شرکت ABB جزئیاتی در مورد حادثه امنیت فناوری اطلاعات ارائه می دهد
بیانیه مطبوعاتی گروهABB
|
زوریخ، سوییس
|
2023-05-23
اخیراً از یک حادثه امنیتی فناوری اطلاعات که بر برخی از سیستم های ABB تأثیر گذاشته است آگاه شده است. ABB تحقیقاتی را آغاز و به مقامات مجری قانون و حفاظت از داده‌ها اطلاع داده و اقداماتی را برای مهار و ارزیابی این حادثه انجام داد. این حادثه اکنون با موفقیت مهار شده است.
تمام خدمات و سیستم های کلیدی ABB راه اندازی شده اند، تمام کارخانه ها در حال فعالیت هستند و این شرکت به خدمات رسانی به مشتریان خود ادامه می دهد. این شرکت همچنین به بازیابی هرگونه سرویس و سیستم آسیب دیده باقی مانده ادامه می دهد و امنیت سیستم های خود را بیشتر می کند.
ABB تشخیص داده است که یک شخص ثالث غیرمجاز به برخی از سیستم‌های ABB دسترسی پیدا کرده، نوعی باج‌افزار را به کار گرفته است که خود منتشر نمی‌شود، و داده‌های خاصی را استخراج کرده است. این شرکت برای شناسایی و تجزیه و تحلیل ماهیت و دامنه داده های تحت تأثیر کار می کند و در حال ارزیابی بیشتر تعهدات اطلاع رسانی خود است. ABB در صورت لزوم با طرف‌های آسیب‌دیده ارتباط برقرار می‌کند، از جمله، برای مثال، مشتریان خاص، تامین‌کنندگان و/یا افرادی که اطلاعات قابل شناسایی شخصی تحت تأثیر قرار گرفته‌اند.
ABB در مراحل اولیه تحقیقات خود از این حادثه است و به ارزیابی میزان تأثیر آن ادامه خواهد داد. ABB همچنان بر همکاری مجری قانون، مشتریان، تامین کنندگان، شرکا و مشاوران خود برای حل این وضعیت و به حداقل رساندن تأثیر آن متمرکز است.
لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شرکت Positive Technologies بسته ای تخصصی برای شناسایی حملات سایبری به سیستم های Yokogawa منتشر کرد و به بستن یک آسیب پذیری خطرناک کمک کرد.

تاریخ انتشار 23 می 2023

سازنده به عنوان بخشی از یک سیاست افشای مسئولانه از تهدید مطلع شد و روش احراز هویت جایگزین را به کاربران پیشنهاد داد.

Positive Technologies یک بسته تخصصی برای پلت فرم سرتاسر PT ICS ایجاد کرده است که از سیستم های Yokogawa Electric Corporation پشتیبانی می کند. کاربران پلتفرم قادر خواهند بود حملات به سیستم کنترل توزیع شده CENTUM VP (DCS) را (که توسط 10 هزار شرکت در صنایع شیمیایی، انرژی، نفت و گاز، غذا، تصفیه آب و صنایع دارویی و سایر صنایع استفاده می شود) شناسایی کنند. مانند سیستم حفاظت اضطراری ProSafe-RS که در بیش از 2400 پروژه استفاده شده است.

در سال 2022، تقریباً یک حمله از هر 10 حمله به سازمان ها در شرکت های صنعتی صورت گرفت. آنها به همراه سازمان های دولتی به هدف اصلی ویروس های باج افزار تبدیل شده اند. اجزای Yokogawa APCS به طور گسترده در شرکت های مختلف مورد استفاده قرار می گیرند، بنابراین مهم است که سیستم های خود را به طور منظم به روز کنید تا از فرآیند و محافظت از آن اطمینان حاصل کنید.

بسته تخصصی جدید به شما امکان می دهد محبوب ترین بردارهای حملات به DCS را شناسایی کنید: خرابی ها و ناهنجاری های شبکه (جایگزینی آدرس میزبان با آدرس موجود یا مشکلات ناشی از افزونگی)، تلاش های دسترسی غیرمجاز (دستکاری رمز عبور و ناهنجاری های سیستم احراز هویت). )، استفاده از رمزهای عبور استاندارد.

در حین کار بر روی افزودن یک بسته تخصصی، دنیس علیموف، کارشناس Positive Technologies، آسیب پذیری CVE-2023-26593 (BDU:2022-05068) را پیدا کرد که در مقیاس CVSS v3 امتیاز 6.5 را دریافت کرد. این DCS نسل های مختلف را تحت تاثیر قرار داد، به عنوان مثال، CENTUM CS 1000، که از دهه 90 تولید شده است. لیست آسیب‌پذیرها شامل CENTUM CS 3000 و CENTUM VP R4-R6 نیز می‌شود. آسیب‌پذیری‌ها همچنین در معرض سرورهای Exaopc OPC1 قرار گرفتند که برای اتصال سیستم کنترل صنعتی Yokogawa Electric Corporation با فروشندگان نرم‌افزار شخص ثالث طراحی شده‌اند. سازنده از آسیب‌پذیری نسخه‌های جدید نرم‌افزار آگاه شده است و با ارائه روش‌های احراز هویت جایگزین به کاربران، اقداماتی را برای کاهش خطر انجام داده است.

