نرم افزار مدیریت ناوگان DNV مورد حمله سایبری قرار گرفت
شرکت DNV گزارش می دهد که نرم افزار مدیریت ناوگان و عملیات "ShipManager" آن مورد حمله سایبری قرار گرفته است و آن را مجبور به خاموش کردن سرورهای نرم افزار کرده است.
DNV در بیانیه ای تایید کرد که این حمله در شامگاه شنبه 7 ژانویه رخ داد.
«همه کاربران همچنان میتوانند از عملکردهای آفلاین و داخلی نرمافزار ShipManager استفاده کنند. در این بیانیه آمده است: در حال حاضر هیچ نشانه ای مبنی بر اینکه نرم افزار یا داده دیگری توسط DNV تحت تأثیر قرار گرفته باشد، وجود ندارد.
DNV گفت که از نزدیک با شرکای امنیت فناوری اطلاعات جهانی خود برای بررسی این حادثه و اجرای یک طرح بازیابی فنی برای "اطمینان از آنلاین شدن عملیات در اسرع وقت" همکاری می کند، که نشان می دهد این مشکلات تا روز دوشنبه هنوز حل نشده است.
DNV همچنین یک خط تلفن پشتیبانی 24/7 برای کمک به مشتریان آسیب دیده ارائه می دهد.
طبق وب سایت DNV، بیش از 7000 کشتی متعلق به 300 مشتری از راه حل های نرم افزاری مدیریت خدمه و پورت ShipManager و Navigator استفاده می کنند. پلت فرم ShipManager شامل ماژول هایی است که به مشتریان بینشی در مورد جنبه های فنی، عملیاتی و انطباق داده های مدیریت کشتی، از جمله سیستم تعمیر و نگهداری برنامه ریزی شده (PMS)، خرید حمل و نقل، سیستم های مدیریت ایمنی کشتی (QHSE)، سیستم مدیریت خدمه، مدیریت یکپارچگی بدنه، سیستم مدیریت کشتی، ارائه می دهد. اسکله و تعمیر کشتی و تجزیه و تحلیل داده های حمل و نقل.
نرم افزار ShipManager توسط DNV فروخته می شود و بنابراین این شرکت با پلیس نروژ در تماس است.
DNV گفت: "ما برای اختلال و ناراحتی که ممکن است این حادثه ایجاد کرده باشد عذرخواهی می کنیم."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
شرکت DNV گزارش می دهد که نرم افزار مدیریت ناوگان و عملیات "ShipManager" آن مورد حمله سایبری قرار گرفته است و آن را مجبور به خاموش کردن سرورهای نرم افزار کرده است.
DNV در بیانیه ای تایید کرد که این حمله در شامگاه شنبه 7 ژانویه رخ داد.
«همه کاربران همچنان میتوانند از عملکردهای آفلاین و داخلی نرمافزار ShipManager استفاده کنند. در این بیانیه آمده است: در حال حاضر هیچ نشانه ای مبنی بر اینکه نرم افزار یا داده دیگری توسط DNV تحت تأثیر قرار گرفته باشد، وجود ندارد.
DNV گفت که از نزدیک با شرکای امنیت فناوری اطلاعات جهانی خود برای بررسی این حادثه و اجرای یک طرح بازیابی فنی برای "اطمینان از آنلاین شدن عملیات در اسرع وقت" همکاری می کند، که نشان می دهد این مشکلات تا روز دوشنبه هنوز حل نشده است.
DNV همچنین یک خط تلفن پشتیبانی 24/7 برای کمک به مشتریان آسیب دیده ارائه می دهد.
طبق وب سایت DNV، بیش از 7000 کشتی متعلق به 300 مشتری از راه حل های نرم افزاری مدیریت خدمه و پورت ShipManager و Navigator استفاده می کنند. پلت فرم ShipManager شامل ماژول هایی است که به مشتریان بینشی در مورد جنبه های فنی، عملیاتی و انطباق داده های مدیریت کشتی، از جمله سیستم تعمیر و نگهداری برنامه ریزی شده (PMS)، خرید حمل و نقل، سیستم های مدیریت ایمنی کشتی (QHSE)، سیستم مدیریت خدمه، مدیریت یکپارچگی بدنه، سیستم مدیریت کشتی، ارائه می دهد. اسکله و تعمیر کشتی و تجزیه و تحلیل داده های حمل و نقل.
نرم افزار ShipManager توسط DNV فروخته می شود و بنابراین این شرکت با پلیس نروژ در تماس است.
DNV گفت: "ما برای اختلال و ناراحتی که ممکن است این حادثه ایجاد کرده باشد عذرخواهی می کنیم."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
GhostSec برای اولین باج افزار ICS در تاریخ به شهرت رسید
در 11 ژانویه 2023، GhostSec پیامی را در کانال تلگرام خود منتشر کرد و ادعا کرد که با موفقیت به دستگاه(های) RTU در بلاروس با اولین باج افزار ICS در تاریخ حمله کرده اند:
همه به وضوح در مورد باج افزاری شنیده اند که به دسکتاپ ویندوز، برخی از سرورها، برخی از اینترنت اشیا حمله کرده است، اما ما می خواهیم اولین حمله RTU را اعلام کنیم!
آره! ما به تازگی اولین RTU در تاریخ را رمزگذاری کردیم! دستگاه کوچکی که فقط برای محیط ICS طراحی شده است!
در عکسهای فوری ضمیمه شده به پیام، GhostSec با تصاویری از فهرست فایلهای دایرکتوری bin / با فایلهای سیستم، پس از ورود موفقیتآمیز از طریق SSH به دستگاه ذTELEOFIS RTU با رمزگذاری «قبل» و «پس از»، اثبات میکند.
در تصویر "after" نشان داده شده است که برخی از فایل ها با پسوند ".fuckPutin" اضافه شده اند که نوعی باج افزار است.
TELEOFIS تولید کننده دستگاه های مخابراتی بی سیم OT، با نام RTU - دستگاه های واحد پایانه راه دور از مسکو، روسیه است. همانطور که در تصاویر مشاهده می شود، دستگاه خاص TELEOFIS RTU968 V2 است - یک روتر 3G برای محیط های صنعتی. بار دیگر، ما مشکوک هستیم که دسترسی اولیه به دستگاه با استفاده از احراز هویت ضعیف دستگاه بوده است.
دستگاه Teleofis را می توان یک RTU در نظر گرفت زیرا می تواند به دستگاه های Modbus یا رابط های سریال متصل شود، با این حال، این اولین چیزی نیست که به ذهن خطور می کند، چه از نظر عملکرد، معماری و چه از نظر استحکام. دستگاه های رایج). همچنین، این دستگاه می تواند فقط به عنوان یک روتر 3G مورد استفاده قرار گیرد و دستگاه های قوی تر را می توان در پشت آن وصل کرد.
علاوه بر این، برای ایجاد یک نوع حمله باجافزار بر روی یک RTU معمولی، نیاز است که GhostSec دانش و منابع OT عمیقتری داشته باشد، مانند آزمایش با ابزارها و دستگاههای مهندسی واقعی OT. دستگاه Teleofis مبتنی بر OpenWRT است که اساساً لینوکس است و هیچ قابلیت جدید و واقعی OT را معرفی نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
در 11 ژانویه 2023، GhostSec پیامی را در کانال تلگرام خود منتشر کرد و ادعا کرد که با موفقیت به دستگاه(های) RTU در بلاروس با اولین باج افزار ICS در تاریخ حمله کرده اند:
همه به وضوح در مورد باج افزاری شنیده اند که به دسکتاپ ویندوز، برخی از سرورها، برخی از اینترنت اشیا حمله کرده است، اما ما می خواهیم اولین حمله RTU را اعلام کنیم!
آره! ما به تازگی اولین RTU در تاریخ را رمزگذاری کردیم! دستگاه کوچکی که فقط برای محیط ICS طراحی شده است!
در عکسهای فوری ضمیمه شده به پیام، GhostSec با تصاویری از فهرست فایلهای دایرکتوری bin / با فایلهای سیستم، پس از ورود موفقیتآمیز از طریق SSH به دستگاه ذTELEOFIS RTU با رمزگذاری «قبل» و «پس از»، اثبات میکند.
در تصویر "after" نشان داده شده است که برخی از فایل ها با پسوند ".fuckPutin" اضافه شده اند که نوعی باج افزار است.
