هشدار کشف آسیب پذیری در محصولات اتوماسیون صنعتی Moxa

کنترل دسترسی فیزیکی نامناسب CWE-1263
مهاجمی که به دستگاه‌های سری UC آسیب‌دیده دسترسی فیزیکی دارد، می‌تواند دستگاه را راه‌اندازی مجدد کند و به بایوس آن دسترسی پیدا کند. سپس گزینه های خط فرمان را می توان تغییر داد و به مهاجم اجازه دسترسی به ترمینال را می دهد. از ترمینال، مهاجم می‌تواند فایل‌های احراز هویت دستگاه را برای ایجاد یک کاربر جدید و دسترسی کامل به سیستم تغییر دهد.
CVE-2022-3086 به این آسیب‌پذیری اختصاص داده شده است. نمره پایه CVSS v3 7.6 محاسبه شده است.


شرکت Moxa برای رفع این آسیب‌پذیری، به‌روزرسانی‌هایی را برای همه محصولات آسیب‌دیده ایجاد کرده است. Moxa کاربران را تشویق می‌کند تا برای دریافت به‌روزرسانی با پشتیبانی فنی Moxa(link is external) تماس بگیرند  (لازم به ورود به سیستم).

همچنین ما به سازمان ها یادآوری می کنیم که قبل از به کارگیری اقدامات دفاعی، تجزیه و تحلیل تاثیر و ارزیابی ریسک مناسب را انجام دهند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هلند: اروپا ممکن است به دلیل هکرهای روسی بدون گاز بماند

— شرکت امنیتی Dragos که متخصص در حفاظت از شرکت های صنعتی است، کشف کرده است که 2 گروه هکر Xenotime و Kamacite در حال انجام "تجزیه و تحلیل سیستم های دیجیتال" پایانه Gasunie LNG در روتردام (هلند) هستند.

انتظار می‌رود هکرها سیستم‌های دیگر پایانه‌های LNG اروپا و زیرساخت‌های بخش انرژی را تجزیه و تحلیل کنند تا ببینند کجا می‌توانند بر سیستم‌ها تأثیر بگذارند.

- به گفته شرکت امنیت اطلاعات هلندی EclecticIQ، گروه Xenotime برای اولین بار بر اروپا تمرکز می کند - "ترمینال های LNG هلندی در حال حاضر هدف ترجیحی برای تحقیقات هکرهای روسی هستند."

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Exploiting Active Directory With Linux

https://t.me/linux_news/682

#intelligence #cybersecurity #informationsecurity

Trend Micro بخش پایانی بررسی خود را از مطالعه با عنوان "خطرات ایمنی با ماشین های CNC در صنعت 4.0" ارائه کرده است.

در این بخش، محققان بر روی اقدامات متقابلی که مشاغل می توانند برای محافظت از ماشین های خود انجام دهند، تمرکز کردند.

محققان دریافتند که از چهار فروشنده ای که مورد تجزیه و تحلیل قرار دادند، تنها دو مورد از احراز هویت پشتیبانی می کنند.

هیچ یک از آنها احراز هویت به طور پیش‌فرض فعال نشده‌اند و ماشین‌ها را در برابر حملات متجاوزان آسیب‌پذیر می‌کند.

فعال کردن احراز هویت برای محافظت از ویژگی‌های Industry 4.0 در برابر سوء استفاده ضروری است.

سیستم های کنترل دسترسی به منابع برای کاهش تأثیر حملات مهم هستند.

بسیاری از فناوری ها امکان دسترسی به تمام منابع کنترل کننده را فراهم می کنند که می تواند خطرناک باشد.

رویکرد صحیح اتخاذ سیستم های کنترل دسترسی به منابع است که دسترسی محدودی را اعطا می کند.

این کمک می کند تا اطمینان حاصل شود که فقط کاربران مجاز به منابع کنترلر دسترسی دارند و از آن منابع در برابر دسترسی غیرمجاز محافظت می کند.

برای یکپارچه‌سازها و کاربران نهایی، Trend Micro اقدامات متقابل زیر را ارائه می‌کند:

⁃ سیستم های پیشگیری و تشخیص نفوذ صنعتی حساس به زمینه (IPS/IDS). این دستگاه‌ها که اخیراً در کاتالوگ‌های فروشندگان امنیتی محبوبیت زیادی پیدا کرده‌اند، به مکانیسم‌های شبکه‌ای مجهز هستند که می‌توانند ترافیک بلادرنگ مرتبط با پروتکل‌های صنعتی را به منظور شناسایی حملات رهگیری کنند.

