مافیای چین 100000 آسیایی را گروگان گرفته و آنها را مجبور به کلاهبرداری سایبری می کند

قربانیان نجات یافته گفتند در چه شرایطی بودند و چه کردند.


سندیکای جنایی چین 100000 نفر را از سراسر آسیا به کامبوج با وعده مشاغل با درآمد خوب جذب کرده اند. به محض ورود قربانیان، گذرنامه‌های آنها مصادره می‌شود و آنها مجبور می‌شوند در شرایط خیلی سخت در حین انجام کمپین‌های مجرمانه سایبری کار کنند.
به گزارش لس آنجلس تایمز، کامبوج که اقتصاد آن به شدت تحت تاثیر این همه گیری قرار گرفته است، به مافیای چین اجازه داد تا کمپین های جرایم سایبری در مقیاس بزرگ را با استفاده از نیروی کار بدون عواقب سازماندهی کند. این امر به این دلیل است که کشور از این فعالیت درآمد خوبی دریافت می کند. کمپین های جنایی شامل کلاهبرداری های تلفنی، شرط بندی های ورزشی جعلی، کلاهبرداری های سرمایه گذاری و سایر اشکال جرایم سایبری است.
در حالی که دولت کامبوج اعتراف می کند که بیش از 100000 کارگر در این کمپین ها شرکت ندارند، اما این را رد می کند که قربانیان بر خلاف میل آنها بازداشت شده اند. با این حال، برخی از قربانیانی که از دست مجرمان سایبری نجات یافتند، از ضرب و شتم و شکنجه به دلیل عدم اجرای طرح و همچنین فروش به باندهای دیگر صحبت کردند.
ساکنان مالزی در 6 اکتبر در فرودگاه بین المللی کوالالامپور از دست قاچاقچیان در کامبوج نجات یافتند
جیکوب سیمز، مدیر منطقه ای ماموریت بین المللی عدالت کامبوج، که بسیاری از قربانیان را نجات داد، گفت که گروگان ها مجبور به انجام فشارهای سخت، برق گرفتگی، محرومیت از غذا، حبس در یک اتاق تاریک و غیره شدند. و کسانی که به اهداف و برنامه های خود دست می یابند، با آزادی بیشتر، غذا، پول و کنترل بر سایر قربانیان پاداش می گیرند.
در چند ماه گذشته، توجه بین‌المللی به این معاملات تشدید شده است و ایالات متحده اخیراً رتبه کامبوج را به پایین‌ترین سطح در شاخص قاچاق انسان کاهش داده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای کانال
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
تخفیف ویژه لحظه آخری برای علاقه مندان
با کد تخفیف
lastsec
تعداد محدود است

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند. اشکال تشدید امتیاز به‌عنوان CVE-2022-20465 ردیابی می‌شود و توسط محققی به نام دیوید شوتز کشف شد که برای آن جایزه 70000 دلاری از گوگل دریافت کرد. بهره‌برداری به مهاجم اجازه می‌دهد تا با راه‌اندازی مکانیزم بازنشانی پین سیم‌کارت که کاربر را ملزم به وارد کردن کد PUK می‌کند، قفل گوشی اندروید را باز کند. در این سناریو، یک مهاجم با دسترسی فیزیکی به یک دستگاه قفل شده باید سیم کارت خود را جایگزین کند و سپس پین اشتباه را سه بار وارد کند تا فرآیند بازنشانی آغاز شود. این شامل درخواست یک کد کلید باز کردن قفل PUK 8 رقمی است. به محض اینکه مهاجم یک کد PUK را وارد می کند، بدون نیاز به وارد کردن رمز عبور یا الگو برای باز کردن قفل آن، به دستگاه دسترسی کامل دارد. این مشکل به دلیل یک اشکال در تابع .dismiss() است که پس از وارد کردن کد PUK فراخوانی می‌شود و دستگاه‌های دارای Android 10، 11، 12 و 13 را تحت تأثیر قرار می‌دهد. در نظر گرفته شده است که صفحه امنیتی فعلی را ببندد، که باید یک درخواست PUK به دلیل این آسیب‌پذیری، مؤلفه مانیتورینگ سیم‌کارت در پس‌زمینه، صفحه امنیتی را درست قبل از فراخوانی تابع .dismiss تغییر می‌دهد، که باعث می‌شود صفحه PIN/passcode بسته شود و در نهایت قفل گوشی باز شود. به عنوان یک راه حل، Google این تابع را تغییر داد تا پارامتر جدیدی را شامل شود که در آن تابع فراخوانی مشخص می کند که چه نوع صفحه امنیتی بسته شود. اما چیز دیگری جالب است: محقق این آسیب‌پذیری را در اواسط ژوئن به گوگل گزارش داد. بعد از یکی دو ماه به او گفتند که این گزارش تکراری است و آن را رد کردند. با این حال، شوتز تصمیم گرفت متوقف نشود و مشکل را در رویداد عمومی ESCAL8 در لندن نشان داد، که مورد توجه شرکت کنندگان از کارکنان مهندسی گوگل قرار نگرفت. در نتیجه غول مجبور شد اشتباه خود را بپذیرد و هزینه آن را بپردازد. این آسیب پذیری با انتشار وصله های نوامبر برای اندروید بسته شد. واقعیت این است که این به هیچ وجه یک باگ نیست، بلکه یک ویژگی است با توجه به سرعت بسیار زیاد و سهولت کار.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ویدیوی این آسیب پذیری را در اینجا ببینید.
͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

پیشنهاد میکنم وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001 ورژن 2022 و تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، و آشنایی با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید را از لینک زیر دریافت کنید:
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://lnkd.in/eRmtpytB

تحقیقات Qualys Threat نشان داده است که چگونه می توان یک آسیب پذیری در لینوکس را به دو نقص به ظاهر بی ضرر دیگر به منظور به دست آوردن امتیازات superuser در سیستم آسیب دیده مرتبط کرد.

آسیب‌پذیری جدید به‌عنوان CVE-2022-3328 ردیابی شده است و Snap-confine را در Snapd تحت تأثیر قرار می‌دهد، ابزاری که توسط Canonical ایجاد شده و برای ایجاد یک محیط زمان اجرا برای برنامه‌های نرم‌افزاری Snap استفاده می‌شود.

برنامه پیش فرض در اوبونتو وجود دارد که توسعه دهندگان آن CVE-2022-3328 را به عنوان یک آسیب پذیری جدی توصیف کرده اند که می تواند برای افزایش امتیازات محلی و RCE استفاده شود.

محققان Qualys توانستند CVE-2022-3328 را با دو مشکل اخیراً کشف شده که Multipathd را تحت تأثیر قرار می‌دهند ترکیب کنند تا یک حمله قدرتمند را انجام دهند.

Multipathd دیمون بررسی مسیر است که به عنوان ریشه در نصب استاندارد اوبونتو و سایر توزیع‌ها اجرا می‌شود.

Multipathd تحت تأثیر یک مشکل دور زدن مجوز است که یک کاربر غیرمجاز می تواند از آن برای اجرای دستورات ممتاز در Multipathd (CVE-2022-41974) و یک حمله پیوند نمادین (CVE-2022-41973) استفاده کند که می تواند برای RCE استفاده شود.

ترکیب یک آسیب‌پذیری Snapd با دو نقص Multipathd می‌تواند به هر کاربر غیرمجاز این امکان را بدهد که در یک دستگاه آسیب‌پذیر امتیازات root را به دست آورد.

در نتیجه، Qualys یک اکسپلویت ایجاد کرد که به شما امکان می‌دهد هنگام نصب اوبونتو به‌طور پیش‌فرض، امتیازات کامل ابرکاربر را دریافت کنید.

اگرچه این آسیب پذیری نمی تواند از راه دور مورد سوء استفاده قرار گیرد، اما محققان هشدار می دهند که یک کاربر غیرمجاز می تواند از آن سوء استفاده کند.

Qualys توصیه هایی با اطلاعات فنی دقیق ارائه کرد و تصمیم گرفت با توجه به جدی بودن ترکیب، PoC را منتشر نکند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

Exploiting Active Directory With Linux

https://t.me/linux_news/682

#intelligence #cybersecurity #informationsecurity

⚠️ هشدار!
🔴 کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

🔷 این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

✅ به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

پینگ قدیمی و بی ضرر می تواند به مهاجمان اجازه دهد تا سیستم FreeBSD را تحت کنترل خود درآورند.

نگهبانان سیستم عامل FreeBSD یک خطای بحرانی سرریز بافر را در ابزار پینگ پیدا کردند که به عنوان CVE-2022-23093 ردیابی می شود.

این مشکل به طور بالقوه می تواند منجر به اجرای کد از راه دور به عنوان ریشه در هنگام پینگ کردن یک میزبان خارجی که توسط مهاجم کنترل می شود، شود. یک اصلاح قبلاً در به‌روزرسانی‌های FreeBSD 13.1-RELEASE-p5، 12.4-RC2-p2 و 12.3-RELEASE-p10 پیشنهاد شده است.

این آسیب‌پذیری مربوط به سرریز بافر در کد مورد استفاده در ابزار پینگ برای تجزیه پیام‌های ICMP در پاسخ به درخواست پروب است.

کد ارسال و دریافت پیام‌های ICMP در پینگ از سوکت‌های خام استفاده می‌کند و با امتیازات بالا اجرا می‌شود، زیرا ابزار با پرچم setuid root ارائه می‌شود و پاسخ در سمت پینگ از طریق بازسازی هدرهای IP و ICMP بسته‌ها پردازش می‌شود. دریافت شده از سوکت خام .

در واقع، سرصفحه‌های IP و ICMP استخراج‌شده توسط تابع pr_pack() در بافرها کپی می‌شوند، بدون در نظر گرفتن این واقعیت که هدرهای توسعه‌یافته اضافی ممکن است در بسته بعد از هدر IP وجود داشته باشد.

چنین هدرهایی از بسته استخراج می شوند و در بلوک هدر گنجانده می شوند، اما هنگام محاسبه اندازه بافر در نظر گرفته نمی شوند.

اگر میزبان، در پاسخ به درخواست ICMP ارسال شده، بسته ای را با هدرهای اضافی برگرداند، محتویات آنها در ناحیه خارج از مرز بافر در پشته نوشته می شود.

در نتیجه، مهاجم می‌تواند تا 40 بایت داده را روی پشته بازنویسی کند و به طور بالقوه امکان اجرای کد او را فراهم کند.

خطر مشکل با این واقعیت کاهش می یابد که در زمان بروز خطا، فرآیند در حالت ایزوله تماس های سیستم (حالت قابلیت) است که دسترسی به بقیه سیستم را دشوار می کند. پس از بهره برداری از آسیب پذیری

با این حال، محققان توصیه می‌کنند که سیستم‌های آسیب‌دیده را به نسخه پایدار FreeBSD ارتقا دهید.

همچنین هیچ اطلاعاتی در مورد اینکه آیا سایر سیستم‌های BSD تحت تأثیر آسیب‌پذیری شناسایی‌شده قرار می‌گیرند، وجود ندارد، زیرا گزارش‌های آسیب‌پذیری در NetBSD، DragonFlyBSD و OpenBSD هنوز ظاهر نشده‌اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

حمله دیگری که توسط یک باند اخاذی به موسسات پزشکی در فرانسه انجام شد.

این بار هکرها وحشت را در مرکز پزشکی ورسای ایجاد کردند که مجبور شد عملیات را متوقف کند و برخی از بیماران را به مکان دیگری منتقل کند.

وزارت بهداشت فرانسه گزارش داد که مرکز پزشکی ورسای که شامل دو بیمارستان و یک خانه سالمندان است، در حال حاضر به طور کامل فاقد هرگونه سیستم کامپیوتری است.

