گزارش خطرات امنیتی برش شبکه 5G
آژانس امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و دفتر مدیر اطلاعات ملی (ODNI) گزارش مشترکی در مورد تهدیدات احتمالی برای برش شبکه 5G منتشر کرده اند. بر اساس این گزارش، «یک قطعه شبکه یک شبکه منطقی سرتاسری است که قابلیتها و ویژگیهای شبکه خاصی را متناسب با نیازهای کاربر فراهم میکند. اگرچه چندین تکه شبکه در یک شبکه فیزیکی اجرا میشوند، کاربران تکههای شبکه تنها برای یک منطقه شبکه احراز هویت میشوند و امکان جداسازی دادهها و امنیت را فراهم میکنند.
در اصل، VLAN/SDN برای 5G. (و خیلی بیشتر.) بزرگترین خطرات شناسایی شده حملات DOS، MITM و پیکربندی هستند. بنابراین، کنترلها باید وجود داشته باشند، فقط به دستگاهها/سرویسهای مورد نظر اجازه داده شود و دادهها درز نکنند. اگر تا به حال دستگاهها یا دفاتری را که با سرویس تلفن همراه متصل هستند پیکربندی کردهاید، این مجازیسازی با افزایش پهنای باند، با انعطافپذیری و مقرون به صرفهای که هرگز در خطوط اجارهای ندیدیم، نوار جداسازی ترافیک شما را افزایش میدهد. اگر این مسیر را دنبال میکنید، از ارائهدهنده خود بپرسید که چگونه به خطرات شناساییشده واکنش نشان میدهند و چگونه تأیید میکنند که کاهش مییابند.
هر فناوری شبکه های رسانه ای مشترک (از جمله ماهواره و فیبر) از همین نوع آسیب پذیری برخوردار است، جایی که جداسازی در مشخصات بود، اما پیاده سازی های اولیه، نه چندان زیاد. بازیگران دولتی قبلاً این آسیبپذیریها را برای مدت طولانی پیدا میکردند و از آنها بهرهبرداری میکردند، بنابراین خوب است که NSA هشداری را در مقابل احتکار اطلاعات اعلام کند. اما، این فقط یک موضوع 5G نیست، که به نظر می رسد سیاسی شده است. اطمینان حاصل کنید که هر برنامه ای برای کاهش هزینه های ارتباطات شامل امنیت معتبر در فرآیند ارزیابی باشد.
البته این به اشتباه به عنوان یک تهدید توصیف می شود. تهدیدها هم منبع و هم نرخ دارند، نه بالقوه. بلکه یک ریسک است. برش ها مشابه اتصالات در POTS و VPN در اینترنت هستند. کسانی که این مسیرها را راهاندازی میکنند و به آنها تکیه میکنند باید احتیاط کنند.
گزارش فنی کامل را از اینجا بخوانید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
آژانس امنیت ملی ایالات متحده (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و دفتر مدیر اطلاعات ملی (ODNI) گزارش مشترکی در مورد تهدیدات احتمالی برای برش شبکه 5G منتشر کرده اند. بر اساس این گزارش، «یک قطعه شبکه یک شبکه منطقی سرتاسری است که قابلیتها و ویژگیهای شبکه خاصی را متناسب با نیازهای کاربر فراهم میکند. اگرچه چندین تکه شبکه در یک شبکه فیزیکی اجرا میشوند، کاربران تکههای شبکه تنها برای یک منطقه شبکه احراز هویت میشوند و امکان جداسازی دادهها و امنیت را فراهم میکنند.
در اصل، VLAN/SDN برای 5G. (و خیلی بیشتر.) بزرگترین خطرات شناسایی شده حملات DOS، MITM و پیکربندی هستند. بنابراین، کنترلها باید وجود داشته باشند، فقط به دستگاهها/سرویسهای مورد نظر اجازه داده شود و دادهها درز نکنند. اگر تا به حال دستگاهها یا دفاتری را که با سرویس تلفن همراه متصل هستند پیکربندی کردهاید، این مجازیسازی با افزایش پهنای باند، با انعطافپذیری و مقرون به صرفهای که هرگز در خطوط اجارهای ندیدیم، نوار جداسازی ترافیک شما را افزایش میدهد. اگر این مسیر را دنبال میکنید، از ارائهدهنده خود بپرسید که چگونه به خطرات شناساییشده واکنش نشان میدهند و چگونه تأیید میکنند که کاهش مییابند.
هر فناوری شبکه های رسانه ای مشترک (از جمله ماهواره و فیبر) از همین نوع آسیب پذیری برخوردار است، جایی که جداسازی در مشخصات بود، اما پیاده سازی های اولیه، نه چندان زیاد. بازیگران دولتی قبلاً این آسیبپذیریها را برای مدت طولانی پیدا میکردند و از آنها بهرهبرداری میکردند، بنابراین خوب است که NSA هشداری را در مقابل احتکار اطلاعات اعلام کند. اما، این فقط یک موضوع 5G نیست، که به نظر می رسد سیاسی شده است. اطمینان حاصل کنید که هر برنامه ای برای کاهش هزینه های ارتباطات شامل امنیت معتبر در فرآیند ارزیابی باشد.
البته این به اشتباه به عنوان یک تهدید توصیف می شود. تهدیدها هم منبع و هم نرخ دارند، نه بالقوه. بلکه یک ریسک است. برش ها مشابه اتصالات در POTS و VPN در اینترنت هستند. کسانی که این مسیرها را راهاندازی میکنند و به آنها تکیه میکنند باید احتیاط کنند.
گزارش فنی کامل را از اینجا بخوانید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
GitHub اسکن مخفی را گسترش می دهد
GitHub در حال ارائه اسکن مخفی رایگان به تمام مخازن عمومی است. پیش از این، این سرویس تنها برای سازمانهایی در دسترس بود که از GitHub Enterprise Cloud با مجوز GitHub Advanced Security استفاده میکردند. این ویژگی باید تا پایان ژانویه 2023 برای همه کاربران در دسترس باشد. پس از فعال شدن این ویژگی، GitHub به طور خودکار مخازن را برای بیش از 200 قالب توکن اسکن می کند و در صورت شناسایی اسرار فاش شده به توسعه دهندگان اطلاع می دهد. در یک داستان جداگانه، GitHub از همه کاربران میخواهد که احراز هویت دو مرحلهای را تا پایان سال 2023 فعال کنند. این الزام از ماه مارس آغاز خواهد شد.
برای اطمینان از اینکه اسرار را به اشتراک نمی گذارید، باید فرآیندهایی را به صورت محلی در اختیار داشته باشید، و فرآیند GitHub صرفاً به شما کمک خواهد کرد. از دست ندهید که 2FA نیز برای همه کاربران در سال آینده مورد نیاز خواهد بود.
با تشکر از GitHub برای فعال کردن این سرویس رایگان. صادقانه بگویم، همه ارائه دهندگان خدمات ابری باید یک سرویس اسکن رایگان مشابه را برای همه مشتریان خود فعال کنند. هزینه برای شرکت بسیار ناچیز است، ارزش برای مشتری بسیار زیاد است.
بیشتر بخوانید در:
- docs.github.com : الگوهای اسکن مخفی
- docs.github.com : پیکربندی اسکن مخفی برای مخازن شما
- docs.github.com : درباره اسکن مخفی
- www.bleepingcomputer.com : GitHub اسکن مخفی رایگان را برای تمام مخازن عمومی ارائه می کند
- www.bleepingcomputer.com : GitHub از همه کاربران می خواهد تا 2FA را تا پایان سال 2023 فعال کنند
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
GitHub در حال ارائه اسکن مخفی رایگان به تمام مخازن عمومی است. پیش از این، این سرویس تنها برای سازمانهایی در دسترس بود که از GitHub Enterprise Cloud با مجوز GitHub Advanced Security استفاده میکردند. این ویژگی باید تا پایان ژانویه 2023 برای همه کاربران در دسترس باشد. پس از فعال شدن این ویژگی، GitHub به طور خودکار مخازن را برای بیش از 200 قالب توکن اسکن می کند و در صورت شناسایی اسرار فاش شده به توسعه دهندگان اطلاع می دهد. در یک داستان جداگانه، GitHub از همه کاربران میخواهد که احراز هویت دو مرحلهای را تا پایان سال 2023 فعال کنند. این الزام از ماه مارس آغاز خواهد شد.