⁃ تقسیم بندی شبکه: معماری مناسب شبکه ضروری است. همانطور که این مطالعه نشان داد، تمام ماشین های آزمایش شده دارای رابط هایی هستند که می توانند توسط مهاجمان استفاده شوند.

⁃ رفع صحیح: ماشین‌های CNC مدرن مجهز به سیستم‌عامل کامل و نرم‌افزار پیچیده هستند که به ناچار آسیب‌پذیری‌های امنیتی را شامل می‌شوند. این در واقع در مورد ماشین هایی که آنها آزمایش کردند صدق می کرد.

محققان ضمن کار بر روی کنترلرها با فروشندگان راه حل های آسیب پذیر تماس گرفتند: اولین تماس در نوامبر 2021 و آخرین تماس در مارس 2022 بود.

در زمان نگارش این مقاله، هر چهار فروشنده تصمیم گرفتند یا اسناد خود را بهبود بخشند یا ارتباطات خود را با سازندگان ماشین افزایش دهند تا در نهایت راه‌حل‌های امن‌تری را به کاربران نهایی ارائه دهند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک درب پشتی پایتون که قبلاً مستند نشده بود، سرورهای VMware ESXi را هدف قرار می‌دهد که به هکرها اجازه می‌دهد دستورات را از راه دور روی یک سیستم در معرض خطر اجرا کنند.

یک بدافزار جدید در سرور VMware ESXi توسط محققان Juniper Networks پیدا شد. با این حال، محققان نتوانستند دقیقاً تعیین کنند که سرور به دلیل محدودیت ذخیره‌سازی گزارش، چگونه به خطر افتاده است.

محققان بر این باورند که CVE-2019-5544 و CVE-2020-3992 ممکن است در سرویس ESXi OpenSLP استفاده شده باشند.

علیرغم این واقعیت که بدافزار از نظر فنی نیز قادر به حمله به سیستم های لینوکس و یونیکس است، تحلیلگران ترکیبی از نشانه ها معتقدند که این بدافزار به طور خاص برای حمله به ESXi توسعه یافته است.

درپشتی جدید پایتون هفت خط به "/etc/rc.local.d/local.sh" ESXi اضافه می کند که در طول راه اندازی مجدد باقی می مانند و در هنگام راه اندازی اجرا می شوند. معمولا این فایل خالی است.

یکی از خطوط، اسکریپت پایتون "/store/packages/vmtools.py" را در فهرستی که تصاویر دیسک ماشین مجازی، گزارش‌ها و موارد دیگر در آن ذخیره می‌شوند، اجرا می‌کند. با این حال، نام فایل و مکان /store/packages/vmtools.py به گونه‌ای پیاده‌سازی شده‌اند که شکی در مورد میزبان مجازی‌سازی ایجاد نکند.

لازم به ذکر است که اسکریپت پایتون مورد استفاده در این حمله، کراس پلتفرم است و با تغییرات اندک یا بدون تغییرات در لینوکس یا سایر سیستم های مشابه یونیکس قابل استفاده است.

این اسکریپت یک وب سرور را راه‌اندازی می‌کند که درخواست‌های POST محافظت شده با رمز عبور مهاجمان راه دور را می‌پذیرد، که می‌تواند شامل یک بار فرمان کدگذاری شده پایه ۶۴ باشد یا یک پوسته معکوس روی میزبان اجرا کند.

پوسته معکوس باعث می‌شود سرور آسیب‌دیده با نویسنده ارتباط برقرار کند، که به دور زدن محدودیت‌های فایروال کمک می‌کند یا با اتصال شبکه محدود کار می‌کند.

محققان مشاهده کردند که مهاجمان همچنین پیکربندی پروکسی معکوس ESXi HTTP را تغییر دادند تا امکان دسترسی از راه دور برای برقراری ارتباط با وب سرور تعبیه شده را فراهم کند.

از آنجایی که فایل مورد استفاده برای تنظیم این پیکربندی جدید، "/etc/vmware/rhttpproxy/endpoints.conf" نیز پس از راه اندازی مجدد پشتیبان گیری و بازیابی می شود، هرگونه تغییر در آن حفظ می شود.

