کانال تخصصی امنیت سایبری «کتاس»

17 December 2022 10:27

NSA می گوید هکرهایی که با دولت چین ارتباط دارند از آسیب پذیری Citrix سوء استفاده می کنند

طبق مشاوره آژانس امنیت ملی ایالات متحده (NSA)، گروه هک APT5 در حال سوء استفاده از آسیب‌پذیری کنترل احراز هویت در کنترلر تحویل برنامه Citrix و محصولات دروازه است. مشاوره NSA "راهنمایی هایی را برای ارائه اقداماتی که سازمان ها می توانند برای جستجوی مصنوعات احتمالی این نوع فعالیت ها انجام دهند" ارائه می دهد. Citrix برای رفع این آسیب‌پذیری به‌روزرسانی منتشر کرده است.

بیشتر بخوانید در:
- www.citrix.com : به‌روزرسانی امنیتی حیاتی اکنون برای Citrix ADC، Citrix Gateway در دسترس است
- support.citrix.com : Citrix ADC و Citrix Gateway Security Bulletin برای CVE-2022-27518
- media.defense.gov : APT5: Citrix ADC Threat Hunting Guidance (PDF)
- www.scmagazine.com : هکرهای چینی در حال سوء استفاده از اشکال در Citrix ADC، محصولات Gateway، NSA هشدار داد
- www.theregister.com : Citrix نقص حیاتی ADC را اصلاح می کند که NSA می گوید قبلاً از سوی چین مورد حمله قرار گرفته است.
- www.cyberscoop.com : NSA می گوید هکرهای چینی به طور فعال به نقص در دستگاه شبکه پرکاربرد حمله می کنند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

17 December 2022 10:25

درایورهای ویندوز امضا شده توسط مایکروسافت به طور مخرب استفاده می شوند

در ماه اکتبر، محققان SentinelOne، Mandiant و Sophos به مایکروسافت اطلاع دادند که "درایورهای تایید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور مخرب در فعالیت های پس از بهره برداری استفاده می شوند." مایکروسافت چندین گواهی توسعه دهنده را باطل کرده و حساب های توسعه دهنده مرتبط را به حالت تعلیق درآورده است.
پی نوشتها:
مایکروسافت خاطرنشان می کند که تحقیقات آنها "…نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت درگیر ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت بودند." مایلم بشنوم که مایکروسافت برای بهبود گواهینامه نرم افزار Microsoft "Partners" چه خواهد کرد، همانطور که دیدیم اپل و گوگل باید فرآیندهای توسعه دهندگان را برای دریافت برنامه ها از طریق مکانیسم های فروشگاه برنامه خود بهبود بخشند.

به نظر می‌رسد این درایورها پس از به خطر انداختن سیستمی برای فعالیت‌های پس از بهره‌برداری استفاده شده‌اند، که به احتمال زیاد به کمپین باج‌افزار کوبا (که هیچ ارتباط شناخته‌شده‌ای با جمهوری کوبا ندارد) مرتبط است. اعمال به‌روزرسانی‌های این ماه و لغو گواهی‌های مرتبط با این توسعه‌دهندگان توسط مایکروسافت، که باید از اجرای درایورها جلوگیری کند، دو مرحله مورد نیاز برای جلوگیری از این حملات است. همچنان باید از احراز هویت قوی، پشتیبان گیری آفلاین، بخش بندی و به روز نگه داشتن موارد استفاده کنید. بولتن CISA را برای IOCها، TTPها و کاهش‌های اضافه شده بخوانید.

در چند سال گذشته افزایش قابل توجهی در حملات زنجیره تامین گزارش شده است. در این حالت درایورهای امضا شده مخرب می توانند افزایش امتیاز و توانایی حرکت در سراسر شبکه قربانی را فعال کنند. اگرچه کاربر برای اصلاح نواقص در برنامه راننده امضا شده خود به MSFT وابسته است، اما همچنان می تواند با محدود کردن توانایی مهاجم برای دسترسی اولیه به شبکه خود، از خود محافظت کند. کاربران باید پیکربندی و فرآیندهای مدیریت پچ خود را مجدداً مشاهده کنند.

بیشتر بخوانید در:
- msrc.microsoft.com : راهنمایی در مورد استفاده مخرب درایورهای امضا شده مایکروسافت
- news.sophos.com : بدافزار راننده امضا شده در زنجیره اعتماد نرم افزار به سمت بالا حرکت می کند
- www.sentinelone.com : Driving Through Defences | حملات هدفمند درایورهای مخرب مایکروسافت را تحت تأثیر قرار می دهند
- www.wired.com : باج افزار باج افزار از گواهینامه های مایکروسافت برای امضای بدافزار سوء استفاده کرد
- www.theregister.com : درایورهای ویندوز مخرب امضا شده توسط مایکروسافت که در حملات سایبری استفاده می شوند
- www.darkreading.com : درایورهای مخرب امضا شده توسط مایکروسافت، باج‌افزارهای EDR-Killers را وارد می‌کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 December 2022 09:34

ایلان ماسک: Neuralink تا شش ماه دیگر کار کاشت تراشه در مغز افراد را آغاز خواهد کرد

- ایلان ماسک گفت که شرکت او Neuralink آزمایش‌های بالینی تراشه‌های عصبی بی‌سیم را که قرار است در بدن انسان کاشته شوند، روی انسان‌ها در شش ماه آینده آغاز خواهد کرد.

- حوزه اصلی کاربرد Neuralink ترمیم عملکردهای آسیب دیده مغز است. علاوه بر این، این سیستم دارای پتانسیل توانمندسازی انسانی است.

- Neuralink یک فناوری بسیار تهاجمی برای اتصال یک فرد به رایانه ارائه می دهد - برای این عمل، باز کردن جمجمه و ادغام مینی الکترودها در بافت مغز ضروری است. این شرکت در تلاش است تا اطمینان حاصل کند که وسایل الکترونیکی قابل کاشت برای مدت طولانی باعث پس زدن نشوند.

به گفته ایلان ماسک، Neuralink می تواند بینایی را حتی در افراد نابینا از بدو تولد بازیابی کند. این شرکت همچنین معتقد است که دستگاه Neuralink می تواند عملکرد کامل را به یک نخاع قطع شده بازگرداند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 December 2022 08:11

کمیسر حریم خصوصی نیوزیلند می‌گوید که در حال بررسی حمله باج‌افزار فناوری اطلاعات مرکوری هستند.

کمیسر حریم خصوصی نیوزلند بیانیه‌ای درباره حمله باج‌افزار اخیر علیه Mercury IT منتشر کرده است که "گستره وسیعی از خدمات فناوری اطلاعات را به مشتریان" در سراسر کشور ارائه می‌کند. این حادثه بر سیستم‌های چندین سازمان دولتی در سراسر نیوزیلند تأثیر گذاشت.
بیشتر بخوانید در:
- www.privacy.org.nz : کمیسر حریم خصوصی اقدامی را در مورد حمله باج افزار در نظر می گیرد
- www.infosecurity-magazine.com : کمیسر حریم خصوصی NZ در مورد حمله باج افزار IT Mercury تحقیق می کند
- www.theregister.com : تعطیلات اقیانوس آرام جنوبی ممکن است توسط باج افزار نابود شود
- www.govinfosecurity.com : حمله باج افزار در نیوزلند اثرات آبشاری دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 December 2022 08:08

هکرهای کره شمالی APT37 از موتور jScript9 اینترنت اکسپلورر Zero-Day سوء استفاده کردند

هکرهای مرتبط با کره شمالی از یک آسیب پذیری اشتباه نوع روز صفر در موتور JScript9 اینترنت اکسپلورر سوء استفاده کرده اند. Google Project Zero این آسیب‌پذیری را شناسایی کرد که بر روی ویندوز 7 اما 11 و ویندوز سرور 2008 تا 2022 قبل از وصله‌هایی که مایکروسافت در نوامبر منتشر کرد تأثیر می‌گذارد. APT از این آسیب پذیری برای گسترش بدافزارهای تعبیه شده در اسناد سوء استفاده کرده است.
یادداشت ویراستار

ممکن است در این مرحله اینترنت اکسپلورر را "میراث" در نظر بگیرید. اما همچنان ممکن است برای ارائه محتوا در اسناد آفیس استفاده شود.

کره شمالی، در حالی که یک کشور نسبتاً کم بودجه است، هنوز این تیم مبتکر از افراد را دارد که راه های جالبی برای سوء استفاده از ویندوز پیدا می کنند. توانایی های فنی آنها را دست کم نگیرید. آنها هنوز هم می توانند موثر باشند. چه کسی فکر می کرد IE11 هنوز موتور رندر اصلی HTML در آفیس در سال 2022 باشد؟ انگار که گفتم IE6 برای رندر HTML در Adobe Reader استفاده می شود. این نسبتاً تکان دهنده است، اما شاید تعجب آور نباشد.

بیشتر بخوانید در:
- googleprojectzero.github.io : CVE-2022-41128: تایپ سردرگمی در موتور JScript9 اینترنت اکسپلورر
- www.zdnet.com : هکرها همچنان در حال یافتن و استفاده از نقص های اینترنت اکسپلورر هستند
- arstechnica.com : هکرهای کره شمالی بار دیگر از بیت های باقی مانده اینترنت اکسپلورر سوء استفاده می کنند
- www.theregister.com : کره شمالی با استفاده از تراژدی هالووین سئول برای سوء استفاده از اینترنت اکسپلورر روز صفر به پایین ترین سطح خود رسید.
- www.darkreading.com : APT37 از Internet Explorer Zero-Day برای انتشار بدافزار استفاده می کند
- www.govinfosecurity.com : هکرهای کره شمالی به روزهای صفر اینترنت اکسپلورر نگاه می کنند
- duo.com : کره شمالی APT37 از اینترنت اکسپلورر روز صفر استفاده کرد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 December 2022 19:53

پینگ قدیمی و بی ضرر می تواند به مهاجمان اجازه دهد تا سیستم FreeBSD را تحت کنترل خود درآورند.

نگهبانان سیستم عامل FreeBSD یک خطای بحرانی سرریز بافر را در ابزار پینگ پیدا کردند که به عنوان CVE-2022-23093 ردیابی می شود.

این مشکل به طور بالقوه می تواند منجر به اجرای کد از راه دور به عنوان ریشه در هنگام پینگ کردن یک میزبان خارجی که توسط مهاجم کنترل می شود، شود. یک اصلاح قبلاً در به‌روزرسانی‌های FreeBSD 13.1-RELEASE-p5، 12.4-RC2-p2 و 12.3-RELEASE-p10 پیشنهاد شده است.

این آسیب‌پذیری مربوط به سرریز بافر در کد مورد استفاده در ابزار پینگ برای تجزیه پیام‌های ICMP در پاسخ به درخواست پروب است.

کد ارسال و دریافت پیام‌های ICMP در پینگ از سوکت‌های خام استفاده می‌کند و با امتیازات بالا اجرا می‌شود، زیرا ابزار با پرچم setuid root ارائه می‌شود و پاسخ در سمت پینگ از طریق بازسازی هدرهای IP و ICMP بسته‌ها پردازش می‌شود. دریافت شده از سوکت خام .

در واقع، سرصفحه‌های IP و ICMP استخراج‌شده توسط تابع pr_pack() در بافرها کپی می‌شوند، بدون در نظر گرفتن این واقعیت که هدرهای توسعه‌یافته اضافی ممکن است در بسته بعد از هدر IP وجود داشته باشد.

چنین هدرهایی از بسته استخراج می شوند و در بلوک هدر گنجانده می شوند، اما هنگام محاسبه اندازه بافر در نظر گرفته نمی شوند.

اگر میزبان، در پاسخ به درخواست ICMP ارسال شده، بسته ای را با هدرهای اضافی برگرداند، محتویات آنها در ناحیه خارج از مرز بافر در پشته نوشته می شود.

در نتیجه، مهاجم می‌تواند تا 40 بایت داده را روی پشته بازنویسی کند و به طور بالقوه امکان اجرای کد او را فراهم کند.

خطر مشکل با این واقعیت کاهش می یابد که در زمان بروز خطا، فرآیند در حالت ایزوله تماس های سیستم (حالت قابلیت) است که دسترسی به بقیه سیستم را دشوار می کند. پس از بهره برداری از آسیب پذیری

با این حال، محققان توصیه می‌کنند که سیستم‌های آسیب‌دیده را به نسخه پایدار FreeBSD ارتقا دهید.

همچنین هیچ اطلاعاتی در مورد اینکه آیا سایر سیستم‌های BSD تحت تأثیر آسیب‌پذیری شناسایی‌شده قرار می‌گیرند، وجود ندارد، زیرا گزارش‌های آسیب‌پذیری در NetBSD، DragonFlyBSD و OpenBSD هنوز ظاهر نشده‌اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 December 2022 12:15

Exploiting Active Directory With Linux

/channel/linux_news/682

#intelligence #cybersecurity #informationsecurity

کانال تخصصی امنیت سایبری «کتاس»

23 November 2022 17:13

پیشنهاد میکنم وبینار آشنایی با تغییرات نسخه جدید استاندارد ایزو 27001 ورژن 2022 و تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، و آشنایی با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید را از لینک زیر دریافت کنید:
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://lnkd.in/eRmtpytB

کانال تخصصی امنیت سایبری «کتاس»

18 November 2022 18:01

ویدیوی این آسیب پذیری را در اینجا ببینید.
͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

16 November 2022 15:58

🎉🎊🎉🎊مژده:
تخفیف ویژه لحظه آخری برای علاقه مندان
با کد تخفیف
lastsec
تعداد محدود است

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

12 November 2022 10:57

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

03 November 2022 19:43

مافیای چین 100000 آسیایی را گروگان گرفته و آنها را مجبور به کلاهبرداری سایبری می کند

قربانیان نجات یافته گفتند در چه شرایطی بودند و چه کردند.


سندیکای جنایی چین 100000 نفر را از سراسر آسیا به کامبوج با وعده مشاغل با درآمد خوب جذب کرده اند. به محض ورود قربانیان، گذرنامه‌های آنها مصادره می‌شود و آنها مجبور می‌شوند در شرایط خیلی سخت در حین انجام کمپین‌های مجرمانه سایبری کار کنند.
به گزارش لس آنجلس تایمز، کامبوج که اقتصاد آن به شدت تحت تاثیر این همه گیری قرار گرفته است، به مافیای چین اجازه داد تا کمپین های جرایم سایبری در مقیاس بزرگ را با استفاده از نیروی کار بدون عواقب سازماندهی کند. این امر به این دلیل است که کشور از این فعالیت درآمد خوبی دریافت می کند. کمپین های جنایی شامل کلاهبرداری های تلفنی، شرط بندی های ورزشی جعلی، کلاهبرداری های سرمایه گذاری و سایر اشکال جرایم سایبری است.
در حالی که دولت کامبوج اعتراف می کند که بیش از 100000 کارگر در این کمپین ها شرکت ندارند، اما این را رد می کند که قربانیان بر خلاف میل آنها بازداشت شده اند. با این حال، برخی از قربانیانی که از دست مجرمان سایبری نجات یافتند، از ضرب و شتم و شکنجه به دلیل عدم اجرای طرح و همچنین فروش به باندهای دیگر صحبت کردند.
ساکنان مالزی در 6 اکتبر در فرودگاه بین المللی کوالالامپور از دست قاچاقچیان در کامبوج نجات یافتند
جیکوب سیمز، مدیر منطقه ای ماموریت بین المللی عدالت کامبوج، که بسیاری از قربانیان را نجات داد، گفت که گروگان ها مجبور به انجام فشارهای سخت، برق گرفتگی، محرومیت از غذا، حبس در یک اتاق تاریک و غیره شدند. و کسانی که به اهداف و برنامه های خود دست می یابند، با آزادی بیشتر، غذا، پول و کنترل بر سایر قربانیان پاداش می گیرند.
در چند ماه گذشته، توجه بین‌المللی به این معاملات تشدید شده است و ایالات متحده اخیراً رتبه کامبوج را به پایین‌ترین سطح در شاخص قاچاق انسان کاهش داده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

28 October 2022 17:50

🔴 انتشار به‌روزرسانی فوری برای رفع آسيب‌پذيری‌ روزصفر با شدت بالا در مرورگر گوگل کروم❗️

🔹 این آسیب‌پذیری با شناسه CVE-2022-3723 که به طور فعال مورد سوءاستفاده قرار گرفته است، در موتور جاوااسکریپت V8 وجود دارد.

✅ به کاربران توصیه می‌شود مرورگر کروم خود را در سیستم‌عامل‌های لینوکس و مکینتاش به نسخه‌ی 107.0.5304.87 و در ویندوز به نسخه‌ی 107.0.5304.87/.88 ارتقاء دهند.

☑️ به کاربران مرورگرهای مبتنی بر کروم مانند Microsoft Edge، Brave ،Opera و Vivaldi نیز توصیه می‌شود به محض در دسترس قرار گرفتن وصله‌های امنیتی، آن‌ها را اعمال نمایند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

26 October 2022 21:26

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

08 October 2021 18:12

Wireshark 3.4.9
Wireshark 3.4.9 comes with newly updated protocol suppport “AMQP, Aruba IAP, BGP, BT-DHT, CoAP, DCERPC SPOOLSS, Diameter, EPL, GSM A-bis OML, GSM A-I/F COMMON, GSM SIM, IEEE 1905.1a, IEEE 802.15.4, IMAP, InfiniBand, ISIS LSP, ISObus VT, JPEG, MP2T, NORDIC_BLE, QUIC, RTCP, SDP, SMB, TWAMP-Control, USB HID, and VSS Monitoring”

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

17 December 2022 10:26

پایگاه داده InfraGard برای فروش در انجمن جرایم سایبری پیدا شد
پایگاه داده کاربران InfraGard FBI برای فروش در یک انجمن جرایم سایبری ارائه شده است. پایگاه داده حاوی اطلاعات تماس 80000 عضو بخش دولتی و خصوصی InfraGard است که در زمینه امنیت فیزیکی و سایبری در سازمان هایی که زیرساخت های حیاتی کشور را تشکیل می دهند، سمت دارند.

دو کمبود باعث شد که این دسترسی اعطا شود. اول، هویت مجری جعل هویت به اندازه کافی تأیید نشده بود، دوم، گزینه‌های MFA برای اجازه دادن به عامل دومی که هکر کنترل می‌کرد، مورد استفاده قرار گرفت. (در این مورد ایمیل کنید.) هر دوی این فرآیندها با سطح ریسک قابل قبولی اجرا شدند. اطلاعات هویتی درست بود و احتمالاً از طریق سرویس‌های آنلاین تأیید شده است، مانند برنامه‌های وام، و داشتن چندین گزینه MFA سناریوهای قفل کردن حساب را کاهش می‌دهد. هنگام اتخاذ این تصمیمات، خطرات/تهدیدهای حمله به احتمال زیاد بسیار متفاوت بودند. هنگامی که خدمات مهندسی مشابه این را انجام می دهید، تهدیدات و روندها را زیر نظر داشته باشید، تصمیمات خود را مجدداً بررسی کنید و کنترل ها را با تغییر محیط تهدید به روز کنید.

این واقعیت که داده های افراد برای فروش در یک انجمن جرایم سایبری است، جنبه نگران کننده این داستان نیست، زیرا همه داده های ما دائما خرید و فروش می شوند. نگرانی این است که مجرمان اکنون جزئیات افرادی را دارند که در یک شبکه مورد اعتماد دخیل هستند و می توانند از آن برای کلاهبرداری یا سوء استفاده از روابط اعتماد ذاتی افراد در آن شبکه سوء استفاده کنند. بنابراین یادآوری به کارکنان، به ویژه کارکنان ارشد، همیشه مفید است که همیشه مراقب ارتباطاتی که از دیگران دریافت می کنند باشند.

بسیاری از اعضای جمعیت مورد اعتماد اکثر اعضا بودند. هدف اصلی انجمن ایجاد سطح اعتماد است. این اعتماد با این نشریه کاهش می یابد. علاوه بر این، ارتباط نام، ایمیل و شرکت حساس است و ممکن است برای فریب دادن سایر اعضای شرکت در حملات مهندسی اجتماعی استفاده شود. در حالی که من در آن پایگاه داده هستم، با هیچ شرکتی مرتبط نیستم. سایت واکنش گرا نیست، بنابراین نمی توانم نمایه خود را بررسی کنم، اما فکر نمی کنم اطلاعاتی در آن وجود داشته باشد که در لینکدین موجود نباشد.

بیشتر بخوانید در:
- krebsonsecurity.com : شبکه اشتراک گذاری اطلاعات تایید شده FBI 'InfraGard' هک شد


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 December 2022 10:07

حمله Man-in-the-Disk و نحوه دفاع در برابر آن

اگر از یک دستگاه اندرویدی استفاده می کنید، پس باید از حمله Man-in-the-Disk (MitD) و خطرات ناشی از آن آگاه باشید. به طور خلاصه، به شما این امکان را می دهد که کنترل برنامه های قانونی (مثلاً محصولات Google، Yandex یا مرورگر شیائومی) را در دست بگیرید و از آنها برای تزریق برنامه های مخرب استفاده کنید. اما بیایید عمیق تر کاوش کنیم و دریابیم که حمله MitD چیست، چگونه کار می کند و چگونه در برابر آن دفاع کنیم!

حمله MitD چیست؟

Man-in-the-Disk نوعی حمله سایبری به دستگاه های اندرویدی دارای سیستم عامل اندروید است که در آن یک برنامه مخرب نصب شده توسط کاربر بر روی تلفن هوشمند یا تبلت شروع به آلوده کردن برنامه ها یا فایل های موجود در حافظه خارجی می کند. به محض اینکه قربانی برنامه مخرب را راه اندازی می کند و به آن اجازه دسترسی به حافظه خارجی را می دهد، کد مخرب راه اندازی می شود و به آن اجازه می دهد داده ها را در آن بخواند و بنویسد. این به مهاجم اجازه می‌دهد تا فایل‌ها را اصلاح یا حذف کند، کدهای مخرب را به برنامه‌های کاربردی قانونی تزریق کند یا برنامه‌ها را بدون اطلاع کاربر نصب کند.
آشنایی با اصول اولیه: Sandboxing در اندروید

سندباکس ها ستون فقرات امنیت اندروید هستند. ایده آن جدا کردن هر برنامه نصب شده و فایل های آن از سایر برنامه های نصب شده است. این کار به این صورت است: شما یک برنامه را روی دستگاه خود نصب می کنید، پس از آن فایل های آن در یک "sandbox" جداگانه قرار می گیرند که سایر برنامه ها به آن دسترسی ندارند.

ایده این است که حتی اگر یک برنامه مخرب به دستگاه اندرویدی شما وارد شود، نمی‌تواند داده‌هایی را که برنامه‌های قانونی ذخیره می‌کنند ( ورود به برنامه بانکی و رمز عبور یا مکالمات پیام‌رسان) تغییر داده و به سرقت ببرد. به این ترتیب، حتی اگر دستگاه شما بدافزار داشته باشد، داده های مهم شما ایمن می مانند.

اما هکرها در حالت آماده باش هستند و دائماً در تلاش برای " فرار از جعبه شن" هستند که گاهی اوقات موفق می شوند.
حمله Man-in-the-Disk چگونه کار می کند؟

همه چیز کاملا ساده است. اندروید علاوه بر قسمت‌هایی در سندباکس که برنامه‌ها و فایل‌های آن‌ها در آن‌ها ذخیره می‌شوند، یک فضای ذخیره‌سازی مشترک به نام External Storage دارد. برای دسترسی به آن، برنامه باید از شما اجازه بگیرد. و اگر آن را ارائه کنید، برنامه قابلیت خواندن و نوشتن داده ها را در حافظه خارجی دریافت می کند. اما هیچ چیز مشکوکی در این مورد وجود ندارد - اکنون تقریباً هر برنامه ای چنین مجوزی را درخواست می کند. علاوه بر این، بسیاری از برنامه ها از حافظه خارجی برای تبادل فایل ها با یکدیگر، برای انتقال فایل ها بین گوشی هوشمند و رایانه یا ذخیره موقت داده های دانلود شده از اینترنت استفاده می کنند.

به عنوان مثال، هنگامی که یک برنامه را به روز می کنید، افزونه های آن ابتدا در حافظه خارجی دانلود می شوند و سپس به منطقه ای جدا شده منتقل می شوند که فقط آن برنامه به آن دسترسی دارد. اینجاست که حمله MitD وارد می شود. از روشی که اندروید با حافظه خارجی کار می کند، بهره می برد. برخلاف سندباکس، هر برنامه‌ای که اجازه خواندن/نوشتن در حافظه خارجی را داشته باشد، می‌تواند فایل‌های موجود در آن را تغییر دهد. بنابراین، حتی اگر فایل های برخی از برنامه های خوب فقط به طور موقت در حافظه خارجی ذخیره شوند، یک برنامه مخرب می تواند با تزریق کد مخرب آنها را تغییر دهد.

به نظر می رسد که وقتی یک برنامه قانونی را به روز می کنید، ممکن است حتی مشکوک نباشید که به طور تصادفی بدافزار را به دستگاه خود آورده اید. و هنگامی که می خواهید یک برنامه آلوده را اجرا کنید، کد مخرب اجرا می شود و هکر کنترل دستگاه شما را به دست می گیرد.
💊چگونه از خود در برابر حمله MitD محافظت کنیم؟

هیچ چیز پیچیده ای در اینجا وجود ندارد:

دسترسی خواندن/نوشتن به حافظه خارجی را به هیچ برنامه ای که به آن نیاز ندارد ندهید.

همیشه برنامه ها را از منابع قابل اعتماد نصب کنید، سعی کنید از دانلود و نصب برنامه ها از وب سایت های شخص ثالث و فروشگاه های برنامه خودداری کنید.

سیستم عامل و برنامه های خود را به طور منظم به روز کنید تا حفاظت کلی دستگاه را بهبود بخشید.

برنامه های غیر ضروری را نصب نکنید؛

برنامه هایی را که استفاده نمی کنید حذف کنید.

یک راه حل آنتی ویروس قابل اعتماد روی دستگاه خود نصب کنید.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

15 December 2022 09:31

غول مجازی سازی VMware روز سه شنبه به روز رسانی های اضطراری را برای رفع سه مشکل امنیتی منتشر کرد.

یکی از آنها شامل خطای خروج از ماشین مجازی است که در مسابقه هک GeekPwn 2022 به میزبانی آزمایشگاه امنیتی Tencent Keen چین نشان داده شد.

آسیب‌پذیری فرار VM که با نام CVE-2022-31705 مستند شده است، توسط محقق Ant Security Yuhao Jiang بر روی سیستم‌هایی که محصولات VMware Fusion، ESXi و Workstation کاملاً اصلاح‌شده را اجرا می‌کنند، مورد سوء استفاده قرار گرفت.

VMware این باگ را یک آسیب‌پذیری نوشتن خارج از پشته در کنترلر USB 2.0 (EHCI) توصیف کرد. این اکسپلویت برنده جایزه برتر (https://twitter.com/danis_jiang/status/1592051275088424961) در Geekpwn شد.

با توجه به بولتن (https://www.vmware.com/security/advisories/VMSA-2022-0033.html)، VMWare به آن امتیاز CVSS 9.3 داد و هشدار داد که مهاجمی با امتیازات اداری محلی روی VM می تواند از آن سوء استفاده کند. این مسئله برای اجرای کد.

در ESXi، اکسپلویت در یک جعبه شنی VMX قرار دارد، در حالی که در Workstation و Fusion می تواند منجر به RCE در ماشینی شود که Workstation یا Fusion در آن نصب شده است.

این شرکت اصلاحاتی را منتشر کرده است که شامل چند باگ تزریق فرمان و پیمایش دایرکتوری می شود که بر VMware vRealize Network Insight (vRNI) تأثیر می گذارد.

آسیب‌پذیری در vRNI REST API نیز (https://www.vmware.com/security/advisories/VMSA-2022-0031.html) توسط VMware به عنوان Critical با حداکثر امتیاز پایه CVSSv3 9.8 رتبه‌بندی شده است، زیرا مهاجمی با دسترسی شبکه به vRNI REST API، می تواند دستورات را بدون احراز هویت اجرا کند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 December 2022 08:09

سیسکو آسیب‌پذیری را فاش می‌کند که میان‌افزار IP Phone 7800 و سری 8800 را تحت تأثیر قرار می‌دهد.

سیسکو یک آسیب‌پذیری را در ویژگی پردازش پروتکل کشف سیسکو در میان‌افزار سیسکو IP Phone 7800 و سری 8800 افشا کرده است. مشکل در اعتبار سنجی ورودی ناکافی بسته های پروتکل کشف سیسکو دریافت شده است و می تواند برای دستیابی به اجرای کد از راه دور یا شرایط انکار سرویس مورد سوء استفاده قرار گیرد. سیسکو قصد دارد به‌روزرسانی‌هایی را برای رفع این آسیب‌پذیری منتشر کند. یک راه حل پیشنهادی غیرفعال کردن پروتکل کشف سیسکو در دستگاه های سری IP Phone 7800 و 8800 است.
یادداشت ویراستار

تا الان هیچ پچی منتشر نشده. فقط در صورتی می توانید CDP را غیرفعال کنید که LLDP را فعال کرده باشید.
این آسیب پذیری برای گوشی های سیسکو بسیار جدی به نظر می رسد. CDP پروتکلی است که به خوبی مورد استفاده قرار می گیرد و نیازی به احراز هویت ندارد و عموماً به صورت رایگان در شبکه ارسال می شود. اگر یک بسته CDP می تواند منجر به اجرای کد از راه دور شود، اکنون این دستگاه ها را وصله کنید. من نمی توانم به اندازه کافی روی این موضوع تاکید کنم، اکنون وصله کنید. من هنوز دستگاه‌های شبکه بسیار آسیب‌پذیر را بدون وصله در شبکه می‌بینم، حتی زمانی که سوءاستفاده از آن‌ها بی‌اهمیت است، و این آسیب‌پذیری بیش از ده سال است که شناخته شده است. من نمی توانم تاکید کنم که یک بسته CDP که می تواند باعث RCE شود وحشتناک است. هنگامی که شخصی در یکی از این دستگاه‌ها قرار می‌گیرد، می‌تواند به سرعت به بخش‌های دیگر شبکه بپیوندد. اگر در حال حاضر نمی توانید وصله کنید، لطفاً مطمئن شوید که این دستگاه ها در شبکه خود هستند و این شبکه ها از شبکه های داده جدا شده اند.

بیشتر بخوانید در:
- tools.cisco.com : Cisco IP Phone سری 7800 و 8800 Cisco Discovery Protocol Stack Overflow Avulnership
- www.bleepingcomputer.com : سیسکو باگ تلفن IP با شدت بالا را با کد بهره برداری فاش می کند
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 December 2022 19:58

حمله دیگری که توسط یک باند اخاذی به موسسات پزشکی در فرانسه انجام شد.

این بار هکرها وحشت را در مرکز پزشکی ورسای ایجاد کردند که مجبور شد عملیات را متوقف کند و برخی از بیماران را به مکان دیگری منتقل کند.

وزارت بهداشت فرانسه گزارش داد که مرکز پزشکی ورسای که شامل دو بیمارستان و یک خانه سالمندان است، در حال حاضر به طور کامل فاقد هرگونه سیستم کامپیوتری است.

فرانسوا براون، وزیر بهداشت، گفت که این حمله به سازماندهی مجدد کامل بیمارستان منجر شد، زیرا به کارکنان اضافی در بخش مراقبت های ویژه نیاز بود، زیرا برخی از تجهیزات شبکه ای حیاتی نیاز به نظارت دقیق تری داشتند و در حال حاضر به سادگی غیرفعال شده است.

مهاجمان تقاضای باج کردند که مقدار آن هنوز فاش نشده است، اما مقامات قبلاً امتناع کرده اند، زیرا فرانسه قانونی دارد که مؤسسات دولتی را از پرداخت باج منع می کند.

اطلاعات محرمانه کارکنان و بیماران قبلاً در وب سایت مهاجم منتشر شده است و پلیس فرانسه گروه باج افزار LockBit را عاملان این حمله معرفی کرده است.

به گفته وزیر بهداشت، حملات به ارائه دهندگان خدمات بهداشتی و موسسات پزشکی در چند ماه گذشته به طور مرتب در فرانسه رخ داده است، اما از اکثر این حملات جلوگیری شده است.

با این حال، در ماه آگوست، بیمارستانی در حومه پاریس به نام Centre Hospitalier Sud Francilien مورد حمله باج افزاری قرار گرفت که چند هفته طول کشید تا بهبود پیدا کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 December 2022 19:51

⚠️ هشدار!
🔴 کشف آسیب‌پذیری خطرناک در RouterOS شرکت میکروتیک

🔷 این آسیب‌پذیری با شناسه CVE-2022-45313 و درجه اهمیت حیاتی، از طریق Nova Message امکان اجرای کدهای مخرب را برای هکر فراهم می‌نماید.

✅ به دلیل کثرت استفاده از این محصول، لطفاً سیستم‌عامل RouterOS آن را در اسرع وقت به نسخه پایدار 7.5 یا بالاتر به‌روزرسانی نمایید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

08 December 2022 08:07

تحقیقات Qualys Threat نشان داده است که چگونه می توان یک آسیب پذیری در لینوکس را به دو نقص به ظاهر بی ضرر دیگر به منظور به دست آوردن امتیازات superuser در سیستم آسیب دیده مرتبط کرد.

آسیب‌پذیری جدید به‌عنوان CVE-2022-3328 ردیابی شده است و Snap-confine را در Snapd تحت تأثیر قرار می‌دهد، ابزاری که توسط Canonical ایجاد شده و برای ایجاد یک محیط زمان اجرا برای برنامه‌های نرم‌افزاری Snap استفاده می‌شود.

برنامه پیش فرض در اوبونتو وجود دارد که توسعه دهندگان آن CVE-2022-3328 را به عنوان یک آسیب پذیری جدی توصیف کرده اند که می تواند برای افزایش امتیازات محلی و RCE استفاده شود.

محققان Qualys توانستند CVE-2022-3328 را با دو مشکل اخیراً کشف شده که Multipathd را تحت تأثیر قرار می‌دهند ترکیب کنند تا یک حمله قدرتمند را انجام دهند.

Multipathd دیمون بررسی مسیر است که به عنوان ریشه در نصب استاندارد اوبونتو و سایر توزیع‌ها اجرا می‌شود.

Multipathd تحت تأثیر یک مشکل دور زدن مجوز است که یک کاربر غیرمجاز می تواند از آن برای اجرای دستورات ممتاز در Multipathd (CVE-2022-41974) و یک حمله پیوند نمادین (CVE-2022-41973) استفاده کند که می تواند برای RCE استفاده شود.

ترکیب یک آسیب‌پذیری Snapd با دو نقص Multipathd می‌تواند به هر کاربر غیرمجاز این امکان را بدهد که در یک دستگاه آسیب‌پذیر امتیازات root را به دست آورد.

در نتیجه، Qualys یک اکسپلویت ایجاد کرد که به شما امکان می‌دهد هنگام نصب اوبونتو به‌طور پیش‌فرض، امتیازات کامل ابرکاربر را دریافت کنید.

اگرچه این آسیب پذیری نمی تواند از راه دور مورد سوء استفاده قرار گیرد، اما محققان هشدار می دهند که یک کاربر غیرمجاز می تواند از آن سوء استفاده کند.

Qualys توصیه هایی با اطلاعات فنی دقیق ارائه کرد و تصمیم گرفت با توجه به جدی بودن ترکیب، PoC را منتشر نکند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

19 November 2022 06:43

ترجمه استاندارد بین المللی ISO/IEC 27001: 2022
امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی -
سیستم های مدیریت امنیت اطلاعات – الزامات
 به همراه :
تشریح کامل فرآیند انتقال از ISO 27001: 2013 به
 ISO 27001: 2022
 #ISMS
#iso27001 #پدرام_کیانی #سیستم_مدیریت_امنیت_اطلاعات #امنیت_اطلاعات
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

18 November 2022 17:55

͏یک محقق آسیب‌پذیری اندروید را فاش کرده است که تقریباً به هر کسی که دسترسی فیزیکی به دستگاه دارد اجازه می‌دهد صفحه قفل را دور بزند. اشکال تشدید امتیاز به‌عنوان CVE-2022-20465 ردیابی می‌شود و توسط محققی به نام دیوید شوتز کشف شد که برای آن جایزه 70000 دلاری از گوگل دریافت کرد. بهره‌برداری به مهاجم اجازه می‌دهد تا با راه‌اندازی مکانیزم بازنشانی پین سیم‌کارت که کاربر را ملزم به وارد کردن کد PUK می‌کند، قفل گوشی اندروید را باز کند. در این سناریو، یک مهاجم با دسترسی فیزیکی به یک دستگاه قفل شده باید سیم کارت خود را جایگزین کند و سپس پین اشتباه را سه بار وارد کند تا فرآیند بازنشانی آغاز شود. این شامل درخواست یک کد کلید باز کردن قفل PUK 8 رقمی است. به محض اینکه مهاجم یک کد PUK را وارد می کند، بدون نیاز به وارد کردن رمز عبور یا الگو برای باز کردن قفل آن، به دستگاه دسترسی کامل دارد. این مشکل به دلیل یک اشکال در تابع .dismiss() است که پس از وارد کردن کد PUK فراخوانی می‌شود و دستگاه‌های دارای Android 10، 11، 12 و 13 را تحت تأثیر قرار می‌دهد. در نظر گرفته شده است که صفحه امنیتی فعلی را ببندد، که باید یک درخواست PUK به دلیل این آسیب‌پذیری، مؤلفه مانیتورینگ سیم‌کارت در پس‌زمینه، صفحه امنیتی را درست قبل از فراخوانی تابع .dismiss تغییر می‌دهد، که باعث می‌شود صفحه PIN/passcode بسته شود و در نهایت قفل گوشی باز شود. به عنوان یک راه حل، Google این تابع را تغییر داد تا پارامتر جدیدی را شامل شود که در آن تابع فراخوانی مشخص می کند که چه نوع صفحه امنیتی بسته شود. اما چیز دیگری جالب است: محقق این آسیب‌پذیری را در اواسط ژوئن به گوگل گزارش داد. بعد از یکی دو ماه به او گفتند که این گزارش تکراری است و آن را رد کردند. با این حال، شوتز تصمیم گرفت متوقف نشود و مشکل را در رویداد عمومی ESCAL8 در لندن نشان داد، که مورد توجه شرکت کنندگان از کارکنان مهندسی گوگل قرار نگرفت. در نتیجه غول مجبور شد اشتباه خود را بپذیرد و هزینه آن را بپردازد. این آسیب پذیری با انتشار وصله های نوامبر برای اندروید بسته شد. واقعیت این است که این به هیچ وجه یک باگ نیست، بلکه یک ویژگی است با توجه به سرعت بسیار زیاد و سهولت کار.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

13 November 2022 10:38

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای کانال
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

کانال تخصصی امنیت سایبری «کتاس»

05 November 2022 19:17

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

02 November 2022 20:38

نسخه جدید OpenSSL که به طور گسترده در infosec اعلام شده است، شامل اصلاحاتی برای دو آسیب پذیری با شدت بالا است. CVE-2022-3602 و CVE-2022-3786 OpenSSL نسخه 3.0.0 و بالاتر را تحت تأثیر قرار می دهند و در OpenSSL 3.0.7 ثابت شدند. اولین CVE-2022-3602 به عنوان یک سرریز بافر دلخواه پشته ای 4 بایتی توصیف شده است که می تواند باعث خرابی یا منجر به 2022-3602 شود، در حالی که CVE-2022-3786 دیگر می تواند توسط مهاجمان از طریق آدرس های ایمیل مخرب برای راه اندازی حالت و ایجاد حالت استفاده شود. CVE-20 از طریق سرریز بافر. نماینده پروژه از هیچ گونه اکسپلویت واقعی که می تواند منجر به اجرای کد از راه دور شود آگاه نیست و هیچ مدرکی دال بر سوء استفاده از این مشکلات در طبیعت ندارند. مطابق با خط مشی Open SSL، سازمان ها و مدیران فناوری اطلاعات از 25 اکتبر هشدار داده اند که محیط های خود را برای نمونه های آسیب پذیر جستجو کرده و پس از انتشار OpenSSL 3.0.7 وصله ها را اعمال کنند. OpenSSL همچنین اقدامات کاهشی را با الزام مدیرانی که با سرورهای TLS کار می‌کنند برای غیرفعال کردن احراز هویت کلاینت‌های TLS تا زمانی که وصله‌ها اعمال شوند، ارائه کرد. اگرچه هشدار اولیه برای CVE-2022-3602 بحرانی ارزیابی شد، اما از آن زمان به High تنزل داده شده است و فقط بر موارد OpenSSL 3.0 و بالاتر تأثیر می گذارد. همچنین، علیرغم اینکه برخی از کارشناسان قبلاً باگ ها را با وضعیت مشابه برابر دانسته اند. CVE-2022 - از بین بیش از 1793000 هاست آنلاین منحصربفرد یافت شده توسط Hermit، تنها 7000 دارای نسخه های آسیب پذیر هستند. شودان 16000 نمونه OpenSSL عمومی را تخمین زده است. پس از تجزیه و تحلیل استقرار در محیط‌های ابری اصلی (مانند AWS، GCP، Azure، OCI و Alibaba Cloud)، محققان Wiz.io تنها 1.5 درصد از نمونه‌های OpenSSL آسیب‌پذیر را پیدا کردند. خط آخر: هیاهوی زیادی در مورد هیچ چیز.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

26 October 2022 21:26

یک آسیب پذیری 22 ساله در کتابخانه پایگاه داده SQLite با سطح شدت بالا کشف شده است.
این اشکال به‌عنوان CVE-2022-35737 (امتیاز CVSS: 7.5) ردیابی می‌شود و یک مشکل سرریز محدوده‌های آرایه است. این اشکال بر نسخه های SQLite از 1.0.12 تا 3.39.1 تأثیر می گذارد.
این باگ از زمان دات‌کام‌ها تا اکتبر ۲۰۰۰ وجود داشته است. به گفته متخصصین، یک مهاجم می تواند در اجرای کد دلخواه روی یک سیستم آسیب پذیر مشکل ایجاد کند و باعث ایجاد DOS شود. کارشناسان توضیح دادند که CVE-2022-35737 در سیستم های 64 بیتی قابل استفاده است و امکان استفاده از آن به نحوه کامپایل شدن برنامه بستگی دارد.
اگر اجرای کد دلخواه در همه سناریوها اتفاق نیفتد، آنگاه انکار سرویس بهره برداری همیشه اعلام می شود.
برای سوء استفاده از خطا، مهاجمان فقط باید ورودی‌های رشته‌ای بزرگ را به پیاده‌سازی‌های SQLite توابع printf ارسال کنند، جایی که رشته قالب حاوی انواع جایگزینی %Q، %q یا %w است.
این آسیب‌پذیری به روشی مربوط می‌شود که تابع sqlite3_str_vappendf که توسط printf فراخوانی می‌شود، قالب‌بندی رشته را مدیریت می‌کند.
همچنین، اگر رشته قالب حاوی کاراکتر ویژه "!" برای فعال کردن اسکن کاراکترهای یونیکد، می توانید باعث اجرای کد دلخواه یا ایجاد شرایط DoS شوید. این احتمالاً در آن زمان دور اشتباه نبود، زیرا سیستم ها عمدتاً در معماری 32 بیتی بودند. با این حال، این باگ با انتشار نسخه 3.39.2 در 21 جولای برطرف شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

08 October 2021 18:28

هشدار محققان از بدافزار FontOnLake Rootkit که سیستم های لینوکس را هدف قرار می دهد

محققان امنیت سایبری یک کمپین جدید را شرح داده اند که احتمالاً نهادهای جنوب شرقی آسیا را با بدافزار لینوکس که قبلاً شناخته نشده است طراحی کرده است ، علاوه بر جمع آوری اعتبار و عملکرد به عنوان سرور پروکسی ، به منظور دسترسی از راه دور به اپراتورهای آن طراحی شده است.

گفته می شود که این خانواده بدافزار ، که توسط شرکت امنیت اسلواکی ESET "FontOnLake" نامیده می شود ، دارای "ماژول های خوب طراحی شده" است که به طور مداوم با ویژگی های جدید ارتقا می یابد و نشان دهنده یک مرحله توسعه فعال است. نمونه های بارگذاری شده در VirusTotal به این احتمال اشاره می کند که اولین نفوذها با استفاده از این تهدید در ماه مه 2020 اتفاق افتاده است.
اطلاعات بیشتر در لینک زیر:
/channel/linux_news/671

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

08 October 2021 15:13

کتاب
Windows 11 Security

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security