اولین وصله‌های ICS ژانویه با ده‌ها توصیه امنیتی از زیمنس و اشنایدر الکتریک وارد شد که در مجموع ۲۷ آسیب‌پذیری را برطرف کردند.

زیمنس شش بولتن منتشر کرده است که در مجموع 20 آسیب پذیری را توصیف می کند. به روز رسانی های امنیتی برای بسیاری از محصولات آسیب دیده در دسترس است، اما برخی از آنها وصله نمی شوند.

مهمترین توصیه ها ده ها ضعف را در Sinec INS (خدمات شبکه زیرساخت) توصیف می کنند.

خطاها، که همگی بحرانی یا با شدت بالا هستند، می‌توانند به مهاجم اجازه خواندن و نوشتن فایل‌های دلخواه را بدهند که در نهایت می‌تواند منجر به RCE در دستگاه شود. برخی از آسیب پذیری ها بر اجزای شخص ثالث تأثیر می گذارد.

بولتن دیگر مربوط به یک آسیب‌پذیری حیاتی XSS در ماژول Mendix SAML است که مهاجم می‌تواند با فریب دادن کاربر مورد نظر برای کلیک کردن روی یک پیوند، از آن برای به دست آوردن اطلاعات حساس استفاده کند، اما فقط در پیکربندی‌های غیر پیش‌فرض خاصی قابل بهره‌برداری است.

زیمنس همچنین از دو آسیب‌پذیری با شدت بالا در مدیر مجوز اتوماسیون مطلع شد.

یکی از آنها می تواند به یک مهاجم تایید نشده اجازه دهد تا نام فایل ها را از راه دور تغییر داده و جابجا کند، و دیگری می تواند برای RCE در صورت پیوند به اولی استفاده شود.

آسیب‌پذیری‌های RCE در JT Open Toolkit، JT Utilities و Solid Edge رفع شدند. سوء استفاده این است که کاربر هدف را مجبور به باز کردن یک فایل خاص ساخته شده کند.

محققان یک مشکل سخت افزاری را در CPU S7-1500 شناسایی کرده اند که می تواند به مهاجمی با دسترسی فیزیکی به دستگاه اجازه دهد تصویر بوت را جایگزین کند و کد دلخواه را اجرا کند.

سازنده نسخه‌های سخت‌افزاری جدیدی را برای برخی اصلاحات منتشر کرده است و در حال کار بر روی نسخه‌های جدید برای انواع PLC باقی‌مانده است تا به طور کامل این آسیب‌پذیری را از بین ببرد.

اشنایدر الکتریک همچنین شش بولتن جدید منتشر کرده است، اما در مجموع هفت آسیب پذیری را پوشش می دهند.

این شرکت مشتریان را از در دسترس بودن وصله‌هایی برای آسیب‌پذیری‌های حیاتی و بسیار حیاتی در محصول EcoStruxure Geo SCADA Expert اطلاع داد که می‌تواند برای حملات DoS و کسب اطلاعات محرمانه استفاده شود.

یک مشکل عمده DoS در نرم افزار EcoStruxure Power Operation و Power SCADA Operation حل شده است.

EcoStruxure Power SCADA Anywhere در برابر یک آسیب پذیری جدی آسیب پذیر است که می تواند برای اجرای دستورات سیستم عامل استفاده شود، اما برای بهره برداری نیاز به احراز هویت دارد.

آسیب‌پذیری‌ها در EcoStruxure Control Expert، Process Expert و Modicon PLC‌ها رفع شده‌اند که می‌توانند حملات RCE و DoS را با استفاده از فایل‌های پروژه‌ای ساخته‌شده خاص امکان‌پذیر کنند. این محصولات نیز تحت تأثیر خطای بای پس احراز هویت هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نرم افزار مدیریت ناوگان DNV مورد حمله سایبری قرار گرفت


