آسیب‌پذیری در مؤلفه مدیریت کاربر زیمنس (UMC) سرور اطلاعات SIMATIC، SIMATIC PCS neo، SINEC NMS، پورتال اتوماسیون کاملاً یکپارچه (TIA Portal) به دلیل سرریز بافر مبتنی بر هیپ است. بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا کد دلخواه را اجرا کند

BDU:2024-07066
CVE-2024-33698

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور.
- تقسیم بندی شبکه برای محدود کردن دسترسی به بخش صنعتی از زیرشبکه های دیگر.
- فیلتر کردن اتصالات پورت های 4002 و 4004.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/html/ssa-039007.html


🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

آسیب‌پذیری Yokogawa Dual-redundant Platform for Computer (PC2CKM) به دلیل اعتبارسنجی نادرست مقدار بازگشتی یک روش یا تابع است. بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا با ارسال بسته های پخش UDP باعث انکار سرویس شود.

BDU: 2024-07482
CVE-2024-8110

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- تقسیم بندی شبکه برای محدود کردن دسترسی به تجهیزات صنعتی.
- محدودیت دسترسی از شبکه های خارجی (اینترنت) به تجهیزات صنعتی.
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://web-material3.yokogawa.com/1/36276/files/YSAR-24-0003-E.pdf
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

تیمی از محققان موسسه فناوری هند دهلی فناوری جدیدی به نام AndroCon را معرفی کرده‌اند که می‌تواند از داده‌های جی‌پی‌اس نیمه پردازش شده برای ردیابی محیط اطراف یک دستگاه اندرویدی استفاده کند.

حمله جدید از فراداده سیگنال GPS برای جمع‌آوری مخفیانه اطلاعات محیطی دقیق با دقت هشداردهنده استفاده می‌کند که بر ۹۰ درصد کاربران اندروید در سراسر جهان تأثیر می‌گذارد.

این مطالعه بر اساس تجزیه و تحلیل داده های GPS از منطقه ای به وسعت 40000 کیلومتر مربع است. محیط های مختلف با استفاده از دستگاه های اندروید متمایز مجهز به چیپست های GPS مختلف.

AndroCon الگوریتم‌های یادگیری ماشینی (ML) را برای تبدیل سیگنال‌های جی‌پی‌اس پردازش شده به ابزاری قدرتمند برای سنجش محیطی، تشخیص فعالیت‌های انسانی و نقشه‌برداری فضای داخلی پیاده‌سازی می‌کند.

به طور سنتی، سنجش مبتنی بر GPS فقط به داده‌های اصلی مکان و قدرت سیگنال محدود می‌شود.

با این حال، با انتشار اندروید 7، برنامه ها به شما امکان می دهند با 39 عملکرد مانند قدرت سیگنال، تغییر داپلر و SNR به داده های GPS بیشتری دسترسی داشته باشید.

با تجزیه و تحلیل داده‌های موجود در برنامه‌ها، AndroCon می‌تواند تعیین کند که کاربر در داخل یا خارج از منزل، در حال حرکت یا ایستادن، در یک منطقه شلوغ یا حتی در نزدیکی مکان‌های مشخصی مانند پله‌ها یا آسانسور است.

این روش به دقت خیره کننده 99.6 درصدی در تعیین زمینه محیطی و دقت 87 درصدی در طبقه بندی فعالیت های انسانی دست می یابد.

حتی جدی تر، توانایی AndroCon در تولید پلان های طبقه با خطای تنها 4 متر است که به مهاجمان اجازه می دهد تا پلان های طبقه دقیق ساختمان ها را بدون نیاز به دسترسی به سنسورها و دوربین های دیگر بازسازی کنند.

علاوه بر این، AndroCon می تواند به مهاجمان توانایی ردیابی حرکات کاربران در داخل ساختمان ها، شناسایی جلسات آنها یا حتی هدف قرار دادن افراد خاص در مناطق شلوغ را ارائه دهد.

محققان تاکید می‌کنند که این آسیب‌پذیری حتی زمانی که دستگاه در حالت هواپیما قرار دارد و تمام کانال‌های ارتباطی خاموش هستند، تا زمانی که برنامه‌ها دسترسی به داده‌های GPS را حفظ کنند، کار می‌کند.

نتایج این مطالعه به توسعه دهندگان اندروید ارائه شد، آنها مشکلات را تصدیق کردند و اکنون در تلاش برای رفع آنها هستند.

با این حال، محققان هشدار می دهند که تا زمانی که اندروید تدابیر امنیتی قوی تری را اجرا نکند، کاربران باید مراقب مجوزهایی باشند که به برنامه ها اعطا می شود.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

بار دیگر، ما جدی ترین آسیب پذیری ها را نادیده نمی گیریم. امروز وضعیت چیزی شبیه به این است:

1. HPE Aruba Networking سه آسیب‌پذیری مهم را در CLI نقاط دسترسی آروبا خود که از Instant AOS-8 و AOS-10 استفاده می‌کنند، برطرف کرده است که می‌تواند به مهاجمان احراز هویت نشده اجازه دهد تا از راه دور کد را روی دستگاه‌های آسیب‌پذیر اجرا کنند.

CVE-2024-42505، CVE-2024-42506، و CVE-2024-42507 را می توان با ارسال بسته های ساخته شده ویژه به پورت PAPI UDP برای دسترسی ممتاز و RCE در دستگاه های آسیب پذیر مورد سوء استفاده قرار داد.

این شرکت قویاً توصیه می کند که مدیران آخرین به روز رسانی ها را نصب کنند.

هیچ بهره برداری یا PoC مشاهده نشد.

2. OpenPLC آسیب پذیری های بحرانی و با شدت بالا را برطرف کرده است که می تواند برای DoS و RCE مورد سوء استفاده قرار گیرد.

جزئیات توسط Cisco Talos فاش شد. این آسیب‌پذیری‌ها در 17 سپتامبر برطرف شد.

بحرانی CVE-2024-34026 به مهاجم راه دور اجازه می دهد تا از طریق درخواست های EtherNet/IP دستکاری شده کد دلخواه را روی یک سیستم هدف اجرا کند.

با این حال، CVE-2024-36980، CVE-2024-36981، CVE-2024-39589 و CVE-2024-39590 با شدت بالا نیز می توانند به روشی مشابه مورد سوء استفاده قرار گیرند، اما بهره برداری منجر به یک شرایط DoS می شود.

3. خود سیسکو نیز 11 آسیب پذیری از جمله 7 آسیب پذیری با شدت بالا را در محصولات خود که IOS و IOS XE دارند برطرف کرده است.

شدیدترین اشکالات، شش مشکل DoS است که بر مؤلفه UTD، ویژگی RSVP، ویژگی PIM، ویژگی DHCP Snooping، ویژگی HTTP Server، و کد مونتاژ مجدد قطعه قطعه IPv4 در IOS و IOS XE تأثیر می گذارد.

همه چیز را می‌توان از راه دور، بدون احراز هویت، با ارسال ترافیک یا بسته‌های ساخته شده ویژه به یک دستگاه آسیب‌پذیر، مورد سوء استفاده قرار داد.

هفتمین آسیب‌پذیری با شدت بالا بر رابط مدیریت مبتنی بر وب IOS XE تأثیر می‌گذارد و می‌تواند منجر به حملات CSRF شود، اگر یک مهاجم از راه دور تأیید نشده، کاربر احراز هویت‌شده را متقاعد کند که یک پیوند ساخته‌شده را دنبال کند.

علاوه بر این، رفع دو باگ جدی در سرور SSH مرکز Catalyst (CVE-2024-20350)، Crosswork Network Services Orchestrator (NSO) JSON-RPC API و ConfD (CVE-2024-20381) منتشر شده است.

در مورد CVE-2024-20350، یک کلید میزبان SSH ایستا می تواند به یک مهاجم غیرقانونی و از راه دور اجازه دهد تا با رهگیری ترافیک بین مشتریان SSH و دستگاه Catalyst Center، و همچنین تزریق فرمان و سرقت اعتبار، حمله MitM را انجام دهد.

CVE-2024-20381 به دلیل بررسی های نامناسب مجوز در JSON-RPC API است که می تواند به مهاجم تأیید شده از راه دور اجازه دهد درخواست های مخرب ارسال کند، یک حساب جدید ایجاد کند یا امتیازات خود را افزایش دهد.

با این حال، CVE-2024-20381 بر چندین محصول، از جمله روترهای RV340 Dual WAN Gigabit VPN، که به EoL رسیده اند و پشتیبانی نمی شوند، تأثیر می گذارد.

به گفته سیسکو، هیچ یک از این آسیب پذیری ها مورد سوء استفاده قرار نمی گیرند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

*برگزاری وبینار «تقویت امنیت سایبری با EAM»*

در این وبینار که از سوی Lean42 GmbH برگزار می‌گردد، در ارتباط با تعامل و هم‌افزایی بین مدیریت معماری سازمانی و سیستم‌های مدیریت امنیت اطلاعات، مقدمه‌ای بر مدل استراتژی امنیتی Lean42 و مروری بر‌ الزامات و‌ چارچوب‌های نظارتی کلیدی صحبت خواهد شد.
سخنران این وبینار، خانم Alina Mehlhorn، مشاور ارشد مدیریت فناوری اطلاعات و مشاور CIO Lean42 می‌باشد.

زمان برگزاری:
۱۷ اکتبر ۲۰۲۴ مصادف با ۲۶ مهرماه ۱۴۰۳، ساعت ۱۱:۳۰ الی ۱۲ به وقت تهران

اطلاعات بیشتر و ثبت نام:
https://B2n.ir/e06135

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب‌پذیری در اجرای سرور SSH سیستم مدیریت زیرساخت شبکه Cisco Catalyst Center (Cisco DNA Center سابق) با استفاده از الگوریتم‌های رمزگذاری رمزنگاری شده با یک کلید رمزگذاری سخت‌کد شده مرتبط است.
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا یک حمله جعل را انجام دهد

BDU: 2024-07524
CVE-2024-20350

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN) به نرم افزارهای آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به نرم افزارهای آسیب پذیر.

استفاده از توصیه ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-ssh-e4uOdASj
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

‏☃️ Frosty Goop و بخاری های هک شده - "نهمین بدافزار اختصاصی ICS" ☃️

در تابستان سر و صدایی بر سر "فرستی گوپ" به پا شد. نام "فرستی گوپ" ("گوپ سرد یخی" / "قلدر سرد یخی") از گزارش ارائه‌دهنده خدمات امنیتی دراگوس آمده است.

‏Frosty Goop یک برنامه نوشته شده به زبان Golang است که از طریق Modbus TCP / Port 502 با سیستم های هدف خود تعامل دارد. می‌تواند کاری را که می‌توانید با Modbus انجام دهید انجام دهد: دسترسی خواندن و نوشتن به PLC و سایر اجزای OT با قابلیت Modbus. همچنین پارامترها را با استفاده از JSON ارسال کنید، به عنوان مثال آدرس IP سیستم مورد نظر.

‏Frosty Goop از عملکرد قانونی Modbus TCP استفاده می کند. هیچ آسیب پذیری یا خطایی در Modbus وجود ندارد که برای این کار مورد سوء استفاده قرار گیرد. Modbus TCP نیازی به احراز هویت ندارد، که حداقل از سال 2004 یک مشکل شناخته شده بوده است. در آن زمان، شرکت دیجیتال باند دیل پترسون قبلاً همان قوانین IDS را منتشر کرده بود.

بنابراین، گزارش فراستی گوپ حاوی شرح رویدادی در اوکراین است که در ابتدا مستقل از فراستی گوپ بود: در ژانویه 2024 یک "حمله مختل" به گرمایش مرکزی 600 ساختمان در اوکراین رخ داد. "بهسازی" "تقریبا دو روز به طول انجامید."

اکنون، اشاره مستمر به جهان مبنی بر وجود بدافزار خاص ICS اکنون ارزش دارد. همچنین نظر از
راب لی، مدیر اجرایی Dragos در Frosty Goop در سنگاپور بسیار درست است: "بدافزار خاص ICS برای موفقیت نیازی ندارد که از نظر فنی جالب باشد".
اما: ما نمی دانیم که آیا فراستی گوپ موفق بود یا خیر.

بله، به نظر می رسد در زمستان یک حمله سایبری به بخاری ها در اوکراین صورت گرفته است. یک آشفتگی! - اما متوسط ​​هیجان انگیز.
بله، به نظر می رسد یک بدافزار نیز وجود دارد که می تواند برای دستکاری داده های Modbus استفاده شود.
این ترکیب آن را Frosty Goop می کند.

برای «اطمینان متوسط»، نسبتاً شجاعانه است که به کل آن عنوان فانتزی و برچسب «بدافزار ویژه ICS نهم» داده شود.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🛰 اینترنت اشیا طبق استانداردها

اگرچه بیشتر داستان های ترسناک در مورد امنیت اینترنت اشیا به دستگاه های خانگی مربوط می شود، سازمان های بزرگ نیز از اجرای کند فناوری های هوشمند رنج می برند - فقط داستان حماسی در مورد نشانک ها در لوکوموتیوهای لهستانی را به خاطر بسپارید.
استاندارد ISO/IEC 30141:2024 اخیراً پذیرفته شده و پیوست هیجان انگیز آن، ISO/IEC TS 30149:2024، که اصول قابل اعتماد بودن در اینترنت اشیا را توصیف می کند، در نظر گرفته شده است که به تدریج به این حوزه نظم دهد. ما متوجه شدیم که تفاوت بین اعتماد و قابل اعتماد بودن چیست، در چه جنبه هایی باید برای اینترنت اشیا نشان داده شود، و چگونه این امر بر آینده اینترنت اشیاء خانگی و صنعتی تأثیر می گذارد.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

چگونه وارد امنیت سایبری صنعتی (ICS/OT) شویم؟

به خصوص اگر از یک پیشینه سایبری فناوری اطلاعات برخوردار هستید...

1. یاد بگیرید که مانند یک مهندس فکر کنید

هر نیروگاهی متفاوت است. هر پالایشگاهی متفاوت است. هر کارخانه تولیدی متفاوت است.

زمانی را صرف تحقیق در مورد چگونگی طراحی، بهره برداری و نگهداری محیط کنید.

فیزیک آن را درک کنید.

2. اصول کنترل صنعتی را درک کنید

تجسم تمام کلمات اختصاری جدید ممکن است سخت باشد.

‏-> PLC
‏-> DCS
‏-> HMI
‏-> RTU
-> غیره...

آشنایی با هر زمینه کمی زمان می برد.

وقت بگذارید و انواع اولیه سیستم های کنترل را یاد بگیرید.

کتاب ها می توانند راهی عالی برای شروع یادگیری باشند!

3. گزینه های آموزشی برای یادگیری را کاوش کنید

‏من خط آموزش ICS/OT خود را دراین کانال به صورت رایگان در دسترس قرار می دهم.

4. استانداردها و مقررات را بیاموزید

استانداردهای زیادی برای امنیت سایبری ICS/OT وجود ندارد.

تمرکز بر ISA/IEC 62443 (استاندارد طلایی) و همچنین NIST 800-82

5. به دست آوردن تجربه عملی

در حالی که ساخت یک آزمایشگاه خانگی می تواند در طول زمان گران تر شود، اگر نتوانید در یک محیط OT واقعی کار کنید، این یک رویکرد عالی است.

بخشی از آزمایشگاه خانگی در یادگیری برنامه نویسی PLC ها، رایج ترین نوع سیستم کنترل است.

6. شبکه با جامعه

جامعه امنیت سایبری ICS/OT فوق العاده حمایت می کند!

7. به روز بمانید

حتی بعد از اینکه نقش اول را به دست آوردید، مطمئن شوید که به آنچه در جهان اتفاق می افتد توجه کنید.

حتماً مراقب تحولات اخیر باشید.

به خصوص آنهایی که ممکن است بر شما و محیط شما تأثیر بگذارند!

8. یک مربی باتجربه پیدا کنید

با کسی کار کنید که بتواند مسیر شما را برای تسریع رشد شما راهنمایی کند.
من آماده مشاوره به شماذهستم.

9. مهارت های نرم مرتبط ایجاد کنید

مهم است که بتوانیم دیدگاه های دیگران را درک کنیم.

هرگز نباید IT در مقابل OT باشد.

و این با درک یکدیگر شروع می شود.

10. گواهینامه بگیرید

گواهینامه های صنعت نمی تواند جایگزین نیاز به تجربه عملی شود.

اما شما می توانید به نشان دادن دانشی که ایجاد کرده اید کمک کنید.

‏P.S. چه چیزی اضافه می کنید؟

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

خبری عجیب

هکرها یک مدل جارو برقی هوشمند را در آمریکا هک کردند و جارو شروع کرده به فحش دادن به اهالی خانه یا دنبال کردن حیوانات خانگی!
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب‌پذیری میان‌افزار در دستگاه‌های Moxa EDR-8010، EDR-G9004، EDR-G9010، EDR-G1002-BP، NAT-102 OnCell G4302-LTE4، TN-4900 به دلیل عدم تأیید اعتبار برای یک عملکرد مهم است.

بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا به پیکربندی دستگاه دسترسی کامل داشته باشد.

BDU: 2024-08035
CVE-2024-9137

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدود کردن دسترسی به دستگاه های آسیب پذیر از شبکه های خارجی (اینترنت).
- استفاده از یک لیست "سفید" از آدرس های IP برای سازماندهی دسترسی از راه دور به دستگاه ها.
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای شناسایی و خنثی سازی تلاش ها برای سوء استفاده از آسیب پذیری ها.

استفاده از توصیه ها:

https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

اصطلاحات برتر امنیت سایبری ICS/OT که باید با آنها آشنا باشید!

1. فناوری عملیاتی (OT)

سخت افزار و نرم افزار مورد استفاده برای نظارت و کنترل فرآیندهای فیزیکی در دنیای واقعی

2. سیستم های کنترل صنعتی (ICS)

‏OT برای نظارت و کنترل فرآیندهای فیزیکی در عملیات صنعتی در مقیاس بزرگ مانند ربات های خطی در یک مرکز تولیدی بزرگ استفاده می شود.

3. زیرساخت های حیاتی

سیستم های ضروری که ما در زندگی روزمره خود به آنها وابسته هستیم مانند برق، آب، حمل و نقل، تولید غذا. همچنین به اقتصاد امنیت ملی و سلامت کلی کمک می کند

4. رابط ماشین انسانی (HMI)

رابط گرافیکی که به اپراتور اجازه می دهد ماشین ها و فرآیندهای فیزیکی خاص را نظارت و کنترل کند

5. کنترل کننده منطقی قابل برنامه ریزی (PLC)

کامپیوتر تخصصی که برای کنترل فرآیندها در دنیای واقعی به سختی سیم کشی دارد - فکر کنید که چگونه ترموستات شما واحد تهویه مطبوع شما را روشن/خاموش می کند

6. سیستم کنترل توزیع شده (DCS)

سیستمی که امکان نظارت و کنترل ماشین‌ها و فرآیندها را در چندین مکان یا محیط‌های بزرگ فراهم می‌کند

7. تاریخ نگار داده

یک سرور پایگاه داده سنتی ویندوز که داده های مربوط به فرآیندهای مختلف تحت نظارت و کنترل را برای گزارش و تجزیه و تحلیل ذخیره می کند

8. ایستگاه کاری مهندسی (EWS)

معمولاً یک ایستگاه کاری ویندوز یا لپ‌تاپ که توسط پرسنل کارخانه یا فروشندگان برای طراحی، برنامه‌نویسی و به‌روزرسانی دارایی ICS/OT مانند کنترل‌کننده‌های منطقی برنامه‌پذیر (PLC) استفاده می‌شود.

‏P.S. شما چه چیزی اضافه می کنید؟

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان Trend Micro گزارش جدیدی منتشر کرده‌اند که به افزایش فعالیت APT34 (معروف به OilRig) مرتبط با راه‌اندازی کمپین‌های جدید با هدف سازمان‌های دولتی و تأسیسات CII در امارات متحده عربی و منطقه خلیج فارس اشاره کرده‌اند.

در حملات مشاهده شده، OilRig از یک درب پشتی جدید استفاده کرد که سرورهای Microsoft Exchange را برای سرقت اعتبارنامه ها هدف قرار می داد و همچنین از آسیب پذیری CVE-2024-30088 برای افزایش امتیازات خود در دستگاه های در معرض خطر سوء استفاده کرد.

Trend Micro علاوه بر تجزیه و تحلیل این فعالیت، اتصالات یا گزارش جدیدی را که یکی دیگر از گروه‌های APT ایرانی درگیر در حملات باج‌افزار را پرچم‌گذاری می‌کرد، ردیابی کرد.

حملاتی که Trend Micro مشاهده کرده است با استفاده از یک وب سرور آسیب پذیر برای بارگذاری یک پوسته وب شروع می شود و به مهاجمان اجازه می دهد کدهای راه دور و دستورات PowerShell را اجرا کنند.

پس از فعال شدن، OilRig از پوسته های وب برای استقرار ابزارهای اضافی، از جمله مؤلفه ای که برای سوء استفاده از آسیب پذیری ویندوز CVE-2024-30088 طراحی شده است، استفاده می کند.

CVE-2024-30088 یک آسیب پذیری EoP با شدت بالا است که توسط مایکروسافت در ژوئن 2024 وصله شد.

این به مهاجمان اجازه می دهد تا امتیازات SYSTEM را افزایش دهند و به آنها کنترل قابل توجهی بر روی دستگاه های در معرض خطر بدهد.

مایکروسافت وجود یک PoC برای CVE-2024-30088 را تأیید کرده است، اما هنوز آن را به‌عنوان مورد بهره‌برداری فعال علامت‌گذاری نکرده است. CISA همچنین در کاتالوگ آسیب پذیری های قابل بهره برداری شناخته شده خود به آن اشاره ای نمی کند.

در مرحله بعد، OilRig یک DLL فیلتر رمز عبور را ثبت می کند تا اعتبار متن واضح را در طول تغییر رمز عبور رهگیری کند، و سپس ابزار مدیریت از راه دور ngrok را برای ارتباط مخفی از طریق تونل های امن دانلود و نصب می کند.

یکی دیگر از تاکتیک‌های مهاجم جدید استفاده از سرورهای مایکروسافت اکسچنج برای سرقت اعتبار و استخراج داده‌های حساس از طریق ترافیک ایمیل قانونی است که تشخیص آن دشوار است.

استخراج با درب پشتی جدیدی به نام StealHook آسان تر می شود.

با این حال، Trend Micro معتقد است که زیرساخت های دولتی اغلب به عنوان یک نقطه مرجع برای قانونی جلوه دادن روند استفاده می شود.

هدف اصلی این مرحله رهگیری رمزهای عبور سرقت شده و انتقال آنها به مهاجمان در قالب پیوست ایمیل است.

علاوه بر این، مهاجمان از اعتبارنامه ها برای ارسال این ایمیل ها از طریق سرورهای دولتی Exchange استفاده می کنند.

با بازگشت به تصادفات، TrendMicro همچنین معتقد است که شباهت‌هایی بین کد StealHook و درهای پشتی OilRig که در کمپین‌های گذشته از جمله Karkoff استفاده می‌شدند، وجود دارد، بنابراین به نظر می‌رسد آخرین بدافزاری که دیده شده، به‌روزرسانی بدافزارهای قبلی باشد تا یک توسعه جدید.

علاوه بر این، این اولین بار نیست که OilRig از سرورهای Microsoft Exchange به عنوان یک جزء فعال در حملات خود استفاده می کند.

تقریباً یک سال پیش، Symantec قبلاً مشاهده کرده بود که APT34 یک درپشتی PowerExchange را روی سرورهای Exchange درون محل نصب می‌کند که قادر به دریافت و اجرای دستورات از طریق ایمیل هستند.

با این حال، این گروه هنوز در منطقه خاورمیانه فعال است و ارتباط آن با FOX Kitten، اگرچه در حال حاضر کاملاً مشخص نیست، می تواند در آینده به اضافه شدن باج افزار به زرادخانه آن کمک کند.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب‌پذیری حیاتی در Kubernetes می‌تواند اجازه دسترسی غیرمجاز SSH به ماشین مجازی را بدهد که تصویر ایجاد شده با Kubernetes Image Builder را اجرا می‌کند.

توصیه امنیتی نشان می‌دهد که آسیب‌پذیری حیاتی بر تصاویر ماشین مجازی ایجاد شده با استفاده از ارائه‌دهنده Proxmox در Image Builder نسخه 0.1.37 یا قبل‌تر تأثیر می‌گذارد.

این مشکل به‌عنوان CVE-2024-9486 پیگیری می‌شود و به دلیل استفاده از اعتبارنامه‌های پیش‌فرض است که در طول فرآیند تصویربرداری فعال می‌شوند و متعاقباً غیرفعال نمی‌شوند.

یک مهاجم با دانستن این موضوع، می‌تواند از طریق یک اتصال SSH متصل شود و از این اعتبار برای دسترسی ریشه به ماشین‌های مجازی آسیب‌پذیر استفاده کند.

راه حل این است که تصاویر VM آسیب دیده را با استفاده از Kubernetes Image Builder نسخه 0.1.38 یا جدیدتر بسازید، که یک رمز عبور تصادفی ایجاد شده را در طول فرآیند ساخت تنظیم می کند و همچنین حساب سازنده پیش فرض را غیرفعال می کند.

اگر به روز رسانی در حال حاضر امکان پذیر نیست، یک راه حل موقت غیرفعال کردن حساب سازنده با استفاده از دستور: usermod -L builder است.

اطلاعات بیشتر در مورد اقدامات کاهشی و نحوه بررسی اینکه آیا سیستم شما تحت تأثیر قرار گرفته است را می توانید در GitHub پیدا کنید.

علاوه بر این، همین مشکل برای تصاویر ایجاد شده با استفاده از Nutanix، OVA، QEMU یا خام معمول است، اما به دلیل نیازهای اضافی برای عملکرد موفقیت‌آمیز، شدت آن متوسط ​​است.

این آسیب پذیری نیز با نام CVE-2024-9594 شناسایی شده است.

به طور خاص، فقط در طول فرآیند ساخت قابل استفاده است و به مهاجم نیاز دارد که به ماشین مجازی که تصویر را ایجاد می کند دسترسی پیدا کند و اقدامات خاصی را برای ذخیره اعتبار پیش فرض انجام دهد و امکان دسترسی در آینده را فراهم کند.

همان توصیه‌های اصلاح و کاهش در مورد CVE-2024-9594 اعمال می‌شود.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

اکنون در شبکه های OT وصله انجام شود؟
نه به این سرعت!

‏IT و OT می توانند در مورد وصله کردن بسیار متفاوت باشند.

در فناوری اطلاعات ...

این تقریباً فراگیر است - اکنون وصله کنید!

پچ جدید اعلام می شود.

و تیم ها به پچ کردن می رسند!

مطمئناً، چند تفاوت ظریف وجود دارد.

اما اصل ماجرا همین است.

در OT...

وقتی یک آسیب پذیری جدید اعلام می شود، می پرسید:

-> آیا باید همین الان وصله کنیم؟
-> آیا پچ می تواند تا زمان تعمیر و نگهداری بعدی صبر کند؟
-> آیا اصلاً نیاز به پچ داریم؟ هرگز؟

من می دانم که اگر از IT آمده باشید، این خیلی عجیب به نظر می رسد!

زیرا این دو رویکرد بسیار متفاوت هستند.

اما در ICS/OT، ما باید مطمئن شویم که چیزی را خراب نمی کنیم.

اگر چیزی را خراب کنیم، این امکان وجود دارد که منجر به ...

-> از دست دادن زندگی
-> آسیب به محیط زیست
-> توقف قابل توجه تولید

شود.
و این توقف تولید چه تاثیری دارد؟

-> قطارها شما را به موقع به سر کار می برند؟
-> خانواده هایی که برای نوشیدن به آب تمیز نیاز دارند؟
-> همه می خواهند سوئیچ را بچرخانند تا چراغ روشن شود؟

شما ایده را دریافت می کنید.

بنابراین در OT، ما باید بپرسیم که چه زمانی یک پچ یا راه حل جدید منتشر می شود...

اگر این آسیب‌پذیری را برطرف نکنیم، چه تأثیری دارد؟

-> از دست دادن زندگی؟
-> آسیب به محیط زیست؟
-> توقف تولید قابل توجه؟

اگر آسیب‌پذیری خطری برای این مناطق نداشته باشد، ما هرگز به آن نخواهیم پرداخت.

اگر خطر حیاتی شناسایی شده است، باید همین الان به آن رسیدگی کنیم.

و اگر خطری وجود داشته باشد، در چرخه تعمیر و نگهداری بعدی به آن خواهیم پرداخت.

بله، تفاوت های ظریف بیشتری در آن وجود دارد.

اما دوباره، شما ایده را دریافت می کنید.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان Trend Micro گزارش می دهند که مهاجمانی تلاش می کنند ابزار منبع باز EDRSilencer را در حملات خود ادغام کنند و از آن به عنوان وسیله ای برای فرار از شناسایی استفاده کنند.

‏EDRSilencer که از ابزار NightHawk FireBlock MDSec الگوبرداری شده است، برای جلوگیری از اجرای فرآیندهای EDR با استفاده از پلتفرم فیلترینگ ویندوز (WFP) از ترافیک خروجی طراحی شده است.

از تکمیل فرآیندهای مختلف مرتبط با محصولات EDR از Microsoft، Elastic، Trellix، Qualys، SentinelOne، Cybereason، Broadcom Carbon Black، Tanium، Palo Alto Networks، Fortinet، Cisco، ESET، HarfangLab و Trend Micro پشتیبانی می کند.

هدف اصلی از ترکیب چنین ابزارهای Red Teaming قانونی در زرادخانه خنثی کردن نرم افزار EDR و تشخیص بدافزار بسیار دشوارتر است.

همانطور که Trend Micro اشاره می کند، WFP یک چارچوب نسبتاً قدرتمند است که در ویندوز برای ایجاد فیلترهای شبکه و برنامه های امنیتی ساخته شده است که در فایروال ها، نرم افزارهای آنتی ویروس و سایر راه حل های امنیتی برای محافظت از سیستم ها و شبکه ها استفاده می شود.

‏APIهایی را برای توسعه دهندگان فراهم می کند تا قوانین سفارشی برای نظارت، مسدود کردن یا اصلاح ترافیک شبکه بر اساس معیارهای مختلفی مانند آدرس های IP، پورت ها، پروتکل ها و برنامه ها تعریف کنند.

‏EDRSilencer با شناسایی پویا فرآیندهای EDR در حال اجرا و ایجاد فیلترهای دائمی برای مسدود کردن اتصالات شبکه خروجی آنها در IPv4 و IPv6 از مزایای کامل WFP استفاده می کند و در نتیجه از ارسال تله متری نرم افزارهای امنیتی به کنسول مدیریتی خود جلوگیری می کند.

این حمله اساساً با اسکن کردن سیستم برای جمع‌آوری فهرستی از فرآیندهای در حال اجرا مرتبط با محصولات رایج EDR کار می‌کند، سپس EDRSilencer را با آرگومان «blockedr» (به عنوان مثال EDRSilencer.exe blockedr) اجرا می‌کند تا با تنظیم فیلترهای WFP، ترافیک خروجی از این فرآیندها را مسدود کند.

آزمایش‌های TrendMicro با EDRSilencer نشان داده‌اند که برخی از ابزارهای EDR آسیب‌دیده همچنان می‌توانند گزارش ارسال کنند، زیرا یک یا چند فایل اجرایی آن‌ها در فهرست کدگذاری‌شده ابزار Red Team گنجانده نشده‌اند.

با این حال، EDRSilencer توانایی افزودن فیلتر برای فرآیندهای خاص را با ارائه مسیرهای فایل پیاده‌سازی می‌کند، بنابراین فهرست فرآیندهای هدف را می‌توان برای پوشش ابزارهای امنیتی مختلف گسترش داد.

این امر به بدافزار یا سایر فعالیت‌ها اجازه می‌دهد که شناسایی نشوند، احتمال حملات موفقیت‌آمیز بدون شناسایی یا مداخله را افزایش می‌دهد، و روند نوظهور زیرزمینی سایبری را برجسته می‌کند تا به دنبال ابزارهای مؤثرتری برای حملات خود باشد، به‌ویژه با غیرفعال کردن راه‌حل‌های آنتی‌ویروس و EDR.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

سفر در اروپا و ندانستن این که شما را دنبال می کنند یک اشتباه است، حتی در راه رفتن شما - یک اشتباه مهلک.

یک برنامه آزمایشی با بودجه کمیسیون اروپا در زمینه تشخیص راه رفتن برای شناسایی و ردیابی افرادی که از مرزهای اتحادیه اروپا عبور می کنند، راه اندازی شده است.

این ابتکار که پروژه PopEye نام دارد، با کمک مالی 3.2 میلیون یورویی (3.5 میلیون دلار) حمایت شده است که فناوری منحصر به فرد سبک راه رفتن را در سه سال آینده آزمایش خواهد کرد.

به گفته TechTransfer و موسسه تحقیقاتی Idiap سوئیس، این کمک مالی از طریق Horizon Europe، چارچوبی برای تامین مالی تحقیقات و نوآوری در اتحادیه اروپا اجرا می شود.

آزمایش با اجرای PopEye در مرزهای خارجی اتحادیه اروپا برای آزمایش در عمل فناوری های بیومتریک توسعه یافته برای تأیید و شناسایی در ترکیب با تشخیص راه رفتن طراحی شده است.

این فناوری به مجریان قانون و خدمات مرزی این امکان را می‌دهد تا جریان افراد در حال حرکت را بدون توقف آن‌ها در فاصله تا 200 متر در شرایط مختلف محیطی از جمله مناطق باز و حمل‌ونقل کنترل کنند.

همانطور که به روز رسانی بیومتریک اشاره می کند، PopEye بر اساس یک مطالعه Frontex در سال 2021 است که اذعان می کند که فناوری تشخیص راه رفتن به تنهایی ممکن است دقت کمتری داشته باشد، اما وقتی با تشخیص چهره سه بعدی ترکیب شود، می تواند تأییدیه در حال حرکت را ارائه دهد.

در همان زمان، پروژه PopEye به عنوان حفظ حریم خصوصی قرار می گیرد و تنها مزایایی را برای مسافران به ارمغان می آورد، زیرا به طور کامل با قانون هوش مصنوعی اتحادیه اروپا و مقررات حفاظت از داده های عمومی (شما می توانید بازدم کنید) مطابقت دارد.

https://therecord.media/europe-gait-recognition-study-pilot-program

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

مرحله بعدی Pwn2Own Ireland 2024، رقابت سالانه Trend Micro's Zero Day Initiative (ZDI)، آغاز شده است.

در روز اول، شرکت‌کنندگان در Pwn2Own Ireland 2024 توانستند نیم میلیون دلار را با نمایش سوء استفاده‌های موفقی که دستگاه‌های NAS، دوربین‌ها، چاپگرها و بلندگوهای هوشمند را هدف قرار می‌دهند، برنده شوند.

جایزه 100000 دلاری روز به سینا هیرکا از تیم احضار تعلق گرفت که در مجموع 9 آسیب پذیری را در حمله ای ترکیب کرد که از یک روتر QNAP QHora-322 به یک دستگاه ذخیره سازی TrueNAS Mini X تبدیل شد.

زنجیره دیگری از اکسپلویت های QNAP QHora-322 و TrueNAS Mini X توسط Viettel Cyber ​​Security نشان داده شد که 50000 دلار برای تیم به ارمغان آورد.

هزینه خوبی توسط جک دیتس از RET2 Systems دریافت کرد که توانست 60000 دلار برای هک اسپیکر هوشمند Sonos Era 300 جمع آوری کند.

اکسپلویت برای دستگاه‌های QNAP TS-464 و Synology DiskStation DS1823XS+ NAS نیز برای دو تیم مختلف 40000 دلار درآمد کسب کرد.

علاوه بر این، شرکت‌کنندگان با موفقیت اکسپلویت‌ها را در برابر دوربین‌های Lorex 2K WiFi، Ubiquity AI Bullet و Synology TC500 و همچنین چاپگرهای HP Color LaserJet Pro MFP 3301fdw و Canon imageCLASS MF656Cdw آزمایش کردند.

هکرها برای تلاش های خود بین 11000 تا 30000 دلار درآمد کسب کردند. 

طبق ZDI، در روز اول، Pwn2Own Ireland در مجموع 516250 دلار برای بیش از 50 آسیب‌پذیری منحصر به فرد پرداخت کرد.

در روزهای آینده، علاوه بر دوربین‌ها، دستگاه‌های NAS، بلندگوهای هوشمند و چاپگرها، شرکت‌کنندگان سعی خواهند کرد آسیب‌پذیری‌هایی را که Samsung Galaxy S24 و AeoTec Smart Home Hub را هدف قرار می‌دهند، پیاده‌سازی کنند.

مقررات مسابقات Pwn2Own Ireland 2024 همچنین شامل یک دسته پیام رسان است که در آن حداکثر 300,000 دلار برای سوء استفاده از WhatsApp با 0 کلیک و همچنین تا 250,000 دلار برای اکسپلویت های پیکسل 8 و آیفون 15 ارائه می شود.

https://www.zerodayinitiative.com/blog/2024/10/22/pwn2own-ireland-day-one-the-results

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

آسیب‌پذیری سیستم GENESIS64 SCADA بسته‌های نرم‌افزاری MC Works64 برای کنترل نظارتی و جمع‌آوری داده‌ها با مجوزهای استاندارد استفاده نادرست مرتبط است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا سرویس را رد کند یا به اطلاعات محافظت شده دسترسی پیدا کند، مشروط بر اینکه GenBroker32 و GENESIS64 به طور همزمان بر روی سیستم عامل نصب شده باشند.

BDU: 2024-08565
CVE-2024-7587

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- حذف مجوزهای "همه" برای پوشه C:\ProgramData\Iconics در سیستم عاملی که GenBroker32 در آن نصب شده است.
- نصب محصولات نرم افزاری GenBroker32 و GENESIS64 بر روی رایانه های شخصی مختلف.
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده سیستم عامل؛
- به حداقل رساندن امتیازات کاربر

استفاده از توصیه ها:
https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2024-008_en.pdf
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

آسیب‌پذیری‌های مهم و بسیار جدی در روترهای صنعتی mbNET.mini و Helmholz کشف شده است که می‌تواند منجر به به خطر افتادن کامل دستگاه شود.

یکی از دستگاه های آسیب پذیر روتر mbNET.mini محصول MB Connect Line است که در سراسر جهان به عنوان دروازه VPN برای دسترسی از راه دور و خدمات در محیط های صنعتی استفاده می شود. 

CVE-2024-45274 و CVE-2024-45275 توسط SySS آلمان فاش شدند و درجه بندی های شدت بحرانی دریافت کردند.

هر دو را می توان از راه دور بدون احراز هویت برای اجرای دستورات سیستم عامل دلخواه (به دلیل عدم احراز هویت) و به دست آوردن کنترل کامل دستگاه آسیب پذیر (از طریق اعتبارنامه های کدگذاری سخت) استفاده کرد. 

سه آسیب‌پذیری اضافی در mbNET.mini نمرات CVSS بالایی دریافت کردند، بهره‌برداری از آنها می‌تواند به EoP و افشای اطلاعات منجر شود، و در حالی که همه آنها می‌توانند بدون احراز هویت مورد سوء استفاده قرار گیرند، دو مورد از آنها نیاز به دسترسی محلی دارند.

با این حال، طبق توصیه‌های جداگانه، آن‌ها روی روتر صنعتی Helmholz REX100 نیز تأثیر می‌گذارند و این دو آسیب‌پذیری روی دیگر محصولات Helmholz نیز تأثیر می‌گذارند.

واقعیت این است که Helmholz REX 100 و mbNET.mini از کد آسیب پذیر یکسانی استفاده می کنند و خود دستگاه ها حتی از نظر بصری بسیار شبیه هستند و سخت افزار و نرم افزار اولیه یکسانی دارند.

محققان بر این باورند که اگر سرویس‌های خاصی در معرض شبکه قرار گیرند، از نظر تئوری می‌توان از آسیب‌پذیری‌ها مستقیماً از اینترنت استفاده کرد، که توصیه نمی‌شود.

برای یک مهاجم با دسترسی فیزیکی یا شبکه به دستگاه مورد نظر، آسیب پذیری ها می توانند برای حملات به ICS و همچنین برای به دست آوردن اطلاعات ارزشمند بسیار مفید باشند.

به عنوان مثال، یک مهاجم با دسترسی کوتاه مدت با استفاده از درایو فلش USB از پیش آماده شده می تواند دستگاه را به طور کامل در معرض خطر قرار دهد، بدافزار نصب کند، یا متعاقباً آن را از راه دور کنترل کند.

به همین ترتیب، مهاجمانی که به سرویس‌های شبکه خاصی دسترسی پیدا می‌کنند، می‌توانند به مصالحه کامل دست یابند، اگرچه این تا حد زیادی به امنیت شبکه و در دسترس بودن دستگاه بستگی دارد. 

علاوه بر این، اگر یک مهاجم تنظیمات دستگاه رمزگذاری شده را به دست آورد، می تواند اطلاعات حساس مانند اعتبار VPN را رمزگشایی و استخراج کند.

SySS توصیه های خود را برای هر یک از آسیب پذیری ها منتشر کرده است.

فروشنده گزارش داد که شش آسیب‌پذیری از هفت آسیب‌پذیری را برطرف کرده است، اما محققان هنوز اثربخشی این رفع‌ها را تأیید نکرده‌اند.

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33