برای اطمینان از اینکه اسرار را به اشتراک نمی گذارید، باید فرآیندهایی را به صورت محلی در اختیار داشته باشید، و فرآیند GitHub صرفاً به شما کمک خواهد کرد. از دست ندهید که 2FA نیز برای همه کاربران در سال آینده مورد نیاز خواهد بود.
با تشکر از GitHub برای فعال کردن این سرویس رایگان. صادقانه بگویم، همه ارائه دهندگان خدمات ابری باید یک سرویس اسکن رایگان مشابه را برای همه مشتریان خود فعال کنند. هزینه برای شرکت بسیار ناچیز است، ارزش برای مشتری بسیار زیاد است.
بیشتر بخوانید در:
- docs.github.com : الگوهای اسکن مخفی
- docs.github.com : پیکربندی اسکن مخفی برای مخازن شما
- docs.github.com : درباره اسکن مخفی
- www.bleepingcomputer.com : GitHub اسکن مخفی رایگان را برای تمام مخازن عمومی ارائه می کند
- www.bleepingcomputer.com : GitHub از همه کاربران می خواهد تا 2FA را تا پایان سال 2023 فعال کنند
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نقصهایی در Veeam، Microsoft، Citrix، Fortinet و Apple به کاتالوگ KEV اضافه شد
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) شش نقص را به کاتالوگ آسیب پذیری های شناخته شده (KEV) خود اضافه کرده است. این آسیبپذیریها یک جفت آسیبپذیری اجرای کد از راه دور در Veeam Backup & Replication هستند. یک آسیبپذیری دور زدن احراز هویت در Citrix Application Delivery Controller (ADC) و Gateway. یک آسیب پذیری دور زدن ویژگی در Microsoft Defender SmartScreen. یک آسیبپذیری سرریز بافر مبتنی بر پشته در Fortinet FortiOS. و یک نوع آسیب پذیری سردرگمی در iOS. پنج مورد اول صادر شده دارای تاریخ مهلت اصلاح 3 ژانویه 2023 هستند. تاریخ اصلاح نسخه iOS 4 ژانویه است.
بیشتر بخوانید در:
- www.securityweek.com : CISA به آسیبپذیریهای پشتیبانگیری و تکرار Veeam هشدار میدهد که در حملات مورد سوء استفاده قرار میگیرند
- www.cisa.gov : کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) شش نقص را به کاتالوگ آسیب پذیری های شناخته شده (KEV) خود اضافه کرده است. این آسیبپذیریها یک جفت آسیبپذیری اجرای کد از راه دور در Veeam Backup & Replication هستند. یک آسیبپذیری دور زدن احراز هویت در Citrix Application Delivery Controller (ADC) و Gateway. یک آسیب پذیری دور زدن ویژگی در Microsoft Defender SmartScreen. یک آسیبپذیری سرریز بافر مبتنی بر پشته در Fortinet FortiOS. و یک نوع آسیب پذیری سردرگمی در iOS. پنج مورد اول صادر شده دارای تاریخ مهلت اصلاح 3 ژانویه 2023 هستند. تاریخ اصلاح نسخه iOS 4 ژانویه است.
بیشتر بخوانید در:
- www.securityweek.com : CISA به آسیبپذیریهای پشتیبانگیری و تکرار Veeam هشدار میدهد که در حملات مورد سوء استفاده قرار میگیرند
- www.cisa.gov : کاتالوگ آسیب پذیری های مورد سوء استفاده شناخته شده
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
برای علت بروز این حادثه چه نظری دارید؟
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بدون شرح!!
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سامبا بهروزرسانیهای نرمافزاری را برای رفع آسیبپذیریها منتشر کرده است که در صورت بهرهبرداری موفقیتآمیز، به مهاجم اجازه میدهد تا کنترل سیستمهای آسیبدیده را در دست بگیرد.
سامبا یک اجرای نرم افزاری از پروتکل شبکه SMB است که خدمات فایل و چاپ را برای کلاینت های مختلف مایکروسافت ویندوز پیاده سازی می کند و می تواند با دامنه سرور ویندوز مایکروسافت به عنوان کنترل کننده دامنه (DC) ادغام شود.
این نرم افزار بر روی اکثر سیستم های مشابه یونیکس مانند لینوکس، سولاریس، AIX و BSD، از جمله Apple macOS Server و macOS client (Mac OS X 10.2 و بالاتر) اجرا می شود.
نسخه های جدید 4.17.4، 4.16.8 و 4.15.13 آسیب پذیری های جدی ردیابی شده به عنوان CVE-2022-38023، CVE-2022-37966، CVE-2022-37967 و CVE-2022-45141 را برطرف می کنند.
مشکلات به شرح زیر است:
- CVE-2022-38023 (امتیاز CVSS: 8.1) - استفاده از نوع رمزگذاری ضعیف RC4-HMAC Kerberos در کانال امن NetLogon.
- CVE-2022-37966 (امتیاز CVSS: 8.1) - آسیب پذیری افزایش امتیاز در Windows Kerberos RC4-HMAC.
- CVE-2022-37967 (امتیاز CVSS: 7.2) - آسیب پذیری افزایش امتیاز در Windows Kerberos.
- CVE-2022-45141 (امتیاز CVSS: 8.1) - از رمزگذاری RC4-HMAC هنگام صدور بلیط Kerberos در کنترلر دامنه فعال Samba با استفاده از Heimdal استفاده کنید.
در همان زمان، CVE-2022-37966 و CVE-2022-37967، که به مهاجم اجازه می دهد تا حقوق سرپرست را به دست آورد، برای اولین بار توسط مایکروسافت به عنوان بخشی از PatchTuesday نوامبر افشا شد.
به طور کلی، یک مهاجم بدون احراز هویت میتواند حملهای را اجرا کند که میتواند از آسیبپذیریهای پروتکل رمزنگاری در RFC 4757 (نوع رمزگذاری Kerberos RC4-HMAC-MD5) و MS-PAC (مشخصات ساختار داده گواهی ویژگی ویژگی) برای دور زدن ویژگیهای امنیتی ویندوز سوء استفاده کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سامبا یک اجرای نرم افزاری از پروتکل شبکه SMB است که خدمات فایل و چاپ را برای کلاینت های مختلف مایکروسافت ویندوز پیاده سازی می کند و می تواند با دامنه سرور ویندوز مایکروسافت به عنوان کنترل کننده دامنه (DC) ادغام شود.
این نرم افزار بر روی اکثر سیستم های مشابه یونیکس مانند لینوکس، سولاریس، AIX و BSD، از جمله Apple macOS Server و macOS client (Mac OS X 10.2 و بالاتر) اجرا می شود.
نسخه های جدید 4.17.4، 4.16.8 و 4.15.13 آسیب پذیری های جدی ردیابی شده به عنوان CVE-2022-38023، CVE-2022-37966، CVE-2022-37967 و CVE-2022-45141 را برطرف می کنند.
مشکلات به شرح زیر است:
- CVE-2022-38023 (امتیاز CVSS: 8.1) - استفاده از نوع رمزگذاری ضعیف RC4-HMAC Kerberos در کانال امن NetLogon.
