بلاگ / بایگانی ماه «اردیبهشت 1400»
نگاهی به کمپین اخیر بدافزار مخرب Lemon Duck

در اواخر سال گذشته شرکت مایکروسافت (Microsoft Corp) با انتشار وصله‌هایی اضطراری، چندین آسیب‌پذیری امنیتی، معروف به ProxyLogon را در سرویس‌دهنده ایمیل MS Exchange ترمیم کرد.به گزارش مرکز مدیریت راهردی افتا، هکرها و گردانندگان APT از زمان انتشار وصله‌ها و افشای جزئیات آن، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند. شرکت امنیتی Sophos در گزارشی به بررسی کمپین بدافزار Lemon Duck پرداخته است که در جریان آن، مهاجمان با استفاده از ProxyLogon به اهداف خود نفوذ می‌کنند.بدافزار پیشرفته Lemon Duck برای استخراج ارز دیجیتال بوده و توانسته است سرورهای ایرانی را در مواردی، هدف قرار دهد.شرکت Sophos  تفاوت نمونه اخیر Lemon Duck با نسخه‌های …

ادامه مطلب
هشدارهای امنیتی کیونپ یکی از پس دیگر

به گزارش مرکز مدیریت راهبردی افتا، شرکت کیونپ (QNAP Systems, Inc) هشدار داده که تجهیزات NAS ساخت این شرکت هدف حملات باج‌افزار eCh۰raix قرار گرفته‌اند. کیونپ دستگاه‌های با رمز عبور ضعیف را به این حملات آسیب‌پذیر گزارش کرده است.کارشناسان مرکزافتا توصیه کرده اند تا با لحاظ کردن این موارد، تجهیزات ساخت کیونپ را از گزند این گونه حملات ایمن نگاه دارند:•    استفاده از رمزهای عبور قدرتمند برای حساب‌های کاربری با سطح دسترسی Administrator•    فعالسازی IP Access Protection به‌منظور حفاظت از حساب‌های کاربری در برابر حملات Brute Force•    پرهیز از بکارگیری شماره پورت‌های پیش‌فرض ۴۴۳ و ۸۰۸۰توضیحات بیشتر در توصیه‌نامه امنیتی زیر قابل مطالعه است: https://www.qnap.com/en/security-advisory/QSA-۲۱-۱۸ …

ادامه مطلب
وصله‌های امنیتی مایکروسافت برای ماه می میلادی

شرکت مایکروسافت (Microsoft Corp)، سه‌شنبه، ۲۱ اردیبهشت، مجموعه وصله‌های امنیتی ماهانه خود را برای ماه می میلادی منتشر کرد. وصله‌های مذکور در مجموع ۵۵ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت را در برمی‌گیرد.به گزارش مرکز مدیریت راهبردی افتا: درجه اهمیت ۴ مورد از این آسیب‌پذیری‌ها Critical و ۵۰ مورد Important اعلام شده است.CVE-۲۰۲۱-۳۱۱۶۶ یکی از آسیب‌پذیری‌های بحرانی ترمیم شده توسط وصله‌های ۲۱ اردیبهشت است که از http protocol stack ناشی می‌شود. مهاجم می‌تواند با ارسال یک بسته دست‌کاری شده به سرور مقصد، بدون نیاز به اصالت‌سنجی، اقدام به اجرای کد از راه دور کند. برطبق استاندارد CVSS شدت این آسیب‌پذیری ۹,۸ از …

ادامه مطلب
شناسایی APT مخرب جاسوسی TunnelSnake

بر اساس گزارش کسپرسکی (Kaspersky Lab)، گروهی ناشناس از مهاجمان در جریان یک کمپین APT با عنوان TunnelSnake، حداقل از سال ۲۰۱۹ با به‌کارگیری یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل Windows اقدام می‌کرده‌اند و جاسوسی از آنها همچنان ادامه دارد.به گزارش مرکز مدیریت راهبردی افتا، روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند.این روت‌کیت که کسپرسکی آن را Moriya نام‌گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های موردنظرآنان قادر می‌کند.به طور خلاصه …

ادامه مطلب
ترمیم آسیب‌پذیری بحرانی در یکی از محصولات VMware

این ضعف امنیتی از یک VAMI API غیرمجاز ناشی می‌شود و به مهاجم با دسترسی شبکه‌ای امکان می‌دهد تا از طریق توابع VAMI Upgrade API به بستر مجازی vRealize Business for Cloud دسترسی پیدا کند.شرکت وی‌ام‌ور (VMware, Inc)، چهارشنبه، ۱۵ اردیبهشت، با انتشار به‌روزرسانی، یک ضعف امنیتی “حیاتی” را در vRealize Business for Cloud ترمیم کرد. سوءاستفاده از این باگ، مهاجم را قادر به اجرای کد به‌صورت از راه دور (RCE) بر روی سرورهای آسیب‌پذیر می‌کند.به آسیب‌پذیری مذکور، شناسه CVE-۲۰۲۱-۲۱۹۸۴ تخصیص‌داده‌شده و بر پایه CVSSv۳، شدت حساسیت آن ۹,۸ گزارش شده است.این ضعف امنیتی از یک VAMI API غیرمجاز ناشی می‌شود و به مهاجم با …

ادامه مطلب
ترمیم باگ‌های سیسکو

این نقص امنیتی مهاجمان از راه دور را به اجرای دستورات با دسترسی root یا ایجاد اکانت‌های ادمین، قادر کرده است.ترمیم باگ‌های سیسکو که امکان ایجاد حساب‌های ادمین، اجرای دستورات با دسترسی root را فراهم می‌کندبه گزارش مرکز مدیریت راهبردی افتا، به نقل از پایگاه اینترنتی bleepingcomputer ، سیسکو نقص امنیتی نرم‌افزاری حیاتی در SD-WAN vManage و HyperFlex HX را برطرف کرده است که این نقص امنیتی مهاجمان از راه دور را قادر به اجرای دستورات با دسترسی root یا ایجاد اکانت‌های ادمین کرده است. شرکت سیسکوهمچنین برای آسیب‌پذیری‌های با شدت بالا و متوسط در چندین محصول نرم‌افزاری دیگر را  برطرف کرد که به مهاجمان اجازه می‌دهد …

ادامه مطلب
میلیون‌ها ایمیل سرور Exim در معرض خطر جدی

آسیب‌پذیری‌های حیاتی تازه کشف شده در نرم‌افزار Exim به مهاجمین اجازه می‌دهد تا کد دلخواه خود را از راه دور اجرا کنند و با پیکربندی‌های پیش‌فرض، دسترسی root را در سرورهای ایمیل به دست آورند.تیم تحقیقاتی Qualys  تعداد ۲۱ آسیب‌پذیری امنیتی (۱۰ مورد قابل بهره‌برداری از راه دور و ۱۱ مورد محلی) را شناسایی کرده است که به طور کلی با ۲۱Nails شناخته می‌شوند.همه نسخه‌های منتشر شده قبل از Exim ۴,۹۴.۲ در برابر حملاتی که با بهره‌برداری از ۲۱Nails حاصل می‌شوند آسیب‌پذیر هستند.برخی از آسیب‌پذیری‌ها می‌توانند با هم ترکیب شوند تا یک دسترسی غیرمجاز از راه دور به دست آورند و از امکانات سطح دسترسی …

ادامه مطلب
درایور آسیب‌پذیرDell، صدها میلیون سیستم را در معرض خطر قرار می‌دهد

درایوری که از ۱۲ سال گذشته مصرف‌کنندگان و شرکت‌های استفاده‌کننده از دستگاه‌های رایانه‌ای Dell به سمت آن سوق داده شده، دارای چندین آسیب‌پذیری است که می‌تواند به افزایش دسترسی‌های سیستم منجر شود.به گزارش مرکز مدیریت راهبردی افتا، تخمین زده می‌شود که صدها میلیون رایانه Dell، از رومیزی و لپ‌تاپ تا تبلت، از طریق به‌روزرسانی‌های BIOS درایور آسیب‌پذیر را دریافت می‌کنند. پنج آسیب‌پذیری در قالب یک آسیب‌پذیریمجموعه‌ای از پنج آسیب‌پذیری که به‌طورکلی تحت عنوان CVE-۲۰۲۱-۲۱۵۵۱ می‌باشد، در DBUtil کشف شده یک  درایور دستگاه‌های Dell است که هنگام فرایند به‌روزرسانی BIOS آن را نصب و دانلود می‌کنند و در هنگام راه‌اندازی مجدد بعدی unload می‌شود.به گفته کاسیف …

ادامه مطلب
انتشار PoC برای باگ Microsoft Exchange

نرخ بالای وصله‌های انجام شده و نیاز به احراز هویت، خطر نفوذ را تا حد زیادی کاهش می‌دهد، اما آن را از بین نمی‌برد.PoC یک آسیب‌پذیری با شدت بالا در سرورهای Microsoft Exchange منتشر شد. مهاجمان با بهره‌برداری از این آسیب‌پذیری امکان اجرای کد از راه دور بر روی ماشین‌های آسیب‌پذیر را خواهند داشت.به گزارش مرکز مدیریت راهبردی افتا، این نقص یکی از چهار موردی است که آژانس امنیت ملی (NSA) به مایکروسافت گزارش داد و در ماه آوریل ۲۰۲۱ مایکروسافت مشکل را برطرف کرد.علی‌رغم دشوار بودن بهره‌برداری از این آسیب‌پذیری و نیاز به احراز هویت برای پیاده‌سازی آن، خطری که CVE-۲۰۲۱-۲۸۴۸۲ برای سازمان‌ها ایجاد …

ادامه مطلب
توزیع باج‌افزار با سوءاستفاده از آسیب‌پذیری روز - صفر سونیک‌وال

بر اساس گزارشی از شرکت فایرآی (FireEye, Inc) گروهی از مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-۲۰۲۱-۲۰۰۱۶ در محصولات SonicWall SMA ۱۰۰ به نفوذ در شبکه و توزیع باج‌افزار FiveHands بر روی دستگاه‌ها اقدام کردند.این گروه از مهاجمان که فایرآی از آنها با عنوان UNC۲۴۴۷ یاد کرده قبل از آن که وصله CVE-۲۰۲۱-۲۰۰۱۶ در اواخر فوریه در دسترس قرار بگیرد از این آسیب‌پذیری سوءاستفاده می‌کرده است.در اوایل سال میلادی جاری مشخص شد که مهاجمان از طریق این آسیب‌پذیری روز – صفر به سامانه‌های داخلی سونیک‌وال نفوذ کرده بودند. از آن زمان تاکنون گروه‌های مختلف از مهاجمان از CVE-۲۰۲۱-۲۰۰۱۶ در برخی حملات خود استفاده کرده‌اند.در جریان حمله UNC۲۴۴۷، مهاجمان …

ادامه مطلب