This media is not supported in your browser
VIEW IN TELEGRAM
انیمیشن اعتیاد کودکان به بازی
دیدن این فیلم را به والدین عزیز توصیه میکنم
#بهداشت_سایبری
🦁«کتاس»
http://t.me/ict_security
دیدن این فیلم را به والدین عزیز توصیه میکنم
#بهداشت_سایبری
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (پدرام کیانی)
هشدار
سرویس Print.Spooler در معرض تهدید
اخیراً برای آسیب پذیری CVE-2021-1675 که در مورد Print.Spooler ویندوز شناسایی شده بود poc منتشر شده است. با سوءاستفاده از این حفره امنیتی امکان حملات RCE فراهم است.
✅تا زمان ارائه وصله امنیتی توسط ماکروسافت، توصیه می شود این سرویس غیر فعال گردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
سرویس Print.Spooler در معرض تهدید
اخیراً برای آسیب پذیری CVE-2021-1675 که در مورد Print.Spooler ویندوز شناسایی شده بود poc منتشر شده است. با سوءاستفاده از این حفره امنیتی امکان حملات RCE فراهم است.
✅تا زمان ارائه وصله امنیتی توسط ماکروسافت، توصیه می شود این سرویس غیر فعال گردد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
Forwarded from IACS (پدرام کیانی)
⛔️ هشدار: انتشار اکسپلویت برای آسیبپذیری بحرانی
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service
این آسیبپذیری بحرانی بوده و تمامی سیستمعاملهای ویندوزی را تحت تاثیر قرار داده و انتشار اکسپلویت آن بصورت عمومی و گسترده بسیار حساس و خطرناک است.
برای اطلاعات بیشتر به لینکهای زیر مراجعه کنید:
🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
🌐 https://github.com/afwu/PrintNightmare
🌐 https://github.com/cube0x0/CVE-2021-1675
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service
این آسیبپذیری بحرانی بوده و تمامی سیستمعاملهای ویندوزی را تحت تاثیر قرار داده و انتشار اکسپلویت آن بصورت عمومی و گسترده بسیار حساس و خطرناک است.
برای اطلاعات بیشتر به لینکهای زیر مراجعه کنید:
🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
🌐 https://github.com/afwu/PrintNightmare
🌐 https://github.com/cube0x0/CVE-2021-1675
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Forwarded from IACS (پدرام کیانی)
رسانهها گزارش کردهاند که بدنبال اختلال سراسری در ساعات اخیر در سیستمهای کامپیوتری شرکت راه آهن ایران "فعالیت صدها خطوط قطار به تعویق افتاده و حتی لغو شد، ورودی ها و خروجی ها، مراکز خرید بلیط، خدمات الکترونیک باری و مسافری" از کار افتاده است.
همچنین سایت شرکت راهآهن ایران هم دچار اختلال شده است.
خبرگزاری فارس اعلام کرده که این اختلال در اثر "حمله سایبری" بوده است.
تاکنون هیچ مقام رسمی در وزارت راه و ارتباطات ایران حمله سایبری را تایید نکرده است.
فارس نوشته "صفحات اعلان ساعات ورود و خروج قطار، لغو فعالیت تمامی خطوط قطار را اعلان کرده و پیام 'تاخیر زیاد بدنبال حملات سایبری' بر روی آنها قید شده است".
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
همچنین سایت شرکت راهآهن ایران هم دچار اختلال شده است.
خبرگزاری فارس اعلام کرده که این اختلال در اثر "حمله سایبری" بوده است.
تاکنون هیچ مقام رسمی در وزارت راه و ارتباطات ایران حمله سایبری را تایید نکرده است.
فارس نوشته "صفحات اعلان ساعات ورود و خروج قطار، لغو فعالیت تمامی خطوط قطار را اعلان کرده و پیام 'تاخیر زیاد بدنبال حملات سایبری' بر روی آنها قید شده است".
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
⛔️ هشدار: حملات باجافزاری و لزوم پشتیبانگیری از دادههای با ارزش
با توجه به افزایش حملات باجافزاری در روزهای اخیر در کشورهای مختلف دنیا از جمله آمریکا، دانمارک، سوئد و غیره، به سازمانها، شرکتها و اشخاص حقیقی اکیدا توصیه میشود نسبت به تهیهی پشتیبان از اطلاعات با ارزش خود اقدام نمایند. مهاجمان از روشهای مختلف مبادرت به نفوذ به سیستمهای رایانهای نموده و بعد از آن نسبت به رمزنگاری دادههای قربانیان، درخواست باج جهت برگرداندن اطلاعات میکنند.
توصیه میشود: "در اسرع وقت پشتیبانگیری از دادهها انجام شود."
🦁«کتاس»
http://t.me/ict_security
با توجه به افزایش حملات باجافزاری در روزهای اخیر در کشورهای مختلف دنیا از جمله آمریکا، دانمارک، سوئد و غیره، به سازمانها، شرکتها و اشخاص حقیقی اکیدا توصیه میشود نسبت به تهیهی پشتیبان از اطلاعات با ارزش خود اقدام نمایند. مهاجمان از روشهای مختلف مبادرت به نفوذ به سیستمهای رایانهای نموده و بعد از آن نسبت به رمزنگاری دادههای قربانیان، درخواست باج جهت برگرداندن اطلاعات میکنند.
توصیه میشود: "در اسرع وقت پشتیبانگیری از دادهها انجام شود."
🦁«کتاس»
http://t.me/ict_security
This media is not supported in your browser
VIEW IN TELEGRAM
ببینید
یه مادر نمونه و یک روش نمونه برای تذکر به اعضای خانواده که سرشون تو گوشی نباشه 😁
برید خداروشکر کنید که مادرتون فقط از جملهی "چرا همش سرت تو گوشیه " استفاده میکنه و روش های دیگه رو اجرا نمیکنه.
🦁«کتاس»
http://t.me/ict_security
یه مادر نمونه و یک روش نمونه برای تذکر به اعضای خانواده که سرشون تو گوشی نباشه 😁
برید خداروشکر کنید که مادرتون فقط از جملهی "چرا همش سرت تو گوشیه " استفاده میکنه و روش های دیگه رو اجرا نمیکنه.
🦁«کتاس»
http://t.me/ict_security
Forwarded from IACS (پدرام کیانی)
🔴🔴🔴هک گستردهی سیستمهای اداری وزارت راه و شهرسازی
♨️هک گستردهی سیستمهای اداری وزارت راه و شهرسازی، این وزارتخانه را نیمه تعطیل کرد.
▪️به گزارش انصاف نیوز، بدنبال حمله سایبری روز گذشته به شرکت راه آهن و ستاد وزارت راه و شهرسازی، بسیاری از فعالیتهای جاری این وزارتخانه متوقف شده است.
▪️بنا بر گفتهی یک کارشناس وزارت راه به انصاف نیوز، بررسیهای بعمل آمده ضعف لایههای امنیتی و عدم سرمایهگذاری مناسب در حوزهی امنیت، متولی دوگانهی حراست و فاوا در حوزهی امنیت، وجود سیستمهای جزیرهای، عدم سرمایهگذاری در توسعهی زیرساختهای یکپارچه، عدم انجام تست نفوذ سیستمها مطابق با دستورالعملهای افتا، متوقف شدن اجرای طرح معماری سازمانی و معماری سیستمهای اطلاعاتی، ضعف ساختاری و نیروی انسانی مدیریت فناوری اطلاعات و ارتباطات، نگاه بخشی به مباحث و وظایف فاوا در وزارت راه و شهرسازی، از جملهی مسائل و مشکلات فاوا وزارت راه و شهرسازی در سالهای اخیر برشمرده شده که بروز مشکلات این چنینی را بوجود آورده است. منبع (http://www.ensafnews.com/301578/%D9%87%DA%A9-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87%E2%80%8C%DB%8C-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%A7%D8%AF%D8%A7%D8%B1%DB%8C-%D9%88%D8%B2%D8%A7%D8%B1%D8%AA-%D8%B1%D8%A7/)
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
♨️هک گستردهی سیستمهای اداری وزارت راه و شهرسازی، این وزارتخانه را نیمه تعطیل کرد.
▪️به گزارش انصاف نیوز، بدنبال حمله سایبری روز گذشته به شرکت راه آهن و ستاد وزارت راه و شهرسازی، بسیاری از فعالیتهای جاری این وزارتخانه متوقف شده است.
▪️بنا بر گفتهی یک کارشناس وزارت راه به انصاف نیوز، بررسیهای بعمل آمده ضعف لایههای امنیتی و عدم سرمایهگذاری مناسب در حوزهی امنیت، متولی دوگانهی حراست و فاوا در حوزهی امنیت، وجود سیستمهای جزیرهای، عدم سرمایهگذاری در توسعهی زیرساختهای یکپارچه، عدم انجام تست نفوذ سیستمها مطابق با دستورالعملهای افتا، متوقف شدن اجرای طرح معماری سازمانی و معماری سیستمهای اطلاعاتی، ضعف ساختاری و نیروی انسانی مدیریت فناوری اطلاعات و ارتباطات، نگاه بخشی به مباحث و وظایف فاوا در وزارت راه و شهرسازی، از جملهی مسائل و مشکلات فاوا وزارت راه و شهرسازی در سالهای اخیر برشمرده شده که بروز مشکلات این چنینی را بوجود آورده است. منبع (http://www.ensafnews.com/301578/%D9%87%DA%A9-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87%E2%80%8C%DB%8C-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%A7%D8%AF%D8%A7%D8%B1%DB%8C-%D9%88%D8%B2%D8%A7%D8%B1%D8%AA-%D8%B1%D8%A7/)
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
انصاف نیوز
هک گستردهی سیستمهای اداری وزارت راه و شهرسازی
هک گستردهی سیستمهای اداری وزارت راه و شهرسازی، این وزارتخانه را نیمه تعطیل کرد. به گزارش انصاف نیوز، بدنبال حمله سایبری روز گذشته به شرکت راه آهن و ستاد وزارت راه و شهرسازی، بسیاری از فعالیتهای جاری این وزارتخانه متوقف شده است. بنا بر گفتهی یک کارشناس…
Forwarded from IACS (پدرام کیانی)
دستورالعملهایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر
لازم به ذکر است که با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امنسازی لازم است حتما سیاستهای دفاع در عمق با اولویت بالا رعایت گردد که در ادامه به برخی از مهمترین نکات اشاره میشود:
1. تمامی دسترسی های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و حتیالمقدور پسوردهای قبلی اکانتهای ادمین به سرعت تغییر نماید.
همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی گردد.
2. تمامی دسترسی های سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصب شده بر روی سرورهای فیزیکی مورد بازبینی قرار گرفته و حتیالمقدور رمز اکانت های روت/ ادمین بازنشانی گردد.
3. سرویس SSH را در سرورهای ESX غیرفعال نمایید.
4. دسترسی پورتهای ILO در سرورهای HP از شبکه کاملا قطع شود.
5. دسترسی از راه دور به شبکه در ساعات غیرکاری حتیالمقدور محدود گردد و از VPN (مبتنی بر کلید خصوصی نرمافزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود.
6. سامانههای ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکرهبندی سیستم ها را شامل شود. نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH به سرورها و دسترسیهای ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری نمایید.
7. تهیه پشتیبان منظم از دادهها بر روی رسانههای آفلاین و اطمینان از صحت پشتیبانها
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
لازم به ذکر است که با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امنسازی لازم است حتما سیاستهای دفاع در عمق با اولویت بالا رعایت گردد که در ادامه به برخی از مهمترین نکات اشاره میشود:
1. تمامی دسترسی های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و حتیالمقدور پسوردهای قبلی اکانتهای ادمین به سرعت تغییر نماید.
همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی گردد.
2. تمامی دسترسی های سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصب شده بر روی سرورهای فیزیکی مورد بازبینی قرار گرفته و حتیالمقدور رمز اکانت های روت/ ادمین بازنشانی گردد.
3. سرویس SSH را در سرورهای ESX غیرفعال نمایید.
4. دسترسی پورتهای ILO در سرورهای HP از شبکه کاملا قطع شود.
5. دسترسی از راه دور به شبکه در ساعات غیرکاری حتیالمقدور محدود گردد و از VPN (مبتنی بر کلید خصوصی نرمافزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود.
6. سامانههای ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکرهبندی سیستم ها را شامل شود. نسبت به تلاش برای دسترسی به پورتهای ILO یا SSH به سرورها و دسترسیهای ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری نمایید.
7. تهیه پشتیبان منظم از دادهها بر روی رسانههای آفلاین و اطمینان از صحت پشتیبانها
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
✅ انتشار اصلاحیه امنیتی مایکروسافت و Adobe در ماه جولای 2021
روز گذشته مایکروسافت در یک بهروزرسانی 9 آسیبپذیری روز صفر و 117 نقص امنیتی را برطرف کرده است.
اصلاحیه امنیتی مایکروسافت شامل وصله 9 آسیبپذیری روزصفرم و 18 آسیبپذیری بحرانی است که چهار مورد تحت بهره برداری فعال قرار دارند (با احتساب PritnNightmare):
CVE-2021-34492 - Windows Certificate Spoofing Vulnerability
CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability
CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability
CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability
CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability
CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability
CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability
همچنین Adobe نیز در این بهروزرسانی 28 آسیبپذیری را در 6 محصول خود رفع کرده است.
وصله چند آسیبپذیری شدت بالا در Adobe Acrobat and Reader:
CVE-2021-28638 (شدت 8.8)
CVE-2021-28642 (شدت 8.8)
CVE-2021-28641 (شدت 8.8)
CVE-2021-28639 (شدت 8.8)
CVE-2021-28640 (شدت 8.0)
برای اطلاعات بیشتر و دریافت اطلاعات درخصوص بهروزرسانیها به لینکهای زیر مراجعه کنید:
🌐 https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/
🌐 https://www.bleepingcomputer.com/news/security/adobe-updates-fix-28-vulnerabilities-in-6-programs/
🦁«کتاس»
http://t.me/ict_security
روز گذشته مایکروسافت در یک بهروزرسانی 9 آسیبپذیری روز صفر و 117 نقص امنیتی را برطرف کرده است.
اصلاحیه امنیتی مایکروسافت شامل وصله 9 آسیبپذیری روزصفرم و 18 آسیبپذیری بحرانی است که چهار مورد تحت بهره برداری فعال قرار دارند (با احتساب PritnNightmare):
CVE-2021-34492 - Windows Certificate Spoofing Vulnerability
CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability
CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability
CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability
CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability
CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability
CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability
همچنین Adobe نیز در این بهروزرسانی 28 آسیبپذیری را در 6 محصول خود رفع کرده است.
وصله چند آسیبپذیری شدت بالا در Adobe Acrobat and Reader:
CVE-2021-28638 (شدت 8.8)
CVE-2021-28642 (شدت 8.8)
CVE-2021-28641 (شدت 8.8)
CVE-2021-28639 (شدت 8.8)
CVE-2021-28640 (شدت 8.0)
برای اطلاعات بیشتر و دریافت اطلاعات درخصوص بهروزرسانیها به لینکهای زیر مراجعه کنید:
🌐 https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/
🌐 https://www.bleepingcomputer.com/news/security/adobe-updates-fix-28-vulnerabilities-in-6-programs/
🦁«کتاس»
http://t.me/ict_security
BleepingComputer
Microsoft July 2021 Patch Tuesday fixes 9 zero-days, 117 flaws
Today is Microsoft's July 2021 Patch Tuesday, and with it comes fixes for nine zero-day vulnerabilities and a total of 117 flaws, so Windows admins will be pulling their hair out as they scramble to get devices patched and secured.
شرکت امنیتی سیتیزن لب (Citizen Lab) با همکاری شرکت مایکروسافت موفق به شناسایی یک جاسوسافزار شده است که از آسیبپذیریهای CVE-2021-31979 و CVE-2021-33771 در سیستم عامل ویندوز بهرهبرداری میکند. این جاسوسافزار توسط شرکت اسرائیلی کاندیرو (Candiru) توسعه داده شده است. این شرکت در گذشته ابزارهای جاسوسی فراوانی را برای نفوذ به سیستمهای عامل ویندوز، اندروید و IOS توسعه داده است. طبق بررسیهای انجامشده توسط شرکت مایکروسافت حداقل 100 قربانی در کشورهای ایران، فلسطین، یمن، ترکیه، لبنان و غیره توسط این جاسوسافزار مورد حمله قرار گرفتهاند. برای جزییات بیشتری به لینک زیر مراجعه نمایید:
https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/
شرکت مایکروسافت در تاریخ 13 جولای وصلههایی برای رفع آسیبپذیریهای CVE-2021-31979 و CVE-2021-33771 در نسخههای مختلف سیستم عامل ویندوز منتشر کرده است. با بهرهبرداری از این آسیبپذیریها مهاجم میتواند جعبه شن مرورگر را دور زده و امکان اجرای کد هسته (ارتقای امتیاز در هسته ویندوز) را به دست آورد. بهروزرسانیهای امنیتی برای نسخههای آسیبپذیر ویندوز از نشانیهای زیر قابل دریافت است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31979
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33771
🦁«کتاس»
http://t.me/ict_security
https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/
شرکت مایکروسافت در تاریخ 13 جولای وصلههایی برای رفع آسیبپذیریهای CVE-2021-31979 و CVE-2021-33771 در نسخههای مختلف سیستم عامل ویندوز منتشر کرده است. با بهرهبرداری از این آسیبپذیریها مهاجم میتواند جعبه شن مرورگر را دور زده و امکان اجرای کد هسته (ارتقای امتیاز در هسته ویندوز) را به دست آورد. بهروزرسانیهای امنیتی برای نسخههای آسیبپذیر ویندوز از نشانیهای زیر قابل دریافت است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31979
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33771
🦁«کتاس»
http://t.me/ict_security
Microsoft News
Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware
The Microsoft Threat Intelligence Center (MSTIC) alongside the Microsoft Security Response Center (MSRC) has uncovered a private-sector offensive actor, or PSOA, that we are calling SOURGUM in possession of now-patched, Windows 0-day exploits (CVE-2021-31979…
شش آسیب پذیری خطرناک در افزونه File Management وردپرس کشف شده است که امکان اجرای حمله حذف صفحات و پست های وردپرس و اجرای کد از راه دور را بر روی وبسایت فراهم میکند. این آسیبپذیریها نسخه ۱۷.۱ و ۱۸.۲ پلاگین Front File Manager وردپرس را که در بیش از ۲۰۰۰ سایت وردپرسی فعال است تحت تأثیر قرار میدهد. به کاربران توصیه میشود به منظور محافظت از خود در برابر این حملات، افزونهی File Management خود را به نسخهی ۱۸.۳ یا بالاتر ارتقاء دهند.
https://threatpost.com/frontend-file-manager-wordpress-bugs/167687/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
https://threatpost.com/frontend-file-manager-wordpress-bugs/167687/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Threat Post
WordPress File Management Plugin Riddled with Critical Bugs
The bugs allow a range of attacks on websites, including deleting blog pages and remote code execution.
Forwarded from IACS (پدرام کیانی)
ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری هفته گذشته
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع و یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا میگویند: این بی توجهیها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیریهای اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که:
1- مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.
2- نفوذ به سامانههای وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساختهای IP را تخریب میکنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیر ساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند.
8- تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است.
مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیرهای و وصله فوری آنها و جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعال سازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
5- کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت موظفند، از دیتاهای سازمان خود، بطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع و یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا میگویند: این بی توجهیها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیریهای اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که:
1- مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.
2- نفوذ به سامانههای وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساختهای IP را تخریب میکنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیر ساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند.
8- تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است.
مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیرهای و وصله فوری آنها و جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعال سازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
5- کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت موظفند، از دیتاهای سازمان خود، بطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
تصاحب دامین سرور با سوءاستفاده از آسیبپذیری PrintNightmare
مایکروسافت، PrintNightmare را بهعنوان یک آسیبپذیری روز – صفر تأیید کرد که قبل از بهروزرسانیهای امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخههای ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیبپذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را میدهد .
علیرغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان میتواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار میدهد و به دلیل لیست طولانی اشکالاتی که در طول سالها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نامگذاری کردهاند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کردهاند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بودهاند. به نظر میرسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهرهبرداری PrintNightmare RCE روی سیستمهای بهروز کار میکند.
قابل ذکر است که PrintNightmare در همه نسخههای ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیبپذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه میشود که سرویسWindows Print Spooler را در سیستمهای دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.
شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
مایکروسافت، PrintNightmare را بهعنوان یک آسیبپذیری روز – صفر تأیید کرد که قبل از بهروزرسانیهای امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخههای ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیبپذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را میدهد .
علیرغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان میتواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار میدهد و به دلیل لیست طولانی اشکالاتی که در طول سالها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نامگذاری کردهاند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کردهاند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بودهاند. به نظر میرسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهرهبرداری PrintNightmare RCE روی سیستمهای بهروز کار میکند.
قابل ذکر است که PrintNightmare در همه نسخههای ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیبپذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه میشود که سرویسWindows Print Spooler را در سیستمهای دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.
شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/راهکارهای موقت مایکروسافت برای آسیبپذیری روز - صفر PrintNightmare
پورتال--/
سازمانهای ایرانی، هدف نوعی بدافزار با دامهایی به زبان فارسی
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرمافزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرف نظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل ازردهخارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمیشود.
اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روشهای نفوذ به سیستم های سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرمافزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرف نظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل ازردهخارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمیشود.
اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روشهای نفوذ به سیستم های سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا
پورتال--
ترمیم آسیبپذیری روز- صفر توسط SolarWinds
شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیبپذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرعوقت، نسبت به نصب بهروزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیبپذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیصدادهشده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر میپذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیبپذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیهنامه زیر به روشهایی که از طریق آنها میتوان به هک شدن سازمان به دلیل وجود آسیبپذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
در توصیهنامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولینبار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلودهسازی یکی از فایلهای نرمافزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید. بررسیهای بعدی نشان داد که مهاجمان با بهکارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمانها و شرکتهای مطرح در کشورهای مختلف شده بودند.
منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیبپذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرعوقت، نسبت به نصب بهروزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیبپذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیصدادهشده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر میپذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیبپذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیهنامه زیر به روشهایی که از طریق آنها میتوان به هک شدن سازمان به دلیل وجود آسیبپذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
در توصیهنامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولینبار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلودهسازی یکی از فایلهای نرمافزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید. بررسیهای بعدی نشان داد که مهاجمان با بهکارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمانها و شرکتهای مطرح در کشورهای مختلف شده بودند.
منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
BleepingComputer
SolarWinds patches critical Serv-U vulnerability exploited in the wild
SolarWinds is urging customers to patch a Serv-U remote code execution vulnerability exploited in the wild by "a single threat actor" in attacks targeting a limited number of customers.