- CVE-2022-37966 (امتیاز CVSS: 8.1) - آسیب پذیری افزایش امتیاز در Windows Kerberos RC4-HMAC.
- CVE-2022-37967 (امتیاز CVSS: 7.2) - آسیب پذیری افزایش امتیاز در Windows Kerberos.
- CVE-2022-45141 (امتیاز CVSS: 8.1) - از رمزگذاری RC4-HMAC هنگام صدور بلیط Kerberos در کنترلر دامنه فعال Samba با استفاده از Heimdal استفاده کنید.
در همان زمان، CVE-2022-37966 و CVE-2022-37967، که به مهاجم اجازه می دهد تا حقوق سرپرست را به دست آورد، برای اولین بار توسط مایکروسافت به عنوان بخشی از PatchTuesday نوامبر افشا شد.
به طور کلی، یک مهاجم بدون احراز هویت میتواند حملهای را اجرا کند که میتواند از آسیبپذیریهای پروتکل رمزنگاری در RFC 4757 (نوع رمزگذاری Kerberos RC4-HMAC-MD5) و MS-PAC (مشخصات ساختار داده گواهی ویژگی ویژگی) برای دور زدن ویژگیهای امنیتی ویندوز سوء استفاده کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
سیسکو مجموعه ای از توصیه های امنیتی را به روز کرده است تا در مورد سوء استفاده مخرب از آسیب پذیری های جدی که دستگاه های شبکه را تحت تأثیر قرار می دهند هشدار دهد.
بسیاری از باگهای مهم و حیاتی 4-5 سال پیش برطرف شدند، اما سازمانهایی که دستگاههای خود را اصلاح نکردهاند، همچنان آنها را تجربه میکنند.
هفته گذشته، غول فناوری هشدارهای سوء استفاده را به بیش از 20 بولتن اضافه کرد که مسائل امنیتی را در نرم افزار Cisco IOS، NX-OS و HyperFlex شرح می دهد.
در مارس 2022، سیسکو (PSIRT) از تلاشهای بیشتری برای بهرهبرداری از این آسیبپذیری در شرایط دنیای واقعی آگاه شد. سیسکو همچنان به شدت مشتریان را تشویق می کند که به نسخه نرم افزار اصلاح شده مهاجرت کنند.
پنج مورد از توصیههای بهروزرسانی شده آسیبپذیریهای حیاتی را مورد بررسی قرار میدهند که میتوانند به مهاجمان راه دور اجازه دستیابی به RCE، ایجاد DoS یا اجرای دستورات دلخواه را بدهند.
با امتیاز CVSS 9.8، آسیبپذیریهای قابل بهرهبرداری بهعنوان CVE-2017-12240، CVE-2018-0171، CVE-2018-0125، CVE-2021-1497، و CVE-2018-0147 ردیابی میشوند. اشکالات Cisco IOS و IOS XE، روترهای RV132W و RV134W، HyperFlex HX و ACS را تحت تأثیر قرار می دهند.
سیسکو همچنین 15 بولتن را بهروزرسانی کرد که آسیبپذیریهای با شدت بالا را در Cisco IOS و IOS XE بررسی میکرد و یکی از آنها مربوط به یک مشکل اصلی در اجرای دستورات دلخواه در روترهای سری Small Business RV بود.
چندین بولتن نیز بهروزرسانی شدهاند که باگهای با درجه متوسط را شرح میدهند.
سازمانها ضروریست تا راهنماییهای سیسکو را بررسی کرده و هر گونه اصلاحات لازم را در اسرع وقت اعمال کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بسیاری از باگهای مهم و حیاتی 4-5 سال پیش برطرف شدند، اما سازمانهایی که دستگاههای خود را اصلاح نکردهاند، همچنان آنها را تجربه میکنند.
هفته گذشته، غول فناوری هشدارهای سوء استفاده را به بیش از 20 بولتن اضافه کرد که مسائل امنیتی را در نرم افزار Cisco IOS، NX-OS و HyperFlex شرح می دهد.
در مارس 2022، سیسکو (PSIRT) از تلاشهای بیشتری برای بهرهبرداری از این آسیبپذیری در شرایط دنیای واقعی آگاه شد. سیسکو همچنان به شدت مشتریان را تشویق می کند که به نسخه نرم افزار اصلاح شده مهاجرت کنند.
پنج مورد از توصیههای بهروزرسانی شده آسیبپذیریهای حیاتی را مورد بررسی قرار میدهند که میتوانند به مهاجمان راه دور اجازه دستیابی به RCE، ایجاد DoS یا اجرای دستورات دلخواه را بدهند.
با امتیاز CVSS 9.8، آسیبپذیریهای قابل بهرهبرداری بهعنوان CVE-2017-12240، CVE-2018-0171، CVE-2018-0125، CVE-2021-1497، و CVE-2018-0147 ردیابی میشوند. اشکالات Cisco IOS و IOS XE، روترهای RV132W و RV134W، HyperFlex HX و ACS را تحت تأثیر قرار می دهند.
سیسکو همچنین 15 بولتن را بهروزرسانی کرد که آسیبپذیریهای با شدت بالا را در Cisco IOS و IOS XE بررسی میکرد و یکی از آنها مربوط به یک مشکل اصلی در اجرای دستورات دلخواه در روترهای سری Small Business RV بود.
چندین بولتن نیز بهروزرسانی شدهاند که باگهای با درجه متوسط را شرح میدهند.
سازمانها ضروریست تا راهنماییهای سیسکو را بررسی کرده و هر گونه اصلاحات لازم را در اسرع وقت اعمال کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
غول مهندسی صنایع و فولاد آلمان Thyssenkrupp مورد حمله سایبری قرار گرفته است.
سرویس امنیت اطلاعات شرکت این حادثه را در مراحل اولیه شناسایی کرد و مهاجمان نتوانستند خسارت قابل توجهی ایجاد کنند، فقط برخی از بخش های فناوری اطلاعات ThyssenKrupp از جمله بخش عمومی شرکت و مواد تحت تأثیر قرار گرفتند.
علاوه بر این، این شرکت هیچ مدرکی مبنی بر سرقت یا تغییر داده ها دریافت نکرده است.
این احتمال که بخشها و واحدهای تجاری دیگر هدف قرار گرفته باشند را میتوان رد کرد.
یک تیم بحران به سرعت برای بررسی این حادثه و رسیدگی به عواقب آن تشکیل شد.
این شرکت به خبرنگاران گفت که جنایت سازمان یافته پشت این حمله بوده است، اما مشخص نکرد که آیا این یک حمله باج افزار بوده است یا خیر.
با این حال، همه چیز به باج افزار اشاره دارد، زیرا در چند سال گذشته Thyssenkrupp نیز هدف چندین گروه باج افزار از جمله Netwalker قرار گرفته است.
و در سال 2016، این شرکت مورد حمله هکرهایی قرار گرفت که گمان میرود در جنوب شرقی آسیا مستقر هستند تا اسرار صنعتی را سرقت کنند.
علاوه بر این، امسال کسبوکارهای بزرگ آلمانی به خوبی با بازیگران اصلی صنعت باجافزار آشنا شدهاند.
لیست قربانیان شامل: غول های بادی Deutsche Windtechnik و Nordex Group، تولید کننده مس Aurubis و غول خودروسازی Continental بود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سرویس امنیت اطلاعات شرکت این حادثه را در مراحل اولیه شناسایی کرد و مهاجمان نتوانستند خسارت قابل توجهی ایجاد کنند، فقط برخی از بخش های فناوری اطلاعات ThyssenKrupp از جمله بخش عمومی شرکت و مواد تحت تأثیر قرار گرفتند.
علاوه بر این، این شرکت هیچ مدرکی مبنی بر سرقت یا تغییر داده ها دریافت نکرده است.