TELEOFIS تولید کننده دستگاه های مخابراتی بی سیم OT، با نام RTU - دستگاه های واحد پایانه راه دور از مسکو، روسیه است. همانطور که در تصاویر مشاهده می شود، دستگاه خاص TELEOFIS RTU968 V2 است - یک روتر 3G برای محیط های صنعتی. بار دیگر، ما مشکوک هستیم که دسترسی اولیه به دستگاه با استفاده از احراز هویت ضعیف دستگاه بوده است.
دستگاه Teleofis را می توان یک RTU در نظر گرفت زیرا می تواند به دستگاه های Modbus یا رابط های سریال متصل شود، با این حال، این اولین چیزی نیست که به ذهن خطور می کند، چه از نظر عملکرد، معماری و چه از نظر استحکام. دستگاه های رایج). همچنین، این دستگاه می تواند فقط به عنوان یک روتر 3G مورد استفاده قرار گیرد و دستگاه های قوی تر را می توان در پشت آن وصل کرد.
علاوه بر این، برای ایجاد یک نوع حمله باجافزار بر روی یک RTU معمولی، نیاز است که GhostSec دانش و منابع OT عمیقتری داشته باشد، مانند آزمایش با ابزارها و دستگاههای مهندسی واقعی OT. دستگاه Teleofis مبتنی بر OpenWRT است که اساساً لینوکس است و هیچ قابلیت جدید و واقعی OT را معرفی نمی کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
اختصاصی: GhostSec مسئولیت حمله اخیر ICS روسیه را بر عهده گرفته است
GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخشهایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیهای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.
GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی میگوید: «با بیانیهای در مورد حمله، میخواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما میخواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه
خواهد داشت
منبع:
https://t.me/GhostSecc/410
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخشهایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیهای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.
GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی میگوید: «با بیانیهای در مورد حمله، میخواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما میخواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه
خواهد داشت
منبع:
https://t.me/GhostSecc/410
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
هشدار!!
گزارش Bitdefender درباره یک جاسوسافزار ایرانی (20speed vpn) که در پوشش ویپیان، اطلاعات خصوصی افراد شامل عکسها، اسناد و گذرواژهها را سرقت میکند.
به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report
https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
گزارش Bitdefender درباره یک جاسوسافزار ایرانی (20speed vpn) که در پوشش ویپیان، اطلاعات خصوصی افراد شامل عکسها، اسناد و گذرواژهها را سرقت میکند.
به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report
https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Bitdefender Labs
EyeSpy - Iranian Spyware Delivered in VPN Installers
Consumer VPN solutions have witnessed explosive growth in the past few years.
کشف آسیب پذیری در لینوکس Sudo
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Linux news
Sudoedit bypass in Sudo <= 1.9.12p1
CVE-2023-22809
Vulnerability description
Presentation of Sudo
Sudo (su “do”) allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as…
CVE-2023-22809
Vulnerability description
Presentation of Sudo
Sudo (su “do”) allows a system administrator to delegate authority to give certain users (or groups of users) the ability to run some (or all) commands as…
گروه Group-IB APT صورتی تیره را کشف کرد که در حملات به سازمانهای دولتی و تأسیسات نظامی در منطقه آسیا و اقیانوسیه با استفاده از بدافزار ویژه برای سرقت اطلاعات دست داشت.
ART قبلاً تحت رادار محققان چینی از آزمایشگاه شکار Anheng قرار گرفته است که این گروه را به عنوان گروه Saaiwc دنبال می کنند. این گزارش زنجیرهای از حملات را توصیف میکند که یکی از آنها با استفاده از یک الگوی مایکروسافت آفیس با ماکروهای مخرب برای سوء استفاده از CVE-2017-0199 قدیمی و خطرناک اجرا شده است.
گروه Group-IB اشاره کرد که Dark Pink دارای TTP های منحصر به فرد است و یک جعبه ابزار سفارشی که در حملات یافت می شود می تواند برای سرقت اطلاعات و توزیع بدافزار از طریق درایوهای USB استفاده شود.
مهاجم از بارگذاری DLL منتشرنشده و روشهای راهاندازی رویداد برای استخراج بارهای روی سیستمهای قربانی استفاده میکند.
هدف مهاجم سرقت اطلاعات از مرورگرها، دسترسی به پیامرسانهای فوری، استخراج اسناد و رهگیری اطلاعات صوتی از میکروفون دستگاه آلوده است.
به گفته محققان، از ژوئن تا دسامبر 2022، Dark Pink موفق به اجرای حداقل هفت حمله موفقیت آمیز شده است.
یک نمونه اولیه حمله، ایمیلهای فیشینگ مربوط به استخدام است که قربانی را فریب میدهد تا فایل تصویری ISO مخرب را دانلود کند.
اما انواع دیگری از زنجیره حملات نیز شناسایی شدند. به ویژه، بازیگر همچنین از یک فایل ISO با یک سند فریبنده، یک فایل اجرایی امضا شده و یک DLL مخرب استفاده کرد که منجر به استقرار یکی از دو دزد سفارشی از طریق بارگذاری جانبی DLL شد.
Cucky و Ctealer نرم افزارهای مخصوص سرقت اطلاعات هستند که به ترتیب با دات نت و سی پلاس پلاس نوشته شده اند و با هدف استخراج رمزهای عبور، تاریخچه مرور، ورود به سیستم ذخیره شده و کوکی ها از تمام مرورگرهای وب شناخته شده هستند.
مرحله بعدی بازنشانی ایمپلنت رجیستری به نام TelePowerBot بود که از طریق یک اسکریپت در هنگام بوت سیستم راه اندازی می شود و به کانال تلگرام متصل می شود و از آنجا دستورات PowerShell را برای اجرا دریافت می کند.
به طور معمول، دستورات به شما امکان می دهند ابزارهای کنسول ساده یا اسکریپت های پیچیده PowerShell را اجرا کنید که ناوبری جانبی را از طریق درایوهای USB قابل جابجایی فراهم می کند.
گزینه دیگر شامل یک سند مایکروسافت آفیس (.DOC) در داخل یک فایل ISO بود که وقتی از GitHub باز شد، یک الگو با یک ماکرو مخرب که TelePowerBot را دانلود کرده و تغییراتی در رجیستری ویندوز ایجاد کرد، بازیابی کرد.
زنجیره سوم حملات، که در دسامبر 2022 انجام شد، مشابه اولین بود. با این حال، به جای TelePowerBot، بدافزار ویژه دیگری بارگذاری شد که محققان آن را KamiKakaBot می نامند که برای اجرای دستورات طراحی شده است.
KamiKakaBot یک نسخه دات نت از TelePowerBot است که قابلیت سرقت اطلاعات را نیز دارد و داده های ذخیره شده در مرورگرهای Chrome و Firefox را هدف قرار می دهد.
علاوه بر این، Dark Pink از یک اسکریپتی نیز برای ضبط صدا از طریق میکروفون در فاصله زمانی یک دقیقه استفاده کرد. داده ها به عنوان یک آرشیو ZIP در یک پوشه موقت ویندوز ذخیره می شوند و سپس از طریق ربات تلگرام منتقل می شوند.
علاوه بر این، مهاجم از ابزار ویژه ZMsg برای استخراج اطلاعات از پیام رسان ها استفاده می کند که مکاتبات Viber، Telegram و Zalo را می دزدد.
نتایج تجزیه و تحلیل فعالیت Dark Pink به Group-IB اجازه داد تا به احتمال زیاد موفقیت هفت حمله را اعلام کند، اما محققان معتقدند که میتواند بسیار بیشتر باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
ART قبلاً تحت رادار محققان چینی از آزمایشگاه شکار Anheng قرار گرفته است که این گروه را به عنوان گروه Saaiwc دنبال می کنند. این گزارش زنجیرهای از حملات را توصیف میکند که یکی از آنها با استفاده از یک الگوی مایکروسافت آفیس با ماکروهای مخرب برای سوء استفاده از CVE-2017-0199 قدیمی و خطرناک اجرا شده است.
گروه Group-IB اشاره کرد که Dark Pink دارای TTP های منحصر به فرد است و یک جعبه ابزار سفارشی که در حملات یافت می شود می تواند برای سرقت اطلاعات و توزیع بدافزار از طریق درایوهای USB استفاده شود.
مهاجم از بارگذاری DLL منتشرنشده و روشهای راهاندازی رویداد برای استخراج بارهای روی سیستمهای قربانی استفاده میکند.