به کاربران توصیه می‌شود برای یافتن نشانه‌های احتمالی سازش، وجود فایل‌های ذکر شده در بالا و خطوط اضافی را در فایل "local.sh" بررسی کنند.

همه فایل‌های پیکربندی که در طول راه‌اندازی مجدد باقی می‌مانند، باید به دقت بررسی شوند تا تغییرات مشکوک وجود داشته باشد و روی تنظیمات صحیح تنظیم شوند.

در نهایت، مدیران باید تمام اتصالات شبکه ورودی را به میزبان‌های مورد اعتماد محدود کنند و به‌روزرسانی‌های امنیتی موجود که به سوءاستفاده‌های مورد استفاده برای به خطر انداختن اولیه رسیدگی می‌کنند باید در اسرع وقت اعمال شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

غول‌های صنعتی زیمنس و اشنایدر الکتریک بیش از 140 آسیب‌پذیری را با به‌روزرسانی‌های خود در دسامبر 2022 برطرف کرده‌اند.
زیمنس 80 نقص OpenSSL و OpenSSH را در سوئیچ ها رفع کرد

زیمنس

طبق معمول، زیمنس توصیه های بسیار بیشتری منتشر کرد و آسیب پذیری های بیشتری را برطرف کرد. به طور خاص، این شرکت 20 توصیه جدید را منتشر کرد که به حدود 140 حفره امنیتی پرداخته است.

یکی از این توصیه‌ها مشتریان را در مورد وصله‌های بیش از 80 آسیب‌پذیری OpenSSL و OpenSSH که بر سوئیچ‌های Scalance X-200RNA آن تأثیر می‌گذارد، آگاه می‌کند . CVE های ذکر شده در محدوده مشاوره بین سال های 2003 و 2019. این تنها توصیه ای است که درجه بندی شدت کلی آن "بحرانی" است.

همین سوئیچ ها همچنین تحت تأثیر شش آسیب پذیری با شدت متوسط ​​و بالا قرار می گیرند که می توانند برای حملات اسکریپت بین سایتی (XSS)، حملات انکار سرویس (DoS) و ربودن جلسه مورد سوء استفاده قرار گیرند.

علاوه بر این، زیمنس به مشتریان اطلاع داد که برخی از محصولاتش تحت تأثیر دو آسیب‌پذیری OpenSSL اخیراً اصلاح‌شده با نام‌های CVE-2022-3602 و CVE-2022-3786 قرار دارند. CVE-2022-3602 در ابتدا به عنوان "بحرانی" طبقه بندی شد، اما بعدا به "بالا" تنزل یافت .

این شرکت همچنین سازمان‌هایی را که از محصولاتش استفاده می‌کنند در مورد مشکلات شدید در محصولات Sicam PAS، Apogee/Talon، Mendix، Teamcenter Visualization، JT2Go، Scalance، Simatic، Parasolid، Ruggedcom و Simcenter STAR-CCM+ مطلع کرده است.

بهره برداری از آسیب پذیری ها می تواند منجر به اجرای کد از راه دور، افزایش امتیازات، حملات DoS، افشای اطلاعات و دستکاری اطلاعات شود.

آسیب‌پذیری‌های با شدت متوسط ​​در سرور PLM زیمنس (دیگر پشتیبانی نمی‌شود)، پانل‌های میدان Apogee/Talon، دستگاه‌های Simatic WinCC OA، Siprotec 5 و راه‌حل مدیریت چرخه عمر برنامه کاربردی Polarion یافت شده است.

این نقص‌های با شدت متوسط ​​را می‌توان برای حملات XSS، حملات DoS و تزریق فرمان مورد سوء استفاده قرار داد.

زیمنس وصله هایی را برای برخی از محصولات آسیب دیده منتشر کرده است، اما برای بسیاری از آنها اصلاحاتی در آینده منتشر خواهد شد. در این میان، اقدامات کاهشی و راه‌حل‌هایی در دسترس قرار گرفته است.

اشنایدر الکتریک

اشنایدر الکتریک تنها سه توصیه جدید منتشر کرده است که شش آسیب پذیری را پوشش می دهد.

بر اساس نمرات CVSS، مهمترین توصیه چهار نقص مهم و با شدت بالا را پوشش می دهد که بر نرم افزار نظارت آنلاین APC Easy UPS تأثیر می گذارد. بهره برداری می تواند منجر به اجرای کد از راه دور، افزایش امتیاز یا دور زدن احراز هویت شود.