این احتمال که بخشها و واحدهای تجاری دیگر هدف قرار گرفته باشند را میتوان رد کرد.
یک تیم بحران به سرعت برای بررسی این حادثه و رسیدگی به عواقب آن تشکیل شد.
این شرکت به خبرنگاران گفت که جنایت سازمان یافته پشت این حمله بوده است، اما مشخص نکرد که آیا این یک حمله باج افزار بوده است یا خیر.
با این حال، همه چیز به باج افزار اشاره دارد، زیرا در چند سال گذشته Thyssenkrupp نیز هدف چندین گروه باج افزار از جمله Netwalker قرار گرفته است.
و در سال 2016، این شرکت مورد حمله هکرهایی قرار گرفت که گمان میرود در جنوب شرقی آسیا مستقر هستند تا اسرار صنعتی را سرقت کنند.
علاوه بر این، امسال کسبوکارهای بزرگ آلمانی به خوبی با بازیگران اصلی صنعت باجافزار آشنا شدهاند.
لیست قربانیان شامل: غول های بادی Deutsche Windtechnik و Nordex Group، تولید کننده مس Aurubis و غول خودروسازی Continental بود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🎃هکرهای روس ادعا می کنند یکی از بزرگترین شرکت های انرژی آمریکایی در جهان را رمزگذاری کرده اند 🇺🇸🇺🇸Chevron با گردش مالی بیش از 150 میلیارد دلار.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
IACS
ترجمه_استاندارد_ISO27001_2022_به_همراه_راهنمای_مهاجرت_به_نسخه_جدید.pdf
با کد تخفیف زیر میتوانید ویدئوی آموزشی آشنایی با الزامات ویرایش جدید ISO 27001:2022 را دریافت کنید
از شب یلدا تا ۹ دی-
کد تخفیف: yalda
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584
از شب یلدا تا ۹ دی-
کد تخفیف: yalda
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584
هم اکنون وصله کنید: حفره امنیتی جدی هسته لینوکس کشف شد
برای اطلاعات بیشتر:
https://t.me/linux_news/684
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
برای اطلاعات بیشتر:
https://t.me/linux_news/684
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
Patch now: Serious Linux kernel security hole uncovered
The Zero Day Initiative originally rated this Linux 5.15 in-kernel SMB server, ksmbd, bug a perfectly awful 10.
Any distro using the Linux kernel 5.15 or above is potentially vulnerable. This includes…
The Zero Day Initiative originally rated this Linux 5.15 in-kernel SMB server, ksmbd, bug a perfectly awful 10.
Any distro using the Linux kernel 5.15 or above is potentially vulnerable. This includes…
هزاران سرور Citrix ADC و Gateway در برابر دو آسیبپذیری اصلی که اخیراً اصلاح شدهاند آسیبپذیر هستند.
اولین CVE-2022-27510 در 8 نوامبر ثابت شد و یک دور زدن احراز هویت است که بر هر دو محصول Citrix تأثیر می گذارد.
یک مهاجم میتواند از آن برای دسترسی غیرمجاز به یک دستگاه، انجام ضبط از راه دور دسکتاپ یا دور زدن امنیت ورود استفاده کند.
دومین باگ که با نام CVE-2022-27518 ردیابی شده بود در 13 دسامبر فاش و رفع شد. این به مهاجمان تایید نشده اجازه می دهد تا دستورات را از راه دور روی دستگاه های آسیب پذیر اجرا کنند و کنترل آنها را در دست بگیرند.
در زمانی که Citrix اصلاحات را منتشر کرد، مهاجمان قبلاً به طور فعال از آن استفاده می کردند.
با وجود بهروزرسانیها، محققان گروه Fox NCC گزارش میدهند که هزاران استقرار در برابر حملات آسیبپذیر هستند.
در 11 نوامبر 2022، فاکس شبکه جهانی را اسکن کرد و در مجموع 28000 سرور Citrix را در شبکه پیدا کرد.
بر اساس مقایسه نسخه محصول، از 28 دسامبر 2022، آنها دریافتند که اکثر کاربران نسخه 13.0-88.14 را اجرا می کنند که تحت تأثیر باگ ها قرار نمی گیرد.
دومین نسخه محبوب 12.1-65.21 بود که تحت شرایط خاص در برابر CVE-2022-27518 آسیب پذیر است که در 3500 نقطه پایانی شناسایی شده است.
پیکربندی SAML SP یا IdP برای حمله به آنها مورد نیاز است، به این معنی که همه 3500 سیستم در برابر CVE-2022-27518 آسیب پذیر نبودند.
علاوه بر این، بیش از 1000 سرور در برابر CVE-2022-27510 آسیب پذیر هستند و تقریباً 3000 نقطه پایانی به طور بالقوه در برابر هر دو باگ کشنده آسیب پذیر هستند.
مقام سوم به استقرارهایی رسید که هش هایی با شماره نسخه ناشناخته Citrix برمی گرداند. بیش از 3500 سرور وجود دارد که ممکن است در برابر هر آسیب پذیری آسیب پذیر باشند یا نباشند.
با توجه به سرعت وصله، محققان به واکنش سریع کاربران در ایالات متحده، آلمان، کانادا، استرالیا و سوئیس به انتشار توصیههای امنیتی مربوطه اشاره میکنند.
به طور کلی، آمار فاکس نشان می دهد که بسیاری از شرکت ها هنوز کار زیادی برای رفع تمام شکاف های امنیتی دارند و همچنین هکرها که هنوز شکاف زیادی برای برنامه ریزی و انجام حملات دارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
اولین CVE-2022-27510 در 8 نوامبر ثابت شد و یک دور زدن احراز هویت است که بر هر دو محصول Citrix تأثیر می گذارد.
یک مهاجم میتواند از آن برای دسترسی غیرمجاز به یک دستگاه، انجام ضبط از راه دور دسکتاپ یا دور زدن امنیت ورود استفاده کند.
دومین باگ که با نام CVE-2022-27518 ردیابی شده بود در 13 دسامبر فاش و رفع شد. این به مهاجمان تایید نشده اجازه می دهد تا دستورات را از راه دور روی دستگاه های آسیب پذیر اجرا کنند و کنترل آنها را در دست بگیرند.
در زمانی که Citrix اصلاحات را منتشر کرد، مهاجمان قبلاً به طور فعال از آن استفاده می کردند.
با وجود بهروزرسانیها، محققان گروه Fox NCC گزارش میدهند که هزاران استقرار در برابر حملات آسیبپذیر هستند.
در 11 نوامبر 2022، فاکس شبکه جهانی را اسکن کرد و در مجموع 28000 سرور Citrix را در شبکه پیدا کرد.
بر اساس مقایسه نسخه محصول، از 28 دسامبر 2022، آنها دریافتند که اکثر کاربران نسخه 13.0-88.14 را اجرا می کنند که تحت تأثیر باگ ها قرار نمی گیرد.
دومین نسخه محبوب 12.1-65.21 بود که تحت شرایط خاص در برابر CVE-2022-27518 آسیب پذیر است که در 3500 نقطه پایانی شناسایی شده است.
پیکربندی SAML SP یا IdP برای حمله به آنها مورد نیاز است، به این معنی که همه 3500 سیستم در برابر CVE-2022-27518 آسیب پذیر نبودند.
علاوه بر این، بیش از 1000 سرور در برابر CVE-2022-27510 آسیب پذیر هستند و تقریباً 3000 نقطه پایانی به طور بالقوه در برابر هر دو باگ کشنده آسیب پذیر هستند.
مقام سوم به استقرارهایی رسید که هش هایی با شماره نسخه ناشناخته Citrix برمی گرداند. بیش از 3500 سرور وجود دارد که ممکن است در برابر هر آسیب پذیری آسیب پذیر باشند یا نباشند.
