محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب پذیری 22 ساله در کتابخانه پایگاه داده SQLite با سطح شدت بالا کشف شده است.
این اشکال به‌عنوان CVE-2022-35737 (امتیاز CVSS: 7.5) ردیابی می‌شود و یک مشکل سرریز محدوده‌های آرایه است. این اشکال بر نسخه های SQLite از 1.0.12 تا 3.39.1 تأثیر می گذارد.
این باگ از زمان دات‌کام‌ها تا اکتبر ۲۰۰۰ وجود داشته است. به گفته متخصصین، یک مهاجم می تواند در اجرای کد دلخواه روی یک سیستم آسیب پذیر مشکل ایجاد کند و باعث ایجاد DOS شود. کارشناسان توضیح دادند که CVE-2022-35737 در سیستم های 64 بیتی قابل استفاده است و امکان استفاده از آن به نحوه کامپایل شدن برنامه بستگی دارد.
اگر اجرای کد دلخواه در همه سناریوها اتفاق نیفتد، آنگاه انکار سرویس بهره برداری همیشه اعلام می شود.
برای سوء استفاده از خطا، مهاجمان فقط باید ورودی‌های رشته‌ای بزرگ را به پیاده‌سازی‌های SQLite توابع printf ارسال کنند، جایی که رشته قالب حاوی انواع جایگزینی %Q، %q یا %w است.
این آسیب‌پذیری به روشی مربوط می‌شود که تابع sqlite3_str_vappendf که توسط printf فراخوانی می‌شود، قالب‌بندی رشته را مدیریت می‌کند.
همچنین، اگر رشته قالب حاوی کاراکتر ویژه "!" برای فعال کردن اسکن کاراکترهای یونیکد، می توانید باعث اجرای کد دلخواه یا ایجاد شرایط DoS شوید. این احتمالاً در آن زمان دور اشتباه نبود، زیرا سیستم ها عمدتاً در معماری 32 بیتی بودند. با این حال، این باگ با انتشار نسخه 3.39.2 در 21 جولای برطرف شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴 انتشار به‌روزرسانی فوری برای رفع آسيب‌پذيری‌ روزصفر با شدت بالا در مرورگر گوگل کروم❗️

🔹 این آسیب‌پذیری با شناسه CVE-2022-3723 که به طور فعال مورد سوءاستفاده قرار گرفته است، در موتور جاوااسکریپت V8 وجود دارد.

✅ به کاربران توصیه می‌شود مرورگر کروم خود را در سیستم‌عامل‌های لینوکس و مکینتاش به نسخه‌ی 107.0.5304.87 و در ویندوز به نسخه‌ی 107.0.5304.87/.88 ارتقاء دهند.

☑️ به کاربران مرورگرهای مبتنی بر کروم مانند Microsoft Edge، Brave ،Opera و Vivaldi نیز توصیه می‌شود به محض در دسترس قرار گرفتن وصله‌های امنیتی، آن‌ها را اعمال نمایند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

نسخه جدید OpenSSL که به طور گسترده در infosec اعلام شده است، شامل اصلاحاتی برای دو آسیب پذیری با شدت بالا است. CVE-2022-3602 و CVE-2022-3786 OpenSSL نسخه 3.0.0 و بالاتر را تحت تأثیر قرار می دهند و در OpenSSL 3.0.7 ثابت شدند. اولین CVE-2022-3602 به عنوان یک سرریز بافر دلخواه پشته ای 4 بایتی توصیف شده است که می تواند باعث خرابی یا منجر به 2022-3602 شود، در حالی که CVE-2022-3786 دیگر می تواند توسط مهاجمان از طریق آدرس های ایمیل مخرب برای راه اندازی حالت و ایجاد حالت استفاده شود. CVE-20 از طریق سرریز بافر. نماینده پروژه از هیچ گونه اکسپلویت واقعی که می تواند منجر به اجرای کد از راه دور شود آگاه نیست و هیچ مدرکی دال بر سوء استفاده از این مشکلات در طبیعت ندارند. مطابق با خط مشی Open SSL، سازمان ها و مدیران فناوری اطلاعات از 25 اکتبر هشدار داده اند که محیط های خود را برای نمونه های آسیب پذیر جستجو کرده و پس از انتشار OpenSSL 3.0.7 وصله ها را اعمال کنند. OpenSSL همچنین اقدامات کاهشی را با الزام مدیرانی که با سرورهای TLS کار می‌کنند برای غیرفعال کردن احراز هویت کلاینت‌های TLS تا زمانی که وصله‌ها اعمال شوند، ارائه کرد. اگرچه هشدار اولیه برای CVE-2022-3602 بحرانی ارزیابی شد، اما از آن زمان به High تنزل داده شده است و فقط بر موارد OpenSSL 3.0 و بالاتر تأثیر می گذارد. همچنین، علیرغم اینکه برخی از کارشناسان قبلاً باگ ها را با وضعیت مشابه برابر دانسته اند. CVE-2022 - از بین بیش از 1793000 هاست آنلاین منحصربفرد یافت شده توسط Hermit، تنها 7000 دارای نسخه های آسیب پذیر هستند. شودان 16000 نمونه OpenSSL عمومی را تخمین زده است. پس از تجزیه و تحلیل استقرار در محیط‌های ابری اصلی (مانند AWS، GCP، Azure، OCI و Alibaba Cloud)، محققان Wiz.io تنها 1.5 درصد از نمونه‌های OpenSSL آسیب‌پذیر را پیدا کردند. خط آخر: هیاهوی زیادی در مورد هیچ چیز.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مافیای چین 100000 آسیایی را گروگان گرفته و آنها را مجبور به کلاهبرداری سایبری می کند

قربانیان نجات یافته گفتند در چه شرایطی بودند و چه کردند.


سندیکای جنایی چین 100000 نفر را از سراسر آسیا به کامبوج با وعده مشاغل با درآمد خوب جذب کرده اند. به محض ورود قربانیان، گذرنامه‌های آنها مصادره می‌شود و آنها مجبور می‌شوند در شرایط خیلی سخت در حین انجام کمپین‌های مجرمانه سایبری کار کنند.
به گزارش لس آنجلس تایمز، کامبوج که اقتصاد آن به شدت تحت تاثیر این همه گیری قرار گرفته است، به مافیای چین اجازه داد تا کمپین های جرایم سایبری در مقیاس بزرگ را با استفاده از نیروی کار بدون عواقب سازماندهی کند. این امر به این دلیل است که کشور از این فعالیت درآمد خوبی دریافت می کند. کمپین های جنایی شامل کلاهبرداری های تلفنی، شرط بندی های ورزشی جعلی، کلاهبرداری های سرمایه گذاری و سایر اشکال جرایم سایبری است.
در حالی که دولت کامبوج اعتراف می کند که بیش از 100000 کارگر در این کمپین ها شرکت ندارند، اما این را رد می کند که قربانیان بر خلاف میل آنها بازداشت شده اند. با این حال، برخی از قربانیانی که از دست مجرمان سایبری نجات یافتند، از ضرب و شتم و شکنجه به دلیل عدم اجرای طرح و همچنین فروش به باندهای دیگر صحبت کردند.
ساکنان مالزی در 6 اکتبر در فرودگاه بین المللی کوالالامپور از دست قاچاقچیان در کامبوج نجات یافتند
جیکوب سیمز، مدیر منطقه ای ماموریت بین المللی عدالت کامبوج، که بسیاری از قربانیان را نجات داد، گفت که گروگان ها مجبور به انجام فشارهای سخت، برق گرفتگی، محرومیت از غذا، حبس در یک اتاق تاریک و غیره شدند. و کسانی که به اهداف و برنامه های خود دست می یابند، با آزادی بیشتر، غذا، پول و کنترل بر سایر قربانیان پاداش می گیرند.
در چند ماه گذشته، توجه بین‌المللی به این معاملات تشدید شده است و ایالات متحده اخیراً رتبه کامبوج را به پایین‌ترین سطح در شاخص قاچاق انسان کاهش داده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای کانال
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
تخفیف ویژه لحظه آخری برای علاقه مندان
با کد تخفیف
lastsec
تعداد محدود است

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند. اشکال تشدید امتیاز به‌عنوان CVE-2022-20465 ردیابی می‌شود و توسط محققی به نام دیوید شوتز کشف شد که برای آن جایزه 70000 دلاری از گوگل دریافت کرد. بهره‌برداری به مهاجم اجازه می‌دهد تا با راه‌اندازی مکانیزم بازنشانی پین سیم‌کارت که کاربر را ملزم به وارد کردن کد PUK می‌کند، قفل گوشی اندروید را باز کند. در این سناریو، یک مهاجم با دسترسی فیزیکی به یک دستگاه قفل شده باید سیم کارت خود را جایگزین کند و سپس پین اشتباه را سه بار وارد کند تا فرآیند بازنشانی آغاز شود. این شامل درخواست یک کد کلید باز کردن قفل PUK 8 رقمی است. به محض اینکه مهاجم یک کد PUK را وارد می کند، بدون نیاز به وارد کردن رمز عبور یا الگو برای باز کردن قفل آن، به دستگاه دسترسی کامل دارد. این مشکل به دلیل یک اشکال در تابع .dismiss() است که پس از وارد کردن کد PUK فراخوانی می‌شود و دستگاه‌های دارای Android 10، 11، 12 و 13 را تحت تأثیر قرار می‌دهد. در نظر گرفته شده است که صفحه امنیتی فعلی را ببندد، که باید یک درخواست PUK به دلیل این آسیب‌پذیری، مؤلفه مانیتورینگ سیم‌کارت در پس‌زمینه، صفحه امنیتی را درست قبل از فراخوانی تابع .dismiss تغییر می‌دهد، که باعث می‌شود صفحه PIN/passcode بسته شود و در نهایت قفل گوشی باز شود. به عنوان یک راه حل، Google این تابع را تغییر داد تا پارامتر جدیدی را شامل شود که در آن تابع فراخوانی مشخص می کند که چه نوع صفحه امنیتی بسته شود. اما چیز دیگری جالب است: محقق این آسیب‌پذیری را در اواسط ژوئن به گوگل گزارش داد. بعد از یکی دو ماه به او گفتند که این گزارش تکراری است و آن را رد کردند. با این حال، شوتز تصمیم گرفت متوقف نشود و مشکل را در رویداد عمومی ESCAL8 در لندن نشان داد، که مورد توجه شرکت کنندگان از کارکنان مهندسی گوگل قرار نگرفت. در نتیجه غول مجبور شد اشتباه خود را بپذیرد و هزینه آن را بپردازد. این آسیب پذیری با انتشار وصله های نوامبر برای اندروید بسته شد. واقعیت این است که این به هیچ وجه یک باگ نیست، بلکه یک ویژگی است با توجه به سرعت بسیار زیاد و سهولت کار.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ویدیوی این آسیب پذیری را در اینجا ببینید.
͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

پیشنهاد میکنم وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001 ورژن 2022 و تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، و آشنایی با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید را از لینک زیر دریافت کنید:
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://lnkd.in/eRmtpytB

تحقیقات Qualys Threat نشان داده است که چگونه می توان یک آسیب پذیری در لینوکس را به دو نقص به ظاهر بی ضرر دیگر به منظور به دست آوردن امتیازات superuser در سیستم آسیب دیده مرتبط کرد.

آسیب‌پذیری جدید به‌عنوان CVE-2022-3328 ردیابی شده است و Snap-confine را در Snapd تحت تأثیر قرار می‌دهد، ابزاری که توسط Canonical ایجاد شده و برای ایجاد یک محیط زمان اجرا برای برنامه‌های نرم‌افزاری Snap استفاده می‌شود.

برنامه پیش فرض در اوبونتو وجود دارد که توسعه دهندگان آن CVE-2022-3328 را به عنوان یک آسیب پذیری جدی توصیف کرده اند که می تواند برای افزایش امتیازات محلی و RCE استفاده شود.

محققان Qualys توانستند CVE-2022-3328 را با دو مشکل اخیراً کشف شده که Multipathd را تحت تأثیر قرار می‌دهند ترکیب کنند تا یک حمله قدرتمند را انجام دهند.

Multipathd دیمون بررسی مسیر است که به عنوان ریشه در نصب استاندارد اوبونتو و سایر توزیع‌ها اجرا می‌شود.

Multipathd تحت تأثیر یک مشکل دور زدن مجوز است که یک کاربر غیرمجاز می تواند از آن برای اجرای دستورات ممتاز در Multipathd (CVE-2022-41974) و یک حمله پیوند نمادین (CVE-2022-41973) استفاده کند که می تواند برای RCE استفاده شود.

ترکیب یک آسیب‌پذیری Snapd با دو نقص Multipathd می‌تواند به هر کاربر غیرمجاز این امکان را بدهد که در یک دستگاه آسیب‌پذیر امتیازات root را به دست آورد.

در نتیجه، Qualys یک اکسپلویت ایجاد کرد که به شما امکان می‌دهد هنگام نصب اوبونتو به‌طور پیش‌فرض، امتیازات کامل ابرکاربر را دریافت کنید.

اگرچه این آسیب پذیری نمی تواند از راه دور مورد سوء استفاده قرار گیرد، اما محققان هشدار می دهند که یک کاربر غیرمجاز می تواند از آن سوء استفاده کند.

Qualys توصیه هایی با اطلاعات فنی دقیق ارائه کرد و تصمیم گرفت با توجه به جدی بودن ترکیب، PoC را منتشر نکند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

Exploiting Active Directory With Linux

https://t.me/linux_news/682

#intelligence #cybersecurity #informationsecurity

⚠️ هشدار!
🔴 کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

🔷 این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

✅ به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

پینگ قدیمی و بی ضرر می تواند به مهاجمان اجازه دهد تا سیستم FreeBSD را تحت کنترل خود درآورند.

نگهبانان سیستم عامل FreeBSD یک خطای بحرانی سرریز بافر را در ابزار پینگ پیدا کردند که به عنوان CVE-2022-23093 ردیابی می شود.

این مشکل به طور بالقوه می تواند منجر به اجرای کد از راه دور به عنوان ریشه در هنگام پینگ کردن یک میزبان خارجی که توسط مهاجم کنترل می شود، شود. یک اصلاح قبلاً در به‌روزرسانی‌های FreeBSD 13.1-RELEASE-p5، 12.4-RC2-p2 و 12.3-RELEASE-p10 پیشنهاد شده است.

این آسیب‌پذیری مربوط به سرریز بافر در کد مورد استفاده در ابزار پینگ برای تجزیه پیام‌های ICMP در پاسخ به درخواست پروب است.

کد ارسال و دریافت پیام‌های ICMP در پینگ از سوکت‌های خام استفاده می‌کند و با امتیازات بالا اجرا می‌شود، زیرا ابزار با پرچم setuid root ارائه می‌شود و پاسخ در سمت پینگ از طریق بازسازی هدرهای IP و ICMP بسته‌ها پردازش می‌شود. دریافت شده از سوکت خام .

در واقع، سرصفحه‌های IP و ICMP استخراج‌شده توسط تابع pr_pack() در بافرها کپی می‌شوند، بدون در نظر گرفتن این واقعیت که هدرهای توسعه‌یافته اضافی ممکن است در بسته بعد از هدر IP وجود داشته باشد.

چنین هدرهایی از بسته استخراج می شوند و در بلوک هدر گنجانده می شوند، اما هنگام محاسبه اندازه بافر در نظر گرفته نمی شوند.

اگر میزبان، در پاسخ به درخواست ICMP ارسال شده، بسته ای را با هدرهای اضافی برگرداند، محتویات آنها در ناحیه خارج از مرز بافر در پشته نوشته می شود.

در نتیجه، مهاجم می‌تواند تا 40 بایت داده را روی پشته بازنویسی کند و به طور بالقوه امکان اجرای کد او را فراهم کند.

خطر مشکل با این واقعیت کاهش می یابد که در زمان بروز خطا، فرآیند در حالت ایزوله تماس های سیستم (حالت قابلیت) است که دسترسی به بقیه سیستم را دشوار می کند. پس از بهره برداری از آسیب پذیری

با این حال، محققان توصیه می‌کنند که سیستم‌های آسیب‌دیده را به نسخه پایدار FreeBSD ارتقا دهید.

همچنین هیچ اطلاعاتی در مورد اینکه آیا سایر سیستم‌های BSD تحت تأثیر آسیب‌پذیری شناسایی‌شده قرار می‌گیرند، وجود ندارد، زیرا گزارش‌های آسیب‌پذیری در NetBSD، DragonFlyBSD و OpenBSD هنوز ظاهر نشده‌اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

حمله دیگری که توسط یک باند اخاذی به موسسات پزشکی در فرانسه انجام شد.

این بار هکرها وحشت را در مرکز پزشکی ورسای ایجاد کردند که مجبور شد عملیات را متوقف کند و برخی از بیماران را به مکان دیگری منتقل کند.

وزارت بهداشت فرانسه گزارش داد که مرکز پزشکی ورسای که شامل دو بیمارستان و یک خانه سالمندان است، در حال حاضر به طور کامل فاقد هرگونه سیستم کامپیوتری است.

فرانسوا براون، وزیر بهداشت، گفت که این حمله به سازماندهی مجدد کامل بیمارستان منجر شد، زیرا به کارکنان اضافی در بخش مراقبت های ویژه نیاز بود، زیرا برخی از تجهیزات شبکه ای حیاتی نیاز به نظارت دقیق تری داشتند و در حال حاضر به سادگی غیرفعال شده است.

مهاجمان تقاضای باج کردند که مقدار آن هنوز فاش نشده است، اما مقامات قبلاً امتناع کرده اند، زیرا فرانسه قانونی دارد که مؤسسات دولتی را از پرداخت باج منع می کند.

اطلاعات محرمانه کارکنان و بیماران قبلاً در وب سایت مهاجم منتشر شده است و پلیس فرانسه گروه باج افزار LockBit را عاملان این حمله معرفی کرده است.

به گفته وزیر بهداشت، حملات به ارائه دهندگان خدمات بهداشتی و موسسات پزشکی در چند ماه گذشته به طور مرتب در فرانسه رخ داده است، اما از اکثر این حملات جلوگیری شده است.

با این حال، در ماه آگوست، بیمارستانی در حومه پاریس به نام Centre Hospitalier Sud Francilien مورد حمله باج افزاری قرار گرفت که چند هفته طول کشید تا بهبود پیدا کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

هکرهای کره شمالی APT37 از موتور jScript9 اینترنت اکسپلورر Zero-Day سوء استفاده کردند

هکرهای مرتبط با کره شمالی از یک آسیب پذیری اشتباه نوع روز صفر در موتور JScript9 اینترنت اکسپلورر سوء استفاده کرده اند. Google Project Zero این آسیب‌پذیری را شناسایی کرد که بر روی ویندوز 7 اما 11 و ویندوز سرور 2008 تا 2022 قبل از وصله‌هایی که مایکروسافت در نوامبر منتشر کرد تأثیر می‌گذارد. APT از این آسیب پذیری برای گسترش بدافزارهای تعبیه شده در اسناد سوء استفاده کرده است.
یادداشت ویراستار

ممکن است در این مرحله اینترنت اکسپلورر را "میراث" در نظر بگیرید. اما همچنان ممکن است برای ارائه محتوا در اسناد آفیس استفاده شود.

کره شمالی، در حالی که یک کشور نسبتاً کم بودجه است، هنوز این تیم مبتکر از افراد را دارد که راه های جالبی برای سوء استفاده از ویندوز پیدا می کنند. توانایی های فنی آنها را دست کم نگیرید. آنها هنوز هم می توانند موثر باشند. چه کسی فکر می کرد IE11 هنوز موتور رندر اصلی HTML در آفیس در سال 2022 باشد؟ انگار که گفتم IE6 برای رندر HTML در Adobe Reader استفاده می شود. این نسبتاً تکان دهنده است، اما شاید تعجب آور نباشد.

بیشتر بخوانید در:
- googleprojectzero.github.io : CVE-2022-41128: تایپ سردرگمی در موتور JScript9 اینترنت اکسپلورر
- www.zdnet.com : هکرها همچنان در حال یافتن و استفاده از نقص های اینترنت اکسپلورر هستند
- arstechnica.com : هکرهای کره شمالی بار دیگر از بیت های باقی مانده اینترنت اکسپلورر سوء استفاده می کنند
- www.theregister.com : کره شمالی با استفاده از تراژدی هالووین سئول برای سوء استفاده از اینترنت اکسپلورر روز صفر به پایین ترین سطح خود رسید.
- www.darkreading.com : APT37 از Internet Explorer Zero-Day برای انتشار بدافزار استفاده می کند
- www.govinfosecurity.com : هکرهای کره شمالی به روزهای صفر اینترنت اکسپلورر نگاه می کنند
- duo.com : کره شمالی APT37 از اینترنت اکسپلورر روز صفر استفاده کرد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

سیسکو آسیب‌پذیری را فاش می‌کند که میان‌افزار IP Phone 7800 و سری 8800 را تحت تأثیر قرار می‌دهد.

سیسکو یک آسیب‌پذیری را در ویژگی پردازش پروتکل کشف سیسکو در میان‌افزار سیسکو IP Phone 7800 و سری 8800 افشا کرده است. مشکل در اعتبار سنجی ورودی ناکافی بسته های پروتکل کشف سیسکو دریافت شده است و می تواند برای دستیابی به اجرای کد از راه دور یا شرایط انکار سرویس مورد سوء استفاده قرار گیرد. سیسکو قصد دارد به‌روزرسانی‌هایی را برای رفع این آسیب‌پذیری منتشر کند. یک راه حل پیشنهادی غیرفعال کردن پروتکل کشف سیسکو در دستگاه های سری IP Phone 7800 و 8800 است.
یادداشت ویراستار

تا الان هیچ پچی منتشر نشده. فقط در صورتی می توانید CDP را غیرفعال کنید که LLDP را فعال کرده باشید.
این آسیب پذیری برای گوشی های سیسکو بسیار جدی به نظر می رسد. CDP پروتکلی است که به خوبی مورد استفاده قرار می گیرد و نیازی به احراز هویت ندارد و عموماً به صورت رایگان در شبکه ارسال می شود. اگر یک بسته CDP می تواند منجر به اجرای کد از راه دور شود، اکنون این دستگاه ها را وصله کنید. من نمی توانم به اندازه کافی روی این موضوع تاکید کنم، اکنون وصله کنید. من هنوز دستگاه‌های شبکه بسیار آسیب‌پذیر را بدون وصله در شبکه می‌بینم، حتی زمانی که سوءاستفاده از آن‌ها بی‌اهمیت است، و این آسیب‌پذیری بیش از ده سال است که شناخته شده است. من نمی توانم تاکید کنم که یک بسته CDP که می تواند باعث RCE شود وحشتناک است. هنگامی که شخصی در یکی از این دستگاه‌ها قرار می‌گیرد، می‌تواند به سرعت به بخش‌های دیگر شبکه بپیوندد. اگر در حال حاضر نمی توانید وصله کنید، لطفاً مطمئن شوید که این دستگاه ها در شبکه خود هستند و این شبکه ها از شبکه های داده جدا شده اند.

بیشتر بخوانید در:
- tools.cisco.com : Cisco IP Phone سری 7800 و 8800 Cisco Discovery Protocol Stack Overflow Avulnership
- www.bleepingcomputer.com : سیسکو باگ تلفن IP با شدت بالا را با کد بهره برداری فاش می کند
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کمیسر حریم خصوصی نیوزیلند می‌گوید که در حال بررسی حمله باج‌افزار فناوری اطلاعات مرکوری هستند.

کمیسر حریم خصوصی نیوزلند بیانیه‌ای درباره حمله باج‌افزار اخیر علیه Mercury IT منتشر کرده است که "گستره وسیعی از خدمات فناوری اطلاعات را به مشتریان" در سراسر کشور ارائه می‌کند. این حادثه بر سیستم‌های چندین سازمان دولتی در سراسر نیوزیلند تأثیر گذاشت.
بیشتر بخوانید در:
- www.privacy.org.nz : کمیسر حریم خصوصی اقدامی را در مورد حمله باج افزار در نظر می گیرد
- www.infosecurity-magazine.com : کمیسر حریم خصوصی NZ در مورد حمله باج افزار IT Mercury تحقیق می کند
- www.theregister.com : تعطیلات اقیانوس آرام جنوبی ممکن است توسط باج افزار نابود شود
- www.govinfosecurity.com : حمله باج افزار در نیوزلند اثرات آبشاری دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security