ترفند جدید گروه‌های هکری
استفاده از مترجم گوگل برای مخفی کردن سایت‌های فیشینگ
طبق بررسی پژوهشگران حوزه امنیت، گروه‌های هکری به تازگی به استفاده از صفحه مترجم گوگل برای مخفی کردن دامنه واقعی سایت‌های فیشینگ خود اقدام می‌کنند. روند اجرای این فریب ساده بوده و به این صورت است که ایمیل‌هایی به قربانی ارسال می‌شود که به جای هدایت مستقیم قربانی به دامنه صفحه‌های فیشینگ، او را به یک صفحه URL فیشینگ داخل صفحه مترجم گوگل هدایت می‌کنند.
به گزارش کتاس به نقل از افتا، براساس اظهارات وب‌سایت ZDNet، در واقع به محض اینکه قربانی در داخل ایمیل فیشینگ دریافتی، کلیدی را فشار دهد یا از لینکی بازدید کند، به پورتال مترجم گوگل هدایت می‌شود که در واقع یک صفحه فیشینگ با نوار ابزار مترجم گوگل بر بالای آن است.

این فریب بر روی کاربرانی که از desktop استفاده می‌کنند، زیاد کارآمد نیست زیرا نشانه‌های زیادی وجود دارد که به کاربر هشدار فریب را می‌دهد. از جمله این نشانه‌ها، غیرفعال شدن موس بر روی لینک‌های داخل ایمیل برای دیدن صفحه مترجم گوگل یا برای دیدن نوار ابزار مترجم گوگل در بالای صفحه ورود تقلبی است.
با این حال این فریب بر روی کاربران موبایل کارآمد است زیرا صفحه نمایش فشرده‌ی ایمیل و وب بر روی موبایل باعث می‌شود نوارابزار مترجم گوگل بسیار واقعی به نظر برسد.
یکی از این کمپین‌های هکری که از صفحه مترجم گوگل برای مخفی کردن صفحه فیشینگ خود استفاده می‌کرد، در ماه گذشته توسط پژوهشگر امنیتی Akamai، کشف شد. این کمپین هکری خاص، بعد از تلاش برای جمع‌آوری اطلاعات کاربری ورود به حساب گوگل، بلافاصله کاربر را به صفحه فیس‌بوک، برای جمع‌آوری اطلاعات کاربری فیس‌بوک هدایت می‌کرد. که این در واقع یک اشتباه حریصانه این کمپین محسوب می‌شد چرا که به احتمال زیاد کاربر متوجه فریب شده و ممکن بود رمز عبور خود را تغییر دهد. گوگل اعلام کرده است که URL مربوط به این کمپین هکری را مسدود کرده است و در صورتی که کاربران با چنین سایت‌های فیشینگی، به طور مشابه مواجه شدند از طریق آدرس: /google.com/safebrowsing/report_phish به گوگل اعلام کنند.

منبع:
https://www.zdnet.com/article/hacker-group-uses-google-translate-to-hide-phishing-sites/
🦁«کتاس»
‏http://t.me/ict_security

آسیب‌پذیری بحرانی محصول Small Business Switch سیسکو
یک آسیب‌پذیری بحرانی و اصلاح‌نشده در نرم‌افزار Cisco Small Business Switch کشف شده است که به مهاجم احرازهویت نشده و با دسترسی راه دور اجازه می‌دهد تا کنترل سطح مدیریتی کامل دستگاه و شبکه را بدست آورد.
به گزارش کتاس به نقل از افتا، براساس اظهارات وب‌سایت ThreatPost، محصول Cisco Small Business Switches برای محیط‌های کسب‌وکارهای کوچک و مصارف خانگی توسعه داده شده و برای مدیریت و کنترل شبکه‌های محلی کوچک ارائه شده است.
آسیب‌پذیری کشف شده دارای شناسه CVE-۲۰۱۸-۱۵۴۳۹ است و درجه حساسیت بحرانی با نمره CVSS ۹,۸ به آن اختصاص داده شده است. آسیب‌پذیری در پیکربندی پیش‌فرض دستگاه وجود دارد. در پیکربندی پیش‌فرض، یک حساب‌ کاربری وجود دارد که برای ورود اولیه از آن استفاده می‌شود و امکان حذف آن از سیستم وجود ندارد. مدیر سیستم می‌تواند این حساب ‌کاربری را با ایجاد حساب‌های دیگر با سطح دسترسی ۱۵ غیرفعال کند. با این حال، در صورت حذف حساب‌های دارای سطح دسترسی ۱۵، حساب پیش‌فرض بدون مطلع کردن مدیران سیستم، دوباره فعال می‌شود.
مهاجم می‌تواند با سوء استفاده از این حساب کاربری پیش‌فرض، بصورت دسترسی راه دور به دستگاه متصل شود و دستورهایی با سطح دسترسی مدیریت اجرا کند. از آنجا که این نرم‌افزار برای مدیریت یک شبکه LAN استفاده می‌شود، نفوذ موفق به آن منجر به دسترسی مهاجم به قابلیت‌های امنیتی شبکه مانند دیوار آتش و رابط مدیریت ارتباطات بی‌سیم و داده دستگاه‌های شبکه می‌شود.
سیسکو در حال حاضر وصله یا بروزرسانی برای این نقص ارائه نکرده است. با این حال، می‌توان با ایجاد حداقل یک حساب کاربری با سطح دسترسی ۱۵ در پیکربندی دستگاه، اثرات این آسیب‌پذیری را کاهش داد.
آسیب‌پذیری محصولات زیر را تحت تاثیر قرار می‌دهد:
• Cisco Small Business ۲۰۰ Series Smart Switches
• Cisco Small Business ۳۰۰ Series Managed Switches
• Cisco Small Business ۵۰۰ Series Stackable Managed Switches
• Cisco ۲۵۰ Series Smart Switches
• Cisco ۳۵۰ Series Managed Switches
• Cisco ۳۵۰X Series Stackable Managed Switches
• Cisco ۵۵۰X Series Stackable Managed Switches

منابع:
https://threatpost.com/critical-unpatched-cisco-flaw/۱۴۱۰۱۰/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۱۱۰۷-sbsw-privacc
🦁«کتاس»
‏http://t.me/ict_security

⭕️ هشداردرخصوص آسیب پذیری امنیتی ویندوز

🔶مطابق بررسی های بعمل آمده # آسیب‌پذیری‌ هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد. # مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
🔶آسیب‌پذیری CVE-2018-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.

🔶آسیب‌پذیری CVE-2018-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.

🔶هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.
منبع:ماهر
🦁«کتاس»
‏http://t.me/ict_security

آسیب‌پذیری‌های جدید در مسیریاب‌های سیسکو

دو آسیب‌پذیری با درجه اهمیت بالا در مسیریاب‌های سیسکو در مدل‌های RV320 و RV325 شناسایی شده‌اند که یکی از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info

🦁«کتاس»
‏http://t.me/ict_security

گوشی‌های دارای سیستم‌عامل اندروید می‌توانند تنها با نگاه کردن به یک عکس دارای پسوند PNG موردحمله واقع شوند.

بله، فقط با مشاهده یک تصویر به‌ظاهر بی‌خطر می‌تواند گوشی هوشمند اندروید شما هک شود، به لطف سه آسیب‌پذیری جدیداً کشف‌شده که میلیون‌ها دستگاه در حال اجرای نسخه‌های اخیر سیستم‌عامل تلفن همراه گوگل، از اندروید نسخه ۷٫۰ مدل Nougat تا اندروید نسخه ۹٫۰ مدل Pie را تحت تأثیر قرار می‌دهد.

این آسیب‌پذیری‌ها که به‌ نام‌های CVE-2019-1986 ،CVE-2019-1987 و CVE-2019-1988 شناسایی‌شده‌اند، توسط گوگل به‌عنوان بخشی از به‌روزرسانی امنیتی اندروید در فوریه ۲۰۱۹ وصله شدند[۱].

بااین‌حال، ازآنجایی‌که هر سازنده گوشی هرماه از وصله‌های امنیتی استفاده نمی‌کند، تعیین اینکه آیا دستگاه شما این وصله‌های امنیتی را دریافت کرده است یا نه، دشوار است.

گرچه مهندسان گوگل هنوز هیچ جزئیات فنی را برای توضیح این آسیب‌پذیری‌ها منتشر نکرده‌اند، این به‌روزرسانی‌ها اشاره به اصلاح “نقص سرریز بافر”، “خطاهای SkPngCodec” و اشکالات در برخی از اجزاء(۱) دارند که تصاویر PNG را render می‌کنند.

بر اساس این گزارش، یکی از این سه آسیب‌پذیری که گوگل آن را شدیدتر می‌داند، می‌تواند به یک فایل تصویری با پسوند PNG اجازه دهد تا یک کد دلخواه را بر روی دستگاه‌های اندروید آسیب‌پذیر اجرا کند.

همان‌طور که گوگل می‌گوید، “شدیدترین موارد این نقص‌ها، یک آسیب‌پذیری امنیتی بحرانی در framework است که می‌تواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک فایل PNG دستکاری‌شده یک کد دلخواه را در یک زمینه فرایند دارای امتیاز بالا(۲) اجرا کند”.

یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری، فقط با فریب دادن کاربران به‌منظور باز کردن یک فایل تصویر PNG مخرب دستکاری‌شده (که غیرممکن است با چشم غیرمسلح تشخیص داده شود) در دستگاه‌های اندروید آن‌ها که از طریق سرویس پیام تلفن همراه و یا یک برنامه‌های پست الکترونیک ارسال شده است؛ بهره‌برداری کند.

به‌جز این سه نقص، گوگل درمجموع ۴۲ آسیب‌پذیری امنیتی را در سیستم‌عامل‌های تلفن همراه خود برطرف کرده است، که ۱۱ مورد آن‌ها دارای رده‌بندی بحرانی، و ۳۰ مورد با رده‌بندی بالا و ۱ مورد دارای شدت متوسط ​​بودند.

این غول فناوری تأکید کرد که هیچ گزارشی از بهره‌برداری فعال یا سوءاستفاده از هر یک از این آسیب‌پذیری‌ها در سطح اینترنت که در بولتن امنیتی فوریه ۲۰۱۹ منتشرشده‌اند، گزارش نشده است.

گوگل اعلام کرده است که یک ماه پیش از انتشار این آسیب‌پذیری‌ها، شرکای اندروید خود را از همه این آسیب‌پذیری‌ها مطلع کرده است و افزود: “منبع کد وصله‌ها برای این آسیب‌پذیری‌ها در ۴۸ ساعت آینده (از ۶ فوریه ۲۰۱۹) در منبع ذخیره‌سازی AOSP(3) منتشر خواهد شد.”

منابع

[۱] https://thehackernews.com/2019/02/hack-android-with-image.html

[۲] https://source.android.com/security/bulletin/2019-02-01.html
🦁«کتاس»
‏http://t.me/ict_security

دفاع در عمق چیست؟
#دفاع_درعمق
سیستم های کنترل صنعتی (ICS ها) بخشی جدایی ناپذیر از زیرساخت های حیاتی هستند که به تسهیل عملیات در صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولید و تولید مواد شیمیایی کمک می کند. مسئله فزاینده امنیت سایبری و تاثیر آن بر ICS خطرات اساسی را برای زیرساخت های حیاتی کشور نشان می دهد. مسائل مربوط به امنیت سایبری ICS به طور موثر نیاز به درک دقیق از چالش های امنیتی فعلی و اقدامات ضد دفاعی خاص دارد. یک رویکرد جامع - یک روش که با استفاده از اقدامات خاصی که در لایه ها ایجاد شده است برای ایجاد یک وضعیت امنیتی مبتنی بر ریسک تجمیع شده - کمک می کند تا از تهدیدات امنیتی و آسیب پذیری هایی که می تواند بر این سیستم ها تاثیر بگذارد جلوگیری کند. این رویکرد، که اغلب به عنوان دفاع در عمق خوانده می شود، یک چارچوب انعطاف پذیر و قابل استفاده برای بهبود حفاظت از امنیت سایبری در هنگام استفاده از سیستم های کنترل فراهم می کند.

این سند تمرین توصیه شده، راهنمایی برای ایجاد استراتژی های کاهش تهدیدات خاص سایبری و راهنمایی در مورد چگونگی ایجاد یک برنامه امنیتی در عمق برای محیط سیستم های کنترل است. این سند این اطلاعات را در چهار قسمت ارائه می دهد:
1) «سابقه و مرور» وضعیت کنونی امنیت سایبری ICS را شرح می دهد و یک مرور کلی از آنچه که عمیقا دقت در درون یک سیستم کنترل است، ارائه می دهد؛
2) "استراتژی دفاع در عمق ICS" استراتژی هایی برای تأمین محیط سیستم های کنترل فراهم می کند؛
3) "حملات امنیتی" مشخص می کند که چگونه بازیگران تهدید می توانند حملات علیه زیرساخت های حیاتی و تاثیر بالقوه را برای ICS ها و شبکه ها انجام دهند؛
4) "توصیه هایی برای حفاظت از ICS" منابع را برای تأمین ICS بر اساس روش های فعلی پیشرفته و درس های آموخته شده از فعالیت های@ICS_CERT ، استانداردهای ملی و خاص برای امنیت ICS و ابزار و خدمات در دسترس فراهم می کند.
توضیحات جامع در خصوص هریک از روشهای فوق به مرور در کانال تخصصی @ICS_CERT برای بهبود وضعیت امنیتی محیط های ICS منتشر میگردد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

Ethical Hacking, Ubuntu-Based BackBox Linux Is Now Available on AWS
https://news.softpedia.com/news/ethical-hacking-ubuntu-based-backbox-linux-is-now-available-on-aws-524960.shtml

🐧 https://t.me/linux_news

#Debian GNU/Linux 9.8 Released with over 180 #Security Updates and Bug Fixes buff.ly/2TV44SY @debian #Linux #opensource

🐧 https://t.me/linux_news

سلاح جدید ضد پهپاد ساخت امریکا

پنتاگون برای سلاح ویژه ای گواهینامه اختراع صادر کرده که قادر است پهپادها را از کار بیندازد.

به گزارش وبسایت N+1 ، این سلاح با کالیبر 40 میلیمتری با موفقیت مورد آزمایش قرار گرفته و توانسته پهپاد را از کار بیندازد.
وزارت دفاع امریکا به خاطر ثمربخش نبودن استفاده از سلاح های معمولی دفاع هوایی بر ضد پهپادها به فکر ساختن چنین سلاح ویژه ای افتاده است.
سلاح ساخته شده قابل استفاده به همراه نارنچ انداز است و از دو بخش بدنه و کلاهک قابل جدا شدن تشکیل شده است.
در داخل بدنه مهمات شبکه ای شکل و تور مانند این سلاح قرار دارد که پهپهاد ها با استفاده از آنها گرفتار می شوند.
این مهمات مجهز به حسگرهایی هستند که انها را پس از نزدیک شدن به هدف فعال می سازند.
🦁«کتاس»
‏http://t.me/ict_security

السلام عليك يا أم العباس بن أمير المؤمنين

#أم_البنين
#ام_البنين

نفوذ سایبری به زیرساخت‌های حیاتی آلمان

کارشناسان امنیتی، اطلاعاتی درباره حملات سایبری به شبکه آب و برق آلمان منتشر کردند.

حملات خطرناک هکرها به زیرساخت‌های حیاتی در آلمان، افزایش چشم‌گیری پیدا کرده‌است. طبق بررسی‌های صورت گرفته، تهاجم‌ها به شبکه‌های آب و برق بیشتر شده‌است. کارشناسان امنیتی از دولت کمک خواستند تا این مشکل را رفع کند. در این زمینه، دولت آلمان مجموعه‌ای با عنوان اطمینان از امنیت سایبری راه‌اندازی کرده‌است.

به گفته کارشناسان، حملات سایبری به زیرساخت‌های مهمی مانند مؤسسات آب و برق، به‌طور پیوسته بیشتر می‌شود و اینک به مرز هشدار رسیده‌است.

اداره امنیت فناوری اطلاعات آلمان در نیمه دوم ۲۰۱۸، حدود ۱۶۰ حمله سایبری به مؤسسات زیرساختی ثبت کرد. در این میان، ۱۹ مرتبه به شبکه برق سراسری حمله شده‌است.

فعالیت مؤسسات زیرساختی عبارت‌اند از: انرژی، فناوری اطلاعات و ارتباطات، نقل‌ و انتقال، بهداشت، شبکه آب، تغذیه، امور مالی و بیمه، ادارات دولتی، فرهنگ و رسانه‌ها.

به گفته کارشناسان، تکرار این تهاجم‌های سایبری، نگران‌کننده بود و از ژوئن ۲۰۱۷ تا مه ۲۰۱۸، اداره امنیت فناوری اطلاعاتی، ۱۴۵ حمله سایبری را ثبت کرد.

طبق گزارش‌های منتشرشده، هدف هکرها بیشتر خرابکاری است تا کسب درآمد مالی. همچنین آنها قصد دارند عرصه خدمات عمومی، مانند ارائه آب و برق و ارتباطات را مختل کنند.

مقامات امنیتی معتقدند که ارگان‌های اطلاعاتی کشورهای خارجی، در این خرابکاری‌های سایبری دست دارند.

ضرورت تقویت امنیت سایبری
کاترینا رایشه، سرپرست انجمن بنگاه‌های محلی در نسخه یکشنبه روزنامه فرانکفورتر الگماینه می‌گوید امنیت ملی ایجاب می‌کند که شبکه برق، به‌عنوان محرک اصلی جامعه دیجیتالی، بخشی از معماری امنیت سایبری آلمان شناخته‌شود.

به گفته وی ضرورت دارد که امنیت سایبری به‌طور سراسری کنترل، تا با هرگونه اقدام هکرها در موقع مناسب مقابله شود.

دولت فدرال قصد دارد با تأسیس آژانس امنیت سایبری، به شکل مؤثرتری با حملات اینترنتی رویارویی کند.

کارشناسان هم‌رأی هستند که نباید حملات فلج‌کننده شبکه‌های آب و برق را دست‌کم گرفت. شرکت‌ها و بنگاه‌ها باید چنین مواردی را بی‌درنگ به @ICS_Cert گزارش کنند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

ارز دیجیتال ایرانی با پشتوانه طلا

چهار بانک ایرانی به همراه شرکت ققنوس ارز دیجیتال ایرانی به نام "پیمان" را راه اندازی می کنند.

ولی الله فاطمی، مدیرعامل شرکت ققنوس درباره این ارز دیجتال گفت: نام رمز ارز بستر ققنوس "پیمان" است که یک میلیارد واحد از آن توزیع می‌شود، این شبکه چهار میزبان بانکی از جمله بانک‌های ملی، ملت، پاسارگاد و پارسیان و گروه توسن دارد که پشتوانه آن طلا است. با هماهنگی انجام شده 2 کیلو طلا تامین شده و قرار است بر اساس معادل طلا پیمان در اختیار میزبانان عرضه شود.

ارز دیجیتال پیمان از پیام‌رسان "بله" به‌عنوان کیف پول استفاده خواهد کرد. در صورت عرضه پیمان از طریق پیام رسان "بله" این پیام‌رسان دومین پیام‌رسانی خواهد بود که ارز دیجیتال عرضه می‌کند. پیش‌ازاین نیز پیام‌رسان گپ از ارائه "گپسی" به‌عنوان ارز دیجیتال خود خبر داده بود.
دزدان از یک صرافی در برزیل تقاضا کردند به آنها بیت کوین بدهند

🦁«کتاس»
‏http://t.me/ict_security

🔴 نظر عجیب ناتالیا کسپرسکی درباره بیت کوین !
🦁«کتاس»
‏http://t.me/ict_security

ببینید : گجتهای هوشمند در منازل، چه اطلاعاتی را از ما جمع آوری و به فروشنده بدون اطلاع ما ارسال میکنند؟

حواستان باشد❗️

📌در این سخنرانی #تد کشمیر هیل منزل خود را کاملا هوشمند می‌کند، از دستیار صوتی هوشمند تا توالت و تخت خواب هوشمند و همکارش سوریا نشان می‌دهد که شرکت‌های تولید کننده محصولات چه اطلاعاتی از کشمیر دریافت می‌کنند.
هر گجتی که به اینترنت وصل می شود قابلیت جاسوسی و جمع آوری اطلاعات شما را دارد.

در دنیای امروز بشدت باید حواسمان به اطلاعات شخصی‌مان باشد، اطلاعاتی که شاید از نظر ما اگر کسی یا شرکتی بخواند مهم نیست (مانند انتشار یک پست عادی در شبکه های اجتماعی). اما همین اطلاعات ساده قابل ردیابی و تحلیل شخصیت و عادات ما هستند.

شرکت‌های تبلیغاتی به اصول اخلاقی پایبند نیستند.
🦁«کتاس»
‏http://t.me/ict_security

‏ببینید:اخبار جعلی چیست و چطور می‌توان آن را تشخیص داد؟
ویدئوی شماره 2
ویدئوی شماره 1 را از لینک زیر مشاهده کنید:
https://t.me/ict_security/3443

👨🏻‍🎓👩🏻‍🎓کتاس آمادگی‌نشر نظرات و دیدگاه‌های شما را دارد
🦁«کتاس»
‏http://t.me/ict_security

ببینید: مزرعه اکتشاف بیت کوین در اسرائیل
Bitcoin miner in Israel
👨🏻‍🎓👩🏻‍🎓کتاس آمادگی‌نشر نظرات و دیدگاه‌های شما را دارد
🦁«کتاس»
‏http://t.me/ict_security

حمله مرد میانی
MITM attack.

👨🏻‍🎓👩🏻‍🎓کتاس آمادگی‌نشر نظرات و دیدگاه‌های شما را دارد
🦁«کتاس»
‏http://t.me/ict_security

🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens CP1604 and CP1616

1. خلاصه
☣️ توجه : بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده : زیمنس
☣️ تجهیزات : CP1604 و CP1616
☣️ آسیب پذیری : Cleartext انتقال اطلاعات حساس، Cross-site Scripting، تقلب تقلب در سراسر سایت

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها می تواند منجر به عدم دسترسی به خدمات و ارائه اطلاعات شود. یک مهاجم می تواند جاوا اسکریپت دلخواه را در یک درخواست URL به ویژه ساخته شده برای اجرای سیستم های کاربر غیر قابل اعتماد تزریق کند، به مهاجم اجازه می دهد تا اقدامات را از طریق رابط وب انجام دهد که یک کاربر مشروع اجازه انجام آن را دارد.

3. مشخصات فنی
3.1 محصولات آسیب دیده

زیمنس گزارش می دهد محصولات CP زیر تحت تأثیر قرار دارند:

CP 1604 و 1616: تمام نسخه های قبل از v2.8

3.2 مرور کلی آسیب پذیریها

3.2.1 انتقال CLEARTEXT اطلاعات حساس CWE-319
مهاجم با دسترسی به شبکه به پورت 23 / TCP می تواند داده های ارتباطی داخلی را استخراج کند یا شرایط انکار سرویس را ایجاد کند.

3.2.2 عدم اعتبار ورودی در هنگام ایجاد صفحات وب (CWS-CWE-79)
سرور وب یکپارچه از دستگاه های CP آسیب پذیر می تواند حملات اسکریپت متقابل سایت (XSS) را انجام دهد، اگر کاربران را بتوانند به پیروی از یک لینک مخرب فریب دهند.

3.2.3 درخواست CROSS SITE FORGERY CWE-352
سرور مجتمع پیکربندی پروتکل های CP متضرر می تواند حمله جعلی درخواست متقابل (CSRF) را برای حمله به یک کاربر ناامید کننده به دسترسی به یک لینک مخرب فریب دهد.

3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران: مواد شیمیایی، تولید بحرانی، انرژی، غذا و کشاورزی،
⚠️ سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب : در سراسر جهان
⚠️ محل کشف : آلمان

3.4 پژوهشگر

زیمنس این آسیب پذیری ها را گزارش کرد.

4. نحوه رفع مشکل:
زیمنس کاربران را به ارتقاء به نسخه 2.8 توصیه می کند که در لینک زیر قابل دریافت است:

https://support.industry.siemens.com/cs/ww/en/view/109762689

زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:

✅ سرور وب یکپارچه را غیرفعال کنید سرور وب در تنظیمات پیش فرض غیر فعال شده است و استفاده از آن اختیاری است.
✅ دسترسی به دستگاه را به شبکه داخلی یا VPN محدود کنید. در صورت امکان، دسترسی به رابط وب (80 / TCP) و پورت Telnet (23 / TCP) را به آدرس های قابل اعتماد IP محدود کنید.
✅ روی پیوندهای ناشناخته ای کلیک نکنید

به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که دسترسی به شبکه را به دستگاه هایی با مکانیزم های مناسب محافظت کنید. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند که محیط را با توجه به دستورالعمل های عملیاتی زیمنس برای امنیت صنعتی ( https://www.siemens.com/cert/operational-guidelines-industrial-security ) توصیه های در کتابچه های راهنمای محصول امن سازی کنید.

اطلاعات بیشتر در مورد امنیت صنعتی توسط زیمنس در زیر آمده است:

https://www.siemens.com/industrialsecurity

برای کسب اطلاعات بیشتر در مورد این آسیب پذیری ها و به روز رسانی های نرم افزار مربوطه، لطفا از طریق مشاوره امنیتی Siemens SSA-559174 در وب سایت خود مراجعه کنید:

https://www.siemens.com/cert/advisories

✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens Intel Active Management Technology of SIMATIC IPCs

1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: Intel Active Management Technology (AMT) از IPC های SIMATIC
☣️ آسیب پذیری: مسائل رمزنگاری، محدودیت نامناسب عملیات در محدوده حافظه حافظه، خطاهای مدیریت منابع

2. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها ممکن است باعث اجرای کد دلخواه، شرایط انکار سرویس جزئی یا افشای اطلاعات شود.

3. مشخصات فنی
3.1 محصولات آسیب دیده

محصولات زیمنس زیر تحت تاثیر قرار می گیرند:

SIMATIC FieldPG M5: تمام نسخه های قبل از v22.01.06
SIMATIC IPC427E: تمام نسخه های قبل از v21.01.09
SIMATIC IPC477E: تمام نسخه های قبل از v21.01.09
SIMATIC IPC547E: تمام نسخه های قبل از R1.30.0،
SIMATIC IPC547G: تمام نسخه های قبل از R1.23.0
SIMATIC IPC627D: تمام نسخه های قبل از v19.02.11،
SIMATIC IPC647D: تمام نسخه های قبل از v19.01.14،
SIMATIC IPC677D: تمام نسخه های قبل از v19.02.11
SIMATIC IPC827D: تمام نسخه های قبل از v19.02.11
SIMATIC IPC847D: تمام نسخه های قبل از v19.01.14، و
SIMATIC ITP1000: تمام نسخه های قبل از v23.01.04

3.2 مرور کلی آسیب پذیریها
3.2.1 مسائل CRYPTOGRAPHIC

یک آسیب پذیری کانال جانبی به سبک Bleichenbacher در پیاده سازی TLS در فناوری Active Management Technology قبل از v12.0.5 ممکن است به یک کاربر نامعتبر اجازه دهد تا کلید جلسه TLS را از طریق شبکه به دست آورد.

3.2.2 محدودیت های قابل ملاحظه عملیات در محدوده BUFFER MEMORY

سرریز بافر چندگانه در AMT Intel در نسخه های سیستم عامل Intel CSME قبل از 12.0.5 ممکن است به یک کاربر منحصر به فرد اجازه دهد که کد دلخواه را با مجوز اجرای Intel AMT از طریق دسترسی محلی اجرا کند.

3.2.3 ERRORS MANAGEMENT RESOURCES

نشت حافظه های چندگانه در Intel AMT در نسخه های سیستم عامل Intel CSME قبل از 12.0.5 ممکن است به یک کاربر نا معتبر با AMT Intel تحویل داده شود که به موجب آن، از طریق دسترسی به شبکه، وضعیت انکار سرویس را منع کند.

3.3نقاط آسیب پذیر:
⚠️ بخش های اصلی بحران : مواد شیمیایی، ساخت بحران، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان

3.4 پژوهشگر

4. نحوه رفع مشکل:
زیمنس کاربران را به ارتقاء به آخرین نسخه توصیه میکند. اطلاعات اضافی و همچنین ارتقاء را می توان در لینک زیر پیدا کرد.

https://support.industry.siemens.com/cs/us/en/view/109747626

آسیب پذیری ها در نسخه های زیر برای هر محصول ذکر شده حل شده اند:

v22.01.06
SIMATIC FieldPG M5

https://support.industry.siemens.com/cs/document/109738122/simatic-field-pg-m5-latest-bios-version؟dti=0&lc=en-US

V21.01.09
SIMATIC IPC427E
SIMATIC IPC477E

https://support.industry.siemens.com/cs/document/109742593/simatic-ipc427e-(microbox-pc)-ipc-477e-ipc477e-pro-latest-bios-version؟dti=0&lc=en-US

R1.30.0
SIMATIC IPC547E

https://support.industry.siemens.com/cs/document/109481624/simatic-ipc547e-latest-bios-version؟dti=0&lc=en-US

R1.23.0
SIMATIC IPC547G

https://support.industry.siemens.com/cs/document/109750349/simatic-ipc547g-latest-bios-version؟dti=0&lc=en-US

V19.02.11
SIMATIC IPC627D
SIMATIC IPC677D
SIMATIC IPC827D

https://support.industry.siemens.com/cs/document/109474954/simatic-ipc627d-(box-pc)-ipc677d-ipc827d-(box-pc)-latest-bios-version؟dti=0&lc=fa-US

V19.01.14
SIMATIC IPC647D
SIMATIC IPC847D

https://support.industry.siemens.com/cs/document/109037779/simatic-ipc647d-ipc847d-(rack-pc)-latest-bios-version؟dti=0&lc=en-US

V23.01.04
SIMATIC ITP1000

https://support.industry.siemens.com/cs/document/109748173/simatic-itp1000-latest-bios-version؟dti=0&lc=en-US

زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:
https://t.me/ics_cert/79
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SIMATIC S7-300 CPU Siemens Licensing Software for SICAM 230 (Update A)

1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: زیمنس
☣️ تجهیزات: مدیریت حقوق دیجیتال WibuKey (DRM) با SICAM 230 استفاده شده است
☣️ آسیب پذیری ها : Information Exposure, Out-of-Bounds Write, Heap-Based Buffer Overflow

2. اطلاعات تکمیلی

این مشاوره به روز شده پیگیری مشاور اصلی با نام ICSA-19-043-03 Software Licensing Siemens برای SICAM 230 است که در 12 فوریه 2019 در کانال تخصصی @ics_cert منتشر شد.

3. ارزیابی خطر

بهره برداری موفق از این آسیب پذیری ها ممکن است به افشای اطلاعات، تشدید امتیاز یا اجرای کد از راه دور کمک کند.

4. مشخصات فنی
4.1 محصولات آسیب دیده

نسخه های زیر از Siemens SICAM 230، سیستم کنترل فرآیند، تحت تاثیر آسیب پذیری در مدیریت حقوق دیجیتال WibuKey (DRM) می باشد:

SICAM 230: همه نسخه ها 7.20 و قبل

4.2 مرور کلی آسیب پذیریها

4.2.1 EXPOSURE INFORMATION CWE-200

IRP (بسته درخواست I / O) به ویژه ساخته شده می تواند پیش برنده حافظه uninitialized بازگرداند، که ممکن است به رسمیت شناختن حافظه هسته منجر شود.

4.2.2 خروج از لیست

IRP (بسته درخواست I / O) به ویژه ساخته شده می تواند یک سرریز بافر را ایجاد کند که باعث فساد حافظه هسته می شود، که ممکن است باعث افزایش امتیاز شود.


4.2.3 BUFFER HEPA-BASED OVERFLOW CWE-122

یک بسته TCP به خصوص ساخته شده با ارسال به پورت 22347 / TCP می تواند موجب سرریز پشته شود که ممکن است منجر به اجرای کد از راه دور شود.

3.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFRASTRUCTURE : انرژی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان

3.4 پژوهشگر

زیمنس این آسیب پذیری ها را گزارش کرد.

4. نحوه رفع مشکل:
زیمنس توصیه می کند که کاربران از WIBU SYSTEMS AG نسخه 6.50 یا بالاتر WibuKey مدیریت حقوق دیجیتال (DRM) را ارتقا دهند، که می تواند در:

https://www.wibu.com/support/user/downloadsuser-software.html

زیمنس راه حل های ویژه زیر را شناسایی کرده است و کاربران می توانند از کاهش خطر استفاده کنند:

CVE-2018-3991 را می توان با مسدود کردن پورت 22347 / TCP به عنوان مثال در یک فایروال خارجی کاهش داد.

زیمنس به شدت توصیه می کند که به روز رسانی های امنیتی ارائه شده با استفاده از ابزارهای مربوطه و روش های مستند شده که در دسترس محصولات قرار می گیرند، استفاده شود.

به عنوان یک ابزار امنیتی کلی، زیمنس قویا توصیه می کند که حفاظت از دسترسی به شبکه با مکانیزم های مناسب (مانند فایروال ها، تقسیم بندی، VPN) را محافظت کند. کاربران می توانند محیط را طبق دستورالعمل های عملیاتی زیمنس پیکربندی کنند تا دستگاه ها را در یک محیط IT محافظت کنند. دستورالعمل های امنیتی توصیه شده برای ایمن سازی پست ها می تواند در: https://www.siemens.com/gridsecurity یافت شود .

برای اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-760124 را در محل زیر مشاهده کنید:

http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:

1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert

ممنوعیت استفاده از تلفن هوشمند و شبکه های اجتماعی برای نظامیان روسی
طبق سند، سخن نه تنها در خصوص گوشی های همراه هوشمند بلکه سایر گجت هایی است که در انها می توان شبکه های اجتماعی و اطلاعاتی را نگه داری و استفاده نمود، عکس یا صدا و یا لوکیشن فرستاد.
حق سربازان برای استفاده از شبکه های اجتماعی محدود می شود. به طور مثال آنها نباید هر گونه اطلاعاتی را که بتواند محل آنها را نشان دهد و یا متعلق به نیروهای نظامی باشد و همچنین در خصوص نظامیان سابق و یا حال حاضر و اعضای خانواده شان منتشر کنند.
دلیل تصویب این ممنوعیت این است که نیروهای اطلاعاتی سایر کشورها و سازمان تروریستی و افراطی به نظامیان روسی و جمع آوری اطلاعات در خصوص آنها علاقه مندند.
👨🏻‍🎓👩🏻‍🎓کتاس آمادگی‌نشر نظرات و دیدگاه‌های شما را دارد
🦁«کتاس»
‏http://t.me/ict_security