با توجه به سرعت وصله، محققان به واکنش سریع کاربران در ایالات متحده، آلمان، کانادا، استرالیا و سوئیس به انتشار توصیههای امنیتی مربوطه اشاره میکنند.
به طور کلی، آمار فاکس نشان می دهد که بسیاری از شرکت ها هنوز کار زیادی برای رفع تمام شکاف های امنیتی دارند و همچنین هکرها که هنوز شکاف زیادی برای برنامه ریزی و انجام حملات دارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
پلتفرم رمزنگاری 3Commas به یک حادثه سایبری که منجر به سرقت کلیدهای API شده بود، اذعان کرد.
روز گذشته، یک کاربر ناشناس توییتر مجموعهای از 10000 کلید API را منتشر کرد که توسط 3Commas برای تعامل با صرافیهای رمزنگاری و انجام اقدامات سرمایهگذاری و معاملاتی خودکار از طرف کاربران استفاده میشد.
در عین حال، به گفته مهاجم، کل نشت شامل بیش از 100000 کلید API است که در روزهای آینده منتشر خواهد شد.
دولت 3Commas این نشت را بررسی کرده و مشروعیت کلیدهای API را تأیید کرده است و از همه صرافیهای پشتیبانی شده، از جمله Kucoin، Coinbase و Binance خواسته است تا همه کلیدها را باطل کنند.
با شروع تحقیقات در 19 نوامبر، 3Commas اقداماتی را برای ممانعت از دسترسی کارکنان فنی به زیرساخت انجام داد و معتقد بود که یک خودی مقصر حادثه است، اما شواهدی از این نسخه پیدا نکرد.
در همین حال، 3Commas در بررسی کند بوده است، بسیاری از مشتریان آن در چند ماه گذشته در نتیجه تراکنشهای ساختگی روی حسابهای خود وجوه خود را از دست دادهاند.
اولین گزارش تراکنش های مجرمانه از طریق 3Commas در اکتبر 2022 منتشر شد و در هفته های اخیر به اوج خود رسید. در ماه نوامبر، برخی از مالکان دارایی های رمزنگاری شده را به ارزش حدود 6،000،000 دلار از دست دادند.
حتی پس از آن، پلتفرم امکان هک را رد کرد، من تمام مسئولیت اتفاقات رخ داده را بر عهده خود کاربران میگذارم که میتوانند قربانی حملات فیشینگ یا استفاده از برنامههای تروجانی شوند.
بعداً در 10 دسامبر 2022، 3Commas یک گزارش تحقیقاتی منتشر کرد که ادعا میکرد نتوانستند شواهدی مبنی بر به خطر افتادن سیستمهایشان پیدا کنند.
روز بعد، این پلتفرم یک پست جدید منتشر کرد که در آن ادعاهایی مبنی بر اینکه کارمندانش کلیدهای API کاربر را برای سرقت داراییهای کاربر میدزدند، رد کرد.
کاربران 3Commas که گزارش تراکنشهای غیرمجاز آنها توسط شرکت رد شده بود، اکنون خواهان بازپرداخت کامل هستند. تاکنون 3Commas هیچ اظهارنظری در مورد غرامت احتمالی نداده است.
با این حال، این شرکت توصیه می کند که کاربران به طور مستقل کلیدهای خود را در تمام مبادلات مرتبط مجدداً منتشر کنند و برای توصیه هایی در مورد اقدامات بعدی در هر مورد با پشتیبانی 3Commas تماس بگیرند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
روز گذشته، یک کاربر ناشناس توییتر مجموعهای از 10000 کلید API را منتشر کرد که توسط 3Commas برای تعامل با صرافیهای رمزنگاری و انجام اقدامات سرمایهگذاری و معاملاتی خودکار از طرف کاربران استفاده میشد.
در عین حال، به گفته مهاجم، کل نشت شامل بیش از 100000 کلید API است که در روزهای آینده منتشر خواهد شد.
دولت 3Commas این نشت را بررسی کرده و مشروعیت کلیدهای API را تأیید کرده است و از همه صرافیهای پشتیبانی شده، از جمله Kucoin، Coinbase و Binance خواسته است تا همه کلیدها را باطل کنند.
با شروع تحقیقات در 19 نوامبر، 3Commas اقداماتی را برای ممانعت از دسترسی کارکنان فنی به زیرساخت انجام داد و معتقد بود که یک خودی مقصر حادثه است، اما شواهدی از این نسخه پیدا نکرد.
در همین حال، 3Commas در بررسی کند بوده است، بسیاری از مشتریان آن در چند ماه گذشته در نتیجه تراکنشهای ساختگی روی حسابهای خود وجوه خود را از دست دادهاند.
اولین گزارش تراکنش های مجرمانه از طریق 3Commas در اکتبر 2022 منتشر شد و در هفته های اخیر به اوج خود رسید. در ماه نوامبر، برخی از مالکان دارایی های رمزنگاری شده را به ارزش حدود 6،000،000 دلار از دست دادند.
حتی پس از آن، پلتفرم امکان هک را رد کرد، من تمام مسئولیت اتفاقات رخ داده را بر عهده خود کاربران میگذارم که میتوانند قربانی حملات فیشینگ یا استفاده از برنامههای تروجانی شوند.
بعداً در 10 دسامبر 2022، 3Commas یک گزارش تحقیقاتی منتشر کرد که ادعا میکرد نتوانستند شواهدی مبنی بر به خطر افتادن سیستمهایشان پیدا کنند.
روز بعد، این پلتفرم یک پست جدید منتشر کرد که در آن ادعاهایی مبنی بر اینکه کارمندانش کلیدهای API کاربر را برای سرقت داراییهای کاربر میدزدند، رد کرد.
کاربران 3Commas که گزارش تراکنشهای غیرمجاز آنها توسط شرکت رد شده بود، اکنون خواهان بازپرداخت کامل هستند. تاکنون 3Commas هیچ اظهارنظری در مورد غرامت احتمالی نداده است.
با این حال، این شرکت توصیه می کند که کاربران به طور مستقل کلیدهای خود را در تمام مبادلات مرتبط مجدداً منتشر کنند و برای توصیه هایی در مورد اقدامات بعدی در هر مورد با پشتیبانی 3Commas تماس بگیرند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اولین وصلههای ICS ژانویه با دهها توصیه امنیتی از زیمنس و اشنایدر الکتریک وارد شد که در مجموع ۲۷ آسیبپذیری را برطرف کردند.
زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.
مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.
خطاها، که همگی بحرانی یا با شدت بالا هستند، میتوانند به مهاجم اجازه خواندن و نوشتن فایلهای دلخواه را بدهند که در نهایت میتواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.
بولتن دیگر مربوط به یک آسیبپذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم میتواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندیهای غیر پیشفرض خاصی قابل بهرهبرداری است.
زیمنس همچنین از دو آسیبپذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.
یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.
آسیبپذیریهای RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.
محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.
سازنده نسخههای سختافزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخههای جدید برای انواع PLC باقیمانده است تا به طور کامل این آسیبپذیری را از بین ببرد.
اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.
این شرکت مشتریان را از در دسترس بودن وصلههایی برای آسیبپذیریهای حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که میتواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.
یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.
EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.
آسیبپذیریها در EcoStruxure Control Expert، Process Expert و Modicon PLCها رفع شدهاند که میتوانند حملات RCE و DoS را با استفاده از فایلهای پروژهای ساختهشده خاص امکانپذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.
موضوع افشای متوسط در تهویه مطبوع متخصص ماشین بسته شد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.
مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.
خطاها، که همگی بحرانی یا با شدت بالا هستند، میتوانند به مهاجم اجازه خواندن و نوشتن فایلهای دلخواه را بدهند که در نهایت میتواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.
