بلاگ / بایگانی نویسنده «رضا فتاح»
اصلاحیه‌های امنیتی ۵۰گانه مایکروسافت برای ژوئن ۲۰۲۱

شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژوئن منتشر کرد. به گزارش مرکز مدیریت راهبردی افتا، اصلاحیه‌های مایکروسافت در مجموع ۵۰ آسیب‌پذیری Windows و دیگر محصولات مختلف این شرکت را ترمیم می‌کنند.درجه اهمیت ۵ مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و ۴۵ مورد “مهم” (Important) اعلام شده است.                  تفکیک وصله‌های منتشر شده مایکروسافت در ماه ژوئن ۲۰۲۱ از میان ۵۰ آسیب‌پذیری اعلام شده مایکروسافت، ۷ آسیب‌پذیری ترمیم شده از نوع روز – صفر هستند که از حداقل ۶ مورد آنها، از مدتی قبل مهاجمان سوءاستفاده می‌کرده‌اند؛ لذا اعمال فوری به‌روزرسانی‌ها و وصله‌های امنیتی مربوط اکیداً …

ادامه مطلب
سرورهای آسیب‌پذیر vCenter، هدف بدافزار FreakOut

تحقیقات جدید نشان می‌دهد نسخ جدید بدافزار FreakOut قادر به آلوده‌سازی سرورهای آسیب‌پذیر VMware vCenter هستند.به گزارش مرکز مدیریت راهبردی افتا، FreakOut که با نام‌های Necro و N۳Cr۰m۰rPh نیز شناخته می‌شود، بدافزاری مبتنی بر Python است که دستگاه‌های Windows و Linux را هدف قرار می‌دهد.اولین‌بار در زمستان سال گذشته، چک پوینت با انتشار گزارش زیر جزئیات این بدافزار را به‌صورت عمومی منتشر کرد: https://research.checkpoint.com/۲۰۲۱/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/ FreakOut اسکریپتی مبهم ‌سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایل‌های مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه می‌دارد.این بدافزار با بهره‌گیری از چندین آسیب‌پذیری در …

ادامه مطلب
سرورهای Exchange هدف باج‌افزار Red Epsilon

بر اساس گزارشی که شرکت امنیتی Sophos آن را منتشر کرده گردانندگان باج‌افزار Red Epsilon با هدف قراردادن سرورهای آسیب‌پذیر Exchange اقدام به رخنه به شبکه قربانی و رمزگذاری فایل‌ها می‌کنند.به گزارش مرکز مدیریت راهبردی افتا، در جریان حملات این باج‌افزار از چندین اسکریپت و یک ابزار تجاری دسترسی از راه دور بهره گرفته شده است.احتمال داده می‌شود که مهاجمان، ProxyLogon را به‌منظور سوءاستفاده از چندین آسیب‌پذیری حیاتی در Exchange به خدمت گرفته باشند.ProxyLogon مجموعه آسیب‌پذیری‌هایی در سرویس‌دهنده ایمیل MS Exchange است که Microsoft در ۱۲ اسفند اصلاحیه‌های اضطراری برای ترمیم آنها منتشر کرد. از زمان انتشار اصلاحیه‌ها و افشای جزئیات آن، هکرهای مستقل و …

ادامه مطلب
هک دستگاه‌های VPN Pulse Secure

محققان امنیت سایبری در تیم امنیتی FireEye’s Mandiant اخیراً نسخه جدیدی از بدافزار را شناسایی کرده‌اند که دستگاه‌های VPN Pulse Secure را هدف قرار می‌دهد.به گزارش مرکز مدیریت راهبردی افتا، این دستگاه‌ها و راه‌حل‌های ارائه شده توسط شبکه خصوصی مجازی Pulse Secure (VPN) توسط چندین سازمان به طور گسترده استفاده می‌شود تا شبکه‌ها و سیستم‌های IT داخلی خود را از حملات سایبری ایمن نگه دارند. پیش‌ازاین، تیم FireEye’s Mandiant در تاریخ ۲۰ آوریل ۲۰۲۱، ۱۲ خانواده مختلف بدافزار را گزارش داد و همچنین ادعا کرد که با سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری، هکرها حملات سایبری علیه چندین نهاد  دفاعی، مالی و دولتی را انجام دادند.علاوه بر …

ادامه مطلب
بهره‌برداری مهاجمان سایبری از آسیب‌پذیری‌های Fortinet

مطابق گزارش اخیر FBI، گروه APT یا هکرهای حامی دولت از نقاط ضعف موجود در VPNهای به‌روز نشده Fortinet  از یک وب سرور متعلق به یکی از شهرداری‌های آمریکا سوءاستفاده کردند.گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند.طبق گفته FBI، گردانندگان APT در حال ساختن حساب‌های “WADGUtilityAccount” و “elie” در سیستم‌های هک شده از ارگان‌های دولت‌های محلی هستند، تا از آنها برای جمع‌آوری اطلاعات شبکه آسیب‌دیده قربانیان استفاده کنند.دو سازمان  FBI و CISA  در ماه آوریل نیز در مورد حملات گردانندگان APT  با سوءاستفاده از چندین آسیب‌پذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.آسیب‌پذیری‌هایی که به طور …

ادامه مطلب
سامانه‌های صنعتی، هدف مهاجمان بیشتر

یافته‌های جدید نشان می‌دهد که اجرای حملات نه‌چندان پیچیده و مبتنی بر روش‌های معمول بر ضد پروسه‌های کنترلی در سامانه‌های صنعتی، رو به افزایش است.به گزارش مرکز مدیریت راهبردی افتا، شرکت فایرآی (FireEye, Inc) سه‌شنبه، ۴ اردیبهشت گزارشی را منتشر کرد که در آن به حملاتی پرداخته شده است که در جریان آنها پروسه‌های کنترلی به‌ویژه نرم‌افزارها و سخت‌افزارهای موسوم به OT (فناوری عملیاتی) نظیر PLC و SCADA هدف قرار گرفته‌اند.درحالی‌که در برهه‌ای، حمله به پروسه‌های کنترلی، به دلیل دشواری دسترسی به آنها پیچیده به نظر می‌آمد، اکنون مدتی است که در معرض قرارگرفتن این پروسه‌ها و وجود آسیب‌پذیری در آنها و به‌طورکلی گسترده‌تر شدن …

ادامه مطلب
هشدار VMware در خصوص حفره امنیتی vCenter

شرکت وی‌ام‌ور (VMware, Inc) با انتشار توصیه‌نامه، نسبت به وجود یک آسیب‌پذیری “حیاتی” در یکی از افزونه‌های پیش‌فرض vCenter Server هشدار داده است.vCenter، راهکار وی‌ام‌ور برای مدیریت سرورهای مجازی شده و ماشین‌های مجازی، از طریق یک کنسول واحد و متمرکز است.آسیب‌پذیری مذکور با شناسه CVE-۲۰۲۱-۲۱۹۸۵ ضعفی از نوع “اجرای کد به‌صورت از راه دور” (RCE) است که از عدم اعتبارسنجی صحیح ورودی‌های افزونه Virtual SAN Health Check ناشی می‌شود. افزونه مذکور به‌طور پیش‌فرض بر روی سرورهای vCenter فعال است.vSAN، حتی در صورت فعال نبودن، نسخ ۶,۵، ۶.۷ و ۷.۰ سرور vCenter را در معرض خطر قرار می‌دهد.شدت این آسیب‌پذیری ۹,۸ از ۱۰ (بر طبق استاندارد …

ادامه مطلب
تداوم آسیب‌پذیریWinRM در برابرCVE-۲۰۲۱-۳۱۱۶۶

نتایج بررسی محققان نشان می‌دهد که آسیب‌پذیری CVE-۲۰۲۱-۳۱۱۶۶ سرویس WinRM در نسخ ۲۰۰۴ و ۲۰H۲، سیستم‌های‌عامل Windows ۱۰ و Windows Server را نیز متأثر می‌کند. پیش‌تر تصور می‌شد دامنه این آسیب‌پذیری فقط به سرویس IIS محدود است.به گزارش مرکز مدیریت راهبردی افتا، WinRM جزئی از Windows Hardware Management محسوب می‌شود.CVE-۲۰۲۱-۳۱۱۶۶ از فایل HTTP.sys ناشی می‌شود.سرویس‌دهنده IIS از HTTP.sys به‌عنوان یکListener  برای پردازش درخواست‌های HTTP استفاده می‌کند.مایکروسافت ۲۱ اردیبهشت ۱۴۰۰ وصله CVE-۲۰۲۱-۳۱۱۶۶ را منتشر کرد.این شرکت اعلام کرده است که سوءاستفاده از این آسیب‌پذیری امکان اجرای کد از راه دور را میسر می‌کند. پس از انتشار جزئیات CVE-۲۰۲۱-۳۱۱۶۶، مشخص شد که سرویس WinRM در سیستم عامل‌های Windows …

ادامه مطلب
به‌روزرسانی‌ها و وصله‌های منتشر شده در اردیبهشت ۱۴۰۰

به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی برای برخی محصولات ۱۱ شرکت، در اردیبهشت ۱۴۰۰، منتشر شده است. به‌گزارش مرکز مدیریت راهبردی افتا، این شرکت‌ها شامل  مایکروسافت، سیسکو، وی‌اِم‌وِر، بیت‌دیفندر، سونیک‌وال، جونیپر نت‌ورکز، اس‌آپ، سامبا، وردپرس، دروپال و اگزیم است که به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی برای برخی محصولات خود ارائه کرده‌اند.در این فرصت ، به بررسی به‌روزرسانی‌ها و توصیه‌نامه‌های امنیتی اردیبهشت ۱۴۰۰ می‌پردازیم: مـایـکـروسـافـتشرکت مایکروسافت مجموعه وصله‌های امنیتی ماهانه خود را ۲۱ اردیبهشت، برای ماه میلادی می منتشر کرد. وصله‌های مذکور در مجموع ۵۵ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.درجه اهمیت چهار مورد از این آسیب‌پذیری‌ها بحرانی  و ۵۰ مورد بالا اعلام شده که …

ادامه مطلب
نگاهی به کمپین اخیر بدافزار مخرب Lemon Duck

در اواخر سال گذشته شرکت مایکروسافت (Microsoft Corp) با انتشار وصله‌هایی اضطراری، چندین آسیب‌پذیری امنیتی، معروف به ProxyLogon را در سرویس‌دهنده ایمیل MS Exchange ترمیم کرد.به گزارش مرکز مدیریت راهردی افتا، هکرها و گردانندگان APT از زمان انتشار وصله‌ها و افشای جزئیات آن، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند. شرکت امنیتی Sophos در گزارشی به بررسی کمپین بدافزار Lemon Duck پرداخته است که در جریان آن، مهاجمان با استفاده از ProxyLogon به اهداف خود نفوذ می‌کنند.بدافزار پیشرفته Lemon Duck برای استخراج ارز دیجیتال بوده و توانسته است سرورهای ایرانی را در مواردی، هدف قرار دهد.شرکت Sophos  تفاوت نمونه اخیر Lemon Duck با نسخه‌های …

ادامه مطلب