فناوریهای آگاه از ویژگیهای صنعتی، مانند فایروالهای صنعتی با قابلیت بازرسی عمیق بستهها ( #DPI )، برای ایمنسازی محیطهای OT/ICS، به ویژه در عصر #دیجیتالیسازی ، افزایش اتکا به دسترسی از راه دور و انتقال دادهها به سطح سازمانی، بسیار مهم هستند.
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
فایروالهای صنعتی با #DPI میتوانند ترافیک ورودی و خروجی را بر اساس قوانین از پیش تعریف شده فیلتر کنند تا عملکردهای خاصی مانند فقط خواندنی را مجاز کنند و حتی نقاط خاصی را مشخص کنند.
فایروالهای DPI از مشخصات بستههای پروتکل ارتباطی صنعتی استفاده میکنند. به عنوان مثال، در Modbus TCP کدهای تابعی وجود دارد. با مسدود کردن هر کد تابع بالاتر از 4، میتوانید یک لینک فقط خواندنی را اعمال کنید که به دستیابی به الزامات امنیتی سیستم SR 5.2 -->حفاظت از مرز منطقه در ISA/IEC 62443-3-3 کمک میکند.
در عین حال، درک عمیقی از لینک ارتباطی برای جلوگیری از وقفهها یا اختلالات لازم است.
پارامترهای ارتباطی باید تنظیم شوند تا زمان کافی برای بازرسی قبل از قطع اتصال به دلیل وقفه وجود داشته باشد. زیرا اولویت اول حفظ در دسترس بودن است.
#ICS #iec62443 #امنیت
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
❤1
یک آسیبپذیری در پلتفرم مدیریت HVAC، روشنایی و انرژی Niagara Framework و راهکار کنترل دسترسی و امنیتی Niagara Enterprise Security به دلیل محاسبه ناکافی هش رمز عبور است. سوءاستفاده از این آسیبپذیری ممکن است به مهاجمی که از راه دور اقدام میکند، اجازه دهد تا به دستگاه دسترسی پیدا کند.
BDU:2025-09156
CVE-2025-3937
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای فیلتر کردن ترافیک شبکه؛
- بخشبندی شبکه برای محدود کردن دسترسی به نرمافزارهای آسیبپذیر از زیرشبکههای دیگر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
با استفاده از توصیههای سازنده:
نرمافزار را به نسخههای ۴.۱۴.۲u۲، ۴.۱۵.u۱، ۴.۱۰u.۱۱ یا بالاتر بهروزرسانی کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
BDU:2025-09156
CVE-2025-3937
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروالها برای فیلتر کردن ترافیک شبکه؛
- بخشبندی شبکه برای محدود کردن دسترسی به نرمافزارهای آسیبپذیر از زیرشبکههای دیگر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت).
با استفاده از توصیههای سازنده:
نرمافزار را به نسخههای ۴.۱۴.۲u۲، ۴.۱۵.u۱، ۴.۱۰u.۱۱ یا بالاتر بهروزرسانی کنید.
اگر این دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
حمله باجافزار جدید BERT به زیرساختهای ایران : حملات چند رشتهای با لینکهای REvil به ویندوز، لینوکس و ESXi حمله میکند
تحلیلگران امنیتی در Trend Micro شاهد ظهور یک گروه باجافزار ناشناخته بودند که اکنون با نام BERT ردیابی میشود - یک عامل تهدید که انواع باجافزار چند رشتهای را علیه قربانیان در سراسر آسیا، اروپا و ایالات متحده به کار میگیرد. اهداف این گروه شامل بخشهای مراقبتهای بهداشتی، فناوری و خدمات رویداد است که آنها را به عنوان یک نیروی رو به رشد در اکوسیستم باجافزار نشان میدهد.
این گزارش تأیید میکند: "BERT (که توسط Trend Micro با نام Water Pombero ردیابی میشود) یک گروه باجافزار نوظهور است که هر دو پلتفرم ویندوز و لینوکس را هدف قرار میدهد."
در سیستمهای ویندوز، بدافزار BERT از طریق یک بارگذار PowerShell (start.ps1) مستقر میشود که سیستمهای دفاعی را غیرفعال میکند، امتیازات را افزایش میدهد و بار داده (payload.exe) را از یک دایرکتوری باز میزبانی شده در یک IP مرتبط با ASN 39134، یک ارائه دهنده زیرساخت روسی، دانلود میکند.
در این گزارش توضیح داده شده است: "اسکریپت PowerShell امتیازات را افزایش میدهد، Windows Defender، فایروال و کنترل حساب کاربری (UAC) را غیرفعال میکند، سپس باجافزار را دانلود و اجرا میکند."
این بدافزار قبل از شروع رمزگذاری با استفاده از AES، سرویسهای مرتبط با سرورهای وب و پایگاههای داده را خاتمه میدهد، پسوند .encryptedbybert را اضافه میکند و یک یادداشت باجخواهی منتشر میکند.
ترند میکرو همچنین وجود نظرات به زبان روسی را در اسکریپت PowerShell برجسته میکند - که به طور بالقوه نشاندهنده منشأ یا تأثیر کدگذاری عوامل تهدید است.
نوع لینوکس BERT که در ماه مه کشف شد، حتی فعالتر است. این با حداکثر ۵۰ رشته همزمان برای رمزگذاری سریع دایرکتوریهای هدف اجرا میشود و میتواند ماشینهای مجازی ESXi را به زور خاموش کند تا حداکثر تأثیر را تضمین کند.