توصیه دوم یک آسیب پذیری مجوز نامناسب با شدت بالا را توصیف می کند که بهره برداری از آن می تواند منجر به دسترسی غیرمجاز و افشای اطلاعات شود.

آخرین توصیه یک مشکل DoS با شدت متوسط ​​را توصیف می کند که بر واحد پایانه راه دور Saitel DR (RTU) تأثیر می گذارد.

اشنایدر به‌روزرسانی‌های نرم‌افزار و سیستم‌افزاری را منتشر کرده است که باید این آسیب‌پذیری‌ها را برطرف کند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گزارش خطرات امنیتی برش شبکه 5G

آژانس امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و دفتر مدیر اطلاعات ملی (ODNI) گزارش مشترکی در مورد تهدیدات احتمالی برای برش شبکه 5G منتشر کرده اند. بر اساس این گزارش، «یک قطعه شبکه یک شبکه منطقی سرتاسری است که قابلیت‌ها و ویژگی‌های شبکه خاصی را متناسب با نیازهای کاربر فراهم می‌کند. اگرچه چندین تکه شبکه در یک شبکه فیزیکی اجرا می‌شوند، کاربران تکه‌های شبکه تنها برای یک منطقه شبکه احراز هویت می‌شوند و امکان جداسازی داده‌ها و امنیت را فراهم می‌کنند.

در اصل، VLAN/SDN برای 5G. (و خیلی بیشتر.) بزرگترین خطرات شناسایی شده حملات DOS، MITM و پیکربندی هستند. بنابراین، کنترل‌ها باید وجود داشته باشند، فقط به دستگاه‌ها/سرویس‌های مورد نظر اجازه داده شود و داده‌ها درز نکنند. اگر تا به حال دستگاه‌ها یا دفاتری را که با سرویس تلفن همراه متصل هستند پیکربندی کرده‌اید، این مجازی‌سازی با افزایش پهنای باند، با انعطاف‌پذیری و مقرون به صرفه‌ای که هرگز در خطوط اجاره‌ای ندیدیم، نوار جداسازی ترافیک شما را افزایش می‌دهد. اگر این مسیر را دنبال می‌کنید، از ارائه‌دهنده خود بپرسید که چگونه به خطرات شناسایی‌شده واکنش نشان می‌دهند و چگونه تأیید می‌کنند که کاهش می‌یابند.

هر فناوری شبکه های رسانه ای مشترک (از جمله ماهواره و فیبر) از همین نوع آسیب پذیری برخوردار است، جایی که جداسازی در مشخصات بود، اما پیاده سازی های اولیه، نه چندان زیاد. بازیگران دولتی قبلاً این آسیب‌پذیری‌ها را برای مدت طولانی پیدا می‌کردند و از آن‌ها بهره‌برداری می‌کردند، بنابراین خوب است که NSA هشداری را در مقابل احتکار اطلاعات اعلام کند. اما، این فقط یک موضوع 5G نیست، که به نظر می رسد سیاسی شده است. اطمینان حاصل کنید که هر برنامه ای برای کاهش هزینه های ارتباطات شامل امنیت معتبر در فرآیند ارزیابی باشد.

البته این به اشتباه به عنوان یک تهدید توصیف می شود. تهدیدها هم منبع و هم نرخ دارند، نه بالقوه. بلکه یک ریسک است. برش ها مشابه اتصالات در POTS و VPN در اینترنت هستند. کسانی که این مسیرها را راه‌اندازی می‌کنند و به آنها تکیه می‌کنند باید احتیاط کنند.

گزارش فنی کامل را از اینجا بخوانید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

GitHub اسکن مخفی را گسترش می دهد

GitHub در حال ارائه اسکن مخفی رایگان به تمام مخازن عمومی است. پیش از این، این سرویس تنها برای سازمان‌هایی در دسترس بود که از GitHub Enterprise Cloud با مجوز GitHub Advanced Security استفاده می‌کردند. این ویژگی باید تا پایان ژانویه 2023 برای همه کاربران در دسترس باشد. پس از فعال شدن این ویژگی، GitHub به طور خودکار مخازن را برای بیش از 200 قالب توکن اسکن می کند و در صورت شناسایی اسرار فاش شده به توسعه دهندگان اطلاع می دهد. در یک داستان جداگانه، GitHub از همه کاربران می‌خواهد که احراز هویت دو مرحله‌ای را تا پایان سال 2023 فعال کنند. این الزام از ماه مارس آغاز خواهد شد.

برای اطمینان از اینکه اسرار را به اشتراک نمی گذارید، باید فرآیندهایی را به صورت محلی در اختیار داشته باشید، و فرآیند GitHub صرفاً به شما کمک خواهد کرد. از دست ندهید که 2FA نیز برای همه کاربران در سال آینده مورد نیاز خواهد بود.

با تشکر از GitHub برای فعال کردن این سرویس رایگان. صادقانه بگویم، همه ارائه دهندگان خدمات ابری باید یک سرویس اسکن رایگان مشابه را برای همه مشتریان خود فعال کنند. هزینه برای شرکت بسیار ناچیز است، ارزش برای مشتری بسیار زیاد است.

بیشتر بخوانید در:
- docs.github.com : الگوهای اسکن مخفی
- docs.github.com : پیکربندی اسکن مخفی برای مخازن شما
- docs.github.com : درباره اسکن مخفی
- www.bleepingcomputer.com : GitHub اسکن مخفی رایگان را برای تمام مخازن عمومی ارائه می کند
- www.bleepingcomputer.com : GitHub از همه کاربران می خواهد تا 2FA را تا پایان سال 2023 فعال کنند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نقص‌هایی در Veeam، Microsoft، Citrix، Fortinet و Apple به کاتالوگ KEV اضافه شد

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) شش نقص را به کاتالوگ آسیب پذیری های شناخته شده (KEV) خود اضافه کرده است. این آسیب‌پذیری‌ها یک جفت آسیب‌پذیری اجرای کد از راه دور در Veeam Backup & Replication هستند. یک آسیب‌پذیری دور زدن احراز هویت در Citrix Application Delivery Controller (ADC) و Gateway. یک آسیب پذیری دور زدن ویژگی در Microsoft Defender SmartScreen. یک آسیب‌پذیری سرریز بافر مبتنی بر پشته در Fortinet FortiOS. و یک نوع آسیب پذیری سردرگمی در iOS. پنج مورد اول صادر شده دارای تاریخ مهلت اصلاح 3 ژانویه 2023 هستند. تاریخ اصلاح نسخه iOS 4 ژانویه است.

بیشتر بخوانید در:
- www.securityweek.com : CISA به آسیب‌پذیری‌های پشتیبان‌گیری و تکرار Veeam هشدار می‌دهد که در حملات مورد سوء استفاده قرار می‌گیرند
- www.cisa.gov : کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

برای علت بروز این حادثه چه نظری دارید؟
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

بدون شرح!!

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سامبا به‌روزرسانی‌های نرم‌افزاری را برای رفع آسیب‌پذیری‌ها منتشر کرده است که در صورت بهره‌برداری موفقیت‌آمیز، به مهاجم اجازه می‌دهد تا کنترل سیستم‌های آسیب‌دیده را در دست بگیرد.

سامبا یک اجرای نرم افزاری از پروتکل شبکه SMB است که خدمات فایل و چاپ را برای کلاینت های مختلف مایکروسافت ویندوز پیاده سازی می کند و می تواند با دامنه سرور ویندوز مایکروسافت به عنوان کنترل کننده دامنه (DC) ادغام شود.

این نرم افزار بر روی اکثر سیستم های مشابه یونیکس مانند لینوکس، سولاریس، AIX و BSD، از جمله Apple macOS Server و macOS client (Mac OS X 10.2 و بالاتر) اجرا می شود.

نسخه های جدید 4.17.4، 4.16.8 و 4.15.13 آسیب پذیری های جدی ردیابی شده به عنوان CVE-2022-38023، CVE-2022-37966، CVE-2022-37967 و CVE-2022-45141 را برطرف می کنند.

مشکلات به شرح زیر است:
- CVE-2022-38023 (امتیاز CVSS: 8.1) - استفاده از نوع رمزگذاری ضعیف RC4-HMAC Kerberos در کانال امن NetLogon.
- CVE-2022-37966 (امتیاز CVSS: 8.1) - آسیب پذیری افزایش امتیاز در Windows Kerberos RC4-HMAC.
- CVE-2022-37967 (امتیاز CVSS: 7.2) - آسیب پذیری افزایش امتیاز در Windows Kerberos.
- CVE-2022-45141 (امتیاز CVSS: 8.1) - از رمزگذاری RC4-HMAC هنگام صدور بلیط Kerberos در کنترلر دامنه فعال Samba با استفاده از Heimdal استفاده کنید.

