Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Kunbus PR100088 Modbus Gateway (Update A)
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: کونباس
☣️ تجهیزات: دروازه Modbus PR100088
☣️ آسیب پذیری ها: تأیید صحت نامناسب، نمایش اطلاعات از طریق رشته های درخواستی در درخواست GET، عدم تایید هویت برای عملکردهای حیاتی، تایید ورودی نامناسب، ذخیره سازی خام اطلاعات حساس
2. اطلاعات تکمیلی
این مشاوره به روز شده پیگیری مشاور اصلی ICSA-19-036-05 Kunbus PR100088 Modbus Gateway است که در 5 فوریه 2019 در کانال @ics_cert منتشر شد.
3. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد تا اجرای کد از راه دور و / یا ایجاد شرایط انکار سرویس را ایجاد کند.
4. مشخصات فنی
4.1 محصولات آسیب دیده
نسخه های زیر از دروازه Modbus PR100088 تحت تاثیر قرار می گیرند:
PR100088 دروازه مودباس: تمام نسخه های قبل از انتشار R02 (یا نرم افزار نسخه 1.1.13166)
4.2 آسیب پذیریها
4.2.1 گواهینامه IMPROPER CWE-287
یک مهاجم ممکن است قادر به تغییر رمز عبور برای یک کاربر مدیر که در حال حاضر یا قبلا وارد سیستم شده است شود، در صورتی که دستگاه راه اندازی مجدد نشده است.
4.2.2 نامعتبر بودن برای عملکرد CWE-306
قابلیت ثبت برای ذخیره مقادیر Modbus قابل خواندن و نوشته شدن از رابط وب بدون احراز هویت است.
4.2.3 تایید ورودی IMPROPER CWE-20
مهاجم می تواند به طور خاص یک درخواست FTP را ایجاد کند که می تواند دستگاه را خراب کند.
4.2.4 قرار گرفتن در معرض اطلاعات از طریق کوئری استرلینگ در درخواست CWE-598
مهاجم می تواند کلمه عبور را از یک درخواست HTTP GET بازیابی کند اگر مهاجم در موقعیت MITM باشد.
4.2.5 نگهداری CLEARTEXT اطلاعات حساس CWE-312
مهاجم می تواند اعتبار ساده متن ذخیره شده در فایل XML را از طریق FTP بازیابی کند.
4.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی: ارتباطات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
4.4 پژوهشگر
نیکولاس مرل خطر کاربردی این آسیب پذیری ها را گزارش کرد.
5. نحوه رفع مشکل:
کونباس توصیه می کند:
بروز رسانی به نسخه R02؛ فایل به روز شده را می توان از لینک زیر دریافت کرد (دستورالعمل نصب را می توان در فایل Readme موجود در دانلود یافت):
https://www.kunbus.com/productsecurity/security-topic-1.html?file=files/media/bugfixes/SU_100088_R02.zip
این دستگاه ها در یک شبکه عمومی مورد استفاده قرار نمی گیرند. در عوض، این دستگاه ها برای استفاده در یک محیط صنعتی با معماری شبکه محافظت شده طراحی شده اند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: کونباس
☣️ تجهیزات: دروازه Modbus PR100088
☣️ آسیب پذیری ها: تأیید صحت نامناسب، نمایش اطلاعات از طریق رشته های درخواستی در درخواست GET، عدم تایید هویت برای عملکردهای حیاتی، تایید ورودی نامناسب، ذخیره سازی خام اطلاعات حساس
2. اطلاعات تکمیلی
این مشاوره به روز شده پیگیری مشاور اصلی ICSA-19-036-05 Kunbus PR100088 Modbus Gateway است که در 5 فوریه 2019 در کانال @ics_cert منتشر شد.
3. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند به مهاجم اجازه دهد تا اجرای کد از راه دور و / یا ایجاد شرایط انکار سرویس را ایجاد کند.
4. مشخصات فنی
4.1 محصولات آسیب دیده
نسخه های زیر از دروازه Modbus PR100088 تحت تاثیر قرار می گیرند:
PR100088 دروازه مودباس: تمام نسخه های قبل از انتشار R02 (یا نرم افزار نسخه 1.1.13166)
4.2 آسیب پذیریها
4.2.1 گواهینامه IMPROPER CWE-287
یک مهاجم ممکن است قادر به تغییر رمز عبور برای یک کاربر مدیر که در حال حاضر یا قبلا وارد سیستم شده است شود، در صورتی که دستگاه راه اندازی مجدد نشده است.
4.2.2 نامعتبر بودن برای عملکرد CWE-306
قابلیت ثبت برای ذخیره مقادیر Modbus قابل خواندن و نوشته شدن از رابط وب بدون احراز هویت است.
4.2.3 تایید ورودی IMPROPER CWE-20
مهاجم می تواند به طور خاص یک درخواست FTP را ایجاد کند که می تواند دستگاه را خراب کند.
4.2.4 قرار گرفتن در معرض اطلاعات از طریق کوئری استرلینگ در درخواست CWE-598
مهاجم می تواند کلمه عبور را از یک درخواست HTTP GET بازیابی کند اگر مهاجم در موقعیت MITM باشد.
4.2.5 نگهداری CLEARTEXT اطلاعات حساس CWE-312
مهاجم می تواند اعتبار ساده متن ذخیره شده در فایل XML را از طریق FTP بازیابی کند.
4.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی: ارتباطات
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
4.4 پژوهشگر
نیکولاس مرل خطر کاربردی این آسیب پذیری ها را گزارش کرد.
5. نحوه رفع مشکل:
کونباس توصیه می کند:
بروز رسانی به نسخه R02؛ فایل به روز شده را می توان از لینک زیر دریافت کرد (دستورالعمل نصب را می توان در فایل Readme موجود در دانلود یافت):
https://www.kunbus.com/productsecurity/security-topic-1.html?file=files/media/bugfixes/SU_100088_R02.zip
این دستگاه ها در یک شبکه عمومی مورد استفاده قرار نمی گیرند. در عوض، این دستگاه ها برای استفاده در یک محیط صنعتی با معماری شبکه محافظت شده طراحی شده اند.
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SIMATIC S7-1500 CPU
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: CPU SIMATIC S7-1500
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند موجب انکار سرویس وضعیت دستگاه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از CPU SIMATIC S7-1500 تحت تاثیر قرار می گیرند:
SIMATIC S7-1500 CPU تمام نسخه های v1.8.5 و قبل، و
SIMATIC S7-1500 CPU تمام نسخه های قبل از v2.5 به و از جمله v2.0.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.2.2 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات حیاتی و حساس، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
3.4 پژوهشگر
جورجی زایسف، دیمیتری اسکلیاروف، دروژینین اوگنی، ایلیا کارپف و ماکسیم گوریایچی، این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس توصیه می کند کاربران به نسخه 2.5 یا جدیدتر ارتقاء دهند. کاربرانی که نمیتوانند به دلیل محدودیتهای سخت افزاری ارتقاء دهند توصیه میشوند تا پارامترهای دستی را اعمال کنند. به روز رسانی برای دانلود از لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/de/en/view/109478459
زیمنس همچنین توصیه می کند که کاربران اقدامات زیر را به صورت دستی انجام دهند:
حفاظت از دسترسی به شبکه به پورت 80 / TCP و پورت 443 / TCP دستگاه های معیوب.
اعمال cell protection concept.
اعمال دفاع در عمق.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که دسترسی به شبکه را به دستگاه هایی با مکانیزم های مناسب محافظت کند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را طبق دستورالعمل عملیاتی زیمنس برای امنیت صنعتی ایمن نمایید (دانلود: https://www.siemens.com/cert/operational-guidelines-industrial-security ) و نیز پیروی از توصیه های دفترچه های محصول.
اطلاعات اضافی در مورد امنیت صنعتی برای دستگاه های زیمنس می توان در لینک زیر دریافت کرد:
https://www.siemens.com/Industrialsecurity
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و دستورالعمل های دقیق تر رفع اشکال، لطفا مشاوره SSA-180635 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/advisories
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: CPU SIMATIC S7-1500
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند موجب انکار سرویس وضعیت دستگاه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از CPU SIMATIC S7-1500 تحت تاثیر قرار می گیرند:
SIMATIC S7-1500 CPU تمام نسخه های v1.8.5 و قبل، و
SIMATIC S7-1500 CPU تمام نسخه های قبل از v2.5 به و از جمله v2.0.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.2.2 تایید ورودی IMPROPER CWE-20
یک مهاجم غیرقانونی که ارسال بسته های شبکه مخصوص به دست آمده را به پورت 80 / tcp یا 443 / tcp ارسال می کند ممکن است منع خدمات را در دستگاه ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران : مواد شیمیایی، کارخانجات حیاتی و حساس، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: آلمان
3.4 پژوهشگر
جورجی زایسف، دیمیتری اسکلیاروف، دروژینین اوگنی، ایلیا کارپف و ماکسیم گوریایچی، این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس توصیه می کند کاربران به نسخه 2.5 یا جدیدتر ارتقاء دهند. کاربرانی که نمیتوانند به دلیل محدودیتهای سخت افزاری ارتقاء دهند توصیه میشوند تا پارامترهای دستی را اعمال کنند. به روز رسانی برای دانلود از لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/de/en/view/109478459
زیمنس همچنین توصیه می کند که کاربران اقدامات زیر را به صورت دستی انجام دهند:
حفاظت از دسترسی به شبکه به پورت 80 / TCP و پورت 443 / TCP دستگاه های معیوب.
اعمال cell protection concept.
اعمال دفاع در عمق.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که دسترسی به شبکه را به دستگاه هایی با مکانیزم های مناسب محافظت کند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را طبق دستورالعمل عملیاتی زیمنس برای امنیت صنعتی ایمن نمایید (دانلود: https://www.siemens.com/cert/operational-guidelines-industrial-security ) و نیز پیروی از توصیه های دفترچه های محصول.