با کمک این آسیب‌پذیری، یک مهاجم می‌تواند با سطح بالایی از امتیازات به ICS دسترسی پیدا کند. به عنوان مثال، این امکان کنترل گردش کار، فعال یا غیرفعال کردن اینترلاک‌های آن و بارگیری و اجرای تنظیمات فرآیند را فراهم می‌کند. همچنین امکان ایجاد توقف اضطراری PLC و تغییر مقادیر آستانه پارامترهای تجهیزات و تنظیمات محیط توسعه (نشانگرهای هشدار، صدا و غیره) وجود دارد. علاوه بر این، یک هکر می تواند دسترسی کاربران به محیط توسعه و بر این اساس، کنترل فرآیند را مسدود کند. دنیس علیموف، متخصص ارشد گروه امنیت اطلاعات سیستم های کنترل صنعتی در Positive Technologies گفت: چنین حمله ای از نوع انکار کنترل طبق طبقه بندی MITRE2 است و می تواند منجر به عواقب جدی شود.
لطفاً توجه داشته باشید که برخی از DCSها (به عنوان مثال، CENTUM CS 1000، CENTUM CS 3000، CENTUM VP R4-R5) دیگر توسط سازنده پشتیبانی نمی شوند، هیچ به روز رسانی برای آنها منتشر نمی شود، و هر گونه آسیب پذیری باز مانند CVE-2023-26593 (BDU) :2022- 05068) می تواند امنیت یک تاسیسات صنعتی را کاهش دهد.

PT ICS با بسته ای جدید برای از بین بردن خطر سوء استفاده از چنین آسیب پذیری هایی، تغییرات پروژه، تعیین بارگذاری در آن، گزینه های راه اندازی غیرعادی، مسدود کردن اجزا و کار با نرم افزارهای تخصصی در حالت های خطرناک را کنترل می کند. به لطف بسته جدید PT، ICS به طور خودکار یکپارچگی فایل های حیاتی (مانند سیستم عامل) را بررسی می کند و حکمی در مورد وجود یا عدم تأثیر نفوذ بر روی آنها صادر می کند. این پلتفرم همچنین عناصر نقض امنیت فیزیکی مانند تلاش برای نفوذ به صفحه کلیدهای صنعتی ویژه را که در آن سطح دسترسی توسط یک کلید مکانیکی کنترل می شود، ثبت می کند. همه اینها اجرای حفاظت جامع از زیرساخت های ساخته شده بر اساس سیستم های تولید شده توسط Yokogawa Electric Corporation را ممکن می سازد.

نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

COSMICENERGY: بدافزار جدید مرتبط با تمرینات واکنش اضطراری

به گفته محققان، ابزار Red Team به طور خاص برای شبیه سازی حملات طراحی شده است.

محققان امنیتی Mandiant قطعه جدیدی از بدافزار به نام CosmicEnergy را کشف کرده اند که برای ایجاد اختلال در سیستم های صنعتی طراحی شده است و با شرکت امنیت اطلاعات Rostelecom-Solar مرتبط است.
این بدافزار واحدهای پایانه راه دور ( RTU ) مطابق با IEC-104 را که معمولاً در عملیات انتقال و توزیع برق در اروپا، خاورمیانه و آسیا مورد استفاده قرار می گیرند، هدف قرار می دهد.
CosmicEnergy پس از آپلود نمونه در VirusTotal در دسامبر 2021 توسط کاربری با آدرس IP روسی کشف شد. تجزیه و تحلیل نمونه چندین جنبه در مورد CosmicEnergy و عملکرد آن را نشان داد.

• CosmicEnergy شباهت هایی به بدافزار Industroyer و Industroyer2 دارد که در حملات به شرکت های انرژی اوکراین در سال 2022 مورد استفاده قرار گرفتند.
• CosmicEnergy بر پایه پایتون است و از کتابخانه های منبع باز برای پیاده سازی پروتکل OT استفاده می کند.
• مانند Industroyer، CosmicEnergy احتمالاً از طریق سرورهای MSSQL در معرض خطر با استفاده از ابزار اختلال Piehop به سیستم های OT هدف دسترسی پیدا می کند.

هنگامی که وارد شبکه قربانی می شوند، مهاجمان می توانند از راه دور RTU را با صدور دستورات "ON" یا "OFF" IEC-104 با استفاده از ابزار مخرب Lightwork کنترل کنند.

زنجیره حمله CosmicEnergy
Mandiant معتقد است که بدافزار شناسایی شده می تواند به عنوان یک ابزار تیم قرمز طراحی شده برای تقلید از اقدامات شرکت امنیت اطلاعات Rostelecom-Solar ساخته شده باشد. کارشناسان Mandiant گمان می‌کنند که CosmicEnergy نیز می‌تواند توسط هکرها برای انجام حملات سایبری مخرب به زیرساخت‌های حیاتی مورد استفاده قرار گیرد، درست مانند سایر ابزارهای تیم قرمز.
محققان Mandiant می‌گویند: «در حالی که ما شواهد کافی برای تعیین منشاء یا هدف CosmicEnergy پیدا نکرده‌ایم، معتقدیم که این بدافزار ممکن است توسط Rostelecom-Solar یا یک طرف مرتبط برای بازسازی سناریوهای حمله واقعی علیه دارایی‌های شبکه توسعه یافته باشد.
استاندارد IEC-104 بخشی از IEC Telecontrol Equipment and Systems Standard IEC 60870-5 است که یک پروفایل ارتباطی برای ارسال پیام های اساسی بین دو سیستم در زمینه مهندسی برق و اتوماسیون سیستم ارائه می کند. استاندارد IEC-104 از پروفایل های انتقال استاندارد برای دسترسی به شبکه IEC 60870-5-101 (همچنین به عنوان IEC 101 شناخته می شود) استفاده می کند و پیام های IEC 101 را به عنوان داده های برنامه (L7) در پورت 2404 ارسال می کند. استاندارد IEC-104 امکان ارتباط بین یک ایستگاه کنترل و یک پست فرعی را از طریق یک شبکه استاندارد TCP/IP فراهم می کند. ارتباطات مبتنی بر مدل مشتری-سرور است.

لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب‌پذیری میان‌افزار در PLC‌های CPU سری MELSEC iQ-F شرکت میتسوبیشی الکتریک به دلیل سرریز پشته بافر ایجاد می‌شود.

سوء استفاده از این آسیب‌پذیری می‌تواند به مهاجم راه دور اجازه دهد تا با ارسال بسته‌های ساخته‌شده خاص، سرویس را انکار کند یا کد دلخواه را اجرا کند.

BDU: 2023-02792
CVE-2023-1424

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدودیت دسترسی به دستگاه از شبکه های عمومی (اینترنت)؛
- استفاده از فایروال برای محدود کردن دسترسی به دستگاه؛
- استفاده از فیلتر آدرس IP (بخش "12.1 عملکرد فیلتر IP" در کتابچه راهنمای کاربر MELSEC iQ-F FX5 (ارتباطات اترنت)؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه های سازنده
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2023-003_en.pdf

لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
مترجم: دکتر پدرام کیانی
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آسیب پذیری در میان افزار سرور ترمینال CN2600 با استفاده از الگوریتم های رمزنگاری حاوی نقص همراه است. بهره برداری از یک آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا اتصال را به خطر بیاندازد و به اطلاعات محافظت شده دسترسی پیدا کند.

BDU: 2023-03079

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدودیت دسترسی از شبکه های خارجی (اینترنت)؛
- تقسیم بندی شبکه به منظور محدود کردن دسترسی به بخش صنعتی از زیرشبکه های دیگر.
- استفاده از VPN برای سازماندهی دسترسی از راه دور.

با استفاده از توصیه های سازنده:
https://www.moxa.com/en/support/product-support/security-advisory/cn2600-series-multiple-weak-cryptographic-algorithm-vulnerabilities

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار
کشف آسیب‌پذیری در محصولات اشنایدر

یک آسیب‌پذیری بافر نوشتن بدون حافظه در درایور Foxboro.sys در میان‌افزار EcoStruxureTM Foxboro DCS Control Core Services وجود دارد. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا با ارسال یک تماس ویژه IOCTL کد دلخواه را اجرا کند.

BDU: 03158-2023
CVE-2023-2569

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- به حداقل رساندن امتیازات کاربر؛
- غیر فعال کردن / حذف حساب های استفاده نشده.

با استفاده از توصیه های سازنده:
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-164-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-164-04.pdf

لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار
کشف آسیب‌پذیری در محصولات فورتینت

یک آسیب پذیری در پورتال FortiOS SSL-VPN و Proxy Internet Attack FortiProxy مربوط به سرریز بافر مبتنی بر پشته است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا کد دلخواه را با ارسال درخواست های ساخته شده خاص اجرا کند.

BDU: 2023-03157
CVE-2023-27997

به روز رسانی ها را از منابع قابل اعتماد نصب کنید.
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- غیرفعال کردن SSL-VPN؛
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای ردیابی تلاش ها برای دسترسی به دستگاه؛
- استفاده از فایروال ها برای تشکیل یک لیست "سفید" از آدرس هایی که اجازه دسترسی از راه دور را دارند.

با استفاده از توصیه های سازنده:
https://www.fortiguard.com/psirt/FG-IR-23-097

لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آزمایشگاه کسپرسکی امروز گزارشی از توسعه تهدیدات اطلاعاتی در سه ماهه اول سال 2023 منتشر کرد.

محققان به حرکت BlueNoroff به روش‌های جدید ارائه بدافزار مربوط به دور زدن MotW اشاره کردند. اگر قبلاً این مهاجمان از اسناد و فایل های Word با برچسب برای نفوذ اولیه استفاده می کردند، اکنون به استفاده از فرمت های فایل ISO و VHD مسلح شده اند.

همچنین به نظر می رسد که BlueNoroff در حال آزمایش انواع فایل های جدید برای ارائه بدافزار است: یک اسکریپت ویژوال بیسیک، یک فایل دسته ای ویندوز و یک فایل اجرایی ویندوز شناسایی شده است. علاوه بر این، تحلیلگران بیش از 70 دامنه جعلی را یافته اند که توسط BlueNoroff استفاده می شود، مشابه دامنه های شرکت های سرمایه گذاری خطرپذیر ژاپنی و بانک ها.

Roaming Mantis مکانیسم جدیدی را برای تغییر تنظیمات DNS پیاده سازی کرده است. از سال 2019 تا 2022، این گروه از فیشینگ پیامکی برای پخش پیوند به صفحه حاوی بدافزار اندرویدی که می‌توانست دستگاه آلوده را کنترل کرده و اطلاعات را سرقت کند، استفاده کرد.

با این حال، در سپتامبر 2022، تجزیه و تحلیل یک بدافزار جدید توسط گروه Wroba.o برای اندروید عملکردی را برای تغییر تنظیمات DNS نشان داد که مدل‌های خاصی از روترهای Wi-Fi را که عمدتاً در کره جنوبی محبوب هستند، هدف قرار می‌دهد. این منجر به تهدید گسترده در مناطق مورد نظر شد.

BadMagic، یک تهدید جدید APT مربوط به درگیری روسیه و اوکراین نیز بی توجه نمانده است. همه چیز با آلودگی گسترده سازمان های دولتی، کشاورزی و حمل و نقل در دونتسک، لوهانسک و کریمه آغاز شد. زنجیره آلودگی شامل پیوندی به آرشیو ZIP با یک فایل طعمه و یک فایل LNK مخرب با پسوند دوگانه بود.

فایل LNK درب پشتی PowerMagic PowerShell را بارگیری کرد که به نوبه خود چارچوب پیچیده ماژولار CommonMagic را مستقر کرد. این تحقیقات امکان مطالعه تهدید و ایجاد ارتباط با سایر کمپین های APT را فراهم کرد.

بدافزار Prilex از یک ابزار حمله ATM به پیشرفته ترین تهدید پایانه پرداختی که برای ما شناخته شده است، تبدیل شده است.

این گزارش شامل یک کمپین طولانی مدت برای سرقت ارزهای دیجیتال از طریق یک مرورگر جعلی Tor بود که باعث سرقت از بیش از 15000 کاربر در 52 کشور شد. مهاجمان از روش تروجان بانکی برای جعل شماره حساب های بانکی استفاده کردند، اما دستگاه های قربانیان را با استفاده از نسخه تروجانی شده مرورگر آلوده کردند.

محققان تأثیر بالقوه ChatGPT را بر چشم انداز تهدید ارزیابی کردند و یک کمپین مخرب را کشف کردند که از محبوبیت روزافزون پروژه سوء استفاده می کند. کلاهبرداران گروه هایی را در شبکه های اجتماعی با تقلید از جوامع علاقه مندان به منظور گسترش تروجان ایجاد کردند.

مطالعه در مورد استفاده از ChatGPT در هوش تهدید بسیار کنجکاو شد. به طور کلی، کارشناسان بر این باورند که مشارکت هوش مصنوعی در زندگی ما بسیار فراتر از توانایی های فعلی پروژه های یادگیری ماشینی مدرن خواهد بود.

علاوه بر این، متخصصان LC نیز امروز دو گزارش دیگر ارائه کردند: در مورد تهدیدات تلفن همراه و آمار رایانه شخصی.

#infosec #websecurity #pentesting #securitysearch #ethicalhacking #آسیب_پذیری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار
کشف آسیب‌پذیری در محصولات Wago

چهار آسیب‌پذیری در کنترل‌کننده‌های منطقی قابل برنامه‌ریزی (PLC) ارائه‌دهنده راه‌حل‌های اتوماسیون صنعتی آلمانی Wago رفع شده است که برخی از آنها می‌توانند برای کنترل کامل دستگاه مورد نظر استفاده شوند.

رایان پیکرن، متخصص موسسه فناوری جورجیا، به عنوان بخشی از پایان نامه دکترای خود در مورد امنیت سیستم های کنترل صنعتی ICS، نقاط ضعف PLC را کشف کرد.

در طول تجزیه و تحلیل Wago PLC، محقق چندین آسیب‌پذیری را در رابط مدیریت مبتنی بر وب برای مدیریت، راه‌اندازی و به‌روزرسانی دستگاه‌ها پیدا کرد. CERT@VDE بولتنی منتشر کرده است که در آن آسیب‌پذیری‌ها، اطلاعات مربوط به محصولات و نسخه‌های آسیب‌دیده را شرح می‌دهد.

دو نقص دارای درجه‌بندی شدت بحرانی شده‌اند که اولین مورد مربوط به عدم وجود مشکل احراز هویت است که به‌عنوان CVE-2022-45138 ردیابی می‌شود و می‌تواند توسط یک مهاجم احراز هویت نشده برای خواندن و تنظیم برخی از پارامترهای دستگاه مورد سوء استفاده قرار گیرد، که می‌تواند منجر به سازش کامل کنترلر

دومین آسیب‌پذیری حیاتی، CVE-2022-45140، به یک مهاجم تأیید نشده اجازه می‌دهد تا داده‌های دلخواه را با امتیازات ریشه بنویسد، که می‌تواند منجر به اجرای کد دلخواه و به خطر افتادن کامل سیستم شود.

دو آسیب‌پذیری با شدت متوسط ​​دیگر را می‌توان برای حملات XSS و افشای اطلاعات با تأثیر محدود مورد استفاده قرار داد.

علاوه بر این، این خطاها را می توان زنجیره ای کرد و به دو روش مختلف استفاده کرد:
- هنگامی که دسترسی مستقیم به شبکه وجود دارد (یعنی مهاجم در داخل ICS است یا به دستگاه متصل به اینترنت حمله می کند).
- از طریق درخواست های وب از منابع مختلف (به عنوان مثال، مهاجم فردی را در ICS فریب می دهد تا وب سایت مخرب خود را مشاهده کند).

محقق توضیح داد که هیچ یک از سناریوها نیازی به تعامل کاربر (به جز بازدید از سایت) یا مجوز ندارند.

این زنجیره به طور کامل احراز هویت نشده است و در یک حمله واقعی، مهاجم می‌تواند از این آسیب‌پذیری‌ها برای دستکاری مخرب مکانیسم‌ها، جعل خواندن سنسورها و غیرفعال کردن تمام کنترل‌های امنیتی استفاده کند.

لطفا نظرات خود را به اشتراک بگذارید. از بازخورد شما استقبال می‌کنیم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

مژده به همراهان عزیز
میتوانید ویدئوی آموزشی مرتبط به ورژن جدید ISO27001:2022 به همراه نحوه انتقال به این نسخه را از لینک زیر با تخفیف 50 درصدی دانلود کنید:
https://eseminar.tv/wb85584
کد تخفیف: summer402

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

همگرایی بین IT و OT
فناوری اطلاعات (𝐈𝐓) را به عنوان یک آیفون پیشرفته در نظر بگیرید. مجهز به جدیدترین فناوری‌ها، همیشه در حال حرکت، به طور مداوم به اینترنت متصل است و اغلب با جدیدترین به‌روزرسانی‌های امنیتی وصله می‌شود. این آیفون قابلیت‌های معماری سازمانی شما را منعکس می‌کند - توانایی پردازش داده‌های انبوه به صورت ایمن و ارتباط سریع، و سازگاری با تغییرات در زمان واقعی. این مانند دفتر مرکزی شرکت شما است، جایی که تصمیمات استراتژیک گرفته می شود و از داده ها برای پیش بینی روند بازار و تصمیم گیری آگاهانه کسب و کار استفاده می کند.

در مقابل، فناوری عملیاتی (𝐎𝐓) مانند یک کابل VGA قابل اعتماد است. این را به عنوان ماشین آلات موجود در مرکز تولید خود تصور کنید. این برای انجام وظایف خاص در دنیای فیزیکی طراحی شده است - ساختن اشیا، مونتاژ کردن اشیا، دست زدن به اشیا و اندازه گیری اشیا. این نیروی کار صنعت تولید است که برای مدت طولانی وجود داشته و کار خود را به طور مداوم و روز به روز انجام می دهد.

چالش:
وظیفه شما اکنون این است که این کابل VGA، عملیات تولیدی خود را به آیفون، معماری سازمانی خود وصل کنید. به نظر می رسد آنها در دوره های مختلف وجود دارند و به زبان های مختلف صحبت می کنند. شما نمی توانید فقط یک کابل VGA را به آیفون وارد کنید. به طور مشابه، شما نمی توانید به سادگی فرآیندهای تولید فیزیکی خود را با دنیای دیجیتال فناوری اطلاعات سازمانی ادغام کنید. این مانند تلاش برای بحث در مورد نکات ظریف استراتژی رسانه های اجتماعی با آهنگری از دهه 1800 است - هر دو تخصص خود را دارند، اما در جهان های بسیار متفاوتی زندگی می کنند.

مسیر پیش رو:
اصل مسئله در مورد همگرایی IT/OT این نیست که یک میخ مربعی (OT) را به یک سوراخ گرد (IT) وارد کنیم، یا برعکس. این در مورد تطبیق قدیمی برای تناسب با جدید نیست. درعوض، نیاز به بازاندیشی اساسی دارد که چگونه این دو جهان می توانند همزیستی و همکاری داشته باشند. این در مورد ایجاد یک محیط کاملاً جدید، یک زبان جدید، یک پل دگرگون کننده است که در آن دنیای فیزیکی و دیجیتال می توانند در گفتگوهای معنادار، کارآمد و یکپارچه شرکت کنند. این در مورد اختراع یک دستگاه انقلابی است که می تواند کابل VGA را بپذیرد و آن را به صورت بومی به آیفون متصل کند، بدون افت کیفیت، و بدون سردرگمی در ترجمه - ایجاد یک سیستم واقعا یکپارچه و هماهنگ.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

همگرایی بین IT و OT
فناوری اطلاعات (𝐈𝐓) را به عنوان یک آیفون پیشرفته در نظر بگیرید. مجهز به جدیدترین فناوری‌ها، همیشه در حال حرکت، به طور مداوم به اینترنت متصل است و اغلب با جدیدترین به‌روزرسانی‌های امنیتی وصله می‌شود.

در مقابل، فناوری عملیاتی (𝐎𝐓) مانند یک کابل VGA قابل اعتماد است. این را به عنوان ماشین آلات موجود در مرکز تولید خود تصور کنید. که برای انجام وظایف خاص در دنیای فیزیکی طراحی شده است - ساختن اشیا، مونتاژ کردن اشیا، دست زدن به اشیا و اندازه گیری اشیا. این نیروی کار صنعت تولید است که برای مدت طولانی وجود داشته و کار خود را به طور مداوم و روز به روز انجام می دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

BDU:2023-03539: آسیب پذیری در اجرای پروتکل ارتباطی TCP/IP محیط توسعه برنامه ISaGRAF Workbench برای کنترل کننده های منطقی قابل برنامه ریزی، که به مهاجم اجازه می دهد فایل ها را دانلود، بخواند و حذف کند.

https://bdu.fstec.ru/vul/2023-03539

BDU:2023-03538: آسیب‌پذیری در ISaGRAF Runtime Automation راکول کنترل‌کننده‌های منطقی برنامه‌ریزی‌شده محیط توسعه برنامه آسیب‌پذیری ذخیره‌سازی گذرواژه رمزگذاری نشده که به مهاجم اجازه می‌دهد اطلاعات محافظت شده را آشکار کند

https://bdu.fstec.ru/vul/2023-03538

BDU:2023-03570: آسیب‌پذیری در مؤلفه لایه eXchange (IXL) محیط توسعه برنامه ISaGRAF Runtime Rockwell Automation برای کنترل‌کننده‌های منطقی قابل برنامه‌ریزی، که به مهاجم اجازه می‌دهد کد دلخواه را اجرا کند.

https://bdu.fstec.ru/vul/2023-03570
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هکرهای طرفدار روسیه بزرگترین بندر ژاپن را هدف قرار می دهند که تجارت تویوتا را اداره می کند


اپراتور سیستم کامپیوتری این بندر روز چهارشنبه اعلام کرد یک گروه هکر مستقر در روسیه به بندر ناگویا، بزرگترین بندر ژاپن از نظر ظرفیت کل بار و مسئول رسیدگی به برخی از صادرات و واردات شرکت تویوتا موتور حمله کرده است.

انجمن حمل و نقل بندر ناگویا گفت که گروه LockBit 3.0 در ازای بازیابی سیستم درخواست باج کرده است، در حالی که پلیس تحقیقاتی را آغاز کرده است.

اداره بندر ناگویا، اپراتور آن، گفت: بندر در استان مرکزی ژاپن، آیچی، قادر به بارگیری و تخلیه کانتینرها از تریلرها نیست و قصد دارد صبح پنجشنبه


به گفته اداره بندر، خرابی سیستم حدود ساعت 6:30 صبح سه‌شنبه زمانی رخ داد که یکی از کارکنان قادر به راه‌اندازی کامپیوتر نبود.

یک منبع آگاه گفت که پیامی مبنی بر آلوده شدن سیستم کامپیوتری به باج افزار به نوعی به چاپگر ارسال شد.

باج افزار بدافزاری است که داده ها را رمزگذاری می کند و در ازای بازگرداندن دسترسی درخواست پرداخت می کند.

این بندر مرکز صادرات و واردات تویوتا است. این خودروساز گفته است که به دلیل این نقص نمی تواند قطعات خودرو را بارگیری یا تخلیه کند.

اما این شرکت افزود که تاکنون هیچ اختلالی در تولید آن ایجاد نشده است و تدارکات خودروهای تمام شده تحت تأثیر قرار نگرفته است زیرا با استفاده از یک سیستم رایانه ای متفاوت مدیریت می شود.

تویوتا گفت: «ما از نزدیک هر گونه تأثیر بر تولید را رصد خواهیم کرد و در عین حال موجودی قطعات را به دقت بررسی خواهیم کرد.

تویوتا گفت که تامین کنندگان آن، از جمله Denso Corp.، Aisin Corp. و Toyota Industries Corp. نیز مقدار مشخصی موجودی را تضمین کرده اند و تنها در معرض نقص سیستم قرار خواهند گرفت.

این بندر از سال 2002 تاکنون بزرگترین بندر ژاپن باقی مانده است. به گفته این اپراتور، ظرفیت بار آن در سال 2021 به 177.79 میلیون تن رسید.

ازدحام موقت تریلرها در بندر مشاهده شد.

یک راننده تریلر گفت: "اگر این تعداد زیادی تریلر به یکباره فعالیت خود را از سر بگیرند، بسیار شلوغ خواهد بود. حتی پس از بهبودی سیستم سخت به نظر می رسد."


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

چگونه با آن برخورد می کنید

- سخت افزار قدیمی
- دارایی های ناشناخته
- سیستم عامل های پشتیبانی نشده
- آسیب پذیری های اصلاح نشده در سیستم عامل و سایر نرم افزارها
- از دست رفته پشتیبان
- از دست رفته، به ویژه تیم ها و سازمان اختصاص داده شده
- شبکه های غیر منطبق و تقسیم بندی خرد
-...

ما برای کمک اینجا هستیم. با دانش، تجربه، شرکا و راه حل های توسعه یافته

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اَعْظَم اللهُ اُجُورَنا وَاُجورَكُم بِمُصابِنا بِالْحُسَيْن عَلَيْه السَّلام، وَجَعَلَنا وَاِيّاكُم مِنَ الطّالِبينَ بِثارِه، مَع وَلِيِّهِ الاِْمامِ الْمَهْدِيِّ مِنْ الِ مُحَمَّد عَلَيْهِمُ السَّلام

🏴شهادت حضرت اباعبدالله الحسین و یاران با وفایشان علیهم السلام را خدمت حضرت ولیعصر ارواحنافداه و محبان حضرتش تسلیت می گوییم🏴

🔸دعای فرج و صدقه برای سلامتی امام زمان علیه السلام فراموش نشود.

🔴 کشف بدافزار چینی در زیر ساخت‌های آمریکا‌

🔻به گفته مسئولان ارتش و مقامات اطلاعاتی و امنیت ملی آمریکا، دولت بایدن در جستجوی ویروس مخربی است که گمان می‌رود چین آن را در اعماق شبکه‌های عملیاتی آمریکا که شبکه‌های برق، سیستم‌های ارتباطی و منابع آبی پایگاه‌های نظامی در ایالات متحده و سراسر جهان را تغذیه می‌کنند، پنهان کرده است.

🔻کشف این بدافزار، این نگرانی را ایجاد کرد که هکرهای چینی که احتمالاً برای ارتش آزادی‌بخش چین کار می‌کنند، کدی را وارد کرده‌اند که برای مختل‌کردن عملیات نظامی آمریکا در صورت بروز درگیری، از جمله در صورت اقدام پکن علیه تایوان در سال‌های آینده، طراحی شده است.

🔻به گفته مسئولان آمریکایی، یکی از مقامات کنگره اعلام کرد که این بدافزار اساساً «بمب ساعتی» است که می‌تواند به چین این توانایی را بدهد که با قطع برق، آب و ارتباطات پایگاه‌های نظامی ایالات متحده، استقرار یا تامین مجدد لجستیک ارتش آمریکا را متوقف یا کند سازد.

منبع: بلومبرگ

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

مجتمع نظامی-صنعتی NPO Mashinostroeniya توسط هکرهای کره شمالی مورد حمله قرار گرفت.

گروه کره شمالی اسکارکرافت پشت حمله سایبری به مجتمع صنعتی نظامی NPO Mashinostroeniya، یکی از شرکت های پیشرو راکت و فضایی در روسیه است. این نتیجه توسط محققان تیم SentinelLabs به دست آمد. گزارش کارشناسان امنیت سایبری اطلاعاتی را ارائه می دهد که گروه سایبری ScarCruft سرور ایمیل و سیستم های فناوری اطلاعات یک شرکت روسی را هک کرده است . مهاجمان ظاهراً موفق به نصب درب پشتی "OpenCarrot" شدند که دسترسی از راه دور را فراهم می کرد. هدف اصلی مجرمان سایبری برای SentinelLabs هنوز مشخص نیست، اما خود گروه ScarCruft (APT37) به دلیل عملیات جاسوسی سایبری خود شناخته شده است. به عنوان یک قاعده، شرکت کنندگان آن داده های داخلی قربانی را می دزدند و او را زیر نظر می گیرند. کارشناسان پس از تجزیه و تحلیل ایمیل های فاش شده از VPK NPO Mashinostroeniya به این نتیجه رسیدند که هکرهای کره شمالی در آن دخالت دارند. علاوه بر سایر اطلاعات محرمانه، آنها حاوی مکاتباتی از کارمندان فناوری اطلاعات بودند که به یک حادثه سایبری در اواسط می 2022 اشاره کردند. تحقیقات خود SentinelLabs سطح بسیار جدی‌تری از نفوذ مجرمان سایبری را نسبت به آنچه که در ابتدا در شرکت موشکی و فضایی تصور می‌شد، نشان داد.   بر اساس ایمیل‌های دریافتی، افراد غیردولتی فناوری اطلاعات در مورد فعالیت شبکه مشکوک و انتقال داده بین فرآیندهای در حال اجرا در دستگاه‌های داخلی و سرورهای خارجی بحث کردند. با تجزیه و تحلیل این فعالیت، کارمندان با یک فایل DLL مخرب مواجه شدند که به نوعی به سیستم های داخلی نفوذ کرده بود. طبق گفته SentinelLabs، نمایندگان مجتمع نظامی-صنعتی NPO Mashinostroeniya با فروشنده آنتی ویروس تماس گرفتند تا بدانند دقیقا چگونه بدافزار داخل محیط قرار گرفته است. محققان همچنین آدرس‌های IP و شاخص‌های سازش (IoC) را که موفق شدند از ایمیل‌ها استخراج کنند، مورد مطالعه قرار دادند که به شناسایی «مقصر اصلی» - درب پشتی OpenCarrot - کمک کرد. پیش از این، OpenCarrot با فعالیت های گروه Lazarus مرتبط بود که همچنین در DPRK ریشه دارد. در مجموع، این بدافزار از 25 فرمان پشتیبانی می کند و می تواند وظایف زیر را در سیستم انجام دهد: شناسایی: محاسبه مجدد ویژگی های فایل و فرآیند، اسکن پینگ های ICMP میزبان ها در محدوده آدرس IP برای در دسترس بودن و باز کردن پورت های TCP. تداخل با سیستم فایل و فرآیندها: خاتمه یک فرآیند، تزریق یک کتابخانه، حذف فایل ها، تغییر نام و اصلاح مُهرهای زمانی. مدیریت ارتباط با سرور فرمان و کنترل، تکمیل و ایجاد کانال های ارتباطی جدید، تغییر پیکربندی بدافزار و غیره.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

دوستانی که تمایل به دریافت متن ترجمه شده استاندارد ISO 27002:2022 را دارند با من تماس بگیرند.
ترجمه استاندارد بین المللی ISO/IEC 27002: 2022
مترجم: دکتر پدرام کیانی
 #ISMS
#پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

فوری| حمله سایبری گروه ناشناس انتقام‌جویان سایبری به شبکه ملی راه‌آهن رژیم صهیونیستی

🔹رسانه‌های عبری اعلام کردند که گروه انتقام جویان سایبری با انتشار اسنادی خبر از حمله سایبری به زیرساخت‌های برق راه‌آهن اسراییل داده است.

🔹این گروه (انتقامجویان) در کانال تلگرام خود با استناد به اخبار منتشر شده در رسانه‌های رژیم صهیونیستی اعلام کرده که از سال ۲۰۲۰ تاکنون به زیرساخت‌های حمل و نقل ریلی اسرائیل نفوذ و حملات متعددی را اجرایی کرده‌اند.

🔹آن‌ها تهدید کرده‌اند درصورتی که رژیم صهیونیستی به جنایت‌های خود ادامه دهد ضربات مهلکی را به زیرساخت‌های آن‌ها وارد خواهد کرد.

🔹چندی پیش گروه انتقام جویان مسئولیت حمله به زیرساخت‌های بزرگترین پالایشگاه تولید بنزین در اسرائیل (بازان) را به عهده گرفته است.

🔹همچنین پس از انتشار اسناد مربوط به نفوذ فایروال چک پوینت توسط این گروه، رسانه‌ها و کارشناسان امنیت سایبر جهان مقالات متعددی را درخصوص بررسی صحت این ادعا منتشر کرده‌اند.
منبع: تسنیم

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

کانال:
https://t.me/ics_cert