آسیبپذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه 2 سرویسدهنده SMB
#آسیبپذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویسدهنده # SMB مایکروسافت کشف شده است. این آسیبپذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده میدهد. این ضعف توسط مایکروسافت و در وبسایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهرهگیری اشاره میکنند. کد بهرهگیری از این آسیبپذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهرهگیری در آینده نزدیک دور از انتظار نیست.
اطلاعات فنی آسیبپذیری:
CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)
سیستم های عامل تحت تاثیر:
windows_7:-:sp1
windows_8.1
windows_rt_8.1
windows_10
windows_10:1607
windows_10:1703
windows_10:1709
windows_10:1803
windows_10:1809
windows_server_2008:sp2
windows_server_2008:-:sp2:itanium
windows_server_2008:r2:sp1
windows_server_2008:r2:sp1:itanium
windows_server_2012
windows_server_2012:r2
windows_server_2016
windows_server_2016:1709
windows_server_2016:1803
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
#آسیبپذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویسدهنده # SMB مایکروسافت کشف شده است. این آسیبپذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده میدهد. این ضعف توسط مایکروسافت و در وبسایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهرهگیری اشاره میکنند. کد بهرهگیری از این آسیبپذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهرهگیری در آینده نزدیک دور از انتظار نیست.
اطلاعات فنی آسیبپذیری:
CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)
سیستم های عامل تحت تاثیر:
windows_7:-:sp1
windows_8.1
windows_rt_8.1
windows_10
windows_10:1607
windows_10:1703
windows_10:1709
windows_10:1803
windows_10:1809
windows_server_2008:sp2
windows_server_2008:-:sp2:itanium
windows_server_2008:r2:sp1
windows_server_2008:r2:sp1:itanium
windows_server_2012
windows_server_2012:r2
windows_server_2016
windows_server_2016:1709
windows_server_2016:1803
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هشدار جدی امنیت ملی به مسئولین
شرکت نیانتیک، سازنده بازی واقعیت افزوده مشهور پوکمون گو، بازی جدید «هری پاتر: اتحاد جادوگران» را در سال جاری ارائه خواهد داد.
به نظر میرسد وارنر برادرز، غول هالیوودی تولیدکننده فیلمهای هری پاتر، بهترین روش برای همهگیر شدن بازی هری پاتر را، یک اپ واقعیت افزوده به روی گوشی میداند و قصد دارد که از شیوه موفقیت پوکمون گو پیروی کند.
به گفته شرکت نیانتیک، در این بازی بازیکنها علاوه بر یادگیری وردهای جادویی و معجونها و کشف وسایل مرموز، با مرگخواران و هیولاهای افسانهای و شخصیتهای متعددی روبهرو میشوند. همه این اتفاقات به صورت واقعیت افزوده در حین گشتوگذار در دنیای واقعی اتفاق میافتد.
در حال حاضر امکان نامنویسی برای دریافت بازی به محض انتشار برای گوشیهای اندروید فراهم شده و نسخه آیفونی آن در آینده نزدیک و در سال جاری میلادی ارائه خواهد شد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
شرکت نیانتیک، سازنده بازی واقعیت افزوده مشهور پوکمون گو، بازی جدید «هری پاتر: اتحاد جادوگران» را در سال جاری ارائه خواهد داد.
به نظر میرسد وارنر برادرز، غول هالیوودی تولیدکننده فیلمهای هری پاتر، بهترین روش برای همهگیر شدن بازی هری پاتر را، یک اپ واقعیت افزوده به روی گوشی میداند و قصد دارد که از شیوه موفقیت پوکمون گو پیروی کند.
به گفته شرکت نیانتیک، در این بازی بازیکنها علاوه بر یادگیری وردهای جادویی و معجونها و کشف وسایل مرموز، با مرگخواران و هیولاهای افسانهای و شخصیتهای متعددی روبهرو میشوند. همه این اتفاقات به صورت واقعیت افزوده در حین گشتوگذار در دنیای واقعی اتفاق میافتد.
در حال حاضر امکان نامنویسی برای دریافت بازی به محض انتشار برای گوشیهای اندروید فراهم شده و نسخه آیفونی آن در آینده نزدیک و در سال جاری میلادی ارائه خواهد شد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
پهپاد حشرهای
اگر از دیدن پهپادهای ۴ ملخی خسته شدهاید، متافلای ممکن است پهپادی باشد که شما را مجذوب و محیط را کمی ترسناک کند.
پهباد MetaFly در ظاهر شبیه ربات پرنده حشرهای شکل است که به جای چرخاندن ملخها و پرهها مانند یک حشره در دنیای واقعی بال میزند.
این بدان معناست که میتواند در فضای بسته یا باز حرکت کند. محدوده حرکت متافلای صد متر است اما طول مدت پرواز این ربات ۱۰ گرمی تنها هشت دقیقه است و برای شارژ مجدد تنها به ۱۲ دقیقه زمان نیاز دارید.
سرعت این پهپاد به هجده کیلومتر بر ساعت میرسد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
اگر از دیدن پهپادهای ۴ ملخی خسته شدهاید، متافلای ممکن است پهپادی باشد که شما را مجذوب و محیط را کمی ترسناک کند.
پهباد MetaFly در ظاهر شبیه ربات پرنده حشرهای شکل است که به جای چرخاندن ملخها و پرهها مانند یک حشره در دنیای واقعی بال میزند.
این بدان معناست که میتواند در فضای بسته یا باز حرکت کند. محدوده حرکت متافلای صد متر است اما طول مدت پرواز این ربات ۱۰ گرمی تنها هشت دقیقه است و برای شارژ مجدد تنها به ۱۲ دقیقه زمان نیاز دارید.
سرعت این پهپاد به هجده کیلومتر بر ساعت میرسد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
💢فیسبوک ۱/۵میلیون ویدیو از حمله به مساجد نیوزیلند را حذف کرد
شرکت فیسبوک یکشنبه هفدهم مارس اعلام کرد که یک و نیم میلیون ویدیو مرتبط با حادثه تروریستی اخیر در دو مسجد نیوزیلند را در ۲۴ ساعت اول وقوع این حادثه حذف کرده است.
بیشتر بخوانید:
https://bit.ly/2OacLXw
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
شرکت فیسبوک یکشنبه هفدهم مارس اعلام کرد که یک و نیم میلیون ویدیو مرتبط با حادثه تروریستی اخیر در دو مسجد نیوزیلند را در ۲۴ ساعت اول وقوع این حادثه حذف کرده است.
بیشتر بخوانید:
https://bit.ly/2OacLXw
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
euronews
فیسبوک ۱.۵میلیون ویدیو از حمله به مساجد نیوزیلند را حذف کرد
تصاویر حادثه تروریستی در نیوزیلند به سرعت در فیسبوک منتشر شد. حالا این شرکت خبر داده که تا به اینجای کار یک و نیم میلیون ویدیو مرتبط با حادثه اخیر در دو مسجد شهر کرایستچرچ نیوزیلند را از این شبکه اجتماعی حذف کرده است.
Media is too big
VIEW IN TELEGRAM
ببینید: ارز دیجیتال تلگرام(گرام) چیست؟
تهدیدات این ارزدیجیتال برای کشور و مردم ما چیست؟
آیا تلگرام به دنبال کودتای اقتصادی و تبدیل خود به عنوان بانک مرکزی در کشور ماست؟
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
تهدیدات این ارزدیجیتال برای کشور و مردم ما چیست؟
آیا تلگرام به دنبال کودتای اقتصادی و تبدیل خود به عنوان بانک مرکزی در کشور ماست؟
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Forwarded from قناة العتبة الحسينية المقدسة
#اللهم إني لذت بقبر أخي رسولك ابتغاء مرضاتك ، فانظر اليوم إلى تقلبي في هذا القبر وبه فكني من النار.
#صباحكم_سلامآ_على_الامام_البر_التقي_النقي_الرضي_المرضي_الوفي_الصديق_الأكبر_الامام_علي_عليه_السلام
https://t.me/imamhussain_ar
#صباحكم_سلامآ_على_الامام_البر_التقي_النقي_الرضي_المرضي_الوفي_الصديق_الأكبر_الامام_علي_عليه_السلام
https://t.me/imamhussain_ar
دوربین های مخفی، مهمانان هتل را زیر نظر داشتند.
به گزارش بخش بازرسی جنایت سایبری آژانس پلیس ملی کره جنوبی، شبکه جنایی بزرگی در کره جنوبی کشف شد. بیش از 1600 نفر قربانی این شبکه شده اند. آنها مهمانان هتل های کوچک بودند که تحت نظارت کامل دوربین های مخفی قرار داشتند و بطور پنهان از تمام کارهای آنها در هتل فیلمبرداری می شد.
در رابطه با این پرونده جنجالی، دو نفر دستگیر و دو نفر دیگر مورد بازپرسی قرار دارند. آنها ارتباطی با صنعت هتلداری نداشتند و مدیریت 30 هتل کوچک در دهها شهر مختلف که در مرکز این جنجال به دام افتاده اند هیچگونه اطلاعی از این ماجرا نداشتند و نمی دانستند چه اتفاقاتی در هتل های آن ها در جریان بوده است. جنایتکاران توانستند دوربین هایی به اندازه یک میلیمتر را در 42 هتل نصب کنند.
آنها با نصب این دوربین های کوچک در قسمتهای مختلف اتاق های هتل از زندگی مسافران فیلمبرداری می کردند و بطور همزمنان آن را به سایت ویژه ای منتقل می کردند که استفاده از آن هرماه برای کاربر 45 دلار هزینه داشت. کاربران این سایت بالغ بر 4000 نفر اعلام شده است.
پلیس کره جنوبی در سال 2017 میلادی 6400 مورد نظارت غیر قانونی بر زندگی شهروندان را به ثبت رسانده بود. پلیس کره جنوبی اعلام کرد که وضعیت نصب دوربین های مخفی در دستشویی های عمومی حاد است. دهها هزار زن در اعتراض به این موضوع در خیابانهای سئول دست به تظاهرات زدند و پلیس بازرس های زن را برای بازرسی 20 هزار توالت در سراسر سئول منصوب کرد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
به گزارش بخش بازرسی جنایت سایبری آژانس پلیس ملی کره جنوبی، شبکه جنایی بزرگی در کره جنوبی کشف شد. بیش از 1600 نفر قربانی این شبکه شده اند. آنها مهمانان هتل های کوچک بودند که تحت نظارت کامل دوربین های مخفی قرار داشتند و بطور پنهان از تمام کارهای آنها در هتل فیلمبرداری می شد.
در رابطه با این پرونده جنجالی، دو نفر دستگیر و دو نفر دیگر مورد بازپرسی قرار دارند. آنها ارتباطی با صنعت هتلداری نداشتند و مدیریت 30 هتل کوچک در دهها شهر مختلف که در مرکز این جنجال به دام افتاده اند هیچگونه اطلاعی از این ماجرا نداشتند و نمی دانستند چه اتفاقاتی در هتل های آن ها در جریان بوده است. جنایتکاران توانستند دوربین هایی به اندازه یک میلیمتر را در 42 هتل نصب کنند.
آنها با نصب این دوربین های کوچک در قسمتهای مختلف اتاق های هتل از زندگی مسافران فیلمبرداری می کردند و بطور همزمنان آن را به سایت ویژه ای منتقل می کردند که استفاده از آن هرماه برای کاربر 45 دلار هزینه داشت. کاربران این سایت بالغ بر 4000 نفر اعلام شده است.
پلیس کره جنوبی در سال 2017 میلادی 6400 مورد نظارت غیر قانونی بر زندگی شهروندان را به ثبت رسانده بود. پلیس کره جنوبی اعلام کرد که وضعیت نصب دوربین های مخفی در دستشویی های عمومی حاد است. دهها هزار زن در اعتراض به این موضوع در خیابانهای سئول دست به تظاهرات زدند و پلیس بازرس های زن را برای بازرسی 20 هزار توالت در سراسر سئول منصوب کرد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
میلیون ها رمز عبور در فیس بوک بدون رمز گذاری ذخیره شده بودند
شرکت فیس بوک سالها رمز عبور کاربران را در قالب یک فایل متنی ساده ذخیره کرده بود.
به گزارش کربز آن سکیوریتی، برایان کرابس، متخصص امنیت شبکه گفت: سالها فیس بوک صدها میلیون رمز عبور کاربری را به عنوان متن ساده ذخیره کرده بود، بطوری که هزاران نفر از کارمندان شرکت حداقل تا سال 2012 به آنها دسترسی داشتند.
حداقل 20 هزار کارمند به 200 تا 600 میلیون کلمه عبور که به صورت متن ساده ذخیره شده بود دسترسی داشتند. با توجه به تحقیقات داخلی فیس بوک، رمز های عبور به دلیل مشکلاتی که در برنامه های رمز نگاری رخ داده بود، رمز گذاری نشده بودند.
حدود دو هزار مهندس یا توسعه دهنده تقریبا 9 میلیون بار درخواست داخلی برای کلمات عبور انجام دادند. این شبکه اجتماعی گفت که در هیچ یک از موارد، کارکنان شرکت از داده های کاربر سواستفاده نکردند. این شرکت بیان کرد که تا کنون شواهدی مبنی بر تلاش همکارانش برای استفاده سوء از اطلاعات ذخیره شده کاربران وجود نداشته و پسوردهای رمزگذاری نشده برای هیچ فردی خارج از شرکت قابل دسترسی نبوده است.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
شرکت فیس بوک سالها رمز عبور کاربران را در قالب یک فایل متنی ساده ذخیره کرده بود.
به گزارش کربز آن سکیوریتی، برایان کرابس، متخصص امنیت شبکه گفت: سالها فیس بوک صدها میلیون رمز عبور کاربری را به عنوان متن ساده ذخیره کرده بود، بطوری که هزاران نفر از کارمندان شرکت حداقل تا سال 2012 به آنها دسترسی داشتند.
حداقل 20 هزار کارمند به 200 تا 600 میلیون کلمه عبور که به صورت متن ساده ذخیره شده بود دسترسی داشتند. با توجه به تحقیقات داخلی فیس بوک، رمز های عبور به دلیل مشکلاتی که در برنامه های رمز نگاری رخ داده بود، رمز گذاری نشده بودند.
حدود دو هزار مهندس یا توسعه دهنده تقریبا 9 میلیون بار درخواست داخلی برای کلمات عبور انجام دادند. این شبکه اجتماعی گفت که در هیچ یک از موارد، کارکنان شرکت از داده های کاربر سواستفاده نکردند. این شرکت بیان کرد که تا کنون شواهدی مبنی بر تلاش همکارانش برای استفاده سوء از اطلاعات ذخیره شده کاربران وجود نداشته و پسوردهای رمزگذاری نشده برای هیچ فردی خارج از شرکت قابل دسترسی نبوده است.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
مراکز و تجهیزات مخابراتی و مسیرهای فیبرنوری و کابلی شهرستان سوادکوه در استان مازندران در سیل جاری دچار آسیب جدی شده بودند.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
مراکز و تجهیزات مخابراتی و مسیرهای فیبرنوری و کابلی شهرستان سوادکوه در استان مازندران در سیل جاری دچار آسیب جدی شده بودند.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (Pedram Kiani)
🚨نمونه های افشاء اطلاعات در صنایع و زیرساخت های حساس، حیاتی و مهم کشور
توصیه میشود در انتشار تصاویر دید و بازدیدهای عیدنوروز توجه کافی بعمل آید
به نظر شما چه اطلاعات حساسی در این تصویر قابل توجه است؟
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
توصیه میشود در انتشار تصاویر دید و بازدیدهای عیدنوروز توجه کافی بعمل آید
به نظر شما چه اطلاعات حساسی در این تصویر قابل توجه است؟
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
This media is not supported in your browser
VIEW IN TELEGRAM
تصویر فوق چند روزی است که در فضای مجازی مورد توجه و گاها تمسخر قرار گرفته است. ایشون رئیس جمهور کشور کوزوو هستند و دربرابر دوربین، رمز عبورشان که بسیار ساده نیز هست وارد میکنند.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (Pedram Kiani)
شناسایی حفره امنیتی در سوییچهای صنعتی Moxa
کارشناسان امنیتی آسیبپذیریهای متعددی ازجمله یک مشکل بحرانی در سوئیچهای صنعتی Moxa EDS و IKS کشف کردهاند.
به گزارش کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی به نقل از مرکز مدیریت راهبردی افتا، سیستمهای کنترل صنعتی مورد استفاده در بسیاری از صنایع، ازجمله بخش انرژی، تولیدات بحرانی و حملونقل، همیشه عنصر نگرانکنندهای برای کارشناسان امنیتی بودهاست. پژوهشگران چندین آسیبپذیری را در سوییچهای صنعتی Moxa EDS و IKS کشف کردهاند.
سوئیچهای صنعتی Moxa تحتتاثیر سرریز بافر، جعل درخواست میان وبسایتی (CSRF)، تزریق اسکریپت از طریق وبسایت (XSS)، کنترلهای دسترسی نامناسب، محدودیت نادرست تلاشهای احراز هویت بیشازحد، عدم رمزگذاری اطلاعات حساس، خواندن خارج از محدوده، ذخیرهسازی محافظتنشده اطلاعات حساس، قابل پیشبینیبودن از محل مشاهده و مشکلات مربوط به مصرف کنترلنشده منابع و غیره هستند. بهرهبرداری موفق از این آسیبپذیریها میتواند منجر به خواندن اطلاعات حساس، اجرای کد از راه دور، تغییرات دلخواه پیکربندی، دورزدن احرازهویت، ثبت و ضبط اطلاعات حساس، راهاندازی مجدد دستگاه، خرابی دستگاه یا آسیبدیدن کامل دستگاه شود.
سوئیچهای صنعتی Moxa که توسط این آسیبپذیریها تحتتاثیر قرار میگیرند، عبارتاند از :
• سری IKS-G۶۸۲۴A ، نسخه ۴,۵ و قبل از آن.
• سری EDS-۴۰۵A ، نسخه ۳,۸ و قبل از آن.
• سری EDS-۴۰۸A، نسخه ۳,۸ و قبل از آن.
• سری EDS-۵۱۰A، نسخه ۳,۸ و قبل.
کارشناسان امنیتی پنج آسیبپذیری را در سوییچهای صنعتی EDS-۴۰۵A، EDS-۴۰۸A وEDS-۵۱۰A کشف کردهاند. فهرست این نقصها شامل ذخیرهسازی گذرواژه بهصورت متن ساده، استفاده از شناسههای نشست قابل پیشبینی، عدم رمزگذاری دادههای حساس، عدم وجود مکانیزمهای جلوگیری از حملات جستوجوی فراگیر و نقصهایی که میتواند منجر به وقوع شرایط منع سرویس شود.
سوئیچهای صنعتی Moxa IKS-G۶۸۲۴A تحتتاثیر هفت نوع نقص هستند، از جمله سرریز بافر که می تواند منجر به اجرای کد از راه دور شود، ذخیرهسازی گذرواژهها به صورت متن ساده، چندین نوع مشکل XSS، عدم توانایی رسیدگی به نوع خاصی از بستهها (که منجر به منع سرویس خواهدشد)، اشکالات افشای حافظه، کنترل دسترسی نادرست برای رابط وب و مشکلات جعل درخواست میان وبی.
مهمترین آسیبپذیری، سرریز بافر در رابط وب است که ممکن است از راه دور توسط مهاجمی تاییدنشده برای ایجاد وضعیت منعسرویس و اجرای کد دلخواه در قالب یک کاربر مجاز در رابط وب دستگاه مورد استفاده قرارگیرد.
شرکت سازنده در حال حاضر بسیاری از معایب را با انتشار وصلههای امنیتی رفع کردهاست، شدت اثر مشکلات باقیمانده میتواند با اجبار دستگاه به استفاده از HTTPS (برای سوئیچهای EDS) و استفاده از کنسولهای SNMP،Telnet یا CLI برای دسترسی به جای کنسول وب HTTP (برای سوئیچهای IKS) کاهش یابد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
کارشناسان امنیتی آسیبپذیریهای متعددی ازجمله یک مشکل بحرانی در سوئیچهای صنعتی Moxa EDS و IKS کشف کردهاند.
به گزارش کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی به نقل از مرکز مدیریت راهبردی افتا، سیستمهای کنترل صنعتی مورد استفاده در بسیاری از صنایع، ازجمله بخش انرژی، تولیدات بحرانی و حملونقل، همیشه عنصر نگرانکنندهای برای کارشناسان امنیتی بودهاست. پژوهشگران چندین آسیبپذیری را در سوییچهای صنعتی Moxa EDS و IKS کشف کردهاند.
سوئیچهای صنعتی Moxa تحتتاثیر سرریز بافر، جعل درخواست میان وبسایتی (CSRF)، تزریق اسکریپت از طریق وبسایت (XSS)، کنترلهای دسترسی نامناسب، محدودیت نادرست تلاشهای احراز هویت بیشازحد، عدم رمزگذاری اطلاعات حساس، خواندن خارج از محدوده، ذخیرهسازی محافظتنشده اطلاعات حساس، قابل پیشبینیبودن از محل مشاهده و مشکلات مربوط به مصرف کنترلنشده منابع و غیره هستند. بهرهبرداری موفق از این آسیبپذیریها میتواند منجر به خواندن اطلاعات حساس، اجرای کد از راه دور، تغییرات دلخواه پیکربندی، دورزدن احرازهویت، ثبت و ضبط اطلاعات حساس، راهاندازی مجدد دستگاه، خرابی دستگاه یا آسیبدیدن کامل دستگاه شود.
سوئیچهای صنعتی Moxa که توسط این آسیبپذیریها تحتتاثیر قرار میگیرند، عبارتاند از :
• سری IKS-G۶۸۲۴A ، نسخه ۴,۵ و قبل از آن.
• سری EDS-۴۰۵A ، نسخه ۳,۸ و قبل از آن.
• سری EDS-۴۰۸A، نسخه ۳,۸ و قبل از آن.
• سری EDS-۵۱۰A، نسخه ۳,۸ و قبل.
کارشناسان امنیتی پنج آسیبپذیری را در سوییچهای صنعتی EDS-۴۰۵A، EDS-۴۰۸A وEDS-۵۱۰A کشف کردهاند. فهرست این نقصها شامل ذخیرهسازی گذرواژه بهصورت متن ساده، استفاده از شناسههای نشست قابل پیشبینی، عدم رمزگذاری دادههای حساس، عدم وجود مکانیزمهای جلوگیری از حملات جستوجوی فراگیر و نقصهایی که میتواند منجر به وقوع شرایط منع سرویس شود.
سوئیچهای صنعتی Moxa IKS-G۶۸۲۴A تحتتاثیر هفت نوع نقص هستند، از جمله سرریز بافر که می تواند منجر به اجرای کد از راه دور شود، ذخیرهسازی گذرواژهها به صورت متن ساده، چندین نوع مشکل XSS، عدم توانایی رسیدگی به نوع خاصی از بستهها (که منجر به منع سرویس خواهدشد)، اشکالات افشای حافظه، کنترل دسترسی نادرست برای رابط وب و مشکلات جعل درخواست میان وبی.
مهمترین آسیبپذیری، سرریز بافر در رابط وب است که ممکن است از راه دور توسط مهاجمی تاییدنشده برای ایجاد وضعیت منعسرویس و اجرای کد دلخواه در قالب یک کاربر مجاز در رابط وب دستگاه مورد استفاده قرارگیرد.
شرکت سازنده در حال حاضر بسیاری از معایب را با انتشار وصلههای امنیتی رفع کردهاست، شدت اثر مشکلات باقیمانده میتواند با اجبار دستگاه به استفاده از HTTPS (برای سوئیچهای EDS) و استفاده از کنسولهای SNMP،Telnet یا CLI برای دسترسی به جای کنسول وب HTTP (برای سوئیچهای IKS) کاهش یابد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
مبارزه مایکروسافت با هکرهای منتسب به ایران
دادگاهی در آمریکا به مایکروسافت اجازه داد تا در حدود 100 دامنه که گفته می شود متعلق به هکرهای ایرانی است را تحت کنترل خود قرار دهد.
به گزارش Techcrunch، شرکت مایکروسافت به صورت مخفیانه به مبارزه علیه هکرهایی پرداخته که با نام های مختلفی مانند "بچه گربههای دلربا، فسفر، APT35 و آژاکس" معروفاند و گفته می شود که از سوی ایران تامین مالی می شوند.
براساس این گزارش، شرکت مایکروسافت موفق شد کنترل 99 مورد از دامنههایی که این گروه برای حملات خود به سازمان ها و نهادها در آمریکا و سراسر دنیا استفاده میکرده را به دست بگیرد.
وجود دارد که پیش از این، همگی در اختیار هکرهای وابسته به ایران بوده است.
هکرها با استفاده از دامنههایی مانند outlook-verify.net و yahoo-verify.net یا حتی telegram.net صفحهها و وبسایتهایی شبیه به مایکروسافت، یاهو، گوگل و تلگرام ایجاد کرده و تلاش می کردند با بدست آوردن نام و رمز عبور قربانیان خود، اطلاعات آنها را بدست بیاورند.
شرکتها معمولاً از دستور دادگاه به منظور مقابله با دامنههایی که قانون کپیرایت را نقض و از علامت تجاری آنها سو استفاده میکنند بهره میگیرند؛ اما مایکروسافت از این مجوز برای مبارزه با گروههای هکری نیز استفاده میکند.
همچنین این اولین بار نیست که شرکت موردبحث از دستور دادگاه برای مقابله با گروههای هکری یا جاسوسی سایبری منسوب به دولتها و مسدودسازی دامنههایشان، استفاده میکند.
شرکت مایکروسافت پیش از دستور دادگاه برای بستن سایت هایی که متعلق به گروه APT استفاده کرده است. به عنوان مثال در سال 2017 این شرکت کنترل 70 دامنه APT28 را در اختیار گرفت.
استفاده از دستور دادگاه به منظور به دست گرفتن کنترل دامنههای مخرب موضوع جدیدی نیست؛ اما این اقدام تا مدتی قبل تنها توسط سازمانهای دولتی آمریکا انجام میگرفت. برای نمونه میتوان به مقابلهی FBI با باتنت «VPNFilter» اشاره کرد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
دادگاهی در آمریکا به مایکروسافت اجازه داد تا در حدود 100 دامنه که گفته می شود متعلق به هکرهای ایرانی است را تحت کنترل خود قرار دهد.
به گزارش Techcrunch، شرکت مایکروسافت به صورت مخفیانه به مبارزه علیه هکرهایی پرداخته که با نام های مختلفی مانند "بچه گربههای دلربا، فسفر، APT35 و آژاکس" معروفاند و گفته می شود که از سوی ایران تامین مالی می شوند.
براساس این گزارش، شرکت مایکروسافت موفق شد کنترل 99 مورد از دامنههایی که این گروه برای حملات خود به سازمان ها و نهادها در آمریکا و سراسر دنیا استفاده میکرده را به دست بگیرد.
وجود دارد که پیش از این، همگی در اختیار هکرهای وابسته به ایران بوده است.
هکرها با استفاده از دامنههایی مانند outlook-verify.net و yahoo-verify.net یا حتی telegram.net صفحهها و وبسایتهایی شبیه به مایکروسافت، یاهو، گوگل و تلگرام ایجاد کرده و تلاش می کردند با بدست آوردن نام و رمز عبور قربانیان خود، اطلاعات آنها را بدست بیاورند.
شرکتها معمولاً از دستور دادگاه به منظور مقابله با دامنههایی که قانون کپیرایت را نقض و از علامت تجاری آنها سو استفاده میکنند بهره میگیرند؛ اما مایکروسافت از این مجوز برای مبارزه با گروههای هکری نیز استفاده میکند.
همچنین این اولین بار نیست که شرکت موردبحث از دستور دادگاه برای مقابله با گروههای هکری یا جاسوسی سایبری منسوب به دولتها و مسدودسازی دامنههایشان، استفاده میکند.
شرکت مایکروسافت پیش از دستور دادگاه برای بستن سایت هایی که متعلق به گروه APT استفاده کرده است. به عنوان مثال در سال 2017 این شرکت کنترل 70 دامنه APT28 را در اختیار گرفت.
استفاده از دستور دادگاه به منظور به دست گرفتن کنترل دامنههای مخرب موضوع جدیدی نیست؛ اما این اقدام تا مدتی قبل تنها توسط سازمانهای دولتی آمریکا انجام میگرفت. برای نمونه میتوان به مقابلهی FBI با باتنت «VPNFilter» اشاره کرد.
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (Pedram Kiani)
متوقف شدن فعالیتهای یک شرکت آلومینیومسازی پس از حمله باجافزاری
به گزارش کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی به نقل از معاونت بررسی مرکز افتا، شرکت Norsk Hydro، یکی از بزرگترین تولیدکنندگان آلومینیوم در جهان، روز گذشته اعلام کرد: حمله شدید سایبری برخی از زیرساختهای آن را تخریب کرده است.
این شرکت مجبور شد تا بعضی از عملیاتهای خود را به حالت دستی تغییر دهد.
یکی از مدیران شرکت Hydro Norsk درکنفرانسی مطبوعاتی اعلام کرد: حمله سایبری از طریق باجافزار LockerGoga انجام شده است.
بگفته این شرکت: حمله سایبری بر ایمنی کارکنان تاثیرگذارNorsk Hydro نبوده است، اما شبکههای رایانهای شرکت بر اثر یک آلودگی باجافزاری تحت تاثیر قرار گرفتهاند.
باجافزار مورد نظر در بعد از ظهر روز دوشنبه (۲۸ اسفند) در رایانههای هدف قرار گرفته است و کارکنان آن در نیمهشب متوجه آلودگی شدهاند.
تاثیر حمله سایبری به حدی شدید بوده است که کل شبکه جهانی این شرکت آلومینیومسازی از کار افتاده است و عملیاتهای اداری و تولید متوقف شدهاند.
این شرکت بنا دارد تا به وسیله پشتیبانهای تهیه شده، سیستمهای آلوده را به حالت قبلی بازگرداند.
شرکت Norsk Hydro یکی از بزرگترین تولیدکنندگان آلومینیوم جهان است که در بیش از ۵۰ کشور فعالیت دارد.
این شرکت دومین شرکت نروژی است که مورد حمله سایبری شدید قرار میگیرد، در سال گذشته هکرهای چینی به ارائهدهنده سرویس ابری Visma نروژ نفوذ کرده بودند.
منبع:
https://www.zdnet.com/article/aluminium-producer-switches-to-manual-operations-after-extensive-cyber-attack
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
به گزارش کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی به نقل از معاونت بررسی مرکز افتا، شرکت Norsk Hydro، یکی از بزرگترین تولیدکنندگان آلومینیوم در جهان، روز گذشته اعلام کرد: حمله شدید سایبری برخی از زیرساختهای آن را تخریب کرده است.
این شرکت مجبور شد تا بعضی از عملیاتهای خود را به حالت دستی تغییر دهد.
یکی از مدیران شرکت Hydro Norsk درکنفرانسی مطبوعاتی اعلام کرد: حمله سایبری از طریق باجافزار LockerGoga انجام شده است.
بگفته این شرکت: حمله سایبری بر ایمنی کارکنان تاثیرگذارNorsk Hydro نبوده است، اما شبکههای رایانهای شرکت بر اثر یک آلودگی باجافزاری تحت تاثیر قرار گرفتهاند.
باجافزار مورد نظر در بعد از ظهر روز دوشنبه (۲۸ اسفند) در رایانههای هدف قرار گرفته است و کارکنان آن در نیمهشب متوجه آلودگی شدهاند.
تاثیر حمله سایبری به حدی شدید بوده است که کل شبکه جهانی این شرکت آلومینیومسازی از کار افتاده است و عملیاتهای اداری و تولید متوقف شدهاند.
این شرکت بنا دارد تا به وسیله پشتیبانهای تهیه شده، سیستمهای آلوده را به حالت قبلی بازگرداند.
شرکت Norsk Hydro یکی از بزرگترین تولیدکنندگان آلومینیوم جهان است که در بیش از ۵۰ کشور فعالیت دارد.
این شرکت دومین شرکت نروژی است که مورد حمله سایبری شدید قرار میگیرد، در سال گذشته هکرهای چینی به ارائهدهنده سرویس ابری Visma نروژ نفوذ کرده بودند.
منبع:
https://www.zdnet.com/article/aluminium-producer-switches-to-manual-operations-after-extensive-cyber-attack
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
ZDNet
Aluminum producer switches to manual operations after ransomware infection
UPDATE: Cyber-attack identified as LockerGoga ransomware infection.
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Siemens SCALANCE X
1. خلاصه
☣️ توجه: از راه دور قابل استفاده است
☣️ فروشنده: زیمنس
☣️ تجهیزات: SCALANCE X
☣️ آسیب پذیری: نقض رفتار انتظاری
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد که داده ها را از طریق یک mirror port و به mirrored network داده شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
محصولات زیر SCALANCE تحت تاثیر قرار می گیرند:
SCALANCE X-200، تمام نسخه ها؛
SCALANCE X-300، تمام نسخه ها؛ و
SCALANCE XP / XC / XF-200، تمام نسخه های قدیمی تر از v4.1
3.2 مرور کلی آسیب پذیریها
3.2.1 EXPECTED BEHAVIOR VIOLATION
مانیتور محصولات معرض به اندازه کافی اطلاعات را از ارسال بر روی mirror port و به شبکه آینه ای منتقل می کند. مهاجم می تواند از این آسیب پذیری برای انتقال بسته های مخرب به سیستم ها در شبکه آینه ای استفاده کند تا بر تنظیمات و رفتار زمان اجرا تاثیر بگذارد.
این آسیب پذیری می تواند توسط یک مهاجم با دسترسی شبکه به شبکه دریافت ترافیک مورد سوء استفاده قرار گیرد. استثمار موفقیت آمیز نیاز به امتیازات سیستم و هیچ تعامل با کاربر ندارد. مهاجم می تواند از آسیب پذیری استفاده کند تا محرمانه بودن و دسترسی شبکه های ترافیکی را به خطر بیندازد.
3.33.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی بحرانی: مواد شیمیایی، ساختمانی بحرانی، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
زیمنس این آسیب پذیری را گزارش کرد.
4. نحوه رفع مشکل:
زیمنس راه حل ویژه ای را که کاربران می توانند برای کاهش خطر در ارتباط با این آسیب پذیری در SCALANCE XP / XC / XF-200 به کار گیرند:
بروز رسانی به v4.1
https://support.industry.siemens.com/cs/ww/en/view/109762982
تا زمانی که یک بروزرسانی نرم افزاری نصب شود، زیمنس توصیه می کند که کاربران از اصل دفاع در عمق استفاده کنند، مخصوصا اطمینان حاصل کنید که صرفا دستگاهی که اطلاعات را در شبکه آینه ای ارسال می کند در شبکه آینه ای استفاده شود.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که کاربران دسترسی به شبکه را با دستگاه هایی با مکانیزم های مناسب محافظت کنند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را با توجه به دستورالعمل های عملیاتی زیمنس برای امنیت صنعتی ( https://www.siemens.com/cert/operational-guidelines-industrial-security ) تنظیم کنید.
اطلاعات بیشتر در مورد امنیت صنعتی توسط زیمنس در دسترس است:
https://www.siemens.com/industrialsecurity
برای کسب اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-557804 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: از راه دور قابل استفاده است
☣️ فروشنده: زیمنس
☣️ تجهیزات: SCALANCE X
☣️ آسیب پذیری: نقض رفتار انتظاری
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند به مهاجم اجازه دهد که داده ها را از طریق یک mirror port و به mirrored network داده شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
محصولات زیر SCALANCE تحت تاثیر قرار می گیرند:
SCALANCE X-200، تمام نسخه ها؛
SCALANCE X-300، تمام نسخه ها؛ و
SCALANCE XP / XC / XF-200، تمام نسخه های قدیمی تر از v4.1
3.2 مرور کلی آسیب پذیریها
3.2.1 EXPECTED BEHAVIOR VIOLATION
مانیتور محصولات معرض به اندازه کافی اطلاعات را از ارسال بر روی mirror port و به شبکه آینه ای منتقل می کند. مهاجم می تواند از این آسیب پذیری برای انتقال بسته های مخرب به سیستم ها در شبکه آینه ای استفاده کند تا بر تنظیمات و رفتار زمان اجرا تاثیر بگذارد.
این آسیب پذیری می تواند توسط یک مهاجم با دسترسی شبکه به شبکه دریافت ترافیک مورد سوء استفاده قرار گیرد. استثمار موفقیت آمیز نیاز به امتیازات سیستم و هیچ تعامل با کاربر ندارد. مهاجم می تواند از آسیب پذیری استفاده کند تا محرمانه بودن و دسترسی شبکه های ترافیکی را به خطر بیندازد.
3.33.3نقاط آسیب پذیر:
⚠️ بخش های بحرانی بحرانی: مواد شیمیایی، ساختمانی بحرانی، انرژی، غذا و کشاورزی، سیستم های آب و فاضلاب
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف : آلمان
3.4 پژوهشگر
زیمنس این آسیب پذیری را گزارش کرد.
4. نحوه رفع مشکل:
زیمنس راه حل ویژه ای را که کاربران می توانند برای کاهش خطر در ارتباط با این آسیب پذیری در SCALANCE XP / XC / XF-200 به کار گیرند:
بروز رسانی به v4.1
https://support.industry.siemens.com/cs/ww/en/view/109762982
تا زمانی که یک بروزرسانی نرم افزاری نصب شود، زیمنس توصیه می کند که کاربران از اصل دفاع در عمق استفاده کنند، مخصوصا اطمینان حاصل کنید که صرفا دستگاهی که اطلاعات را در شبکه آینه ای ارسال می کند در شبکه آینه ای استفاده شود.
به عنوان یک اقدام کلی امنیتی، زیمنس به شدت توصیه می کند که کاربران دسترسی به شبکه را با دستگاه هایی با مکانیزم های مناسب محافظت کنند. برای استفاده از دستگاه ها در یک محیط محافظت شده IT، زیمنس توصیه می کند محیط را با توجه به دستورالعمل های عملیاتی زیمنس برای امنیت صنعتی ( https://www.siemens.com/cert/operational-guidelines-industrial-security ) تنظیم کنید.
اطلاعات بیشتر در مورد امنیت صنعتی توسط زیمنس در دسترس است:
https://www.siemens.com/industrialsecurity
برای کسب اطلاعات بیشتر، مشاوره امنیتی Siemens SSA-557804 را در محل زیر مشاهده کنید:
http://www.siemens.com/cert/en/cert-security-advisories.htm
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
✅کانال تخصصی @ics_cert همچنین یک قسمت از توصیه های امنیتی سیستم های کنترل را در صفحه وب ICS_CERT فراهم می کند. چندین توصیه ارایه شده برای خواندن و دانلود، از جمله ارتقاء سیستم های کنترل صنعتی امنیت سایبری با استراتژی های دفاع در عمق موجود است.
دستورالعمل های اضافی و شیوه های توصیه شده به طور عمومی در کانال @ics_cert در مقاله فنی راهکارهای تشخیص و مداخله در مورد کاهش نفوذ Cyber به طور قابل توجهی در دسترس است.
🛑سازمانهایی که هرگونه فعالیت مخرب مظنون را مشاهده می کنند باید از روش های داخلی خود پیروی کنند و یافته های خود را به کانال @ics_cert برای ردیابی و همبستگی با سایر حوادث گزارش دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Siemens
Secure industrial facilities
Cybersecurity for Industry as an essential component of Digital Enterprise, Siemens’ solution approach for Industrie 4.0
Forwarded from IACS (Pedram Kiani)
🚨 کشف آسیب پذیری در تجهیزات اتوماسیون صنعتی Rockwell Automation PowerFlex 525 AC Drives
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: PowerFlex 525 AC درایو
☣️ آسیب پذیری: Resource Exhaustion
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند منجر به Resource Exhaustion، انکار سرویس و / یا تخریب حافظه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر PowerFlex 525، یک درایو AC، تحت تاثیر قرار می گیرند:
PowerFlex 525 AC درایور با EtherNet / IP جاسازی شده و ایمنی نسخه 5.001 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 مصرف منابع منحصربفرد ("خروج منابع")
بازیابی تهدید از راه دور، ناآگاهانه میتواند بارها و بارها بسته های خاص CIP را به یک درایو PowerFlex 525 آسیب برساند، که ممکن است باعث اختلال در دسترس بودن دستگاه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: ایالات متحده
3.4 پژوهشگر
Nicolas Merle از خطر کاربردی این آسیب پذیری را به Rockwell Automation گزارش کرد.
4. نحوه رفع مشکل:
▪️شرکتRockwell Automation سیستم عامل جدیدی را برای رفع آسیب پذیری عرضه کرده است. آخرین نسخه سیستم عامل را از لینک زیر دریافت کنید:
https://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx؟Keyword=25B&crumb=112
▪️شرکتRockwell Automation توصیه های کلی امنیتی زیر را توصیه می کند:
🔸 از کنترل های زیربنایی شبکه مناسب مانند فایروال استفاده کنید تا اطمینان حاصل کنید پیام های CIP از منابع غیر مجاز مسدود می شوند.
🔸 مسدود کردن یا محدود کردن دسترسی به TCP و UDP پورت 2222 و پورت 44818 با استفاده از کنترل های زیرساختی مناسب شبکه، مانند فایروال، دستگاه های UTM یا سایر تجهیزات امنیتی، تمام ترافیک را به EtherNet / IP یا سایر دستگاه های مبتنی بر پروتکل CIP از خارج از منطقه تولید متوقف کند. لوازم خانگی برای اطلاعات بیشتر در مورد پورت های TCP / UDP استفاده شده توسط Rockwell Automation Products، مراجعه کنید به پایگاه داده Knowledgebase ID 898270 (ورود به سیستم).
🔸 در صورت لزوم، مستندات محصول را برای ویژگی های خاص بکارگیرید، مانند تنظیمات سوئیچ سخت افزاری که ممکن است برای جلوگیری از تغییرات غیر مجاز استفاده شود.
🔸 از نرم افزارهای قابل اعتماد، تکه های نرم افزاری، برنامه های آنتی ویروس / ضد ویروس استفاده کنید و فقط با وبسایت های معتبر و پیوست ها ارتباط برقرار کنید.
🔸 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت یا شبکه کسب و کار.
🔸 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود.
▪️شرکت Rockwell Automation یک مشاوره امنیتی در مورد این آسیب پذیری منتشر کرده است که می تواند در وب سایت شرکت در محل زیر (Login required) یافت شود:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1082684
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
1. خلاصه
☣️ توجه: بهره وری از راه دور / سطح مهارت پایین برای بهره برداری
☣️ فروشنده: Rockwell Automation
☣️ تجهیزات: PowerFlex 525 AC درایو
☣️ آسیب پذیری: Resource Exhaustion
2. ارزیابی خطر
بهره برداری موفق از این آسیب پذیری می تواند منجر به Resource Exhaustion، انکار سرویس و / یا تخریب حافظه شود.
3. مشخصات فنی
3.1 محصولات آسیب دیده
نسخه های زیر PowerFlex 525، یک درایو AC، تحت تاثیر قرار می گیرند:
PowerFlex 525 AC درایور با EtherNet / IP جاسازی شده و ایمنی نسخه 5.001 و قبل از آن.
3.2 مرور کلی آسیب پذیریها
3.2.1 مصرف منابع منحصربفرد ("خروج منابع")
بازیابی تهدید از راه دور، ناآگاهانه میتواند بارها و بارها بسته های خاص CIP را به یک درایو PowerFlex 525 آسیب برساند، که ممکن است باعث اختلال در دسترس بودن دستگاه شود.
3.3 نقاط آسیب پذیر:
⚠️ بخش های بحرانی INFASTRUCTURE: تولید بحرانی
⚠️ کشور / منطقه مورد تخریب: در سراسر جهان
⚠️ محل کشف: ایالات متحده
3.4 پژوهشگر
Nicolas Merle از خطر کاربردی این آسیب پذیری را به Rockwell Automation گزارش کرد.
4. نحوه رفع مشکل:
▪️شرکتRockwell Automation سیستم عامل جدیدی را برای رفع آسیب پذیری عرضه کرده است. آخرین نسخه سیستم عامل را از لینک زیر دریافت کنید:
https://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx؟Keyword=25B&crumb=112
▪️شرکتRockwell Automation توصیه های کلی امنیتی زیر را توصیه می کند:
🔸 از کنترل های زیربنایی شبکه مناسب مانند فایروال استفاده کنید تا اطمینان حاصل کنید پیام های CIP از منابع غیر مجاز مسدود می شوند.
🔸 مسدود کردن یا محدود کردن دسترسی به TCP و UDP پورت 2222 و پورت 44818 با استفاده از کنترل های زیرساختی مناسب شبکه، مانند فایروال، دستگاه های UTM یا سایر تجهیزات امنیتی، تمام ترافیک را به EtherNet / IP یا سایر دستگاه های مبتنی بر پروتکل CIP از خارج از منطقه تولید متوقف کند. لوازم خانگی برای اطلاعات بیشتر در مورد پورت های TCP / UDP استفاده شده توسط Rockwell Automation Products، مراجعه کنید به پایگاه داده Knowledgebase ID 898270 (ورود به سیستم).
🔸 در صورت لزوم، مستندات محصول را برای ویژگی های خاص بکارگیرید، مانند تنظیمات سوئیچ سخت افزاری که ممکن است برای جلوگیری از تغییرات غیر مجاز استفاده شود.
🔸 از نرم افزارهای قابل اعتماد، تکه های نرم افزاری، برنامه های آنتی ویروس / ضد ویروس استفاده کنید و فقط با وبسایت های معتبر و پیوست ها ارتباط برقرار کنید.
🔸 به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از دسترسی آنها از اینترنت یا شبکه کسب و کار.
🔸 هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های خصوصی مجازی (VPN ها) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود در آنها به روز شود.
▪️شرکت Rockwell Automation یک مشاوره امنیتی در مورد این آسیب پذیری منتشر کرده است که می تواند در وب سایت شرکت در محل زیر (Login required) یافت شود:
https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1082684
✅ کانال تخصصی @ics_cert توصیه می کند که کاربران اقدامات دفاعی را برای به حداقل رساندن خطر بهره برداری از این آسیب پذیری توصیه کنند. به طور خاص، کاربران باید:
1️⃣ به حداقل رساندن قرار گرفتن در معرض شبکه برای تمام دستگاه های سیستم کنترل و / یا سیستم ها و اطمینان از قطع دسترسی آنها از اینترنت.
2️⃣ شبکه های کنترل سیستم و دستگاه های راه دور را در فایروال قرار دهید و آنها را از شبکه کسب و کار جدا کنید.
3️⃣ هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن مانند شبکه های مجازی خصوصی (VPNs) استفاده کنید، شناسایی کنید که VPN ها ممکن است آسیب پذیری داشته باشند و باید به آخرین نسخه موجود به روز شوند.
✅کانال تخصصی @ics_cert به سازمانها توصیه می کند تا قبل از اعمال تدابیر دفاعی، تجزیه و تحلیل مناسب و ارزیابی خطر را انجام دهند.
🔅هیچ سوء استفاده عمومی شناخته شده به طور خاص این آسیب پذیری ها را هدف قرار نمی دهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
https://t.me/ics_cert
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
مقایسه هویتسنجی با اثر انگشت و با نقشه رگها در این جدول مشخصشده است:
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security
👨🏻🎓👩🏻🎓کتاس آمادگینشر نظرات و دیدگاههای شما را دارد
🦁«کتاس»
http://t.me/ict_security