شرکت DNV گزارش می دهد که نرم افزار مدیریت ناوگان و عملیات "ShipManager" آن مورد حمله سایبری قرار گرفته است و آن را مجبور به خاموش کردن سرورهای نرم افزار کرده است.
DNV در بیانیه ای تایید کرد که این حمله در شامگاه شنبه 7 ژانویه رخ داد.
«همه کاربران همچنان می‌توانند از عملکردهای آفلاین و داخلی نرم‌افزار ShipManager استفاده کنند. در این بیانیه آمده است: در حال حاضر هیچ نشانه ای مبنی بر اینکه نرم افزار یا داده دیگری توسط DNV تحت تأثیر قرار گرفته باشد، وجود ندارد.
DNV گفت که از نزدیک با شرکای امنیت فناوری اطلاعات جهانی خود برای بررسی این حادثه و اجرای یک طرح بازیابی فنی برای "اطمینان از آنلاین شدن عملیات در اسرع وقت" همکاری می کند، که نشان می دهد این مشکلات تا روز دوشنبه هنوز حل نشده است.
DNV همچنین یک خط تلفن پشتیبانی 24/7 برای کمک به مشتریان آسیب دیده ارائه می دهد.
طبق وب سایت DNV، بیش از 7000 کشتی متعلق به 300 مشتری از راه حل های نرم افزاری مدیریت خدمه و پورت ShipManager و Navigator استفاده می کنند. پلت فرم ShipManager شامل ماژول هایی است که به مشتریان بینشی در مورد جنبه های فنی، عملیاتی و انطباق داده های مدیریت کشتی، از جمله سیستم تعمیر و نگهداری برنامه ریزی شده (PMS)، خرید حمل و نقل، سیستم های مدیریت ایمنی کشتی (QHSE)، سیستم مدیریت خدمه، مدیریت یکپارچگی بدنه، سیستم مدیریت کشتی، ارائه می دهد. اسکله و تعمیر کشتی و تجزیه و تحلیل داده های حمل و نقل.
نرم افزار ShipManager توسط DNV فروخته می شود و بنابراین این شرکت با پلیس نروژ در تماس است.
DNV گفت: "ما برای اختلال و ناراحتی که ممکن است این حادثه ایجاد کرده باشد عذرخواهی می کنیم."
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

GhostSec برای اولین باج افزار ICS در تاریخ به شهرت رسید
در 11 ژانویه 2023، GhostSec پیامی را در کانال تلگرام خود منتشر کرد و ادعا کرد که با موفقیت به دستگاه(های) RTU در بلاروس با اولین باج افزار ICS در تاریخ حمله کرده اند:
همه به وضوح در مورد باج افزاری شنیده اند که به دسکتاپ ویندوز، برخی از سرورها، برخی از اینترنت اشیا حمله کرده است، اما ما می خواهیم اولین حمله RTU را اعلام کنیم!
آره! ما به تازگی اولین RTU در تاریخ را رمزگذاری کردیم! دستگاه کوچکی که فقط برای محیط ICS طراحی شده است!
در عکس‌های فوری ضمیمه شده به پیام، GhostSec با تصاویری از فهرست فایل‌های دایرکتوری bin / با فایل‌های سیستم، پس از ورود موفقیت‌آمیز از طریق SSH به دستگاه ذTELEOFIS RTU با رمزگذاری «قبل» و «پس از»، اثبات می‌کند.

در تصویر "after" نشان داده شده است که برخی از فایل ها با پسوند ".fuckPutin" اضافه شده اند که نوعی باج افزار است. 
TELEOFIS تولید کننده دستگاه های مخابراتی بی سیم OT، با نام RTU - دستگاه های واحد پایانه راه دور از مسکو، روسیه است. همانطور که در تصاویر مشاهده می شود، دستگاه خاص TELEOFIS RTU968 V2 است - یک روتر 3G برای محیط های صنعتی. بار دیگر، ما مشکوک هستیم که دسترسی اولیه به دستگاه با استفاده از احراز هویت ضعیف دستگاه بوده است. 
دستگاه Teleofis را می توان یک RTU در نظر گرفت زیرا می تواند به دستگاه های Modbus یا رابط های سریال متصل شود، با این حال، این اولین چیزی نیست که به ذهن خطور می کند، چه از نظر عملکرد، معماری و چه از نظر استحکام. دستگاه های رایج). همچنین، این دستگاه می تواند فقط به عنوان یک روتر 3G مورد استفاده قرار گیرد و دستگاه های قوی تر را می توان در پشت آن وصل کرد. 
علاوه بر این، برای ایجاد یک نوع حمله باج‌افزار بر روی یک RTU معمولی، نیاز است که GhostSec دانش و منابع OT عمیق‌تری داشته باشد، مانند آزمایش با ابزارها و دستگاه‌های مهندسی واقعی OT. دستگاه Teleofis مبتنی بر OpenWRT است که اساساً لینوکس است و هیچ قابلیت جدید و واقعی OT را معرفی نمی کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اختصاصی: GhostSec مسئولیت حمله اخیر ICS روسیه را بر عهده گرفته است

GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخش‌هایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیه‌ای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.

GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی می‌گوید: «با بیانیه‌ای در مورد حمله، می‌خواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما می‌خواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه
خواهد داشت
منبع:

https://t.me/GhostSecc/410

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار!!

گزارش ‎Bitdefender درباره یک جاسوس‌افزار ایرانی (20speed vpn) که در پوشش وی‌پی‌ان، اطلاعات خصوصی افراد شامل عکس‌ها، اسناد و گذرواژه‌ها را سرقت می‌کند.

به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report

https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در لینوکس Sudo
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گروه Group-IB APT صورتی تیره را کشف کرد که در حملات به سازمان‌های دولتی و تأسیسات نظامی در منطقه آسیا و اقیانوسیه با استفاده از بدافزار ویژه برای سرقت اطلاعات دست داشت.