در همان زمان، CVE-2022-37966 و CVE-2022-37967، که به مهاجم اجازه می دهد تا حقوق سرپرست را به دست آورد، برای اولین بار توسط مایکروسافت به عنوان بخشی از PatchTuesday نوامبر افشا شد.

به طور کلی، یک مهاجم بدون احراز هویت می‌تواند حمله‌ای را اجرا کند که می‌تواند از آسیب‌پذیری‌های پروتکل رمزنگاری در RFC 4757 (نوع رمزگذاری Kerberos RC4-HMAC-MD5) و MS-PAC (مشخصات ساختار داده گواهی ویژگی ویژگی) برای دور زدن ویژگی‌های امنیتی ویندوز سوء استفاده کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیسکو مجموعه ای از توصیه های امنیتی را به روز کرده است تا در مورد سوء استفاده مخرب از آسیب پذیری های جدی که دستگاه های شبکه را تحت تأثیر قرار می دهند هشدار دهد.

بسیاری از باگ‌های مهم و حیاتی 4-5 سال پیش برطرف شدند، اما سازمان‌هایی که دستگاه‌های خود را اصلاح نکرده‌اند، همچنان آنها را تجربه می‌کنند.

هفته گذشته، غول فناوری هشدارهای سوء استفاده را به بیش از 20 بولتن اضافه کرد که مسائل امنیتی را در نرم افزار Cisco IOS، NX-OS و HyperFlex شرح می دهد.

در مارس 2022، سیسکو (PSIRT) از تلاش‌های بیشتری برای بهره‌برداری از این آسیب‌پذیری در شرایط دنیای واقعی آگاه شد. سیسکو همچنان به شدت مشتریان را تشویق می کند که به نسخه نرم افزار اصلاح شده مهاجرت کنند.

پنج مورد از توصیه‌های به‌روزرسانی شده آسیب‌پذیری‌های حیاتی را مورد بررسی قرار می‌دهند که می‌توانند به مهاجمان راه دور اجازه دستیابی به RCE، ایجاد DoS یا اجرای دستورات دلخواه را بدهند.

با امتیاز CVSS 9.8، آسیب‌پذیری‌های قابل بهره‌برداری به‌عنوان CVE-2017-12240، CVE-2018-0171، CVE-2018-0125، CVE-2021-1497، و CVE-2018-0147 ردیابی می‌شوند. اشکالات Cisco IOS و IOS XE، روترهای RV132W و RV134W، HyperFlex HX و ACS را تحت تأثیر قرار می دهند.

سیسکو همچنین 15 بولتن را به‌روزرسانی کرد که آسیب‌پذیری‌های با شدت بالا را در Cisco IOS و IOS XE بررسی می‌کرد و یکی از آنها مربوط به یک مشکل اصلی در اجرای دستورات دلخواه در روترهای سری Small Business RV بود.

چندین بولتن نیز به‌روزرسانی شده‌اند که باگ‌های با درجه متوسط را شرح می‌دهند.

سازمان‌ها ضروریست تا راهنمایی‌های سیسکو را بررسی کرده و هر گونه اصلاحات لازم را در اسرع وقت اعمال کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

غول مهندسی صنایع و فولاد آلمان Thyssenkrupp مورد حمله سایبری قرار گرفته است.

سرویس امنیت اطلاعات شرکت این حادثه را در مراحل اولیه شناسایی کرد و مهاجمان نتوانستند خسارت قابل توجهی ایجاد کنند، فقط برخی از بخش های فناوری اطلاعات ThyssenKrupp از جمله بخش عمومی شرکت و مواد تحت تأثیر قرار گرفتند.

علاوه بر این، این شرکت هیچ مدرکی مبنی بر سرقت یا تغییر داده ها دریافت نکرده است.

این احتمال که بخش‌ها و واحدهای تجاری دیگر هدف قرار گرفته باشند را می‌توان رد کرد.

یک تیم بحران به سرعت برای بررسی این حادثه و رسیدگی به عواقب آن تشکیل شد.

این شرکت به خبرنگاران گفت که جنایت سازمان یافته پشت این حمله بوده است، اما مشخص نکرد که آیا این یک حمله باج افزار بوده است یا خیر.

با این حال، همه چیز به باج افزار اشاره دارد، زیرا در چند سال گذشته Thyssenkrupp نیز هدف چندین گروه باج افزار از جمله Netwalker قرار گرفته است.

