دانش خودتان را محک‌بزنید
این تازه اولین قدم است
۲ آزمون دیگر در پیش است
اولین گواهینامه رسمی صادر گردید:

گواهینامه آقای علیرضا محمدزاده صادر گردید:
https://mohit.online/certificates/66a6213a28a072ed8b0aab09

یک آسیب پذیری در ماژول مدیریت پایگاه داده نرم افزار اتصال، مدیریت و هماهنگ سازی برنامه Apache Linkis به دلیل استفاده از فایل ها و دایرکتوری هایی است که برای اشخاص خارجی قابل دسترسی است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا اطلاعات محافظت شده را افشا کند

BDU: 2024-05289
CVE-2023-41916

نصب به روز رسانی از منابع قابل اعتماد

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به دستگاه ها.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای نظارت بر تلاش ها برای بهره برداری از آسیب پذیری ها.
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده

استفاده از توصیه های سازنده:
https://lists.apache.org/thread/dxkpwyoxy1jpdwlpqp15zvo0jxn4v729

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

آسیب پذیری تابع set_min_max هسته سیستم عامل لینوکس با مقداردهی اولیه نادرست یک منبع مرتبط است. بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا امتیازات خود را افزایش دهد

BDU: 2024-05291
CVE-2024-41003

نصب به روز رسانی از منابع قابل اعتماد

اقدامات جبرانی:
- استفاده از نرم افزار آنتی ویروس برای نظارت بر تلاش ها برای سوء استفاده از آسیب پذیری.
- به حداقل رساندن امتیازات کاربر

استفاده از توصیه های سازنده:
https://git.kernel.org/stable/c/41e8ab428a9964df378fa45760a660208712145b

برای شرکت Red Hat:
https://access.redhat.com/security/cve/cve-2024-41003


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

مایکروسافت یک آسیب‌پذیری مهم روز صفر را که آفیس 2016 و نسخه‌های بعدی آن را تحت تأثیر قرار می‌دهد، فاش کرده است که هنوز اصلاحیه‌ای برای آن منتشر نشده است.
این آسیب‌پذیری که به‌عنوان CVE-2024-38200 شناخته می‌شود، ناشی از نقص افشای اطلاعات است که می‌تواند به افراد غیرمجاز اجازه دسترسی به داده‌های حساس، مانند وضعیت سیستم، اطلاعات پیکربندی، جزئیات شخصی، یا ابرداده اتصال را بدهد.
آسیب‌پذیری روز صفر بر نسخه‌های 32 بیتی و 64 بیتی آفیس، از جمله آفیس 2016، آفیس 2019، آفیس LTSC 2021 و Microsoft 365 Apps for Enterprise تأثیر می‌گذارد.
علیرغم ارزیابی مایکروسافت مبنی بر کم بودن احتمال بهره برداری از CVE-2024-38200، MITER پتانسیل بهره برداری از این نوع آسیب پذیری را به عنوان بسیار محتمل طبقه بندی کرده است.
در سناریویی که حمله مبتنی بر وب است، مهاجم ممکن است میزبان یا از یک وب‌سایت در معرض خطر استفاده کند که محتوای ارائه‌شده توسط کاربر را می‌پذیرد، و یک فایل ساخته‌شده مخصوص طراحی شده برای سوءاستفاده از آسیب‌پذیری را جاسازی می‌کند. با این حال، مهاجم نمی تواند کاربران را مجبور به بازدید از سایت کند. در عوض، آنها باید کاربر را ترغیب کنند تا روی یک پیوند کلیک کند - اغلب از طریق ایمیل یا پیام فوری - و سپس آنها را متقاعد کنند که فایل مخرب را باز کند.
مایکروسافت در حال حاضر روی به‌روزرسانی‌های امنیتی برای رفع این مشکل روز صفر کار می‌کند، اما جدول زمانی برای انتشار ارائه نکرده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

محققان Oligo Security یک آسیب پذیری حیاتی 18 ساله به نام "0.0.0.0 Day" کشف کرده اند که همه مرورگرهای وب از جمله کرومیوم، فایرفاکس و سافاری را تحت تاثیر قرار می دهد.
این آسیب‌پذیری به وب‌سایت‌های مخرب اجازه می‌دهد تا امنیت مرورگر را دور بزنند و با سرویس‌های در حال اجرا در شبکه محلی سازمان تعامل داشته باشند، که به طور بالقوه منجر به دسترسی غیرمجاز و اجرای کد از راه دور در سرویس‌های محلی توسط مهاجمان خارج از شبکه می‌شود.
این مشکل از اجرای ناسازگار مکانیسم‌های امنیتی در مرورگرهای مختلف، همراه با عدم استانداردسازی در صنعت مرورگرها ناشی می‌شود.
به طور خاص، آدرس IP 0.0.0.0، که اغلب به عنوان یک مکان یا آدرس پیش فرض استفاده می شود، می تواند توسط مهاجمان برای دسترسی به خدمات محلی، از جمله مواردی که برای توسعه، سیستم عامل ها و حتی شبکه های داخلی استفاده می شود، مورد سوء استفاده قرار گیرد.
تأثیر 0.0.0.0 Day قابل توجه است و افراد و سازمان ها را به طور یکسان تحت تأثیر قرار می دهد. با توانایی دور زدن امنیت مرورگر، مهاجمان به طور بالقوه می توانند به سرویس های حساسی که روی دستگاه های محلی اجرا می شوند دسترسی پیدا کنند که منجر به دسترسی غیرمجاز، نقض داده ها و حتی اجرای کد از راه دور شود.
یک گزارش اشکال از سال 2006، مشکل طولانی مدت مرورگرها را برجسته می کند که اجازه می دهند درخواست ها به شبکه های محلی یا داخلی از زمینه های کمتر خصوصی ارسال شوند. با وجود نظرات و اولویت‌بندی‌های متعدد، این اشکال تا به امروز باز است.
عدم استانداردسازی در صنعت مرورگرها منجر به اجرای متناقض مکانیسم های امنیتی شده است.
قابل ذکر است که این آسیب پذیری تنها بر دستگاه های لینوکس و macOS تأثیر می گذارد و کاربران ویندوز را تحت تأثیر قرار نمی دهد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

این مرد با ظاهر شدن به عنوان "آلیسیا" از صدها نفر آنلاین کلاهبرداری کرد. او همچنین یک قربانی بود.
صنعت کلاهبرداری سایبری چند میلیارد دلاری که خارج از آسیای جنوب شرقی فعالیت می کند به کار اجباری و شکنجه متکی است.

داستان را در ادامه بخوانید…
بخش اول
بخش دوم
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
‏https://t.me/ics_cert

یک آسیب پذیری در اجرای پروتکل TCP/IP در سیستم عامل ویندوز مایکروسافت با یک سرریز عدد صحیح همراه است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا با ارسال بسته های شبکه ساخته شده ویژه از طریق IPv6، کد دلخواه را اجرا کند.

BDU: 2024-06242
CVE-2024-38063

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن توانایی دریافت ترافیک شبکه از طریق پروتکل IPv6.
- غیرفعال کردن پروتکل IPv6 در سیستم عامل؛
- محدودیت دسترسی از راه دور به یک سیستم عامل آسیب پذیر از شبکه های خارجی (اینترنت).

استفاده از توصیه های سازنده:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

🎥 ویدئو جنجالی تولید شده از ترامپ و هریس توسط هوش مصنوعی‌.

🔻محققان : ارتباط بین استفاده بیش‌ از حد از صفحه نمایش‌ ها و حملات قلبی

▫️ محققان دریافته اند که بین مدت زمان استفاده از صفحه نمایش در دهه ۲۰ زندگی و حملات قلبی رابطه وجود دارد. یک مطالعه جدید هشدار داده است که گذراندن دوران جوانی خود در مقابل صفحه نمایش تلفن، کامپیوتر و تلویزیون، شانس رسیدن به سن شصت سالگی را کاهش می‌دهد. داده‌های مطالعه‌ای که سلامت بیش از ۴۰۰۰ جوان را به مدت بیش از ۳۰ سال بررسی کرده بود، احتمال حمله قلبی را برای افرادی که در اوایل ۲۰ سالگی زمان زیادی را صرف تماشای تلویزیون می‌کردند، افزایش داد. دکتر جیسون ناگاتا، دانشیار دپارتمان پزشکی نوجوانان و بزرگسالان در دانشگاه کالیفرنیا می‌گوید: یافته‌های ما نشان می‌دهد که میزان زمانی که جوانان صرف تماشای صفحه‌نمایش می‌کنند می‌تواند به‌طور قابل‌توجهی بر خطر ابتلا به بیماری‌های قلبی جدی در آینده تأثیر بگذارد.
#بهداشت_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

گزارش حمله گسترده به بیست بانک و موسسه مالی کشور

از اینجا بخوانید
https://www.politico.eu/article/iran-millions-ransom-massive-cyberattack-banks/

🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

شرکت توسان که به ۴۵ درصد از بانک‌های کشور خدمات فناوری اطلاعات ارائه می‌کند، تاکنون ۵۶۱ هزار دلار بیت‌کوین پرداخت کرده است.

تصویر ایمیل‌های بین آی‌آر لیکس و آرش بابایی، مدیرعامل توسان - که توسط شخص ثالث به‌دست آمده، با CyberScoop به اشتراک گذاشته شده و توسط منبع جداگانه‌ای آشنا به این موضوع تأیید شده است، دو طرف را در حال مذاکره برای پرداخت از 8 آگوست نشان می‌دهد. پیام تلگرامی، کاری که گروه انجام داد، توسان 1 بیت کوین را به آدرسی که آی‌آر لیکس ارائه کرده بود ارسال کرد و آی‌آر لیکس دریافت آن را تأیید کرد.

دو طرف با پرداخت اولیه 1 بیت کوین و پس از آن برنامه پرداخت 3 بیت کوین در هفته تا زمانی که مجموعاً 35 بیت کوین پرداخت شود، موافقت کردند. این کیف پول تاکنون تقریباً 10 بیت کوین به ارزش حدود 561000 دلار دریافت کرده است.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert

آزمایشگاه کسپرسکی به بمباران گزارش های جدید ادامه می دهد.

در یکی از جدیدترین ها، محققان به تفصیل یک حمله هدفمند توسط گروه APT چینی Tropic Trooper را که تحقیقات حقوق بشر در خاورمیانه را هدف قرار می دهد، تجزیه و تحلیل می کنند.

Tropic Trooper که از سال 2011 فعال است، همچنین با نام های APT23، Earth Centaur، KeyBoy و Pirate Panda شناخته می شود، به دلیل حملات خود به دولت، مراقبت های بهداشتی، حمل و نقل و شرکت های فناوری پیشرفته در تایوان، هنگ کنگ و فیلیپین شناخته شده است.

روابط نزدیکی با گروه دیگری دارد که با نام FamousSparrow دنبال می شود.

محققان گزارش می دهند که حداقل از ژوئن 2023، Tropic Trooper یک کمپین جاسوسی سایبری را با هدف قرار دادن سازمان های دولتی ناشناس در خاورمیانه و مالزی انجام داده است.

این آزمایشگاه در ژوئن 2024 فعالیتی را شناسایی کرد و نسخه جدیدی از پوسته وب China Chopper را شناسایی کرد - ابزاری که مورد علاقه بسیاری از APTهای چینی زبان برای دسترسی از راه دور به سرورهای در معرض خطر است - در یک وب سرور عمومی که توسط Umbraco CMS میزبانی شده است.

زنجیره ای از حملات شامل تزریق بدافزاری به نام Crowdoor بود که نوعی از درپشتی SparrowDoor است که توسط ESET در سپتامبر 2021 مستند شده بود.

بهره برداری بعدی منجر به استقرار ابزارهای اسکن شبکه، حرکت جانبی و بای پس امنیتی با استفاده از تکنیک های بارگذاری جانبی DLL (Fscan، Swor، Neo-reGeorg، ByPassGodzilla) می شود.

با این حال، پوسته های وب با بهره برداری از آسیب پذیری های شناخته شده در برنامه های کاربردی وب در دسترس عموم مانند Adobe ColdFusion (CVE-2023-26360) و Microsoft Exchange Server (CVE-2021-34473، CVE-2021-34523 و CVE-2021-31) ارائه می شوند.

به نوبه خود، Crowdoor که برای اولین بار در ژوئن 2023 کشف شد، همچنین به عنوان یک دانلود کننده برای نصب Cobalt Strike و حفظ پایداری روی میزبان های آلوده عمل می کند.

علاوه بر این، عملکرد Backdoor را برای جمع آوری اطلاعات محرمانه، راه اندازی پوسته معکوس، دانلود فایل های بدافزار دیگر و تکمیل کار خود پیاده سازی می کند.

با توجه به این حادثه، محققان LC متوجه شدند که مهاجمان پس از اطلاع از کشف درهای پشتی، سعی کردند نمونه های جدیدتری را دانلود کنند و تمام تلاش خود را برای حفظ دسترسی به کار گرفتند.

علاوه بر نفوذ هدفمند مشاهده شده به یک مرکز دولتی در خاورمیانه، محققان مشاهده کردند که زیر مجموعه ای از نمونه های مشاهده شده برای حمله به یک مرکز دولتی در مالزی مورد استفاده قرار گرفت.

تجزیه و تحلیل نفوذ هدفمند نشان داد که یک پلتفرم با نشریات در مورد مسائل حقوق بشر در خاورمیانه تنها هدف بود که نشان دهنده علاقه استراتژیک ویژه بازیگر در رابطه با درگیری بین اسرائیل و حماس است.

شاخص های مصالحه و تحلیل فنی دقیق در این گزارش آمده است.

https://securelist.com/new-tropic-trooper-web-shell-infection/113737/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

آسیب پذیری حیاتی RCE در FreeBSD دسترسی مهاجمان را باز می کند

🔓 آسیب پذیری CVE-2024-41721 مربوط به شبیه سازی XHCI در هایپروایزر bhyve در FreeBSD شناسایی شده است. مشکل به دلیل بررسی ناکافی مرز داده در کد USB بود.

💻 بهره برداری از این آسیب پذیری می تواند به مهاجم در سیستم مهمان اجازه دهد تا کد را در سیستم میزبان اجرا کند. این خطرات جدی ایجاد می کند زیرا فرآیند bhyve معمولاً به صورت root اجرا می شود.

🛡 به مدیران FreeBSD توصیه می‌شود که فوراً به‌روزرسانی‌های منتشر شده در 19 سپتامبر را برای محافظت از سیستم‌های خود نصب کنند. توجه ویژه باید به سیستم هایی با استفاده از شبیه سازی XHCI شود.

#امنیت #آسیب پذیری #تهدید سایبری #خطر داده


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

محققان آزمایشگاه کسپرسکی گزارشی در مورد بدافزار اندرویدی به نام Necro منتشر کرده‌اند که 11 میلیون دستگاه را مستقیماً از طریق Google Play آلوده کرده و با موفقیت حملات خود را به زنجیره تأمین SDK انجام می‌دهد.

نسخه جدیدی از Necro Trojan از طریق SDK های تبلیغاتی مخربی که توسط برنامه های اندروید قانونی و مدهای بازی استفاده می شود، منتشر شده است.

در خارج از Play Store، Necro عمدتاً از طریق نسخه های تغییر یافته برنامه های محبوب از طریق سایت های غیر رسمی توزیع می شود.

نمونه‌های یافت شده عبارتند از حالت‌های واتس‌اپ GBWhatsApp و FMWhatsApp، مد Spotify Plus، مدهای Minecraft و سایر بازی‌های محبوب مانند Stumble Guys، Car Parking Multiplayer و Melon Sandbox.

با انجام این کار، Necro چندین بار بر روی دستگاه های آلوده نصب می کند و پلاگین های مخرب مختلفی را فعال می کند، از جمله:

- ابزارهای تبلیغاتی مزاحم که پیوندها را از طریق پنجره های WebView نامرئی بارگذاری می کنند (افزونه جزیره، Cube SDK).

- ماژول هایی که فایل های جاوا اسکریپت و DEX دلخواه را بارگیری و اجرا می کنند (Happy SDK، Jar SDK).

- ابزارهایی که به طور خاص برای تقلب در اشتراک طراحی شده اند (افزونه وب، Happy SDK، پلاگین Tap).

- الگوریتم های پروکسی برای مسیریابی ترافیک مخرب (افزونه NProxy).

محققان LC دانلودر Necro را در دو برنامه در Google Play شناسایی کرده‌اند که هر دو پایگاه کاربری قابل توجهی دارند.

اولین ویرایشگر عکس Wuta Camera از Benqu با تعداد کل دانلودها در Google Play بیش از 10,000,000 است.

Necro با انتشار نسخه 6.3.2.148 وارد برنامه شد و تا زمانی که توسط Google Labs اطلاع داده نشد، باقی ماند.

حتی اگر تروجان در 6.3.7.138 حذف شد، هر باری که ممکن است از طریق نسخه‌های قدیمی‌تر نصب شده باشد ممکن است همچنان در دستگاه‌های Android باقی بماند.

دومین برنامه شارژ شده توسط Necro Max Browser از WA message recovery-wamr است که تا 1 میلیون دانلود در Google Play دارد و هنوز حذف نشده است.

به گفته LC، آخرین نسخه مرورگر Max، 1.2.0، همچنان حاوی Necro است، بنابراین هنوز نسخه ایمن برای به روز رسانی وجود ندارد و بنابراین به کاربران توصیه می شود که فورا آن را حذف کرده و به مرورگر دیگری تغییر دهند.

هر دو برنامه به یک SDK ابزار تبلیغاتی به نام Coral SDK آلوده شده بودند که از مبهم سازی برای پنهان کردن فعالیت های مخرب و همچنین steganography تصویر برای بارگذاری یک بار مرحله دوم، shellPlugin، استفاده می کرد که به عنوان PNG های بی ضرر پنهان شده بود.

به نوبه خود، گوگل گزارش می دهد که از برنامه های شناسایی شده آگاه است و توسعه دهندگان در حال انجام تحقیقات خود هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

🤬 رسوایی در خانواده اصیل وردپرس

دو نفر از بزرگترین بازیکنان در بازار میزبانی WP با بازی های رقابتی شیفته شدند و 1.5 میلیون سایت را بدون به روز رسانی امنیتی رها کردند.
ما در مورد Automattic، نگهدارنده اصلی خود CMS و مخزن Wordpress.org صحبت می کنیم که "پاره وقت" میزبانی WP و خدمات تجارت الکترونیکی را در wordpress.com و همچنین WPEngine - بزرگترین وردپرس شخص ثالث به فروش می رساند. میزبانی با تاکید زیادی بر امنیت

علت اصلی درگیری در حال حاضر نامشخص است، اما موضوع دعوای متقابل تلاش Automattic برای به دست آوردن سهم قابل توجهی از سود WPEngine در قالب هزینه های مجوز تحت تهدید بی اعتبار کردن فعالیت های WPEngine برای جامعه وردپرس است. موضوع اصلی اتهامات علیه WPEngine این است که آنها Wordpress را به اندازه کافی توسعه نمی دهند و همچنین اجزای آن را تغییر می دهند، به عنوان مثال، با غیرفعال کردن مکانیسم داخلی تاریخچه ویرایش.

در عمل، علاوه بر بیانیه‌های عمومی بسیار خشن، Automattic تنظیمات Wordpress.org را تغییر داد و کاربران WPEngine را از به‌روزرسانی تم‌ها و افزونه‌های وردپرس مسدود کرد، که آنها را با به خطر انداختن سایت‌ها تهدید می‌کند. نقص در وردپرس و به خصوص افزونه های آن به طور مرتب یافت می شود، بنابراین به روز رسانی ها بسیار مهم هستند و به روز رسانی ها به صورت خودکار انجام می شوند.

بزرگترین سرویس مدیریت آسیب‌پذیری وردپرس، Patchstack، اعلام کرد که انتشار اطلاعات مربوط به آسیب‌پذیری‌های حیاتی را به حالت تعلیق در می‌آورد تا کاربران WPEngine را در معرض خطرات اضافی قرار ندهد.

بسیار محتمل است که حل این وضعیت زمان زیادی ببرد، بنابراین کاربران WPEngine باید اخبار را از نزدیک رصد کنند و گزینه های خود را بررسی کنند: از اتصال سرویس های وصله مجازی تا تغییر میزبانی. کاربران Automattic/wordpress.com همچنین باید به این فکر کنند که آیا پول خود را در آنجا پرداخت می کنند یا خیر.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

هفته با چندین حادثه جسورانه آغاز شد.

به طور سنتی، هکرهای کره شمالی با کشف شرکت آلمانی دیهل دیفنس، سازنده تسلیحات، همانطور که در ابتدای سال جاری مشخص شد، خود را متمایز کردند.

به گفته اشپیگل، این هک پس از آن اتفاق افتاد که کارمندان دیهل به دنبال فایل های PDF مخرب با پیشنهادهای شغلی پرسود در شرکت های اسلحه سازی آمریکایی بودند.

تحقیقات Mandiant این حمله را به APT43 کره شمالی (معروف به Kimsuky) نسبت داد که این شرکت پس از امضای قراردادی با ارتش کره جنوبی برای تامین موشک‌های Iris-T مورد توجه آن قرار گرفت.

مهاجمان قبل از حملات فیشینگ، شناسایی دقیق دیهل دیفنس را انجام دادند. در همان زمان، Kimsuky سرور حمله خود را در پشت آدرسی حاوی Uberlingen پنهان کرد، که اشاره ای به موقعیت Diehl Defense در Uberlingen در جنوب آلمان است.

سرور حمله همچنین صفحات ورود معتبری را به زبان آلمانی میزبانی می‌کرد که از صفحات ارائه‌دهنده Telekom و سرویس ایمیل GMX تقلید می‌کرد تا به طور گسترده اعتبار کاربران آلمانی را سرقت کند.

علاوه بر ارتش، افسران مجری قانون از هلند نیز آسیب دیدند. به گفته وزارت دادگستری محلی، هکرها اطلاعات رسمی بیش از 65000 افسر پلیس هلند را سرقت کردند.

گفته می شود که فایل فاش شده حاوی هیچ اطلاعات شخصی نیست، اما به دلایلی مقامات هنوز خطرات احتمالی را برای ماموران مخفی ارزیابی می کنند.

البته هکتیویست ها هم بودند. هاندلا هک حامی فلسطین بیش از 60000 ایمیل از وزارت خارجه اسرائیل فاش کرد.

علاوه بر این، این گروه مکاتباتی از ژنرال بنی گانتز، وزیر دفاع سابق اسرائیل نیز دارد.

و در نهایت، در فرانسه

این حادثه که ظاهراً مربوط به باج افزار بود، سیستم های فناوری اطلاعات خبرگزاری فرانسه (AFP) را از کار انداخت.

خبرگزاری فرانسه گزارش می دهد که این حادثه بر سیستم مسئول پخش اخبار تأثیر گذاشته است، اما به گفته سردبیران، فعالیت های عملیاتی به طور عادی انجام می شود.

آژانس امنیت سایبری فرانسه نیز به این تحقیقات پیوست.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

آسیب پذیری جزء اصلی سرور برنامه Oracle WebLogic Server پلت فرم نرم افزار Oracle Fusion Middleware با خطاهایی در پردازش داده های ورودی همراه است. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا با ارسال بسته های شبکه ساخته شده ویژه به نرم افزارهای آسیب پذیر دسترسی کامل پیدا کند.

BDU: 2024-08042
CVE-2024-21216

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از لیست سفید آدرس های IP برای محدود کردن دسترسی به نرم افزارهای آسیب پذیر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت) به نرم افزارهای آسیب پذیر.
- مسدود کردن ترافیک T3 و IIOP از میزبان های غیرقابل اعتماد برای جلوگیری از امکان بهره برداری از آسیب پذیری.

استفاده از توصیه ها:
https://www.oracle.com/security-alerts/cpuoct2024.html

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

🤓 اخبار جالب امنیت سایبری و حریم خصوصی شخصی

1️⃣ ذخیره سازی فایل های ابری رمزگذاری شده چندان قابل اعتماد نیست. یک مطالعه گسترده بر روی ارائه دهندگان رمزگذاری شده سرتاسر نتایج ناامیدکننده ای به همراه داشت: Sync، pCloud، Seafile، Icedrive، Tresorit در معرض حملات مختلفی هستند که اجازه می دهد فایل ها و پوشه ها به فضای ذخیره سازی تزریق شوند، نام فایل ها و ابرداده ها تحت تأثیر قرار گیرند، کلیدهای دستکاری شود و غیره

2️⃣ به روز رسانی فایرفاکس 131 بدافزار (CVE-2024-9680) را که در حملات به مرورگر Tor مورد سوء استفاده قرار می گرفت، از بین می برد. مورد دوم نیز به روز شده است.

3️⃣ Google در حال حذف مسدودکننده‌های تبلیغات است: هشداری در صفحات uBlock Origin و سایر برنامه‌های مشابه در فروشگاه وب کروم ظاهر شده است مبنی بر اینکه برنامه‌های افزودنی قدیمی مبتنی بر Manifest v2 ممکن است غیرفعال شوند.

4️⃣ برای کسانی که می‌خواهند با تغییر به Edge از نگرانی‌های گوگل فرار کنند، مایکروسافت یک شگفتی آماده کرده است: ادغام فناوری API انتخاب تبلیغات گوگل.

5️⃣ اما مایکروسافت خبرهای خوبی نیز دارد: Passkeys API برای ویندوز اکنون دارای پلاگین ها و پشتیبانی از سرویس های رمز عبور شخص ثالث است.

6️⃣ در همین حال، آزمایش آمریکایی بین Epic و Google با از دست دادن دومی به پایان رسید - این شرکت موظف شد به فروشگاه های برنامه های شخص ثالث در Google Play اجازه دهد و از محدود کردن توسعه دهندگان در پذیرش پرداخت ها منع شد.

7️⃣ اخبار هوش مصنوعی برای طرفداران جاروبرقی Ecovacs: این شرکت سیاست های حفظ حریم خصوصی خود را به روز کرده و به خود اجازه داده است که فیلم ها، ضبط های صوتی و سایر داده ها را از جاروبرقی جمع آوری کند و آنها را برای آموزش هوش مصنوعی ذخیره کند. یا بهتر است بگوییم، او قبلا آنها را جمع آوری می کند، او به سادگی این را در سیاست منعکس می کند. داده ها را نمی توان حذف کرد.

8️⃣ همچنین، مدل پرچمدار Ecovacs مستعد حملات سایبری است که هولیگان ها از طریق دوربین جاروبرقی جاسوسی می کنند و از طریق بلندگوی آن توهین می کنند. این شرکت در ماه دسامبر در مورد آسیب پذیری ها هشدار داده شد


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

یک آسیب‌پذیری میان‌افزار در دستگاه‌های Moxa EDR-8010، EDR-G9004، EDR-G9010، EDR-G1002-BP، NAT-102 OnCell G4302-LTE4، TN-4900 به دلیل عدم تأیید اعتبار برای یک عملکرد مهم است.

بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا به پیکربندی دستگاه دسترسی کامل داشته باشد.

BDU: 2024-08035
CVE-2024-9137

نصب به روز رسانی از منابع قابل اعتماد
توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- محدود کردن دسترسی به دستگاه های آسیب پذیر از شبکه های خارجی (اینترنت).
- استفاده از یک لیست "سفید" از آدرس های IP برای سازماندهی دسترسی از راه دور به دستگاه ها.
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای شناسایی و خنثی سازی تلاش ها برای سوء استفاده از آسیب پذیری ها.

استفاده از توصیه ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security- لوازم خانگی
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب‌پذیری حیاتی در Kubernetes می‌تواند اجازه دسترسی غیرمجاز SSH به ماشین مجازی را بدهد که تصویر ایجاد شده با Kubernetes Image Builder را اجرا می‌کند.

توصیه امنیتی نشان می‌دهد که آسیب‌پذیری حیاتی بر تصاویر ماشین مجازی ایجاد شده با استفاده از ارائه‌دهنده Proxmox در Image Builder نسخه 0.1.37 یا قبل‌تر تأثیر می‌گذارد.

این مشکل به‌عنوان CVE-2024-9486 پیگیری می‌شود و به دلیل استفاده از اعتبارنامه‌های پیش‌فرض است که در طول فرآیند تصویربرداری فعال می‌شوند و متعاقباً غیرفعال نمی‌شوند.

یک مهاجم با دانستن این موضوع، می‌تواند از طریق یک اتصال SSH متصل شود و از این اعتبار برای دسترسی ریشه به ماشین‌های مجازی آسیب‌پذیر استفاده کند.

راه حل این است که تصاویر VM آسیب دیده را با استفاده از Kubernetes Image Builder نسخه 0.1.38 یا جدیدتر بسازید، که یک رمز عبور تصادفی ایجاد شده را در طول فرآیند ساخت تنظیم می کند و همچنین حساب سازنده پیش فرض را غیرفعال می کند.

اگر به روز رسانی در حال حاضر امکان پذیر نیست، یک راه حل موقت غیرفعال کردن حساب سازنده با استفاده از دستور: usermod -L builder است.

اطلاعات بیشتر در مورد اقدامات کاهشی و نحوه بررسی اینکه آیا سیستم شما تحت تأثیر قرار گرفته است را می توانید در GitHub پیدا کنید.

علاوه بر این، همین مشکل برای تصاویر ایجاد شده با استفاده از Nutanix، OVA، QEMU یا خام معمول است، اما به دلیل نیازهای اضافی برای عملکرد موفقیت‌آمیز، شدت آن متوسط ​​است.

این آسیب پذیری نیز با نام CVE-2024-9594 شناسایی شده است.

به طور خاص، فقط در طول فرآیند ساخت قابل استفاده است و به مهاجم نیاز دارد که به ماشین مجازی که تصویر را ایجاد می کند دسترسی پیدا کند و اقدامات خاصی را برای ذخیره اعتبار پیش فرض انجام دهد و امکان دسترسی در آینده را فراهم کند.

همان توصیه‌های اصلاح و کاهش در مورد CVE-2024-9594 اعمال می‌شود.
🎯 در جریان نبض امنیت سایبری صنعتی باشید:

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

پکن به اعمال فشار، افشای عمومی جدید علیه آژانس امنیت ملی آمریکا و درخواست برای تحقیقات شفاف ادامه می دهد.

انجمن امنیت سایبری چین (CSAC) اینتل را متهم کرد که به دستور آژانس امنیت ملی آمریکا (NSA) درهای پشتی را به پردازنده‌ها وارد کرده است.

سند CSAC در مورد افزایش فراوانی آسیب‌پذیری‌ها در پردازنده‌های اینتل (Downfall، Reptar، GhostRace، NativeBHI و Indirector) صحبت می‌کند و به قابلیت اطمینان پایین محصولات اشاره می‌کند که توسعه‌دهندگان آن ترجیح می‌دهند هر گونه شکایت کاربران در مورد خرابی را نادیده بگیرند.

به گفته رگولاتور چینی، آسیب‌پذیری‌های عمدی شناسایی‌شده در پردازنده‌های اینتل، تهدیدی جدی برای امنیت زیرساخت اطلاعات حیاتی ملی است.

‏CSAC اشاره می‌کند که پردازنده‌های اینتل از سال 2008 فناوری مدیریت موتور (ME) را پیاده‌سازی کرده‌اند که بخشی از فناوری مدیریت فعال است که به طور گسترده تبلیغ می‌شود و به شما امکان می‌دهد دستورات مختلف را از راه دور بر روی رایانه خود اجرا کنید.

علاوه بر این، اگر ME فعال باشد و در صورت دسترسی به شبکه، بدون توجه به سیستم عامل نصب شده روی آن، می توان از راه دور به هاست دسترسی داشت.

در واقع، ME یک درب پشتی است که به شما امکان می‌دهد به حافظه کامل دسترسی داشته باشید، فایروال‌های سیستم عامل را دور بزنید و بسته‌های شبکه را بدون اطلاع کاربر ارسال و دریافت کنید، که به نوبه خود نمی‌تواند عملکرد را غیرفعال کند.

در همان زمان، در خود AMT، که بر اساس فناوری ME پیاده سازی شده است، یک آسیب پذیری بسیار جدی (CVE-2017-5689) در سال 2017 کشف شد که امکان دور زدن مکانیسم احراز هویت و ورود مستقیم به سیستم، دریافت را فراهم کرد. بالاترین امتیازات

علاوه بر این، گزارش CSAC به کار Positives اشاره می کند که در سال 2017 یک سوئیچ کشتار مخفی را کشف کردند که ظاهراً به ابتکار NSA ایجاد شده و در HAP (سکوی با اطمینان بالا) واقع شده است که هیچ اطلاعات رسمی در مورد آن وجود ندارد.

این سوئیچ به NSA اجازه می دهد تا ME را در دستگاه های ایالات متحده غیرفعال کند در حالی که ME در بقیه جهان به کار خود ادامه می دهد و سیستم های دیگر را به طور بالقوه آسیب پذیر می کند.

به طور کلی، نبرد بین ایالات متحده و چین فروکش نمی کند و اینتل که بخش قابل توجهی از درآمد آن از پادشاهی میانه به دست می آید، در صورت بررسی پرونده ای با درهای پشتی، خطر تبدیل شدن به قربانی مقدس این رویارویی را دارد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security