ART قبلاً تحت رادار محققان چینی از آزمایشگاه شکار Anheng قرار گرفته است که این گروه را به عنوان گروه Saaiwc دنبال می کنند. این گزارش زنجیره‌ای از حملات را توصیف می‌کند که یکی از آنها با استفاده از یک الگوی مایکروسافت آفیس با ماکروهای مخرب برای سوء استفاده از CVE-2017-0199 قدیمی و خطرناک اجرا شده است.

گروه Group-IB اشاره کرد که Dark Pink دارای TTP های منحصر به فرد است و یک جعبه ابزار سفارشی که در حملات یافت می شود می تواند برای سرقت اطلاعات و توزیع بدافزار از طریق درایوهای USB استفاده شود.

مهاجم از بارگذاری DLL منتشرنشده و روش‌های راه‌اندازی رویداد برای استخراج بارهای روی سیستم‌های قربانی استفاده می‌کند.

هدف مهاجم سرقت اطلاعات از مرورگرها، دسترسی به پیام‌رسان‌های فوری، استخراج اسناد و رهگیری اطلاعات صوتی از میکروفون دستگاه آلوده است.

به گفته محققان، از ژوئن تا دسامبر 2022، Dark Pink موفق به اجرای حداقل هفت حمله موفقیت آمیز شده است.

یک نمونه اولیه حمله، ایمیل‌های فیشینگ مربوط به استخدام است که قربانی را فریب می‌دهد تا فایل تصویری ISO مخرب را دانلود کند.

اما انواع دیگری از زنجیره حملات نیز شناسایی شدند. به ویژه، بازیگر همچنین از یک فایل ISO با یک سند فریبنده، یک فایل اجرایی امضا شده و یک DLL مخرب استفاده کرد که منجر به استقرار یکی از دو دزد سفارشی از طریق بارگذاری جانبی DLL شد.

Cucky و Ctealer نرم افزارهای مخصوص سرقت اطلاعات هستند که به ترتیب با دات نت و سی پلاس پلاس نوشته شده اند و با هدف استخراج رمزهای عبور، تاریخچه مرور، ورود به سیستم ذخیره شده و کوکی ها از تمام مرورگرهای وب شناخته شده هستند.

مرحله بعدی بازنشانی ایمپلنت رجیستری به نام TelePowerBot بود که از طریق یک اسکریپت در هنگام بوت سیستم راه اندازی می شود و به کانال تلگرام متصل می شود و از آنجا دستورات PowerShell را برای اجرا دریافت می کند.

به طور معمول، دستورات به شما امکان می دهند ابزارهای کنسول ساده یا اسکریپت های پیچیده PowerShell را اجرا کنید که ناوبری جانبی را از طریق درایوهای USB قابل جابجایی فراهم می کند.

گزینه دیگر شامل یک سند مایکروسافت آفیس (.DOC) در داخل یک فایل ISO بود که وقتی از GitHub باز شد، یک الگو با یک ماکرو مخرب که TelePowerBot را دانلود کرده و تغییراتی در رجیستری ویندوز ایجاد کرد، بازیابی کرد.

زنجیره سوم حملات، که در دسامبر 2022 انجام شد، مشابه اولین بود. با این حال، به جای TelePowerBot، بدافزار ویژه دیگری بارگذاری شد که محققان آن را KamiKakaBot می نامند که برای اجرای دستورات طراحی شده است.

KamiKakaBot یک نسخه دات نت از TelePowerBot است که قابلیت سرقت اطلاعات را نیز دارد و داده های ذخیره شده در مرورگرهای Chrome و Firefox را هدف قرار می دهد.

علاوه بر این، Dark Pink از یک اسکریپتی نیز برای ضبط صدا از طریق میکروفون در فاصله زمانی یک دقیقه استفاده کرد. داده ها به عنوان یک آرشیو ZIP در یک پوشه موقت ویندوز ذخیره می شوند و سپس از طریق ربات تلگرام منتقل می شوند.

علاوه بر این، مهاجم از ابزار ویژه ZMsg برای استخراج اطلاعات از پیام رسان ها استفاده می کند که مکاتبات Viber، Telegram و Zalo را می دزدد.

نتایج تجزیه و تحلیل فعالیت Dark Pink به Group-IB اجازه داد تا به احتمال زیاد موفقیت هفت حمله را اعلام کند، اما محققان معتقدند که می‌تواند بسیار بیشتر باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در محصولات زیمنس

محققان Red Balloon Security یک آسیب‌پذیری بالقوه وصله‌نشده جدی را کشف کرده‌اند که بر بسیاری از مدل‌های PLC زیمنس تأثیر می‌گذارد.

CVE-2022-38773، که دارای درجه بندی با شدت متوسط است، می تواند به مهاجم اجازه دهد تا ویژگی های Secure Boot را دور بزند، کد کنترل کننده و داده ها را تغییر دهد.

به گفته محققان Red Balloon Security، این خطا به دلیل مشکلات معماری است که بر پردازنده های Siemens Simatic و Siplus S7-1500 تأثیر می گذارد.

سیستم SoC سفارشی زیمنس RoT را در طول فرآیند راه‌اندازی اولیه ایجاد نمی‌کند و باعث عدم بررسی امضای نامتقارن برای تمام مراحل بوت‌لودر و سفت‌افزار قبل از اجرا می‌شود.

عدم ایجاد Root of Trust در یک دستگاه به مهاجمان اجازه می دهد تا یک بوت لودر و سیستم عامل اصلاح شده را دانلود کنند - برای انجام و دور زدن عملکردهای محافظت از دستکاری و بررسی یکپارچگی در دستگاه.

یک مهاجم می‌تواند سیستم عامل PLC‌های آسیب‌دیده را رمزگشایی کند و میان‌افزار بدافزار قابل بوت‌پذیر خود را در بیش از 100 مدل دستگاه ایجاد کند.

بهره برداری از آسیب پذیری مستلزم دسترسی فیزیکی به PLC هدف است. با این حال، همانطور که محققان خاطرنشان کردند، یک هکر می تواند از آسیب پذیری RCE دیگری برای استقرار سیستم عامل مخرب روی یک دستگاه استفاده کند.

زیمنس به مشتریان در مورد آسیب پذیری هشدار داد و توصیه کرد که اقداماتی انجام شود تا اطمینان حاصل شود که فقط پرسنل مورد اعتماد به تجهیزات فیزیکی دسترسی دارند.

در همان زمان، سازنده به طور جداگانه به مشتریان اطلاع داد که این آسیب‌پذیری را نمی‌توان با به‌روزرسانی میان‌افزار برطرف کرد و در حال حاضر هیچ اصلاحی برنامه‌ریزی نشده است.

نسخه‌های سخت‌افزاری جدیدی منتشر شده‌اند که به مشکل برخی از پردازنده‌های آسیب‌دیده رسیدگی می‌کنند، بقیه در دست توسعه هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔖 تکامل جرایم سایبری. تجزیه و تحلیل، روندها و پیش بینی های 2023.

🖖🏻 دوستان و همراهان عزیز سلام

• Group-IB گزارش سالانه شاخص خود را در مورد روندهای فعلی در امنیت سایبری و پیش بینی های تکامل چشم انداز تهدید منتشر کرده است. به طور خلاصه، باج افزار رهبری خود را در رتبه بندی تهدیدات سایبری برای مشاغل حفظ خواهد کرد.

• به یاد بیاورید که فعال ترین گروه ها در سال 2022 Lockbit، Conti و Hive بودند. در سال 2023، تنها قوی ترین ها در بازی باقی می مانند، در حالی که کوچکترها و کم تجربه ها از هم می پاشند.

• تعداد سایت هایی که مجرمان سایبری داده های شرکت دزدیده شده را برای اعمال فشار موثر بر قربانی منتشر می کنند در سال 2022 83 درصد افزایش یافت و به 44 رسید. طبق گزارش Group-IB، داده های 8 قربانی مورد حمله باج افزار هر روز در چنین سایت هایی یافت می شود. و در پیچیدگی کلی، داده های 2894 شرکت در دامنه عمومی قرار گرفت.

• مانند قبل، اکثر حملات باج افزار علیه شرکت های آمریکایی بود. با این حال، سال گذشته تعداد حملات باج افزار علیه مشاغل در بخش RU سه برابر شد. گروه OldGremlin رکوردی را برای مقدار باج ثبت کرد و از قربانی درخواست 1 میلیارد روبل کرد.

• یک راه جدید برای دسترسی به زیرساخت شرکت ها استفاده از دزدها - برنامه های مخرب برای سرقت اطلاعات از رایانه ها و گوشی های هوشمند آلوده کاربران است. در مجموع، Group-IB 380 کارگزار را کشف کرد که دسترسی به زیرساخت های شرکت را به خطر انداخته بودند، که بیش از 2300 پیشنهاد را در انجمن های دارک نت ارسال کردند. در سال 2022، بازار فروشندگان دسترسی در وب تاریک بیش از دو برابر شده است، در حالی که میانگین قیمت دسترسی به نصف کاهش یافته است. اغلب، مهاجمان "محصول" خود را در قالب دسترسی به VPN و RDP (پروتکل دسکتاپ از راه دور) می فروشند.

• در سال 2022، داده‌هایی که با استفاده از دزدان به سرقت رفته بودند، به همراه فروش دسترسی و داده‌های متنی کارت بانکی (نام مالک، شماره کارت، تاریخ انقضا، CVV) وارد 3 «کالا» پرفروش در وب تاریک شدند.

• در سال 2023 کارشناسان افزایش نشت را پیش بینی می کنند. اکثریت قریب به اتفاق پایگاه‌های اطلاعاتی شرکت‌های روسی در سال 2022 در انجمن‌های زیرزمینی و کانال‌های تلگرامی موضوعی برای دسترسی عمومی به صورت رایگان ارسال شد.

🧷 گزارش کامل را می توان در لینک زیر درخواست کرد: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/.
این گزارش برای شرکت‌های بخش‌های مختلف مفید خواهد بود و به ایجاد استراتژی‌های امنیت اطلاعات مؤثر کمک می‌کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

امنیت دو مرحله ای

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وصله‌های مجازی یک رویکرد امنیت سایبری است که هدف آن کاهش آسیب‌پذیری‌ها در سیستم‌ها قبل از استفاده مهاجمان است. این مستلزم اعمال اقدامات امنیتی موقت برای محافظت از سیستم ها در برابر نقص های شناخته شده است تا زمانی که بتوان تعمیر طولانی مدت را اعمال کرد. هنگامی که طراحی و آزمایش یک وصله ممکن است کمی طول بکشد، وصله مجازی اغلب به عنوان یک اصلاح سریع برای آسیب‌پذیری‌های تازه شناسایی‌شده استفاده می‌شود.

وصله مجازی می‌تواند به شکل اقدامات امنیتی در سطح شبکه مانند فایروال‌ها یا سیستم‌های جلوگیری از نفوذ، اقدامات امنیتی در سطح برنامه مانند اعتبارسنجی ورودی یا پاک‌سازی، یا honeypot و decoyهایی باشد که برای دستگیر کردن مهاجمان و منحرف کردن آنها از سیستم هدف طراحی شده‌اند.

هدف اصلی وصله مجازی کاهش سطح حمله سیستم و جلوگیری از سوء استفاده مهاجمان از آسیب‌پذیری‌ها حتی زمانی که یک رفع دائمی فوراً در دسترس نیست، است. این ابزار مهمی است که سازمان ها می توانند از آن برای پاسخ سریع به تهدیدات امنیتی احتمالی و کاهش خطر نقض داده ها یا سایر حوادث امنیتی استفاده کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

*پیاده سازی وصله مجازی در سیستم های فناوری عملیاتی (OT)*
می تواند یک فرآیند پیچیده باشد، اما چندین مرحله وجود دارد که می توان برای اطمینان از اجرای موثر آن انجام داد:

*1. ارزیابی: *
اولین قدم در پیاده سازی وصله مجازی، ارزیابی سیستم OT برای شناسایی آسیب پذیری های احتمالی و بردارهای حمله است. این شامل تجزیه و تحلیل معماری سیستم، پروتکل های ارتباطی مورد استفاده، و جریان داده در داخل سیستم است.

*2. ارزیابی ریسک: *
گام بعدی ارزیابی خطرات احتمالی ناشی از هر آسیب‌پذیری است، از جمله احتمال حمله و تأثیر بالقوه در صورت موفقیت‌آمیز بودن حمله. این اطلاعات می‌تواند برای اولویت‌بندی آسیب‌پذیری‌هایی که ابتدا باید برطرف شوند، استفاده شود.

*3. انتخاب اقدامات وصله مجازی: *
بر اساس ارزیابی و ارزیابی ریسک، می توان اقدامات وصله مجازی مناسب را انتخاب کرد. این ممکن است شامل کنترل‌های امنیتی در سطح شبکه، مانند فایروال‌ها یا سیستم‌های جلوگیری از نفوذ، کنترل‌های امنیتی در سطح برنامه، مانند اعتبارسنجی ورودی یا پاک‌سازی، یا Honeypot و Decoy باشد.

*4. پیاده سازی: *
پس از انتخاب اقدامات وصله مجازی، می توان آنها را در سیستم OT پیاده سازی کرد. این ممکن است شامل پیکربندی کنترل‌های امنیتی موجود، نصب ابزارهای امنیتی جدید یا اجرای کنترل‌های امنیتی در سطح برنامه باشد.

*5. تست و اعتبار سنجی: *
پس از پیاده سازی، وصله های مجازی باید آزمایش و اعتبار سنجی شوند تا اطمینان حاصل شود که طبق برنامه عمل می کنند و در عملکرد عادی سیستم OT تداخلی ایجاد نمی کنند.

*6. نظارت و نگهداری: *
وصله های مجازی باید به طور منظم نظارت و به روز شوند تا اطمینان حاصل شود که موثر باقی می مانند و آسیب پذیری های جدید برطرف می شوند. این ممکن است شامل ارزیابی های امنیتی منظم و تست نفوذ برای شناسایی تهدیدهای جدید باشد.