هدف مهاجم سرقت اطلاعات از مرورگرها، دسترسی به پیامرسانهای فوری، استخراج اسناد و رهگیری اطلاعات صوتی از میکروفون دستگاه آلوده است.
به گفته محققان، از ژوئن تا دسامبر 2022، Dark Pink موفق به اجرای حداقل هفت حمله موفقیت آمیز شده است.
یک نمونه اولیه حمله، ایمیلهای فیشینگ مربوط به استخدام است که قربانی را فریب میدهد تا فایل تصویری ISO مخرب را دانلود کند.
اما انواع دیگری از زنجیره حملات نیز شناسایی شدند. به ویژه، بازیگر همچنین از یک فایل ISO با یک سند فریبنده، یک فایل اجرایی امضا شده و یک DLL مخرب استفاده کرد که منجر به استقرار یکی از دو دزد سفارشی از طریق بارگذاری جانبی DLL شد.
Cucky و Ctealer نرم افزارهای مخصوص سرقت اطلاعات هستند که به ترتیب با دات نت و سی پلاس پلاس نوشته شده اند و با هدف استخراج رمزهای عبور، تاریخچه مرور، ورود به سیستم ذخیره شده و کوکی ها از تمام مرورگرهای وب شناخته شده هستند.
مرحله بعدی بازنشانی ایمپلنت رجیستری به نام TelePowerBot بود که از طریق یک اسکریپت در هنگام بوت سیستم راه اندازی می شود و به کانال تلگرام متصل می شود و از آنجا دستورات PowerShell را برای اجرا دریافت می کند.
به طور معمول، دستورات به شما امکان می دهند ابزارهای کنسول ساده یا اسکریپت های پیچیده PowerShell را اجرا کنید که ناوبری جانبی را از طریق درایوهای USB قابل جابجایی فراهم می کند.
گزینه دیگر شامل یک سند مایکروسافت آفیس (.DOC) در داخل یک فایل ISO بود که وقتی از GitHub باز شد، یک الگو با یک ماکرو مخرب که TelePowerBot را دانلود کرده و تغییراتی در رجیستری ویندوز ایجاد کرد، بازیابی کرد.
زنجیره سوم حملات، که در دسامبر 2022 انجام شد، مشابه اولین بود. با این حال، به جای TelePowerBot، بدافزار ویژه دیگری بارگذاری شد که محققان آن را KamiKakaBot می نامند که برای اجرای دستورات طراحی شده است.
KamiKakaBot یک نسخه دات نت از TelePowerBot است که قابلیت سرقت اطلاعات را نیز دارد و داده های ذخیره شده در مرورگرهای Chrome و Firefox را هدف قرار می دهد.
علاوه بر این، Dark Pink از یک اسکریپتی نیز برای ضبط صدا از طریق میکروفون در فاصله زمانی یک دقیقه استفاده کرد. داده ها به عنوان یک آرشیو ZIP در یک پوشه موقت ویندوز ذخیره می شوند و سپس از طریق ربات تلگرام منتقل می شوند.
علاوه بر این، مهاجم از ابزار ویژه ZMsg برای استخراج اطلاعات از پیام رسان ها استفاده می کند که مکاتبات Viber، Telegram و Zalo را می دزدد.
نتایج تجزیه و تحلیل فعالیت Dark Pink به Group-IB اجازه داد تا به احتمال زیاد موفقیت هفت حمله را اعلام کند، اما محققان معتقدند که میتواند بسیار بیشتر باشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کشف آسیب پذیری در محصولات زیمنس
محققان Red Balloon Security یک آسیبپذیری بالقوه وصلهنشده جدی را کشف کردهاند که بر بسیاری از مدلهای PLC زیمنس تأثیر میگذارد.
CVE-2022-38773، که دارای درجه بندی با شدت متوسط است، می تواند به مهاجم اجازه دهد تا ویژگی های Secure Boot را دور بزند، کد کنترل کننده و داده ها را تغییر دهد.
به گفته محققان Red Balloon Security، این خطا به دلیل مشکلات معماری است که بر پردازنده های Siemens Simatic و Siplus S7-1500 تأثیر می گذارد.
سیستم SoC سفارشی زیمنس RoT را در طول فرآیند راهاندازی اولیه ایجاد نمیکند و باعث عدم بررسی امضای نامتقارن برای تمام مراحل بوتلودر و سفتافزار قبل از اجرا میشود.
عدم ایجاد Root of Trust در یک دستگاه به مهاجمان اجازه می دهد تا یک بوت لودر و سیستم عامل اصلاح شده را دانلود کنند - برای انجام و دور زدن عملکردهای محافظت از دستکاری و بررسی یکپارچگی در دستگاه.
یک مهاجم میتواند سیستم عامل PLCهای آسیبدیده را رمزگشایی کند و میانافزار بدافزار قابل بوتپذیر خود را در بیش از 100 مدل دستگاه ایجاد کند.
بهره برداری از آسیب پذیری مستلزم دسترسی فیزیکی به PLC هدف است. با این حال، همانطور که محققان خاطرنشان کردند، یک هکر می تواند از آسیب پذیری RCE دیگری برای استقرار سیستم عامل مخرب روی یک دستگاه استفاده کند.
زیمنس به مشتریان در مورد آسیب پذیری هشدار داد و توصیه کرد که اقداماتی انجام شود تا اطمینان حاصل شود که فقط پرسنل مورد اعتماد به تجهیزات فیزیکی دسترسی دارند.
در همان زمان، سازنده به طور جداگانه به مشتریان اطلاع داد که این آسیبپذیری را نمیتوان با بهروزرسانی میانافزار برطرف کرد و در حال حاضر هیچ اصلاحی برنامهریزی نشده است.
نسخههای سختافزاری جدیدی منتشر شدهاند که به مشکل برخی از پردازندههای آسیبدیده رسیدگی میکنند، بقیه در دست توسعه هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
محققان Red Balloon Security یک آسیبپذیری بالقوه وصلهنشده جدی را کشف کردهاند که بر بسیاری از مدلهای PLC زیمنس تأثیر میگذارد.
CVE-2022-38773، که دارای درجه بندی با شدت متوسط است، می تواند به مهاجم اجازه دهد تا ویژگی های Secure Boot را دور بزند، کد کنترل کننده و داده ها را تغییر دهد.
به گفته محققان Red Balloon Security، این خطا به دلیل مشکلات معماری است که بر پردازنده های Siemens Simatic و Siplus S7-1500 تأثیر می گذارد.
سیستم SoC سفارشی زیمنس RoT را در طول فرآیند راهاندازی اولیه ایجاد نمیکند و باعث عدم بررسی امضای نامتقارن برای تمام مراحل بوتلودر و سفتافزار قبل از اجرا میشود.
عدم ایجاد Root of Trust در یک دستگاه به مهاجمان اجازه می دهد تا یک بوت لودر و سیستم عامل اصلاح شده را دانلود کنند - برای انجام و دور زدن عملکردهای محافظت از دستکاری و بررسی یکپارچگی در دستگاه.
یک مهاجم میتواند سیستم عامل PLCهای آسیبدیده را رمزگشایی کند و میانافزار بدافزار قابل بوتپذیر خود را در بیش از 100 مدل دستگاه ایجاد کند.
بهره برداری از آسیب پذیری مستلزم دسترسی فیزیکی به PLC هدف است. با این حال، همانطور که محققان خاطرنشان کردند، یک هکر می تواند از آسیب پذیری RCE دیگری برای استقرار سیستم عامل مخرب روی یک دستگاه استفاده کند.
زیمنس به مشتریان در مورد آسیب پذیری هشدار داد و توصیه کرد که اقداماتی انجام شود تا اطمینان حاصل شود که فقط پرسنل مورد اعتماد به تجهیزات فیزیکی دسترسی دارند.
در همان زمان، سازنده به طور جداگانه به مشتریان اطلاع داد که این آسیبپذیری را نمیتوان با بهروزرسانی میانافزار برطرف کرد و در حال حاضر هیچ اصلاحی برنامهریزی نشده است.
نسخههای سختافزاری جدیدی منتشر شدهاند که به مشکل برخی از پردازندههای آسیبدیده رسیدگی میکنند، بقیه در دست توسعه هستند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🔖 تکامل جرایم سایبری. تجزیه و تحلیل، روندها و پیش بینی های 2023.