فرانسوا براون، وزیر بهداشت، گفت که این حمله به سازماندهی مجدد کامل بیمارستان منجر شد، زیرا به کارکنان اضافی در بخش مراقبت های ویژه نیاز بود، زیرا برخی از تجهیزات شبکه ای حیاتی نیاز به نظارت دقیق تری داشتند و در حال حاضر به سادگی غیرفعال شده است.

مهاجمان تقاضای باج کردند که مقدار آن هنوز فاش نشده است، اما مقامات قبلاً امتناع کرده اند، زیرا فرانسه قانونی دارد که مؤسسات دولتی را از پرداخت باج منع می کند.

اطلاعات محرمانه کارکنان و بیماران قبلاً در وب سایت مهاجم منتشر شده است و پلیس فرانسه گروه باج افزار LockBit را عاملان این حمله معرفی کرده است.

به گفته وزیر بهداشت، حملات به ارائه دهندگان خدمات بهداشتی و موسسات پزشکی در چند ماه گذشته به طور مرتب در فرانسه رخ داده است، اما از اکثر این حملات جلوگیری شده است.

با این حال، در ماه آگوست، بیمارستانی در حومه پاریس به نام Centre Hospitalier Sud Francilien مورد حمله باج افزاری قرار گرفت که چند هفته طول کشید تا بهبود پیدا کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

هکرهای کره شمالی APT37 از موتور jScript9 اینترنت اکسپلورر Zero-Day سوء استفاده کردند

هکرهای مرتبط با کره شمالی از یک آسیب پذیری اشتباه نوع روز صفر در موتور JScript9 اینترنت اکسپلورر سوء استفاده کرده اند. Google Project Zero این آسیب‌پذیری را شناسایی کرد که بر روی ویندوز 7 اما 11 و ویندوز سرور 2008 تا 2022 قبل از وصله‌هایی که مایکروسافت در نوامبر منتشر کرد تأثیر می‌گذارد. APT از این آسیب پذیری برای گسترش بدافزارهای تعبیه شده در اسناد سوء استفاده کرده است.
یادداشت ویراستار

ممکن است در این مرحله اینترنت اکسپلورر را "میراث" در نظر بگیرید. اما همچنان ممکن است برای ارائه محتوا در اسناد آفیس استفاده شود.

کره شمالی، در حالی که یک کشور نسبتاً کم بودجه است، هنوز این تیم مبتکر از افراد را دارد که راه های جالبی برای سوء استفاده از ویندوز پیدا می کنند. توانایی های فنی آنها را دست کم نگیرید. آنها هنوز هم می توانند موثر باشند. چه کسی فکر می کرد IE11 هنوز موتور رندر اصلی HTML در آفیس در سال 2022 باشد؟ انگار که گفتم IE6 برای رندر HTML در Adobe Reader استفاده می شود. این نسبتاً تکان دهنده است، اما شاید تعجب آور نباشد.

بیشتر بخوانید در:
- googleprojectzero.github.io : CVE-2022-41128: تایپ سردرگمی در موتور JScript9 اینترنت اکسپلورر
- www.zdnet.com : هکرها همچنان در حال یافتن و استفاده از نقص های اینترنت اکسپلورر هستند
- arstechnica.com : هکرهای کره شمالی بار دیگر از بیت های باقی مانده اینترنت اکسپلورر سوء استفاده می کنند
- www.theregister.com : کره شمالی با استفاده از تراژدی هالووین سئول برای سوء استفاده از اینترنت اکسپلورر روز صفر به پایین ترین سطح خود رسید.
- www.darkreading.com : APT37 از Internet Explorer Zero-Day برای انتشار بدافزار استفاده می کند
- www.govinfosecurity.com : هکرهای کره شمالی به روزهای صفر اینترنت اکسپلورر نگاه می کنند
- duo.com : کره شمالی APT37 از اینترنت اکسپلورر روز صفر استفاده کرد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

سیسکو آسیب‌پذیری را فاش می‌کند که میان‌افزار IP Phone 7800 و سری 8800 را تحت تأثیر قرار می‌دهد.

سیسکو یک آسیب‌پذیری را در ویژگی پردازش پروتکل کشف سیسکو در میان‌افزار سیسکو IP Phone 7800 و سری 8800 افشا کرده است. مشکل در اعتبار سنجی ورودی ناکافی بسته های پروتکل کشف سیسکو دریافت شده است و می تواند برای دستیابی به اجرای کد از راه دور یا شرایط انکار سرویس مورد سوء استفاده قرار گیرد. سیسکو قصد دارد به‌روزرسانی‌هایی را برای رفع این آسیب‌پذیری منتشر کند. یک راه حل پیشنهادی غیرفعال کردن پروتکل کشف سیسکو در دستگاه های سری IP Phone 7800 و 8800 است.
یادداشت ویراستار

تا الان هیچ پچی منتشر نشده. فقط در صورتی می توانید CDP را غیرفعال کنید که LLDP را فعال کرده باشید.
این آسیب پذیری برای گوشی های سیسکو بسیار جدی به نظر می رسد. CDP پروتکلی است که به خوبی مورد استفاده قرار می گیرد و نیازی به احراز هویت ندارد و عموماً به صورت رایگان در شبکه ارسال می شود. اگر یک بسته CDP می تواند منجر به اجرای کد از راه دور شود، اکنون این دستگاه ها را وصله کنید. من نمی توانم به اندازه کافی روی این موضوع تاکید کنم، اکنون وصله کنید. من هنوز دستگاه‌های شبکه بسیار آسیب‌پذیر را بدون وصله در شبکه می‌بینم، حتی زمانی که سوءاستفاده از آن‌ها بی‌اهمیت است، و این آسیب‌پذیری بیش از ده سال است که شناخته شده است. من نمی توانم تاکید کنم که یک بسته CDP که می تواند باعث RCE شود وحشتناک است. هنگامی که شخصی در یکی از این دستگاه‌ها قرار می‌گیرد، می‌تواند به سرعت به بخش‌های دیگر شبکه بپیوندد. اگر در حال حاضر نمی توانید وصله کنید، لطفاً مطمئن شوید که این دستگاه ها در شبکه خود هستند و این شبکه ها از شبکه های داده جدا شده اند.

بیشتر بخوانید در:
- tools.cisco.com : Cisco IP Phone سری 7800 و 8800 Cisco Discovery Protocol Stack Overflow Avulnership
- www.bleepingcomputer.com : سیسکو باگ تلفن IP با شدت بالا را با کد بهره برداری فاش می کند
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کمیسر حریم خصوصی نیوزیلند می‌گوید که در حال بررسی حمله باج‌افزار فناوری اطلاعات مرکوری هستند.

کمیسر حریم خصوصی نیوزلند بیانیه‌ای درباره حمله باج‌افزار اخیر علیه Mercury IT منتشر کرده است که "گستره وسیعی از خدمات فناوری اطلاعات را به مشتریان" در سراسر کشور ارائه می‌کند. این حادثه بر سیستم‌های چندین سازمان دولتی در سراسر نیوزیلند تأثیر گذاشت.
بیشتر بخوانید در:
- www.privacy.org.nz : کمیسر حریم خصوصی اقدامی را در مورد حمله باج افزار در نظر می گیرد
- www.infosecurity-magazine.com : کمیسر حریم خصوصی NZ در مورد حمله باج افزار IT Mercury تحقیق می کند
- www.theregister.com : تعطیلات اقیانوس آرام جنوبی ممکن است توسط باج افزار نابود شود
- www.govinfosecurity.com : حمله باج افزار در نیوزلند اثرات آبشاری دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

غول مجازی سازی VMware روز سه شنبه به روز رسانی های اضطراری را برای رفع سه مشکل امنیتی منتشر کرد.

یکی از آنها شامل خطای خروج از ماشین مجازی است که در مسابقه هک GeekPwn 2022 به میزبانی آزمایشگاه امنیتی Tencent Keen چین نشان داده شد.

آسیب‌پذیری فرار VM که با نام CVE-2022-31705 مستند شده است، توسط محقق Ant Security Yuhao Jiang بر روی سیستم‌هایی که محصولات VMware Fusion، ESXi و Workstation کاملاً اصلاح‌شده را اجرا می‌کنند، مورد سوء استفاده قرار گرفت.

VMware این باگ را یک آسیب‌پذیری نوشتن خارج از پشته در کنترلر USB 2.0 (EHCI) توصیف کرد. این اکسپلویت برنده جایزه برتر (https://twitter.com/danis_jiang/status/1592051275088424961) در Geekpwn شد.

با توجه به بولتن (https://www.vmware.com/security/advisories/VMSA-2022-0033.html)، VMWare به آن امتیاز CVSS 9.3 داد و هشدار داد که مهاجمی با امتیازات اداری محلی روی VM می تواند از آن سوء استفاده کند. این مسئله برای اجرای کد.

در ESXi، اکسپلویت در یک جعبه شنی VMX قرار دارد، در حالی که در Workstation و Fusion می تواند منجر به RCE در ماشینی شود که Workstation یا Fusion در آن نصب شده است.

این شرکت اصلاحاتی را منتشر کرده است که شامل چند باگ تزریق فرمان و پیمایش دایرکتوری می شود که بر VMware vRealize Network Insight (vRNI) تأثیر می گذارد.

آسیب‌پذیری در vRNI REST API نیز (https://www.vmware.com/security/advisories/VMSA-2022-0031.html) توسط VMware به عنوان Critical با حداکثر امتیاز پایه CVSSv3 9.8 رتبه‌بندی شده است، زیرا مهاجمی با دسترسی شبکه به vRNI REST API، می تواند دستورات را بدون احراز هویت اجرا کند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ایلان ماسک: Neuralink تا شش ماه دیگر کار کاشت تراشه در مغز افراد را آغاز خواهد کرد

- ایلان ماسک گفت که شرکت او Neuralink آزمایش‌های بالینی تراشه‌های عصبی بی‌سیم را که قرار است در بدن انسان کاشته شوند، روی انسان‌ها در شش ماه آینده آغاز خواهد کرد.

- حوزه اصلی کاربرد Neuralink ترمیم عملکردهای آسیب دیده مغز است. علاوه بر این، این سیستم دارای پتانسیل توانمندسازی انسانی است.

- Neuralink یک فناوری بسیار تهاجمی برای اتصال یک فرد به رایانه ارائه می دهد - برای این عمل، باز کردن جمجمه و ادغام مینی الکترودها در بافت مغز ضروری است. این شرکت در تلاش است تا اطمینان حاصل کند که وسایل الکترونیکی قابل کاشت برای مدت طولانی باعث پس زدن نشوند.

به گفته ایلان ماسک، Neuralink می تواند بینایی را حتی در افراد نابینا از بدو تولد بازیابی کند. این شرکت همچنین معتقد است که دستگاه Neuralink می تواند عملکرد کامل را به یک نخاع قطع شده بازگرداند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

حمله Man-in-the-Disk و نحوه دفاع در برابر آن

اگر از یک دستگاه اندرویدی استفاده می کنید، پس باید از حمله Man-in-the-Disk (MitD) و خطرات ناشی از آن آگاه باشید. به طور خلاصه، به شما این امکان را می دهد که کنترل برنامه های قانونی (مثلاً محصولات Google، Yandex یا مرورگر شیائومی) را در دست بگیرید و از آنها برای تزریق برنامه های مخرب استفاده کنید. اما بیایید عمیق تر کاوش کنیم و دریابیم که حمله MitD چیست، چگونه کار می کند و چگونه در برابر آن دفاع کنیم!

حمله MitD چیست؟

Man-in-the-Disk نوعی حمله سایبری به دستگاه های اندرویدی دارای سیستم عامل اندروید است که در آن یک برنامه مخرب نصب شده توسط کاربر بر روی تلفن هوشمند یا تبلت شروع به آلوده کردن برنامه ها یا فایل های موجود در حافظه خارجی می کند. به محض اینکه قربانی برنامه مخرب را راه اندازی می کند و به آن اجازه دسترسی به حافظه خارجی را می دهد، کد مخرب راه اندازی می شود و به آن اجازه می دهد داده ها را در آن بخواند و بنویسد. این به مهاجم اجازه می‌دهد تا فایل‌ها را اصلاح یا حذف کند، کدهای مخرب را به برنامه‌های کاربردی قانونی تزریق کند یا برنامه‌ها را بدون اطلاع کاربر نصب کند.
آشنایی با اصول اولیه: Sandboxing در اندروید

سندباکس ها ستون فقرات امنیت اندروید هستند. ایده آن جدا کردن هر برنامه نصب شده و فایل های آن از سایر برنامه های نصب شده است. این کار به این صورت است: شما یک برنامه را روی دستگاه خود نصب می کنید، پس از آن فایل های آن در یک "sandbox" جداگانه قرار می گیرند که سایر برنامه ها به آن دسترسی ندارند.

ایده این است که حتی اگر یک برنامه مخرب به دستگاه اندرویدی شما وارد شود، نمی‌تواند داده‌هایی را که برنامه‌های قانونی ذخیره می‌کنند ( ورود به برنامه بانکی و رمز عبور یا مکالمات پیام‌رسان) تغییر داده و به سرقت ببرد. به این ترتیب، حتی اگر دستگاه شما بدافزار داشته باشد، داده های مهم شما ایمن می مانند.

اما هکرها در حالت آماده باش هستند و دائماً در تلاش برای " فرار از جعبه شن" هستند که گاهی اوقات موفق می شوند.
حمله Man-in-the-Disk چگونه کار می کند؟

همه چیز کاملا ساده است. اندروید علاوه بر قسمت‌هایی در سندباکس که برنامه‌ها و فایل‌های آن‌ها در آن‌ها ذخیره می‌شوند، یک فضای ذخیره‌سازی مشترک به نام External Storage دارد. برای دسترسی به آن، برنامه باید از شما اجازه بگیرد. و اگر آن را ارائه کنید، برنامه قابلیت خواندن و نوشتن داده ها را در حافظه خارجی دریافت می کند. اما هیچ چیز مشکوکی در این مورد وجود ندارد - اکنون تقریباً هر برنامه ای چنین مجوزی را درخواست می کند. علاوه بر این، بسیاری از برنامه ها از حافظه خارجی برای تبادل فایل ها با یکدیگر، برای انتقال فایل ها بین گوشی هوشمند و رایانه یا ذخیره موقت داده های دانلود شده از اینترنت استفاده می کنند.

به عنوان مثال، هنگامی که یک برنامه را به روز می کنید، افزونه های آن ابتدا در حافظه خارجی دانلود می شوند و سپس به منطقه ای جدا شده منتقل می شوند که فقط آن برنامه به آن دسترسی دارد. اینجاست که حمله MitD وارد می شود. از روشی که اندروید با حافظه خارجی کار می کند، بهره می برد. برخلاف سندباکس، هر برنامه‌ای که اجازه خواندن/نوشتن در حافظه خارجی را داشته باشد، می‌تواند فایل‌های موجود در آن را تغییر دهد. بنابراین، حتی اگر فایل های برخی از برنامه های خوب فقط به طور موقت در حافظه خارجی ذخیره شوند، یک برنامه مخرب می تواند با تزریق کد مخرب آنها را تغییر دهد.

به نظر می رسد که وقتی یک برنامه قانونی را به روز می کنید، ممکن است حتی مشکوک نباشید که به طور تصادفی بدافزار را به دستگاه خود آورده اید. و هنگامی که می خواهید یک برنامه آلوده را اجرا کنید، کد مخرب اجرا می شود و هکر کنترل دستگاه شما را به دست می گیرد.
💊چگونه از خود در برابر حمله MitD محافظت کنیم؟

هیچ چیز پیچیده ای در اینجا وجود ندارد:

دسترسی خواندن/نوشتن به حافظه خارجی را به هیچ برنامه ای که به آن نیاز ندارد ندهید.

همیشه برنامه ها را از منابع قابل اعتماد نصب کنید، سعی کنید از دانلود و نصب برنامه ها از وب سایت های شخص ثالث و فروشگاه های برنامه خودداری کنید.

سیستم عامل و برنامه های خود را به طور منظم به روز کنید تا حفاظت کلی دستگاه را بهبود بخشید.

برنامه های غیر ضروری را نصب نکنید؛

برنامه هایی را که استفاده نمی کنید حذف کنید.

یک راه حل آنتی ویروس قابل اعتماد روی دستگاه خود نصب کنید.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

درایورهای ویندوز امضا شده توسط مایکروسافت به طور مخرب استفاده می شوند

در ماه اکتبر، محققان SentinelOne، Mandiant و Sophos به مایکروسافت اطلاع دادند که "درایورهای تایید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور مخرب در فعالیت های پس از بهره برداری استفاده می شوند." مایکروسافت چندین گواهی توسعه دهنده را باطل کرده و حساب های توسعه دهنده مرتبط را به حالت تعلیق درآورده است.
پی نوشتها:
مایکروسافت خاطرنشان می کند که تحقیقات آنها "…نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت درگیر ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت بودند." مایلم بشنوم که مایکروسافت برای بهبود گواهینامه نرم افزار Microsoft "Partners" چه خواهد کرد، همانطور که دیدیم اپل و گوگل باید فرآیندهای توسعه دهندگان را برای دریافت برنامه ها از طریق مکانیسم های فروشگاه برنامه خود بهبود بخشند.

به نظر می‌رسد این درایورها پس از به خطر انداختن سیستمی برای فعالیت‌های پس از بهره‌برداری استفاده شده‌اند، که به احتمال زیاد به کمپین باج‌افزار کوبا (که هیچ ارتباط شناخته‌شده‌ای با جمهوری کوبا ندارد) مرتبط است. اعمال به‌روزرسانی‌های این ماه و لغو گواهی‌های مرتبط با این توسعه‌دهندگان توسط مایکروسافت، که باید از اجرای درایورها جلوگیری کند، دو مرحله مورد نیاز برای جلوگیری از این حملات است. همچنان باید از احراز هویت قوی، پشتیبان گیری آفلاین، بخش بندی و به روز نگه داشتن موارد استفاده کنید. بولتن CISA را برای IOCها، TTPها و کاهش‌های اضافه شده بخوانید.

در چند سال گذشته افزایش قابل توجهی در حملات زنجیره تامین گزارش شده است. در این حالت درایورهای امضا شده مخرب می توانند افزایش امتیاز و توانایی حرکت در سراسر شبکه قربانی را فعال کنند. اگرچه کاربر برای اصلاح نواقص در برنامه راننده امضا شده خود به MSFT وابسته است، اما همچنان می تواند با محدود کردن توانایی مهاجم برای دسترسی اولیه به شبکه خود، از خود محافظت کند. کاربران باید پیکربندی و فرآیندهای مدیریت پچ خود را مجدداً مشاهده کنند.

بیشتر بخوانید در:
- msrc.microsoft.com : راهنمایی در مورد استفاده مخرب درایورهای امضا شده مایکروسافت
- news.sophos.com : بدافزار راننده امضا شده در زنجیره اعتماد نرم افزار به سمت بالا حرکت می کند
- www.sentinelone.com : Driving Through Defences | حملات هدفمند درایورهای مخرب مایکروسافت را تحت تأثیر قرار می دهند
- www.wired.com : باج افزار باج افزار از گواهینامه های مایکروسافت برای امضای بدافزار سوء استفاده کرد
- www.theregister.com : درایورهای ویندوز مخرب امضا شده توسط مایکروسافت که در حملات سایبری استفاده می شوند
- www.darkreading.com : درایورهای مخرب امضا شده توسط مایکروسافت، باج‌افزارهای EDR-Killers را وارد می‌کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security