⛔️ هشدار: آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس


طبق آخرین گزارشات CIS Security آسیب‌پذیری‌های چندگانه جدید در Mozilla Firefox/ESR کشف شده است که شدیدترین آن‌ها می‌توانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند.

طبق گزارشات در حال حاضر بهره‌برداری از آسیب‌پذیری‌ها بصورت فعال انجام نشده است.

مرورگرهای تحت تاثیر این آسیب‌پذیری‌ها:

- Mozilla Firefox versions prior to 94
- Firefox ESR versions prior to 91.3


به کاربران توصیه می‌شود که مرورگرهای خود را به آخرین نسخه موجود به‌روزرسانی کنند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

هشدار: آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر موزیلا فایرفاکس


طبق آخرین گزارشات CIS Security آسیب‌پذیری‌های چندگانه جدید در Mozilla Firefox/ESR کشف شده است که شدیدترین آن‌ها می‌توانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند.

طبق گزارشات در حال حاضر بهره‌برداری از آسیب‌پذیری‌ها بصورت فعال انجام نشده است.

مرورگرهای تحت تاثیر این آسیب‌پذیری‌ها:

- Mozilla Firefox versions prior to 94
- Firefox ESR versions prior to 91.3


به کاربران توصیه می‌شود که مرورگرهای خود را به آخرین نسخه موجود به‌روزرسانی کنند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

✅ پرونده حمله سایبری سامانه سوخت به دستگاه قضا ارسال شد

سردار غلامرضا جلالی رئیس سازمان پدافند غیرعامل:

🔻بررسی‌های ما نشان داد که برنامه دشمن برای حمله سایبری به سامانه مدیریت سوخت، از چهار مولفه تشکیل شده بود:

🔹نخست بخش سایبری مبتنی بر استفاده دشمن از ضعف‌ها و آسیب‌پذیری‌های ذاتی سیستم سوخت رسانی.
🔹دوم، قطع سیستم سوخت و عدم امکان خدمت رسانی به مردم.
🔹سوم استفاده از ظرفیت رسانه‌های بیگانه، برای برانگیختن مردم.
🔹چهارم دعوت مردم به اعتراض و اغتشاش و آشوب.
🔹این پرونده برای بررسی و پیگیری‌های قضایی به دادستان کل کشور و سازمان بازرسی ارسال شده است./ایرنا
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

به‌روزرسانی امنیتی VMware برای Tanzu Application Service


شرکت VMware در تاریخ یازدهم نوامبر یک به‌روزرسانی امنیتی برای رفع آسیب‌پذیری در Tanzu Application Service منتشر کرده است. یک مهاجم از راه دور می‌تواند از این آسیب‌پذیری برای حملات DoS سوءاستفاده کند.

این آسیب‌پذیری دارای درجه حساسیت مهم با شناسه VMSA-2021-0026 ویژه محصولات VMware و با امتیاز 7.5 از 10 در مقیاس CVSSv3 ثبت شده است و با شناسه CVE-2021-22101 قابل ردیابی بوده و توسط VMware در این به‌روزرسانی وصله شده است.

در نهایت شرکت VMware اکیداً توصیه به به‌روزرسانی فوری در محصول تحت تاثیر را داشته است.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

فوری/ سایت مجلس خبرگان و دادگستری از دسترس خارج شد
به نقل از شرق، تا این لحظه، سایت مجلس خبرگان رهبری و وزارت دادگستری هم از دسترس خارج شده است، اما مشخص نیست این موضوع به حملات ربط دارد یا نه.

سایت شخصی آیت‌الله علم الهدی نیز مورد حمله سایبری قرارگرفته است.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

تکذیب حمله سایبری به اطلاعات سدهای کشور

مدیرکل دفتر مدیریت بحران و پدافند غیرعامل وزارت نیرو ضمن تکذیب اخبار منتشر شده در خصوص حملات سایبری به سیستم اطلاعات سدهای کشور گفت: برخی محدودیت‌ها از سوی وزارت نیرو برای افراد خارج از سیستم به منظور دسترسی به اطلاعات اعمال شده است.

سید اعتضاد مقیمی در گفت‌وگو با ایسنا، با بیان اینکه وزارت نیرو به صورت خودخواسته محدودیت‌هایی را برای عموم و دسترسی به اطلاعات سدها ایجاد کرده است و این موضوع هیچ ارتباطی با موضوعات مطرح شده ندارد، اظهار کرد: هیچ اتفاق خاصی نیفتاده است و از داخل سیستم دسترسی ها وجود دارد.

وی با تاکید بر اینکه هیچ حمله سایبری رخ نداده و اساس این صحبت ها کذب است، تصریح کرد: وزارت نیرو این محدودیت ها را ایجاد کرده و همه چیز تحت کنترل است و هیچ مشکلی وجود ندارد.

به گزارش ایسنا، در برخی رسانه‌ها موضوع حملات سایبری به سیستم اطلاعات سدهای کشور مطرح و اعلام شده که در دو هفته گذشته سیستم‌های مربوط به جمع آوری و ارزیابی میزان ذخایر سدهای کشور بطور کامل قطع شده به نحوی که در این مدت هیچ گونه دسترسی به میزان ذخایر سدهای کشور وجود نداشته است.

شرکت مدیریت منابع آب ایران هم طی اطلاعیه‌ای اعلام کرده که هیچ گونه حمله سایبری وجود نداشته و همکاران ما در بخش صنعت آب برای ایمن سازی سامانه های اطلاعات و آمار این حوزه برخی دسترسی ها را به این سایت ها محدود کردند. زیرا این سایت ها در دسترس هستند و این اقدام، امری معمولی است.
https://www.isna.ir/news/1400090302545/
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شکایت اپل علیه سازنده جاسوس افزار پگاسوس

شرکت اپل شکایتی علیه شرکت سایبری اسرائیلی NSO Group و شرکت مادرش OSY Technologies به دلیل جاسوسی از کاربران آمریکایی اپل با استفاده از جاسوس افزار پگاسوس تنظیم کرد.

به گزارش ایسنا، اپل اعلام کرد درصدد است استفاده از هر گونه نرم افزار، خدمات یا دستگاههای این شرکت را برای NSO Group ممنوع کند تا از سوءاستفاده بیشتر جلوگیری کند.

اپل جدیدترین شرکتی است که علیه NSO Group که سازنده ابزار هک پگاسوس است و به گفته گروههای دیده بان، فعالان حقوق بشر و روزنامه نگاران را هدف قرار داده است، دست به اقدام می زند. مقامات آمریکایی اوایل ماه میلادی جاری این شرکت را در فهرست سیاه تجاری قرار دادند. همچنین NSO Group با اقدام حقوقی یا انتقاد از سوی شرکتهای مایکروسافت، متا پلتفرمز(فیس بوک)، آلفابت و سیسکو سیستمز روبروست.

شرکت NSO Group ظاهرا در دور زدن امنیت محصولات ساخت این شرکتها و فروش آن در قالب ابزارهای هک به دولتهای خارجی فعالیت داشته است.

این شرکت مدعی است ابزارهای هک خود را تنها به دولتها و سازمانهای اجرایی می فروشد و در بیانیه ای اعلام کرد که هزاران زندگی با استفاده از ابزارهای این شرکت نجات داده شده است. سخنگوی این شرکت در بیانیه ای گفت: تروریستها و مجرمان می توانند آزادانه در بهشتهای فناوری فعالیت کنند و ما برای دولتها ابزارهای قانونی برای مبارزه با آنها فراهم کردیم.

شرکت اپل در شکایتی که در دادگاه منطقه ای منطقه شمالی کالیفرنیا تنظیم کرد، اعلام کرد ابزارهای NSO Group برای تلاشهای هماهنگ در سال ۲۰۲۱ برای هدف گرفتن و حمله به مشتریان اپل استفاده شده و شهروندان آمریکایی توسط جاسوس افزار NSO Group در دستگاههای موبایلی شنود شدند که می توانند از مرزهای بین المللی عبور کنند.

اپل اعلام کرد این شرکت سازنده جاسوس افزار بیش از ۱۰۰ اپل آدی جعلی ساخته تا بتواند حملاتش را انجام دهد. سرورهای اپل هک نشده اما NSO Group از سرورهای اپل برای انجام حملات علیه کاربران اپل سوءاستفاده کرده است.

همچنین اپل مدعی شد شرکت NSO Group خدمات مشاوره برای این حملات فراهم کرد که قابل توجه است زیرا این شرکت مدعی است که ابزارهای هک را به مشتریان می فروشد.

بر اساس گزارش رویترز، اپل اعلام کرد تاکنون شواهدی از این که ابزارهای NSO Group علیه دستگاههایی که از سیستم عامل جدید iOS ۱۵ استفاده می کنند، نیافته است. سازنده آیفون ۱۰ میلیون دلار و همچنین خسارتی که از طریق این شکایت دریافت می کند را به گروههای تحقیق جاسوسی سایبری از جمله Citizen Lab، گروه دانشگاه تورنتو که برای نخستین بار حملات NSO Group را شناسایی کرد، اهدا خواهد کرد.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

هشدار امنیتی

⚠️ تمام نسخه های #Windows در برابر بهره برداری جدید روزصفر آسیب پذیر هستند.

"توسعه دهندگان بدافزار در حال حاضر در تلاش برای استفاده از این آسیب پذیری هستند".
👉 https://lnkd.in/e5GrJcaQ

#Microsoft #ZeroDay #CyberSecurity #Infosec #CISO #Vulnerability

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🔴 آسیب‌پذیری روزصفر جدید در Windows 10❗️

🔷 این آسیب‌پذیری امنیتی با شناسه CVE-2021-24084، در سرویس Mobile Device Management وجود دارد و سیستم‌های دارای سیستم‌عامل Windows 10 نسخه ۱۸۰۹ و بالاتر را تحت تأثیر قرار می‌دهد.

🔶 در حالی که مایکروسافت به احتمال زیاد متوجه افشای این نقص در ماه ژوئن شده است، اما هنوز باگ LPE را اصلاح نکرده و سیستم‌های ویندوز ۱۰ با آخرین به‌روزرسانی‌های امنیتی نوامبر ۲۰۲۱ را در معرض حملات قرار می‌دهد.

❌ محصولات تحت تأثیر:
▪️Windows 10 v21H1 (32 & 64 bit)
▪️Windows 10 v20H2 (32 & 64 bit)
▪️Windows 10 v2004 (32 & 64 bit)
▪️Windows 10 v1909 (32 & 64 bit)
▪️Windows 10 v1903 (32 & 64 bit)
▪️Windows 10 v1809 (32 & 64 bit)

✅ تا زمانی که مایکروسافت یک وصله‌ رسمی برای این نقص منتشر کند، 0patch میکروپچ‌های رایگان برای این آسیب‌پذیری ارائه می‌دهد. کاربرانی که می‌خواهند میکروپچ‌ها را نصب کنند، می‌توانند یک حساب کاربری رایگان در 0patch Central ایجاد کنند، سپس 0patch Agent را از 0patch.com نصب کنند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

♨️ امروز ۳۰ نوامبر روز جهانی " امنیت کامپیوتری " است

🔸 تمامی کامپیوترها از کامپیوترهای موجود در منازل تا کامپیوترهای موجود در سازمان ها و موسسات بزرگ، در معرض آسیب و تهدیدات امنیتی می باشد.
🔸 با انجام تدابیر لازم و استفاده از برخی روش های ساده می توان پیشگیری لازم و اولیه ای در خصوص ایمن سازی محیط کامپیوتری خود انجام داد

🔹 اما شما بعنوان یک کاربر چگونه می‌توانید امنیت سیستم خود را در برابر تهدیدهای سایبری تامین کنید؟

1️⃣ از firewall استفاده کنید.

2️⃣ نرم‌افزارهای آنتی‌ویروس نصب کنید.

3️⃣ مرورگر، برنامه‌ها و سیستم عامل خود را به روز نگه دارید.

4️⃣ برای حساب‌های کاربردی خود گذرواژه‌های پیچیده و طولانی انتخاب کنید.

5️⃣ پیام‌های اسپم را نادیده بگیرید.

6️⃣ از اطلاعات سیستم خود بک آپ تهیه کنید.

7️⃣ امنیت شبکه مورد استفاده خود را ارتقا دهید.

8️⃣ از احراز هویت 2 مرحله ای یا همان Two-Factor Authentication استفاده کنید.
🦁«کتاس»
‏http://t.me/ict_security

بدون شرح!!!

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🔴 هشدار در خصوص سوءاستفاده از آسیب پذیری بحرانی Apache
📝 آسیب پذیری جدید کتابخانه Log4j2 در Apache امکان اجرای کد از راه دور را برای مهاجم فراهم می کند.
شناسه آسیب­ پذیری:
CVE-2021-44228

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

Tesla pwned via #Log4j RCE

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

محققان ماژول مخرب جدیدی را برای سرورهای IIS کشف کردند - به نام Owowa - که مهاجمان از آن برای سرقت اطلاعات کاربری Microsoft Exchange و به دست آوردن توانایی اجرای کد از راه دور در سرورهای زیرین استفاده می کنند.

جزئیات: https://thehackernews.com/2021/12/hackers-using-malicious-iis-server.html
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

هشدار بسیار مهم :
آسیب‌پذیری Log4j اکنون به بخش صنعتی ضربه می‌زند، از کاربران می‌خواهم محصولات آسیب‌دیده را شناسایی، کاهش دهند، وصله کنند.

زیمنس روز دوشنبه وجود آسیب‌پذیری Apache Log4j را در برخی از خطوط تولید خود شناسایی کرد که به طور بالقوه می‌تواند توسط مهاجمان احراز هویت نشده از راه دور برای اجرای کد روی سیستم‌های آسیب‌پذیر مورد سوء استفاده قرار گیرد. محصولات آسیب دیده عبارتند از:
ادامه مطلب در لینک زیر:
‏https://lnkd.in/daAMKVBG

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

⚠️ هشدار❗️
🔴 هکرها بهره‌برداری از دومین آسیب‌پذیری Log4j را آغاز نموده‌اند.

🔷 شرکت Cloudflare روز چهارشنبه فاش کرد که مهاجمان فعالانه تلاش می‌کنند تا از دومین باگ افشا شده در ابزار لاگ Log4j که به طور گسترده مورد استفاده قرار گرفته است سوءاستفاده کنند.

🔶 این آسیب‌پذیری‌ با شناسه CVE-2021-45046، امکان انجام حمله‌ی منع سرویس (DoS) را برای مهاجمان فراهم می‌کند و به دنبال افشای بنیاد نرم‌افزار آپاچی(ASF) است. این نقص ناشی از رفع ناقص آسیب‌پذیری CVE-2021-44228 در Apache Log4j 2.15.0 برای برخی از پیکربندی‌های غیرپیش‌فرض می‌باشد.

🔷 تحقیقات نشان می‌دهد که این CVE جدید، اقداماتِ کاهشیِ قبلی را که برای محافظت از نسخه‌های زیر در برابر Log4Shell، در برخی موارد استفاده می‌شد، باطل می‌کند:
🔺2.7.0 <= Apache
🔻log4j <= 2.14.16

✅ این آسیب‌پذیری در Log4j نسخه 2.16.0 برطرف شده است. لذا به کاربران توصیه می‌شود هر چه سریع‌تر آخرین نسخه را نصب نمایند، زیرا رگبار حملات همچنان سیستم‌های آسیب‌پذیر را با انواع بدافزارها یا حتی باج‌افزارها هدف قرار می‌دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🛡 دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمان ها و کسب و کارها

وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند در برخی موارد دسترسی به داده‌های سازمان‌ها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسی‌ها و جستجوهای ساده داده‌ها افشا می‌شوند. لذا به‌‌منظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها اکیدا توصیه می‌گردد اقداماتی صورت پذیرد.

برای دریافت گزارش کامل این اقدامات، به لینک زیر مراجعه کنید:

🌐 https://cert.ir/news/13301

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

غول لجستیک آلمانی هلمان از حمله سایبری خبر داد
این شرکت میلیارد دلاری در 173 کشور فعالیت می کند و خدمات لجستیکی را برای حمل و نقل ریلی، دریایی، حمل و نقل هوایی و جاده ای ارائه می دهد.

شرکت تدارکات میلیارد دلاری Hellmann Worldwide Logistics یک حمله سایبری در این هفته گزارش داد که آنها را مجبور کرد به طور موقت تمام اتصالات به مرکز داده مرکزی خود را حذف کنند. این شرکت گفت که این تعطیلی "تأثیر مادی" بر عملیات تجاری آنها داشته است.

این شرکت آلمانی در 173 کشور فعالیت می کند و لجستیکی را برای طیف وسیعی از حمل و نقل هوایی و دریایی و همچنین خدمات حمل و نقل ریلی و جاده ای انجام می دهد. Air Cargo News که اولین بار این حمله را گزارش کرد، گفت که این شرکت در سال گذشته نزدیک به 3 میلیارد دلار درآمد داشته است.

هلمن در بیانیه‌ای گفت که گروه ویژه بحران جهانی این حمله را کشف کرده است، و کارشناسان امنیت سایبری خارجی برای کمک به پاسخ به این حمله وارد شده‌اند.

در این بیانیه آمده است: "عملیات گام به گام با امنیت و یکپارچگی سیستم ها به عنوان اولویت اصلی است."

این بیانیه نمی‌گوید که آیا آنها از حمله باج‌افزاری رنج می‌برند یا خیر، و این شرکت به درخواست‌ها برای اظهار نظر پاسخ نداده است.

ناصر فتاح، رئیس کمیته راهبری آمریکای شمالی در Shared Assessments توضیح داد که این زمان مخصوصاً برای یک شرکت لجستیک جهانی مانند هلمان برای رنج بردن از یک حمله سایبری با توجه به نقشی که در زنجیره تأمین جهانی بازی می کند، اصلا خوشایند نیست.

فتاح گفت: امروز جابجایی کالا یک فرآیند جهانی است که نیازمند تلاشی هماهنگ است زیرا زنجیره تامین ممکن است شامل حمل و نقل، دریافت، ذخیره سازی و مدیریت کالا باشد.

"کوچکترین پیچ خوردگی در زنجیره می تواند باعث شود کسب و کار صرفاً به دلیل تحویل نابهنگام آسیب ببیند. و کسب و کارها می دانند که اجرای تدارکات یکپارچه برای همگام شدن با خواسته های مشتری و رقابتی ماندن ضروری است."

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

خطرات آسیب پذیری Log4Shell برای محیط های OT - و چگونه می توانید بهتر در برابر آنها محافظت کنید
برای آموزش روشهای محافظت محیط عملیاتی در مقابل آسیب پذیری جدید این مقاله را مطالعه کنید:
https://lnkd.in/dHzfmNHV
#امنیت_اتوماسیون_صنعتی #امنیت_سایبری #Log4Shell #icssecurity #otsecurity


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

عامل تهدید از روت کیت HP iLO برای پاک کردن سرورها استفاده می کند
بد افزار

یک شرکت امنیت سایبری ایرانی اعلام کرد که اولین روت کیت در نوع خود را کشف کرده است که در داخل سفت‌افزار دستگاه‌های HP iLO پنهان شده و در حملات دنیای واقعی برای پاک کردن سرورهای سازمان‌های ایرانی استفاده شده است.

این روت‌کیت که iLOBleed نام دارد، توسط شرکت امنیتی امن‌پرداز مستقر در تهران کشف و در گزارشی که روز سه‌شنبه منتشر شد، توضیح داده شد.

به گفته این شرکت، iLOBleed HP iLO (Integrated Lights-Out) مورد هدف قرار می گیرد، یک دستگاه سخت افزاری که می تواند به عنوان یک برد افزودنی به سرورها یا ایستگاه های کاری اضافه شود.

دستگاه‌های iLO با واحد پردازنده، فضای ذخیره‌سازی، رم و کارت شبکه مخصوص به خود عرضه می‌شوند و به طور جداگانه از هر سیستم عامل محلی اجرا می‌شوند.

نقش اصلی آنها ارائه راهی برای مدیران سیستم برای اتصال به سیستم های راه دور، حتی زمانی که این سیستم ها خاموش هستند، و انجام عملیات تعمیر و نگهداری، مانند به روز رسانی سیستم عامل، نصب به روز رسانی های امنیتی، یا نصب مجدد سیستم های معیوب است.

این ویژگی‌ها، کارت‌های iLO را به یکی از موفق‌ترین محصولات سازمانی تبدیل کرده است که برای مدیریت ناوگان رایانه‌های راه دور و برای استقرار خودکار تصاویر سیستم‌عامل در بسیاری از مراکز داده مدرن استفاده می‌شود.

اما امن‌پرداز گفت که از سال 2020، چندین حادثه را بررسی کرده است که در آن یک عامل تهدید مرموز اهداف را به خطر انداخته و در داخل iLO پنهان شده است تا راهی برای زنده ماندن از نصب مجدد سیستم‌عامل و حفظ پایداری در داخل شبکه قربانی.

برای جلوگیری از شناسایی، محققان گفتند که مهاجم rootkit iLOBleed را به عنوان یک ماژول برای خود سیستم عامل iLO پنهان کرده است و مهاجم همچنین یک رابط کاربری به روز رسانی جعلی ساخته است تا زمانی که آنها سعی می کنند سیستم عامل iLO را به روز کنند آنرا به مدیران سیستم نشان دهد.

این بدافزار سخت تلاش می‌کند تا فرآیند ارتقا را شبیه‌سازی کند و در نمایش نسخه‌های «ارتقای‌شده» جعلی در رابط کاربری وب iLO و سایر مکان‌ها با مشکل مواجه می‌شود، اما یک نکته وجود دارد: HP رابط کاربری iLO را به طور قابل توجهی تغییر داده است..

اما حتی اگر روت‌کیت کنترل کاملی بر میزبان‌های آلوده داشته باشد، به نظر می‌رسد مهاجمان فقط از آن برای پاک کردن سیستم‌های آلوده به عنوان بخشی از نوعی عملیات پاک کردن داده‌ها استفاده کرده‌اند.

تیم امن‌پرداز توضیح داد: «وقتی تیم تحلیل امنیتی ما این بدافزار را کشف کرد، مهاجمان تصمیم گرفتند دیسک‌های سرور را پاک کرده و مسیرهای خود را کاملاً مخفی کنند.

جالب اینجاست که مهاجمان به یکبار تخریب راضی نبودند و بدافزار را طوری تنظیم کردند که بطور مکرر تخریب داده ها را در فواصل زمانی انجام دهد. شاید فکر می کردند به این ترتیب اگر مدیر سیستم دوباره سیستم عامل را نصب کند، بعد از مدتی دوباره کل هارد از بین می رود. واضح است که آنها فکر نمی کردند بدافزارشان پیدا شود."

عامل تهدید پشت این حملات نامش فاش نشده است

هم امنپرداز و هم اعضای جامعه امنیت سایبری روت کیت iLO را پیشرفته ترین و احتمالاً کار یک بازیگر بسیار پیشرفته تهدید توصیف کرده اند. خود این بازیگر نه در گزارش امنپرداز و نه در هیچ مکالمه آنلاینی شناسایی نشد.

این شرکت امنیتی ایران روز سه شنبه گفت: «طبیعاً هزینه انجام چنین حمله ای آن را در رده APT ها قرار می دهد.

اما به نظر می‌رسد استفاده از چنین بدافزار قدرتمند و پرهزینه‌ای برای چیزی مانند تخریب داده‌ها، کاری که احتمال شناسایی بدافزار را افزایش می‌دهد، اشتباه فاحشی از سوی این کلاهبرداران است.»

در حالی که گزارش امن پرداز وجود این بدافزار را افشا می کرد، هنوز سوالاتی در مورد نحوه استقرار اولیه آن وجود دارد. تئوری‌های موجود فعلی شامل سناریوهایی است که در آن مهاجم از طریق کانال‌های دیگر وارد شبکه قربانی شده و سپس iLOBleed را به‌عنوان یک درب پشتی (مکانیسم پایداری)، یا با سوءاستفاده از آسیب‌پذیری‌ها در سیستم عامل قدیمی iLO یا با گسترش دسترسی از یک میزبان آلوده به کارت iLO خود، در صورت وجود، استفاده می‌کند. .

همانطور که امنپرداز نیز در گزارش خود اشاره کرد، کشف iLOBleed یک پیشرفت و یک دستاورد است، در درجه اول به این دلیل که ابزارها و محصولات امنیتی بسیار کمی وجود دارد که قادر به شناسایی فعالیت بدافزار در سطح iLO هستند - مؤلفه ای که عمیق تر از خود سیستم عامل عمل می کند، خود ماهیت محصولات امنیتی به تنهایی است.

منبع:

🌐 https://therecord.media/threat-actor-uses-hp-ilo-rootkit-to-wipe-servers/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🔴 علائم آلودگی سفت افزار iLO
اگر چه معمولا در علائم آلودگی مواردی مانند هش و … بیان می‌شود، در دسترس نبودن ابزار dump سفت‌افزار iLO انتشار این نوع علائم آلودگی را بی‌فایده می‌کند.

به علاوه در صورت دسترسی به این ابزار، استفاده از راهبرد لیست سفید یعنی مقایسه دامپ تهیه شده با مجموعه‌ی محدود سفت‌افزارهای اصیل HP کاری ساده‌تر و موثرتر می‌باشد.
اما اگر می‌خواهید بدانید که سرور شما آلوده شده است یا خیر، یک راه تشخیص ساده برای آلودگی وجود دارد:
همانگونه که بیان شد، این بدافزار جهت حفظ استتار و ماندگاری خود بعد از آپگرید سفت‌افزار، این عملیات را شبیه‌سازی می‌کند. اگر چه بدافزار تلاش می‌کند که با برداشتن شماره نسخه سفت‌افزار آپگرید شده و نمایش آن در محل‌های مختلف منجمله صفحه اصلی لاگین iLO، روند آپگرید را موفق جلوه بدهد، اما یک نکته وجود دارد: شرکت HP در رابط کاربری iLO تغییرات چشمگیری داده است. بنابراین تشخیص یک سفت‌افزار نادرست به سادگی با چشم ممکن است.

☑️ جمع‌بندی مطالب
امنیت سفت‌افزار در سال‌های اخیر به عنوان یک موضوع مهم در امنیت فناوری اطلاعات مطرح می‌شود که در عمل توجه کافی به آن نمی‌شود. به دلیل امکانات و سطح دسترسی بالایی که ابزار مدیریتی HP iLO در اختیار دارد، نیازمند روش‌های محافظتی ویژه‌ای می‌باشد. متاسفانه نبود ابزارها و اطلاعات کافی و اختصاصی بودن محیط iLO باعث می‌شود بسیاری از محققین امنیت در بررسی این سیستم‌ها دست بسته باشند. بدتر از آن، با وجود اینکه پژوهش‌های منتشر شده توسط محققین امنیت در گذشته امکان‌پذیری قرارگیری بدافزار فرضی در این سفت‌افزار را بررسی کرده بود ، همچنان راهکاری جهت کشف آلودگی و رفع آن در صورت اتفاق به صورت عمومی ارائه نشده است.
نکته مهم دیگر وجود راه‌های دسترسی و آلوده نمودن iLO هم از طریق شبکه و هم از طریق سیستم عامل میزبان می‌باشد. این مساله به این معناست که حتی با قطع کامل کابل شبکه iLO، باز هم امکان آلوده شدن و قرارگیری بدافزار در آن وجود دارد. جالب اینجاست که هیچ راهکاری برای خاموش نمودن یا غیرفعال نمودن کامل iLO در مواردی که نیازی به آن نیست نیز دیده نشده است.
این موضوعات ضرورت انجام اقدامات امنیتی پیشگیرانه جهت ارتقاء سطح امنیت سفت‌افزار مانند به‌روزرسانی به آخرین نسخه ارائه‌شده توسط سازنده، تغییر دوره‌ای رمزعبور کاربران ‌و جداسازی شبکه iLO از شبکه عملیاتی و در نهایت پایش دوره‌ای وضعیت سفت‌افزار از منظر پارامترهای امنیتی و آلودگی‌های احتمالی بیش از پیش اهمیت دارد.

🟩 راهکار‌های پیشنهادی حفاظت iLO
•عدم اتصال واسط شبکه iLO به شبکه عملیاتی و اختصاص یک شبکه کاملا مجزا
. به‌روز رسانی دوره‌ای نسخه سفت‌افزار iLO به آخرین نسخه رسمی ارائه شده توسط شرکت HP
•غیر فعال نمودن امکان دانگرید و انجام تنظیمات امنیتی iLO روی سرورهای نسل دهم HP
• استفاده از تجهیزات امنیتی دفاع در عمق جهت کاهش ریسک و کشف نفوذها قبل از رسیدن به iLO
• استفاده دوره‌ای از ابزار پویشگر iLO پادویش به منظور کشف آسیب‌پذیری‌ها، بدافزارها و درب‌های پشتی احتمالی در نسخه کنونی سفت‌افزار iLO سرور

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security