بولتن دیگر مربوط به یک آسیبپذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم میتواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندیهای غیر پیشفرض خاصی قابل بهرهبرداری است.
زیمنس همچنین از دو آسیبپذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.
یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.
آسیبپذیریهای RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.
محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.
سازنده نسخههای سختافزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخههای جدید برای انواع PLC باقیمانده است تا به طور کامل این آسیبپذیری را از بین ببرد.
اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.
این شرکت مشتریان را از در دسترس بودن وصلههایی برای آسیبپذیریهای حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که میتواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.
یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.
EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.
آسیبپذیریها در EcoStruxure Control Expert، Process Expert و Modicon PLCها رفع شدهاند که میتوانند حملات RCE و DoS را با استفاده از فایلهای پروژهای ساختهشده خاص امکانپذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.
موضوع افشای متوسط در تهویه مطبوع متخصص ماشین بسته شد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اولین وصلههای ICS ژانویه با دهها توصیه امنیتی از زیمنس و اشنایدر الکتریک وارد شد که در مجموع ۲۷ آسیبپذیری را برطرف کردند.
زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.
مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.
خطاها، که همگی بحرانی یا با شدت بالا هستند، میتوانند به مهاجم اجازه خواندن و نوشتن فایلهای دلخواه را بدهند که در نهایت میتواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.
بولتن دیگر مربوط به یک آسیبپذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم میتواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندیهای غیر پیشفرض خاصی قابل بهرهبرداری است.
زیمنس همچنین از دو آسیبپذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.
یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.
آسیبپذیریهای RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.
محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.
سازنده نسخههای سختافزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخههای جدید برای انواع PLC باقیمانده است تا به طور کامل این آسیبپذیری را از بین ببرد.
اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.
این شرکت مشتریان را از در دسترس بودن وصلههایی برای آسیبپذیریهای حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که میتواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.
یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.
EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.
آسیبپذیریها در EcoStruxure Control Expert، Process Expert و Modicon PLCها رفع شدهاند که میتوانند حملات RCE و DoS را با استفاده از فایلهای پروژهای ساختهشده خاص امکانپذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.
مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.
خطاها، که همگی بحرانی یا با شدت بالا هستند، میتوانند به مهاجم اجازه خواندن و نوشتن فایلهای دلخواه را بدهند که در نهایت میتواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.
بولتن دیگر مربوط به یک آسیبپذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم میتواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندیهای غیر پیشفرض خاصی قابل بهرهبرداری است.
زیمنس همچنین از دو آسیبپذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.
یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.
آسیبپذیریهای RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.
محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.
سازنده نسخههای سختافزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخههای جدید برای انواع PLC باقیمانده است تا به طور کامل این آسیبپذیری را از بین ببرد.
اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.
این شرکت مشتریان را از در دسترس بودن وصلههایی برای آسیبپذیریهای حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که میتواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.
یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.
EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.
آسیبپذیریها در EcoStruxure Control Expert، Process Expert و Modicon PLCها رفع شدهاند که میتوانند حملات RCE و DoS را با استفاده از فایلهای پروژهای ساختهشده خاص امکانپذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
نرم افزار مدیریت ناوگان DNV مورد حمله سایبری قرار گرفت
شرکت DNV گزارش می دهد که نرم افزار مدیریت ناوگان و عملیات "ShipManager" آن مورد حمله سایبری قرار گرفته است و آن را مجبور به خاموش کردن سرورهای نرم افزار کرده است.
DNV در بیانیه ای تایید کرد که این حمله در شامگاه شنبه 7 ژانویه رخ داد.
«همه کاربران همچنان میتوانند از عملکردهای آفلاین و داخلی نرمافزار ShipManager استفاده کنند. در این بیانیه آمده است: در حال حاضر هیچ نشانه ای مبنی بر اینکه نرم افزار یا داده دیگری توسط DNV تحت تأثیر قرار گرفته باشد، وجود ندارد.
DNV گفت که از نزدیک با شرکای امنیت فناوری اطلاعات جهانی خود برای بررسی این حادثه و اجرای یک طرح بازیابی فنی برای "اطمینان از آنلاین شدن عملیات در اسرع وقت" همکاری می کند، که نشان می دهد این مشکلات تا روز دوشنبه هنوز حل نشده است.
DNV همچنین یک خط تلفن پشتیبانی 24/7 برای کمک به مشتریان آسیب دیده ارائه می دهد.
طبق وب سایت DNV، بیش از 7000 کشتی متعلق به 300 مشتری از راه حل های نرم افزاری مدیریت خدمه و پورت ShipManager و Navigator استفاده می کنند. پلت فرم ShipManager شامل ماژول هایی است که به مشتریان بینشی در مورد جنبه های فنی، عملیاتی و انطباق داده های مدیریت کشتی، از جمله سیستم تعمیر و نگهداری برنامه ریزی شده (PMS)، خرید حمل و نقل، سیستم های مدیریت ایمنی کشتی (QHSE)، سیستم مدیریت خدمه، مدیریت یکپارچگی بدنه، سیستم مدیریت کشتی، ارائه می دهد. اسکله و تعمیر کشتی و تجزیه و تحلیل داده های حمل و نقل.
نرم افزار ShipManager توسط DNV فروخته می شود و بنابراین این شرکت با پلیس نروژ در تماس است.
DNV گفت: "ما برای اختلال و ناراحتی که ممکن است این حادثه ایجاد کرده باشد عذرخواهی می کنیم."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
شرکت DNV گزارش می دهد که نرم افزار مدیریت ناوگان و عملیات "ShipManager" آن مورد حمله سایبری قرار گرفته است و آن را مجبور به خاموش کردن سرورهای نرم افزار کرده است.
DNV در بیانیه ای تایید کرد که این حمله در شامگاه شنبه 7 ژانویه رخ داد.
«همه کاربران همچنان میتوانند از عملکردهای آفلاین و داخلی نرمافزار ShipManager استفاده کنند. در این بیانیه آمده است: در حال حاضر هیچ نشانه ای مبنی بر اینکه نرم افزار یا داده دیگری توسط DNV تحت تأثیر قرار گرفته باشد، وجود ندارد.
DNV گفت که از نزدیک با شرکای امنیت فناوری اطلاعات جهانی خود برای بررسی این حادثه و اجرای یک طرح بازیابی فنی برای "اطمینان از آنلاین شدن عملیات در اسرع وقت" همکاری می کند، که نشان می دهد این مشکلات تا روز دوشنبه هنوز حل نشده است.
DNV همچنین یک خط تلفن پشتیبانی 24/7 برای کمک به مشتریان آسیب دیده ارائه می دهد.
طبق وب سایت DNV، بیش از 7000 کشتی متعلق به 300 مشتری از راه حل های نرم افزاری مدیریت خدمه و پورت ShipManager و Navigator استفاده می کنند. پلت فرم ShipManager شامل ماژول هایی است که به مشتریان بینشی در مورد جنبه های فنی، عملیاتی و انطباق داده های مدیریت کشتی، از جمله سیستم تعمیر و نگهداری برنامه ریزی شده (PMS)، خرید حمل و نقل، سیستم های مدیریت ایمنی کشتی (QHSE)، سیستم مدیریت خدمه، مدیریت یکپارچگی بدنه، سیستم مدیریت کشتی، ارائه می دهد. اسکله و تعمیر کشتی و تجزیه و تحلیل داده های حمل و نقل.
نرم افزار ShipManager توسط DNV فروخته می شود و بنابراین این شرکت با پلیس نروژ در تماس است.
DNV گفت: "ما برای اختلال و ناراحتی که ممکن است این حادثه ایجاد کرده باشد عذرخواهی می کنیم."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
GhostSec برای اولین باج افزار ICS در تاریخ به شهرت رسید
در 11 ژانویه 2023، GhostSec پیامی را در کانال تلگرام خود منتشر کرد و ادعا کرد که با موفقیت به دستگاه(های) RTU در بلاروس با اولین باج افزار ICS در تاریخ حمله کرده اند:
همه به وضوح در مورد باج افزاری شنیده اند که به دسکتاپ ویندوز، برخی از سرورها، برخی از اینترنت اشیا حمله کرده است، اما ما می خواهیم اولین حمله RTU را اعلام کنیم!
آره! ما به تازگی اولین RTU در تاریخ را رمزگذاری کردیم! دستگاه کوچکی که فقط برای محیط ICS طراحی شده است!
در عکسهای فوری ضمیمه شده به پیام، GhostSec با تصاویری از فهرست فایلهای دایرکتوری bin / با فایلهای سیستم، پس از ورود موفقیتآمیز از طریق SSH به دستگاه ذTELEOFIS RTU با رمزگذاری «قبل» و «پس از»، اثبات میکند.
در تصویر "after" نشان داده شده است که برخی از فایل ها با پسوند ".fuckPutin" اضافه شده اند که نوعی باج افزار است.
TELEOFIS تولید کننده دستگاه های مخابراتی بی سیم OT، با نام RTU - دستگاه های واحد پایانه راه دور از مسکو، روسیه است. همانطور که در تصاویر مشاهده می شود، دستگاه خاص TELEOFIS RTU968 V2 است - یک روتر 3G برای محیط های صنعتی. بار دیگر، ما مشکوک هستیم که دسترسی اولیه به دستگاه با استفاده از احراز هویت ضعیف دستگاه بوده است.
دستگاه Teleofis را می توان یک RTU در نظر گرفت زیرا می تواند به دستگاه های Modbus یا رابط های سریال متصل شود، با این حال، این اولین چیزی نیست که به ذهن خطور می کند، چه از نظر عملکرد، معماری و چه از نظر استحکام. دستگاه های رایج). همچنین، این دستگاه می تواند فقط به عنوان یک روتر 3G مورد استفاده قرار گیرد و دستگاه های قوی تر را می توان در پشت آن وصل کرد.
علاوه بر این، برای ایجاد یک نوع حمله باجافزار بر روی یک RTU معمولی، نیاز است که GhostSec دانش و منابع OT عمیقتری داشته باشد، مانند آزمایش با ابزارها و دستگاههای مهندسی واقعی OT. دستگاه Teleofis مبتنی بر OpenWRT است که اساساً لینوکس است و هیچ قابلیت جدید و واقعی OT را معرفی نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در 11 ژانویه 2023، GhostSec پیامی را در کانال تلگرام خود منتشر کرد و ادعا کرد که با موفقیت به دستگاه(های) RTU در بلاروس با اولین باج افزار ICS در تاریخ حمله کرده اند:
همه به وضوح در مورد باج افزاری شنیده اند که به دسکتاپ ویندوز، برخی از سرورها، برخی از اینترنت اشیا حمله کرده است، اما ما می خواهیم اولین حمله RTU را اعلام کنیم!
آره! ما به تازگی اولین RTU در تاریخ را رمزگذاری کردیم! دستگاه کوچکی که فقط برای محیط ICS طراحی شده است!
در عکسهای فوری ضمیمه شده به پیام، GhostSec با تصاویری از فهرست فایلهای دایرکتوری bin / با فایلهای سیستم، پس از ورود موفقیتآمیز از طریق SSH به دستگاه ذTELEOFIS RTU با رمزگذاری «قبل» و «پس از»، اثبات میکند.
در تصویر "after" نشان داده شده است که برخی از فایل ها با پسوند ".fuckPutin" اضافه شده اند که نوعی باج افزار است.
TELEOFIS تولید کننده دستگاه های مخابراتی بی سیم OT، با نام RTU - دستگاه های واحد پایانه راه دور از مسکو، روسیه است. همانطور که در تصاویر مشاهده می شود، دستگاه خاص TELEOFIS RTU968 V2 است - یک روتر 3G برای محیط های صنعتی. بار دیگر، ما مشکوک هستیم که دسترسی اولیه به دستگاه با استفاده از احراز هویت ضعیف دستگاه بوده است.
دستگاه Teleofis را می توان یک RTU در نظر گرفت زیرا می تواند به دستگاه های Modbus یا رابط های سریال متصل شود، با این حال، این اولین چیزی نیست که به ذهن خطور می کند، چه از نظر عملکرد، معماری و چه از نظر استحکام. دستگاه های رایج). همچنین، این دستگاه می تواند فقط به عنوان یک روتر 3G مورد استفاده قرار گیرد و دستگاه های قوی تر را می توان در پشت آن وصل کرد.
علاوه بر این، برای ایجاد یک نوع حمله باجافزار بر روی یک RTU معمولی، نیاز است که GhostSec دانش و منابع OT عمیقتری داشته باشد، مانند آزمایش با ابزارها و دستگاههای مهندسی واقعی OT. دستگاه Teleofis مبتنی بر OpenWRT است که اساساً لینوکس است و هیچ قابلیت جدید و واقعی OT را معرفی نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اختصاصی: GhostSec مسئولیت حمله اخیر ICS روسیه را بر عهده گرفته است
GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخشهایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیهای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.
GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی میگوید: «با بیانیهای در مورد حمله، میخواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما میخواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه
خواهد داشت
منبع:
https://t.me/GhostSecc/410
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخشهایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیهای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.
GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی میگوید: «با بیانیهای در مورد حمله، میخواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما میخواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه
خواهد داشت
منبع:
https://t.me/GhostSecc/410
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
هشدار!!
گزارش Bitdefender درباره یک جاسوسافزار ایرانی (20speed vpn) که در پوشش ویپیان، اطلاعات خصوصی افراد شامل عکسها، اسناد و گذرواژهها را سرقت میکند.
به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report
https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
گزارش Bitdefender درباره یک جاسوسافزار ایرانی (20speed vpn) که در پوشش ویپیان، اطلاعات خصوصی افراد شامل عکسها، اسناد و گذرواژهها را سرقت میکند.
به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report
https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Bitdefender Labs
EyeSpy - Iranian Spyware Delivered in VPN Installers
Consumer VPN solutions have witnessed explosive growth in the past few years.
کشف آسیب پذیری در لینوکس Sudo
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
Sudoedit bypass in Sudo <= 1.9.12p1
CVE-2023-22809
Vulnerability description
Presentation of Sudo
Sudo (su “do”) allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as…
CVE-2023-22809
Vulnerability description
Presentation of Sudo
Sudo (su “do”) allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as…
گروه Group-IB APT صورتی تیره را کشف کرد که در حملات به سازمانهای دولتی و تأسیسات نظامی در منطقه آسیا و اقیانوسیه با استفاده از بدافزار ویژه برای سرقت اطلاعات دست داشت.
ART قبلاً تحت رادار محققان چینی از آزمایشگاه شکار Anheng قرار گرفته است که این گروه را به عنوان گروه Saaiwc دنبال می کنند. این گزارش زنجیرهای از حملات را توصیف میکند که یکی از آنها با استفاده از یک الگوی مایکروسافت آفیس با ماکروهای مخرب برای سوء استفاده از CVE-2017-0199 قدیمی و خطرناک اجرا شده است.
گروه Group-IB اشاره کرد که Dark Pink دارای TTP های منحصر به فرد است و یک جعبه ابزار سفارشی که در حملات یافت می شود می تواند برای سرقت اطلاعات و توزیع بدافزار از طریق درایوهای USB استفاده شود.
مهاجم از بارگذاری DLL منتشرنشده و روشهای راهاندازی رویداد برای استخراج بارهای روی سیستمهای قربانی استفاده میکند.
هدف مهاجم سرقت اطلاعات از مرورگرها، دسترسی به پیامرسانهای فوری، استخراج اسناد و رهگیری اطلاعات صوتی از میکروفون دستگاه آلوده است.
به گفته محققان، از ژوئن تا دسامبر 2022، Dark Pink موفق به اجرای حداقل هفت حمله موفقیت آمیز شده است.
یک نمونه اولیه حمله، ایمیلهای فیشینگ مربوط به استخدام است که قربانی را فریب میدهد تا فایل تصویری ISO مخرب را دانلود کند.
اما انواع دیگری از زنجیره حملات نیز شناسایی شدند. به ویژه، بازیگر همچنین از یک فایل ISO با یک سند فریبنده، یک فایل اجرایی امضا شده و یک DLL مخرب استفاده کرد که منجر به استقرار یکی از دو دزد سفارشی از طریق بارگذاری جانبی DLL شد.
Cucky و Ctealer نرم افزارهای مخصوص سرقت اطلاعات هستند که به ترتیب با دات نت و سی پلاس پلاس نوشته شده اند و با هدف استخراج رمزهای عبور، تاریخچه مرور، ورود به سیستم ذخیره شده و کوکی ها از تمام مرورگرهای وب شناخته شده هستند.
مرحله بعدی بازنشانی ایمپلنت رجیستری به نام TelePowerBot بود که از طریق یک اسکریپت در هنگام بوت سیستم راه اندازی می شود و به کانال تلگرام متصل می شود و از آنجا دستورات PowerShell را برای اجرا دریافت می کند.
به طور معمول، دستورات به شما امکان می دهند ابزارهای کنسول ساده یا اسکریپت های پیچیده PowerShell را اجرا کنید که ناوبری جانبی را از طریق درایوهای USB قابل جابجایی فراهم می کند.
گزینه دیگر شامل یک سند مایکروسافت آفیس (.DOC) در داخل یک فایل ISO بود که وقتی از GitHub باز شد، یک الگو با یک ماکرو مخرب که TelePowerBot را دانلود کرده و تغییراتی در رجیستری ویندوز ایجاد کرد، بازیابی کرد.
زنجیره سوم حملات، که در دسامبر 2022 انجام شد، مشابه اولین بود. با این حال، به جای TelePowerBot، بدافزار ویژه دیگری بارگذاری شد که محققان آن را KamiKakaBot می نامند که برای اجرای دستورات طراحی شده است.
KamiKakaBot یک نسخه دات نت از TelePowerBot است که قابلیت سرقت اطلاعات را نیز دارد و داده های ذخیره شده در مرورگرهای Chrome و Firefox را هدف قرار می دهد.
علاوه بر این، Dark Pink از یک اسکریپتی نیز برای ضبط صدا از طریق میکروفون در فاصله زمانی یک دقیقه استفاده کرد. داده ها به عنوان یک آرشیو ZIP در یک پوشه موقت ویندوز ذخیره می شوند و سپس از طریق ربات تلگرام منتقل می شوند.
علاوه بر این، مهاجم از ابزار ویژه ZMsg برای استخراج اطلاعات از پیام رسان ها استفاده می کند که مکاتبات Viber، Telegram و Zalo را می دزدد.
نتایج تجزیه و تحلیل فعالیت Dark Pink به Group-IB اجازه داد تا به احتمال زیاد موفقیت هفت حمله را اعلام کند، اما محققان معتقدند که میتواند بسیار بیشتر باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
ART قبلاً تحت رادار محققان چینی از آزمایشگاه شکار Anheng قرار گرفته است که این گروه را به عنوان گروه Saaiwc دنبال می کنند. این گزارش زنجیرهای از حملات را توصیف میکند که یکی از آنها با استفاده از یک الگوی مایکروسافت آفیس با ماکروهای مخرب برای سوء استفاده از CVE-2017-0199 قدیمی و خطرناک اجرا شده است.
گروه Group-IB اشاره کرد که Dark Pink دارای TTP های منحصر به فرد است و یک جعبه ابزار سفارشی که در حملات یافت می شود می تواند برای سرقت اطلاعات و توزیع بدافزار از طریق درایوهای USB استفاده شود.
مهاجم از بارگذاری DLL منتشرنشده و روشهای راهاندازی رویداد برای استخراج بارهای روی سیستمهای قربانی استفاده میکند.
هدف مهاجم سرقت اطلاعات از مرورگرها، دسترسی به پیامرسانهای فوری، استخراج اسناد و رهگیری اطلاعات صوتی از میکروفون دستگاه آلوده است.
به گفته محققان، از ژوئن تا دسامبر 2022، Dark Pink موفق به اجرای حداقل هفت حمله موفقیت آمیز شده است.
یک نمونه اولیه حمله، ایمیلهای فیشینگ مربوط به استخدام است که قربانی را فریب میدهد تا فایل تصویری ISO مخرب را دانلود کند.
اما انواع دیگری از زنجیره حملات نیز شناسایی شدند. به ویژه، بازیگر همچنین از یک فایل ISO با یک سند فریبنده، یک فایل اجرایی امضا شده و یک DLL مخرب استفاده کرد که منجر به استقرار یکی از دو دزد سفارشی از طریق بارگذاری جانبی DLL شد.
Cucky و Ctealer نرم افزارهای مخصوص سرقت اطلاعات هستند که به ترتیب با دات نت و سی پلاس پلاس نوشته شده اند و با هدف استخراج رمزهای عبور، تاریخچه مرور، ورود به سیستم ذخیره شده و کوکی ها از تمام مرورگرهای وب شناخته شده هستند.
مرحله بعدی بازنشانی ایمپلنت رجیستری به نام TelePowerBot بود که از طریق یک اسکریپت در هنگام بوت سیستم راه اندازی می شود و به کانال تلگرام متصل می شود و از آنجا دستورات PowerShell را برای اجرا دریافت می کند.
به طور معمول، دستورات به شما امکان می دهند ابزارهای کنسول ساده یا اسکریپت های پیچیده PowerShell را اجرا کنید که ناوبری جانبی را از طریق درایوهای USB قابل جابجایی فراهم می کند.
گزینه دیگر شامل یک سند مایکروسافت آفیس (.DOC) در داخل یک فایل ISO بود که وقتی از GitHub باز شد، یک الگو با یک ماکرو مخرب که TelePowerBot را دانلود کرده و تغییراتی در رجیستری ویندوز ایجاد کرد، بازیابی کرد.
زنجیره سوم حملات، که در دسامبر 2022 انجام شد، مشابه اولین بود. با این حال، به جای TelePowerBot، بدافزار ویژه دیگری بارگذاری شد که محققان آن را KamiKakaBot می نامند که برای اجرای دستورات طراحی شده است.
KamiKakaBot یک نسخه دات نت از TelePowerBot است که قابلیت سرقت اطلاعات را نیز دارد و داده های ذخیره شده در مرورگرهای Chrome و Firefox را هدف قرار می دهد.
علاوه بر این، Dark Pink از یک اسکریپتی نیز برای ضبط صدا از طریق میکروفون در فاصله زمانی یک دقیقه استفاده کرد. داده ها به عنوان یک آرشیو ZIP در یک پوشه موقت ویندوز ذخیره می شوند و سپس از طریق ربات تلگرام منتقل می شوند.
علاوه بر این، مهاجم از ابزار ویژه ZMsg برای استخراج اطلاعات از پیام رسان ها استفاده می کند که مکاتبات Viber، Telegram و Zalo را می دزدد.
نتایج تجزیه و تحلیل فعالیت Dark Pink به Group-IB اجازه داد تا به احتمال زیاد موفقیت هفت حمله را اعلام کند، اما محققان معتقدند که میتواند بسیار بیشتر باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti