همراهان گرامی سلام
 
دوره تخصصی استاندارد ISA62443 امنیت اتوماسیون صنعتی با مشارکت فعال گروه های تخصصی برگزار و گواهینامه شرکت کنندگان نیز ارسال گردید،
علاقه مندان می‌توانند جهت شرکت در دوره و مشاهده ویدیوی دوره برگزار شده از طریق لینک زیر اقدام
کنند:

https://vcoach.ir/course/isa62443/

به این دسته از شرکت کنندگان نیز گواهینامه تعلق می‌گیرد

 

کشف دو آسیب‌پذیری در کنترل‌کننده‌های Freelance AC 900F و AC 700F ‏اتوماسیون صنعتی ABB.

این دستگاه ها برای اتوماسیون تاسیسات بزرگ تولید چرخه پیوسته و ایجاد سیستم های کنترل توزیع در شرکت ها استفاده می شوند. مهاجمی که از آسیب‌پذیری‌ها استفاده می‌کند می‌تواند عملکرد کنترل‌کننده‌ها را متوقف کند یا کنترل آن‌ها را در دست بگیرد.

😱 علاوه بر این، این نوع خطر می تواند تعداد زیادی از شرکت ها را از کشورهای مختلف تهدید کند، زیرا ABB یکی از تامین کنندگان پیشرو سیستم های کنترل توزیع در جهان با سهم بازار 20 درصد است.

آسیب پذیری های CVE-2023-0425 و CVE-2023-0426 امتیاز یکسانی را دریافت کردند - 8.6 در مقیاس CVSS v3.1، که به معنای سطح بالای خطر است. ABB برای رفع نقص‌های امنیتی، به‌روزرسانی نرم‌افزاری را صادر کرد.

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

💐💸مژده
با ۵۰ درصد تخفیف ویژه به مناسبت سال نو در تمامی دوره های من میتوانید ثبت نام کنید
کد تخفیف:
bahar1403

https://mohit.online/course/ebswnx

فروریختن پل فرانسیس اسکات کی در بالتیمور: آیا ممکن است یک حمله سایبری باشد؟

در اوایل روز سه‌شنبه، زمانی که پل فرانسیس اسکات کی، یک دهانه حیاتی برای کشتی‌رانی در ساحل شرقی، پس از برخورد با یک کشتی باری بزرگ، سقوط کرد، یک حادثه بزرگ رخ داد. این پل که برای حمل و نقل و تجارت حیاتی است، شاهد سقوط چندین وسیله نقلیه در رودخانه پاتاپسکو بود که منجر به واکنش اضطراری گسترده شد.

این فروپاشی سوالاتی را در مورد ایمنی زیرساخت‌های ما و آسیب‌پذیری‌های احتمالی در برابر حملات سایبری ایجاد می‌کند. در حالی که وزیر حمل و نقل مریلند، پل ویدفلد اظهار داشت که هیچ مدرکی دال بر اقدام عمدی یا تروریسم وجود ندارد، احتمال حمله سایبری را نباید به راحتی نادیده گرفت.

در عصر دیجیتال امروزی، تهدیدات سایبری خطر قابل توجهی برای زیرساخت های فیزیکی ایجاد می کند. فروریختن پل می‌تواند نتیجه یک حمله سایبری به سیستم‌های ناوبری کشتی یا سیستم‌های نظارت بر یکپارچگی ساختاری پل باشد.

همانطور که منتظر تحقیقات بیشتر هستیم، مهم است که پیامدهای امنیت سایبری را بر زیرساخت های خود در نظر بگیریم. این حادثه بر نیاز به دفاع سایبری قوی برای محافظت در برابر تهدیدات بالقوه ای که می تواند منجر به حوادث فاجعه آمیز شود، تأکید می کند.

پل فرانسیس اسکات کی فقط یک ساختار فیزیکی نیست. نمادی از اتصال و امنیت است. اطمینان از ایمنی آن فراتر از نگهداری فیزیکی است. این نیاز به هوشیاری در حوزه سایبری نیز دارد.

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

فروریختن پل فرانسیس اسکات کی در بالتیمور: آیا ممکن است یک حمله سایبری باشد؟

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

تمرکز اصلی برای امنیت سایبری بین ICS/OT و IT چیست؟

هر دو محیط IT و ICS/OT می توانند به طور همزمان بسیار مشابه و بسیار متفاوت باشند.

وقتی در IT کار می کنم:

-> من در یک اتاق نشسته ام
-> من در یک اتاق کنفرانس هستم
-> من پشت میز کارم از خانه کار می کنم
-> من همیشه بدون نگرانی راحت هستم
-> من از نظر جسمی ایمن هستم و نگران صدمه دیدن نیستم

وقتی در OT کار می کنم:

-> قدم زدن در یک معدن، خطر فیزیکی واقعی وجود دارد
-> قدم زدن در یک نیروگاه، خطر فیزیکی واقعی وجود دارد
-> قدم زدن در یک پالایشگاه پتروشیمی، خطر فیزیکی واقعی وجود دارد
-> قدم زدن در هر مکان کنترل صنعتی، یک خطر فیزیکی واقعی وجود دارد

امنیت سایبری فناوری اطلاعات در درجه اول بر یک چیز متمرکز است:

---> محرمانگی: ایمن نگه داشتن داده ها از دسترسی غیرمجاز!

امنیت سایبری ICS/OT در درجه اول بر یک چیز متمرکز است:

---> ایمنی فیزیکی: مطمئن شوید که همه در پایان روز به خانه می روند!

سالم و بی خطر.

من نمی خواهم یک حادثه امنیت سایبری دلیلی باشد که کسی به خانه نزد خانواده خود نرود.

شما چه موارد دیگری را اضافه میکنید؟

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

Subject: Siemens ProductCERT published one and updated zero advisories/bulletins
➖➖➖➖➖➖➖➖➖
Ladies and Gentlemen,

for your information:

The following new advisories/bulletins have just been published on the
Siemens ProductCERT web site :

SSB-201698: Risk for Denial of Service attack through Discovery and Basic Configuration Protocol (DCP) communication functionality
* <https://cert-portal.siemens.com/productcert/html/ssb-201698.html>

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

💐💸مژده
با ۵۰ درصد تخفیف ویژه به مناسبت سال نو در تمامی دوره های من میتوانید ثبت نام کنید
کد تخفیف:
bahar1403

1️⃣ویدئوی وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001:2022
https://m0h.ir/s30le2

2️⃣ویدئوی دوره تخصصی استاندارد ISA62443 امنیت اتوماسیون صنعتی
https://m0h.ir/ebswnx

⚡ مرکز تحلیلی خبره InfoWatch مطالعه جدیدی در مورد روند توسعه حوادث سایبری ICS برای سال 2023 ارائه کرد.

📌 80 درصد از حملات هکری شناخته شده به زیرساخت های صنعتی در جهان با استفاده از بدافزار انجام می شود.

📊 سال گذشته، تعداد حملات باج افزار به زیرساخت های فناوری اطلاعات شرکت های صنعتی بین 50 تا 70 درصد افزایش یافت.
کارشناسان انتظار دارند این رشد در سال 2024 ادامه یابد.

💻 روند ناخوشایند دیگر، رشد حملات سفارش شده توسط شخص ثالث و افزایش طبیعی تعداد پیشنهادات اخاذی به عنوان یک سرویس، فیشینگ به عنوان یک سرویس و حملات DDoS برای استخدام است.

⚙️ اغلب در سال 2023، مهندسی مکانیک، صنعت خودرو، تولید الکترونیک و نیمه هادی ها، متالورژی و انرژی مورد حمله قرار گرفت.

ممکن است در سال 2024 بخش های جدیدی از جمله حمل و نقل دریایی، کشاورزی، معدن و شرکت های لجستیک وارد موج حمله شوند.

🛡️ در میان تهدیدات، کارشناسان ایجاد بات‌نت‌های جدید، حملات هوشمند با استفاده از شبکه‌های متخاصم مولد (GAN)، هدف قرار دادن زیرساخت‌های فضایی، حملات به 5G و ارائه‌دهندگان فناوری اطلاعات را برجسته می‌کنند.

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

ترجمه پیش نویس قانون هوش مصنوعی اتحادیه اروپا

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

📊 بیش از ۷۰ درصد شرکت ها آمادگی کافی برای حملات سایبری ندارند

سیسکو فهرست آمادگی سایبری GTO خود را منتشر کرد که در آن تلاش کرد آمادگی شرکت‌های 30 کشور در سراسر جهان را برای چالش‌های امنیت سایبری مدرن تجزیه و تحلیل کند. آمادگی در رشته هایی مانند هوش هویت، قابلیت اعتماد ماشین، انعطاف پذیری شبکه، تقویت ابر، تقویت هوش مصنوعی ارزیابی می شود.