🖖🏻 دوستان و همراهان عزیز سلام
• Group-IB گزارش سالانه شاخص خود را در مورد روندهای فعلی در امنیت سایبری و پیش بینی های تکامل چشم انداز تهدید منتشر کرده است. به طور خلاصه، باج افزار رهبری خود را در رتبه بندی تهدیدات سایبری برای مشاغل حفظ خواهد کرد.
• به یاد بیاورید که فعال ترین گروه ها در سال 2022 Lockbit، Conti و Hive بودند. در سال 2023، تنها قوی ترین ها در بازی باقی می مانند، در حالی که کوچکترها و کم تجربه ها از هم می پاشند.
• تعداد سایت هایی که مجرمان سایبری داده های شرکت دزدیده شده را برای اعمال فشار موثر بر قربانی منتشر می کنند در سال 2022 83 درصد افزایش یافت و به 44 رسید. طبق گزارش Group-IB، داده های 8 قربانی مورد حمله باج افزار هر روز در چنین سایت هایی یافت می شود. و در پیچیدگی کلی، داده های 2894 شرکت در دامنه عمومی قرار گرفت.
• مانند قبل، اکثر حملات باج افزار علیه شرکت های آمریکایی بود. با این حال، سال گذشته تعداد حملات باج افزار علیه مشاغل در بخش RU سه برابر شد. گروه OldGremlin رکوردی را برای مقدار باج ثبت کرد و از قربانی درخواست 1 میلیارد روبل کرد.
• یک راه جدید برای دسترسی به زیرساخت شرکت ها استفاده از دزدها - برنامه های مخرب برای سرقت اطلاعات از رایانه ها و گوشی های هوشمند آلوده کاربران است. در مجموع، Group-IB 380 کارگزار را کشف کرد که دسترسی به زیرساخت های شرکت را به خطر انداخته بودند، که بیش از 2300 پیشنهاد را در انجمن های دارک نت ارسال کردند. در سال 2022، بازار فروشندگان دسترسی در وب تاریک بیش از دو برابر شده است، در حالی که میانگین قیمت دسترسی به نصف کاهش یافته است. اغلب، مهاجمان "محصول" خود را در قالب دسترسی به VPN و RDP (پروتکل دسکتاپ از راه دور) می فروشند.
• در سال 2022، دادههایی که با استفاده از دزدان به سرقت رفته بودند، به همراه فروش دسترسی و دادههای متنی کارت بانکی (نام مالک، شماره کارت، تاریخ انقضا، CVV) وارد 3 «کالا» پرفروش در وب تاریک شدند.
• در سال 2023 کارشناسان افزایش نشت را پیش بینی می کنند. اکثریت قریب به اتفاق پایگاههای اطلاعاتی شرکتهای روسی در سال 2022 در انجمنهای زیرزمینی و کانالهای تلگرامی موضوعی برای دسترسی عمومی به صورت رایگان ارسال شد.
🧷 گزارش کامل را می توان در لینک زیر درخواست کرد: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/.
این گزارش برای شرکتهای بخشهای مختلف مفید خواهد بود و به ایجاد استراتژیهای امنیت اطلاعات مؤثر کمک میکند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
🖖🏻 دوستان و همراهان عزیز سلام
• Group-IB گزارش سالانه شاخص خود را در مورد روندهای فعلی در امنیت سایبری و پیش بینی های تکامل چشم انداز تهدید منتشر کرده است. به طور خلاصه، باج افزار رهبری خود را در رتبه بندی تهدیدات سایبری برای مشاغل حفظ خواهد کرد.
• به یاد بیاورید که فعال ترین گروه ها در سال 2022 Lockbit، Conti و Hive بودند. در سال 2023، تنها قوی ترین ها در بازی باقی می مانند، در حالی که کوچکترها و کم تجربه ها از هم می پاشند.
• تعداد سایت هایی که مجرمان سایبری داده های شرکت دزدیده شده را برای اعمال فشار موثر بر قربانی منتشر می کنند در سال 2022 83 درصد افزایش یافت و به 44 رسید. طبق گزارش Group-IB، داده های 8 قربانی مورد حمله باج افزار هر روز در چنین سایت هایی یافت می شود. و در پیچیدگی کلی، داده های 2894 شرکت در دامنه عمومی قرار گرفت.
• مانند قبل، اکثر حملات باج افزار علیه شرکت های آمریکایی بود. با این حال، سال گذشته تعداد حملات باج افزار علیه مشاغل در بخش RU سه برابر شد. گروه OldGremlin رکوردی را برای مقدار باج ثبت کرد و از قربانی درخواست 1 میلیارد روبل کرد.
• یک راه جدید برای دسترسی به زیرساخت شرکت ها استفاده از دزدها - برنامه های مخرب برای سرقت اطلاعات از رایانه ها و گوشی های هوشمند آلوده کاربران است. در مجموع، Group-IB 380 کارگزار را کشف کرد که دسترسی به زیرساخت های شرکت را به خطر انداخته بودند، که بیش از 2300 پیشنهاد را در انجمن های دارک نت ارسال کردند. در سال 2022، بازار فروشندگان دسترسی در وب تاریک بیش از دو برابر شده است، در حالی که میانگین قیمت دسترسی به نصف کاهش یافته است. اغلب، مهاجمان "محصول" خود را در قالب دسترسی به VPN و RDP (پروتکل دسکتاپ از راه دور) می فروشند.
• در سال 2022، دادههایی که با استفاده از دزدان به سرقت رفته بودند، به همراه فروش دسترسی و دادههای متنی کارت بانکی (نام مالک، شماره کارت، تاریخ انقضا، CVV) وارد 3 «کالا» پرفروش در وب تاریک شدند.
• در سال 2023 کارشناسان افزایش نشت را پیش بینی می کنند. اکثریت قریب به اتفاق پایگاههای اطلاعاتی شرکتهای روسی در سال 2022 در انجمنهای زیرزمینی و کانالهای تلگرامی موضوعی برای دسترسی عمومی به صورت رایگان ارسال شد.
🧷 گزارش کامل را می توان در لینک زیر درخواست کرد: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/.
این گزارش برای شرکتهای بخشهای مختلف مفید خواهد بود و به ایجاد استراتژیهای امنیت اطلاعات مؤثر کمک میکند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Group-IB
Hi-Tech Crime Trends 2022/2023
Benefit from Group-IB’s flagship cybersecurity report and explore the current threat landscape trends and forecasts
امنیت دو مرحله ای
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وصلههای مجازی یک رویکرد امنیت سایبری است که هدف آن کاهش آسیبپذیریها در سیستمها قبل از استفاده مهاجمان است. این مستلزم اعمال اقدامات امنیتی موقت برای محافظت از سیستم ها در برابر نقص های شناخته شده است تا زمانی که بتوان تعمیر طولانی مدت را اعمال کرد. هنگامی که طراحی و آزمایش یک وصله ممکن است کمی طول بکشد، وصله مجازی اغلب به عنوان یک اصلاح سریع برای آسیبپذیریهای تازه شناساییشده استفاده میشود.
وصله مجازی میتواند به شکل اقدامات امنیتی در سطح شبکه مانند فایروالها یا سیستمهای جلوگیری از نفوذ، اقدامات امنیتی در سطح برنامه مانند اعتبارسنجی ورودی یا پاکسازی، یا honeypot و decoyهایی باشد که برای دستگیر کردن مهاجمان و منحرف کردن آنها از سیستم هدف طراحی شدهاند.
هدف اصلی وصله مجازی کاهش سطح حمله سیستم و جلوگیری از سوء استفاده مهاجمان از آسیبپذیریها حتی زمانی که یک رفع دائمی فوراً در دسترس نیست، است. این ابزار مهمی است که سازمان ها می توانند از آن برای پاسخ سریع به تهدیدات امنیتی احتمالی و کاهش خطر نقض داده ها یا سایر حوادث امنیتی استفاده کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وصله مجازی میتواند به شکل اقدامات امنیتی در سطح شبکه مانند فایروالها یا سیستمهای جلوگیری از نفوذ، اقدامات امنیتی در سطح برنامه مانند اعتبارسنجی ورودی یا پاکسازی، یا honeypot و decoyهایی باشد که برای دستگیر کردن مهاجمان و منحرف کردن آنها از سیستم هدف طراحی شدهاند.
هدف اصلی وصله مجازی کاهش سطح حمله سیستم و جلوگیری از سوء استفاده مهاجمان از آسیبپذیریها حتی زمانی که یک رفع دائمی فوراً در دسترس نیست، است. این ابزار مهمی است که سازمان ها می توانند از آن برای پاسخ سریع به تهدیدات امنیتی احتمالی و کاهش خطر نقض داده ها یا سایر حوادث امنیتی استفاده کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
IACS
وصلههای مجازی یک رویکرد امنیت سایبری است که هدف آن کاهش آسیبپذیریها در سیستمها قبل از استفاده مهاجمان است. این مستلزم اعمال اقدامات امنیتی موقت برای محافظت از سیستم ها در برابر نقص های شناخته شده است تا زمانی که بتوان تعمیر طولانی مدت را اعمال کرد. هنگامی…
*پیاده سازی وصله مجازی در سیستم های فناوری عملیاتی (OT)*
می تواند یک فرآیند پیچیده باشد، اما چندین مرحله وجود دارد که می توان برای اطمینان از اجرای موثر آن انجام داد:
*1. ارزیابی: *
اولین قدم در پیاده سازی وصله مجازی، ارزیابی سیستم OT برای شناسایی آسیب پذیری های احتمالی و بردارهای حمله است. این شامل تجزیه و تحلیل معماری سیستم، پروتکل های ارتباطی مورد استفاده، و جریان داده در داخل سیستم است.
*2. ارزیابی ریسک: *
گام بعدی ارزیابی خطرات احتمالی ناشی از هر آسیبپذیری است، از جمله احتمال حمله و تأثیر بالقوه در صورت موفقیتآمیز بودن حمله. این اطلاعات میتواند برای اولویتبندی آسیبپذیریهایی که ابتدا باید برطرف شوند، استفاده شود.
*3. انتخاب اقدامات وصله مجازی: *
بر اساس ارزیابی و ارزیابی ریسک، می توان اقدامات وصله مجازی مناسب را انتخاب کرد. این ممکن است شامل کنترلهای امنیتی در سطح شبکه، مانند فایروالها یا سیستمهای جلوگیری از نفوذ، کنترلهای امنیتی در سطح برنامه، مانند اعتبارسنجی ورودی یا پاکسازی، یا Honeypot و Decoy باشد.
*4. پیاده سازی: *
پس از انتخاب اقدامات وصله مجازی، می توان آنها را در سیستم OT پیاده سازی کرد. این ممکن است شامل پیکربندی کنترلهای امنیتی موجود، نصب ابزارهای امنیتی جدید یا اجرای کنترلهای امنیتی در سطح برنامه باشد.
*5. تست و اعتبار سنجی: *
پس از پیاده سازی، وصله های مجازی باید آزمایش و اعتبار سنجی شوند تا اطمینان حاصل شود که طبق برنامه عمل می کنند و در عملکرد عادی سیستم OT تداخلی ایجاد نمی کنند.
*6. نظارت و نگهداری: *
وصله های مجازی باید به طور منظم نظارت و به روز شوند تا اطمینان حاصل شود که موثر باقی می مانند و آسیب پذیری های جدید برطرف می شوند. این ممکن است شامل ارزیابی های امنیتی منظم و تست نفوذ برای شناسایی تهدیدهای جدید باشد.
توجه به این نکته مهم است که وصله مجازی نباید یک راه حل دائمی در نظر گرفته شود، بلکه باید یک اقدام موقتی باشد که باید تا زمانی که یک اصلاح دائمی اعمال شود، استفاده شود. همچنین وجود یک استراتژی جامع امنیت سایبری برای سیستم OT، از جمله ارزیابیهای امنیتی منظم، مدیریت آسیبپذیری، و برنامهریزی واکنش به حوادث بسیار مهم است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
می تواند یک فرآیند پیچیده باشد، اما چندین مرحله وجود دارد که می توان برای اطمینان از اجرای موثر آن انجام داد:
*1. ارزیابی: *
اولین قدم در پیاده سازی وصله مجازی، ارزیابی سیستم OT برای شناسایی آسیب پذیری های احتمالی و بردارهای حمله است. این شامل تجزیه و تحلیل معماری سیستم، پروتکل های ارتباطی مورد استفاده، و جریان داده در داخل سیستم است.
*2. ارزیابی ریسک: *
گام بعدی ارزیابی خطرات احتمالی ناشی از هر آسیبپذیری است، از جمله احتمال حمله و تأثیر بالقوه در صورت موفقیتآمیز بودن حمله. این اطلاعات میتواند برای اولویتبندی آسیبپذیریهایی که ابتدا باید برطرف شوند، استفاده شود.
*3. انتخاب اقدامات وصله مجازی: *
بر اساس ارزیابی و ارزیابی ریسک، می توان اقدامات وصله مجازی مناسب را انتخاب کرد. این ممکن است شامل کنترلهای امنیتی در سطح شبکه، مانند فایروالها یا سیستمهای جلوگیری از نفوذ، کنترلهای امنیتی در سطح برنامه، مانند اعتبارسنجی ورودی یا پاکسازی، یا Honeypot و Decoy باشد.
*4. پیاده سازی: *
پس از انتخاب اقدامات وصله مجازی، می توان آنها را در سیستم OT پیاده سازی کرد. این ممکن است شامل پیکربندی کنترلهای امنیتی موجود، نصب ابزارهای امنیتی جدید یا اجرای کنترلهای امنیتی در سطح برنامه باشد.
*5. تست و اعتبار سنجی: *
پس از پیاده سازی، وصله های مجازی باید آزمایش و اعتبار سنجی شوند تا اطمینان حاصل شود که طبق برنامه عمل می کنند و در عملکرد عادی سیستم OT تداخلی ایجاد نمی کنند.
*6. نظارت و نگهداری: *
وصله های مجازی باید به طور منظم نظارت و به روز شوند تا اطمینان حاصل شود که موثر باقی می مانند و آسیب پذیری های جدید برطرف می شوند. این ممکن است شامل ارزیابی های امنیتی منظم و تست نفوذ برای شناسایی تهدیدهای جدید باشد.
توجه به این نکته مهم است که وصله مجازی نباید یک راه حل دائمی در نظر گرفته شود، بلکه باید یک اقدام موقتی باشد که باید تا زمانی که یک اصلاح دائمی اعمال شود، استفاده شود. همچنین وجود یک استراتژی جامع امنیت سایبری برای سیستم OT، از جمله ارزیابیهای امنیتی منظم، مدیریت آسیبپذیری، و برنامهریزی واکنش به حوادث بسیار مهم است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
شبکه Unit42 Palo Alto نسخه جدیدی از PlugX را کشف کرد که می تواند از طریق دستگاه های USB آلوده و منتشر شود و جایگزین ANDROMEDA و Raspberry Robin شود.
فایل های مخرب با استفاده از تکنیک جدیدی که حتی در آخرین سیستم عامل های ویندوز نیز کار می کند، پنهان می شوند. کاربر نمی داند که دستگاه USB او آلوده شده است یا احتمالاً برای سرقت داده ها از شبکه های آنها استفاده می شود.
محققان نمونه ای از PlugX را در طی یک واکنش حادثه پس از حمله Black Basta به قربانی ناشناس پیدا کردند.
ابزارهای دیگری که در محیط در معرض خطر یافت می شوند عبارتند از بارگذار بدافزار Gootkit و چارچوب تیم قرمز Brute Ratel C4.
استفاده از Brute Ratel توسط گروه Black Basta قبلا توسط Trend Micro در اکتبر 2022 مورد توجه قرار گرفته بود، زمانی که این نرم افزار به عنوان یک بار مرحله 2 از طریق کمپین فیشینگ Qakbot تحویل داده شد.
به گفته Quadrant Security، از آن زمان، زنجیره حملات علیه یک شرکت بزرگ انرژی منطقه ای مستقر در جنوب شرقی ایالات متحده مورد استفاده قرار گرفته است.
همانطور که می دانید، PlugX یک تروجان دسترسی از راه دور است که در اصل توسط ART چینی توسعه یافته و مورد استفاده قرار گرفته است، اما از آن زمان به بیرون درز کرده و توسط بسیاری از مهاجمان پذیرفته شده است.
با این حال، هیچ مدرکی مبنی بر ارتباط PlugX یا Gootkit با باند Black Basta وجود ندارد، که نشان می دهد ممکن است توسط بازیگران دیگری مستقر شده باشد.
نوع USB PlugX از این جهت قابل توجه است که از یک کاراکتر یونیکد خاص به نام فضای بدون شکست (U+00A0) برای مخفی کردن فایلها در دستگاه USB متصل به یک ایستگاه کاری استفاده میکند.
در نهایت، یک فایل میانبر ویندوز (.LNK) ایجاد شده در پوشه ریشه فلش درایو برای راه اندازی بدافزار از یک دایرکتوری مخفی استفاده می شود.
با انجام این کار، نمونه PlugX نه تنها بدافزار را به میزبان تزریق می کند، بلکه آن را در هر دستگاه قابل جابجایی موجود کپی می کند و آن را در پوشه سطل زباله پنهان می کند.
هر زمان که میانبر فایلی از یک دستگاه USB آلوده کلیک میشود، بدافزار Windows Explorer را راهاندازی میکند و یک مسیر دایرکتوری را به عنوان پارامتر ارسال میکند که منجر به نمایش فایلهای روی دستگاه USB از دایرکتوریهای مخفی و آلوده شدن میزبان به بدافزار PlugX میشود.
این روش مبتنی بر این واقعیت است که Windows Explorer موارد پنهان را به طور پیش فرض نشان نمی دهد. اما ترفند این است که در صورت فعال بودن این تنظیمات، فایل های مخرب در به اصطلاح سطل بازیافت نمایش داده نمی شوند.
در واقع، این بدان معنی است که فایل های تقلبی را فقط می توان در یک سیستم عامل مشابه یونیکس مشاهده کرد.
واحد 42 همچنین نوع دوم PlugX را شناسایی کرد که علاوه بر آلوده کردن دستگاههای USB، علاوه بر این همه فایلهای Adobe PDF و Microsoft Word را از میزبان به پوشه مخفی دیگری در دستگاه USB ایجاد شده توسط بدافزار کپی میکند.
کشف تغییرات جدید نشان میدهد که توسعه PlugX هنوز در حال انجام است و همچنان یک تهدید فعال باقی مانده است، در حال حاضر نیز برای شبکههای بسته.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
فایل های مخرب با استفاده از تکنیک جدیدی که حتی در آخرین سیستم عامل های ویندوز نیز کار می کند، پنهان می شوند. کاربر نمی داند که دستگاه USB او آلوده شده است یا احتمالاً برای سرقت داده ها از شبکه های آنها استفاده می شود.
محققان نمونه ای از PlugX را در طی یک واکنش حادثه پس از حمله Black Basta به قربانی ناشناس پیدا کردند.
ابزارهای دیگری که در محیط در معرض خطر یافت می شوند عبارتند از بارگذار بدافزار Gootkit و چارچوب تیم قرمز Brute Ratel C4.
استفاده از Brute Ratel توسط گروه Black Basta قبلا توسط Trend Micro در اکتبر 2022 مورد توجه قرار گرفته بود، زمانی که این نرم افزار به عنوان یک بار مرحله 2 از طریق کمپین فیشینگ Qakbot تحویل داده شد.
به گفته Quadrant Security، از آن زمان، زنجیره حملات علیه یک شرکت بزرگ انرژی منطقه ای مستقر در جنوب شرقی ایالات متحده مورد استفاده قرار گرفته است.
همانطور که می دانید، PlugX یک تروجان دسترسی از راه دور است که در اصل توسط ART چینی توسعه یافته و مورد استفاده قرار گرفته است، اما از آن زمان به بیرون درز کرده و توسط بسیاری از مهاجمان پذیرفته شده است.
با این حال، هیچ مدرکی مبنی بر ارتباط PlugX یا Gootkit با باند Black Basta وجود ندارد، که نشان می دهد ممکن است توسط بازیگران دیگری مستقر شده باشد.
نوع USB PlugX از این جهت قابل توجه است که از یک کاراکتر یونیکد خاص به نام فضای بدون شکست (U+00A0) برای مخفی کردن فایلها در دستگاه USB متصل به یک ایستگاه کاری استفاده میکند.
در نهایت، یک فایل میانبر ویندوز (.LNK) ایجاد شده در پوشه ریشه فلش درایو برای راه اندازی بدافزار از یک دایرکتوری مخفی استفاده می شود.
با انجام این کار، نمونه PlugX نه تنها بدافزار را به میزبان تزریق می کند، بلکه آن را در هر دستگاه قابل جابجایی موجود کپی می کند و آن را در پوشه سطل زباله پنهان می کند.
هر زمان که میانبر فایلی از یک دستگاه USB آلوده کلیک میشود، بدافزار Windows Explorer را راهاندازی میکند و یک مسیر دایرکتوری را به عنوان پارامتر ارسال میکند که منجر به نمایش فایلهای روی دستگاه USB از دایرکتوریهای مخفی و آلوده شدن میزبان به بدافزار PlugX میشود.
این روش مبتنی بر این واقعیت است که Windows Explorer موارد پنهان را به طور پیش فرض نشان نمی دهد. اما ترفند این است که در صورت فعال بودن این تنظیمات، فایل های مخرب در به اصطلاح سطل بازیافت نمایش داده نمی شوند.
در واقع، این بدان معنی است که فایل های تقلبی را فقط می توان در یک سیستم عامل مشابه یونیکس مشاهده کرد.
واحد 42 همچنین نوع دوم PlugX را شناسایی کرد که علاوه بر آلوده کردن دستگاههای USB، علاوه بر این همه فایلهای Adobe PDF و Microsoft Word را از میزبان به پوشه مخفی دیگری در دستگاه USB ایجاد شده توسط بدافزار کپی میکند.
کشف تغییرات جدید نشان میدهد که توسعه PlugX هنوز در حال انجام است و همچنان یک تهدید فعال باقی مانده است، در حال حاضر نیز برای شبکههای بسته.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیبپذیری در کتابخانه پیوند پویا docmgmt.dll کیت ابزار طراحی و شبیهسازیSolid Edge زیمنس به توانایی نوشتن خارج از مرزهای بافر حافظه هنگام تجزیه فایلهای PAR، ASM و DFT مربوط میشود. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را اجرا کند
BDU: 2023-00396
CVE-2022-47967
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای تجزیه و تحلیل فایل های پروژه دانلود شده.
- محدودیت دسترسی به نرم افزار از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه به منظور محدود کردن امکان دسترسی به نرم افزارهای صنعتی.
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-997779.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
BDU: 2023-00396
CVE-2022-47967
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای تجزیه و تحلیل فایل های پروژه دانلود شده.
- محدودیت دسترسی به نرم افزار از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه به منظور محدود کردن امکان دسترسی به نرم افزارهای صنعتی.
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-997779.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
آسیب پذیری سرور وب سفت افزار سوئیچ اترنت Moxa SDS-3008
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا با ارسال یک درخواست HTTP ساخته شده خاص، سرویس را رد کند.
BDU:2023-00550
CVE-2022-40224
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از فایروال در سطح برنامه های کاربردی وب.
با استفاده از توصیه های سازنده:
https://www.moxa.com/en/support/product-support/security-advisory/sds-3008-series-multiple-web-vulnerabilities
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا با ارسال یک درخواست HTTP ساخته شده خاص، سرویس را رد کند.
BDU:2023-00550
CVE-2022-40224
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از فایروال در سطح برنامه های کاربردی وب.
با استفاده از توصیه های سازنده:
https://www.moxa.com/en/support/product-support/security-advisory/sds-3008-series-multiple-web-vulnerabilities
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Moxa
SDS-3008 Series Multiple Web Vulnerabilities
Same with Name
کشف آسیب پذیری در محصولات زیمنس
یک آسیب پذیری در نرم افزار Automation License Manager شامل پیمایش مسیر است. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند
BDU: 2023-00691
CVE-2022-43514
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- محدودیت دسترسی به پورت TCP 4410 فقط توسط سیستم های قابل اعتماد.
- استفاده از فایروال
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
یک آسیب پذیری در نرم افزار Automation License Manager شامل پیمایش مسیر است. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند
BDU: 2023-00691
CVE-2022-43514
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- محدودیت دسترسی به پورت TCP 4410 فقط توسط سیستم های قابل اعتماد.
- استفاده از فایروال
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کشف آسیب پذیری در محصولات اتوماسیون صنعتی
یک آسیب پذیری در Cradlepoint NetCloud Embedded Operating System (NCOS) به دلیل اعتبار سنجی ناکافی آرگومان های ارسال شده به فرمان است. سوء استفاده از این آسیبپذیری میتواند به مهاجم اجازه دهد تا با راهاندازی مجدد دستگاه و دسترسی به بایوس، کد دلخواه را اجرا کند.
BDU: 00694-2023
CVE-2022-3086
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای دانلود قابل اعتماد؛
- استفاده از سیستم های کنترل دسترسی؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- محدودیت دسترسی به تجهیزات صنعتی برای افرادی که مجاز به کار با آن نیستند.
استفاده از توصیه ها:
برای محصولات Cradlepoint:
https://cradlepoint.com/products/netcloud-service/
برای محصولات موکسا:
https://www.moxa.com/en/support/product-support/security-advisory/uc-series-improper-physical-access-control-vulnerability
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
یک آسیب پذیری در Cradlepoint NetCloud Embedded Operating System (NCOS) به دلیل اعتبار سنجی ناکافی آرگومان های ارسال شده به فرمان است. سوء استفاده از این آسیبپذیری میتواند به مهاجم اجازه دهد تا با راهاندازی مجدد دستگاه و دسترسی به بایوس، کد دلخواه را اجرا کند.
BDU: 00694-2023
CVE-2022-3086
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای دانلود قابل اعتماد؛
- استفاده از سیستم های کنترل دسترسی؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- محدودیت دسترسی به تجهیزات صنعتی برای افرادی که مجاز به کار با آن نیستند.
استفاده از توصیه ها:
برای محصولات Cradlepoint:
https://cradlepoint.com/products/netcloud-service/
برای محصولات موکسا:
https://www.moxa.com/en/support/product-support/security-advisory/uc-series-improper-physical-access-control-vulnerability
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Ericsson
NetCloud Service
NetCloud Service offers cloud management, customer support, lifecycle warranty, training, and purpose-built routers — all in one package.
به عنوان بخشی از به روز رسانی ماهانه برای فوریه 2023، زیمنس و اشنایدر الکتریک در مجموع حدود 100 آسیب پذیری را در محصولات خود برطرف کردند.
طبق گزارش SynSaber، زیمنس 13 بولتن جدید منتشر کرده است که در مجموع 86 آسیب پذیری را پوشش می دهد و 544 آسیب پذیری در سال 2022 برطرف شده است.
شدیدترین آسیب پذیری با امتیاز CVSS 10، خرابی حافظه است که می تواند منجر به DoS یا RCE در نرم افزار طراحی سازمانی کوموس شود.
حدود دوازده آسیب پذیری حیاتی و به خصوص جدی در Brownfield Connectivity بسته شده است، بهره برداری از آنها می تواند منجر به DoS شود.
برخی از ایرادات اصلی مربوط به BIOS هستند، به ویژه آنهایی که توسط اینتل و اینساید در نوامبر 2022 وصله شدند، از جمله مشکلاتی که توسط حمله RingHopper اجرا شد.
آسیبپذیریهای جدی در Tecnomatix Plant Simulation، JT Open Toolkit، JT Utilities، Parasolid، Solid Edge و Simcenter Femap برطرف شدهاند که میتوان از آنها برای RCE و DoS با فریب دادن کاربران هدف برای پردازش فایلهای ساختهشده خاص سوء استفاده کرد.
یک آسیبپذیری افزایش امتیاز با شدت بالا در ACC SiPass اصلاح شده است، یک باگ مشابه DoS در برخی از سوئیچهای Scalance بسته شده است.
در عین حال، هنوز بهروزرسانیهایی برای برخی راهحلهای آسیبپذیر زیمنس منتشر نشده است.
اشنایدر الکتریک سه بولتن درباره 10 آسیب پذیری منتشر کرده است.
یکی از آنها 9 مشکل با شدت بالا و متوسط را که در نرم افزار نظارت بر مرکز داده StruxureWare Expert یافت می شود، شرح می دهد. بهره برداری ممکن است منجر به RCE یا افزایش امتیاز شود.
بولتن دیگری یک نقص جدی مربوط به احراز هویت نادرست و تأثیرگذاری بر Merten KNX را توصیف می کند.
اطلاعیه سوم مشتریان اشنایدر الکتریک را از یک مشکل متوسط در EcoStruxure Geo SCADA Expert آگاه می کند که می تواند لاگ ها را جعل کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
طبق گزارش SynSaber، زیمنس 13 بولتن جدید منتشر کرده است که در مجموع 86 آسیب پذیری را پوشش می دهد و 544 آسیب پذیری در سال 2022 برطرف شده است.
شدیدترین آسیب پذیری با امتیاز CVSS 10، خرابی حافظه است که می تواند منجر به DoS یا RCE در نرم افزار طراحی سازمانی کوموس شود.
حدود دوازده آسیب پذیری حیاتی و به خصوص جدی در Brownfield Connectivity بسته شده است، بهره برداری از آنها می تواند منجر به DoS شود.
برخی از ایرادات اصلی مربوط به BIOS هستند، به ویژه آنهایی که توسط اینتل و اینساید در نوامبر 2022 وصله شدند، از جمله مشکلاتی که توسط حمله RingHopper اجرا شد.
آسیبپذیریهای جدی در Tecnomatix Plant Simulation، JT Open Toolkit، JT Utilities، Parasolid، Solid Edge و Simcenter Femap برطرف شدهاند که میتوان از آنها برای RCE و DoS با فریب دادن کاربران هدف برای پردازش فایلهای ساختهشده خاص سوء استفاده کرد.
یک آسیبپذیری افزایش امتیاز با شدت بالا در ACC SiPass اصلاح شده است، یک باگ مشابه DoS در برخی از سوئیچهای Scalance بسته شده است.
در عین حال، هنوز بهروزرسانیهایی برای برخی راهحلهای آسیبپذیر زیمنس منتشر نشده است.
اشنایدر الکتریک سه بولتن درباره 10 آسیب پذیری منتشر کرده است.
یکی از آنها 9 مشکل با شدت بالا و متوسط را که در نرم افزار نظارت بر مرکز داده StruxureWare Expert یافت می شود، شرح می دهد. بهره برداری ممکن است منجر به RCE یا افزایش امتیاز شود.
بولتن دیگری یک نقص جدی مربوط به احراز هویت نادرست و تأثیرگذاری بر Merten KNX را توصیف می کند.
اطلاعیه سوم مشتریان اشنایدر الکتریک را از یک مشکل متوسط در EcoStruxure Geo SCADA Expert آگاه می کند که می تواند لاگ ها را جعل کند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان Forescout در مورد آسیب پذیری های حیاتی در PLC های Schneider Electric Modicon هشدار می دهند.
دو آسیبپذیری جدید CVE-2022-45788 (امتیاز CVSS: 7.5) و CVE-2022-45789 (امتیاز CVSS: 8.1) دور زدن احراز هویت، افشای اطلاعات و RCE و DoS را پیادهسازی میکنند.
از زمان معرفی اولین PLC تولید انبوه در سال 1968، خانواده Modicon به یکی از محبوب ترین ها در جهان تبدیل شده است و Schneider Electric بزرگترین فروشنده آن است.
کارشناسان امنیتی اتصال آنها به اینترنت را توصیه نمی کنند.
Forescout نشان داد که فرانسه (33٪)، اسپانیا (17٪)، ایتالیا (15٪) و ایالات متحده (6٪) کشورهایی هستند که بیشترین دستگاه های ناامن را دارند، با بیش از 1000 PLC ناامنی در کل: از فرودگاه ها، معدن، انرژی خورشیدی. و انرژی آبی تا تولید مواد شیمیایی.
این باگها در آوریل تا جولای 2022 کشف شدند و بخشی از طیف گستردهتری از مسائل امنیتی تحت نام عمومی ICEFALL هستند که شامل 56 باگ است که راهحلهای زیمنس، موتورولا و هانیول را نیز تحت تأثیر قرار میدهند.
علاوه بر این، اشنایدر از محققان خواست تا از قرار دادن دو خطا در لیست ICEFALL خودداری کنند تا بتواند با مشتریان برای رفع مشکلات قبل از اعلام عمومی همکاری کند. این شرکت از نزدیک با 2022-45788 (ارزیابی در سراسر فرآیند افشا و انتشار دو اعلامیه امنیتی در ماه گذشته) کار کرده است.
Forescout همچنین دریافت که یک بازیگر بالقوه میتواند باگهای جدید را به نقصهای شناخته شده سایر فروشندگان (به عنوان مثال CVE-2021-31886) پیوند دهد تا به حرکت جانبی در شبکههای فناوری عملیاتی (OT) دست یابد.
حرکت جانبی عمیق به مزاحمان اجازه می دهد تا به سیستم های کنترل صنعتی دسترسی عمیق داشته باشند و از محیط های امنیتی اغلب نادیده گرفته شده عبور کنند و به آنها امکان می دهد دستکاری های بسیار دقیق و پنهانی انجام دهند و همچنین بر محدودیت های عملکردی و امنیتی غلبه کنند.
برای اینکه بی اساس نباشند، محققان یک حمله سایبری-فیزیکی پیچیده را به عنوان بخشی از اثبات مفهوم (PoC) توسعه دادند که نشان می دهد چگونه می توان از نقص ها برای دور زدن اقدامات امنیتی و آسیب رساندن به زیرساخت پل متحرک استفاده کرد.
محققان Forescout گفتند که هدف گزارش آنها این است که سازمانهای زیرساختهای حیاتی را وادار کنند تا ارزیابی دقیقتری از ریسک مبتنی بر تأثیر انجام دهند و عمیقتر در مورد اینکه چگونه یک مهاجم میتواند اقدامات امنیتی را برای محافظت از محیط فیزیکی دور بزند، فکر کنند.
در مجموع، نقاط ضعف تهدیدات واقعی برای عملیات فیزیکی از دستگاههای IoT، پلتفرمهای مدیریت ابر و شبکههای OT تودرتو را برجسته میکنند. برای محافظت از خود، اشنایدر الکتریک همچنین "بهترین شیوه های امنیت سایبری توصیه شده" را به مشتریان ارائه کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
دو آسیبپذیری جدید CVE-2022-45788 (امتیاز CVSS: 7.5) و CVE-2022-45789 (امتیاز CVSS: 8.1) دور زدن احراز هویت، افشای اطلاعات و RCE و DoS را پیادهسازی میکنند.
از زمان معرفی اولین PLC تولید انبوه در سال 1968، خانواده Modicon به یکی از محبوب ترین ها در جهان تبدیل شده است و Schneider Electric بزرگترین فروشنده آن است.
کارشناسان امنیتی اتصال آنها به اینترنت را توصیه نمی کنند.
Forescout نشان داد که فرانسه (33٪)، اسپانیا (17٪)، ایتالیا (15٪) و ایالات متحده (6٪) کشورهایی هستند که بیشترین دستگاه های ناامن را دارند، با بیش از 1000 PLC ناامنی در کل: از فرودگاه ها، معدن، انرژی خورشیدی. و انرژی آبی تا تولید مواد شیمیایی.
این باگها در آوریل تا جولای 2022 کشف شدند و بخشی از طیف گستردهتری از مسائل امنیتی تحت نام عمومی ICEFALL هستند که شامل 56 باگ است که راهحلهای زیمنس، موتورولا و هانیول را نیز تحت تأثیر قرار میدهند.
علاوه بر این، اشنایدر از محققان خواست تا از قرار دادن دو خطا در لیست ICEFALL خودداری کنند تا بتواند با مشتریان برای رفع مشکلات قبل از اعلام عمومی همکاری کند. این شرکت از نزدیک با 2022-45788 (ارزیابی در سراسر فرآیند افشا و انتشار دو اعلامیه امنیتی در ماه گذشته) کار کرده است.
Forescout همچنین دریافت که یک بازیگر بالقوه میتواند باگهای جدید را به نقصهای شناخته شده سایر فروشندگان (به عنوان مثال CVE-2021-31886) پیوند دهد تا به حرکت جانبی در شبکههای فناوری عملیاتی (OT) دست یابد.
حرکت جانبی عمیق به مزاحمان اجازه می دهد تا به سیستم های کنترل صنعتی دسترسی عمیق داشته باشند و از محیط های امنیتی اغلب نادیده گرفته شده عبور کنند و به آنها امکان می دهد دستکاری های بسیار دقیق و پنهانی انجام دهند و همچنین بر محدودیت های عملکردی و امنیتی غلبه کنند.
برای اینکه بی اساس نباشند، محققان یک حمله سایبری-فیزیکی پیچیده را به عنوان بخشی از اثبات مفهوم (PoC) توسعه دادند که نشان می دهد چگونه می توان از نقص ها برای دور زدن اقدامات امنیتی و آسیب رساندن به زیرساخت پل متحرک استفاده کرد.
محققان Forescout گفتند که هدف گزارش آنها این است که سازمانهای زیرساختهای حیاتی را وادار کنند تا ارزیابی دقیقتری از ریسک مبتنی بر تأثیر انجام دهند و عمیقتر در مورد اینکه چگونه یک مهاجم میتواند اقدامات امنیتی را برای محافظت از محیط فیزیکی دور بزند، فکر کنند.
در مجموع، نقاط ضعف تهدیدات واقعی برای عملیات فیزیکی از دستگاههای IoT، پلتفرمهای مدیریت ابر و شبکههای OT تودرتو را برجسته میکنند. برای محافظت از خود، اشنایدر الکتریک همچنین "بهترین شیوه های امنیت سایبری توصیه شده" را به مشتریان ارائه کرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
آسیبپذیری مکانیسم بررسی کش نرمافزار برای طراحی، بهرهبرداری و نگهداری کارخانههای فرآیند COMOS به عملکرد فراتر از مرزهای بافر در حافظه مربوط میشود. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند
BDU: 00756-2023
CVE-2023-24482
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- فعال کردن بازنویسی کنترل ساختار یافته (SEHOP) در سیستم عامل ویندوزی که Comos روی آن نصب شده است تا از امکان اجرای کد دلخواه جلوگیری شود.
- استفاده از فایروال
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
با استفاده از توصیه های سازنده:
https://cert-portal.siemens.com/productcert/html/ssa-693110.html
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
BDU: 00756-2023
CVE-2023-24482
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- فعال کردن بازنویسی کنترل ساختار یافته (SEHOP) در سیستم عامل ویندوزی که Comos روی آن نصب شده است تا از امکان اجرای کد دلخواه جلوگیری شود.
- استفاده از فایروال
- استفاده از سیستم های تشخیص نفوذ و پیشگیری؛
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی.
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
با استفاده از توصیه های سازنده:
https://cert-portal.siemens.com/productcert/html/ssa-693110.html
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیب پذیری در سیستم نظارت بر تجهیزات حیاتی StruxureWare Data Center Expert مربوط به خطاهایی در نگهداری اشیا توسط یک کاربر کشف شده است.
بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند
BDU:2023-00806
CVE-2023-25547
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- مسدود کردن حساب های کاربری استفاده نشده
- به حداقل رساندن امتیازات کاربر؛
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور.
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
با استفاده از توصیه های سازنده:
https://download.schneider-electric.com/files؟p_doc_ref=sevd-2023-045-02&p_endoctype=security+safety+notice&p_file_name=sevd-2023-045-045-02.02.pdf & _ga=2
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند
BDU:2023-00806
CVE-2023-25547
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، نصب به روز رسانی های نرم افزاری تنها پس از ارزیابی تمام خطرات مرتبط توصیه می شود.
اقدامات جبرانی:
- مسدود کردن حساب های کاربری استفاده نشده
- به حداقل رساندن امتیازات کاربر؛
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور.
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به تجهیزات صنعتی از زیرشبکه های دیگر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
با استفاده از توصیه های سازنده:
https://download.schneider-electric.com/files؟p_doc_ref=sevd-2023-045-02&p_endoctype=security+safety+notice&p_file_name=sevd-2023-045-045-02.02.pdf & _ga=2
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیب پذیری در نرم افزار برنامه نویسی Mitsubishi Electric GX Works3 PLC مربوط به استفاده از اعتبارنامه هارد کد شده است.
بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا اطلاعات فایل پروژه را برای ماژول های امنیتی CPU از طریق پروتکل MELSEC به دست آورد.
BDU: 2023-00840
CVE-2022-29831
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به تجهیزات صنعتی.
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور.
- استفاده از محافظت ضد ویروس؛
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
استفاده از توصیه ها:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-015_en.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا اطلاعات فایل پروژه را برای ماژول های امنیتی CPU از طریق پروتکل MELSEC به دست آورد.
BDU: 2023-00840
CVE-2022-29831
به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
با توجه به شرایط فعلی و تحریم های اعمال شده، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به تجهیزات صنعتی.
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور.
- استفاده از محافظت ضد ویروس؛
- استفاده از ابزار شخص ثالث برای کنترل دسترسی کاربر (VPN و غیره) به محصول نرم افزاری از شبکه های عمومی (اینترنت).
استفاده از توصیه ها:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2022-015_en.pdf
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti