بلاگ / بایگانی ماه «تیر 1400»
باج‌افزار HelloKitty در کمین سرورهای ESXi

مهاجمان HelloKitty از طریق نسخه تحت Linux این باج‌افزار در حال هدف قراردادن سرورهای Vmware ESXi هستند.در اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سی‌دی پروجکت (CD Projekt SA)، به‌عنوان یکی از مطرح‌ترین تولیدکنندگان بازی‌های ویدئویی توجه رسانه‌ها را به این باج‌افزار جلب کرد.ظهور نسخه Linux این باج‌افزار و در نتیجه توانایی آن در رمزگذاری فایل‌های ESXi، دامنه تخریب HelloKitty را به‌شدت افزایش می‌دهد. به‌خصوص آنکه سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.Vmware ESXi یکی از پرطرف‌دارترین بسترهای مجازی‌سازی است. در یک …

ادامه مطلب
ایران، در فهرست اهداف جاسوس‌افزار DevilsTongue

بر اساس گزارش‌های شرکت Microsoft و مؤسسه Citizen Lab در تاریخ ۲۴ تیرماه ۱۴۰۰، یک بدافزار ساخت یکی از شرکت‌های رژیم اشغالگر قدس  Candiru با سوءاستفاده از دو آسیب‌پذیری روز – صفر جدید Windows در حال آلوده‌سازی دستگاه قربانیان به بدافزار DevilsTongue است.Candiru شرکتی با فعالیت‌های مخفی است که دفتر آن در فلسطین اشغالی قرار دارد. نام این شرکت در سال‌های گذشته بصورت مکرر تغییر داده شده است. به گفته Citizen Lab، این شرکت ابزارهای جاسوسی سایبری ساخت خود را فقط به دولت‌ها و نهادهای وابسته به خود در کشورهای مختلف می‌فروشد و این ابزارها قادر به جاسوسی از تلفن‌های همراه دارای سیستم‌عامل‌های iOS و …

ادامه مطلب
اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی ژوئیه

سه‌شنبه ۲۲ تیر، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژوئیه منتشر کرد. این اصلاحیه‌ها در مجموع ۱۱۷ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت ۱۳ مورد از آسیب‌پذیری‌های ترمیم شده، “حیاتی” (Critical)، ۱۰۳ مورد “مهم” (Important) و ۱ مورد “متوسط” (Moderate) اعلام شده‌اند.از مجموع ۱۱۷ آسیب‌پذیری ترمیم شده، ۴۴ مورد از نوع “اجرای کد از راه دور” (Remote Code Execution)، ۳۲ مورد از نوع “افزایش سطح دسترسی” (Privilege Escalation)، ۱۴ مورد از نوع “افشای اطلاعات” (Information Disclosure)، ۱۲ مورد از نوع “منع سرویس” (Denial of Service – به‌اختصار DOS)، ۸ مورد از نوع …

ادامه مطلب
ترمیم آسیب‌پذیری روز- صفر توسط SolarWinds

شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیب‌پذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرع‌وقت، نسبت به نصب به‌روزرسانی مربوطه اقدام کنند.به گزارش مرکز مدیریت راهبردی افتا، این آسیب‌پذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیص‌داده‌شده ضعفی از نوع “اجرای کد از راه دور” (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر می‌پذیرند.به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیب‌پذیری روز – صفر ممکن نخواهد بود.سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:  سولارویندز در توصیه‌نامه زیر به روش‌هایی که از طریق آن‌ها …

ادامه مطلب
نفوذ به Kaseya VSA، نمونه‌ای دیگر از حملات زنجیره تأمین

جمعه۱۱ تیر ماه سال جاری، منابع خبری از درگیر شدن شرکت‌های مختلف در نتیجه آلودگی به باج‌افزار REvil خبر دادند. همه این قربانیان در یک چیز مشترک بودند و آن استفاده مستقیم یا غیرمستقیم از سرورهای Kaseya VSA بود.کاسیا (Kaseya, Ltd) شرکتی فعال در حوزه راهکارهای فناوری اطلاعات است که در ۱۰ کشور جهان حضور مستقیم دارد. به گفته کاسیا بیش از ۴۰ هزار مشتری، حداقل از یکی از محصولات این شرکت استفاده می‌کنند. VSA از جمله محصولات این شرکت برای مدیریت از راه دوره شبکه‌ها و نقاط پایانی است. یکی از کاربردهای اصلی VSA فراهم کردن بستر برای مدیریت نقاط پایانی مشتریان شرکت‌های ارائه‌دهنده …

ادامه مطلب
به‌روزرسانی اضطراری مایکروسافت برای ترمیم آسیب‌پذیری PrintNightmare

شرکت مایکروسافت (Microsoft Corp) اقدام به انتشار به‌روزرسانی اضطراری برای ترمیم‌آسیب‌پذیری جدید CVE-۲۰۲۱-۳۴۵۲۷، معروف به PrintNightmare کرده است. بر اساس گزارش‌های منتشر شده،  این آسیب‌پذیری  از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفته است.CVE-۲۰۲۱-۳۴۵۲۷ از وجود ضعفی در بخش Print Spooler سیستم عامل Windows ناشی می‌شود و بهره‌جویی از آن، مهاجم را قادر به اجرای کد از راه دور با سطح دسترسی SYSTEM می‌کند.به‌روزرسانی منتشر شده به تفکیک سیستم عامل در جدول زیر قابل دسترس است. عنوان سیستم عامل لینک اصلاحیه Windows Server ۲۰۱۲ R۲ (Server Core installation) https://support.microsoft.com/help/۵۰۰۴۹۵۴   https://support.microsoft.com/help/۵۰۰۴۹۵۸   Windows Server ۲۰۱۲ R۲ https://support.microsoft.com/help/۵۰۰۴۹۵۴   https://support.microsoft.com/help/۵۰۰۴۹۵۸   Windows Server ۲۰۱۲ (Server Core …

ادامه مطلب
امکان تصاحب دامین سرور با اکسپلویت آسیب‌پذیری روز – صفر از Windows PrintNightmare

مایکروسافت، PrintNightmare را به‌عنوان یک آسیب‌پذیری روز – صفر تأیید کرد که قبل از به‌روزرسانی‌های امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخه‌های ویندوز تأثیر گذاشته است.به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به  یک آسیب‌پذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را می‌دهد .علی‌رغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان می‌تواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا  به راحتی  بدافزار را در شبکه یک شرکت مستقر کنند.این مسئله Windows Print Spooler را تحت تأثیر قرار می‌دهد و به دلیل …

ادامه مطلب
راهکارهای موقت مایکروسافت برای آسیب‌پذیری روز - صفر PrintNightmare

شرکت مایکروسافت (Microsoft Corp) با انتشار توصیه‌نامه‌ای، راهکارهایی برای مقاوم‌سازی موقت یک آسیب‌پذیری روز – صفر ارائه کرده است. نکته قابل‌توجه این است که مایکروسافت سوءاستفاده قرارگرفتن این آسیب‌پذیری را توسط مهاجمان تأیید کرده است.به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری مذکور با شناسه CVE-۲۰۲۱-۳۴۵۲۷ که تمامی نسخ سیستم عامل Windows را متأثر می‌کند، به PrintNightmare معروف شده است.این آسیب‌پذیری از وجود ضعفی در بخش Print Spooler سیستم‌عامل Windows ناشی می‌شود و بهره‌جویی از آن، مهاجم را قادر به اجرای کد از راه دور با سطح دسترسی SYSTEM می‌کند.این آسیب‌پذیری از جهاتی مشابه با CVE-۲۰۲۱-۱۶۷۵ است که در تاریخ ۱۸ خرداد به همراه مجموعه اصلاحیه‌های …

ادامه مطلب
لزوم غیرفعال کردن Windows Print Spooler بلااستفاده

هشدار به متخصصان و راهبران سیستم، Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمی‌شوند غیرفعال کنیدبه گزارش مرکز مدیریت راهبردی افتا، آژانس امنیت سایبری و زیرساخت (CISA) در مورد آسیب‌پذیری روز – صفر  PrintNightmare در اطلاعیه‌ای به مدیران توصیه می‌کند که سرویس Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمی‌شوند غیرفعال کنند.مدیران فناوری اطلاعات، ضروری است سرویس Spooler Windows Print را در دامین کنترلرها و سیستم‌هایی غیرفعال کنند که برای چاپ استفاده نمی‌شوند. علاوه بر این، مدیران باید روش‌های زیر را از راهنمای مایکروسافت که در ۱۱ ژانویه ۲۰۲۱ منتشر شده استفاده کنند. (لینک زیر) https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler طبق توصیه‌های مایکروسافت، سرویس …

ادامه مطلب
Vmware ESXi، هدف جدید باج‌افزار REvil

برخی منابع خبر داده‌اند گردانندگان باج‌افزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی Vmware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.حدود یک ماه قبل نیز گردانندگان REvil در یک تالار گفتگوی اینترنتی انتشار نسخه تحت Linux این باج‌افزار، با توانایی اجرا بر روی دستگاه‌های NAS را تأیید کرده بودند.نسخه Linux این باج‌افزار فایلی که در قالب ELF۶۴ است و شامل تنظیماتی مشابه …

ادامه مطلب