توجه به این نکته مهم است که وصله مجازی نباید یک راه حل دائمی در نظر گرفته شود، بلکه باید یک اقدام موقتی باشد که باید تا زمانی که یک اصلاح دائمی اعمال شود، استفاده شود. همچنین وجود یک استراتژی جامع امنیت سایبری برای سیستم OT، از جمله ارزیابی‌های امنیتی منظم، مدیریت آسیب‌پذیری، و برنامه‌ریزی واکنش به حوادث بسیار مهم است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شبکه Unit42 Palo Alto نسخه جدیدی از PlugX را کشف کرد که می تواند از طریق دستگاه های USB آلوده و منتشر شود و جایگزین ANDROMEDA و Raspberry Robin شود.

فایل های مخرب با استفاده از تکنیک جدیدی که حتی در آخرین سیستم عامل های ویندوز نیز کار می کند، پنهان می شوند. کاربر نمی داند که دستگاه USB او آلوده شده است یا احتمالاً برای سرقت داده ها از شبکه های آنها استفاده می شود.

محققان نمونه ای از PlugX را در طی یک واکنش حادثه پس از حمله Black Basta به قربانی ناشناس پیدا کردند.

ابزارهای دیگری که در محیط در معرض خطر یافت می شوند عبارتند از بارگذار بدافزار Gootkit و چارچوب تیم قرمز Brute Ratel C4.

استفاده از Brute Ratel توسط گروه Black Basta قبلا توسط Trend Micro در اکتبر 2022 مورد توجه قرار گرفته بود، زمانی که این نرم افزار به عنوان یک بار مرحله 2 از طریق کمپین فیشینگ Qakbot تحویل داده شد.

به گفته Quadrant Security، از آن زمان، زنجیره حملات علیه یک شرکت بزرگ انرژی منطقه ای مستقر در جنوب شرقی ایالات متحده مورد استفاده قرار گرفته است.

همانطور که می دانید، PlugX یک تروجان دسترسی از راه دور است که در اصل توسط ART چینی توسعه یافته و مورد استفاده قرار گرفته است، اما از آن زمان به بیرون درز کرده و توسط بسیاری از مهاجمان پذیرفته شده است.

با این حال، هیچ مدرکی مبنی بر ارتباط PlugX یا Gootkit با باند Black Basta وجود ندارد، که نشان می دهد ممکن است توسط بازیگران دیگری مستقر شده باشد.

نوع USB PlugX از این جهت قابل توجه است که از یک کاراکتر یونیکد خاص به نام فضای بدون شکست (U+00A0) برای مخفی کردن فایل‌ها در دستگاه USB متصل به یک ایستگاه کاری استفاده می‌کند.

در نهایت، یک فایل میانبر ویندوز (.LNK) ایجاد شده در پوشه ریشه فلش درایو برای راه اندازی بدافزار از یک دایرکتوری مخفی استفاده می شود.

با انجام این کار، نمونه PlugX نه تنها بدافزار را به میزبان تزریق می کند، بلکه آن را در هر دستگاه قابل جابجایی موجود کپی می کند و آن را در پوشه سطل زباله پنهان می کند.

هر زمان که میانبر فایلی از یک دستگاه USB آلوده کلیک می‌شود، بدافزار Windows Explorer را راه‌اندازی می‌کند و یک مسیر دایرکتوری را به عنوان پارامتر ارسال می‌کند که منجر به نمایش فایل‌های روی دستگاه USB از دایرکتوری‌های مخفی و آلوده شدن میزبان به بدافزار PlugX می‌شود.

این روش مبتنی بر این واقعیت است که Windows Explorer موارد پنهان را به طور پیش فرض نشان نمی دهد. اما ترفند این است که در صورت فعال بودن این تنظیمات، فایل های مخرب در به اصطلاح سطل بازیافت نمایش داده نمی شوند.

در واقع، این بدان معنی است که فایل های تقلبی را فقط می توان در یک سیستم عامل مشابه یونیکس مشاهده کرد.

واحد 42 همچنین نوع دوم PlugX را شناسایی کرد که علاوه بر آلوده کردن دستگاه‌های USB، علاوه بر این همه فایل‌های Adobe PDF و Microsoft Word را از میزبان به پوشه مخفی دیگری در دستگاه USB ایجاد شده توسط بدافزار کپی می‌کند.

کشف تغییرات جدید نشان می‌دهد که توسعه PlugX هنوز در حال انجام است و همچنان یک تهدید فعال باقی مانده است، در حال حاضر نیز برای شبکه‌های بسته.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب‌پذیری در کتابخانه پیوند پویا docmgmt.dll کیت ابزار طراحی و شبیه‌سازیSolid Edge زیمنس به توانایی نوشتن خارج از مرزهای بافر حافظه هنگام تجزیه فایل‌های PAR، ASM و DFT مربوط می‌شود. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را اجرا کند

BDU: 2023-00396
CVE-2022-47967

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای تجزیه و تحلیل فایل های پروژه دانلود شده.
- محدودیت دسترسی به نرم افزار از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه به منظور محدود کردن امکان دسترسی به نرم افزارهای صنعتی.

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-997779.pdf

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آسیب پذیری سرور وب سفت افزار سوئیچ اترنت Moxa SDS-3008

بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا با ارسال یک درخواست HTTP ساخته شده خاص، سرویس را رد کند.

BDU:2023-00550
CVE-2022-40224

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.

اقدامات جبرانی:
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از فایروال در سطح برنامه های کاربردی وب.

با استفاده از توصیه های سازنده:
https://www.moxa.com/en/support/product-support/security-advisory/sds-3008-series-multiple-web-vulnerabilities

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در محصولات زیمنس

یک آسیب پذیری در نرم افزار Automation License Manager شامل پیمایش مسیر است. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند

BDU: 2023-00691
CVE-2022-43514

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدودیت دسترسی به پورت TCP 4410 فقط توسط سیستم های قابل اعتماد.
- استفاده از فایروال
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در محصولات اتوماسیون صنعتی

یک آسیب پذیری در Cradlepoint NetCloud Embedded Operating System (NCOS) به دلیل اعتبار سنجی ناکافی آرگومان های ارسال شده به فرمان است. سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا با راه‌اندازی مجدد دستگاه و دسترسی به بایوس، کد دلخواه را اجرا کند.

BDU: 00694-2023
CVE-2022-3086

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای دانلود قابل اعتماد؛
- استفاده از سیستم های کنترل دسترسی؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- محدودیت دسترسی به تجهیزات صنعتی برای افرادی که مجاز به کار با آن نیستند.

استفاده از توصیه ها:
برای محصولات Cradlepoint:
https://cradlepoint.com/products/netcloud-service/

برای محصولات موکسا:
https://www.moxa.com/en/support/product-support/security-advisory/uc-series-improper-physical-access-control-vulnerability

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

به عنوان بخشی از به روز رسانی ماهانه برای فوریه 2023، زیمنس و اشنایدر الکتریک در مجموع حدود 100 آسیب پذیری را در محصولات خود برطرف کردند.

طبق گزارش SynSaber، زیمنس 13 بولتن جدید منتشر کرده است که در مجموع 86 آسیب پذیری را پوشش می دهد و 544 آسیب پذیری در سال 2022 برطرف شده است.

شدیدترین آسیب پذیری با امتیاز CVSS 10، خرابی حافظه است که می تواند منجر به DoS یا RCE در نرم افزار طراحی سازمانی کوموس شود.

حدود دوازده آسیب پذیری حیاتی و به خصوص جدی در Brownfield Connectivity بسته شده است، بهره برداری از آنها می تواند منجر به DoS شود.

برخی از ایرادات اصلی مربوط به BIOS هستند، به ویژه آنهایی که توسط اینتل و اینساید در نوامبر 2022 وصله شدند، از جمله مشکلاتی که توسط حمله RingHopper اجرا شد.

آسیب‌پذیری‌های جدی در Tecnomatix Plant Simulation، JT Open Toolkit، JT Utilities، Parasolid، Solid Edge و Simcenter Femap برطرف شده‌اند که می‌توان از آن‌ها برای RCE و DoS با فریب دادن کاربران هدف برای پردازش فایل‌های ساخته‌شده خاص سوء استفاده کرد.

یک آسیب‌پذیری افزایش امتیاز با شدت بالا در ACC SiPass اصلاح شده است، یک باگ مشابه DoS در برخی از سوئیچ‌های Scalance بسته شده است.

در عین حال، هنوز به‌روزرسانی‌هایی برای برخی راه‌حل‌های آسیب‌پذیر زیمنس منتشر نشده است.

اشنایدر الکتریک سه بولتن درباره 10 آسیب پذیری منتشر کرده است.

یکی از آنها 9 مشکل با شدت بالا و متوسط ​​را که در نرم افزار نظارت بر مرکز داده StruxureWare Expert یافت می شود، شرح می دهد. بهره برداری ممکن است منجر به RCE یا افزایش امتیاز شود.

بولتن دیگری یک نقص جدی مربوط به احراز هویت نادرست و تأثیرگذاری بر Merten KNX را توصیف می کند.

اطلاعیه سوم مشتریان اشنایدر الکتریک را از یک مشکل متوسط ​​در EcoStruxure Geo SCADA Expert آگاه می کند که می تواند لاگ ها را جعل کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

محققان Forescout در مورد آسیب پذیری های حیاتی در PLC های Schneider Electric Modicon هشدار می دهند.

دو آسیب‌پذیری جدید CVE-2022-45788 (امتیاز CVSS: 7.5) و CVE-2022-45789 (امتیاز CVSS: 8.1) دور زدن احراز هویت، افشای اطلاعات و RCE و DoS را پیاده‌سازی می‌کنند.

از زمان معرفی اولین PLC تولید انبوه در سال 1968، خانواده Modicon به یکی از محبوب ترین ها در جهان تبدیل شده است و Schneider Electric بزرگترین فروشنده آن است.

کارشناسان امنیتی اتصال آنها به اینترنت را توصیه نمی کنند.

Forescout نشان داد که فرانسه (33٪)، اسپانیا (17٪)، ایتالیا (15٪) و ایالات متحده (6٪) کشورهایی هستند که بیشترین دستگاه های ناامن را دارند، با بیش از 1000 PLC ناامنی در کل: از فرودگاه ها، معدن، انرژی خورشیدی. و انرژی آبی تا تولید مواد شیمیایی.

این باگ‌ها در آوریل تا جولای 2022 کشف شدند و بخشی از طیف گسترده‌تری از مسائل امنیتی تحت نام عمومی ICEFALL هستند که شامل 56 باگ است که راه‌حل‌های زیمنس، موتورولا و هانیول را نیز تحت تأثیر قرار می‌دهند.

علاوه بر این، اشنایدر از محققان خواست تا از قرار دادن دو خطا در لیست ICEFALL خودداری کنند تا بتواند با مشتریان برای رفع مشکلات قبل از اعلام عمومی همکاری کند. این شرکت از نزدیک با 2022-45788 (ارزیابی در سراسر فرآیند افشا و انتشار دو اعلامیه امنیتی در ماه گذشته) کار کرده است.

Forescout همچنین دریافت که یک بازیگر بالقوه می‌تواند باگ‌های جدید را به نقص‌های شناخته شده سایر فروشندگان (به عنوان مثال CVE-2021-31886) پیوند دهد تا به حرکت جانبی در شبکه‌های فناوری عملیاتی (OT) دست یابد.

حرکت جانبی عمیق به مزاحمان اجازه می دهد تا به سیستم های کنترل صنعتی دسترسی عمیق داشته باشند و از محیط های امنیتی اغلب نادیده گرفته شده عبور کنند و به آنها امکان می دهد دستکاری های بسیار دقیق و پنهانی انجام دهند و همچنین بر محدودیت های عملکردی و امنیتی غلبه کنند.

برای اینکه بی اساس نباشند، محققان یک حمله سایبری-فیزیکی پیچیده را به عنوان بخشی از اثبات مفهوم (PoC) توسعه دادند که نشان می دهد چگونه می توان از نقص ها برای دور زدن اقدامات امنیتی و آسیب رساندن به زیرساخت پل متحرک استفاده کرد.

محققان Forescout گفتند که هدف گزارش آنها این است که سازمان‌های زیرساخت‌های حیاتی را وادار کنند تا ارزیابی دقیق‌تری از ریسک مبتنی بر تأثیر انجام دهند و عمیق‌تر در مورد اینکه چگونه یک مهاجم می‌تواند اقدامات امنیتی را برای محافظت از محیط فیزیکی دور بزند، فکر کنند.

در مجموع، نقاط ضعف تهدیدات واقعی برای عملیات فیزیکی از دستگاه‌های IoT، پلتفرم‌های مدیریت ابر و شبکه‌های OT تودرتو را برجسته می‌کنند. برای محافظت از خود، اشنایدر الکتریک همچنین "بهترین شیوه های امنیت سایبری توصیه شده" را به مشتریان ارائه کرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آسیب‌پذیری مکانیسم بررسی کش نرم‌افزار برای طراحی، بهره‌برداری و نگهداری کارخانه‌های فرآیند COMOS به عملکرد فراتر از مرزهای بافر در حافظه مربوط می‌شود. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند

BDU: 00756-2023
CVE-2023-24482

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.

اقدامات جبرانی:
- فعال کردن بازنویسی کنترل ساختار یافته (SEHOP) در سیستم عامل ویندوزی که Comos روی آن نصب شده است تا از امکان اجرای کد دلخواه جلوگیری شود.
- استفاده از فایروال
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).

با استفاده از توصیه های سازنده:
https://cert-portal.siemens.com/productcert/html/ssa-693110.html

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب پذیری در سیستم نظارت بر تجهیزات حیاتی StruxureWare Data Center Expert مربوط به خطاهایی در نگهداری اشیا توسط یک کاربر کشف شده است.
بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند

BDU:2023-00806
CVE-2023-25547

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.

اقدامات جبرانی:
- مسدود کردن حساب های کاربری استفاده نشده
- به حداقل رساندن امتیازات کاربر؛
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور.
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

با استفاده از توصیه های سازنده:
https://download.schneider-electric.com/files؟p_doc_ref=sevd-2023-045-02&p_endoctype=security+safety+notice&p_file_name=sevd-2023-045-045-02.02.pdf & _ga=2

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti