کانال تخصصی امنیت سایبری «کتاس»

18 July 2021 13:23

ترمیم آسیب‌پذیری روز- صفر توسط SolarWinds

شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیب‌پذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرع‌وقت، نسبت به نصب به‌روزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیب‌پذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیص‌داده‌شده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر می‌پذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیب‌پذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیه‌نامه زیر به روش‌هایی که از طریق آن‌ها می‌توان به هک شدن سازمان به دلیل وجود آسیب‌پذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱

در توصیه‌نامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولین‌بار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلوده‌سازی یکی از فایل‌های نرم‌افزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرم‌افزار در هر نقطه از جهان به تسخیر آن‌ها در بیاید. بررسی‌های بعدی نشان داد که مهاجمان با به‌کارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمان‌ها و شرکت‌های مطرح در کشورهای مختلف شده بودند.

منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

18 July 2021 13:21

تصاحب دامین سرور با سوءاستفاده از آسیب‌پذیری PrintNightmare
مایکروسافت، PrintNightmare را به‌عنوان یک آسیب‌پذیری روز – صفر تأیید کرد که قبل از به‌روزرسانی‌های امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخه‌های ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیب‌پذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را می‌دهد .
علی‌رغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان می‌تواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار می‌دهد و به دلیل لیست طولانی اشکالاتی که در طول سال‌ها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نام‌گذاری کرده‌اند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کرده‌اند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بوده‌اند. به نظر می‌رسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهره‌برداری PrintNightmare RCE روی سیستم‌های به‌روز کار می‌کند.
قابل ذکر است که PrintNightmare در همه نسخه‌های ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیب‌پذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه می‌شود که سرویسWindows Print Spooler را در سیستم‌های دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.

شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

17 July 2021 15:14

شش آسیب پذیری خطرناک در افزونه File Management وردپرس کشف شده است که امکان اجرای حمله حذف صفحات و پست های وردپرس و اجرای کد از راه دور را بر روی وب‌سایت فراهم می‌کند. این آسیب‌پذیری‌ها نسخه ۱۷.۱ و ۱۸.۲ پلاگین Front File Manager وردپرس را که در بیش از ۲۰۰۰ سایت وردپرسی فعال است تحت تأثیر قرار می‌دهد. به کاربران توصیه می‌شود به منظور محافظت از خود در برابر این حملات، افزونه‌ی File Management خود را به نسخه‌ی ۱۸.۳ یا بالاتر ارتقاء دهند.
https://threatpost.com/frontend-file-manager-wordpress-bugs/167687/
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

14 July 2021 10:08

✅ انتشار اصلاحیه امنیتی مایکروسافت و Adobe در ماه جولای 2021

روز گذشته مایکروسافت در یک به‌روزرسانی 9 آسیب‌پذیری روز صفر و 117 نقص امنیتی را برطرف کرده است.

اصلاحیه امنیتی مایکروسافت شامل وصله‌ 9 آسیب‌پذیری روزصفرم و 18 آسیب‌پذیری بحرانی است که چهار مورد تحت بهره برداری فعال قرار دارند (با احتساب PritnNightmare):

CVE-2021-34492 - Windows Certificate Spoofing Vulnerability

CVE-2021-34523 - Microsoft Exchange Server Elevation of Privilege Vulnerability

CVE-2021-34473 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-33779 - Windows ADFS Security Feature Bypass Vulnerability

CVE-2021-33781 - Active Directory Security Feature Bypass Vulnerability

CVE-2021-34527 - Windows Print Spooler Remote Code Execution Vulnerability

CVE-2021-33771 - Windows Kernel Elevation of Privilege Vulnerability

CVE-2021-34448 - Scripting Engine Memory Corruption Vulnerability

CVE-2021-31979 - Windows Kernel Elevation of Privilege Vulnerability

همچنین Adobe نیز در این به‌روزرسانی 28 آسیب‌پذیری را در 6 محصول خود رفع کرده است.

وصله چند آسیب‌پذیری شدت بالا در Adobe Acrobat and Reader:
CVE-2021-28638 (شدت 8.8)
CVE-2021-28642 (شدت 8.8)
CVE-2021-28641 (شدت 8.8)
CVE-2021-28639 (شدت 8.8)
CVE-2021-28640 (شدت 8.0)

برای اطلاعات بیشتر و دریافت اطلاعات درخصوص به‌روزرسانی‌ها به لینک‌‌های زیر مراجعه کنید:

🌐 https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/

🌐 https://www.bleepingcomputer.com/news/security/adobe-updates-fix-28-vulnerabilities-in-6-programs/

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

10 July 2021 19:50

🔴🔴🔴هک گسترده‌ی سیستم‌های اداری وزارت راه و شهرسازی

♨️هک گسترده‌ی سیستم‌های اداری وزارت راه و شهرسازی، این وزارتخانه را نیمه تعطیل کرد.

▪️به گزارش انصاف نیوز، بدنبال حمله سایبری روز گذشته به شرکت راه آهن و ستاد وزارت راه و شهرسازی، بسیاری از فعالیت‌های جاری این وزارتخانه متوقف شده است.

▪️بنا بر گفته‌ی یک کارشناس وزارت راه به انصاف نیوز، بررسی‌های بعمل آمده ضعف لایه‌های امنیتی و عدم سرمایه‌گذاری مناسب در حوزه‌ی امنیت، متولی دوگانه‌ی حراست و فاوا در حوزه‌ی امنیت، وجود سیستم‌های جزیره‌ای، عدم سرمایه‌گذاری در توسعه‌ی زیرساخت‌های یکپارچه، عدم انجام تست نفوذ سیستم‌ها مطابق با دستورالعمل‌های افتا، متوقف شدن اجرای طرح معماری سازمانی و معماری سیستم‌های اطلاعاتی، ضعف ساختاری و نیروی انسانی مدیریت فناوری اطلاعات و ارتباطات، نگاه بخشی به مباحث و وظایف فاوا در وزارت راه و شهرسازی، از جمله‌ی مسائل و مشکلات فاوا وزارت راه و شهرسازی در سال‌های اخیر برشمرده شده که بروز مشکلات این چنینی را بوجود آورده است. منبع (http://www.ensafnews.com/301578/%D9%87%DA%A9-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87%E2%80%8C%DB%8C-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%A7%D8%AF%D8%A7%D8%B1%DB%8C-%D9%88%D8%B2%D8%A7%D8%B1%D8%AA-%D8%B1%D8%A7/)

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

09 July 2021 19:01

⛔️ هشدار: حملات باج‌افزاری و لزوم پشتیبان‌گیری از داده‌های با ارزش

با توجه به افزایش حملات باج‌افزاری در روزهای اخیر در کشورهای مختلف دنیا از جمله آمریکا، دانمارک، سوئد و غیره، به سازمان‌ها، شرکت‌ها و اشخاص حقیقی اکیدا توصیه می‌شود نسبت به تهیه‌ی پشتیبان از اطلاعات با ارزش خود اقدام نمایند. مهاجمان از روش‌های مختلف مبادرت به نفوذ به سیستم‌های رایانه‌ای نموده و بعد از آن نسبت به رمزنگاری داده‌های قربانیان، درخواست باج‌ جهت برگرداندن اطلاعات می‌کنند.


توصیه می‌شود: "در اسرع وقت پشتیبان‌گیری از داده‌ها انجام شود."

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

02 July 2021 19:41

⛔️ هشدار: انتشار اکسپلویت برای آسیب‌پذیری بحرانی
PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service

این آسیب‌پذیری بحرانی بوده و تمامی سیستم‌عامل‌های ویندوزی را تحت تاثیر قرار داده و انتشار اکسپلویت آن بصورت عمومی و گسترده بسیار حساس و خطرناک است.

برای اطلاعات بیشتر به لینک‌های زیر مراجعه کنید:

🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

🌐 https://github.com/afwu/PrintNightmare

🌐 https://github.com/cube0x0/CVE-2021-1675

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 11:19

25 تا از بزرگترین حملات سایبری در جهان را ببینید
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 11:13

انیمیشن اعتیاد کودکان به بازی
دیدن این فیلم را به والدین عزیز توصیه میکنم
#بهداشت_سایبری
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 10:56

چگونه حملات سایبری صلح در دنیا را به خطر می اندازند؟
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 10:30

مادر بزرگ
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

18 June 2021 12:55

اخبار جالب از سراسر جهان امنیت

✅دبیرکل ناتو گفت که یک حمله سایبری می تواند به همان اندازه جنگ واقعی توسط کشورهای عضو آن جدی باشد ، و این باعث می شود خطر حملات احتمالی تحت حمایت دولتی در آینده به زیرساخت های حیاتی افزایش یابد.
https://www.bbc.com/news/av/world-57478561

✅روسیه و ایالات متحده ، به همراه 23 کشور دیگر ، دستورالعمل های سازمان ملل متحد را دوباره تأیید کردند که می گوید کشورها نباید زیرساخت های مهم یکدیگر را در زمان صلح هک کنند و یا به مجرمان پناهنده حملات سایبری علیه سایر کشورها بپردازند.
https://www.washingtonpost.com/national-security/russia-us-un-cyber-norms/2021/06/12/9b608cd4-866b-11eb-bfdf-4d36dab83a6d_story.html

✅هزاران دستگاه متصل به اینترنت هنوز نتوانسته اند یک آسیب پذیری مهم را در سرورهای VMware vCenter وصله کنند که محققان هشدار می دهند به طور فعال مورد بهره برداری قرار گرفته است.
https://www.zdnet.com/article/critical-remote-code-ececution-flaw-in-thousandsof-vmware-vcenter-servers-service-remains-unpatched/

✅بیشتر مشارکتهای Cisco Talos Incident Response Response در سه ماهه گذشته شامل بهره برداری (یا تلاش برای بهره برداری) از آسیب پذیری های روز صفر در Microsoft Exchange Server بود که در اوایل سال جاری افشا شد.


✅یک پیمانکار دولتی که دستبندهای مچ پا را به نیروی انتظامی می فروشد ، اطلاعات افرادی را که پلیس در شیکاگو در حال نظارت بر آنها هستند ، درز کرده است.

https://www.vice.com/en/article/3aqagy/contractor-exposed-the-movements-of-people-wearing-ankle-gps-bracelets

✅محققان امنیتی بیش از یک ترابایت اعتبار ورود به سیستم سرقتی را برای فروش آنلاین کشف کردند ، اگرچه هنوز ریشه دقیق آن مشخص نیست.
https://arstechnica.com/gadgets/2021/06/nameless-malware-collects-1-2tb-of-sensitive-data-and-stashes-it-online/

✅توسعه دهنده و ناشر بازی های ویدیویی EA قربانی حمله سایبری اخیر شده است و هکرها ادعا می کنند کد منبع برخی از بازی ها برای فروش است.
https://www.theverge.com/2021/6/10/22528003/ea-data-breach-frostbite-fifa-intern-tools-hack

✅یکی دیگر از شرکتهای بازی ویدیویی ، CD Projekt Red ، اعلام کرد که هک اوایل سال جاری از آنچه تصور می شد ، بدتر بود و اطلاعات سرقت شده در این حمله اکنون به صورت آنلاین پخش می شود.
https://kotaku.com/cd-projekt-red-confess-hack-severity- while-everyones-di-1847074826

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

28 May 2021 17:58

جدول تنوع حملات سایبری شناسایی شده به ناسا
گزارش کامل را از اینجا بخوانید:

/channel/ict_security/4470

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

14 May 2021 13:21

ده‌ ابزار برتر برای اسکن آسیب پذیریها و بدافزازها در سرورهای لینوکس
از اینجا بخوانید:

/channel/linux_news/665

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

12 May 2021 20:13

🛡 گزارش اصلاحیه امنیتی مایکروسافت در ماه می 2021


مایکروسافت در این به‌روزرسانی 55 نقص را رفع کرده که 3 آسیب‌پذیری روز صفرم در آن وجود داشته است. از این آسیب‌پذیری‌ها چهار مورد آن بحرانی، 50 مورد درجه حساسیت مهم و یک مورد در درجه متوسط داشته است.

سه آسیب‌پذیری روز صفرم و شناسه آن به صورت زیر است:

CVE-2021-31204 - .NET and Visual Studio Elevation of Privilege Vulnerability

CVE-2021-31207 - Microsoft Exchange Server Security Feature Bypass Vulnerability

CVE-2021-31200 - Common Utilities Remote Code Execution Vulnerability

در نهایت مایکروسافت اکیداً توصیه به به‌روزرسانی فوری در محصولات تحت تاثیر داشته است.

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

18 July 2021 13:21

سازمان‌های ایرانی، هدف نوعی بدافزار با دام‌هایی به زبان فارسی
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روش‌هایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفته‌اند.
سازمان‌های ایرانی در هفته‌های اخیر هدف بدافزار Agent Tesla قرار گرفته‌اند که در جریان آن ایمیل‌های جعلی با ظاهر و محتوای قابل‌باور به کاربران ارسال شده است.
به‌گزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابل‌توجه در خصوص ایمیل‌های فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایت‌های معتبر قرار می‌دهند تا ارتباط با آن سایت‌ها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روش‌هایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفته‌اند.
اصلی‌ترین روش انتشار Agent Tesla، ایمیل‌های Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشی‌سازی بدافزار، توزیع و بهره‌برداری از آن به روش خود خواهند بود.
در نسخه‌های اخیر Agent Tesla از روش‌های مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکس‌ها و در جریان تحلیل‌های ایستا بهره گرفته شده است.
بدافزار Agent Tesla می‌تواند در بستر برخی از پروتکل‌ها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و داده‌های به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم می‌کند.
پروتکل پرطرف‌داربرای بدافزار ، SMTP است. چون برای مهاجمان امن‌تر بوده و بهره‌گیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلی‌ترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامه‌های هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش می‌یابد.
از جمله برنامه‌هایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش می‌کند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرم‌افزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیل‌های حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمان‌های دارای زیرساخت حیاتی تاکید می‌کنند که از ضدویروس قدرتمند و به‌روز استفاده کنند.
آموزش و راهنمایی کاربران سازمان به‌صرف نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن فایل‌های ارسالی بدافزار داشته باشد.
مسدود کردن ایمیل‌های دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاه‌ها و استفاده نکردن از هرگونه سیستم‌عامل ازرده‌خارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمان‌های دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمی‌شود.

اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روش‌های نفوذ به سیستم های سازمان‌ها، قابلیت‌های نسخه‌های جدید و مشخصات پروتکل‌های مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

18 July 2021 13:18

ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری هفته گذشته
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدار‌های افتا، آن‌ها را در برابر حملات سایبری، کم‌دفاع و یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا می‌گویند: این بی توجهی‌ها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسی‌های از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیری‌های اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسی‌های کارشناسان امنیت سایبری افتا نشان می‌دهد که:
1- مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها، دسترسی یافته و موجب اختلال در عملکرد عادی آن‌ها شوند.
2- نفوذ به سامانه‌های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزار‌های خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختار‌های دیتا بسنده کرده‌اند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساخت‌های IP را تخریب می‌کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرور‌های فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمز‌های عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیب‌پذیری‌های خطرناکی که در سیستم‌های عامل ویندوز کشف و از طریق مرکز افتا به دستگاه‌های دارای زیر ساخت حیاتی کشور برای ترمیم آن‌ها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهره‌برداری کرده‌اند.
8- تغییر امتیازات و دسترسی‌های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی می‌خواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورت‌های مدیریتی سرور‌ها و تجهیزات ILO و IPMI سیستم‌های خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیر‌های و وصله فوری آن‌ها و جمع‌آوری و پایش لاگ و رویداد‌های امنیتی مربوط به سامانه‌ها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتی‌ویروس سرور و کلاینت‌ها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بین‌المللی، جداسازی شبکه‌های سامانه‌های زیرساختی از سایر شبکه‌های غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حساب‌های کاربری دارای سطح دسترسی بالا در سامانه‌ها و تجهیزات شبکه، بازبینی دسترسی سطح ادمین‌های شبکه، غیرفعال سازی پورت‌های بلااستفاده و سرویس‌های غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانه‌های حیاتی را از اقدام‌های پیشگیرانه برای نفوذ به سیستم‌های سازمانی برمی‌شمارند.
5- کارشناسان، متخصصان و مدیران IT سازمان‌های دارای زیر ساخت موظفند، از دیتا‌های سازمان خود، بطور منظم نسخه‌های پشتیبان تهیه و آن‌ها را در محلی امن و مجزا نگهداری کنند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

16 July 2021 17:47

شرکت امنیتی سیتیزن لب (Citizen Lab) با همکاری شرکت مایکروسافت موفق به شناسایی یک جاسوس‌افزار شده است که از آسیب‌پذیری‌های CVE-2021-31979 و CVE-2021-33771 در سیستم عامل ویندوز بهره‌برداری می‌کند. این جاسوس‌افزار توسط شرکت اسرائیلی کاندیرو (Candiru) توسعه داده شده است. این شرکت در گذشته ابزارهای جاسوسی فراوانی را برای نفوذ به سیستم‌های عامل ویندوز، اندروید و IOS توسعه داده است. طبق بررسی‌های انجام‌شده توسط شرکت مایکروسافت حداقل 100 قربانی در کشورهای ایران، فلسطین، یمن، ترکیه، لبنان و غیره توسط این جاسوس‌افزار مورد حمله قرار گرفته‌اند. برای جزییات بیشتری به لینک زیر مراجعه نمایید:
https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/

شرکت مایکروسافت در تاریخ 13 جولای وصله‌هایی برای رفع آسیب‌پذیری‌های CVE-2021-31979 و CVE-2021-33771 در نسخه‌های مختلف سیستم عامل ویندوز منتشر کرده است. با بهره‌برداری از این آسیب‌پذیری‌ها مهاجم می‌تواند جعبه شن مرورگر را دور زده و امکان اجرای کد هسته (ارتقای امتیاز در هسته ویندوز) را به دست آورد. به‌روزرسانی‌های امنیتی برای نسخه‌های آسیب‌پذیر ویندوز از نشانی‌های زیر قابل دریافت است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31979
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33771

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

12 July 2021 19:39

دستورالعمل‌هایی برای جلوگیری از وقوع حوادث مشابه حملات سایبری اخیر

لازم به ذکر است که با توجه به سطح پیشرفته نفوذ و حملات سایبری انجام شده که با شناخت کامل از شبکه قربانی صورت گرفته است، در خصوص امن‌سازی لازم است حتما سیاست‌های دفاع در عمق با اولویت بالا رعایت گردد که در ادامه به برخی از مهمترین نکات اشاره می‌شود:
1. تمامی دسترسی های سطح ادمین به اکتیودایرکتوری مورد بازبینی قرار گرفته و حتی‌المقدور پسوردهای قبلی اکانت‌های ادمین به سرعت تغییر نماید.
همچنین نسبت به قرارگیری اسکریپت لاگین و استارتاپ حساس بوده و این موارد بررسی گردد.
2. تمامی دسترسی های سطح روت به سرورهای ESX, Xen, انواع Linux و انواع ویندوز سرورهای نصب شده بر روی سرورهای فیزیکی مورد بازبینی قرار گرفته و حتی‌المقدور رمز اکانت های روت/ ادمین بازنشانی گردد.
3. سرویس SSH را در سرورهای ESX غیرفعال نمایید.
4. دسترسی پورت‌های ILO در سرورهای HP از شبکه کاملا قطع شود.
5. دسترسی از راه دور به شبکه در ساعات غیرکاری حتی‌المقدور محدود گردد و از VPN (مبتنی بر کلید خصوصی نرم‌افزاری یا توکن) به جای اتصال مستقیم به سرورها استفاده شود.
6. سامانه‌های ثبت وقایع شبکه مورد بازیینی قرار گرفته و تمامی رخدادهای امنیتی و پیکره‌بندی سیستم ها را شامل شود. نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH به سرورها و دسترسی‌های ریموت خارج سازمان حساس بوده و موارد هشدار را با اولویت پیگیری نمایید.
7. تهیه پشتیبان منظم از داده‌ها بر روی رسانه‌های آفلاین و اطمینان از صحت پشتیبان‌ها

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

10 July 2021 13:00

ببینید
یه مادر نمونه و یک روش نمونه برای تذکر به اعضای خانواده که سرشون تو گوشی نباشه 😁


برید خداروشکر کنید که مادرتون فقط از جمله‌ی "چرا همش سرت تو گوشیه " استفاده می‌کنه و روش های دیگه‌‌‌ رو اجرا نمیکنه.

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

09 July 2021 18:46

رسانه‌ها گزارش کرده‌اند که بدنبال اختلال سراسری در ساعات اخیر در سیستمهای کامپیوتری شرکت راه آهن ایران "فعالیت صدها خطوط قطار به تعویق افتاده و حتی لغو شد، ورودی ها و خروجی ها، مراکز خرید بلیط، خدمات الکترونیک باری و مسافری" از کار افتاده است.
همچنین سایت شرکت راه‌آهن ایران هم دچار اختلال شده است.
خبرگزاری فارس اعلام کرده که این اختلال در اثر "حمله سایبری" بوده است.
تاکنون هیچ مقام رسمی در وزارت راه و ارتباطات ایران حمله سایبری را تایید نکرده است.
فارس نوشته "صفحات اعلان ساعات ورود و خروج قطار، لغو فعالیت تمامی خطوط قطار را اعلان کرده و پیام 'تاخیر زیاد بدنبال حملات سایبری' بر روی آنها قید شده است".

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

02 July 2021 19:33

هشدار

سرویس Print.Spooler در معرض تهدید
اخیراً برای آسیب پذیری CVE-2021-1675 که در مورد Print.Spooler ویندوز شناسایی شده بود poc منتشر شده است. با سوءاستفاده از این حفره امنیتی امکان حملات RCE فراهم است.
✅تا زمان ارائه وصله امنیتی توسط ماکروسافت، توصیه می شود این سرویس غیر فعال گردد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 11:16

تفاوت Proxy با VPN چیست؟
منبع: آپا مازندران
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 11:07

چرا هکرهای خوب شهروندان خوب میسازند؟
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

01 July 2021 10:40

چگونگی محافظت از ایمیل های تجاری در مقابل هک و نفوذ و کلاهبرداری
🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

29 June 2021 13:27

اسرار هسته ای کره جنوبی از طریق آسیب پذیری VPN در معرض دید قرار گرفت

دستگاه های در معرض اینترنت خود را وصله و به روز کنید

یک موسسه تحقیق و کاربرد انرژی هسته ای تحت حمایت دولت کره جنوبی تأیید کرده است که شبکه آن با استفاده از یک آسیب پذیری VPN ناشناخته نفوذ کرده است.

انستیتوی تحقیقات انرژی اتمی کره (KAERI) حمله ماه گذشته را به بازیگران تهدید شده از سوی کره شمالی مورد حمایت دولت ، که ابتدا تصدیق کرده بود ، مورد حمله قرار داد و سپس حمله را انکار کرد.

اکنون ، این موسسه بار دیگر تغییر موضع داده است ، نه تنها اکنون حمله را رسما تأیید کرده است ، بلکه همچنین به دلیل تلاش برای سرپوش گذاشتن بر این نقض ، عذرخواهی کرده است.

در بیانیه های مطبوعاتی ، KAERI اظهار داشت که در 14 ژوئن ، عوامل تهدید کره شمالی بدون به اشتراک گذاشتن جزئیات دیگر ، شبکه داخلی خود را با استفاده از آسیب پذیری VPN نقض کرده اند.

با تجزیه و تحلیل این گزارش های دسترسی مشخص شد که سیزده آدرس IP غیر مجاز مختلف با بهره برداری از آسیب پذیری VPN به شبکه داخلی KAERI دسترسی پیدا کرده اند. گزارش شده است که این موسسه ادعا کرده است که اکنون دستگاه VPN خراب شده را برای اصلاح آسیب پذیری به روز کرده است.

طبق گزارش ها ، KAERI ادعا می کند که یکی از آدرس های IP غیرمجاز متعلق به گروه هکری به نام Kimsuky است که گمان می رود تحت نظارت آژانس اطلاعاتی اداره کل شناسایی کره شمالی کار می کند.

تأیید این نقض بار دیگر اهمیت کسب و کارهای کوچک و متوسط ​​(SMB) برای به روز نگه داشتن همه دستگاه های رو به اینترنت مانند روترها را برجسته می کند. در واقع آنها باید رهنمودهایی را چارچوب و پیاده سازی کنند تا بلافاصله هرگونه به روزرسانی امنیتی را برای همه این دستگاه های در معرض دید عمومی بررسی و نصب کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

17 June 2021 19:37

آتش سوزی و حمله سایبری باعث خاموشی عمده در سراسر پورتوریکو می شود

آتش سوزی در یکی از پستهای Luma Energy در سان خوان روز پنجشنبه برق صدها هزار نفر از ساکنان پورتوریکو را از بین برد.

نسخه اصلی در 11 ژوئن 2021 ، ساعت 9:01 صبح منتشر شده است
آتش سوزی بزرگ در یک پست برق تأمین کننده برق جدید پورتوریکو ، Luma Energy ، روز پنجشنبه برق صدها هزار نفر از ساکنان جزیره را خاموش کرد.

به گفته لوما ، در اوج خاموشی ، نزدیک به 800000 مشتری بدون برق بودند. تا نیمه شب ، تقریباً 60،000 مشتری هنوز در تاریکی بودند.

"LUMA Energy" در توئیتر خود نوشت: "آتش سوزی باعث خاموشی عمده در کل جزیره شد. وضعیت در حال ارزیابی است و کار برای بازگرداندن سیستم در حال انجام است."

آتش سوزی و خاموشی تنها بحران های روز پنجشنبه لوما نبود.

در اوایل همان روز ، این شرکت اعلام کرد پورتال مشتری خود و برنامه تلفن همراه قربانی حمله سایبری شد که دسترسی مشتری به خدمات آنلاین آن را مختل می کند.

به گفته Luma ، حمله DDoS یا حمله انکار سرویس توزیع شده ، در هر ثانیه 2 میلیون بازدید از پورتال مشتری و برنامه تلفن همراه ایجاد می کند که بر توانایی بسیاری از مشتریان برای دسترسی به اطلاعات حساب تأثیر می گذارد.

این شرکت در بیانیه ای اعلام كرد كه "از اینكه مشتريان آن مشكلی را كه حمله ممكن است به وجود آورد ، ابراز تأسف می كند و مشتاقانه منتظر ادامه تجربه خدمات استثنایی به مشتریان است."

مشخص نیست که آتش و حمله DDoS به هم متصل شده اند.

لوما تنها 10 روز به نقش جدید خود به عنوان مرجع قدرت جزیره باقی مانده است. تأمین کننده انرژی قبلی این جزیره ، اداره برق پورتوریکو ، بدنام خود را با خاموشی ، ورشکستگی و سو مدیریت در پی طوفان ماریا در سال 2017 تجربه کرد.

مقامات به ساكنان هشدار داده بودند كه در روزهای آغازین انتقال صبر داشته باشند زیرا Luma زیرساخت های برق ضعیف را به ارث می برد. به گزارش آسوشیتدپرس ، حتی قبل از خاموشی روز پنجشنبه ، فقط در این ماه بیش از 1 میلیون مشتری برق را از دست دادند ، بدون احتساب افراد آسیب دیده از آتش سوزی پست.

فرماندار پورتوریکو خواستار تحقیق در این باره است
به گفته این شرکت ، آتش سوزی در یک ترانسفورماتور در پست Luma در Monacillo در سان خوان رخ داد. نیروهای پلیس و آتش نشانی به محل حادثه رفتند. هیچ آسیبی گزارش نشده است.

در پیامی که در شبکه های اجتماعی به اشتراک گذاشته شد ، فرماندار پدرو پیرلوئیسی از این حادثه به عنوان "انفجار" یاد کرد.

پیرلوسی گفت مقامات اجرای قانون ایالتی و فدرال در حال تحقیق هستند.

بررسی: بیشتر مناطق مترو پورتوریکو ، پرجمعیت ترین منطقه جزیره ، اکنون پس از انفجار و آتش سوزی در یک نیروگاه برق در سان خوان ، بی برق است. من در تلاش هستم تا اطلاعات بیشتری ازlumaenergypr دریافت کنم که هنوز جزئیاتی منتشر نکرده است.

وی افزود: "هرکسی که مسئول آن باشد باید پاسخگوی مردم پورتوریکو باشد."

مقامات FBI سان خوان گفتند که آنها "در حال بررسی" قطعی برق هستند و افراد دارای اطلاعات را تشویق می کنند که جلو بیایند.

خاموشی در حالی است که این جزیره هنوز در حال واکسیناسیون ساکنان خود در برابر ویروس کرونا است. واکسن ها باید در دمای پایین نگه داشته شوند تا زنده بمانند.

وزیر بهداشت جزیره کارلوس ملادو لوپز در توئیتی گفت خدمات بیمارستان بدون وقفه باقی مانده و واکسن ها همچنان بی خطر هستند. وی نوشت: "تأمین كنندگان ما ژنراتور دارند و بیش از 70 مركز پشتیبانی برای ایمن نگه داشتن آنها داریم."

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

28 May 2021 17:55

بیش از 6000 حمله سایبری شناسایی شده با هدف قرار دادن شبکه گسترده سیستم های فناوری اطلاعات ناسا

براساس گزارشی که توسط دفتر بازرس عمومی ناسا منتشر شده است ، اداره ملی هوانوردی و فضایی ایالات متحده (ناسا) بیش از 6000 حادثه مربوط به فضای مجازی را در چهار سال گذشته از جمله کلاهبرداری فیشینگ و ورود بدافزار به سیستم های آژانس شناسایی کرده است.

دارایی های فناوری اطلاعات (IT) ناسا به طور کلی در دو دسته گسترده قرار می گیرند: سیستم های موسسه و مأموریت. سه سطح اصلی مدیریت بر این دارایی ها نظارت دارند و مسئولیت مدیریت امنیت سایبری را بر عهده دارند.

پرسنل OCIO بر توانایی های نهادی و امنیتی پشتیبانی می کنند که از کل نیروی کار ناسا پشتیبانی می کنند. ماموریت ها به طور معمول شبکه های خود را تأمین می کنند و پرسنل IT آنها از جنبه های عملیاتی و امنیتی این شبکه ها قابل مشاهده هستند.

سرانجام ، پرسنل فناوری اطلاعات در مراکز ناسا مدیریت و نظارت بر عملیات برنامه ها و پروژه های مستقر در آنجا را شامل می شوند که شامل شبکه های موسسه و مأموریت است.

حملات به شبکه های گسترده NASA

حسابرسی انجام شده توسط بازرس کل ناسا نشان داد که حملات به شبکه های ناسا تلاش برای سرقت اطلاعات حیاتی هم از نظر پیچیدگی و هم از شدت افزایش می یابد.

اگرچه ناسا در زمینه نظارت بر شبکه ، مدیریت هویت و به روزرسانی برنامه استراتژیک فناوری اطلاعات خود گام های مثبتی را برای رفع امنیت سایبری برداشته است ، اما همچنان در تقویت تلاش های بنیادی امنیت سایبری با چالش هایی روبرو است.

معماری سازمانی بیش از یک دهه است که در ناسا در حال توسعه است اما هنوز ناقص مانده است در حالی که نحوه مدیریت آژانس برای سرمایه گذاری و عملیات IT متنوع و موقت است.

متأسفانه ، رویکرد چندپارچه به فناوری اطلاعات ، با داشتن اختیارات جداگانه متعدد ، مدتهاست که یکی از ویژگیهای تعیین کننده محیطی است که در آن تصمیمات امنیت سایبری در آژانس گرفته می شود. نتیجه یک وضعیت کلی امنیت سایبری است که ناسا را ​​در معرض خطر بالاتر از حد ضروری تهدیدات سایبری قرار می دهد.

حوادث سایبری مشاهده شده طی سالهای گذشته ، بیش از 1700 مورد در سال 2020 شناسایی شده است که شامل حملات بی رحمانه ، حوادث مربوط به ایمیل ، حملات جعل هویت ، موارد استفاده نادرست ، از بین رفتن یا سرقت تجهیزات ، حملات تحت وب و حوادث خارجی یا رسانه قابل جابجایی

در سال گذشته ، اکثر حوادث مربوط به استفاده نادرست بود که شامل نصب نرم افزار تأیید نشده یا دسترسی به مطالب نامناسب است. این نوع حوادث از 249 مورد در سال 2017 به 1110 مورد در سال 2020 افزایش یافته است.

از طرف دیگر ، ناسا همچنین معتقد است که تعداد بیشتر حوادث کشف شده نیز نتیجه بهبود دید شبکه است.

انواع حملات سایبری در ناسا
این گزارش حوادثی را برجسته کرده است ، از جمله هک 2018 آزمایشگاه پیشرانش جت ناسا ، که منجر به دسترسی هکرها به سرورها و حتی تلسکوپ های Deep Space Network آن شده است. در همان سال ، شخصی پس از به خطر افتادن حساب کاربر خارجی ، تقریباً 500 مگابایت داده از یک سیستم مأموریت اصلی به سرقت برد.

در سال 2019 ، ناسا کشف کرد که یک کارمند قراردادی از سیستم های خود برای استخراج ارز رمزنگاری شده استفاده می کند و در همان سال دو تبعه چین به اتهام هک سیستم های ناسا و سرقت اطلاعات متهم شدند.

حرف آخر

بر اساس این گزارش ، اتخاذ یک EA / ESA یکپارچه (معماری سازمانی / معماری امنیتی امنیتی سازمانی) و توسعه یک روند ارزیابی و تأیید مجوز در سطح سازمانی نه تنها باعث افزایش چشمگیر آگاهی از موقعیت می شود بلکه تصمیم گیرندگان ناسا را ​​قادر می سازد تا تغییرات مثبت را در وضعیت امنیت سایبری آژانس.

مقامات برای تعیین خطر ، پیش بینی اختلالات و تعیین محل سرمایه گذاری در منابع اضافی یا سایر تغییرات موقعیت بهتری دارند. ناسا باید برای استقرار و تنظیم استراتژی های امنیتی IT خود قاطعانه عمل کند تا با تهدیدات سایبری در حال پیشرفت همراه باشد.

🦁«کتاس»
‏http://t.me/ict_security

کانال تخصصی امنیت سایبری «کتاس»

13 May 2021 16:46

خط لوله کولونیال به هکرها نزدیک به 5 میلیون دلار باج پرداخت کرده

اندکی پس از حمله هفته گذشته ، پرداخت انجام شد
FBI سازمان ها را از پرداخت باج به هکرها منصرف می کند
شرکت Colonial Pipeline روز جمعه نزدیک به 5 میلیون دلار به هکرهای اروپای شرقی پرداخت کرد ، این در حالی است که طبق گفته های دو نفر شاهدان معامله ، این گزارش مخالف اوایل اظهارات این هفته مبنی بر اینکه این شرکت قصد پرداخت هزینه باج گیری برای کمک به بازسازی بزرگترین خط لوله سوخت کشور را نداشته است ، تقریباً 5 میلیون دلار به هکرهای اروپای شرقی پرداخت کرده است.

این افراد گفتند كه این شركت ظرف چند ساعت پس از حمله باج سنگین را با ارز رمزپایه غیرقابل ردیابی پرداخت و تأكید كرد بر فشار بی نظیری كه اپراتور مستقر در جورجیا متحمل می شود تا سوخت بنزین و جت را دوباره به شهرهای بزرگ ساحل شرقی منتقل كند.

هکرها پس از دریافت وجه ، ابزار رمزگشایی برای بازیابی شبکه رایانه ای غیرفعال شده خود در اختیار اپراتور قرار دادند. یکی از افرادی که با تلاش های شرکت آشنا بود گفت: این ابزار به قدری کند بود که شرکت برای کمک به بازگرداندن سیستم به استفاده از نسخه پشتیبان خود ادامه داد.

این هکرها که به گفته FBI با گروهی به نام DarkSide مرتبط هستند ، در زورگیری دیجیتال تخصص دارند و گمان می رود در روسیه یا اروپای شرقی واقع شده باشند.

روز چهارشنبه ، رسانه ها از جمله واشنگتن پست و رویترز گزارش دادند که این شرکت قصد فوری برای پرداخت دیه را ندارد. این گزارش ها بر اساس منابع ناشناس تهیه شده بودند.

Ransomware نوعی بدافزار است که پرونده های قربانی را قفل می کند ، که مهاجمان قول می دهند قفل آن را برای پرداخت باز کنند. اخیراً ، برخی از گروه های باج افزار نیز داده های قربانیان را به سرقت برده و تهدید کرده اند که آنها را منتشر نخواهند کرد مگر اینکه پرداخت شود - نوعی اخاذی مضاعف.

FBI سازمان ها را از پرداخت دیه به هکرها منصرف می کند و می گوید هیچ تضمینی وجود ندارد که آنها قول های باز کردن قفل پرونده ها را دنبال کنند. این آژانس می گوید این همچنین انگیزه ای برای سایر هکرهای احتمالی است. چنین راهنمایی برای قربانیانی که مجبورند خطرات ناشی از پرداخت نکردن را با هزینه سوابق از دست رفته یا فاش شده بسنجند ، مشکل ایجاد می کند.

گزارشی که ماه گذشته توسط یک گروه ویژه باج افزار منتشر شد ، حاکی از آن است که مبلغ پرداختی توسط قربانیان باج افزار در سال 2020 با افزایش 311 درصدی ، به ارز رمزنگاری شده در حدود 350 میلیون دلار رسیده است. بر اساس این گزارش ، متوسط ​​باج پرداختی سازمان ها در سال 2020 312،493 دلار بوده است.

کولونیال ، که بزرگترین خط لوله سوخت در ایالات متحده را اداره می کند ، حدود 7 ماه مه از هک شدن آن مطلع شد و عملیات خود را متوقف کرد ، که منجر به کمبود سوخت و خطوط در ایستگاه های سوخت در سواحل شرقی شد.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

کانال تخصصی امنیت سایبری «کتاس»

11 May 2021 21:50

⚠️ هشدار❗️
کشف آسیب‌پذیری‌های بحرانی در محصولات سیسکو

🔷 این آسیب‌پذیری‌ها با شناسه‌های CVE-2021-1497، CVE-2021-1498، CVE-2021-1275، CVE-2021-1468 ،CVE-2021-1505 ،CVE-2021-1506 و CVE-2021-1508 دارای شدت بحرانی (9.8 از 10) هستند.

❌ محصولات تحت تأثیر :
▪️Cisco SD-WAN vManage Software
▪️Cisco HyperFlex HX could

🔶 این آسیب‌پذیری‌ها برای مهاجم امکان تزریق فرمان (command injection)، اجرای کد دلخواه و یا دسترسی به اطلاعات حساس را فراهم می‌آورند.

✅ توصیه می‌شود هر چه سریعتر جهت بروزرسانی محصولات نامبرده اقدام شود.

🦁«کتاس»
‏http://t.me/ict_security