ترند میکرو هشدار میدهد: «هنگامی که بدون پارامترهای خط فرمان اجرا شود، به خاموش کردن ماشینهای مجازی ادامه میدهد... [و] خاتمه اجباری تمام فرآیندهای ماشین مجازی در حال اجرا را اجباری میکند.»
این باجافزار پسوند .encrypted_by_bert را اضافه میکند و یک یادداشت باجخواهی با رمزگذاری Base64 را رها میکند و بنری را نمایش میدهد که خلاصهای از فایلهای رمزگذاری شده را نشان میدهد.
طراحی ماژولار آن از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند که حاوی کلیدها، پسوندها و یادداشتهای باجخواهی است - مشابه تکنیکهای مشاهده شده در ابزارهای باجافزار مدرن.
در این گزارش آمده است: «این نسخه از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند - یک ویژگی معمول در اکثر باجافزارهای مدرن.»
تحقیقات ترند نشان داد که انواع قدیمیتر BERT به یک فرآیند رمزگذاری دو مرحلهای متکی بودند - ابتدا جمعآوری مسیرهای فایل، سپس رمزگذاری. در مقابل، نمونههای جدیدتر از یک ConcurrentQueue استفاده میکنند و DiskWorkers را در هر درایو ایجاد میکنند و به رمزگذاری اجازه میدهند بلافاصله پس از کشف فایلها شروع شود.
محققان توضیح میدهند: "این امر باعث میشود که باجافزار برخلاف نسخه قدیمیتر، به محض کشف فایلها، رمزگذاری آنها را آغاز کند."
تحلیلگران ترند میکرو شباهتهای کدی بین BERT و نوع لینوکس REvil را که در سال 2021 به طور عمومی فاش شد، مشاهده میکنند. این ارتباطات نشان میدهد که این گروه ممکن است بر اساس چارچوبهای باجافزار موجود که در حملات مهم قبلی علیه سیستمهای ESXi و لینوکس استفاده شده بود، ساخته شده باشد.
این گزارش میافزاید: "تحقیقات بیشتر نشان میدهد که این گروه ممکن است از نوع لینوکس REvil مشتق شده باشد."
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
تحلیلگران امنیتی در Trend Micro شاهد ظهور یک گروه باجافزار ناشناخته بودند که اکنون با نام BERT ردیابی میشود - یک عامل تهدید که انواع باجافزار چند رشتهای را علیه قربانیان در سراسر آسیا، اروپا و ایالات متحده به کار میگیرد. اهداف این گروه شامل بخشهای مراقبتهای بهداشتی، فناوری و خدمات رویداد است که آنها را به عنوان یک نیروی رو به رشد در اکوسیستم باجافزار نشان میدهد.
این گزارش تأیید میکند: "BERT (که توسط Trend Micro با نام Water Pombero ردیابی میشود) یک گروه باجافزار نوظهور است که هر دو پلتفرم ویندوز و لینوکس را هدف قرار میدهد."
در سیستمهای ویندوز، بدافزار BERT از طریق یک بارگذار PowerShell (start.ps1) مستقر میشود که سیستمهای دفاعی را غیرفعال میکند، امتیازات را افزایش میدهد و بار داده (payload.exe) را از یک دایرکتوری باز میزبانی شده در یک IP مرتبط با ASN 39134، یک ارائه دهنده زیرساخت روسی، دانلود میکند.
در این گزارش توضیح داده شده است: "اسکریپت PowerShell امتیازات را افزایش میدهد، Windows Defender، فایروال و کنترل حساب کاربری (UAC) را غیرفعال میکند، سپس باجافزار را دانلود و اجرا میکند."
این بدافزار قبل از شروع رمزگذاری با استفاده از AES، سرویسهای مرتبط با سرورهای وب و پایگاههای داده را خاتمه میدهد، پسوند .encryptedbybert را اضافه میکند و یک یادداشت باجخواهی منتشر میکند.
ترند میکرو همچنین وجود نظرات به زبان روسی را در اسکریپت PowerShell برجسته میکند - که به طور بالقوه نشاندهنده منشأ یا تأثیر کدگذاری عوامل تهدید است.
نوع لینوکس BERT که در ماه مه کشف شد، حتی فعالتر است. این با حداکثر ۵۰ رشته همزمان برای رمزگذاری سریع دایرکتوریهای هدف اجرا میشود و میتواند ماشینهای مجازی ESXi را به زور خاموش کند تا حداکثر تأثیر را تضمین کند.
ترند میکرو هشدار میدهد: «هنگامی که بدون پارامترهای خط فرمان اجرا شود، به خاموش کردن ماشینهای مجازی ادامه میدهد... [و] خاتمه اجباری تمام فرآیندهای ماشین مجازی در حال اجرا را اجباری میکند.»
این باجافزار پسوند .encrypted_by_bert را اضافه میکند و یک یادداشت باجخواهی با رمزگذاری Base64 را رها میکند و بنری را نمایش میدهد که خلاصهای از فایلهای رمزگذاری شده را نشان میدهد.
طراحی ماژولار آن از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند که حاوی کلیدها، پسوندها و یادداشتهای باجخواهی است - مشابه تکنیکهای مشاهده شده در ابزارهای باجافزار مدرن.
در این گزارش آمده است: «این نسخه از یک پیکربندی با فرمت JSON تعبیه شده در فایل باینری استفاده میکند - یک ویژگی معمول در اکثر باجافزارهای مدرن.»
تحقیقات ترند نشان داد که انواع قدیمیتر BERT به یک فرآیند رمزگذاری دو مرحلهای متکی بودند - ابتدا جمعآوری مسیرهای فایل، سپس رمزگذاری. در مقابل، نمونههای جدیدتر از یک ConcurrentQueue استفاده میکنند و DiskWorkers را در هر درایو ایجاد میکنند و به رمزگذاری اجازه میدهند بلافاصله پس از کشف فایلها شروع شود.
محققان توضیح میدهند: "این امر باعث میشود که باجافزار برخلاف نسخه قدیمیتر، به محض کشف فایلها، رمزگذاری آنها را آغاز کند."
تحلیلگران ترند میکرو شباهتهای کدی بین BERT و نوع لینوکس REvil را که در سال 2021 به طور عمومی فاش شد، مشاهده میکنند. این ارتباطات نشان میدهد که این گروه ممکن است بر اساس چارچوبهای باجافزار موجود که در حملات مهم قبلی علیه سیستمهای ESXi و لینوکس استفاده شده بود، ساخته شده باشد.
این گزارش میافزاید: "تحقیقات بیشتر نشان میدهد که این گروه ممکن است از نوع لینوکس REvil مشتق شده باشد."
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
Trend Micro
BERT Ransomware Group Targets Asia and Europe on Multiple Platforms
BERT is a newly emerged ransomware group that pairs simple code with effective execution—carrying out attacks across Europe and Asia. In this entry, we examine the group’s tactics, how their variants have evolved, and the tools they use to get past defenses…
اخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیبپذیری
تکنیکهای جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور میزند و دادهها را استخراج میکند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیدهای که از محیطهای ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده میکنند، رونمایی شدند و نشان دادند که چگونه مهاجمان میتوانند از طریق تکنیکهای حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.
این روشها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیبپذیریهای حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار میکنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم میکنند.
نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیطهای Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهیهای ترکیبی Exchange، توکنهای S2S را با دسترسی مدیر جهانی و بدون گزارشهای حسابرسی تولید میکنند.
۳. مایکروسافت برخی از سوءاستفادهها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیبپذیر است.
دستکاری بینقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، میتوانند پیکربندیهای Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیطهای سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.
کاهشها
مایکروسافت این آسیبپذیریها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامههای اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.
با این حال، قابلیتهای جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد میکنند.
این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.
سازمانها باید فوراً پیکربندیهای ترکیبی Exchange خود را با استفاده از کوئریهای تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیتهای مشکوک را شناسایی کنند.
اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حسابهای کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حسابهای همگامسازی دایرکتوری است.
تیمهای امنیتی همچنین باید تغییرات غیرمجاز در سیاستهای احراز هویت را رصد کنند و انتقال به برنامههای
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
👍1
خونریزی مجدد برگشته است. و خطرناکتر از سال ۲۰۲۲ شده است.
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
هکرها روزنههای جدیدی در اعماق معماری پیدا کردهاند و اکنون میتوانند دادهها را با سرعت نگرانکنندهای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشینهای مجازی روی یک سرور گرفته تا استخراج دادههای حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله میتواند از محیطهای ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.
این روش تهدید ویژهای برای زیرساختهای مجازی و ابری محسوب میشود. آزمایشهای انجامشده، احتمال اجرای کد در داخل یک ماشین مجازی آسیبدیده با دسترسی به حافظه سیستم میزبان و حتی خواندن دادهها از سایر ماشینهای مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویسهای ابری، که در آنها کلاینتهایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد میکند.
توسعهدهندگان این اکسپلویت با پیادهسازی برنامهنویسی بازگشتگرای گمانهزن (ROP) برای ایجاد «گجتهای آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیتهای کلیدی رویکرد قبلی غلبه کردند. آنها همچنین آموزش پیشبینیکننده شاخه و تکنیکهای دور زدن KASLR (تصادفیسازی طرحبندی فضای آدرس هسته) را بهبود بخشیدند.
از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش میدهد و IBPB (مانع پیشبینی غیرمستقیم شاخه) که سختگیرانهتر است، میتواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستمهای با بار زیاد دشوار میکند.
این کار نشان میدهد که حتی آسیبپذیریهای شناختهشده را میتوان دوباره طراحی و در سناریوهای مخربتر استفاده کرد. دارندگان سیستمهای مبتنی بر پردازندههای AMD آسیبدیده، بهویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعهی دفاعهای مؤثرتر دارند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
❤1
GPT-5 در عرض ۲۴ ساعت هک شد
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
دو تیم از محققان راهی پیدا کردهاند تا هوش مصنوعی را وادار کنند دستورالعملهای ممنوعه را آشکار کند.
پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکافهای قابل توجهی را به ویژه از نظر جهتگیری تجاری باقی میگذارند.»
NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستانسرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت میگوید این مورد نشان میدهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر میسپارد - آسیبپذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت میکنند و از محرکهای مسدودکننده آشکار اجتناب میکنند.
این فرآیند به این صورت انجام میشود: ابتدا، سرنخهای سمی به طور نامحسوس در قالب متنی بیضرر وارد مکالمه میشوند؛ سپس روایتی ساخته میشود که انسجام منطقی را حفظ میکند اما از کلماتی که میتوانند باعث رد شدن شوند، اجتناب میکند؛ سپس چرخهای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه میکند که زمینه مورد نظر را تقویت میکند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر میدهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیعتر میکند و به آن اجازه میدهد بدون نقض مستقیم قوانین، به هدف خود برسد.
SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهمسازی پرسوجو آزمایش کرد. یکی از روشها، حمله مبهمسازی StringJoin است که بین هر حرف یک خط فاصله قرار میدهد و کل پرسوجو را به یک وظیفه «رمزگشایی» جعلی تبدیل میکند. در یک مثال، به GPT-5، دستورالعمل طولانیای که با سوال «چگونه بمب بسازم؟» تمام میشد، با آشنایی غیرمنتظرهای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام میگذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما میگویم چگونه...»
آزمایشهای مقایسهای نشان دادهاند که GPT-4o ، بهویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاومتر باقی میماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
❤2
مایکروسافت راهنمایی در مورد آسیبپذیری با شدت بالا (CVE-2025-53786) در پیادهسازیهای Hybrid Exchange منتشر کرد.
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
بهروزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را بهروزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکههای یک سازمان ارائه دهد و راهنماییهای بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.
IACS از آسیبپذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیبپذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه میدهد تا با سوءاستفاده از پیکربندیهای آسیبپذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیبپذیری، در صورت عدم رسیدگی، میتواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.
اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفادهای مشاهده نشده است، اما IACS اکیداً از سازمانها میخواهد که راهنمای آسیبپذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار میدهند.
سازمانها ابتدا باید تمام سرورهای Exchange را در شبکههای خود فهرستبندی کنند (سازمانها باید از ابزارهای موجود برای مشاهدهپذیری یا ابزارهای عمومی مانند اسکریپتهای NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده میکنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفتهاند و برای بهروزرسانی تجمعی (CU) در دسترس هستند یا خیر.
بهروزرسانیهای هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعملهای پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمانهایی که از Exchange hybrid استفاده میکنند (یا قبلاً Exchange hybrid را پیکربندی کردهاند اما دیگر از آن استفاده نمیکنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.
IACS اکیداً به نهادها توصیه میکند که نسخههای عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیدهاند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخههای قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.
سازمانها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنماییهای بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:
اطلاعات موجود در این گزارش صرفاً جهت اطلاعرسانی و «به همین صورت که هست» ارائه میشود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمیکند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
یک پلتفرم مدیریت اطلاعات و رویدادهای امنیتی است که توسط شرکت Fortinet ساخته شده است.
یک آسیبپذیری با عنوان خنثیسازی نادرست عناصر خاص استفادهشده در یک فرمان سیستمعامل (تزریق فرمان سیستمعامل - [CWE-78]) در Fortinet FortiSIEM نسخههای 7.3.0 تا 7.3.1، 7.2.0 تا 7.2.5، 7.1.0 تا 7.1.7، 7.0.0 تا 7.0.3 و نسخههای قبل از 6.7.9 وجود دارد که به مهاجم بدون احراز هویت این امکان را میدهد تا از طریق درخواستهای CLI دستکاریشده، کد یا فرمانهای غیرمجاز را اجرا کند.
محصولات آسیبپذیر
نسخههای 7.3.0 تا 7.3.1
نسخههای 7.2.0 تا 7.2.5
نسخههای 7.1.0 تا 7.1.7
نسخههای 7.0.0 تا 7.0.3
نسخههای قبل از 6.7.9
توصیههای امنیتی
به کاربران توصیه میشود:
نسخههای 7.3.0 تا 7.3.1 را به نسخهی 7.3.2 و بالاتر
نسخههای 7.2.0 تا 7.2.5 را به نسخهی 7.2.6 و بالاتر
نسخههای 7.1.0 تا 7.1.7 را به نسخهی 7.1.8 و بالاتر
نسخههای 7.0.0 تا 7.0.3 را به نسخهی 7.0.4 و بالاتر
نسخههای 6.7.0 تا 6.7.9 را به نسخهی 6.7.10
بهروزرسانی نمایند تا آسیبپذیری رفع شود.
یک آسیبپذیری با عنوان خنثیسازی نادرست عناصر خاص استفادهشده در یک فرمان سیستمعامل (تزریق فرمان سیستمعامل - [CWE-78]) در Fortinet FortiSIEM نسخههای 7.3.0 تا 7.3.1، 7.2.0 تا 7.2.5، 7.1.0 تا 7.1.7، 7.0.0 تا 7.0.3 و نسخههای قبل از 6.7.9 وجود دارد که به مهاجم بدون احراز هویت این امکان را میدهد تا از طریق درخواستهای CLI دستکاریشده، کد یا فرمانهای غیرمجاز را اجرا کند.
محصولات آسیبپذیر
نسخههای 7.3.0 تا 7.3.1
نسخههای 7.2.0 تا 7.2.5
نسخههای 7.1.0 تا 7.1.7
نسخههای 7.0.0 تا 7.0.3
نسخههای قبل از 6.7.9
توصیههای امنیتی
به کاربران توصیه میشود:
نسخههای 7.3.0 تا 7.3.1 را به نسخهی 7.3.2 و بالاتر
نسخههای 7.2.0 تا 7.2.5 را به نسخهی 7.2.6 و بالاتر
نسخههای 7.1.0 تا 7.1.7 را به نسخهی 7.1.8 و بالاتر
نسخههای 7.0.0 تا 7.0.3 را به نسخهی 7.0.4 و بالاتر
نسخههای 6.7.0 تا 6.7.9 را به نسخهی 6.7.10
بهروزرسانی نمایند تا آسیبپذیری رفع شود.
#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیبپذیریهای سیستمهای سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستمهای کنترل صنعتی #ICS ، آسیبپذیریهای شناختهشده زیادی وجود دارند و در حالی که وصلهها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامهریزیشده بعدی، اعمال آنها را به تأخیر میاندازند.
با تنشهای سیاسی فعلی بین کشورهای بزرگ، زیرساختهای حیاتی به هدف اصلی تبدیل شدهاند.
اخیراً، گروههای تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساختهای حیاتی در ایالات متحده را هدف قرار میدهند.
حتی اگر کشورهای ما مستقیماً درگیر این درگیریهای ژئوپلیتیکی نباشند، ما هنوز هم میتوانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیطهای خاص ICS طراحی شدهاند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هستهای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجههای امنیت سایبری در اکثر شرکتهای زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT میتواند بسیار فراتر از نقض دادهها باشد، میتواند بر زندگی انسانها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
در سیستمهای کنترل صنعتی #ICS ، آسیبپذیریهای شناختهشده زیادی وجود دارند و در حالی که وصلهها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامهریزیشده بعدی، اعمال آنها را به تأخیر میاندازند.
با تنشهای سیاسی فعلی بین کشورهای بزرگ، زیرساختهای حیاتی به هدف اصلی تبدیل شدهاند.
اخیراً، گروههای تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساختهای حیاتی در ایالات متحده را هدف قرار میدهند.
حتی اگر کشورهای ما مستقیماً درگیر این درگیریهای ژئوپلیتیکی نباشند، ما هنوز هم میتوانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیطهای خاص ICS طراحی شدهاند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هستهای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجههای امنیت سایبری در اکثر شرکتهای زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT میتواند بسیار فراتر از نقض دادهها باشد، میتواند بر زندگی انسانها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
❤1
🔴 محققای Trail of Bits یک روش حمله ی جدیدی رو پیاده سازی کردن که از طریق تزریق پرامپتهای مخرب در تصاویر پردازش شده توسط سیستمهای هوش مصنوعی، دادههای کاربران رو میدزدن.
این تحقیق بر مبنای نظریهای است که در مقالهای از کنفرانس USENIX 2020 توسط دانشگاه آلمانی TU Braunschweig ارائه شده.
وقتی کاربر تصویری رو در سیستمهای هوش مصنوعی آپلود میکنه، این تصاویر بطور خودکار برای بهبود کارایی و کاهش هزینه، از طریق الگوریتمهای Resampling مانند Nearest Neighbor، Bilinear یا Bicubic interpolation به کیفیت پایینتر Downscale میشه.
وقتی تصویر بزرگ رو کوچیک میکنیم، باید پیکسلهای زیادی رو در یک فضای کوچیک جا بدیم، بنابراین الگوریتمها نمیتونن تمام جزییات تصویر اصلی رو بصورت کامل نگه دارن. بنابراین روی تصویر کوچیک شده یسری خطای دید یا طرحهای اضافی بوجود میاد که اصطلاحا بهشون Aliasing میگن.
مهاجم تصویری رو میسازه که وقتی کوچیک شد و این Aliasing رخ داد، الگوهای مخفی ظاهر میشه.
در نمونهی Trail of Bits، بخشهای تیرهی خاصی از تصویر مخرب هنگام پردازش با روش Bicubic downscaling به رنگ قرمز درمیاد و در نتیجه متن مخفی به رنگ سیاه ظاهر میشه.
مدل هوش مصنوعی این متن رو بخشی از دستور کاربر تفسیر کرده و بطور خودکار اونو با ورودی اصلی ترکیب میکنه.
از دید کاربر هیچ چیز غیرعادی بنظر نمیرسه، اما در عمل، مدل دستورالعملهای مخفی رو اجرا کرده که میتونه به نشت داده یا اقدامات پرخطر دیگه منجر بشه.
برای مثال، در یک حملهی تستی علیه Gemini CLI، پژوهشگران تونستن دادههای Google Calendar رو به یک آدرس ایمیل دلخواه ارسال کنن.
محققای Trail of Bits توضیح میدن که این حمله باید متناسب با هر مدل هوش مصنوعی و الگوریتم downscaling مورد استفادهی اون تنظیم بشه. با این حال، پژوهشگران تأیید کردن که روششون در برابر سیستمهای زیر قابل استفاده است:
Google Gemini CLI
Vertex AI Studio (with Gemini backend)
Gemini's web interface
Gemini's API via the llm CLI
Google Assistant on an Android phone
Genspark
از آنجا که این بردار حمله گسترده هستش، میتونه فراتر از ابزارهای تست شده هم شامل بشه. همچنین برای نمایش یافتههای خودشون، ابزار متنباز Anamorpher رو منتشر کردن که میتونه برای هر یک از روشهای Downscaling ذکرشده تصویر مخرب تولید کنه.
محققای Trail of Bits توصیه میکنن سیستمهای هوش مصنوعی در زمان آپلود تصاویر توسط کاربران، محدودیتهای ابعادی اعمال کنن. اگه Downscaling ضروری بود، بهتره پیشنمایشی از تصویر نهایی که به LLM ارسال خواهد شد، به کاربر نمایش داده بشه.
همچنین تأکید میکنن که باید برای اجرای دستورات حساس تأیید صریح کاربر دریافت بشه.
#هوش_مصنوعی
این تحقیق بر مبنای نظریهای است که در مقالهای از کنفرانس USENIX 2020 توسط دانشگاه آلمانی TU Braunschweig ارائه شده.
وقتی کاربر تصویری رو در سیستمهای هوش مصنوعی آپلود میکنه، این تصاویر بطور خودکار برای بهبود کارایی و کاهش هزینه، از طریق الگوریتمهای Resampling مانند Nearest Neighbor، Bilinear یا Bicubic interpolation به کیفیت پایینتر Downscale میشه.
وقتی تصویر بزرگ رو کوچیک میکنیم، باید پیکسلهای زیادی رو در یک فضای کوچیک جا بدیم، بنابراین الگوریتمها نمیتونن تمام جزییات تصویر اصلی رو بصورت کامل نگه دارن. بنابراین روی تصویر کوچیک شده یسری خطای دید یا طرحهای اضافی بوجود میاد که اصطلاحا بهشون Aliasing میگن.
مهاجم تصویری رو میسازه که وقتی کوچیک شد و این Aliasing رخ داد، الگوهای مخفی ظاهر میشه.
در نمونهی Trail of Bits، بخشهای تیرهی خاصی از تصویر مخرب هنگام پردازش با روش Bicubic downscaling به رنگ قرمز درمیاد و در نتیجه متن مخفی به رنگ سیاه ظاهر میشه.
مدل هوش مصنوعی این متن رو بخشی از دستور کاربر تفسیر کرده و بطور خودکار اونو با ورودی اصلی ترکیب میکنه.
از دید کاربر هیچ چیز غیرعادی بنظر نمیرسه، اما در عمل، مدل دستورالعملهای مخفی رو اجرا کرده که میتونه به نشت داده یا اقدامات پرخطر دیگه منجر بشه.
برای مثال، در یک حملهی تستی علیه Gemini CLI، پژوهشگران تونستن دادههای Google Calendar رو به یک آدرس ایمیل دلخواه ارسال کنن.
محققای Trail of Bits توضیح میدن که این حمله باید متناسب با هر مدل هوش مصنوعی و الگوریتم downscaling مورد استفادهی اون تنظیم بشه. با این حال، پژوهشگران تأیید کردن که روششون در برابر سیستمهای زیر قابل استفاده است:
Google Gemini CLI
Vertex AI Studio (with Gemini backend)
Gemini's web interface
Gemini's API via the llm CLI
Google Assistant on an Android phone
Genspark
از آنجا که این بردار حمله گسترده هستش، میتونه فراتر از ابزارهای تست شده هم شامل بشه. همچنین برای نمایش یافتههای خودشون، ابزار متنباز Anamorpher رو منتشر کردن که میتونه برای هر یک از روشهای Downscaling ذکرشده تصویر مخرب تولید کنه.
محققای Trail of Bits توصیه میکنن سیستمهای هوش مصنوعی در زمان آپلود تصاویر توسط کاربران، محدودیتهای ابعادی اعمال کنن. اگه Downscaling ضروری بود، بهتره پیشنمایشی از تصویر نهایی که به LLM ارسال خواهد شد، به کاربر نمایش داده بشه.
همچنین تأکید میکنن که باید برای اجرای دستورات حساس تأیید صریح کاربر دریافت بشه.
#هوش_مصنوعی
🔥1
🚨 اولین بیمارستان هوش مصنوعی جهان به تازگی افتتاح شد.
بیمارستانی که پزشکان هرگز در آن نمیخوابند. جایی که تشخیصها آنی هستند.
جایی که هر بیمار میتواند در عرض چند ثانیه به مراقبتهای درجه یک جهانی دسترسی داشته باشد.
این بیمارستان عامل هوش مصنوعی که توسط موسسه هوش مصنوعی دانشگاه تسینگهوا توسعه یافته است، در آوریل 2025 راهاندازی شد و نسخههای آزمایشی عمومی آن از ماه مه آغاز شد. در اینجا به ویژگیهای پیشگامانه آن اشاره میکنیم:
• 42 پزشک هوش مصنوعی از 21 تخصص، از قلب و عروق گرفته تا مغز و اعصاب
• بدون چتبات - این عوامل به صورت خودکار تشخیص میدهند، درمانها را برنامهریزی میکنند و پیگیری میکنند
• بیش از 10000 مورد در طول آزمایش در عرض چند روز تشخیص داده شدهاند
• دقت 93.06٪ در معیار صدور مجوز MedQA ایالات متحده
• حتی برای آموزش دانشجویان پزشکی نیز استفاده میشود
💡 برداشت من: چیزی که تقریباً هیچ کس در مورد آن صحبت نمیکند این است - بیمارستانهای هوش مصنوعی فقط در مورد مراقبت سریعتر نیستند. آنها در مورد گرانش دادهها هستند. هر تشخیص، برنامه درمانی و نتیجه به سیستم بازخورد میدهد. این بدان معناست که هر مشاوره فقط به یک بیمار کمک نمیکند - بلکه کل بیمارستان را هوشمندتر میکند. برخلاف پزشکان انسانی که به سالها تجربه شخصی انباشتهشده متکی هستند، این عوامل هوش مصنوعی دانش را از طریق میلیونها تعامل در زمان واقعی ترکیب میکنند. این آیندهای را ایجاد میکند که در آن کیفیت مراقبتهای بهداشتی دیگر به جغرافیا، ثروت یا دسترسی به متخصصان وابسته نیست. در عوض، به این بستگی دارد که چه کسی این شبکههای وسیع اطلاعات پزشکی را کنترل و اداره میکند.
چین به تازگی یک معیار تعیین کرده است. اما مسابقه واقعی در مورد این نیست که چه کسی اولین بیمارستان هوش مصنوعی را میسازد. در مورد این است که چه کسی مغز مراقبتهای بهداشتی را میسازد که بقیه جهان به آن وابسته خواهند بود.
👉 آیا به یک پزشک هوش مصنوعی برای تشخیص خود اعتماد میکنید؟
#هوش_مصنوعی #مراقبتهای_بهداشتی #نوآوری #آینده_کار #چین
بیمارستانی که پزشکان هرگز در آن نمیخوابند. جایی که تشخیصها آنی هستند.
جایی که هر بیمار میتواند در عرض چند ثانیه به مراقبتهای درجه یک جهانی دسترسی داشته باشد.
این بیمارستان عامل هوش مصنوعی که توسط موسسه هوش مصنوعی دانشگاه تسینگهوا توسعه یافته است، در آوریل 2025 راهاندازی شد و نسخههای آزمایشی عمومی آن از ماه مه آغاز شد. در اینجا به ویژگیهای پیشگامانه آن اشاره میکنیم:
• 42 پزشک هوش مصنوعی از 21 تخصص، از قلب و عروق گرفته تا مغز و اعصاب
• بدون چتبات - این عوامل به صورت خودکار تشخیص میدهند، درمانها را برنامهریزی میکنند و پیگیری میکنند
• بیش از 10000 مورد در طول آزمایش در عرض چند روز تشخیص داده شدهاند
• دقت 93.06٪ در معیار صدور مجوز MedQA ایالات متحده
• حتی برای آموزش دانشجویان پزشکی نیز استفاده میشود
💡 برداشت من: چیزی که تقریباً هیچ کس در مورد آن صحبت نمیکند این است - بیمارستانهای هوش مصنوعی فقط در مورد مراقبت سریعتر نیستند. آنها در مورد گرانش دادهها هستند. هر تشخیص، برنامه درمانی و نتیجه به سیستم بازخورد میدهد. این بدان معناست که هر مشاوره فقط به یک بیمار کمک نمیکند - بلکه کل بیمارستان را هوشمندتر میکند. برخلاف پزشکان انسانی که به سالها تجربه شخصی انباشتهشده متکی هستند، این عوامل هوش مصنوعی دانش را از طریق میلیونها تعامل در زمان واقعی ترکیب میکنند. این آیندهای را ایجاد میکند که در آن کیفیت مراقبتهای بهداشتی دیگر به جغرافیا، ثروت یا دسترسی به متخصصان وابسته نیست. در عوض، به این بستگی دارد که چه کسی این شبکههای وسیع اطلاعات پزشکی را کنترل و اداره میکند.
چین به تازگی یک معیار تعیین کرده است. اما مسابقه واقعی در مورد این نیست که چه کسی اولین بیمارستان هوش مصنوعی را میسازد. در مورد این است که چه کسی مغز مراقبتهای بهداشتی را میسازد که بقیه جهان به آن وابسته خواهند بود.
👉 آیا به یک پزشک هوش مصنوعی برای تشخیص خود اعتماد میکنید؟
#هوش_مصنوعی #مراقبتهای_بهداشتی #نوآوری #آینده_کار #چین
❤2
#مایکروسافت در ۱۴ اکتبر ۲۰۲۵ به طور رسمی #پشتیبانی از Windows 10 را پایان میدهد. پس از این تاریخ، دستگاههای دارای ویندوز 10 دیگر بهروزرسانیهای امنیتی را دریافت نخواهند کرد و در مقابل حملات سایبری ، بدافزارها و نقض دادهها بسیار آسیبپذیر خواهند بود. ارتقا به ویندوز ۱۱ فقط یک ارتقای فنی نیست - بلکه یک اقدام امنیتی پیشگیرانه برای محافظت از سازمان شما و جلوگیری از اختلالات عملیاتی است.
ما اکیداً توصیه میکنیم که مهاجرت خود را در اسرع وقت شروع کنید تا از #خطرات غیرضروری جلوگیری شود .
ما اکیداً توصیه میکنیم که مهاجرت خود را در اسرع وقت شروع کنید تا از #خطرات غیرضروری جلوگیری شود .
در حالی که ما عمدتاً در تلاشیم تا فرهنگ امنیت اطلاعات را در تیمها نهادینه کنیم، در برخی جاها بشر گامی به جلو برداشته است – به نظر میرسد کارکنان خودشان کاملاً طرفدار امنیت اطلاعات شدهاند. البته نه به خاطر شرایط خوب.
کارکنان شرکت آمریکایی تولیدکننده اتوبوس و کامیون Navistar دادخواست جمعی علیه کارفرما به دلیل حفاظت ضعیف امنیت اطلاعات ارائه دادند. در ماه مه، مجرمان سایبری به این شرکت حمله کردند و در نتیجه پایگاه دادهای شامل دهها هزار ردیف اطلاعات شخصی کارکنان سابق و فعلی و اعضای خانوادههایشان به صورت عمومی منتشر شد. آرشیو منتشر شده شامل نامها، شمارههای تأمین اجتماعی، شمارههای گواهینامه رانندگی و اطلاعات پزشکی است. شرکت نه تنها نتوانست از حفظ دادههای شخصی مراقبت کند، بلکه چندین ماه تلاش کرد تا نشت اطلاعات را پنهان کند. در حالی که Navistar سکوت کرده بود، کلاهبرداران میتوانستند حسابهای بانکی جعلی باز کنند، مزایای دولتی دریافت کنند یا اظهارنامههای مالیاتی جعلی ارائه دهند.
میبینید – امید هست، همه به امنیت اطلاعات ایمان خواهند آورد! فقط کاش به این قیمت نباشد...
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
کارکنان شرکت آمریکایی تولیدکننده اتوبوس و کامیون Navistar دادخواست جمعی علیه کارفرما به دلیل حفاظت ضعیف امنیت اطلاعات ارائه دادند. در ماه مه، مجرمان سایبری به این شرکت حمله کردند و در نتیجه پایگاه دادهای شامل دهها هزار ردیف اطلاعات شخصی کارکنان سابق و فعلی و اعضای خانوادههایشان به صورت عمومی منتشر شد. آرشیو منتشر شده شامل نامها، شمارههای تأمین اجتماعی، شمارههای گواهینامه رانندگی و اطلاعات پزشکی است. شرکت نه تنها نتوانست از حفظ دادههای شخصی مراقبت کند، بلکه چندین ماه تلاش کرد تا نشت اطلاعات را پنهان کند. در حالی که Navistar سکوت کرده بود، کلاهبرداران میتوانستند حسابهای بانکی جعلی باز کنند، مزایای دولتی دریافت کنند یا اظهارنامههای مالیاتی جعلی ارائه دهند.
میبینید – امید هست، همه به امنیت اطلاعات ایمان خواهند آورد! فقط کاش به این قیمت نباشد...
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
👍2
Forwarded from امنیت سایبری | Cyber Security
نقش حیاتی متخصصان GRC در امنیت سایبری سازمانها
در دنیای دیجیتال امروز، تهدیدات سایبری پیچیدهتر از همیشه هستند و حفاظت از اطلاعات و داراییهای سازمانها نیازمند رویکردی جامع و سازمانیافته است. اینجاست که متخصصان #GRC امنیت سایبری وارد میشوند. آنها نه تنها مسئول اجرای فناوریهای امنیتی هستند، بلکه نقش پل میان مدیریت ریسک، انطباق با قوانین و اهداف کسبوکار را ایفا میکنند.
وظایف کلیدی متخصصان GRC شامل:
- توسعه و اجرای سیاستهای امنیت سایبری مطابق با نیازهای سازمان
- همسوسازی استراتژیهای امنیتی با اهداف کلان سازمان
- شناسایی، ارزیابی و مدیریت ریسکها و تهدیدات سایبری
- طراحی برنامههای کاهش ریسک و استراتژیهای بازیابی در شرایط بحران
- اطمینان از رعایت استانداردها و مقررات بینالمللی مانند GDPR، HIPAA، PCI DSS و چارچوبهای امنیتی NIST
- ارائه مشاوره امنیتی به مدیران ارشد برای اتخاذ تصمیمات هوشمندانه در زمینه امنیت و سرمایهگذاری
- انجام ممیزیهای داخلی و تهیه گزارشهای انطباق
- برقراری ارتباط موثر با ذینفعان، مدیران و نهادهای قانونی
مهارتهای ضروری متخصصان GRC:
- دانش فنی امنیت سایبری: پروتکلها، رمزنگاری، فایروالها، سیستمهای شناسایی نفوذ و زیرساختهای فناوری اطلاعات
- تحلیل و حل مسئله: توانایی بررسی چالشهای پیچیده و ارائه راهکارهای عملی
- مدیریت ریسک و ارزیابی تهدیدات: شناسایی آسیبپذیریها و طراحی استراتژی کاهش آنها
- آشنایی با مقررات و انطباق: تسلط بر استانداردها و چارچوبهای قانونی بینالمللی
- مهارتهای ارتباطی و همکاری: توانایی تعامل مؤثر با تیمهای داخلی، مدیران و نهادهای قانونی
💡 با حضور متخصصان GRC، سازمانها قادرند ریسکهای سایبری را مدیریت کنند، با استانداردهای جهانی همسو باشند و اعتماد مشتریان و شرکا را حفظ کنند. امنیت سایبری تنها یک الزام فنی نیست؛ بلکه یک سرمایه استراتژیک و مزیت رقابتی پایدار برای سازمانهاست.
✅ Channel
💬 Group
در دنیای دیجیتال امروز، تهدیدات سایبری پیچیدهتر از همیشه هستند و حفاظت از اطلاعات و داراییهای سازمانها نیازمند رویکردی جامع و سازمانیافته است. اینجاست که متخصصان #GRC امنیت سایبری وارد میشوند. آنها نه تنها مسئول اجرای فناوریهای امنیتی هستند، بلکه نقش پل میان مدیریت ریسک، انطباق با قوانین و اهداف کسبوکار را ایفا میکنند.
وظایف کلیدی متخصصان GRC شامل:
- توسعه و اجرای سیاستهای امنیت سایبری مطابق با نیازهای سازمان
- همسوسازی استراتژیهای امنیتی با اهداف کلان سازمان
- شناسایی، ارزیابی و مدیریت ریسکها و تهدیدات سایبری
- طراحی برنامههای کاهش ریسک و استراتژیهای بازیابی در شرایط بحران
- اطمینان از رعایت استانداردها و مقررات بینالمللی مانند GDPR، HIPAA، PCI DSS و چارچوبهای امنیتی NIST
- ارائه مشاوره امنیتی به مدیران ارشد برای اتخاذ تصمیمات هوشمندانه در زمینه امنیت و سرمایهگذاری
- انجام ممیزیهای داخلی و تهیه گزارشهای انطباق
- برقراری ارتباط موثر با ذینفعان، مدیران و نهادهای قانونی
مهارتهای ضروری متخصصان GRC:
- دانش فنی امنیت سایبری: پروتکلها، رمزنگاری، فایروالها، سیستمهای شناسایی نفوذ و زیرساختهای فناوری اطلاعات
- تحلیل و حل مسئله: توانایی بررسی چالشهای پیچیده و ارائه راهکارهای عملی
- مدیریت ریسک و ارزیابی تهدیدات: شناسایی آسیبپذیریها و طراحی استراتژی کاهش آنها
- آشنایی با مقررات و انطباق: تسلط بر استانداردها و چارچوبهای قانونی بینالمللی
- مهارتهای ارتباطی و همکاری: توانایی تعامل مؤثر با تیمهای داخلی، مدیران و نهادهای قانونی
Please open Telegram to view this post
VIEW IN TELEGRAM