اطلاعات اضافی در مورد امنیت صنعتی برای دستگاه های زیمنس می توان در لینک زیر دریافت کرد:
https://www.siemens.com/Industrialsecurity
برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و دستورالعمل های دقیق تر رفع اشکال، لطفا مشاوره SSA-180635 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/advisories
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی WECON LeviStudioU
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: WECON Technology Co.، Ltd (WECON)
☣️ تجهیزات: LeviStudioU
☣️ آسیب پذیری: سرریز بافر مبتنی بر پشته، سرریز بافر بوسیله حفره، Memory Corruption
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجمین را قادر به اجرای کد دلخواه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LeviStudioU تحت تاثیر قرار می گیرند:
نسخه های LeviStudioU 1.8.56 و قبل.
3.2 مرور کلی آسیب پذیریها
3.2.1 BUFFER HEPA-BASED OVERFLOW
چندین آسیب پذیری سرریز بافر بر اساس حفره شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.2.2 BUFFER OVERFLOW CWE-121 مبتنی بر STACK-BASED
هنگام تجزیه رشته ها در فایل های پروژه، آسیب پذیری های سرریز بافر چندگانه مبتنی بر چندگانه ممکن است مورد سوء استفاده قرار گیرد. فرایند طول داده های ارائه شده توسط کاربر به درستی تایید نمی شود قبل از کپی کردن آن به یک بافر ثابت بر پایه پشته. مهاجم می تواند این آسیب پذیری ها را برای اجرای کد در زیر فرایند فعلی مورد استفاده قرار دهد.
3.2.3 CORRUPTION MEMORY CWE-119
یک آسیب پذیری تخریب حافظه شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.3 3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی : سیستم های تولید حیاتی، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: چین
3.4 پژوهشگر
مات پاول، Ziad Badawi و ناتنائل سامسون در حال کار با Trend Micro Initial Day Zero، این آسیب پذیری ها را گزارش کردند.
4. 4. نحوه رفع مشکل:
شرکت WECON یک نسخه به روز شده برای رفع مشکلات گزارش شده را تهیه کرده است. برای کسب اطلاعات بیشتر در مورد نحوه به دست آوردن نسخه به روز، لطفا با سرویس WECON تماس بگیرید.
وبسایت: http://www.we-con.com.cn/en/download_45.html
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: سطح مهارت پایین برای بهره برداری
☣️ فروشنده: WECON Technology Co.، Ltd (WECON)
☣️ تجهیزات: LeviStudioU
☣️ آسیب پذیری: سرریز بافر مبتنی بر پشته، سرریز بافر بوسیله حفره، Memory Corruption
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری ها می تواند مهاجمین را قادر به اجرای کد دلخواه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از LeviStudioU تحت تاثیر قرار می گیرند:
نسخه های LeviStudioU 1.8.56 و قبل.
3.2 مرور کلی آسیب پذیریها
3.2.1 BUFFER HEPA-BASED OVERFLOW
چندین آسیب پذیری سرریز بافر بر اساس حفره شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.2.2 BUFFER OVERFLOW CWE-121 مبتنی بر STACK-BASED
هنگام تجزیه رشته ها در فایل های پروژه، آسیب پذیری های سرریز بافر چندگانه مبتنی بر چندگانه ممکن است مورد سوء استفاده قرار گیرد. فرایند طول داده های ارائه شده توسط کاربر به درستی تایید نمی شود قبل از کپی کردن آن به یک بافر ثابت بر پایه پشته. مهاجم می تواند این آسیب پذیری ها را برای اجرای کد در زیر فرایند فعلی مورد استفاده قرار دهد.
3.2.3 CORRUPTION MEMORY CWE-119
یک آسیب پذیری تخریب حافظه شناسایی شده است، که ممکن است باعث اجرای کد دلخواه شود.
3.3 3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی : سیستم های تولید حیاتی، انرژی، آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: چین
3.4 پژوهشگر
مات پاول، Ziad Badawi و ناتنائل سامسون در حال کار با Trend Micro Initial Day Zero، این آسیب پذیری ها را گزارش کردند.
4. 4. نحوه رفع مشکل:
شرکت WECON یک نسخه به روز شده برای رفع مشکلات گزارش شده را تهیه کرده است. برای کسب اطلاعات بیشتر در مورد نحوه به دست آوردن نسخه به روز، لطفا با سرویس WECON تماس بگیرید.
وبسایت: http://www.we-con.com.cn/en/download_45.html
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Rockwell Automation EtherNet/IP Web Server Modules
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: ماژول های وب سرور EtherNet / IP
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا ارتباط با سرویس پروتکل مدیریت ساده شبکه (SNMP) را انکار کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول وب سرور EtherNet / IP، یک ماژول وب سرور، تحت تاثیر قرار می گیرند:
1756-EWEB (شامل 1756-EWEBK) نسخه 5.001 و قبل از آن، و
CompactLogix 1768-EWEB نسخه 2.005 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
یک مهاجم از راه دور می تواند یک بسته UDP ساخته شده را به سرویس SNMP بفرستد و باعث ایجاد شرایط سرویس انکار سرویس می شود تا محصول آسیب دیده مجددا راه اندازی شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: فرانسه
4. نحوه رفع مشکل:
شرکت Rockwell Automation توصیه می کند که کاربران سرویس معکوس SNMP را غیر فعال کنند.
برای اطلاعات بیشتر، لطفا به مشاوره امنیتی Rockwell Automation در لینک زیر (نیاز به وارد شدن) مراجعه کنید:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084268
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: ماژول های وب سرور EtherNet / IP
☣️ آسیب پذیری: اعتبار ورودی نامناسب
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به یک مهاجم از راه دور اجازه دهد تا ارتباط با سرویس پروتکل مدیریت ساده شبکه (SNMP) را انکار کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول وب سرور EtherNet / IP، یک ماژول وب سرور، تحت تاثیر قرار می گیرند:
1756-EWEB (شامل 1756-EWEBK) نسخه 5.001 و قبل از آن، و
CompactLogix 1768-EWEB نسخه 2.005 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
یک مهاجم از راه دور می تواند یک بسته UDP ساخته شده را به سرویس SNMP بفرستد و باعث ایجاد شرایط سرویس انکار سرویس می شود تا محصول آسیب دیده مجددا راه اندازی شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: فرانسه
4. نحوه رفع مشکل:
شرکت Rockwell Automation توصیه می کند که کاربران سرویس معکوس SNMP را غیر فعال کنند.
برای اطلاعات بیشتر، لطفا به مشاوره امنیتی Rockwell Automation در لینک زیر (نیاز به وارد شدن) مراجعه کنید:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084268
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی AVEVA InduSoft Web Studio and InTouch Edge HMI
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : AVEVA Software، LLC (AVEVA)
☣️ تجهیزات : InduSoft Web Studio و InTouch Edge HMI (قبلا InTouch Machine Edition)
☣️ آسیب پذیری ها : عدم تایید هویت برای عملکرد حیاتی، تزریق منابع
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به یک مهاجم از راه دور اجازه دهد فرآیند دلخواه را با استفاده از یک پرونده پیکربندی اتصال به پایگاه داده مخصوص ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر محصولات AVEVA تحت تاثیر قرار می گیرند:
InduSoft Web Studio قبل از نسخه 8.1 SP3، و
InTouch Edge HMI (قبل از InTouch Machine Edition) قبل از به روز رسانی نسخه 2017
3.2 مرور کلی آسیب پذیریها
3.2.1 MISSING AUTHENTICATION FOR CRITICAL FUNCTION CWE-306
کد تحت برنامه های زمان اجرا برنامه اجرا می شود، که می تواند منجر به سازش دستگاه شود.
3.2.2 کنترل قابل ملاحظه شناسایی منابع ('تزریق منابع') CWE-99
یک کاربر از راه دور غیرقابل اعتبار میتواند از یک پرونده پیکربندی مرتبط با پایگاه داده خاص برای اجرای یک فرآیند دلخواه در دستگاه سرور استفاده کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : مواد شیمیایی، امکانات تجاری، تولید بحرانی، انرژی، غذا و کشاورزی، سیستم های حمل و نقل و آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف: انگلستان
4. نحوه رفع مشکل:
شرکت AVEVA توصیه می کند کاربران آسیب دیده به آخرین نسخه محصولات ارتقا یابند. به روز رسانی های امنیتی زیر آسیب پذیری هایی که در این مشاوره مطرح شده اند را در بر می گیرد. به روز رسانی نرم افزار می توانید از منطقه پشتیبانی مشتری "پشتیبانی نرم افزار" و یا از لینک زیر دانلود کنید:
آخرین نسخه InduSoft Web Studio را می توانید در اینجا پیدا کنید:
http://download.indusoft.com/81.3.0/IWS81.3.0.zip
آخرین نسخه InTouch Edge HMI در (ورود به سیستم مورد نیاز): https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52354
برای اطلاعات در مورد چگونگی دستیابی به پشتیبانی AVEVA برای یک محصول خاص، لطفا به این لینک مراجعه کنید:
نرم افزار AVEVA Global Customer Support و پشتیبانی InduSoft .
برای آخرین اطلاعات امنیتی و به روز رسانی های امنیتی، لطفا از مرکز امنیتی AVEVA (ورود به سیستم) و به روز رسانی امنیتی InduSoft بازدید کنید .
شرکت AVEVA بولتن امنیتی LFSEC00000133 را در وب سایت خود در محل زیر منتشر کرده است: https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec133.pdf
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : AVEVA Software، LLC (AVEVA)
☣️ تجهیزات : InduSoft Web Studio و InTouch Edge HMI (قبلا InTouch Machine Edition)
☣️ آسیب پذیری ها : عدم تایید هویت برای عملکرد حیاتی، تزریق منابع
2. ارزیابی خطر
استفاده موفقیت آمیز از این آسیب پذیری ها می تواند به یک مهاجم از راه دور اجازه دهد فرآیند دلخواه را با استفاده از یک پرونده پیکربندی اتصال به پایگاه داده مخصوص ایجاد کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر محصولات AVEVA تحت تاثیر قرار می گیرند:
InduSoft Web Studio قبل از نسخه 8.1 SP3، و
InTouch Edge HMI (قبل از InTouch Machine Edition) قبل از به روز رسانی نسخه 2017
3.2 مرور کلی آسیب پذیریها
3.2.1 MISSING AUTHENTICATION FOR CRITICAL FUNCTION CWE-306
کد تحت برنامه های زمان اجرا برنامه اجرا می شود، که می تواند منجر به سازش دستگاه شود.
3.2.2 کنترل قابل ملاحظه شناسایی منابع ('تزریق منابع') CWE-99
یک کاربر از راه دور غیرقابل اعتبار میتواند از یک پرونده پیکربندی مرتبط با پایگاه داده خاص برای اجرای یک فرآیند دلخواه در دستگاه سرور استفاده کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های مهم بحرانی : مواد شیمیایی، امکانات تجاری، تولید بحرانی، انرژی، غذا و کشاورزی، سیستم های حمل و نقل و آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف: انگلستان
4. نحوه رفع مشکل:
شرکت AVEVA توصیه می کند کاربران آسیب دیده به آخرین نسخه محصولات ارتقا یابند. به روز رسانی های امنیتی زیر آسیب پذیری هایی که در این مشاوره مطرح شده اند را در بر می گیرد. به روز رسانی نرم افزار می توانید از منطقه پشتیبانی مشتری "پشتیبانی نرم افزار" و یا از لینک زیر دانلود کنید:
آخرین نسخه InduSoft Web Studio را می توانید در اینجا پیدا کنید:
http://download.indusoft.com/81.3.0/IWS81.3.0.zip
آخرین نسخه InTouch Edge HMI در (ورود به سیستم مورد نیاز): https://softwaresupportsp.schneider-electric.com/#/producthub/details؟id=52354
برای اطلاعات در مورد چگونگی دستیابی به پشتیبانی AVEVA برای یک محصول خاص، لطفا به این لینک مراجعه کنید:
نرم افزار AVEVA Global Customer Support و پشتیبانی InduSoft .
برای آخرین اطلاعات امنیتی و به روز رسانی های امنیتی، لطفا از مرکز امنیتی AVEVA (ورود به سیستم) و به روز رسانی امنیتی InduSoft بازدید کنید .
شرکت AVEVA بولتن امنیتی LFSEC00000133 را در وب سایت خود در محل زیر منتشر کرده است: https://sw.aveva.com/hubfs/assets-2018/pdf/security-bulletin/SecurityBulletin_LFSec133.pdf
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens EN100 Ethernet Module
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : زیمنس
☣️ تجهیزات : ماژول اترنت EN100
☣️ آسیب پذیری : اعتبار ورودی نامناسب
2. ارزیابی خطر
ماژول EN100 Ethernet برای پلت فرم مدیریت SWT 3000 آسیب پذیری های امنیتی را تحت تاثیر قرار می دهد که می تواند مهاجم را مجاز به انجام حمله انکار سرویس در شبکه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول اترنت EN100، یک ماژول ارتباطی برای پلت فرم مدیریت SWT 3000، تحت تاثیر قرار می گیرند:
نوع نرم افزار IEC 61850 برای مدل EN100 اترنت قبل از 4.33
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند وضعیت سرویس انکار سرویس را در محصولات آسیب دیده ایجاد کند. برای بازیابی عملکرد ماژول EN100 دستگاه های تحت تأیید نیاز به راه اندازی مجدد دستی لازم است.
3.2.2 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند در شرایطی که ماژول EN100 در حال اجرا است، وضعیت انکار سرویس را در ماژول EN100 ایجاد کند. برای بازیابی عملکرد ماژول EN100 لازم است که مجددا راه اندازی مجدد شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE : انرژی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
ویکتور نیکیتین، ولادیسلاو سوسکوف و ایلیا کارپف از ScadaX این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی v4.33 را برای چند محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیت تا زمان اتمام به روز رسانی ها در لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/us/en/view/109745821
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند برای کاهش خطر استفاده کنند:
✅ دسترسی به پورت 102 / TCP را مسدود کنید.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-325546 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : زیمنس
☣️ تجهیزات : ماژول اترنت EN100
☣️ آسیب پذیری : اعتبار ورودی نامناسب
2. ارزیابی خطر
ماژول EN100 Ethernet برای پلت فرم مدیریت SWT 3000 آسیب پذیری های امنیتی را تحت تاثیر قرار می دهد که می تواند مهاجم را مجاز به انجام حمله انکار سرویس در شبکه کند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر از ماژول اترنت EN100، یک ماژول ارتباطی برای پلت فرم مدیریت SWT 3000، تحت تاثیر قرار می گیرند:
نوع نرم افزار IEC 61850 برای مدل EN100 اترنت قبل از 4.33
3.2 مرور کلی آسیب پذیریها
3.2.1 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند وضعیت سرویس انکار سرویس را در محصولات آسیب دیده ایجاد کند. برای بازیابی عملکرد ماژول EN100 دستگاه های تحت تأیید نیاز به راه اندازی مجدد دستی لازم است.
3.2.2 تایید ورودی IMPROPER
بسته های ویژه ساخته شده به پورت 102 / TCP می تواند در شرایطی که ماژول EN100 در حال اجرا است، وضعیت انکار سرویس را در ماژول EN100 ایجاد کند. برای بازیابی عملکرد ماژول EN100 لازم است که مجددا راه اندازی مجدد شود.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE : انرژی
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
ویکتور نیکیتین، ولادیسلاو سوسکوف و ایلیا کارپف از ScadaX این آسیب پذیری ها را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی v4.33 را برای چند محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیت تا زمان اتمام به روز رسانی ها در لینک زیر در دسترس است:
https://support.industry.siemens.com/cs/us/en/view/109745821
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند برای کاهش خطر استفاده کنند:
✅ دسترسی به پورت 102 / TCP را مسدود کنید.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-325546 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SICAM A8000 RTU Series
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: SICAM A8000 RTU
☣️ آسیب پذیری: Uncaught Exception
2. ارزیابی خطر
سری SICAM A8000 RTU آسیب پذیری امنیتی را تحت تاثیر قرار می دهد که می تواند باعث ایجاد کاربران دلخواه ناشناس شود که شرایط ایجاد انکار سرویس در سرور وب محصولاترا بوجود آورند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر SICAM A8000 RTU، دستگاه کنترل و کنترل خودکار، تحت تاثیر قرار می گیرند:
نسخه SICAM A8000 CP-8000 قبل از v14،
نسخه های SICAM A8000 CP-802X قبل از v14 و
نسخه SICAM A8000 CP-8050 قبل از v2
3.2 مرور کلی آسیب پذیریها
3.2.1 EXCEPTION UNCAUGHT
بسته های اختصاص داده شده شبکه ای که به Ports 80 / TCP یا 443 / TCP ارسال می شوند می توانند به یک مهاجم از راه دور غیرقابل اعتماد منجر شوند که شرایط ایجاد انکار سرویس را در یک سرور وب ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
امانوئل دوس و نیکلاس هینگر از Compass Security این آسیب پذیری را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای تمام انواع محصولات منتشر کرده و کاربران را به نسخه های جدید به روز رسانی می کند:
https://support.industry.siemens.com/cs/search؟search=a8000٪20cp8000
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:
✅ محدود کردن دسترسی به وب سرور در پورت های 80 / TCP و 443 / TCP با یک فایروال خارجی.
✅ اعمال یک استراتژی دفاع در عمق.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-579309 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: SICAM A8000 RTU
☣️ آسیب پذیری: Uncaught Exception
2. ارزیابی خطر
سری SICAM A8000 RTU آسیب پذیری امنیتی را تحت تاثیر قرار می دهد که می تواند باعث ایجاد کاربران دلخواه ناشناس شود که شرایط ایجاد انکار سرویس در سرور وب محصولاترا بوجود آورند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر SICAM A8000 RTU، دستگاه کنترل و کنترل خودکار، تحت تاثیر قرار می گیرند:
نسخه SICAM A8000 CP-8000 قبل از v14،
نسخه های SICAM A8000 CP-802X قبل از v14 و
نسخه SICAM A8000 CP-8050 قبل از v2
3.2 مرور کلی آسیب پذیریها
3.2.1 EXCEPTION UNCAUGHT
بسته های اختصاص داده شده شبکه ای که به Ports 80 / TCP یا 443 / TCP ارسال می شوند می توانند به یک مهاجم از راه دور غیرقابل اعتماد منجر شوند که شرایط ایجاد انکار سرویس را در یک سرور وب ایجاد کند.
3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE: انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
امانوئل دوس و نیکلاس هینگر از Compass Security این آسیب پذیری را به زیمنس گزارش کردند.
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای تمام انواع محصولات منتشر کرده و کاربران را به نسخه های جدید به روز رسانی می کند:
https://support.industry.siemens.com/cs/search؟search=a8000٪20cp8000
زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:
✅ محدود کردن دسترسی به وب سرور در پورت های 80 / TCP و 443 / TCP با یک فایروال خارجی.
✅ اعمال یک استراتژی دفاع در عمق.
برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-579309 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در 86 تجهیز مختلف اتوماسیون صنعتی Siemens
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: 86 تجهیز مختلف اتوماسیون صنعتی Siemens
☣️ آسیب پذیری: انکار سرویس
2. ارزیابی خطر
چندین دستگاه صنعتی تحت تأثیر دو آسیب پذیری قرار می گیرند که مهاجم می تواند در شرایط خاصی از طریق بسته های شبکه PROFINET DCP منجر به وضعیت انکار سرویس شود. پیش شرط لازم برای این سناریو یک لایه 2 مستقیم به محصولات آسیب دیده است. رابط های PROFIBUS تحت تاثیر قرار نمی گیرند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
86 تجهیز مختلف اتوماسیون صنعتی Siemens
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای چندین محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیتی زیر را نیز برای هر تجهیز بطور جداگانه ارایه کرده است:
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: 86 تجهیز مختلف اتوماسیون صنعتی Siemens
☣️ آسیب پذیری: انکار سرویس
2. ارزیابی خطر
چندین دستگاه صنعتی تحت تأثیر دو آسیب پذیری قرار می گیرند که مهاجم می تواند در شرایط خاصی از طریق بسته های شبکه PROFINET DCP منجر به وضعیت انکار سرویس شود. پیش شرط لازم برای این سناریو یک لایه 2 مستقیم به محصولات آسیب دیده است. رابط های PROFIBUS تحت تاثیر قرار نمی گیرند.
3. مشخصات فنی
3.1 محصولات آسیب دیده
86 تجهیز مختلف اتوماسیون صنعتی Siemens
4. نحوه رفع مشکل:
زیمنس به روز رسانی ها را برای چندین محصول آسیب دیده منتشر کرده است، در حال کار بر روی به روز رسانی برای محصولات باقی مانده تحت تاثیر است و توصیه های امنیتی زیر را نیز برای هر تجهیز بطور جداگانه ارایه کرده است:
https://cert-portal.siemens.com/productcert/pdf/ssa-293562.pdf
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
هشدار مایکروسافت درباره فاصله مرورگر قدیمی از استانداردهای جدید
اینترنتاکسپلورر را کنار بگذارید
مایکروسافت از کاربران اینترنت اکسپلورر خواست از آن استفاده نکنند، زیرا این مرورگر قدیمی است و از استانداردهای جدید وب پشتیبانی نمیکند.
کریس جکسون، مدیر ارشد امنیت سایبری این شرکت فناوری از کاربران خواست از این مرورگر قدیمی استفاده نکنند. در واقع مایکروسافت از سال ۲۰۱۵ میلادی نیز بهطور رسمی این سرویس را قطع کرد.
در مقابل جکسون از کاربران خواست تا از مرورگرهای مدرنتری استفاده کنند که مجهز به استانداردهای وب فعلی هستند. همچنین او در یک پست وبلاگی دلایل این موضوع را نیز بیان کردهاست.
بسیاری از کاربران از مرورگرهایی مانند گوگل کروم، فایرفاکس یا مرورگر اج مایکروسافت استفاده میکنند، اما برخی کسبوکارها هنوز هم از اینترنت اکسپلورر استفاده میکنند.
جالب آنکه جکسون در این پست وبلاگی اینترنت اکسپلورر را حتی بهعنوان یک مرورگر معرفی نمیکند.
او در این مورد مینویسد: اینترنت اکسپلورر یک راهحل همسانسازی است. ما از استانداردهای جدید وب پشتیبانی نمیکنیم. هرچند بسیاری از وبسایتها در این پلتفرم مشکلی ندارند، اما توسعهدهندگان بهطور کلی از اینترنت اکسپلورر برای تستها استفاده نمیکنند. آنها از مرورگرهای مدرن استفاده میکنند.
همچنین به گفته جکسون هنگامیکه شرکتها همچنان به استفاده از اینترنت اکسپلورر ادامه میدهند درنهایت مجبور میشوند هزینهای اضافی برای پشتیبانی از نرمافزارهای قدیمی پرداخت کنند که با گذر زمان انباشته میشود.
🦁«کتاس»
http://t.me/ict_security
اینترنتاکسپلورر را کنار بگذارید
مایکروسافت از کاربران اینترنت اکسپلورر خواست از آن استفاده نکنند، زیرا این مرورگر قدیمی است و از استانداردهای جدید وب پشتیبانی نمیکند.
کریس جکسون، مدیر ارشد امنیت سایبری این شرکت فناوری از کاربران خواست از این مرورگر قدیمی استفاده نکنند. در واقع مایکروسافت از سال ۲۰۱۵ میلادی نیز بهطور رسمی این سرویس را قطع کرد.
در مقابل جکسون از کاربران خواست تا از مرورگرهای مدرنتری استفاده کنند که مجهز به استانداردهای وب فعلی هستند. همچنین او در یک پست وبلاگی دلایل این موضوع را نیز بیان کردهاست.
بسیاری از کاربران از مرورگرهایی مانند گوگل کروم، فایرفاکس یا مرورگر اج مایکروسافت استفاده میکنند، اما برخی کسبوکارها هنوز هم از اینترنت اکسپلورر استفاده میکنند.
جالب آنکه جکسون در این پست وبلاگی اینترنت اکسپلورر را حتی بهعنوان یک مرورگر معرفی نمیکند.
او در این مورد مینویسد: اینترنت اکسپلورر یک راهحل همسانسازی است. ما از استانداردهای جدید وب پشتیبانی نمیکنیم. هرچند بسیاری از وبسایتها در این پلتفرم مشکلی ندارند، اما توسعهدهندگان بهطور کلی از اینترنت اکسپلورر برای تستها استفاده نمیکنند. آنها از مرورگرهای مدرن استفاده میکنند.
همچنین به گفته جکسون هنگامیکه شرکتها همچنان به استفاده از اینترنت اکسپلورر ادامه میدهند درنهایت مجبور میشوند هزینهای اضافی برای پشتیبانی از نرمافزارهای قدیمی پرداخت کنند که با گذر زمان انباشته میشود.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (Pedram Kiani)
شکاف امنیتی در سیستمهای کنترل دما
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند که امکان نفوذ به هکرها میدهد.
تحقیقات کارشناسان امنیتی نشان می دهد شکاف امنیتی در سیستمهای کنترل دمای یک شرکت انگلیسی به راحتی به هکرها اجازه میدهد کنترل مانند فریزرهای فروشگاهی را به دست گیرند.
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند.
این شکاف های امنیتی به حملهکنندگان اجازه میدهد کنترل دستگاه را به دست گیرند و محتوای سیستم را نابود کنند. این شکاف امنیتی که از پسوردهای ضعیف ناشی میشود، روی ترموستاتهای متصل به اینترنتی تاثیر میگذارد که در شرکت Resource Data Management ساخته شدهاند.
محصولات این شرکت در سوپرمارکتها و شرکتهای دارویی مورد استفادهاست. محققان در این پژوهش متوجه شدند بیش از ۷۴۱۹ محصول این شرکت دچار شکاف امنیتی هستند و بسیاری از آنها چند دستگاه را کنترل میکنند.
در بیشتر ترموستاتها هنوز هم از پسوردهای پیشفرض استفاده میشود و به همین دلیل هکرها بهراحتی میتوانند آن را کنترل کنند. هنگامی که یک هکر کنترل دستگاه را به دست گیرد، میتواند دما و زنگهای هشدار را تغییر دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند که امکان نفوذ به هکرها میدهد.
تحقیقات کارشناسان امنیتی نشان می دهد شکاف امنیتی در سیستمهای کنترل دمای یک شرکت انگلیسی به راحتی به هکرها اجازه میدهد کنترل مانند فریزرهای فروشگاهی را به دست گیرند.
محققان امنیتی در Safty Detective شکافهای امنیتی را در سیستمهای کنترل دمای فریزرهای فروشگاهی کشف کردهاند.
این شکاف های امنیتی به حملهکنندگان اجازه میدهد کنترل دستگاه را به دست گیرند و محتوای سیستم را نابود کنند. این شکاف امنیتی که از پسوردهای ضعیف ناشی میشود، روی ترموستاتهای متصل به اینترنتی تاثیر میگذارد که در شرکت Resource Data Management ساخته شدهاند.
محصولات این شرکت در سوپرمارکتها و شرکتهای دارویی مورد استفادهاست. محققان در این پژوهش متوجه شدند بیش از ۷۴۱۹ محصول این شرکت دچار شکاف امنیتی هستند و بسیاری از آنها چند دستگاه را کنترل میکنند.
در بیشتر ترموستاتها هنوز هم از پسوردهای پیشفرض استفاده میشود و به همین دلیل هکرها بهراحتی میتوانند آن را کنترل کنند. هنگامی که یک هکر کنترل دستگاه را به دست گیرد، میتواند دما و زنگهای هشدار را تغییر دهد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
بروزرسانیهای امنیتی سیسکو:
سیسکو به تازگی بروزرسانیهایی را برای رفع چندین آسیبپذیری در برخی محصولات خود ارائه کرده که شرح این آسیبپذیریها بصورت جدول بالا است.
منبع:
https://tools.cisco.com/security/center/publicationListing.x
🦁«کتاس»
http://t.me/ict_security
سیسکو به تازگی بروزرسانیهایی را برای رفع چندین آسیبپذیری در برخی محصولات خود ارائه کرده که شرح این آسیبپذیریها بصورت جدول بالا است.
منبع:
https://tools.cisco.com/security/center/publicationListing.x
🦁«کتاس»
http://t.me/ict_security
آسیبپذیری اجرای کد از راه دور در LibreOffice و OpenOffice
نرمافزار OpenOffice در معرض یک آسیبپذیری اجرای کد از راه دور است که میتواند با استفاده از اجرای ماکرو خودکار، هنگامی که کاربران نشانهگر را روی یک سند ODT مخرب منتقل میکنند، فعال شود.
به گزارش کتاس به نقل از افتا، براساس اظهارات BleepingComputer، این نقص امنیتی بر تمام نسخههای OpenOffice و همچنین تمامی نسخههای LibreOffice ۶,۰.۶ / ۶.۱.۲.۱ و پایینتر تاثیر میگذارد. این نقص در LibreOffice ۶.۰.۷ / ۶.۱.۳ رفع شده، با این حال، آخرین نسخه OpenOffice یعنی ۴.۱.۶، نیز همچنان آسیبپذیر است.
پژوهشگران اعلام کردند که این باگ نسخههای ویندوز و لینوکس LibreOffice را تحت تاثیر قرار میدهد. پس از بهرهبرداری موفق از آسیبپذیری، هیچ پیام هشداری نمایش داده نمیشود و پس از باز کردن یک فایل ODT مخرب و حرکت دادن نشانهگر، کد دلخواه اجرا میشود. آسیبپذیری با شناسه CVE-۲۰۱۸-۱۶۸۵۸ ردیابی میشود.
در نسخههای اصلاح شده LibreOffice، ماکروها تنها توسط اسکریپتهای از پیش نصب شده در پوشههای /share/Scripts/python و /user/Scripts/python قابل اجرا هستند.
منبع:
https://www.bleepingcomputer.com/news/security/openoffice-vulnerable-to-remote-code-execution-libreoffice-patched/
🦁«کتاس»
http://t.me/ict_security
نرمافزار OpenOffice در معرض یک آسیبپذیری اجرای کد از راه دور است که میتواند با استفاده از اجرای ماکرو خودکار، هنگامی که کاربران نشانهگر را روی یک سند ODT مخرب منتقل میکنند، فعال شود.
به گزارش کتاس به نقل از افتا، براساس اظهارات BleepingComputer، این نقص امنیتی بر تمام نسخههای OpenOffice و همچنین تمامی نسخههای LibreOffice ۶,۰.۶ / ۶.۱.۲.۱ و پایینتر تاثیر میگذارد. این نقص در LibreOffice ۶.۰.۷ / ۶.۱.۳ رفع شده، با این حال، آخرین نسخه OpenOffice یعنی ۴.۱.۶، نیز همچنان آسیبپذیر است.
پژوهشگران اعلام کردند که این باگ نسخههای ویندوز و لینوکس LibreOffice را تحت تاثیر قرار میدهد. پس از بهرهبرداری موفق از آسیبپذیری، هیچ پیام هشداری نمایش داده نمیشود و پس از باز کردن یک فایل ODT مخرب و حرکت دادن نشانهگر، کد دلخواه اجرا میشود. آسیبپذیری با شناسه CVE-۲۰۱۸-۱۶۸۵۸ ردیابی میشود.
در نسخههای اصلاح شده LibreOffice، ماکروها تنها توسط اسکریپتهای از پیش نصب شده در پوشههای /share/Scripts/python و /user/Scripts/python قابل اجرا هستند.
منبع:
https://www.bleepingcomputer.com/news/security/openoffice-vulnerable-to-remote-code-execution-libreoffice-patched/
🦁«کتاس»
http://t.me/ict_security
BleepingComputer
OpenOffice Vulnerable to Remote Code Execution, LibreOffice Patched
The latest version of OpenOffice is exposed to a remote code execution vulnerability that can be triggered using automated macro execution when users move the mouse over a maliciously crafted ODT document. The issue was patched in LibreOffice 6.0.7/6.1.3.
Triout: جاسوسافزار جدید اندروید
یک بدافزار اندرویدی با قابلیتهای جاسوسی شناسایی و به عنوان یک برنامه حفظ حریم شخصی آنلاین معروف ارائه شده است تا کاربران را برای دانلود آن ترغیب کند.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ZDNet، این بدافزار که Triout نام گرفته است، ابتدا در ماه اوت سال گذشته کشف شد. بدافزار Triout حجم زیادی از اطلاعات قربانیان را با ضبط تماستلفنی، نظارت بر ارتباطات متنی، سرقت و گرفتن عکس و حتی جمع آوری اطلاعات GPS از دستگاه، جمعآوری میکند که امکان ردیابی مکان کاربر را فراهم میکند.
در حال حاضر Triout در نسخهای جعلی از Psiphon، یک ابزار حریم خصوصی که برای دورزدن فیلترینگ طراحی و پنهان شده است. برنامه Psiphon میلیونها بار دانلود شده و نسخه موجود در فروشگاهGoogle Play روی بیش از ۱۰ میلیون دستگاه نصب شده است. این ابزار همچنین میتواند از سایتهای ثالث، به ویژه در مکانهایی که دسترسی به Google Play ندارند، نیز دانلود شود. محبوبیت Psiphon باعث شده است که به هدفی جذاب برای عملیات هک Triout تبدیل شود.
عواملTriout ، نسخه جعلی Psiphon را از نظر ظاهر و عمکلرد دقیقا مانند نسخه واقعی طراحی کردهاند، تا بتوانند بدون سوءظن قربانیان عملیات خود را انجام دهند. هنوز مشخص نیست که مهاجمان چگونه از دانلود بدافزار توسط قربانیان انتخاب شده خود اطمینان حاصل میکنند، اما احتمالا توزیع بدافزار از طریق ایمیلهای فیشینگ بوده است. پژوهشگران بیان کردند که سرور فرمان و کنترل که مهاجمان از آن برای استخراج داده از دستگاههای آسیبپذیر استفاده میکنند، به یک آدرس IP در فرانسه تغییر کرده است.
Triout ابزار هک بسیار قدرتمندی است که حجم زیادی از اطلاعات را در اختیار مهاجمان قرار میدهد. این بدافزار یک ابزار مخرب قوی است که به طور خاص برای جاسوسی توسعهیافته است. پژوهشگران معتقدند که این بدافزار هنوز فعال است و به کاربران توصیه میکنند که همه اقدامات لازم برای مقابله با این تهدید از جمله بهروزرسانی مرتب سیستمعامل اندروید خود، استفاده از نرمافزارهای امنیتی موبایل و نصب برنامهها از منابع رسمی و مطمئن را انجام دهند.
منبع :
https://www.zdnet.com/article/now-this-android-spyware-poses-as-a-privacy-tool-to-trick-you-into-downloading/
🦁«کتاس»
http://t.me/ict_security
یک بدافزار اندرویدی با قابلیتهای جاسوسی شناسایی و به عنوان یک برنامه حفظ حریم شخصی آنلاین معروف ارائه شده است تا کاربران را برای دانلود آن ترغیب کند.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ZDNet، این بدافزار که Triout نام گرفته است، ابتدا در ماه اوت سال گذشته کشف شد. بدافزار Triout حجم زیادی از اطلاعات قربانیان را با ضبط تماستلفنی، نظارت بر ارتباطات متنی، سرقت و گرفتن عکس و حتی جمع آوری اطلاعات GPS از دستگاه، جمعآوری میکند که امکان ردیابی مکان کاربر را فراهم میکند.
در حال حاضر Triout در نسخهای جعلی از Psiphon، یک ابزار حریم خصوصی که برای دورزدن فیلترینگ طراحی و پنهان شده است. برنامه Psiphon میلیونها بار دانلود شده و نسخه موجود در فروشگاهGoogle Play روی بیش از ۱۰ میلیون دستگاه نصب شده است. این ابزار همچنین میتواند از سایتهای ثالث، به ویژه در مکانهایی که دسترسی به Google Play ندارند، نیز دانلود شود. محبوبیت Psiphon باعث شده است که به هدفی جذاب برای عملیات هک Triout تبدیل شود.
عواملTriout ، نسخه جعلی Psiphon را از نظر ظاهر و عمکلرد دقیقا مانند نسخه واقعی طراحی کردهاند، تا بتوانند بدون سوءظن قربانیان عملیات خود را انجام دهند. هنوز مشخص نیست که مهاجمان چگونه از دانلود بدافزار توسط قربانیان انتخاب شده خود اطمینان حاصل میکنند، اما احتمالا توزیع بدافزار از طریق ایمیلهای فیشینگ بوده است. پژوهشگران بیان کردند که سرور فرمان و کنترل که مهاجمان از آن برای استخراج داده از دستگاههای آسیبپذیر استفاده میکنند، به یک آدرس IP در فرانسه تغییر کرده است.
Triout ابزار هک بسیار قدرتمندی است که حجم زیادی از اطلاعات را در اختیار مهاجمان قرار میدهد. این بدافزار یک ابزار مخرب قوی است که به طور خاص برای جاسوسی توسعهیافته است. پژوهشگران معتقدند که این بدافزار هنوز فعال است و به کاربران توصیه میکنند که همه اقدامات لازم برای مقابله با این تهدید از جمله بهروزرسانی مرتب سیستمعامل اندروید خود، استفاده از نرمافزارهای امنیتی موبایل و نصب برنامهها از منابع رسمی و مطمئن را انجام دهند.
منبع :
https://www.zdnet.com/article/now-this-android-spyware-poses-as-a-privacy-tool-to-trick-you-into-downloading/
🦁«کتاس»
http://t.me/ict_security
ZDNET
Now this Android spyware poses as a privacy tool to trick you into downloading
Triout malware is designed for espionage and can spy on almost every aspect of compromised devices - and now it's back with new tactics.
بدافزار استخراجگر جدید رمزارز در سیستمهای لینوکسی
به گزارش کتاس به نقل از افتا، گونهی جدیدی از بدافزار استخراج ارز دیجیتال کشف شده است که پلتفرم لینوکس را هدف قرارداده و استخراجگر ارز دیجیتال Cryptonate XMR-Stak را روی آن نصب میکند. این بدافزار به جستجو و از بین بردن سایر بدافزارهای لینوکس و استخراجکنندههای موجود در دستگاه آسیبدیده نیز میپردازد.
این اسکریپت مخرب استخراج ارز دیجیتال در یکی ازhoneypot های Trend Micro شناسایی شده است و بر اساس بررسیها، برخی قسمتهای کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراجگر ارز دیجیتال KORKERDS است. این نسخه از Korkerds، از روتکیتها برای پنهانکردن خود استفاده نمیکند، بلکه استخراجگر Stratum XMR-Stak را دانلود میکند که از CPU یا GPU سیستم برای یافتن ارزهایCryptonight استفاده میکند.
اسکریپت اولیه یک فایل crontab را به عنوان بخشی از مرحله اول نفوذ دانلود میکند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهد شد:
• تابع B، تمام بدافزارها و استخراجگرهای ارزدیجیتال و تمام خدمات مرتبط با بدافزارها را از بین میبرد. این تابع همچنین دایرکتوریها و فایلهای جدیدی ساخته و فرآیندهای مرتبط با آدرسهای IP شناسایی شده را متوقف میکند.
• تابع D کد باینری استخراجگر ارز دیجیتال را دانلود کرده و آن را اجرا میکند.
• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره میکند سپسcrontab جدیدی ایجاد میکند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.
در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل، و همچنین با استفاده از فایلهایcrontab جاسازی شده، از حذف شدن خود پس از راه اندازی مجدد و یا حذف فایلها جلوگیری میکند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویسهای وب پورت TCP ۸۱۶۱ آغاز میشود.
تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد میکند که کل کد و استخراجگر را در بر دارد، در حالی که KORKERDS، crontab را به طور مستقیم ذخیره میکند.
نشانههای آلودگی (IoC):
هش:
• ۲f۷ff۵۴b۶۳۱dd۰af۳a۳d۴۴f۹f۹۱۶dbde۵b۳۰cdbd۲ad۲a۵a۰۴۹bc۸f۲d۳۸ae۲ab۶
• d۹۳۹۰bbbc۶e۳۹۹a۳۸۸ac۶ed۶۰۱db۴۴۰۶eeb۷۰۸f۳۸۹۳a۴۰f۸۸۳۴۶ee۰۰۲۳۹۸۹۵۵c
منبع :
https://www.bleepingcomputer.com/news/security/coinminer-targets-linux-kills-competition-to-maximize-profits/
🦁«کتاس»
http://t.me/ict_security
به گزارش کتاس به نقل از افتا، گونهی جدیدی از بدافزار استخراج ارز دیجیتال کشف شده است که پلتفرم لینوکس را هدف قرارداده و استخراجگر ارز دیجیتال Cryptonate XMR-Stak را روی آن نصب میکند. این بدافزار به جستجو و از بین بردن سایر بدافزارهای لینوکس و استخراجکنندههای موجود در دستگاه آسیبدیده نیز میپردازد.
این اسکریپت مخرب استخراج ارز دیجیتال در یکی ازhoneypot های Trend Micro شناسایی شده است و بر اساس بررسیها، برخی قسمتهای کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراجگر ارز دیجیتال KORKERDS است. این نسخه از Korkerds، از روتکیتها برای پنهانکردن خود استفاده نمیکند، بلکه استخراجگر Stratum XMR-Stak را دانلود میکند که از CPU یا GPU سیستم برای یافتن ارزهایCryptonight استفاده میکند.
اسکریپت اولیه یک فایل crontab را به عنوان بخشی از مرحله اول نفوذ دانلود میکند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهد شد:
• تابع B، تمام بدافزارها و استخراجگرهای ارزدیجیتال و تمام خدمات مرتبط با بدافزارها را از بین میبرد. این تابع همچنین دایرکتوریها و فایلهای جدیدی ساخته و فرآیندهای مرتبط با آدرسهای IP شناسایی شده را متوقف میکند.
• تابع D کد باینری استخراجگر ارز دیجیتال را دانلود کرده و آن را اجرا میکند.
• تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره میکند سپسcrontab جدیدی ایجاد میکند تا این اسکریپت را در ساعت ۱ صبح فراخوانی کند.
در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل، و همچنین با استفاده از فایلهایcrontab جاسازی شده، از حذف شدن خود پس از راه اندازی مجدد و یا حذف فایلها جلوگیری میکند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویسهای وب پورت TCP ۸۱۶۱ آغاز میشود.
تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد میکند که کل کد و استخراجگر را در بر دارد، در حالی که KORKERDS، crontab را به طور مستقیم ذخیره میکند.
نشانههای آلودگی (IoC):
هش:
• ۲f۷ff۵۴b۶۳۱dd۰af۳a۳d۴۴f۹f۹۱۶dbde۵b۳۰cdbd۲ad۲a۵a۰۴۹bc۸f۲d۳۸ae۲ab۶
• d۹۳۹۰bbbc۶e۳۹۹a۳۸۸ac۶ed۶۰۱db۴۴۰۶eeb۷۰۸f۳۸۹۳a۴۰f۸۸۳۴۶ee۰۰۲۳۹۸۹۵۵c
منبع :
https://www.bleepingcomputer.com/news/security/coinminer-targets-linux-kills-competition-to-maximize-profits/
🦁«کتاس»
http://t.me/ict_security
BleepingComputer
Coinminer Targets Linux, Kills Competition to Maximize Profits
A new coinminer malware strain which targets the Linux platform and installs the XMR-Stak Cryptonight cryptocurrency miner has been observed while searching for and killing other Linux malware and coin miners present on the compromised machine.
ترفند جدید گروههای هکری
استفاده از مترجم گوگل برای مخفی کردن سایتهای فیشینگ
طبق بررسی پژوهشگران حوزه امنیت، گروههای هکری به تازگی به استفاده از صفحه مترجم گوگل برای مخفی کردن دامنه واقعی سایتهای فیشینگ خود اقدام میکنند. روند اجرای این فریب ساده بوده و به این صورت است که ایمیلهایی به قربانی ارسال میشود که به جای هدایت مستقیم قربانی به دامنه صفحههای فیشینگ، او را به یک صفحه URL فیشینگ داخل صفحه مترجم گوگل هدایت میکنند.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ZDNet، در واقع به محض اینکه قربانی در داخل ایمیل فیشینگ دریافتی، کلیدی را فشار دهد یا از لینکی بازدید کند، به پورتال مترجم گوگل هدایت میشود که در واقع یک صفحه فیشینگ با نوار ابزار مترجم گوگل بر بالای آن است.
این فریب بر روی کاربرانی که از desktop استفاده میکنند، زیاد کارآمد نیست زیرا نشانههای زیادی وجود دارد که به کاربر هشدار فریب را میدهد. از جمله این نشانهها، غیرفعال شدن موس بر روی لینکهای داخل ایمیل برای دیدن صفحه مترجم گوگل یا برای دیدن نوار ابزار مترجم گوگل در بالای صفحه ورود تقلبی است.
با این حال این فریب بر روی کاربران موبایل کارآمد است زیرا صفحه نمایش فشردهی ایمیل و وب بر روی موبایل باعث میشود نوارابزار مترجم گوگل بسیار واقعی به نظر برسد.
یکی از این کمپینهای هکری که از صفحه مترجم گوگل برای مخفی کردن صفحه فیشینگ خود استفاده میکرد، در ماه گذشته توسط پژوهشگر امنیتی Akamai، کشف شد. این کمپین هکری خاص، بعد از تلاش برای جمعآوری اطلاعات کاربری ورود به حساب گوگل، بلافاصله کاربر را به صفحه فیسبوک، برای جمعآوری اطلاعات کاربری فیسبوک هدایت میکرد. که این در واقع یک اشتباه حریصانه این کمپین محسوب میشد چرا که به احتمال زیاد کاربر متوجه فریب شده و ممکن بود رمز عبور خود را تغییر دهد. گوگل اعلام کرده است که URL مربوط به این کمپین هکری را مسدود کرده است و در صورتی که کاربران با چنین سایتهای فیشینگی، به طور مشابه مواجه شدند از طریق آدرس: /google.com/safebrowsing/report_phish به گوگل اعلام کنند.
منبع:
https://www.zdnet.com/article/hacker-group-uses-google-translate-to-hide-phishing-sites/
🦁«کتاس»
http://t.me/ict_security
استفاده از مترجم گوگل برای مخفی کردن سایتهای فیشینگ
طبق بررسی پژوهشگران حوزه امنیت، گروههای هکری به تازگی به استفاده از صفحه مترجم گوگل برای مخفی کردن دامنه واقعی سایتهای فیشینگ خود اقدام میکنند. روند اجرای این فریب ساده بوده و به این صورت است که ایمیلهایی به قربانی ارسال میشود که به جای هدایت مستقیم قربانی به دامنه صفحههای فیشینگ، او را به یک صفحه URL فیشینگ داخل صفحه مترجم گوگل هدایت میکنند.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ZDNet، در واقع به محض اینکه قربانی در داخل ایمیل فیشینگ دریافتی، کلیدی را فشار دهد یا از لینکی بازدید کند، به پورتال مترجم گوگل هدایت میشود که در واقع یک صفحه فیشینگ با نوار ابزار مترجم گوگل بر بالای آن است.
این فریب بر روی کاربرانی که از desktop استفاده میکنند، زیاد کارآمد نیست زیرا نشانههای زیادی وجود دارد که به کاربر هشدار فریب را میدهد. از جمله این نشانهها، غیرفعال شدن موس بر روی لینکهای داخل ایمیل برای دیدن صفحه مترجم گوگل یا برای دیدن نوار ابزار مترجم گوگل در بالای صفحه ورود تقلبی است.
با این حال این فریب بر روی کاربران موبایل کارآمد است زیرا صفحه نمایش فشردهی ایمیل و وب بر روی موبایل باعث میشود نوارابزار مترجم گوگل بسیار واقعی به نظر برسد.
یکی از این کمپینهای هکری که از صفحه مترجم گوگل برای مخفی کردن صفحه فیشینگ خود استفاده میکرد، در ماه گذشته توسط پژوهشگر امنیتی Akamai، کشف شد. این کمپین هکری خاص، بعد از تلاش برای جمعآوری اطلاعات کاربری ورود به حساب گوگل، بلافاصله کاربر را به صفحه فیسبوک، برای جمعآوری اطلاعات کاربری فیسبوک هدایت میکرد. که این در واقع یک اشتباه حریصانه این کمپین محسوب میشد چرا که به احتمال زیاد کاربر متوجه فریب شده و ممکن بود رمز عبور خود را تغییر دهد. گوگل اعلام کرده است که URL مربوط به این کمپین هکری را مسدود کرده است و در صورتی که کاربران با چنین سایتهای فیشینگی، به طور مشابه مواجه شدند از طریق آدرس: /google.com/safebrowsing/report_phish به گوگل اعلام کنند.
منبع:
https://www.zdnet.com/article/hacker-group-uses-google-translate-to-hide-phishing-sites/
🦁«کتاس»
http://t.me/ict_security
ZDNet
Hacker group uses Google Translate to hide phishing sites
New phishing technique looks silly on desktops but may have a fighting chance on mobile devices.
آسیبپذیری بحرانی محصول Small Business Switch سیسکو
یک آسیبپذیری بحرانی و اصلاحنشده در نرمافزار Cisco Small Business Switch کشف شده است که به مهاجم احرازهویت نشده و با دسترسی راه دور اجازه میدهد تا کنترل سطح مدیریتی کامل دستگاه و شبکه را بدست آورد.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ThreatPost، محصول Cisco Small Business Switches برای محیطهای کسبوکارهای کوچک و مصارف خانگی توسعه داده شده و برای مدیریت و کنترل شبکههای محلی کوچک ارائه شده است.
آسیبپذیری کشف شده دارای شناسه CVE-۲۰۱۸-۱۵۴۳۹ است و درجه حساسیت بحرانی با نمره CVSS ۹,۸ به آن اختصاص داده شده است. آسیبپذیری در پیکربندی پیشفرض دستگاه وجود دارد. در پیکربندی پیشفرض، یک حساب کاربری وجود دارد که برای ورود اولیه از آن استفاده میشود و امکان حذف آن از سیستم وجود ندارد. مدیر سیستم میتواند این حساب کاربری را با ایجاد حسابهای دیگر با سطح دسترسی ۱۵ غیرفعال کند. با این حال، در صورت حذف حسابهای دارای سطح دسترسی ۱۵، حساب پیشفرض بدون مطلع کردن مدیران سیستم، دوباره فعال میشود.
مهاجم میتواند با سوء استفاده از این حساب کاربری پیشفرض، بصورت دسترسی راه دور به دستگاه متصل شود و دستورهایی با سطح دسترسی مدیریت اجرا کند. از آنجا که این نرمافزار برای مدیریت یک شبکه LAN استفاده میشود، نفوذ موفق به آن منجر به دسترسی مهاجم به قابلیتهای امنیتی شبکه مانند دیوار آتش و رابط مدیریت ارتباطات بیسیم و داده دستگاههای شبکه میشود.
سیسکو در حال حاضر وصله یا بروزرسانی برای این نقص ارائه نکرده است. با این حال، میتوان با ایجاد حداقل یک حساب کاربری با سطح دسترسی ۱۵ در پیکربندی دستگاه، اثرات این آسیبپذیری را کاهش داد.
آسیبپذیری محصولات زیر را تحت تاثیر قرار میدهد:
• Cisco Small Business ۲۰۰ Series Smart Switches
• Cisco Small Business ۳۰۰ Series Managed Switches
• Cisco Small Business ۵۰۰ Series Stackable Managed Switches
• Cisco ۲۵۰ Series Smart Switches
• Cisco ۳۵۰ Series Managed Switches
• Cisco ۳۵۰X Series Stackable Managed Switches
• Cisco ۵۵۰X Series Stackable Managed Switches
منابع:
https://threatpost.com/critical-unpatched-cisco-flaw/۱۴۱۰۱۰/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۱۱۰۷-sbsw-privacc
🦁«کتاس»
http://t.me/ict_security
یک آسیبپذیری بحرانی و اصلاحنشده در نرمافزار Cisco Small Business Switch کشف شده است که به مهاجم احرازهویت نشده و با دسترسی راه دور اجازه میدهد تا کنترل سطح مدیریتی کامل دستگاه و شبکه را بدست آورد.
به گزارش کتاس به نقل از افتا، براساس اظهارات وبسایت ThreatPost، محصول Cisco Small Business Switches برای محیطهای کسبوکارهای کوچک و مصارف خانگی توسعه داده شده و برای مدیریت و کنترل شبکههای محلی کوچک ارائه شده است.
آسیبپذیری کشف شده دارای شناسه CVE-۲۰۱۸-۱۵۴۳۹ است و درجه حساسیت بحرانی با نمره CVSS ۹,۸ به آن اختصاص داده شده است. آسیبپذیری در پیکربندی پیشفرض دستگاه وجود دارد. در پیکربندی پیشفرض، یک حساب کاربری وجود دارد که برای ورود اولیه از آن استفاده میشود و امکان حذف آن از سیستم وجود ندارد. مدیر سیستم میتواند این حساب کاربری را با ایجاد حسابهای دیگر با سطح دسترسی ۱۵ غیرفعال کند. با این حال، در صورت حذف حسابهای دارای سطح دسترسی ۱۵، حساب پیشفرض بدون مطلع کردن مدیران سیستم، دوباره فعال میشود.
مهاجم میتواند با سوء استفاده از این حساب کاربری پیشفرض، بصورت دسترسی راه دور به دستگاه متصل شود و دستورهایی با سطح دسترسی مدیریت اجرا کند. از آنجا که این نرمافزار برای مدیریت یک شبکه LAN استفاده میشود، نفوذ موفق به آن منجر به دسترسی مهاجم به قابلیتهای امنیتی شبکه مانند دیوار آتش و رابط مدیریت ارتباطات بیسیم و داده دستگاههای شبکه میشود.
سیسکو در حال حاضر وصله یا بروزرسانی برای این نقص ارائه نکرده است. با این حال، میتوان با ایجاد حداقل یک حساب کاربری با سطح دسترسی ۱۵ در پیکربندی دستگاه، اثرات این آسیبپذیری را کاهش داد.
آسیبپذیری محصولات زیر را تحت تاثیر قرار میدهد:
• Cisco Small Business ۲۰۰ Series Smart Switches
• Cisco Small Business ۳۰۰ Series Managed Switches
• Cisco Small Business ۵۰۰ Series Stackable Managed Switches
• Cisco ۲۵۰ Series Smart Switches
• Cisco ۳۵۰ Series Managed Switches
• Cisco ۳۵۰X Series Stackable Managed Switches
• Cisco ۵۵۰X Series Stackable Managed Switches
منابع:
https://threatpost.com/critical-unpatched-cisco-flaw/۱۴۱۰۱۰/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۱۱۰۷-sbsw-privacc
🦁«کتاس»
http://t.me/ict_security
Cisco
Cisco Security Threat and Vulnerability Intelligence
The Cisco Security portal provides actionable intelligence for security threats and vulnerabilities in Cisco products and services and third-party products.
⭕️ هشداردرخصوص آسیب پذیری امنیتی ویندوز
🔶مطابق بررسی های بعمل آمده # آسیبپذیری هایی در نسخههای پشتیبانشدهی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راهدور میتواند از این آسیبپذیریها سوءاستفاده کند تا کنترل سیستم هدف را بهدست گیرد. # مایکروسافت اطلاعات مربوط به این آسیبپذیریها با شناسهی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
🔶آسیبپذیری CVE-2018-8611، یک آسیبپذیری ارتقا سطح دسترسی هسته ویندوز است. این آسیبپذیری زمانی وجود دارد که هستهی ویندوز نتواند بهدرستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیبپذیری با موفقیت سوءاستفاده کند، میتواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم میتواند برنامه نصب کند، دادهها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حسابهای جدید با دسترسی کامل ایجاد کند. یک حملهی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامهی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم میآورد، اجرا نماید. به گفتهی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
🔶آسیبپذیری CVE-2018-8626 یک آسیبپذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راهدور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواستها را به درستی مدیریت کنند، وجود دارد. مهاجمی که بتواند از این آسیبپذیری با موفقیت سوءاستفاده کند، میتواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شدهاند، در معرض خطر این آسیبپذیری قرار دارند. این حمله بستگی به درخواستهای مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شدهاند.
🔶هر دو آسیبپذیری فوق در چرخهی بهروزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شدهاند و وصلههای آنها از Windows Update تمامی نسخههای پشتیبانشده وبندوز قابل دانلود است.
منبع:ماهر
🦁«کتاس»
http://t.me/ict_security
🔶مطابق بررسی های بعمل آمده # آسیبپذیری هایی در نسخههای پشتیبانشدهی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راهدور میتواند از این آسیبپذیریها سوءاستفاده کند تا کنترل سیستم هدف را بهدست گیرد. # مایکروسافت اطلاعات مربوط به این آسیبپذیریها با شناسهی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
🔶آسیبپذیری CVE-2018-8611، یک آسیبپذیری ارتقا سطح دسترسی هسته ویندوز است. این آسیبپذیری زمانی وجود دارد که هستهی ویندوز نتواند بهدرستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیبپذیری با موفقیت سوءاستفاده کند، میتواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم میتواند برنامه نصب کند، دادهها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حسابهای جدید با دسترسی کامل ایجاد کند. یک حملهی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامهی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم میآورد، اجرا نماید. به گفتهی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
🔶آسیبپذیری CVE-2018-8626 یک آسیبپذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راهدور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواستها را به درستی مدیریت کنند، وجود دارد. مهاجمی که بتواند از این آسیبپذیری با موفقیت سوءاستفاده کند، میتواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شدهاند، در معرض خطر این آسیبپذیری قرار دارند. این حمله بستگی به درخواستهای مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شدهاند.
🔶هر دو آسیبپذیری فوق در چرخهی بهروزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شدهاند و وصلههای آنها از Windows Update تمامی نسخههای پشتیبانشده وبندوز قابل دانلود است.
منبع:ماهر
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
آسیبپذیریهای جدید در مسیریابهای سیسکو
دو آسیبپذیری با درجه اهمیت بالا در مسیریابهای سیسکو در مدلهای RV320 و RV325 شناسایی شدهاند که یکی از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
🦁«کتاس»
http://t.me/ict_security
دو آسیبپذیری با درجه اهمیت بالا در مسیریابهای سیسکو در مدلهای RV320 و RV325 شناسایی شدهاند که یکی از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
🦁«کتاس»
http://t.me/ict_security
Cisco
Cisco Security Threat and Vulnerability Intelligence
The Cisco Security portal provides actionable intelligence for security threats and vulnerabilities in Cisco products and services and third-party products.
گوشیهای دارای سیستمعامل اندروید میتوانند تنها با نگاه کردن به یک عکس دارای پسوند PNG موردحمله واقع شوند.
بله، فقط با مشاهده یک تصویر بهظاهر بیخطر میتواند گوشی هوشمند اندروید شما هک شود، به لطف سه آسیبپذیری جدیداً کشفشده که میلیونها دستگاه در حال اجرای نسخههای اخیر سیستمعامل تلفن همراه گوگل، از اندروید نسخه ۷٫۰ مدل Nougat تا اندروید نسخه ۹٫۰ مدل Pie را تحت تأثیر قرار میدهد.
این آسیبپذیریها که به نامهای CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 شناساییشدهاند، توسط گوگل بهعنوان بخشی از بهروزرسانی امنیتی اندروید در فوریه ۲۰۱۹ وصله شدند[۱].
بااینحال، ازآنجاییکه هر سازنده گوشی هرماه از وصلههای امنیتی استفاده نمیکند، تعیین اینکه آیا دستگاه شما این وصلههای امنیتی را دریافت کرده است یا نه، دشوار است.
گرچه مهندسان گوگل هنوز هیچ جزئیات فنی را برای توضیح این آسیبپذیریها منتشر نکردهاند، این بهروزرسانیها اشاره به اصلاح “نقص سرریز بافر”، “خطاهای SkPngCodec” و اشکالات در برخی از اجزاء(۱) دارند که تصاویر PNG را render میکنند.
بر اساس این گزارش، یکی از این سه آسیبپذیری که گوگل آن را شدیدتر میداند، میتواند به یک فایل تصویری با پسوند PNG اجازه دهد تا یک کد دلخواه را بر روی دستگاههای اندروید آسیبپذیر اجرا کند.
همانطور که گوگل میگوید، “شدیدترین موارد این نقصها، یک آسیبپذیری امنیتی بحرانی در framework است که میتواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک فایل PNG دستکاریشده یک کد دلخواه را در یک زمینه فرایند دارای امتیاز بالا(۲) اجرا کند”.
یک مهاجم از راه دور میتواند از این آسیبپذیری، فقط با فریب دادن کاربران بهمنظور باز کردن یک فایل تصویر PNG مخرب دستکاریشده (که غیرممکن است با چشم غیرمسلح تشخیص داده شود) در دستگاههای اندروید آنها که از طریق سرویس پیام تلفن همراه و یا یک برنامههای پست الکترونیک ارسال شده است؛ بهرهبرداری کند.
بهجز این سه نقص، گوگل درمجموع ۴۲ آسیبپذیری امنیتی را در سیستمعاملهای تلفن همراه خود برطرف کرده است، که ۱۱ مورد آنها دارای ردهبندی بحرانی، و ۳۰ مورد با ردهبندی بالا و ۱ مورد دارای شدت متوسط بودند.
این غول فناوری تأکید کرد که هیچ گزارشی از بهرهبرداری فعال یا سوءاستفاده از هر یک از این آسیبپذیریها در سطح اینترنت که در بولتن امنیتی فوریه ۲۰۱۹ منتشرشدهاند، گزارش نشده است.
گوگل اعلام کرده است که یک ماه پیش از انتشار این آسیبپذیریها، شرکای اندروید خود را از همه این آسیبپذیریها مطلع کرده است و افزود: “منبع کد وصلهها برای این آسیبپذیریها در ۴۸ ساعت آینده (از ۶ فوریه ۲۰۱۹) در منبع ذخیرهسازی AOSP(3) منتشر خواهد شد.”
منابع
[۱] https://thehackernews.com/2019/02/hack-android-with-image.html
[۲] https://source.android.com/security/bulletin/2019-02-01.html
🦁«کتاس»
http://t.me/ict_security
بله، فقط با مشاهده یک تصویر بهظاهر بیخطر میتواند گوشی هوشمند اندروید شما هک شود، به لطف سه آسیبپذیری جدیداً کشفشده که میلیونها دستگاه در حال اجرای نسخههای اخیر سیستمعامل تلفن همراه گوگل، از اندروید نسخه ۷٫۰ مدل Nougat تا اندروید نسخه ۹٫۰ مدل Pie را تحت تأثیر قرار میدهد.
این آسیبپذیریها که به نامهای CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 شناساییشدهاند، توسط گوگل بهعنوان بخشی از بهروزرسانی امنیتی اندروید در فوریه ۲۰۱۹ وصله شدند[۱].
بااینحال، ازآنجاییکه هر سازنده گوشی هرماه از وصلههای امنیتی استفاده نمیکند، تعیین اینکه آیا دستگاه شما این وصلههای امنیتی را دریافت کرده است یا نه، دشوار است.
گرچه مهندسان گوگل هنوز هیچ جزئیات فنی را برای توضیح این آسیبپذیریها منتشر نکردهاند، این بهروزرسانیها اشاره به اصلاح “نقص سرریز بافر”، “خطاهای SkPngCodec” و اشکالات در برخی از اجزاء(۱) دارند که تصاویر PNG را render میکنند.
بر اساس این گزارش، یکی از این سه آسیبپذیری که گوگل آن را شدیدتر میداند، میتواند به یک فایل تصویری با پسوند PNG اجازه دهد تا یک کد دلخواه را بر روی دستگاههای اندروید آسیبپذیر اجرا کند.
همانطور که گوگل میگوید، “شدیدترین موارد این نقصها، یک آسیبپذیری امنیتی بحرانی در framework است که میتواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک فایل PNG دستکاریشده یک کد دلخواه را در یک زمینه فرایند دارای امتیاز بالا(۲) اجرا کند”.
یک مهاجم از راه دور میتواند از این آسیبپذیری، فقط با فریب دادن کاربران بهمنظور باز کردن یک فایل تصویر PNG مخرب دستکاریشده (که غیرممکن است با چشم غیرمسلح تشخیص داده شود) در دستگاههای اندروید آنها که از طریق سرویس پیام تلفن همراه و یا یک برنامههای پست الکترونیک ارسال شده است؛ بهرهبرداری کند.
بهجز این سه نقص، گوگل درمجموع ۴۲ آسیبپذیری امنیتی را در سیستمعاملهای تلفن همراه خود برطرف کرده است، که ۱۱ مورد آنها دارای ردهبندی بحرانی، و ۳۰ مورد با ردهبندی بالا و ۱ مورد دارای شدت متوسط بودند.
این غول فناوری تأکید کرد که هیچ گزارشی از بهرهبرداری فعال یا سوءاستفاده از هر یک از این آسیبپذیریها در سطح اینترنت که در بولتن امنیتی فوریه ۲۰۱۹ منتشرشدهاند، گزارش نشده است.
گوگل اعلام کرده است که یک ماه پیش از انتشار این آسیبپذیریها، شرکای اندروید خود را از همه این آسیبپذیریها مطلع کرده است و افزود: “منبع کد وصلهها برای این آسیبپذیریها در ۴۸ ساعت آینده (از ۶ فوریه ۲۰۱۹) در منبع ذخیرهسازی AOSP(3) منتشر خواهد شد.”
منابع
[۱] https://thehackernews.com/2019/02/hack-android-with-image.html
[۲] https://source.android.com/security/bulletin/2019-02-01.html
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (Pedram Kiani)
دفاع در عمق چیست؟
#دفاع_درعمق
سیستم های کنترل صنعتی (ICS ها) بخشی جدایی ناپذیر از زیرساخت های حیاتی هستند که به تسهیل عملیات در صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولید و تولید مواد شیمیایی کمک می کند. مسئله فزاینده امنیت سایبری و تاثیر آن بر ICS خطرات اساسی را برای زیرساخت های حیاتی کشور نشان می دهد. مسائل مربوط به امنیت سایبری ICS به طور موثر نیاز به درک دقیق از چالش های امنیتی فعلی و اقدامات ضد دفاعی خاص دارد. یک رویکرد جامع - یک روش که با استفاده از اقدامات خاصی که در لایه ها ایجاد شده است برای ایجاد یک وضعیت امنیتی مبتنی بر ریسک تجمیع شده - کمک می کند تا از تهدیدات امنیتی و آسیب پذیری هایی که می تواند بر این سیستم ها تاثیر بگذارد جلوگیری کند. این رویکرد، که اغلب به عنوان دفاع در عمق خوانده می شود، یک چارچوب انعطاف پذیر و قابل استفاده برای بهبود حفاظت از امنیت سایبری در هنگام استفاده از سیستم های کنترل فراهم می کند.
این سند تمرین توصیه شده، راهنمایی برای ایجاد استراتژی های کاهش تهدیدات خاص سایبری و راهنمایی در مورد چگونگی ایجاد یک برنامه امنیتی در عمق برای محیط سیستم های کنترل است. این سند این اطلاعات را در چهار قسمت ارائه می دهد:
1) «سابقه و مرور» وضعیت کنونی امنیت سایبری ICS را شرح می دهد و یک مرور کلی از آنچه که عمیقا دقت در درون یک سیستم کنترل است، ارائه می دهد؛
2) "استراتژی دفاع در عمق ICS" استراتژی هایی برای تأمین محیط سیستم های کنترل فراهم می کند؛
3) "حملات امنیتی" مشخص می کند که چگونه بازیگران تهدید می توانند حملات علیه زیرساخت های حیاتی و تاثیر بالقوه را برای ICS ها و شبکه ها انجام دهند؛
4) "توصیه هایی برای حفاظت از ICS" منابع را برای تأمین ICS بر اساس روش های فعلی پیشرفته و درس های آموخته شده از فعالیت های@ICS_CERT ، استانداردهای ملی و خاص برای امنیت ICS و ابزار و خدمات در دسترس فراهم می کند.
توضیحات جامع در خصوص هریک از روشهای فوق به مرور در کانال تخصصی @ICS_CERT برای بهبود وضعیت امنیتی محیط های ICS منتشر میگردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
#دفاع_درعمق
سیستم های کنترل صنعتی (ICS ها) بخشی جدایی ناپذیر از زیرساخت های حیاتی هستند که به تسهیل عملیات در صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولید و تولید مواد شیمیایی کمک می کند. مسئله فزاینده امنیت سایبری و تاثیر آن بر ICS خطرات اساسی را برای زیرساخت های حیاتی کشور نشان می دهد. مسائل مربوط به امنیت سایبری ICS به طور موثر نیاز به درک دقیق از چالش های امنیتی فعلی و اقدامات ضد دفاعی خاص دارد. یک رویکرد جامع - یک روش که با استفاده از اقدامات خاصی که در لایه ها ایجاد شده است برای ایجاد یک وضعیت امنیتی مبتنی بر ریسک تجمیع شده - کمک می کند تا از تهدیدات امنیتی و آسیب پذیری هایی که می تواند بر این سیستم ها تاثیر بگذارد جلوگیری کند. این رویکرد، که اغلب به عنوان دفاع در عمق خوانده می شود، یک چارچوب انعطاف پذیر و قابل استفاده برای بهبود حفاظت از امنیت سایبری در هنگام استفاده از سیستم های کنترل فراهم می کند.
این سند تمرین توصیه شده، راهنمایی برای ایجاد استراتژی های کاهش تهدیدات خاص سایبری و راهنمایی در مورد چگونگی ایجاد یک برنامه امنیتی در عمق برای محیط سیستم های کنترل است. این سند این اطلاعات را در چهار قسمت ارائه می دهد:
1) «سابقه و مرور» وضعیت کنونی امنیت سایبری ICS را شرح می دهد و یک مرور کلی از آنچه که عمیقا دقت در درون یک سیستم کنترل است، ارائه می دهد؛
2) "استراتژی دفاع در عمق ICS" استراتژی هایی برای تأمین محیط سیستم های کنترل فراهم می کند؛
3) "حملات امنیتی" مشخص می کند که چگونه بازیگران تهدید می توانند حملات علیه زیرساخت های حیاتی و تاثیر بالقوه را برای ICS ها و شبکه ها انجام دهند؛
4) "توصیه هایی برای حفاظت از ICS" منابع را برای تأمین ICS بر اساس روش های فعلی پیشرفته و درس های آموخته شده از فعالیت های@ICS_CERT ، استانداردهای ملی و خاص برای امنیت ICS و ابزار و خدمات در دسترس فراهم می کند.
توضیحات جامع در خصوص هریک از روشهای فوق به مرور در کانال تخصصی @ICS_CERT برای بهبود وضعیت امنیتی محیط های ICS منتشر میگردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir