Forwarded from IACS (پدرام کیانی)
هشدار بسیار مهم :
آسیبپذیری Log4j اکنون به بخش صنعتی ضربه میزند، از کاربران میخواهم محصولات آسیبدیده را شناسایی، کاهش دهند، وصله کنند.
زیمنس روز دوشنبه وجود آسیبپذیری Apache Log4j را در برخی از خطوط تولید خود شناسایی کرد که به طور بالقوه میتواند توسط مهاجمان احراز هویت نشده از راه دور برای اجرای کد روی سیستمهای آسیبپذیر مورد سوء استفاده قرار گیرد. محصولات آسیب دیده عبارتند از:
ادامه مطلب در لینک زیر:
https://lnkd.in/daAMKVBG
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
آسیبپذیری Log4j اکنون به بخش صنعتی ضربه میزند، از کاربران میخواهم محصولات آسیبدیده را شناسایی، کاهش دهند، وصله کنند.
زیمنس روز دوشنبه وجود آسیبپذیری Apache Log4j را در برخی از خطوط تولید خود شناسایی کرد که به طور بالقوه میتواند توسط مهاجمان احراز هویت نشده از راه دور برای اجرای کد روی سیستمهای آسیبپذیر مورد سوء استفاده قرار گیرد. محصولات آسیب دیده عبارتند از:
ادامه مطلب در لینک زیر:
https://lnkd.in/daAMKVBG
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
Linkedin
آسیبپذیری Log4j اکنون به بخش صنعتی ضربه میزند، از کاربران میخواهم محصولات آسیبدیده را شناسایی، کاهش دهند، وصله کنند.
زیمنس روز دوشنبه وجود آسیبپذیری Apache Log4j را در برخی از خطوط تولید خود شناسایی کرد که به طور بالقوه میتواند توسط مهاجمان احراز هویت نشده از راه دور برای اجرای کد روی سیستمهای آسیبپذیر مورد سوء استفاده قرار گیرد. محصولات آسیب دیده عبارتند از: E-Car OC…
⚠️ هشدار❗️
🔴 هکرها بهرهبرداری از دومین آسیبپذیری Log4j را آغاز نمودهاند.
🔷 شرکت Cloudflare روز چهارشنبه فاش کرد که مهاجمان فعالانه تلاش میکنند تا از دومین باگ افشا شده در ابزار لاگ Log4j که به طور گسترده مورد استفاده قرار گرفته است سوءاستفاده کنند.
🔶 این آسیبپذیری با شناسه CVE-2021-45046، امکان انجام حملهی منع سرویس (DoS) را برای مهاجمان فراهم میکند و به دنبال افشای بنیاد نرمافزار آپاچی(ASF) است. این نقص ناشی از رفع ناقص آسیبپذیری CVE-2021-44228 در Apache Log4j 2.15.0 برای برخی از پیکربندیهای غیرپیشفرض میباشد.
🔷 تحقیقات نشان میدهد که این CVE جدید، اقداماتِ کاهشیِ قبلی را که برای محافظت از نسخههای زیر در برابر Log4Shell، در برخی موارد استفاده میشد، باطل میکند:
🔺2.7.0 <= Apache
🔻log4j <= 2.14.16
✅ این آسیبپذیری در Log4j نسخه 2.16.0 برطرف شده است. لذا به کاربران توصیه میشود هر چه سریعتر آخرین نسخه را نصب نمایند، زیرا رگبار حملات همچنان سیستمهای آسیبپذیر را با انواع بدافزارها یا حتی باجافزارها هدف قرار میدهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔴 هکرها بهرهبرداری از دومین آسیبپذیری Log4j را آغاز نمودهاند.
🔷 شرکت Cloudflare روز چهارشنبه فاش کرد که مهاجمان فعالانه تلاش میکنند تا از دومین باگ افشا شده در ابزار لاگ Log4j که به طور گسترده مورد استفاده قرار گرفته است سوءاستفاده کنند.
🔶 این آسیبپذیری با شناسه CVE-2021-45046، امکان انجام حملهی منع سرویس (DoS) را برای مهاجمان فراهم میکند و به دنبال افشای بنیاد نرمافزار آپاچی(ASF) است. این نقص ناشی از رفع ناقص آسیبپذیری CVE-2021-44228 در Apache Log4j 2.15.0 برای برخی از پیکربندیهای غیرپیشفرض میباشد.
🔷 تحقیقات نشان میدهد که این CVE جدید، اقداماتِ کاهشیِ قبلی را که برای محافظت از نسخههای زیر در برابر Log4Shell، در برخی موارد استفاده میشد، باطل میکند:
🔺2.7.0 <= Apache
🔻log4j <= 2.14.16
✅ این آسیبپذیری در Log4j نسخه 2.16.0 برطرف شده است. لذا به کاربران توصیه میشود هر چه سریعتر آخرین نسخه را نصب نمایند، زیرا رگبار حملات همچنان سیستمهای آسیبپذیر را با انواع بدافزارها یا حتی باجافزارها هدف قرار میدهد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🛡 دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمان ها و کسب و کارها
وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای دادهی شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسیها و جستجوهای ساده دادهها افشا میشوند. لذا بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها اکیدا توصیه میگردد اقداماتی صورت پذیرد.
برای دریافت گزارش کامل این اقدامات، به لینک زیر مراجعه کنید:
🌐 https://cert.ir/news/13301
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
وقوع رخدادهای متعدد نشت اطلاعات از پایگاههای دادهی شرکتها و سازمانهای دولتی و خصوصی در فضای مجازی عمدتا متاثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات است. این ضعفها باعث میشوند در برخی موارد دسترسی به دادههای سازمانها و کسب و کارها حتی نیاز به دانش عمیق هک و نفوذ نداشته باشد و با یکسری بررسیها و جستجوهای ساده دادهها افشا میشوند. لذا بهمنظور پیشگیری از نشت اطلاعات و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانهها اکیدا توصیه میگردد اقداماتی صورت پذیرد.
برای دریافت گزارش کامل این اقدامات، به لینک زیر مراجعه کنید:
🌐 https://cert.ir/news/13301
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
cert.ir
دستورالعمل اقدامات پایه جهت پیش گیری از نشت اطلاعات سازمان ها و کسب و کارها | مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای
وقوع رخدادهای متعدد نشت اطلاعات از پایگاه‌های داده‌ی شرکت‌ها و سازمان‌های دولتی و خصوصی در فضای مجازی ‌عمدتا متاثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پیاده‌سازی و تنظیمات است. این ضعف‌ها باعث می‌شوند…
غول لجستیک آلمانی هلمان از حمله سایبری خبر داد
این شرکت میلیارد دلاری در 173 کشور فعالیت می کند و خدمات لجستیکی را برای حمل و نقل ریلی، دریایی، حمل و نقل هوایی و جاده ای ارائه می دهد.
شرکت تدارکات میلیارد دلاری Hellmann Worldwide Logistics یک حمله سایبری در این هفته گزارش داد که آنها را مجبور کرد به طور موقت تمام اتصالات به مرکز داده مرکزی خود را حذف کنند. این شرکت گفت که این تعطیلی "تأثیر مادی" بر عملیات تجاری آنها داشته است.
این شرکت آلمانی در 173 کشور فعالیت می کند و لجستیکی را برای طیف وسیعی از حمل و نقل هوایی و دریایی و همچنین خدمات حمل و نقل ریلی و جاده ای انجام می دهد. Air Cargo News که اولین بار این حمله را گزارش کرد، گفت که این شرکت در سال گذشته نزدیک به 3 میلیارد دلار درآمد داشته است.
هلمن در بیانیهای گفت که گروه ویژه بحران جهانی این حمله را کشف کرده است، و کارشناسان امنیت سایبری خارجی برای کمک به پاسخ به این حمله وارد شدهاند.
در این بیانیه آمده است: "عملیات گام به گام با امنیت و یکپارچگی سیستم ها به عنوان اولویت اصلی است."
این بیانیه نمیگوید که آیا آنها از حمله باجافزاری رنج میبرند یا خیر، و این شرکت به درخواستها برای اظهار نظر پاسخ نداده است.
ناصر فتاح، رئیس کمیته راهبری آمریکای شمالی در Shared Assessments توضیح داد که این زمان مخصوصاً برای یک شرکت لجستیک جهانی مانند هلمان برای رنج بردن از یک حمله سایبری با توجه به نقشی که در زنجیره تأمین جهانی بازی می کند، اصلا خوشایند نیست.
فتاح گفت: امروز جابجایی کالا یک فرآیند جهانی است که نیازمند تلاشی هماهنگ است زیرا زنجیره تامین ممکن است شامل حمل و نقل، دریافت، ذخیره سازی و مدیریت کالا باشد.
"کوچکترین پیچ خوردگی در زنجیره می تواند باعث شود کسب و کار صرفاً به دلیل تحویل نابهنگام آسیب ببیند. و کسب و کارها می دانند که اجرای تدارکات یکپارچه برای همگام شدن با خواسته های مشتری و رقابتی ماندن ضروری است."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
این شرکت میلیارد دلاری در 173 کشور فعالیت می کند و خدمات لجستیکی را برای حمل و نقل ریلی، دریایی، حمل و نقل هوایی و جاده ای ارائه می دهد.
شرکت تدارکات میلیارد دلاری Hellmann Worldwide Logistics یک حمله سایبری در این هفته گزارش داد که آنها را مجبور کرد به طور موقت تمام اتصالات به مرکز داده مرکزی خود را حذف کنند. این شرکت گفت که این تعطیلی "تأثیر مادی" بر عملیات تجاری آنها داشته است.
این شرکت آلمانی در 173 کشور فعالیت می کند و لجستیکی را برای طیف وسیعی از حمل و نقل هوایی و دریایی و همچنین خدمات حمل و نقل ریلی و جاده ای انجام می دهد. Air Cargo News که اولین بار این حمله را گزارش کرد، گفت که این شرکت در سال گذشته نزدیک به 3 میلیارد دلار درآمد داشته است.
هلمن در بیانیهای گفت که گروه ویژه بحران جهانی این حمله را کشف کرده است، و کارشناسان امنیت سایبری خارجی برای کمک به پاسخ به این حمله وارد شدهاند.
در این بیانیه آمده است: "عملیات گام به گام با امنیت و یکپارچگی سیستم ها به عنوان اولویت اصلی است."
این بیانیه نمیگوید که آیا آنها از حمله باجافزاری رنج میبرند یا خیر، و این شرکت به درخواستها برای اظهار نظر پاسخ نداده است.
ناصر فتاح، رئیس کمیته راهبری آمریکای شمالی در Shared Assessments توضیح داد که این زمان مخصوصاً برای یک شرکت لجستیک جهانی مانند هلمان برای رنج بردن از یک حمله سایبری با توجه به نقشی که در زنجیره تأمین جهانی بازی می کند، اصلا خوشایند نیست.
فتاح گفت: امروز جابجایی کالا یک فرآیند جهانی است که نیازمند تلاشی هماهنگ است زیرا زنجیره تامین ممکن است شامل حمل و نقل، دریافت، ذخیره سازی و مدیریت کالا باشد.
"کوچکترین پیچ خوردگی در زنجیره می تواند باعث شود کسب و کار صرفاً به دلیل تحویل نابهنگام آسیب ببیند. و کسب و کارها می دانند که اجرای تدارکات یکپارچه برای همگام شدن با خواسته های مشتری و رقابتی ماندن ضروری است."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (پدرام کیانی)
خطرات آسیب پذیری Log4Shell برای محیط های OT - و چگونه می توانید بهتر در برابر آنها محافظت کنید
برای آموزش روشهای محافظت محیط عملیاتی در مقابل آسیب پذیری جدید این مقاله را مطالعه کنید:
https://lnkd.in/dHzfmNHV
#امنیت_اتوماسیون_صنعتی #امنیت_سایبری #Log4Shell #icssecurity #otsecurity
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
برای آموزش روشهای محافظت محیط عملیاتی در مقابل آسیب پذیری جدید این مقاله را مطالعه کنید:
https://lnkd.in/dHzfmNHV
#امنیت_اتوماسیون_صنعتی #امنیت_سایبری #Log4Shell #icssecurity #otsecurity
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
Linkedin
خطرات آسیب پذیری Log4Shell برای محیط های OT - و چگونه می توانید بهتر در برابر آنها محافظت کنید
برای یافتن یک متخصص فناوری اطلاعات که از آسیب پذیری Log4Shell آگاه نیست (و احتمالاً به آن پاسخ می دهد) باید دور و بر را جستجو کنید. بخش فناوری عملیاتی (OT) نیز از این قاعده مستثنی نیست، با این حال آسیبپذیری دقیقی که در برابر فناوری OT ایجاد میکند هنوز به…
عامل تهدید از روت کیت HP iLO برای پاک کردن سرورها استفاده می کند
بد افزار
یک شرکت امنیت سایبری ایرانی اعلام کرد که اولین روت کیت در نوع خود را کشف کرده است که در داخل سفتافزار دستگاههای HP iLO پنهان شده و در حملات دنیای واقعی برای پاک کردن سرورهای سازمانهای ایرانی استفاده شده است.
این روتکیت که iLOBleed نام دارد، توسط شرکت امنیتی امنپرداز مستقر در تهران کشف و در گزارشی که روز سهشنبه منتشر شد، توضیح داده شد.
به گفته این شرکت، iLOBleed HP iLO (Integrated Lights-Out) مورد هدف قرار می گیرد، یک دستگاه سخت افزاری که می تواند به عنوان یک برد افزودنی به سرورها یا ایستگاه های کاری اضافه شود.
دستگاههای iLO با واحد پردازنده، فضای ذخیرهسازی، رم و کارت شبکه مخصوص به خود عرضه میشوند و به طور جداگانه از هر سیستم عامل محلی اجرا میشوند.
نقش اصلی آنها ارائه راهی برای مدیران سیستم برای اتصال به سیستم های راه دور، حتی زمانی که این سیستم ها خاموش هستند، و انجام عملیات تعمیر و نگهداری، مانند به روز رسانی سیستم عامل، نصب به روز رسانی های امنیتی، یا نصب مجدد سیستم های معیوب است.
این ویژگیها، کارتهای iLO را به یکی از موفقترین محصولات سازمانی تبدیل کرده است که برای مدیریت ناوگان رایانههای راه دور و برای استقرار خودکار تصاویر سیستمعامل در بسیاری از مراکز داده مدرن استفاده میشود.
اما امنپرداز گفت که از سال 2020، چندین حادثه را بررسی کرده است که در آن یک عامل تهدید مرموز اهداف را به خطر انداخته و در داخل iLO پنهان شده است تا راهی برای زنده ماندن از نصب مجدد سیستمعامل و حفظ پایداری در داخل شبکه قربانی.
برای جلوگیری از شناسایی، محققان گفتند که مهاجم rootkit iLOBleed را به عنوان یک ماژول برای خود سیستم عامل iLO پنهان کرده است و مهاجم همچنین یک رابط کاربری به روز رسانی جعلی ساخته است تا زمانی که آنها سعی می کنند سیستم عامل iLO را به روز کنند آنرا به مدیران سیستم نشان دهد.
این بدافزار سخت تلاش میکند تا فرآیند ارتقا را شبیهسازی کند و در نمایش نسخههای «ارتقایشده» جعلی در رابط کاربری وب iLO و سایر مکانها با مشکل مواجه میشود، اما یک نکته وجود دارد: HP رابط کاربری iLO را به طور قابل توجهی تغییر داده است..
اما حتی اگر روتکیت کنترل کاملی بر میزبانهای آلوده داشته باشد، به نظر میرسد مهاجمان فقط از آن برای پاک کردن سیستمهای آلوده به عنوان بخشی از نوعی عملیات پاک کردن دادهها استفاده کردهاند.
تیم امنپرداز توضیح داد: «وقتی تیم تحلیل امنیتی ما این بدافزار را کشف کرد، مهاجمان تصمیم گرفتند دیسکهای سرور را پاک کرده و مسیرهای خود را کاملاً مخفی کنند.
جالب اینجاست که مهاجمان به یکبار تخریب راضی نبودند و بدافزار را طوری تنظیم کردند که بطور مکرر تخریب داده ها را در فواصل زمانی انجام دهد. شاید فکر می کردند به این ترتیب اگر مدیر سیستم دوباره سیستم عامل را نصب کند، بعد از مدتی دوباره کل هارد از بین می رود. واضح است که آنها فکر نمی کردند بدافزارشان پیدا شود."
عامل تهدید پشت این حملات نامش فاش نشده است
هم امنپرداز و هم اعضای جامعه امنیت سایبری روت کیت iLO را پیشرفته ترین و احتمالاً کار یک بازیگر بسیار پیشرفته تهدید توصیف کرده اند. خود این بازیگر نه در گزارش امنپرداز و نه در هیچ مکالمه آنلاینی شناسایی نشد.
این شرکت امنیتی ایران روز سه شنبه گفت: «طبیعاً هزینه انجام چنین حمله ای آن را در رده APT ها قرار می دهد.
اما به نظر میرسد استفاده از چنین بدافزار قدرتمند و پرهزینهای برای چیزی مانند تخریب دادهها، کاری که احتمال شناسایی بدافزار را افزایش میدهد، اشتباه فاحشی از سوی این کلاهبرداران است.»
در حالی که گزارش امن پرداز وجود این بدافزار را افشا می کرد، هنوز سوالاتی در مورد نحوه استقرار اولیه آن وجود دارد. تئوریهای موجود فعلی شامل سناریوهایی است که در آن مهاجم از طریق کانالهای دیگر وارد شبکه قربانی شده و سپس iLOBleed را بهعنوان یک درب پشتی (مکانیسم پایداری)، یا با سوءاستفاده از آسیبپذیریها در سیستم عامل قدیمی iLO یا با گسترش دسترسی از یک میزبان آلوده به کارت iLO خود، در صورت وجود، استفاده میکند. .
همانطور که امنپرداز نیز در گزارش خود اشاره کرد، کشف iLOBleed یک پیشرفت و یک دستاورد است، در درجه اول به این دلیل که ابزارها و محصولات امنیتی بسیار کمی وجود دارد که قادر به شناسایی فعالیت بدافزار در سطح iLO هستند - مؤلفه ای که عمیق تر از خود سیستم عامل عمل می کند، خود ماهیت محصولات امنیتی به تنهایی است.
منبع:
🌐 https://therecord.media/threat-actor-uses-hp-ilo-rootkit-to-wipe-servers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
بد افزار
یک شرکت امنیت سایبری ایرانی اعلام کرد که اولین روت کیت در نوع خود را کشف کرده است که در داخل سفتافزار دستگاههای HP iLO پنهان شده و در حملات دنیای واقعی برای پاک کردن سرورهای سازمانهای ایرانی استفاده شده است.
این روتکیت که iLOBleed نام دارد، توسط شرکت امنیتی امنپرداز مستقر در تهران کشف و در گزارشی که روز سهشنبه منتشر شد، توضیح داده شد.
به گفته این شرکت، iLOBleed HP iLO (Integrated Lights-Out) مورد هدف قرار می گیرد، یک دستگاه سخت افزاری که می تواند به عنوان یک برد افزودنی به سرورها یا ایستگاه های کاری اضافه شود.
دستگاههای iLO با واحد پردازنده، فضای ذخیرهسازی، رم و کارت شبکه مخصوص به خود عرضه میشوند و به طور جداگانه از هر سیستم عامل محلی اجرا میشوند.
نقش اصلی آنها ارائه راهی برای مدیران سیستم برای اتصال به سیستم های راه دور، حتی زمانی که این سیستم ها خاموش هستند، و انجام عملیات تعمیر و نگهداری، مانند به روز رسانی سیستم عامل، نصب به روز رسانی های امنیتی، یا نصب مجدد سیستم های معیوب است.
این ویژگیها، کارتهای iLO را به یکی از موفقترین محصولات سازمانی تبدیل کرده است که برای مدیریت ناوگان رایانههای راه دور و برای استقرار خودکار تصاویر سیستمعامل در بسیاری از مراکز داده مدرن استفاده میشود.
اما امنپرداز گفت که از سال 2020، چندین حادثه را بررسی کرده است که در آن یک عامل تهدید مرموز اهداف را به خطر انداخته و در داخل iLO پنهان شده است تا راهی برای زنده ماندن از نصب مجدد سیستمعامل و حفظ پایداری در داخل شبکه قربانی.
برای جلوگیری از شناسایی، محققان گفتند که مهاجم rootkit iLOBleed را به عنوان یک ماژول برای خود سیستم عامل iLO پنهان کرده است و مهاجم همچنین یک رابط کاربری به روز رسانی جعلی ساخته است تا زمانی که آنها سعی می کنند سیستم عامل iLO را به روز کنند آنرا به مدیران سیستم نشان دهد.
این بدافزار سخت تلاش میکند تا فرآیند ارتقا را شبیهسازی کند و در نمایش نسخههای «ارتقایشده» جعلی در رابط کاربری وب iLO و سایر مکانها با مشکل مواجه میشود، اما یک نکته وجود دارد: HP رابط کاربری iLO را به طور قابل توجهی تغییر داده است..
اما حتی اگر روتکیت کنترل کاملی بر میزبانهای آلوده داشته باشد، به نظر میرسد مهاجمان فقط از آن برای پاک کردن سیستمهای آلوده به عنوان بخشی از نوعی عملیات پاک کردن دادهها استفاده کردهاند.
تیم امنپرداز توضیح داد: «وقتی تیم تحلیل امنیتی ما این بدافزار را کشف کرد، مهاجمان تصمیم گرفتند دیسکهای سرور را پاک کرده و مسیرهای خود را کاملاً مخفی کنند.
جالب اینجاست که مهاجمان به یکبار تخریب راضی نبودند و بدافزار را طوری تنظیم کردند که بطور مکرر تخریب داده ها را در فواصل زمانی انجام دهد. شاید فکر می کردند به این ترتیب اگر مدیر سیستم دوباره سیستم عامل را نصب کند، بعد از مدتی دوباره کل هارد از بین می رود. واضح است که آنها فکر نمی کردند بدافزارشان پیدا شود."
عامل تهدید پشت این حملات نامش فاش نشده است
هم امنپرداز و هم اعضای جامعه امنیت سایبری روت کیت iLO را پیشرفته ترین و احتمالاً کار یک بازیگر بسیار پیشرفته تهدید توصیف کرده اند. خود این بازیگر نه در گزارش امنپرداز و نه در هیچ مکالمه آنلاینی شناسایی نشد.
این شرکت امنیتی ایران روز سه شنبه گفت: «طبیعاً هزینه انجام چنین حمله ای آن را در رده APT ها قرار می دهد.
اما به نظر میرسد استفاده از چنین بدافزار قدرتمند و پرهزینهای برای چیزی مانند تخریب دادهها، کاری که احتمال شناسایی بدافزار را افزایش میدهد، اشتباه فاحشی از سوی این کلاهبرداران است.»
در حالی که گزارش امن پرداز وجود این بدافزار را افشا می کرد، هنوز سوالاتی در مورد نحوه استقرار اولیه آن وجود دارد. تئوریهای موجود فعلی شامل سناریوهایی است که در آن مهاجم از طریق کانالهای دیگر وارد شبکه قربانی شده و سپس iLOBleed را بهعنوان یک درب پشتی (مکانیسم پایداری)، یا با سوءاستفاده از آسیبپذیریها در سیستم عامل قدیمی iLO یا با گسترش دسترسی از یک میزبان آلوده به کارت iLO خود، در صورت وجود، استفاده میکند. .
همانطور که امنپرداز نیز در گزارش خود اشاره کرد، کشف iLOBleed یک پیشرفت و یک دستاورد است، در درجه اول به این دلیل که ابزارها و محصولات امنیتی بسیار کمی وجود دارد که قادر به شناسایی فعالیت بدافزار در سطح iLO هستند - مؤلفه ای که عمیق تر از خود سیستم عامل عمل می کند، خود ماهیت محصولات امنیتی به تنهایی است.
منبع:
🌐 https://therecord.media/threat-actor-uses-hp-ilo-rootkit-to-wipe-servers/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
therecord.media
Threat actor uses HP iLO rootkit to wipe servers
An Iranian cyber-security firm said it discovered a first-of-its-kind rootkit that hides inside the firmware of HP iLO devices and which has been used in real-world attacks to wipe servers of Iranian organizations.
🔴 علائم آلودگی سفت افزار iLO
اگر چه معمولا در علائم آلودگی مواردی مانند هش و … بیان میشود، در دسترس نبودن ابزار dump سفتافزار iLO انتشار این نوع علائم آلودگی را بیفایده میکند.
به علاوه در صورت دسترسی به این ابزار، استفاده از راهبرد لیست سفید یعنی مقایسه دامپ تهیه شده با مجموعهی محدود سفتافزارهای اصیل HP کاری سادهتر و موثرتر میباشد.
اما اگر میخواهید بدانید که سرور شما آلوده شده است یا خیر، یک راه تشخیص ساده برای آلودگی وجود دارد:
همانگونه که بیان شد، این بدافزار جهت حفظ استتار و ماندگاری خود بعد از آپگرید سفتافزار، این عملیات را شبیهسازی میکند. اگر چه بدافزار تلاش میکند که با برداشتن شماره نسخه سفتافزار آپگرید شده و نمایش آن در محلهای مختلف منجمله صفحه اصلی لاگین iLO، روند آپگرید را موفق جلوه بدهد، اما یک نکته وجود دارد: شرکت HP در رابط کاربری iLO تغییرات چشمگیری داده است. بنابراین تشخیص یک سفتافزار نادرست به سادگی با چشم ممکن است.
☑️ جمعبندی مطالب
امنیت سفتافزار در سالهای اخیر به عنوان یک موضوع مهم در امنیت فناوری اطلاعات مطرح میشود که در عمل توجه کافی به آن نمیشود. به دلیل امکانات و سطح دسترسی بالایی که ابزار مدیریتی HP iLO در اختیار دارد، نیازمند روشهای محافظتی ویژهای میباشد. متاسفانه نبود ابزارها و اطلاعات کافی و اختصاصی بودن محیط iLO باعث میشود بسیاری از محققین امنیت در بررسی این سیستمها دست بسته باشند. بدتر از آن، با وجود اینکه پژوهشهای منتشر شده توسط محققین امنیت در گذشته امکانپذیری قرارگیری بدافزار فرضی در این سفتافزار را بررسی کرده بود ، همچنان راهکاری جهت کشف آلودگی و رفع آن در صورت اتفاق به صورت عمومی ارائه نشده است.
نکته مهم دیگر وجود راههای دسترسی و آلوده نمودن iLO هم از طریق شبکه و هم از طریق سیستم عامل میزبان میباشد. این مساله به این معناست که حتی با قطع کامل کابل شبکه iLO، باز هم امکان آلوده شدن و قرارگیری بدافزار در آن وجود دارد. جالب اینجاست که هیچ راهکاری برای خاموش نمودن یا غیرفعال نمودن کامل iLO در مواردی که نیازی به آن نیست نیز دیده نشده است.
این موضوعات ضرورت انجام اقدامات امنیتی پیشگیرانه جهت ارتقاء سطح امنیت سفتافزار مانند بهروزرسانی به آخرین نسخه ارائهشده توسط سازنده، تغییر دورهای رمزعبور کاربران و جداسازی شبکه iLO از شبکه عملیاتی و در نهایت پایش دورهای وضعیت سفتافزار از منظر پارامترهای امنیتی و آلودگیهای احتمالی بیش از پیش اهمیت دارد.
🟩 راهکارهای پیشنهادی حفاظت iLO
•عدم اتصال واسط شبکه iLO به شبکه عملیاتی و اختصاص یک شبکه کاملا مجزا
. بهروز رسانی دورهای نسخه سفتافزار iLO به آخرین نسخه رسمی ارائه شده توسط شرکت HP
•غیر فعال نمودن امکان دانگرید و انجام تنظیمات امنیتی iLO روی سرورهای نسل دهم HP
• استفاده از تجهیزات امنیتی دفاع در عمق جهت کاهش ریسک و کشف نفوذها قبل از رسیدن به iLO
• استفاده دورهای از ابزار پویشگر iLO پادویش به منظور کشف آسیبپذیریها، بدافزارها و دربهای پشتی احتمالی در نسخه کنونی سفتافزار iLO سرور
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
اگر چه معمولا در علائم آلودگی مواردی مانند هش و … بیان میشود، در دسترس نبودن ابزار dump سفتافزار iLO انتشار این نوع علائم آلودگی را بیفایده میکند.
به علاوه در صورت دسترسی به این ابزار، استفاده از راهبرد لیست سفید یعنی مقایسه دامپ تهیه شده با مجموعهی محدود سفتافزارهای اصیل HP کاری سادهتر و موثرتر میباشد.
اما اگر میخواهید بدانید که سرور شما آلوده شده است یا خیر، یک راه تشخیص ساده برای آلودگی وجود دارد:
همانگونه که بیان شد، این بدافزار جهت حفظ استتار و ماندگاری خود بعد از آپگرید سفتافزار، این عملیات را شبیهسازی میکند. اگر چه بدافزار تلاش میکند که با برداشتن شماره نسخه سفتافزار آپگرید شده و نمایش آن در محلهای مختلف منجمله صفحه اصلی لاگین iLO، روند آپگرید را موفق جلوه بدهد، اما یک نکته وجود دارد: شرکت HP در رابط کاربری iLO تغییرات چشمگیری داده است. بنابراین تشخیص یک سفتافزار نادرست به سادگی با چشم ممکن است.
☑️ جمعبندی مطالب
امنیت سفتافزار در سالهای اخیر به عنوان یک موضوع مهم در امنیت فناوری اطلاعات مطرح میشود که در عمل توجه کافی به آن نمیشود. به دلیل امکانات و سطح دسترسی بالایی که ابزار مدیریتی HP iLO در اختیار دارد، نیازمند روشهای محافظتی ویژهای میباشد. متاسفانه نبود ابزارها و اطلاعات کافی و اختصاصی بودن محیط iLO باعث میشود بسیاری از محققین امنیت در بررسی این سیستمها دست بسته باشند. بدتر از آن، با وجود اینکه پژوهشهای منتشر شده توسط محققین امنیت در گذشته امکانپذیری قرارگیری بدافزار فرضی در این سفتافزار را بررسی کرده بود ، همچنان راهکاری جهت کشف آلودگی و رفع آن در صورت اتفاق به صورت عمومی ارائه نشده است.
نکته مهم دیگر وجود راههای دسترسی و آلوده نمودن iLO هم از طریق شبکه و هم از طریق سیستم عامل میزبان میباشد. این مساله به این معناست که حتی با قطع کامل کابل شبکه iLO، باز هم امکان آلوده شدن و قرارگیری بدافزار در آن وجود دارد. جالب اینجاست که هیچ راهکاری برای خاموش نمودن یا غیرفعال نمودن کامل iLO در مواردی که نیازی به آن نیست نیز دیده نشده است.
این موضوعات ضرورت انجام اقدامات امنیتی پیشگیرانه جهت ارتقاء سطح امنیت سفتافزار مانند بهروزرسانی به آخرین نسخه ارائهشده توسط سازنده، تغییر دورهای رمزعبور کاربران و جداسازی شبکه iLO از شبکه عملیاتی و در نهایت پایش دورهای وضعیت سفتافزار از منظر پارامترهای امنیتی و آلودگیهای احتمالی بیش از پیش اهمیت دارد.
🟩 راهکارهای پیشنهادی حفاظت iLO
•عدم اتصال واسط شبکه iLO به شبکه عملیاتی و اختصاص یک شبکه کاملا مجزا
. بهروز رسانی دورهای نسخه سفتافزار iLO به آخرین نسخه رسمی ارائه شده توسط شرکت HP
•غیر فعال نمودن امکان دانگرید و انجام تنظیمات امنیتی iLO روی سرورهای نسل دهم HP
• استفاده از تجهیزات امنیتی دفاع در عمق جهت کاهش ریسک و کشف نفوذها قبل از رسیدن به iLO
• استفاده دورهای از ابزار پویشگر iLO پادویش به منظور کشف آسیبپذیریها، بدافزارها و دربهای پشتی احتمالی در نسخه کنونی سفتافزار iLO سرور
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
کانال تخصصی امنیت سایبری «کتاس»
🔴 علائم آلودگی سفت افزار iLO اگر چه معمولا در علائم آلودگی مواردی مانند هش و … بیان میشود، در دسترس نبودن ابزار dump سفتافزار iLO انتشار این نوع علائم آلودگی را بیفایده میکند. به علاوه در صورت دسترسی به این ابزار، استفاده از راهبرد لیست سفید یعنی مقایسه…
در این شکل میتوانید مقایسه دو صفحه لاگین واقعی و جعلی (آلوده شده توسط بدافزار) را مشاهده کنید. هر دو صفحه اعلام میکنند که iLO نسخه ۲.۵۵ هستند اما صفحه لاگین آلوده، در واقع صفحه لاگین مربوط به iLO قدیمی ۲.۳۰ میباشد و فقط شماره نسخه آن توسط بدافزار جعل شده است.
البته مانند هر علامت آلودگی و IOC دیگری، میشود انتظار داشت که بدافزارنویسان راهی برای تغییر این علامت و پنهان کردن آن بیابند. اما تا آن زمان، این روش ساده و موثری برای تشخیص بدافزار بدون نیاز به هیچ گونه ابزاری میباشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
البته مانند هر علامت آلودگی و IOC دیگری، میشود انتظار داشت که بدافزارنویسان راهی برای تغییر این علامت و پنهان کردن آن بیابند. اما تا آن زمان، این روش ساده و موثری برای تشخیص بدافزار بدون نیاز به هیچ گونه ابزاری میباشد.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
بدون شرح!!!
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
♦️انتشار اطلاعات بیمهشدگان توسط پزشکان جرم است
🔹به دنبال انتشار تصاویری از اطلاعات مربوط به پرونده سلامت برخی شهروندان در شبکههای اجتماعی،
مدیرکل حقوقی سازمان بیمه سلامت گفته است:
🔹انتشار اطلاعات هویتی و محرمانه بیمهشدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک جرم محسوب شده و این موضوع پیگرد قانونی دارد.
یک فعال رسانه ای دیروز با انتشار توییتی نوشت:
🔹یک پزشک آنکولوژیست با استفاده از سامانه نسخه الکترونیک بیمه سلامت توانسته است که با کد ملی وزیر بهداشت، به اطلاعات شخصی او دست پیدا کند و حتی ادعا کند که می تواند بدون اجازه برای بهرام عین اللهی نسخه بنویسد
🔹سوال مهمی که مطرح می شود این است که آیا تمام پزشکان می توانند با استفاده از کد ملی به اطلاعات شخصی همه ایرانیان از طریق سامانه نسخه نویسی الکترونیکی دسترسی پیدا کنند؟
🔹وزارت بهداشت باید پاسخگو باشد که آیا امنیت اطلاعات در سامانه نسخه نویسی الکترونیکی در این حد فاجعه است؟
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔹به دنبال انتشار تصاویری از اطلاعات مربوط به پرونده سلامت برخی شهروندان در شبکههای اجتماعی،
مدیرکل حقوقی سازمان بیمه سلامت گفته است:
🔹انتشار اطلاعات هویتی و محرمانه بیمهشدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک جرم محسوب شده و این موضوع پیگرد قانونی دارد.
یک فعال رسانه ای دیروز با انتشار توییتی نوشت:
🔹یک پزشک آنکولوژیست با استفاده از سامانه نسخه الکترونیک بیمه سلامت توانسته است که با کد ملی وزیر بهداشت، به اطلاعات شخصی او دست پیدا کند و حتی ادعا کند که می تواند بدون اجازه برای بهرام عین اللهی نسخه بنویسد
🔹سوال مهمی که مطرح می شود این است که آیا تمام پزشکان می توانند با استفاده از کد ملی به اطلاعات شخصی همه ایرانیان از طریق سامانه نسخه نویسی الکترونیکی دسترسی پیدا کنند؟
🔹وزارت بهداشت باید پاسخگو باشد که آیا امنیت اطلاعات در سامانه نسخه نویسی الکترونیکی در این حد فاجعه است؟
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
⚠️ هشدار❗️
مجرمان سایبری VMware vSphere را با cryptominerها (استخراجکنندگان ارز دیجیتال) به طور فعالانه هدف قرار دادهاند.
🔷 سازمانهایی که شبکههای مجازی پیچیدهای را با سرویس VMware vSphere اجرا میکنند، به طور فعال مورد هدف کریپتوجکرهایی قرار میگیرند که XMRig را بدون امکان شناسایی به محیط تزریق میکنند.
🔶 تحقیقات نشان میدهد از shell scriptهای مخرب برای استقرار cryptominer در VMware vSphere استفاده میشود.
✅ توصیه میشود ضمن اعمال بهروزرسانیهای موردنیاز، نظارت بر فرآیندهای مشکوک، رویدادها و ترافیک شبکه که در صورت اجرای هر shell script نامعتبر دیده میشود، جدی گرفته شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
مجرمان سایبری VMware vSphere را با cryptominerها (استخراجکنندگان ارز دیجیتال) به طور فعالانه هدف قرار دادهاند.
🔷 سازمانهایی که شبکههای مجازی پیچیدهای را با سرویس VMware vSphere اجرا میکنند، به طور فعال مورد هدف کریپتوجکرهایی قرار میگیرند که XMRig را بدون امکان شناسایی به محیط تزریق میکنند.
🔶 تحقیقات نشان میدهد از shell scriptهای مخرب برای استقرار cryptominer در VMware vSphere استفاده میشود.
✅ توصیه میشود ضمن اعمال بهروزرسانیهای موردنیاز، نظارت بر فرآیندهای مشکوک، رویدادها و ترافیک شبکه که در صورت اجرای هر shell script نامعتبر دیده میشود، جدی گرفته شود.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🔰 چالشهای جدی و پیشبینیها درخصوص امنیت سایبری در سال 2022
هر ساله پیشبینیهای مختلفی درخصوص امنیت سایبری برای سال آینده صورت میگیرد که چالشها و تهدیدات را بیان میکند. در سال جدید، پیشبینی میشود که حملات باجافزاری افزایش یابد، تیمهای هکری منتسب به دولتها به دنبال افزایش تاکتیکهای تهاجمی هستند و دیپفیکها (Deepfakes) احتمالاً تهدیدات امنیت سایبری را تشدید میکنند.
چالشها و پیشبینیها درخصوص سال 2022:
- Supply Chain Attacks and Ransomware
- Remote Work Challenges
- Data Protection
- Machine Learning and Artificial Intelligence for Prevention Instead of Mitigation
- Real Time Data Visibility
- Extended Detection and Response and Unification
- Increased Cybersecurity Awareness
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
هر ساله پیشبینیهای مختلفی درخصوص امنیت سایبری برای سال آینده صورت میگیرد که چالشها و تهدیدات را بیان میکند. در سال جدید، پیشبینی میشود که حملات باجافزاری افزایش یابد، تیمهای هکری منتسب به دولتها به دنبال افزایش تاکتیکهای تهاجمی هستند و دیپفیکها (Deepfakes) احتمالاً تهدیدات امنیت سایبری را تشدید میکنند.
چالشها و پیشبینیها درخصوص سال 2022:
- Supply Chain Attacks and Ransomware
- Remote Work Challenges
- Data Protection
- Machine Learning and Artificial Intelligence for Prevention Instead of Mitigation
- Real Time Data Visibility
- Extended Detection and Response and Unification
- Increased Cybersecurity Awareness
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🛡 گزارش اصلاحیه امنیتی مایکروسافت در ماه ژانویه 2022
در اصلاحیه امنیتی سه شنبه 11 ژانویه 2022 مایکروسافت 6 آسیب پذیری روز صفرم و در مجموع 97 آسیبپذیری را برطرف کرده است. از این 97 آسیبپذیری، 9 مورد دارای درجه حساسیت بحرانی، 88 مورد دارای درجه حساسیت مهم طبقهبندی شدهاند.
این 97 نقص شامل آسیبپذیریهای زیر بودهاند:
- 41 مورد Elevation of Privilege
- 9 مورد Security Feature Bypass
- 29 مورد Remote Code Execution
- 6 مورد Information Disclosure
- 9 مورد Denial of Service
- 3 مورد Spoofing
همچنین شش آسیبپذیری روز صفرم و شناسه آن به صورت زیر است:
• CVE-2021-22947
• CVE-2021-36976
• CVE-2022-21919
• CVE-2022-21836
• CVE-2022-21839
• CVE-2022-21874
در نهایت مایکروسافت اکیداً توصیه به بهروزرسانی فوری در محصولات تحت تاثیر داشته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
در اصلاحیه امنیتی سه شنبه 11 ژانویه 2022 مایکروسافت 6 آسیب پذیری روز صفرم و در مجموع 97 آسیبپذیری را برطرف کرده است. از این 97 آسیبپذیری، 9 مورد دارای درجه حساسیت بحرانی، 88 مورد دارای درجه حساسیت مهم طبقهبندی شدهاند.
این 97 نقص شامل آسیبپذیریهای زیر بودهاند:
- 41 مورد Elevation of Privilege
- 9 مورد Security Feature Bypass
- 29 مورد Remote Code Execution
- 6 مورد Information Disclosure
- 9 مورد Denial of Service
- 3 مورد Spoofing
همچنین شش آسیبپذیری روز صفرم و شناسه آن به صورت زیر است:
• CVE-2021-22947
• CVE-2021-36976
• CVE-2022-21919
• CVE-2022-21836
• CVE-2022-21839
• CVE-2022-21874
در نهایت مایکروسافت اکیداً توصیه به بهروزرسانی فوری در محصولات تحت تاثیر داشته است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
📣 واکنش «تلوبیون» به حملات سایبری
🔺 از ساعتی پیش ویدیویی در شبکههای اجتماعی فراگیر شده که نشان میدهد تلوبیون با اختلال در پخش برنامهها مواجه شده است.
🔺 تلوبیون در توییتر خود حملات سایبری را تایید کرده است.
🔺 در توییتی که از طریق حساب کاربری تلوبیون منتشر شده، آمده است: «امروز علی رغم حملات سایبری گسترده، تلوبیون میزبان بیش از چهار میلیون مراجعه کاربر برای تماشای مسابقه فوتبال ایران و امارات بود. همچون گذشته در تلاشیم با سرویس دهی پایدار به ارتقای تجربه کاربری و بهبود کیفیت بپردازیم.»
🔺 پیش از این هم شبکههای تلویزیون و رادیو هک شده بودند و تحقیقات برای ماجرا تاکنون ادامه داشته است.
🔺 از ساعتی پیش ویدیویی در شبکههای اجتماعی فراگیر شده که نشان میدهد تلوبیون با اختلال در پخش برنامهها مواجه شده است.
🔺 تلوبیون در توییتر خود حملات سایبری را تایید کرده است.
🔺 در توییتی که از طریق حساب کاربری تلوبیون منتشر شده، آمده است: «امروز علی رغم حملات سایبری گسترده، تلوبیون میزبان بیش از چهار میلیون مراجعه کاربر برای تماشای مسابقه فوتبال ایران و امارات بود. همچون گذشته در تلاشیم با سرویس دهی پایدار به ارتقای تجربه کاربری و بهبود کیفیت بپردازیم.»
🔺 پیش از این هم شبکههای تلویزیون و رادیو هک شده بودند و تحقیقات برای ماجرا تاکنون ادامه داشته است.
Forwarded from IACS (پدرام کیانی)
Don't forget to make backup before weekend
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
Forwarded from IACS (پدرام کیانی)
گزارش فنی بهمراه جزئیات کامل از نحوه هک صدا وسیما را از اینک زیر بخوانید:
https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
https://research.checkpoint.com/2022/evilplayout-attack-against-irans-state-broadcaster/
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
Check Point Research
EvilPlayout: Attack Against Iran’s State Broadcaster - Check Point Research
In the past few months, a new wave of cyberattacks has been flooding Iran. These attacks are far from minor website defacements – the recent wave is hitting national infrastructure and causing major disruptions to public services. This article provides an…
⛔️ هشدار درخصوص آسیبپذیری در محصولات VMWARE
شرکت VMware برای رفع پنج آسیبپذیری در محصولات خود بهروزرسانی امنیتی منتشر نمود. این آسیبپذیریها دارای درجه حساسیت 5.3 تا 8.4 از 10 میباشند و بهرهبرداری از آنها امکان دسترسی به محیط مجازی داخل سازمان را برای مهاجم فراهم میکند. شرکت VMware خاطرنشان کرده است که ترکیب این نقصها با یکدیگر میتواند عواقب بدتر با شدت بالاتر را منجر شود.
محصولات تحتتأثیر:
• VMware ESXi
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)
• VMware Cloud Foundation (Cloud Foundation)
این شرکت به کاربران و مدیران توصیه کرده است که هر چه سریعتر بهروزرسانیها و اقدامات کاهشی ارائهشده توسط شرکت VMware را اعمال نمایند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
شرکت VMware برای رفع پنج آسیبپذیری در محصولات خود بهروزرسانی امنیتی منتشر نمود. این آسیبپذیریها دارای درجه حساسیت 5.3 تا 8.4 از 10 میباشند و بهرهبرداری از آنها امکان دسترسی به محیط مجازی داخل سازمان را برای مهاجم فراهم میکند. شرکت VMware خاطرنشان کرده است که ترکیب این نقصها با یکدیگر میتواند عواقب بدتر با شدت بالاتر را منجر شود.
محصولات تحتتأثیر:
• VMware ESXi
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)
• VMware Cloud Foundation (Cloud Foundation)
این شرکت به کاربران و مدیران توصیه کرده است که هر چه سریعتر بهروزرسانیها و اقدامات کاهشی ارائهشده توسط شرکت VMware را اعمال نمایند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
⛔️ هشدار درخصوص آسیبپذیری اجرای کد دلخواه در محصولات اپل
در روزهای اخیر یک آسیبپذیری در محصولات اپل کشف شده است که اگر یک کاربر صفحاتی دستکاریشده و آلوده را باز کند، میتواند به مهاجم اجازه دهد کد دلخواه را اجرا کند. بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجمی که سطح دسترسی یک کاربر لاگین شده را کسب کرده یا مکانیزم احراز هویت را دور زده اجازه دهد کد دلخواه خود را در محتوای برنامه آسیبپذیر اجرا کند.
در حال حاضر گزارشهایی مبنی بر بهرهبرداری فعال از آسیبپذیری با شناسه CVE-2022-22620 دریافت شده است.
نسخههای تحتتأثیر:
• iOS and iPadOS prior to 15.3.1
• macOS Monterey prior to 12.2.1
• Safari prior to 15.3 (v. 16612.4.9.1.8 and 15612.4.9.1.8)
اپل به کاربران خود توصیه کرده است که بهروزرسانی را در محصولات تحت تاثیر انجام دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
در روزهای اخیر یک آسیبپذیری در محصولات اپل کشف شده است که اگر یک کاربر صفحاتی دستکاریشده و آلوده را باز کند، میتواند به مهاجم اجازه دهد کد دلخواه را اجرا کند. بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجمی که سطح دسترسی یک کاربر لاگین شده را کسب کرده یا مکانیزم احراز هویت را دور زده اجازه دهد کد دلخواه خود را در محتوای برنامه آسیبپذیر اجرا کند.
در حال حاضر گزارشهایی مبنی بر بهرهبرداری فعال از آسیبپذیری با شناسه CVE-2022-22620 دریافت شده است.
نسخههای تحتتأثیر:
• iOS and iPadOS prior to 15.3.1
• macOS Monterey prior to 12.2.1
• Safari prior to 15.3 (v. 16612.4.9.1.8 and 15612.4.9.1.8)
اپل به کاربران خود توصیه کرده است که بهروزرسانی را در محصولات تحت تاثیر انجام دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🔴 آسیبپذیری اجرای کد از راه دور در نرمافزار پایگاه داده Apache Cassandra
🔷 آپاچی کاساندرا یک سیستم مدیریت پایگاه داده NoSQL توزیع شده آزاد و متنباز میباشد که به منظور مدیریت حجم عظیمی از دادههای ساختاریافته بر روی سرورهای معمولی و همچنین فراهم ساختن قابلیت دسترسی بالا طراحی شده است.
🔶 این آسیبپذیری با شناسه CVE-2021-44521، دارای شدت بالا (۸.۴ از ۱۰) میباشد که با اجرای کد از راه دور توسط مهاجم، به راحتی قابل بهرهبرداری است و پتانسیل ایجاد خرابی در سیستمها را دارد.
✅ به کاربران توصیه میشود نرمافزار خود را به نسخههای 3.0.26، 3.11.12 و 4.0.2 ارتقاء دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔷 آپاچی کاساندرا یک سیستم مدیریت پایگاه داده NoSQL توزیع شده آزاد و متنباز میباشد که به منظور مدیریت حجم عظیمی از دادههای ساختاریافته بر روی سرورهای معمولی و همچنین فراهم ساختن قابلیت دسترسی بالا طراحی شده است.
🔶 این آسیبپذیری با شناسه CVE-2021-44521، دارای شدت بالا (۸.۴ از ۱۰) میباشد که با اجرای کد از راه دور توسط مهاجم، به راحتی قابل بهرهبرداری است و پتانسیل ایجاد خرابی در سیستمها را دارد.
✅ به کاربران توصیه میشود نرمافزار خود را به نسخههای 3.0.26، 3.11.12 و 4.0.2 ارتقاء دهند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
⚠️ هشدار❗️
آسیبپذیریهای مهم در مرورگر گوگل کروم
🔷 شرکت گوگل، برای هشت آسیبپذیری امنیتی در مرورگر کروم خود، که 7 مورد از آنها دارای شدت بالا و یک مورد دارای شدت متوسط میباشند، بهروزرسانی منتشر نمود.
🔶 از جملهی این نقصها، یک آسیبپذیری روزصفر با شدت بالا و دارای شناسهی CVE-2022-0609 است که در حملات واقعی به طور فعال مورد بهرهبرداری قرار گرفته و به عنوان اولین آسیبپذیری روزصفری که توسط این شرکت بزرگ در سال 2022 وصله شده است در نظر گرفته میشود.
❌ تمام نسخههای قبل از 98.0.4758.102 Google Chrome تحت تأثیر آسیبپذیریهای مذکور قرار دارند.
✅ به کاربران گوگل کروم توصیه میشود برای کاهش هر گونه تهدید احتمالی، مرورگر کروم خود را به نسخهی 98.0.4758.102 در ویندوز، مک یا لینوکس بهروزرسانی نمایند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
آسیبپذیریهای مهم در مرورگر گوگل کروم
🔷 شرکت گوگل، برای هشت آسیبپذیری امنیتی در مرورگر کروم خود، که 7 مورد از آنها دارای شدت بالا و یک مورد دارای شدت متوسط میباشند، بهروزرسانی منتشر نمود.
🔶 از جملهی این نقصها، یک آسیبپذیری روزصفر با شدت بالا و دارای شناسهی CVE-2022-0609 است که در حملات واقعی به طور فعال مورد بهرهبرداری قرار گرفته و به عنوان اولین آسیبپذیری روزصفری که توسط این شرکت بزرگ در سال 2022 وصله شده است در نظر گرفته میشود.
❌ تمام نسخههای قبل از 98.0.4758.102 Google Chrome تحت تأثیر آسیبپذیریهای مذکور قرار دارند.
✅ به کاربران گوگل کروم توصیه میشود برای کاهش هر گونه تهدید احتمالی، مرورگر کروم خود را به نسخهی 98.0.4758.102 در ویندوز، مک یا لینوکس بهروزرسانی نمایند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
⚠️ هشدار❗️
آسیبپذیری در محصولات VMware
🔷 شرکت VMware برای رفع پنج آسیبپذیری در محصولات خود بهروزرسانی امنیتی منتشر نمود. این آسیبپذیریها دارای رِنج شدت 5.3 تا 8.4 از 10 میباشند و بهرهبرداری از آنها امکان دسترسی به محیط مجازی داخل سازمان را برای مهاجم فراهم میکند.
❌ محصولات تحت تأثیر :
▪️VMware ESXi 7.0 U3, 7.0 U2, 7.0 U1, 6.5, 6.7, 7.0 versions
▪️VMware Workstation Pro / Player (Workstation) 16.x version
▪️VMware Fusion Pro / Fusion (Fusion) 12.x version
▪️VMware Cloud Foundation (Cloud Foundation) 3.x, 4.x versions
✅ به کاربران و مدیران توصیه میشود هر چه سریعتر بهروزرسانیها و اقدامات کاهشی ارائهشده توسط شرکت VMware را که در لینک زیر آورده شده است اعمال نمایند:
🌐 https://www.vmware.com/security/advisories/VMSA-2022-0004.html
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
آسیبپذیری در محصولات VMware
🔷 شرکت VMware برای رفع پنج آسیبپذیری در محصولات خود بهروزرسانی امنیتی منتشر نمود. این آسیبپذیریها دارای رِنج شدت 5.3 تا 8.4 از 10 میباشند و بهرهبرداری از آنها امکان دسترسی به محیط مجازی داخل سازمان را برای مهاجم فراهم میکند.
❌ محصولات تحت تأثیر :
▪️VMware ESXi 7.0 U3, 7.0 U2, 7.0 U1, 6.5, 6.7, 7.0 versions
▪️VMware Workstation Pro / Player (Workstation) 16.x version
▪️VMware Fusion Pro / Fusion (Fusion) 12.x version
▪️VMware Cloud Foundation (Cloud Foundation) 3.x, 4.x versions
✅ به کاربران و مدیران توصیه میشود هر چه سریعتر بهروزرسانیها و اقدامات کاهشی ارائهشده توسط شرکت VMware را که در لینک زیر آورده شده است اعمال نمایند:
🌐 https://www.vmware.com/security/advisories/VMSA-2022-0004.html
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security