و در سال 2016، این شرکت مورد حمله هکرهایی قرار گرفت که گمان می‌رود در جنوب شرقی آسیا مستقر هستند تا اسرار صنعتی را سرقت کنند.

علاوه بر این، امسال کسب‌وکارهای بزرگ آلمانی به خوبی با بازیگران اصلی صنعت باج‌افزار آشنا شده‌اند.

لیست قربانیان شامل: غول های بادی Deutsche Windtechnik و Nordex Group، تولید کننده مس Aurubis و غول خودروسازی Continental بود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🎃هکرهای روس ادعا می کنند یکی از بزرگترین شرکت های انرژی آمریکایی در جهان را رمزگذاری کرده اند 🇺🇸🇺🇸Chevron با گردش مالی بیش از 150 میلیارد دلار.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

با کد تخفیف زیر میتوانید ویدئوی آموزشی آشنایی با الزامات ویرایش جدید ISO 27001:2022 را دریافت کنید
از شب یلدا تا ۹ دی-
­
کد تخفیف: yalda
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

هم اکنون وصله کنید: حفره امنیتی جدی هسته لینوکس کشف شد
برای اطلاعات بیشتر:
https://t.me/linux_news/684

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هزاران سرور Citrix ADC و Gateway در برابر دو آسیب‌پذیری اصلی که اخیراً اصلاح شده‌اند آسیب‌پذیر هستند.

اولین CVE-2022-27510 در 8 نوامبر ثابت شد و یک دور زدن احراز هویت است که بر هر دو محصول Citrix تأثیر می گذارد.

یک مهاجم می‌تواند از آن برای دسترسی غیرمجاز به یک دستگاه، انجام ضبط از راه دور دسکتاپ یا دور زدن امنیت ورود استفاده کند.

دومین باگ که با نام CVE-2022-27518 ردیابی شده بود در 13 دسامبر فاش و رفع شد. این به مهاجمان تایید نشده اجازه می دهد تا دستورات را از راه دور روی دستگاه های آسیب پذیر اجرا کنند و کنترل آنها را در دست بگیرند.

در زمانی که Citrix اصلاحات را منتشر کرد، مهاجمان قبلاً به طور فعال از آن استفاده می کردند.

با وجود به‌روزرسانی‌ها، محققان گروه Fox NCC گزارش می‌دهند که هزاران استقرار در برابر حملات آسیب‌پذیر هستند.

در 11 نوامبر 2022، فاکس شبکه جهانی را اسکن کرد و در مجموع 28000 سرور Citrix را در شبکه پیدا کرد.

بر اساس مقایسه نسخه محصول، از 28 دسامبر 2022، آنها دریافتند که اکثر کاربران نسخه 13.0-88.14 را اجرا می کنند که تحت تأثیر باگ ها قرار نمی گیرد.

دومین نسخه محبوب 12.1-65.21 بود که تحت شرایط خاص در برابر CVE-2022-27518 آسیب پذیر است که در 3500 نقطه پایانی شناسایی شده است.

پیکربندی SAML SP یا IdP برای حمله به آنها مورد نیاز است، به این معنی که همه 3500 سیستم در برابر CVE-2022-27518 آسیب پذیر نبودند.

علاوه بر این، بیش از 1000 سرور در برابر CVE-2022-27510 آسیب پذیر هستند و تقریباً 3000 نقطه پایانی به طور بالقوه در برابر هر دو باگ کشنده آسیب پذیر هستند.

مقام سوم به استقرارهایی رسید که هش هایی با شماره نسخه ناشناخته Citrix برمی گرداند. بیش از 3500 سرور وجود دارد که ممکن است در برابر هر آسیب پذیری آسیب پذیر باشند یا نباشند.

با توجه به سرعت وصله، محققان به واکنش سریع کاربران در ایالات متحده، آلمان، کانادا، استرالیا و سوئیس به انتشار توصیه‌های امنیتی مربوطه اشاره می‌کنند.

به طور کلی، آمار فاکس نشان می دهد که بسیاری از شرکت ها هنوز کار زیادی برای رفع تمام شکاف های امنیتی دارند و همچنین هکرها که هنوز شکاف زیادی برای برنامه ریزی و انجام حملات دارند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

پلتفرم رمزنگاری 3Commas به یک حادثه سایبری که منجر به سرقت کلیدهای API شده بود، اذعان کرد.

روز گذشته، یک کاربر ناشناس توییتر مجموعه‌ای از 10000 کلید API را منتشر کرد که توسط 3Commas برای تعامل با صرافی‌های رمزنگاری و انجام اقدامات سرمایه‌گذاری و معاملاتی خودکار از طرف کاربران استفاده می‌شد.

در عین حال، به گفته مهاجم، کل نشت شامل بیش از 100000 کلید API است که در روزهای آینده منتشر خواهد شد.

دولت 3Commas این نشت را بررسی کرده و مشروعیت کلیدهای API را تأیید کرده است و از همه صرافی‌های پشتیبانی شده، از جمله Kucoin، Coinbase و Binance خواسته است تا همه کلیدها را باطل کنند.

با شروع تحقیقات در 19 نوامبر، 3Commas اقداماتی را برای ممانعت از دسترسی کارکنان فنی به زیرساخت انجام داد و معتقد بود که یک خودی مقصر حادثه است، اما شواهدی از این نسخه پیدا نکرد.

در همین حال، 3Commas در بررسی کند بوده است، بسیاری از مشتریان آن در چند ماه گذشته در نتیجه تراکنش‌های ساختگی روی حساب‌های خود وجوه خود را از دست داده‌اند.

اولین گزارش تراکنش های مجرمانه از طریق 3Commas در اکتبر 2022 منتشر شد و در هفته های اخیر به اوج خود رسید. در ماه نوامبر، برخی از مالکان دارایی های رمزنگاری شده را به ارزش حدود 6،000،000 دلار از دست دادند.

حتی پس از آن، پلتفرم امکان هک را رد کرد، من تمام مسئولیت اتفاقات رخ داده را بر عهده خود کاربران می‌گذارم که می‌توانند قربانی حملات فیشینگ یا استفاده از برنامه‌های تروجانی شوند.

بعداً در 10 دسامبر 2022، 3Commas یک گزارش تحقیقاتی منتشر کرد که ادعا می‌کرد نتوانستند شواهدی مبنی بر به خطر افتادن سیستم‌هایشان پیدا کنند.

روز بعد، این پلتفرم یک پست جدید منتشر کرد که در آن ادعاهایی مبنی بر اینکه کارمندانش کلیدهای API کاربر را برای سرقت دارایی‌های کاربر می‌دزدند، رد کرد.

کاربران 3Commas که گزارش تراکنش‌های غیرمجاز آن‌ها توسط شرکت رد شده بود، اکنون خواهان بازپرداخت کامل هستند. تاکنون 3Commas هیچ اظهارنظری در مورد غرامت احتمالی نداده است.

با این حال، این شرکت توصیه می کند که کاربران به طور مستقل کلیدهای خود را در تمام مبادلات مرتبط مجدداً منتشر کنند و برای توصیه هایی در مورد اقدامات بعدی در هر مورد با پشتیبانی 3Commas تماس بگیرند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اولین وصله‌های ICS ژانویه با ده‌ها توصیه امنیتی از زیمنس و اشنایدر الکتریک وارد شد که در مجموع ۲۷ آسیب‌پذیری را برطرف کردند.

زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.

مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.

خطاها، که همگی بحرانی یا با شدت بالا هستند، می‌توانند به مهاجم اجازه خواندن و نوشتن فایل‌های دلخواه را بدهند که در نهایت می‌تواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.

بولتن دیگر مربوط به یک آسیب‌پذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم می‌تواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندی‌های غیر پیش‌فرض خاصی قابل بهره‌برداری است.

زیمنس همچنین از دو آسیب‌پذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.

یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.

آسیب‌پذیری‌های RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.

محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.

سازنده نسخه‌های سخت‌افزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخه‌های جدید برای انواع PLC باقی‌مانده است تا به طور کامل این آسیب‌پذیری را از بین ببرد.

اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.

این شرکت مشتریان را از در دسترس بودن وصله‌هایی برای آسیب‌پذیری‌های حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که می‌تواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.

یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.

EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.

آسیب‌پذیری‌ها در EcoStruxure Control Expert، Process Expert و Modicon PLC‌ها رفع شده‌اند که می‌توانند حملات RCE و DoS را با استفاده از فایل‌های پروژه‌ای ساخته‌شده خاص امکان‌پذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.

موضوع افشای متوسط در تهویه مطبوع متخصص ماشین بسته شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti