IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

آسیب پذیری

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen - تاکیان

آسیب پذیری خطرناک نشت آیپی کاربر در تلگرام

دیروز تلگرام نسخه جدید خود را با شماره 1.4 برای دسکتاپ منتشر کرد که قابلیت های جدید به ان اضافه شده است. اما یکی از مهمترین ضعف هایی که در این نسخه Patch شده است، امکان نشت اطلاعات مرتبط با IP کاربر ود که جزو یکی از باگ های خطرناک به شمار میرفت.Takian.ir telegram ip leak1
به گزارش ZDNet، تلگرام باگی را  که منجر به نشت اطلاعات آی پی آدرس ها،از طریق  کلاینت دسکتاپ این نرم‌افزار می‌شد را ترمیم کرد و به کاربران تلگرام توصیه شده است تا کلاینت دسکتاپ خود را حتما در اولین فرصت به‌روز کنند تا باگی را که منجر به نشت اطلاعات آی پی آدرس ها در بعضی از سناریو‌ها می‌شد وصله شود.

این باگ توسط یک محقق امنیت هندی کشف شده و توسط تلگرام برای ورژن های تلگرام دسکتاپ۱.۴.۰ و تلگرام دسکتاپ ۱.۳.۱۷ بتا وصله شده است.Takian.ir telegram ip leak2

در شرایط عادی ویژگی تماس صوتی تلگرام از طریق برقراری یک ارتباط نظیر به نظیر (در این مورد آی پی - به - آی پی) ارتباط دو کاربر را برقرار می‌کند و بسته‌های اطلاعاتی این دو را منتقل می‌کند.از لحاظ طراحی یک ارتباط نظیر-به-نظیر (peer-to-peer) یک ارتباط محرمانه نیست، چرا که آدرس آی پی های دو طرف ارتباط را آشکار می‌کند.Takian.ir Telegram Bug Bounty

انتخاب پیش‌فرض برای برقراری تماس صوتی در تلگرام، یک ارتباط نظیر-به -نظیر با همه مخاطبان کاربر است چراکه این نوع ارتباط کارایی بسیار خوبی دارد، پس این بدان معناست که تلگرام آدرس آی پی کاربران را به کسانی که تاکنون به عنوان مخاطب خود اضافه کرده اند از طریق تماس صوتی نشان می‌دهد.اما از آنجا که تلگرام اسمی تحت عنوان «اپلیکیشن چت ایمن ناشناس» را یدک می کشد، این شرکت مکانیزمی برای پوشاندن (maskکردن) آدرس آی پی کاربران وقتی با یکدیگر تماس می‌گیرند، اضافه کرده است (این مکانیزم تحت عنوان آپشن "nobody" وجود دارد که با فعال شدن به  اپ تلگرام می‌گوید هرگز از یک ارتباط نظیر-به نظیر برای برقراری تماس صوتی استفاده نکند.)حال این محقق هندی گفته است که آپشن"nobody"‌ فقط در کلاینت موبایل تلگرام موجود است و نه در کلاینت دسکتاپ آن به این معنی که تمامی تماس هایی که از طریق کلاینت دسکتاپ این اپ برقرار می‌شوند آدرس آی پی کاربرها را نشت می‌دهند.

این باگ جزو یکی از باگ های خطرناک محسوب می‌شود بخصوص برای افراد مهمی همچون سیاستمداران،روزنامه نگاران و فعالان حقوق بشر که از تلگرام به خاطر مسائل حریم شخصی و ناشناس بودن استفاده می‌کنند.
البته ایرانی ها نباید خیلی بابت این باگ نگرانی داشته باشند، زیرا با توجه به فیلتر بودن تلگرام، آدرس IP سرورهای VPN و فیلترشکن ها ثبت خواهد شد. اما به هر حال برای رفع نگرانی، فعلا در قسمت Voice Calls، گزینه Peer-to-Peer را بر روی Nobady قرار دهید.Takian.ir telegram ip leak Peer to Peer

------------------------------------

اخبار تکمیلی: موسس تلگرام آقای پاول دورف در کانال رسمی خود در این مورد توشیحاتی را ارائه داده است:Takian.ir telegram ip leak response

Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.Some tech media reported that the Telegram Desktop app wasn’t secure because it “leaked IP addresses” when used to accept a voice call.
The reality is much less sensational – Telegram Desktop was at least as secure as other encrypted VoIP apps even before we improved it by adding an option to disable peer-to-peer calls. As for Telegram calls on mobile, they were always more secure than the competition, because they had this setting since day one.
During a peer-to-peer (P2P) call, voice traffic flows directly from one participant of a call to the other without relying on an intermediary server. P2P routing allows to achieve higher quality calls with lower latency, so the current industry standard is to have P2P switched on by default. 
However, there’s a catch: by definition, both devices participating in a P2P call have to know the IP addresses of each other. So if you make or accept a call, the person on the other side may in theory learn your IP address. 
That’s why, unlike WhatsApp or Viber, Telegram always gave its users the ability to switch off P2P calls and relay them through a Telegram server. Moreover, in most countries we switched off P2P by default. 
Telegram Desktop, which is used in less than 0.01% of Telegram calls, was the only platform where this setting was missing. Thanks to a researcher who pointed that out, we made the Telegram Desktop experience consistent with the rest of our apps.
However, it is important to put this into perspective and realize that this is about one Telegram app (Telegram Desktop) being somewhat less secure than other Telegram apps (e.g. Telegram for iOS or Android). If you compare Telegram with other popular messaging services out there, unfortunately, they are not even close to our standards. 
Using the terminology from the flashy headlines, WhatsApp, Viber and the rest have been “leaking your IP address” in 100% of calls. They are still doing this, and you can't opt out. The only way to stop this is to have all your friends switch to Telegram.

اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی

به گزارش مرکز ماهر، در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در غالب startup-config مشاهده گردید:Takian.ir smart install client Cisco

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید. تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان منتشر خواهد شد.

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

خطر حمله به سیستم‎های سازمانی در آسیب‌پذیری‌های Gemalto

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Takian - gemalto to implement new identification security system in cameroon

تعداد قابل توجهی از سیستم‌های صنعتی و شرکت‌های بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Gemalto Sentinel LDK یک نرم‌افزار امنیتی است که ارگان‌های بسیاری در سراسر جهان چه سازمان‌ها و چه ICSها (سیستم‌های کنترل صنعتی) از آن استفاده می‌کنند. این راهکار علاوه بر اجزای نرم‌افزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم می‌کند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.
به گزارش کسپرسکی آنلاین، محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب می‌شوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرم‌افزارهای شخص ثالث ارائه می‌گردد و پورت 1947 به لیست استثناها در فایروال ویندوز اضافه می‌شود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم می‌گردد.
کارشناسان در مجموع 14 آسیب‌پذیری را در اجزای Sentinel یافته اند که این آسیب پذیری‌ها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان می‌دهد. از آنجا که پورت 1947 اجازه دسترسی به سیستم را می‌دهد این آسیب‌پذیری و نقوص می‌تواند توسط یک مجرم از راه دور اکسپلویت شود.
کسپرسکی پس از این موضوع تصمیم به آنالیز نرم‌افزار گرفت. تحقیقات نشان داد که مجرمان می‌توانند شبکه را برای پورت 1947 شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند می‌توانند دستگاه‌ها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) می‌توانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه‌ خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه می‌دهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.
یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال 2016 و اوایل سال 2017 کشف شد و سه مورد دیگر آنها در ماه ژوئن سال 2017 یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه 7.6 خود را منتشر ساخت. در اواخر ژوئن سال 2017 تعدادی از آسیب پذیری‌ها پچ شد اما این در حالی بود که Gemalto  از میزان خطرات این آسیب پذیری‌ها و آپدیت‌های لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرم‌افزاری که از این لایسنس‌ها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخه‌های دارای مشکل هستند.
علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه می‌کند که پورت 1947 خود را در صورتی که برای فعالیت‌های خاصی از آن استفاده نمی‌کنند، ببندند.
در حالی که تعداد دقیق دستگاه‌های مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال 2011 Frost و Sullivan نشان می‌دهد که SafeNet Sentinel 40 درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و 60 درصد در اروپا دارد.
آسیب‌پذیری نرم‌افزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرم‌افزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص می‌تواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.
Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرم‌افزار آسیب‌پذیر Gemalto در افزونه‌های SIMATIC WinCC که در سال 2015 و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.
Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT  لابراتوار کسپرسکی هشدار داد که "با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکن‌ها نه تنها در محیط‌های سازمان‌ها بلکه در مکان‌های حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکه‌های بحرانی و حیاتی می‌توانند به راحتی توسط این آسیب‌پذیری دچار آلودگی و در معرض خطر قرار گیرند.

داستان تکراری هک سایت های داخلی این بار با 140 سایت

به نقل از سایت ماهر، چندی پیش هم‌زمان با فرارسیدن سالروز پیروزی انقلاب اسلامی خبری مبنی بر حمله سایبری به تعدادی از پورتال‌ها و سایت های خبری نظیر روزنامه‌های قانون، آرمان و ستاره صبح رسانه‌ای شد که بنا بر گزارش مرکز ماهر، ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) گزارش شد.Takian.ir Hacking 140 internal sites

حال با گذشت کمتر از 15 روز از انتشار این گزارش و این حمله سایبری، بار دیگر 140 سایت داخلی مورد هجوم نفوذگران اینترنتی قرار گرفته است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با بیان اینکه در پی هک بیش از 140 وب‌سایت داخلی در روز جمعه مورخ 1396/12/04 این مرکز موضوع را سریعاً مورد بررسی قرار داد، اعلام کرده است: اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام دادیم.

براساس این اطلاعیه، سایت های مورد حمله همگی بر روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده به صورت محدود و تنها شامل بارگزاری یک فایل متنی بوده است.

وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب‌ناپذیر اما لازم است که تولید‌کنندگان نرم‌افزار و مدیران راهبر سیستم ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر بگیرند.

سوء استفاده هکرها از تلگرام جهت استخراج ارز دیجیتال

به گزارش سایت رویترز، شرکت روسی کسپرسکی به تازگی از وجود یک آسیب پذیری روز صفرم در تلگرام دسکتاپ خبر داد که نوعی درب پشتی است که از مارس 2017 برای استخراج بیت کوین به کار میرفت.

Takian.ir Telegram bug

 شایان ذکر است این روزها، استخراج بیت کوین از طریق بدافزارها، بسیار رونق گرفته است. کسپرسکی افزود شرکت تلگرام را از وجود این آسیب پذیری مطلع کرده است.

محققان کسپرسکی می گویند در این آسیب پذیری از متد راست به چپ(مخصوص زبان هایی که از راست به چپ مانند عربی و عبری نوشته می شوند) استفاده شده است.

هکرها از آسیب پذیری مذکور، برای ارسال بدافزار استخراج بیت کوین استفاده کردند که این امکان را برای آنان فراهم کرد که بتوانند از دستگاه قربانی ماینینگ بیت کوین یا ارزهای دیجیتال دیگر انجام دهند.

سناریوی بعدی هکرها، استفاده از درب پشتی روی سیستم قربانی برای دسترسی از راه دور بود. کسپرسکی مدعی شد مجرمان سایبری که از این آسیب پذیری استفاده می کرند، روسی بودند.

نشت اطلاعات و فروش اطلاعات کاربران موبایل با یک حفره امنیتی

به گزارش سایت هکرید، بر اساس اعلام یک دانشجوی علوم کامپیوتر، اطلاعات مربوط به مکان جغرافیایی کاربران گوشی‌های هوشمند تحت تاثیر یک حفره امنیتی موجود در وب سایت شرکت LocationSmart افشا شده است.

Takian.ir LocationSmart vulnerability leaking tracking data

این روزها که بازار آسیب‌پذیری و ضعف‌های رایانه‌ای به شدت رونق گرفته و اطلاعات شخصی کاربران را تهدید می‌کند، شرکت‌های توسعه‌دهنده و غول‌های تکنولوژی بسیاری نیز به دنبال برطرف کردن این موانع و مشکلات سایبری هستند و در  این راستا نسخه‌های به‌روزرسانی جدیدی را منتشر می‌کنند. شرکت LocationSmart مستقر در شهر سان دیاگو، با استفاده از یک آسیب پذیری و ضعف امنیتی موجود بر روی وب سایت خود توانسته است به لوکیشن یا مکان جغرافیایی کاربران گوشی‌های هوشمندی که از اپراتورهای آمریکایی ورایزن، تی – موبایل، اسپرینت و AT&T و اپراتورهای کانادیی Rogers، Bell و Telus تهیه و خریداری شده بودند، دسترسی پیدا کند.

این دانشجوی فعال در زمینه امنیت سایبری و علوم کامپیوتر که رابرت شیائو نام دارد، مدعی شده که وب سایت شرکت مذکور با آسیب پذیری و حفره امنیتی که داشته است، توانسته حریم شخصی کاربران گوشی‌های هوشمند را نقض کرده و به اطلاعات خصوصی آن‌ها دسترسی یابد. به گفته وی، این اطلاعات مربوط به مکان جغرافیایی تا مسافت چندین کیلومتری کاربران قابل دسترسی، مشاهده و ردیابی بوده است.

سوالی که ممکن است برای بسیاری از مردم در اینجا پیش بیاید آن است که دلیل  سوءاستفاده برخی شرکت‌ها نظیر LocationSmart از اطلاعات مردم چیست؟

در پاسخ به این سوال باید گفت که کارشناسان فعال در این حوزه بر این باورند یکی از این دلایل می تواند فروش مکان جغرافیایی کاربران به شرکت ها و سازمان هایی باشد که می خواهند آنها را ردیابی کنند. که این امر بیشتر به نظر می رسد به درد نهادهای امنیتی و اطلاعاتی بخورد که به دنبال افراد می گردند.

یکی دیگر از این دلایل می تواند فروش اطلاعات کاربران نظیر مکان جغرافیایی‌شان به شرکت‌های تبلیغاتی برای ارسال پیامک و ایمیل‌های مرتبط با محل زندگی و کار آنها باشد که این احتمال نیز بسیار قوی بوده و موجب درآمدزایی و سودآوری بسیار زیادی برای این شرکت می شود.

مدت‌هاست که ضعف‌ها و حفره‌های امنیتی اسپکتر و ملت داون کشف شده در پردازنده‌های ساخته شده توسط شرکت اینتل که از سال ۱۹۹۵ به بعد وجود داشته و باعث شده هکرها به اطلاعات ذخیره شده برروی حافظه رایانه‌ها دسترسی پیدا کنند، مورد بحث‌های فراوانی قرار گرفته است.

این ضعف‌ها به هکرها اجازه می‌داد علاوه بر سرقت کلمات و رمز عبور کاربران، تمامی اطلاعات ذخیره شده موجود بر حافظه، پردازنده رایانه و گوشی‌های همراه را به سرقت برده و از آن سوءاستفاده کنند و این سطح از دسترسی موجب می‌شد به تراشه‌های دیگری همچون ای ام دی و ای آر ام نیز دسترسی یابند.

ویروس ADB.minner دستگاه های اندرویدی را هدف گرفته است

به گزارش سایت scmagazine ، ارزش ارزهای دیجیتالی رمزگذاری شده، به تازگی با نوسان‌های شدیدی همراه بوده و حالا روندی تا حدودی صعودی به خود گرفته است. در این بین اما به نظر می‌رسد مجرمان سایبری از اینکه می‌توانند با استفاده از سخت‌افزارهای مختلف قربانیان به استخراج این ارزها دست بزنند راضی و خشنود به نظر می‌رسند. این امر معمولاً در قالب وجود پلاگین‌های ماینینگ این ارزها که روی وب‌سایت‌های مختلف قرار گرفته‌اند عملی می‌شود. این در حالی است که به تازگی بدافزار اندرویدی جدیدی در حال گسترش است که از سخت‌افزار گوشی هوشمند شما برای استخراج این ارزها استفاده می‌کند.Takian.ir androidmalware ADBminer

این بدافزار که با عنوان ADB.Miner شناخته می‌شود اولین‌بار توسط شرکت امنیتی چینی Qihoo 360 Netlab رصد شد. محققان گزارش کرده‌اند این بدافزار، توانایی انتقال به دستگاه‌های دیگر را از طریق شبکه وای‌فای داراست. پیشوند ADB در نام این بدافزار در واقع به روشی که برای انتشار این کد مخرب استفاده شده یعنی Android Debug Bridge اشاره دارد. این کد مخرب در واقع ابزاری برای توسعه‌دهندگان است که در اندروید ادغام شده و امکان برقراری ارتباط با یک دستگاه را از طریق رابط کاربری خط فرمان فراهم می‌کند. در این مورد خاص، توسعه‌دهندگان بدافزار یادشده از این ابزار، علیه کاربران استفاده کرده‌اند.

ADB.Miner از طریق اپلیکیشن‌های آلوده یا همان فایل‌های APK که در فروشگاه‌های نرم‌افزاری غیررسمی شاهد هستیم منتشر می‌شود. Qihoo 360 Netlab مدعی شده این بدافزار در تعدادی از نرم‌افزارهایی مخفی شده که مدعی هستند کاربر را در مقابل ویروس‌ها محافظت می‌کنند. در صورت آلودگی دستگاه اندرویدی شما به این بدافزار، ADB.Miner از توان پردازشی دستگاه شما برای استخراج ارز دیجیتالی رمزگذاری شده Monero و انتقال آن به کیف پول دیجیتالی توسعه دهنده این بدافزار استفاده می‌کند. امری که به ایجاد وقفه‌های پی در پی در عملکرد گوشی هوشمند شما و همچنین خالی شدن سریع باتری منجر خواهد شد.

فاز بعدی حمله، چشمگیرتر خواهد بود. در این بخش، ADB.Miner از کد بدافزار Mirai IOT که در سال گذشته میلادی شاهد گسترش آن بودیم استفاده می‌کند. به این ترتیب، بدافزار به اسکن شبکه‌های وای‌فای پرداخته تا با استفاده از حفره‌های امنیتی موجود در دستگاه‌ها، فرایند آلوده‌سازی را از طریق ADB انجام دهد. این در حالی است که ADB به طور پیش‌فرض روی تمامی دستگاه‌های اندرویدی غیرفعال شده است و به فرایندی چند مرحله‌ای برای فعال‌سازی آن نیاز خواهد بود. دستگاه‌ قربانی باید به نحوی پیکربندی شوند که ADB روی پورت ۵۵۵۵ برای آن‌ها فعال شده باشد. امری که به فرایند پیکربندی جداگانه‌ای پس از فعال‌سازی ADB نیاز خواهد داشت. با آلوده کردن دستگاه قربانی مورد نظر، توسعه‌دهندگان بدافزار می‌توانند مجموعه‌ای از دستگاه‌های دیگر را هم برای تولید ارزهای دیجیتالی رمزگذاری شده از طریق فرایند ماینینگ، آلوده کنند.

Qihoo 360 Netlab مدعی شده تعداد دستگاه‌های اندرویدی که تا کنون آلوده شده‌اند به هزاران مورد می‌رسد که اکثر آن‌ها متعلق به کاربران چین و کره جنوبی است.

پژوهشگران از یک آسیب پذیری Zero-Day پرده برداشتند که همه نسخ ویندوز آلوده آن هستند

به گزارش سایت دهکرنیوز، یک محقق امنیتی یک آسیب پذیری روزصفر (Zero-Day) را بصورت عمومی منتشر کرد که تمامی نسخه ای سیستم عامل ویندوز (حتی نسخه ای سرور) به آن آلوده هستند.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows

این افشاگری پس از اتمام مهلت 120 روزه به شرکت مایکروسافت برای افشاء این آسیب پذیری و قبول مسئولیت انجام شد.

این بآسیب پذیری که توسط Lucas Leong از تیم تحقیقاتی Trend Micro Security کشف شده است، یک آسیب پذیری روزصفر است که در موتور پایگاه داده مایکروسافت جت (Microsoft Jet Database Engine) قرار دارد و به مهاجم اجازه میدهد که کد مخرب را از راه دور بر روی هر سیستم دارای سیستم عامل ویندوز اجرا نماید.

موتور پایگاه داده مایکروسافت جت یا به زبان سادهJET (Joint Engine Technology)، موتور پایگاه داده یکپارچه در چندین محصول مایکروسافت است، از جمله Microsoft Access و Visual Basic.

با توجه به توصیه های منتشر شده توسط Zero Day Initiative (ZDI)، این آسیب پذیری ناشی از مشکلی در مدیریت شاخص ها (indexes) در موتور پایگاه داده جت است که اگر با موفقیت مورد سوء استفاده قرار گیرد، می تواند موجب نوشتن بر روی حافظه خارجی (out-out-bounds memory) گردیده و درنتیجه کد از راه دور اجرا گردد.

روش کار به این صورت است که مهاجم باید کاربر (هدف) را به باز کردن یک فایل پایگاه داده ویژه JET متقاعد کند تا مهاجم بتواند با استفاده از این آسیب پذیری، کدهای مخرب را از راه دور بر روی سیستم کاربر(هدف) اجرا نماید.

به گفته محققان ZDI، این آسیب پذیری در همه نسخه های ویندوز پشتیبانی شده از جمله ویندوز 10، ویندوز 8.1، ویندوز 7 و ویندوز سرور نسخه 2008 تا 2016 وجود دارد.

تیم ZDI این آسیب پذیری را در تاریخ 8 مه به مایکروسافت گزارش کرد و غول تکنولوژی این خطا را در 14 مه تایید کرد اما موفق به پاکسازی این آسیب پذیری نشد و قرارشد در یک مهلت 120 روز (4 ماه) به روز رسانی را منتشر کند و پس از این مدت تیم ZDI این آسیب پذیری را با جزییات منتشر کرد.
کدهای Exploit بهره برداری از این آسیب پذیری نیز توسط صفحه GitHub تیم Trend Micro منتشر شده است.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows exploit

مایکروسافت در حال کار بر روی یک پچ برای رفع این آسیب پذیری است و از آنجایی که در پچ های ماه سپتامبر عرضه نشده است، باید منتظر باشیم تا مایکروسافت در ماه اکتبر (یعنی اواسط مهرماه) این پچ را ارئه نماید.

تیم Trend Micro به همه کاربران آسیب دیده توصیه می کند تا زمان ارائه پچ توسط مایکروسافت، محدودیت هایی را بر روی برنامه هایی که با JET در تعامل هستند، اعمال نمایند .

کشف آسیب‌پذیری‌ روز صفر در محصولات Manage Engine

به گزارش سایت Digital Defense ،طبق بررسی‌های اخیر در رابطه با شناسایی آسیب‌پذیری‌های موجود این را نشان می‌دهد که این آسیب‌ها توسط یک مهاجم قابل می‌تواند مورد سوءاستفاده قرار بگیرد. ازجمله محصولات و سرویس‌های تحت تأثیر می‌توان به ServiceDesk Plus، Service Plus MSP، OpManager، مدیریت تنظیمات شبکه، OpUtils و بررسی NetFlow اشاره کرد.

Takian.ir ManageEngineIT360ProductOverview

ManageEngine دارای بیش از 40000 کاربر در سراسر دنیا است که به دنبال فراهم کردن راه حل‌های کامل برای مدیریت فناوری اطلاعات در این زمینه است.

بررسی‌ها نشان می‌دهد که یکی از آسیب‌پذیری‌ها روی نرم‌افزار Help Desk ManageEngine ServiceDesk Plus شناسایی‌شده است که مهاجمان با استفاده از بارگذاری فایل‌های مخرب روی پوسته جاوا اسکریپت فعالیت مخرب خود را اجرا کرده‌اند؛ و از آن برای اجرای دستورات دلخواه استفاده کنند. در ادامه کارشناسان در بررسی‌های خود چندین آسیب‌پذیری دیگر را شناسایی کردند که شامل اجرای کدهای SQL توسط مهاجم غیرقابل‌اعتماد است که باعث کنترل کامل یک برنامه می‌شود.

این محصولات توسط گروه تحقیقاتی شرکت نام‌برده شناسایی‌شده است که توسط این تجهیزات آلوده اطلاعات شخصی کاربر که شامل نام کاربری، شماره تلفن و آدرس ایمیل توسط مهاجم مورد سوءاستفاده قرارگرفته شده است.

امروزه آسیب‌پذیری‌های لایه‌های نرم‌افزار به عنوان یکی از اصلی‌ترین نقاط آسیب‌پذیر در نرم‌افزارها و تجهیزات به شمار می‌روند.

ManageEngine بلافاصله به‌روزرسانی‌های امنیتی را برای رفع آسیب‌پذیری‌های کشف‌شده توسط محققان در گزارش دفاعی خود منتشر کرد.

کشف یک آسیب پذیری Zero day خطرناک در ویندوز

دیروز (1397/03/08) متخصصین کمپانی TelSPACE مستقر در ژوهانسبورگ آفریقای جنوبی، یک آسیب پذیری خطرناک را ثبت کردند که به مهاجمان اجاز میدهد کد خود را از راه دور در سیستم عامل ویندوز اجرا نمایند.Takian.ir zero day in jscript windows

این آسیب پذیری که با رتبه 6.8 و بنام (0Day) Microsoft Windows JScript Error Object Use-After-Free Remote Code Execution Vulnerability در اینجابه ثبت رسیده است به مهاجمان اجازه میدهد که از راه دور، کد دلخواه خود را در ویندوز های آسیب پذیر مایکروسافت اجرا نمایند.

البته این آسیب پذیری به تنهایی عمل نکرده و نیازمند تعال با کاربر است بگونه ای که کاربر حتما باید صفحه آلوده شده را مشاهده نموده یا یک فایل آلوده را باز نماید.این نقص خاص در Error Object از JScript وجود دارد و مهاجم با انجام اقداماتی در اسکریپت میتواند پس از آزاد شدن یک Pointer ، مجددا آنرا بکار گرفته و برای اجرای کد خود از ان استفاده کند.این آسیب پذیری به طور عمومی و بدون Patch مطابق با مهلت 120 روزه افشا شده است.

01/23/2018 - ZDI sent the vulnerability report to the vendor
01/23/2018 - The vendor acknowledged and provided a case number
04/23/2018 - The vendor replied that they were having difficulty reproducing the issue report without POC
04/24/2018 - ZDI confirmed the POC was sent with the original and sent it again
05/01/2018 - The vendor acknowledged receipt of the POC
05/08/2018 - The vendor requested an extension
05/18/2018 - ZDI replied "We have verified that we sent the POC with the original. The report will 0-day on May 29."

در حال حاضر، با توجه به ماهیت آسیب پذیری ، تنها راهبرد برای کاهش قابل توجه آسیب های این آسیب پذیری، این است که تنها فایل های قابل اعتماد را استفاده نموده و از کار کردن با وبسایت ها و برنامه های غیرمطمئن خودداری گردد.