می توان در مورد وزنی که محققان به هر یک از دسته ها اختصاص دادند بحث کرد، اما نتایج کلی واضح است - 60٪ از شرکت ها به دسته شکل دهنده تعلق دارند، یعنی راه حل های امنیتی از دسته مربوطه به طور کامل در آنها پیاده سازی نشده اند، و دیگری 11% فقط به فکر اجرا هستند😒.

کمترین پیاده‌سازی ابزارهای مدیریت هویت (18 درصد از پیاده‌سازی‌های پیشرو و بالغ) و ابزارهای حفاظت از ابر(19 درصد).

با این حال، ابزارهای امنیتی بیشتر لزوما محافظت بهتری را ارائه نمی دهند. 67 درصد از شرکت ها از بیش از 10 راه حل امنیت اطلاعات استفاده می کنند و 80 درصد اذعان دارند که ابزارهای فراوان، اثربخشی تیم آنها را کاهش می دهد.
راه حل در رویکرد پلت فرم و استفاده از راه حل های جامع از یک فروشنده و همچنین معرفی گسترده اتوماسیون دیده می شود.

جالب اینجاست که 80 درصد شرکت‌های مورد بررسی خود را نسبتاً انعطاف‌پذیر سایبری می‌دانند. محققان با درایت این را "عدم تطابق با چشم انداز تهدید سایبری به سرعت در حال تحول" می نامند. در عین حال، آنها برآوردی از هزینه این حادثه - به طور متوسط ​​از 300 هزار دلار و 12٪ - بیش از 1 میلیون دلار ارائه می دهند.

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

👀 ویژگی Github و Gitlab میزبانی فیشینگ و بدافزار را ساده می کند

مهاجمان به طور فعال از یکی از ویژگی های Github و Gitlab استفاده می کنند که برخی آن را باگ می نامند. در هر پروژه عمومی، می‌توانید یک گزارش مشکل (مسئله) ایجاد کنید و فایل‌های پشتیبانی که مشکل را توضیح می‌دهند به آن پیوست کنید. اگر فایل‌هایی با بدافزار پیوست کنید، اما انتشار مشکل را کامل نکنید، فایل با استفاده از پیوندی مانند CDN Github قرار می‌گیرد.
github[.]com/owner/repo/files/id/filename
اما صاحبان مخزن آن را نمی بینند و نمی توانند آن را حذف کنند. این مشکل از ماه مارس شناخته شده است، اما علیرغم اینکه پروژه های خود مایکروسافت جزو مخازنی هستند که به این روش مورد سوء استفاده قرار می گیرند، حل نشده است.

GitLab نیز مشکل مشابهی دارد. فایل ها در دسترس هستند

gitlab[.]com/owner/repo/uploads/filehash/filename

بدیهی است که مهاجمان در اینجا نه تنها میزبانی را در یک سایت محبوب و قابل اعتماد دریافت می کنند، بلکه یک لینک فیشینگ بسیار قانع کننده از جمله شرکت ها و پروژه های معروف را نیز دریافت می کنند. صاحبان مخزن نمی توانند کاری در مورد آن انجام دهند، حتی این محتوا را نمی بینند و تنها از طریق لینک مستقیم به فایل های مخرب قابل دسترسی است.

تا زمانی که Gitlab و Github خط‌مشی خود را در مورد پیوست‌های مربوط به موضوع/نظر تغییر دهند، تنها راه محافظت از خود افزایش آگاهی کارکنان، استفاده از لیست‌های مجاز برای اجرای برنامه‌ها یا مسدود کردن انتخابی دانلود فایل از github/gitlab است.

در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

چگونه یک اشتباه کوچک می تواند امنیت کل صنعت را تضعیف کند؟

بسیار ساده است زیرا یک آسیب‌پذیری حیاتی (CVE-2024-31497) در کلاینت محبوب SSH و Telnet در PuTTY نسخه‌های 0.68 تا 0.80 که قبل از به‌روزرسانی 0.81 منتشر شده بود، یافت شد که به مهاجم اجازه می‌دهد کلید مخفی کاربر را بازیابی کند.

این آسیب پذیری به ویژه در سناریوهایی که مهاجم می تواند پیام های امضا شده با PuTTY یا Pageant را بخواند خطرناک است. مجموعه ای از پیام های امضا شده می توانند به صورت عمومی در دسترس باشند، برای مثال اگر در یک سرویس Git عمومی ذخیره شده باشند که از SSH برای امضای commit ها استفاده می کند.

این بدان معناست که مهاجم ممکن است اطلاعات کافی برای به خطر انداختن کلید خصوصی قربانی داشته باشد، حتی اگر نسخه‌های آسیب‌پذیر PuTTY دیگر مورد استفاده قرار نگیرند.

Achtung در واقع در این واقعیت نهفته است که پس از به خطر انداختن کلید، یک مهاجم می تواند حملاتی را بر روی زنجیره تامین نرم افزار ذخیره شده در Git انجام دهد.

علاوه بر این، سناریوی دوم و مستقلی وجود دارد که شامل یک مهاجم است که سرور SSH را که قربانی در حال احراز هویت به آن است، کنترل می‌کند (برای ورود به سیستم از راه دور یا کپی کردن فایل)، حتی اگر آن سرور کاملاً مورد اعتماد قربانی نباشد.

اپراتور چنین سروری می تواند کلید خصوصی قربانی را استخراج کرده و از آن برای دسترسی غیرمجاز به سرویس های دیگر استفاده کند. اگر این خدمات شامل سرویس های Git باشد، مهاجم می تواند دوباره حملات زنجیره تامین را انجام دهد.

این آسیب پذیری نه تنها PuTTY، بلکه ابزارهای محبوب دیگری مانند FileZilla قبل از نسخه 3.67.0، WinSCP قبل از نسخه 6.3.3، TortoiseGit قبل از نسخه 2.15.0.1 و TortoiseSVN قبل از نسخه 1.14.6 را نیز تحت تأثیر قرار می دهد.


🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

👮‍♂️ باج افزار: روندهای کلیدی برای سال 2024

باج افزار مسئول 33 درصد از حوادث مهم در سال گذشته بود که بر مشاغل در هر صنعت و در سراسر جهان تأثیر گذاشت. بسیاری از کشورها باج‌افزار را یک مسئله امنیت ملی می‌دانند که منجر به عملیات هماهنگ‌تر اجرای قانون علیه مجرمان سایبری شناخته شده شده است.
نتیجه؟

باندها به طور فزاینده ای تکه تکه می شوند و به گروه های کوچکتر تقسیم می شوند و تعقیب آنها را برای پلیس سخت تر می کند.

متأسفانه، این تکه تکه شدن کار را برای مدافعان پیچیده می کند، تعداد افرادی که مایل به "لمس" کردن زیرساخت های شرکت هستند، افزایش می یابد. در همان زمان، حملات بیشتر و بیشتر تقریباً سریع هستند: بیش از 43٪ با رمزگذاری در کمتر از 24 ساعت تکمیل می شوند.

دومین روند نگران کننده افزایش قابل توجه حملات از طریق پیمانکاران و ارائه دهندگان خدمات از جمله خدمات فناوری اطلاعات است. این به یکی از سه بردار اصلی حمله تبدیل شده است. دو مورد دیگر برنامه های آسیب پذیری هستند که از طریق اینترنت قابل دسترسی هستند و همچنین اعتبارنامه های در معرض خطر قرار گرفته اند.


🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

💐💸مژده
با ۵۰ درصد تخفیف ویژه به مناسبت دهه کرامت در تمامی دوره های من میتوانید ثبت نام کنید
کد تخفیف:
bahar1403

1️⃣ویدئوی وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001:2022
https://m0h.ir/s30le2

2️⃣ویدئوی دوره تخصصی استاندارد ISA62443 امنیت اتوماسیون صنعتی
https://m0h.ir/ebswnx

ارتش آلمان فراموش کرده است که سیستم کنفرانس ویدئویی Cisco Webex را به درستی پیکربندی کند و هزاران فایل ضبط شده از جلسات گذشته، از جمله موارد دارای اطلاعات طبقه بندی شده را در معرض دید عموم قرار دهد.

هزاران ویدئو کنفرانس ارتش آلمان به دلیل مشکل در سیستم ویدئو کنفرانس در اینترنت افشا شد -

نقض امنیتی در نسخه Webex متعلق به ارتش رخ داده است که از نسخه عمومی ایمن تر است.

بیش از 6 هزار جلسه در اینترنت یافت شد که برخی از آنها قرار بود طبقه بندی شوند.

گزارش شده است که ارتش تنها پس از تماس با آنها برای اظهار نظر و رفع اشکال در عرض 24 ساعت از نقص های امنیتی مطلع شد.

پیشتر روسیه فایل صوتی گفتگوی افسران آلمانی را منتشر کرده بود که در آن احتمال استفاده از موشک های دوربرد آلمانی تاروس برای حمله به پل کرچ مطرح شده بود.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

بیایید با چند تاریخ شروع کنیم:
10 آگوست 2020 - گروه DarkSide ظاهر می شود
7 مه 2021 - DarkSide خط لوله کلونیا را هک کرد
8 مه 2021 - خط لوله کولونیا باج می دهد 🤑
13 مه 2021 - DarkSide تمام فعالیت های خود را متوقف می کند
31 ژوئیه 2021 - گروه BlackMatter ظاهر می شود
1 نوامبر 2021 - BlackMatter تمام فعالیت های خود را متوقف می کند
21 نوامبر 2021 - گروه BlackCat ظاهر می شود 🐈‍⬛
2 فوریه 2024 - RansomHub یک سرویس جدید RaaS را اعلام کرد 🔈
21 فوریه 2024 - حمله BlackCat به Change Healthcare 🐈‍⬛
1 مارس 2024 - Change Healthcare باج می دهد 🤑
5 مارس 2024 - BlackCat تمام فعالیت های خود را متوقف می کند
8 آوریل 2024 - RansomHub می‌گوید که همه داده‌ها از Change Healthcare به سرقت رفته است.

گروه هایی که تحت نام های DarkSide، BlackCat، BlackMatter (با بلک باستا اشتباه نشود) پس از هک های پر سر و صدا از رادار ناپدید شدند که به یک مشکل جدی ملی در ایالات متحده تبدیل شد و توجه غیر ضروری را به فعالیت های گروه جلب کرد.

کارشناسان گمان می کنند که این همه همان گروه است که اکنون به طور فعال در حال گسترش قابلیت های خود و بازسازی زیرساخت ها است. شاید RansomHub یک نام موقت قبل از انتخاب چیزی تیره با پیشوند Dark یا Black باشد. بیایید صبر کنیم 😲 در این بین، اتحادیه اروپا تصمیم گرفته است که گروه APT28 را که گفته می شود پشت سر روسیه قرار دارد، تحریم کند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

یک آسیب پذیری در سیستم عامل وب سرور سرورهای ناهمزمان Moxa NPort 5100A به دلیل عدم انجام اقدامات لازم برای محافظت از ساختار صفحه وب وجود دارد. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا امتیازات خود را افزایش دهد.

BDU: 2024-03570
CVE-2024-3576

نصب به روز رسانی از منابع قابل اعتماد
با توجه به شرایط فعلی و تحریم های اعمال شده توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- غیرفعال کردن وب سرویس مدیریت دستگاه؛
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور.
- محدود کردن دسترسی به دستگاه از شبکه های خارجی؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه های سازنده:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-246328-nport-5100a-series-store-xss-vulnerability

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

گزارش جدیدی از آزمایشگاه کسپرسکی در مورد اکسپلویت ها و آسیب پذیری ها در نرم افزار بر اساس نتایج سه ماهه اول سال 2024 ارائه شده است.

بخش‌های آماری و تحلیلی ارائه‌شده به هر دو روند در ظهور آسیب‌پذیری‌ها و سوءاستفاده‌های جدید و همچنین رایج‌ترین موارد درگیر در حملات سایبری مربوط می‌شود.

جالب ترین آنها به طور جداگانه برجسته و تجزیه و تحلیل شده است.

به طور کلی، محققان بیان می کنند که طی پنج سال گذشته تعداد آسیب پذیری های جدید هر سال به طور پیوسته در حال افزایش بوده است و در سال 2023 به 25011 رسید (سه ماهه اول 2024 - 3965).

علاوه بر این، سال 2023 از نظر تعداد آسیب‌پذیری‌های بحرانی کشف شده (4.85٪ از کل) یک رکورد بود و در سه ماهه اول سال 2024 این روند ادامه یافت - 4.67٪.

در سمت بهره‌برداری، روند تعداد کاربران ویندوزی که اکسپلویت‌ها را تجربه می‌کنند در طول سال 2023 نسبتاً ثابت باقی ماند، در حالی که تعداد کاربران لینوکس تحت تأثیر در طول سال افزایش یافت.

آمارهای مربوط به اکسپلویت های عمومی افزایش یافته است، از جمله PoC آماده برای استفاده و خام، که در آینده، به عنوان یک قاعده، تکمیل می شود، تقاضا وجود دارد.

اگر در سال 2023 سهم آسیب پذیری های PoC از تعداد کل 10.45 درصد بود، در سه ماهه اول این رقم به 13.14 درصد افزایش یافت.

بر اساس نتایج تجزیه و تحلیل سوء استفاده ها، محققان نرم افزارهای مورد علاقه مهاجمان را به چندین کلاس تقسیم کردند: مرورگرها، سیستم عامل ها، سرورهای MS Exchange و MS SharePoint، MS Office و غیره.

اکثر آسیب‌پذیری‌های بحرانی با اکسپلویت‌های کاری در رده سیستم‌عامل قرار داشتند و در سال ۲۰۲۴ سهم آن‌ها کمی بیش از ۵۰ درصد بود، پس از آن مرورگرها با ۳.۱۷ درصد قرار گرفتند.

در همان زمان، اکسپلویت های زیادی برای سرورهای Exchange وجود داشته است، اما بیشتر آنها به دسته برنامه های دیگر مربوط می شوند.

البته، بهره‌برداری از آسیب‌پذیری‌های نرم‌افزار بخش جدایی‌ناپذیر تقریباً هر حمله APT است و بنابراین متخصصان LC فعالیت گروه‌ها را تجزیه و تحلیل کردند و محبوب‌ترین آنها را برجسته کردند.

در سه ماهه اول سال 2024، این خدمات شامل خدمات دسترسی از راه دور Ivanti، ScreenConnect، Windows SmartScreen و همچنین برنامه های اداری بود.

قابل ذکر است که اکسپلویت های مجموعه MS Office که برای مدت طولانی در صدر لیست رایج ترین حملات قرار داشت، در سال 2023 رتبه اول را به آسیب پذیری WinRAR از دست داد.

این گزارش با بررسی جالب ترین آسیب پذیری ها در سه ماهه اول سال 2024 به پایان می رسد. ما مطالعه آن را به شدت توصیه می کنیم.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

🤔 xz backdoor: چطور ممکن است این اتفاق بیفتد؟ 🤔

در چند هفته گذشته نیمی از اینترنت در مورد درب پشتی xz غوغا کرده است. ما به سختی از فاجعه اجتناب کردیم - اما واقعاً چگونه ممکن است این اتفاق بیفتد؟

این هفته نگاه دقیق تری به این موضوع خواهیم داشت. ترکیب پاسخ ساده - و رایج - این است:

🤔 مجموعه نرم افزار xz utils - مانند بسیاری از پروژه های متن باز که کل اینترنت بر روی آنها ساخته شده است - سال ها توسط یک توسعه دهنده به عنوان یک سرگرمی برنامه ریزی و به روز شده است (نماد این کمیک معروف xkcd است (https:// xkcd. com/2347/)، ).
🤔 این فرد چند سالی بود که از فرسودگی شغلی و مشکلات روانی رنج می برد و به همین دلیل از یک فرد ناشناس یا گروهی از افراد ناشناس به نام «جیا تان» کمک گرفت. "جیا تان" وظایف بیشتر و بیشتری را در پروژه بر عهده گرفت - و در نهایت درب پشتی را برنامه ریزی کرد.
🤔 خود درب پشتی بسیار هوشمندانه نصب شده است. آنها را نمی توان در کد منبع پیدا کرد، بلکه فقط در نسخه کامپایل شده و اجرایی نرم افزار یافت می شود.
🤔 همچنین به اصطلاح NOBUS (هیچ کس جز ما) در پشتی است. همه نمی توانند از آن استفاده کنند، شما به یک کلید مخفی برای آن نیاز دارید. به همین دلیل است که بسیاری به یک سرویس مخفی پشت این حمله مشکوک هستند.

پاسخ جالب است زیرا واقعاً شامل تمام ماژول‌های پاسخ استانداردی است که دنیای امنیت فناوری اطلاعات در حال حاضر برای هر آسیب‌پذیری ارائه می‌کند:
نرم‌افزار نامحسوس اما پرکاربرد که توسط گرگ‌های تنها منبع باز نگهداری می‌شود، فرسودگی شغلی به دلیل حجم کاری زیاد، «اما آسیب‌پذیری واقعاً فوق‌العاده پیچیده بود» و «این قطعاً یک سرویس مخفی بود».

اما پاسخ نیز یک مشکل است زیرا اجازه می دهد تا موضوع به راحتی کنار گذاشته شود. چون واقعا نمی توانید کاری برای هیچ یک از این مشکلات انجام دهید، می توانید؟ 🤷‍♀️
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

برای اطلاعات بیشتر در مورد پیمایش در دنیای پیچیده امنیت سایبری صنعتی، به من بپیوندید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert