ASUS، Dell، HP، Lenovo، Gigabyte و Nvidia استفاده می‌شود، یافت شده است.

این برد هم در فناوری های عملیاتی OT و هم در دستگاه های IoT استفاده می شود.

در حال حاضر 13 آسیب پذیری فاش شده است که 5 مورد از آنها بحرانی است. اما محققان گفتند که ایرادات دیگری پیدا کرده‌اند که بعد از مشورت با تامین‌کننده، آن‌ها را آشکار خواهند کرد.

12 باگ مربوط به نسخه 1.10.0 سیستم عامل استاندارد و باگ دیگری در نسخه 1.00.0 یافت شد. محققین نشان دادند که چگونه برد توسعه با یک برنامه وب که می تواند برای مدیریت میزبان و همچنین خود BMC مورد استفاده قرار گیرد، تعامل می کند و جزئیاتی را در مورد نحوه سوء استفاده از این دو آسیب پذیری برای حملات از راه دور ارائه می دهد. به گفته کارشناسان، تامین کننده از قبل مطلع شده و قبلا یک سیستم عامل به روز شده را برای رفع نواقص شناسایی شده منتشر کرده است. به گفته کارشناسان، به دنبال روشی مناسب برای نظارت و مدیریت سیستم های کامپیوتری در زمینه OT / IoT که نیازی به دسترسی فیزیکی ندارد، تهدیدی برای سطح حمله گسترده تر ایجاد می شود. به نوبه خود، اگر به درستی محافظت نشوند، این می تواند منجر به افزایش خطر کلی شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نیروگاه برقی در روسیه آتش گرفت و با دیدن ویدیو میشود گفت شاید حمله سایبری بوده باشد.
‏👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

باسلام
با پیشنهاد یکی از همراهان محترم گروه و برپایه استاندارد ۶۲۴۴۳ نام گروه به IACS تغییر یافت

مخاطرات امنیتی CNC

جهش های تکنولوژیکی Industry 4.0 امکان تولید انبوه محصولات پیچیده با دقت و سرعت بالا را فراهم کرده است و تجهیزات تولید را کارآمدتر می کند، اما در عین حال تولید کنندگان را در معرض هدف مجرمان سایبری قرار می دهد.

محققان Trend Micro نتایج یک مطالعه را در مورد خطراتی که ماشین‌ابزارهای CNC با آن‌ها در کارخانه‌های مدرن و شبکه‌ای ادغام می‌کنند، ارائه کردند.

تامین کنندگانی که برای مطالعه انتخاب شده اند به صورت جغرافیایی و بخشی توزیع شده اند، حداقل یک دهه در بازار بوده اند و مجموع درآمد سالانه آنها حداقل 1 میلیارد دلار است.

این مطالعه شامل چهار فروشنده نماینده با پیشرفت‌های فناوری مطابق با پارادایم Industry 4.0 و همچنین انجام حملات عملی به تاسیسات واقعی بود.

به گفته محققان، تهدیدات بالقوه برای تجهیزات صنعتی CNC، عنصر اصلی طبقه تولید، تعدادی از سناریوهای حمله اساسی را پوشش می دهد، از جمله:

- حملاتی که می توانند باعث آسیب شوند: با تغییر در وضعیت یا پارامترهای پیکربندی داخلی دستگاه CNC همراه است.
- حملات انکار سرویس: با تداخل در عملکرد و سیستم کنترل دستگاه CNC باعث خرابکاری در تولید می شود.
- دزدی: دستکاری پارامترهای جبران ابزار یا منطق برنامه های پارامتریک برای معرفی ریز نقص ها.
- سرقت داده: استفاده نادرست از پروتکل ها و عملکردهای شبکه ناامن برای سرقت کد برنامه محرمانه یا اطلاعات تولید محرمانه.

مقاله تحقیقاتی تجزیه و تحلیل فنی گسترده ای از تهدیدات جدیدی را ارائه می دهد که تولید کنندگان ممکن است نیاز به محافظت از ماشین های CNC خود داشته باشند.

علاوه بر این، این شرکت یک مجموعه ویدیویی پنج قسمتی با عنوان Industry 4.0 at Risk منتشر کرد که در آن محققان نگاهی دقیق‌تر به تهدیدات امنیتی برای ماشین‌های CNC ناشی از پذیرش فناوری‌های متحول کردند.

✅ برای محافظت از سیستم های CNC در برابر حملات، محققان به شرکت های تولید کننده توصیه می کنند:

- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ صنعتی حساس به زمینه IPS/IDS برای نظارت بر ناهنجاری‌های ترافیکی در زمان واقعی.
- شبکه های بخش؛
- وصله ها و به روز رسانی ها را به درستی مدیریت کنید.

جزئیات و نتایج بخش اول (از سه) مطالعه در اینجا ارائه شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی

محققان جزئیات آسیب‌پذیری‌های امنیتی جدیدی را فاش کرده‌اند که بر محصولات فناوری عملیاتی (OT) CODESYS و Festo تأثیر می‌گذارد که می‌تواند منجر به دستکاری کد منبع و انکار سرویس (DoS) شود.

متخصصان Forescout Vedere Labs در مورد مشکلات آن صحبت کردند که یک واگن و یک واگن کوچک، و با سهم شیر از انتقاد از تامین کنندگان.

کارشناسان گفتند که این مشکلات یا یک رویکرد ناامن در طراحی محصول را نشان می دهد، زمانی که تولید کنندگان عملکردهای خطرناکی را که می توان بدون احراز هویت به آنها دسترسی داشت، یا اجرای ضعیف رمزنگاری و کنترل های امنیتی را نشان می دهد.

مهم‌ترین آسیب‌پذیری CVE-2022-3270 (امتیاز CVSS: 9.8) است که بر کنترل‌کننده‌های اتوماسیون Festo که از پروتکل Festo Generic Multicast (FGMC) برای راه‌اندازی مجدد دستگاه‌ها بدون هیچ‌گونه احراز هویت استفاده می‌کنند، تأثیر می‌گذارد و اجازه انکار سرویس را می‌دهد.

یکی دیگر از نقص های DoS نیز بر کنترل کننده های Festo تأثیر می گذارد (CVE-2022-3079، امتیاز CVSS: 7.5) و مربوط به امکان دسترسی غیرمجاز از راه دور به یک صفحه وب غیرمستند ("cec-reboot.php") است که می تواند توسط یک کاربر استفاده شود. مهاجم برای دسترسی به PLC های Festo CPX-CEC-C1 و CPX-CMXX از طریق شبکه.

سومین مسئله امنیتی مربوط به استفاده از رمزنگاری ضعیف در زمان اجرا CODESYS V3 برای محافظت از بارگذاری و بارگذاری کد برنامه است.

این اشکال شناسه CVE-2022-4048 و امتیاز CVSS 7.7 را دریافت کرده است و به مهاجم بالقوه اجازه رمزگشایی و دستکاری کد منبع را می‌دهد، در نتیجه محرمانه بودن و حفاظت از یکپارچگی را تضعیف می‌کند.

Forescout بیان کرد که همچنین دو باگ CODESYS را پیدا کرده است که بر کنترل‌کننده‌های Festo CPX-CEC-C1 (CVE-2022-31806 و CVE-2022-22515) تأثیر می‌گذارند که به پیکربندی ناامن در زمان اجرا Control مربوط می‌شوند، که همچنین می‌تواند منجر به خرابی شود.

برای کاهش تهدیدات بالقوه، سازمان‌ها تشویق می‌شوند دستگاه‌های آسیب‌پذیر را رفع مشکل کنند و قوانین مدیریت شبکه و بخش‌بندی مناسب را تنظیم کنند و همچنین ترافیک شبکه را برای فعالیت‌های غیرعادی نظارت کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی دلتا

شرکت تایوانی Delta Electronics آسیب پذیری های بالقوه جدی را در دو محصول شبکه صنعتی خود برطرف کرده است.

کاستی ها توسط محققان CyberDanube اتریشی در روتر ابری Delta DX-2100-L1-CN 3G و نقطه دسترسی بی سیم صنعتی DVW-W02W2-E2 کشف شد.

احراز هویت تزریق فرمان و آسیب پذیری XSS در روتر 3G یافت شد.

اولین مورد به مهاجمی با اعتبار سرویس وب اجازه می‌داد تا دستورات سیستم را با امتیازات ریشه در سیستم عامل اجرا کند.

اگرچه احراز هویت برای سوء استفاده از باگ مورد نیاز است، اما دومین آسیب‌پذیری XSS می‌تواند توسط یک مهاجم برای دور زدن نیاز احراز هویت مورد سوء استفاده قرار گیرد.

در مورد دلتا، محققان CyberDanube یک آسیب‌پذیری تزریق فرمان تأیید شده را کشف کردند.

این آسیب‌پذیری به مهاجم اجازه می‌دهد به سیستم‌عامل زیرین دستگاه با تمام عواقب دسترسی کامل داشته باشد.

اگر یک دستگاه در یک شبکه صنعتی به عنوان یک دستگاه کلیدی عمل کند یا تجهیزات مختلف را از طریق پورت های سریال کنترل کند، مهاجم می تواند آسیب جدی به شبکه مربوطه وارد کند.

در عین حال، می تواند اعتبار لازم برای بهره برداری را با جایگزینی ARP در شبکه یا بروت فورس به دست آورد.

CyberDanube در ماه آگوست به فروشنده اطلاع داد و وصله های سیستم عامل در نوامبر منتشر شد.

محققان همچنین توصیه هایی با جزئیات فنی برای DX-2100-L1-CN و DVW-W02W2-E2 منتشر کرده اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی Moxa

کنترل دسترسی فیزیکی نامناسب CWE-1263
مهاجمی که به دستگاه‌های سری UC آسیب‌دیده دسترسی فیزیکی دارد، می‌تواند دستگاه را راه‌اندازی مجدد کند و به بایوس آن دسترسی پیدا کند. سپس گزینه های خط فرمان را می توان تغییر داد و به مهاجم اجازه دسترسی به ترمینال را می دهد. از ترمینال، مهاجم می‌تواند فایل‌های احراز هویت دستگاه را برای ایجاد یک کاربر جدید و دسترسی کامل به سیستم تغییر دهد.
CVE-2022-3086 به این آسیب‌پذیری اختصاص داده شده است. نمره پایه CVSS v3 7.6 محاسبه شده است.


شرکت Moxa برای رفع این آسیب‌پذیری، به‌روزرسانی‌هایی را برای همه محصولات آسیب‌دیده ایجاد کرده است. Moxa کاربران را تشویق می‌کند تا برای دریافت به‌روزرسانی با پشتیبانی فنی Moxa(link is external) تماس بگیرند  (لازم به ورود به سیستم).

همچنین ما به سازمان ها یادآوری می کنیم که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تاثیر و ارزیابی ریسک مناسب را انجام دهند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هلند: اروپا ممکن است به دلیل هکرهای روسی بدون گاز بماند

— شرکت امنیتی Dragos که متخصص در حفاظت از شرکت های صنعتی است، کشف کرده است که 2 گروه هکر Xenotime و Kamacite در حال انجام "تجزیه و تحلیل سیستم های دیجیتال" پایانه Gasunie LNG در روتردام (هلند) هستند.

انتظار می‌رود هکرها سیستم‌های دیگر پایانه‌های LNG اروپا و زیرساخت‌های بخش انرژی را تجزیه و تحلیل کنند تا ببینند کجا می‌توانند بر سیستم‌ها تأثیر بگذارند.

- به گفته شرکت امنیت اطلاعات هلندی EclecticIQ، گروه Xenotime برای اولین بار بر اروپا تمرکز می کند - "ترمینال های LNG هلندی در حال حاضر هدف ترجیحی برای تحقیقات هکرهای روسی هستند."

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Exploiting Active Directory With Linux

https://t.me/linux_news/682

#intelligence #cybersecurity #informationsecurity

Trend Micro بخش پایانی بررسی خود را از مطالعه با عنوان "خطرات ایمنی با ماشین های CNC در صنعت 4.0" ارائه کرده است.

در این بخش، محققان بر روی اقدامات متقابلی که مشاغل می توانند برای محافظت از ماشین های خود انجام دهند، تمرکز کردند.

محققان دریافتند که از چهار فروشنده ای که مورد تجزیه و تحلیل قرار دادند، تنها دو مورد از احراز هویت پشتیبانی می کنند.

هیچ یک از آنها احراز هویت به طور پیش‌فرض فعال نشده‌اند و ماشین‌ها را در برابر حملات متجاوزان آسیب‌پذیر می‌کند.

فعال کردن احراز هویت برای محافظت از ویژگی‌های Industry 4.0 در برابر سوء استفاده ضروری است.

سیستم های کنترل دسترسی به منابع برای کاهش تأثیر حملات مهم هستند.

بسیاری از فناوری ها امکان دسترسی به تمام منابع کنترل کننده را فراهم می کنند که می تواند خطرناک باشد.

رویکرد صحیح اتخاذ سیستم های کنترل دسترسی به منابع است که دسترسی محدودی را اعطا می کند.

این کمک می کند تا اطمینان حاصل شود که فقط کاربران مجاز به منابع کنترلر دسترسی دارند و از آن منابع در برابر دسترسی غیرمجاز محافظت می کند.

برای یکپارچه‌سازها و کاربران نهایی، Trend Micro اقدامات متقابل زیر را ارائه می‌کند:

⁃ سیستم های پیشگیری و تشخیص نفوذ صنعتی حساس به زمینه (IPS/IDS). این دستگاه‌ها که اخیراً در کاتالوگ‌های فروشندگان امنیتی محبوبیت زیادی پیدا کرده‌اند، به مکانیسم‌های شبکه‌ای مجهز هستند که می‌توانند ترافیک بلادرنگ مرتبط با پروتکل‌های صنعتی را به منظور شناسایی حملات رهگیری کنند.

⁃ تقسیم بندی شبکه: معماری مناسب شبکه ضروری است. همانطور که این مطالعه نشان داد، تمام ماشین های آزمایش شده دارای رابط هایی هستند که می توانند توسط مهاجمان استفاده شوند.

⁃ رفع صحیح: ماشین‌های CNC مدرن مجهز به سیستم‌عامل کامل و نرم‌افزار پیچیده هستند که به ناچار آسیب‌پذیری‌های امنیتی را شامل می‌شوند. این در واقع در مورد ماشین هایی که آنها آزمایش کردند صدق می کرد.

محققان ضمن کار بر روی کنترلرها با فروشندگان راه حل های آسیب پذیر تماس گرفتند: اولین تماس در نوامبر 2021 و آخرین تماس در مارس 2022 بود.

در زمان نگارش این مقاله، هر چهار فروشنده تصمیم گرفتند یا اسناد خود را بهبود بخشند یا ارتباطات خود را با سازندگان ماشین افزایش دهند تا در نهایت راه‌حل‌های امن‌تری را به کاربران نهایی ارائه دهند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک درب پشتی پایتون که قبلاً مستند نشده بود، سرورهای VMware ESXi را هدف قرار می‌دهد که به هکرها اجازه می‌دهد دستورات را از راه دور روی یک سیستم در معرض خطر اجرا کنند.

یک بدافزار جدید در سرور VMware ESXi توسط محققان Juniper Networks پیدا شد. با این حال، محققان نتوانستند دقیقاً تعیین کنند که سرور به دلیل محدودیت ذخیره‌سازی گزارش، چگونه به خطر افتاده است.

محققان بر این باورند که CVE-2019-5544 و CVE-2020-3992 ممکن است در سرویس ESXi OpenSLP استفاده شده باشند.

علیرغم این واقعیت که بدافزار از نظر فنی نیز قادر به حمله به سیستم های لینوکس و یونیکس است، تحلیلگران ترکیبی از نشانه ها معتقدند که این بدافزار به طور خاص برای حمله به ESXi توسعه یافته است.

درپشتی جدید پایتون هفت خط به "/etc/rc.local.d/local.sh" ESXi اضافه می کند که در طول راه اندازی مجدد باقی می مانند و در هنگام راه اندازی اجرا می شوند. معمولا این فایل خالی است.

یکی از خطوط، اسکریپت پایتون "/store/packages/vmtools.py" را در فهرستی که تصاویر دیسک ماشین مجازی، گزارش‌ها و موارد دیگر در آن ذخیره می‌شوند، اجرا می‌کند. با این حال، نام فایل و مکان /store/packages/vmtools.py به گونه‌ای پیاده‌سازی شده‌اند که شکی در مورد میزبان مجازی‌سازی ایجاد نکند.

لازم به ذکر است که اسکریپت پایتون مورد استفاده در این حمله، کراس پلتفرم است و با تغییرات اندک یا بدون تغییرات در لینوکس یا سایر سیستم های مشابه یونیکس قابل استفاده است.

این اسکریپت یک وب سرور را راه‌اندازی می‌کند که درخواست‌های POST محافظت شده با رمز عبور مهاجمان راه دور را می‌پذیرد، که می‌تواند شامل یک بار فرمان کدگذاری شده پایه ۶۴ باشد یا یک پوسته معکوس روی میزبان اجرا کند.

پوسته معکوس باعث می‌شود سرور آسیب‌دیده با نویسنده ارتباط برقرار کند، که به دور زدن محدودیت‌های فایروال کمک می‌کند یا با اتصال شبکه محدود کار می‌کند.

محققان مشاهده کردند که مهاجمان همچنین پیکربندی پروکسی معکوس ESXi HTTP را تغییر دادند تا امکان دسترسی از راه دور برای برقراری ارتباط با وب سرور تعبیه شده را فراهم کند.

از آنجایی که فایل مورد استفاده برای تنظیم این پیکربندی جدید، "/etc/vmware/rhttpproxy/endpoints.conf" نیز پس از راه اندازی مجدد پشتیبان گیری و بازیابی می شود، هرگونه تغییر در آن حفظ می شود.

به کاربران توصیه می‌شود برای یافتن نشانه‌های احتمالی سازش، وجود فایل‌های ذکر شده در بالا و خطوط اضافی را در فایل "local.sh" بررسی کنند.

همه فایل‌های پیکربندی که در طول راه‌اندازی مجدد باقی می‌مانند، باید به دقت بررسی شوند تا تغییرات مشکوک وجود داشته باشد و روی تنظیمات صحیح تنظیم شوند.

در نهایت، مدیران باید تمام اتصالات شبکه ورودی را به میزبان‌های مورد اعتماد محدود کنند و به‌روزرسانی‌های امنیتی موجود که به سوءاستفاده‌های مورد استفاده برای به خطر انداختن اولیه رسیدگی می‌کنند باید در اسرع وقت اعمال شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

غول‌های صنعتی زیمنس و اشنایدر الکتریک بیش از 140 آسیب‌پذیری را با به‌روزرسانی‌های خود در دسامبر 2022 برطرف کرده‌اند.
زیمنس 80 نقص OpenSSL و OpenSSH را در سوئیچ ها رفع کرد

زیمنس

طبق معمول، زیمنس توصیه های بسیار بیشتری منتشر کرد و آسیب پذیری های بیشتری را برطرف کرد. به طور خاص، این شرکت 20 توصیه جدید را منتشر کرد که به حدود 140 حفره امنیتی پرداخته است.

یکی از این توصیه‌ها مشتریان را در مورد وصله‌های بیش از 80 آسیب‌پذیری OpenSSL و OpenSSH که بر سوئیچ‌های Scalance X-200RNA آن تأثیر می‌گذارد، آگاه می‌کند . CVE های ذکر شده در محدوده مشاوره بین سال های 2003 و 2019. این تنها توصیه ای است که درجه بندی شدت کلی آن "بحرانی" است.

همین سوئیچ ها همچنین تحت تأثیر شش آسیب پذیری با شدت متوسط ​​و بالا قرار می گیرند که می توانند برای حملات اسکریپت بین سایتی (XSS)، حملات انکار سرویس (DoS) و ربودن جلسه مورد سوء استفاده قرار گیرند.

علاوه بر این، زیمنس به مشتریان اطلاع داد که برخی از محصولاتش تحت تأثیر دو آسیب‌پذیری OpenSSL اخیراً اصلاح‌شده با نام‌های CVE-2022-3602 و CVE-2022-3786 قرار دارند. CVE-2022-3602 در ابتدا به عنوان "بحرانی" طبقه بندی شد، اما بعدا به "بالا" تنزل یافت .

این شرکت همچنین سازمان‌هایی را که از محصولاتش استفاده می‌کنند در مورد مشکلات شدید در محصولات Sicam PAS، Apogee/Talon، Mendix، Teamcenter Visualization، JT2Go، Scalance، Simatic، Parasolid، Ruggedcom و Simcenter STAR-CCM+ مطلع کرده است.

بهره برداری از آسیب پذیری ها می تواند منجر به اجرای کد از راه دور، افزایش امتیازات، حملات DoS، افشای اطلاعات و دستکاری اطلاعات شود.

آسیب‌پذیری‌های با شدت متوسط ​​در سرور PLM زیمنس (دیگر پشتیبانی نمی‌شود)، پانل‌های میدان Apogee/Talon، دستگاه‌های Simatic WinCC OA، Siprotec 5 و راه‌حل مدیریت چرخه عمر برنامه کاربردی Polarion یافت شده است.

این نقص‌های با شدت متوسط ​​را می‌توان برای حملات XSS، حملات DoS و تزریق فرمان مورد سوء استفاده قرار داد.

زیمنس وصله هایی را برای برخی از محصولات آسیب دیده منتشر کرده است، اما برای بسیاری از آنها اصلاحاتی در آینده منتشر خواهد شد. در این میان، اقدامات کاهشی و راه‌حل‌هایی در دسترس قرار گرفته است.

اشنایدر الکتریک

اشنایدر الکتریک تنها سه توصیه جدید منتشر کرده است که شش آسیب پذیری را پوشش می دهد.

بر اساس نمرات CVSS، مهمترین توصیه چهار نقص مهم و با شدت بالا را پوشش می دهد که بر نرم افزار نظارت آنلاین APC Easy UPS تأثیر می گذارد. بهره برداری می تواند منجر به اجرای کد از راه دور، افزایش امتیاز یا دور زدن احراز هویت شود.

توصیه دوم یک آسیب پذیری مجوز نامناسب با شدت بالا را توصیف می کند که بهره برداری از آن می تواند منجر به دسترسی غیرمجاز و افشای اطلاعات شود.

آخرین توصیه یک مشکل DoS با شدت متوسط ​​را توصیف می کند که بر واحد پایانه راه دور Saitel DR (RTU) تأثیر می گذارد.

اشنایدر به‌روزرسانی‌های نرم‌افزار و سیستم‌افزاری را منتشر کرده است که باید این آسیب‌پذیری‌ها را برطرف کند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گزارش خطرات امنیتی برش شبکه 5G

آژانس امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و دفتر مدیر اطلاعات ملی (ODNI) گزارش مشترکی در مورد تهدیدات احتمالی برای برش شبکه 5G منتشر کرده اند. بر اساس این گزارش، «یک قطعه شبکه یک شبکه منطقی سرتاسری است که قابلیت‌ها و ویژگی‌های شبکه خاصی را متناسب با نیازهای کاربر فراهم می‌کند. اگرچه چندین تکه شبکه در یک شبکه فیزیکی اجرا می‌شوند، کاربران تکه‌های شبکه تنها برای یک منطقه شبکه احراز هویت می‌شوند و امکان جداسازی داده‌ها و امنیت را فراهم می‌کنند.

در اصل، VLAN/SDN برای 5G. (و خیلی بیشتر.) بزرگترین خطرات شناسایی شده حملات DOS، MITM و پیکربندی هستند. بنابراین، کنترل‌ها باید وجود داشته باشند، فقط به دستگاه‌ها/سرویس‌های مورد نظر اجازه داده شود و داده‌ها درز نکنند. اگر تا به حال دستگاه‌ها یا دفاتری را که با سرویس تلفن همراه متصل هستند پیکربندی کرده‌اید، این مجازی‌سازی با افزایش پهنای باند، با انعطاف‌پذیری و مقرون به صرفه‌ای که هرگز در خطوط اجاره‌ای ندیدیم، نوار جداسازی ترافیک شما را افزایش می‌دهد. اگر این مسیر را دنبال می‌کنید، از ارائه‌دهنده خود بپرسید که چگونه به خطرات شناسایی‌شده واکنش نشان می‌دهند و چگونه تأیید می‌کنند که کاهش می‌یابند.

هر فناوری شبکه های رسانه ای مشترک (از جمله ماهواره و فیبر) از همین نوع آسیب پذیری برخوردار است، جایی که جداسازی در مشخصات بود، اما پیاده سازی های اولیه، نه چندان زیاد. بازیگران دولتی قبلاً این آسیب‌پذیری‌ها را برای مدت طولانی پیدا می‌کردند و از آن‌ها بهره‌برداری می‌کردند، بنابراین خوب است که NSA هشداری را در مقابل احتکار اطلاعات اعلام کند. اما، این فقط یک موضوع 5G نیست، که به نظر می رسد سیاسی شده است. اطمینان حاصل کنید که هر برنامه ای برای کاهش هزینه های ارتباطات شامل امنیت معتبر در فرآیند ارزیابی باشد.

البته این به اشتباه به عنوان یک تهدید توصیف می شود. تهدیدها هم منبع و هم نرخ دارند، نه بالقوه. بلکه یک ریسک است. برش ها مشابه اتصالات در POTS و VPN در اینترنت هستند. کسانی که این مسیرها را راه‌اندازی می‌کنند و به آنها تکیه می‌کنند باید احتیاط کنند.

گزارش فنی کامل را از اینجا بخوانید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

GitHub اسکن مخفی را گسترش می دهد

GitHub در حال ارائه اسکن مخفی رایگان به تمام مخازن عمومی است. پیش از این، این سرویس تنها برای سازمان‌هایی در دسترس بود که از GitHub Enterprise Cloud با مجوز GitHub Advanced Security استفاده می‌کردند. این ویژگی باید تا پایان ژانویه 2023 برای همه کاربران در دسترس باشد. پس از فعال شدن این ویژگی، GitHub به طور خودکار مخازن را برای بیش از 200 قالب توکن اسکن می کند و در صورت شناسایی اسرار فاش شده به توسعه دهندگان اطلاع می دهد. در یک داستان جداگانه، GitHub از همه کاربران می‌خواهد که احراز هویت دو مرحله‌ای را تا پایان سال 2023 فعال کنند. این الزام از ماه مارس آغاز خواهد شد.

برای اطمینان از اینکه اسرار را به اشتراک نمی گذارید، باید فرآیندهایی را به صورت محلی در اختیار داشته باشید، و فرآیند GitHub صرفاً به شما کمک خواهد کرد. از دست ندهید که 2FA نیز برای همه کاربران در سال آینده مورد نیاز خواهد بود.

با تشکر از GitHub برای فعال کردن این سرویس رایگان. صادقانه بگویم، همه ارائه دهندگان خدمات ابری باید یک سرویس اسکن رایگان مشابه را برای همه مشتریان خود فعال کنند. هزینه برای شرکت بسیار ناچیز است، ارزش برای مشتری بسیار زیاد است.

بیشتر بخوانید در:
- docs.github.com : الگوهای اسکن مخفی
- docs.github.com : پیکربندی اسکن مخفی برای مخازن شما
- docs.github.com : درباره اسکن مخفی
- www.bleepingcomputer.com : GitHub اسکن مخفی رایگان را برای تمام مخازن عمومی ارائه می کند
- www.bleepingcomputer.com : GitHub از همه کاربران می خواهد تا 2FA را تا پایان سال 2023 فعال کنند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نقص‌هایی در Veeam، Microsoft، Citrix، Fortinet و Apple به کاتالوگ KEV اضافه شد

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) شش نقص را به کاتالوگ آسیب پذیری های شناخته شده (KEV) خود اضافه کرده است. این آسیب‌پذیری‌ها یک جفت آسیب‌پذیری اجرای کد از راه دور در Veeam Backup & Replication هستند. یک آسیب‌پذیری دور زدن احراز هویت در Citrix Application Delivery Controller (ADC) و Gateway. یک آسیب پذیری دور زدن ویژگی در Microsoft Defender SmartScreen. یک آسیب‌پذیری سرریز بافر مبتنی بر پشته در Fortinet FortiOS. و یک نوع آسیب پذیری سردرگمی در iOS. پنج مورد اول صادر شده دارای تاریخ مهلت اصلاح 3 ژانویه 2023 هستند. تاریخ اصلاح نسخه iOS 4 ژانویه است.

بیشتر بخوانید در:
- www.securityweek.com : CISA به آسیب‌پذیری‌های پشتیبان‌گیری و تکرار Veeam هشدار می‌دهد که در حملات مورد سوء استفاده قرار می‌گیرند
- www.cisa.gov : کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

برای علت بروز این حادثه چه نظری دارید؟
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بدون شرح!!

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سامبا به‌روزرسانی‌های نرم‌افزاری را برای رفع آسیب‌پذیری‌ها منتشر کرده است که در صورت بهره‌برداری موفقیت‌آمیز، به مهاجم اجازه می‌دهد تا کنترل سیستم‌های آسیب‌دیده را در دست بگیرد.

سامبا یک اجرای نرم افزاری از پروتکل شبکه SMB است که خدمات فایل و چاپ را برای کلاینت های مختلف مایکروسافت ویندوز پیاده سازی می کند و می تواند با دامنه سرور ویندوز مایکروسافت به عنوان کنترل کننده دامنه (DC) ادغام شود.

این نرم افزار بر روی اکثر سیستم های مشابه یونیکس مانند لینوکس، سولاریس، AIX و BSD، از جمله Apple macOS Server و macOS client (Mac OS X 10.2 و بالاتر) اجرا می شود.

نسخه های جدید 4.17.4، 4.16.8 و 4.15.13 آسیب پذیری های جدی ردیابی شده به عنوان CVE-2022-38023، CVE-2022-37966، CVE-2022-37967 و CVE-2022-45141 را برطرف می کنند.

مشکلات به شرح زیر است:
- CVE-2022-38023 (امتیاز CVSS: 8.1) - استفاده از نوع رمزگذاری ضعیف RC4-HMAC Kerberos در کانال امن NetLogon.
- CVE-2022-37966 (امتیاز CVSS: 8.1) - آسیب پذیری افزایش امتیاز در Windows Kerberos RC4-HMAC.
- CVE-2022-37967 (امتیاز CVSS: 7.2) - آسیب پذیری افزایش امتیاز در Windows Kerberos.
- CVE-2022-45141 (امتیاز CVSS: 8.1) - از رمزگذاری RC4-HMAC هنگام صدور بلیط Kerberos در کنترلر دامنه فعال Samba با استفاده از Heimdal استفاده کنید.

در همان زمان، CVE-2022-37966 و CVE-2022-37967، که به مهاجم اجازه می دهد تا حقوق سرپرست را به دست آورد، برای اولین بار توسط مایکروسافت به عنوان بخشی از PatchTuesday نوامبر افشا شد.

به طور کلی، یک مهاجم بدون احراز هویت می‌تواند حمله‌ای را اجرا کند که می‌تواند از آسیب‌پذیری‌های پروتکل رمزنگاری در RFC 4757 (نوع رمزگذاری Kerberos RC4-HMAC-MD5) و MS-PAC (مشخصات ساختار داده گواهی ویژگی ویژگی) برای دور زدن ویژگی‌های امنیتی ویندوز سوء استفاده کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti