مديريت آمار و فناوری اطلاعات و امنیت فضای مجازی
بازدید: 120
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال

افشای چندین آسیب‌پذیری در داشبورد NEXUS سیسکو

 		      
     

چندین ‫آسیب‌پذیری در داشبورد Nexus سیسکو افشا شده است که می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور دستورات دلخواه خود را اجرا کند، فایل‌های container image را بخواند یا بارگذاری کند و یا یک حمله CSRF را اجرا کند.
جزئیات آسیب‌پذیری
داشبورد Nexus به عنوان یک کلاستر مستقر شده است و هر گره سرویس را به دو شبکه متصل می‌کند:
• شبکه داده (fabric0, fabric1)
• شبکه مدیریت (mgmt0, mgmt1)
دامنه بهره‌برداری از این آسیب‌پذیری‌ها را می‌توان به رابط‌های شبکه‌ای محدود کرد. توضیحاتی که در ادامه خواهد آمد نشان می‌دهد که آیا شبکه داده، شبکه مدیریت یا هر دو شبکه در معرض آسیب‌پذیری هستند یا خیر.
آسیب‌پذیری‌ها به یکدیگر وابسته نیستند بدین معنی که بهره‌برداری از یکی از آنها ملزم به بهره‌برداری از آسیب‌پذیری‌های دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تاثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد ممکن است تحت تاثیر آسیب‌پذیری‌های دیگر قرار نگیرد.

 

CVE-2022-20857:

این آسیب‌پذیری با شدت بحرانی و CVSS Base Score 9.8 می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور به یک API خاص که در شبکه داده در حال اجرا است دسترسی داشته باشد و دستورات دلخواه را روی دستگاه آسیب‌دیده اجرا کند. آسیب‌پذیری مذکور، به دلیل کنترل‌های دسترسی ناکافی برای یک API خاص به وجود آمده است. یک مهاجم با ارسال درخواست‌های جعلی HTTP به این API آسیب‌پذیر، از این آسیب‌پذیری بهره‌برداری می‌کند. یک بهره‌برداری موفق مهاجم را قادر می‌سازد تا دستورات دلخواه خود را به عنوان کاربر روت در هر pod روی یک گره اجرا کند.

CVE-2022-20861:

این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.8، در رابط کاربری وب که در شبکه مدیریت داشبورد Nexus در حال اجراست، وجود دارد و می‌تواند به یک مهاجم احراز هویت نشده اجازه دهد تا از راه دور یک حمله CSRF را بر روی دستگاه آسیب‌دیده اجرا کند.
آسیب‌پذیری مذکور، به دلیل محافظت ناکافی در برابر حمله CSRF در رابط کاربری وب در یک دستگاه آسیب‌پذیر اتفاق میافتد. مهاجم می‌تواند با متقاعد کردن کاربر administrator برای کلیک کردن بر روی یک لینک مخرب، از این آسیب‌پذیری سوءاستفاده کند. یک بهره‌برداری موفق به مهاجم اجازه می‌دهد تا اقداماتی را با دسترسی‌های کاربر Administrator انجام دهد.

CVE-2022-20858:

این آسیب‌پذیری با شدت بالا و CVSS Base Score 8.2، به بک مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور به سرویسی که در شبکه‌های داده و مدیریت دستگاه آسیب‌دیده در حال اجراست دسترسی پیدا کند.

 
 

آسیب‌پذیری مذکور به دلیل کنترل‌های دسترسی ناکافی برای سرویسی که container imagesها را مدیریت می‌کند اتفاق میافتد. مهاجم قادر است با باز کردن یک اتصال TCP به این سرویس آسیب‌پذیر، از این نقص سوءاستفاده کند. پس از یک بهره‌برداری موفق، مهاجم خواهد توانست container imagesها را دانلود کند یا container imagesهای مخرب را در دستگاه آسیب‌دیده آپلود کند.
این آسیب‌پذیری‌ها داشبورد Nexus را تحت تاثیر قرار می‌دهند.
توجه: برای نسخه‌های قبل از 2.0(1d)، داشبورد Nexus به عنوان Application Services Engine شناخته می‌شد.
در جدول زیر لیست نسخه‌های آسیب‌پذیر داشبورد Nexus و اولین نسخه وصله شده آورده شده است. به کاربران توصیه می‌شود نرم‌افزار خود را به یک نسخه وصله شده ارتقاء دهند.

منبع خبر

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9yl
بازدید: 129
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال

انتشار وصله امنیتی برای برخی از محصولات SONICWALL

 		      
     

شرکت امنیتی SonicWall به‌روزرسانی‌های امنیتی برای رفع نقص بحرانی تزریق کدSQL (SQLi) در محصولات Analytics On-Prem و Global Management System (GMS) منتشر کرد.

این ‫آسیب‌پذیری با شناسه CVE-2022-22280 دارای شدت 9.4 می‌باشد و مهاجم پس از تزریق کد SQL می‌تواند بررسی‌های امنیتی را دور زده و یا جهت درج عبارات اضافی که منجر به تغییر back-end پایگاه داده خواهد شد از آن سوءاستفاده کند. به گفته‌ی کارشناسان امنیتی شرکت SonicWall، احتمال بهره‌برداری از این آسیب‌پذیری با بکارگیری Web Application Firewall (WAF) و انسداد تلاش‌های مخرب SQLi کاهش می‌یابد.

 

محصولات Analytics On-Prem نسخه‌های 2520-2.5.0.3 و قبل‌تر و Global Management System (GMS) نسخه‌های Hotfix1-sp2-9.3.1 و قبل‌تر تحت تأثیر این آسیب‌پذیری هستند.
به سازمان‌هایی که از محصولات تحت تأثیر این آسیب‌پذیری استفاده می‌کنند توصیه می‌شود محصولات خود را به نسخه‌های زیر ارتقا دهند:

  • Analytics 2.5.0.3-2520-Hotfix1
  • GMS 9.3.1-SP2-Hotfix

منبع خبر

 https://thehackernews.com/2022/07/sonicwall-issues-patch-for-critical-bug.html
بازدید: 202
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال

انتشار بدافزار AMADEY با قابلیت‌های جدید

 		      
     

یک #‫بدافزار سرقت اطلاعات به نام Amadey از طریق backdoor دیگری به نام SmokeLoader در حال توزیع است.

جزئیات آسیب‌پذیری

محققان ASEC در گزارشی که به تازگی منتشر کردند، اعلام کرده‌اند که این حملات به فریب کاربران جهت دانلود بدافزار SmokeLoader وابسته است که به عنوان کرک‌های نرم‌افزار ظاهر می‌شود و راه را برای استقرار Amadey هموار می‌کند. Amadey یک بات‌نت است که اولین بار در اکتبر 2018 در فروم‌های زیرزمینی روسیه با قیمت 600 دلار پدیدار شد. این بات‌نت با هدف سرقت اطلاعات، گرفتن اسکرین‌شات، متاداده سیستم و حتی اطلاعات در مورد موتورهای آنتی ویروس و دیگر بدافزارهای نصب‌شده در دستگاه آلوده، مجهز شده است.
مهاجم از این بدافزار جهت سرقت اطلاعات از FileZilla، Pidgin، Total Commander FTP Client، RealVNC، TightVNC، TigerVNC و WinSCP سوءاستفاده می‌کند.

 

 

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.

توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.

 

منبع خبر

https://gbhackers.com/hackers-attack-windows-linux-esxi-systems-using-rust-based-malware
بازدید: 106
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال

حمله هکرها به سیستم‌های ویندوز، لینوکس و ESXI با استفاده از بدافزار مبتنی بر زبان RUST

 		      
     

اخیراً یک باج‌افزار جدید به نام Luna توسط محققان Kaspersky Security شناسایی شده است و ادعا می‌شود که به زبان برنامه‌نویسی Rust نوشته شده است.
سیستم‌عامل‌های زیادی وجود دارند که می‌توانند با باج‌افزار Luna رمزگذاری شوند، از جمله: ویندوز، لینوکس و ESXi. ظاهراً Luna از طریق یک تبلیغ در یک انجمن باج‌افزار در دارک‌وب مشاهده شده است. به نظر می‌رسد که این باج‌افزار به گونه‌ای خاص طراحی شده است که تنها توسط هکرهای روسی زبان مورد استفاده قرار گیرد.
برخلاف سایر باج‌افزارها، گزینه‌های خط فرمان Luna بسیار ساده هستند و این برنامه هنوز در مراحل اولیه توسعه خود است. این را می‌توان به سادگی طراحی آن نسبت داد که قابلیت‌های برنامه را محدود می‌کند. برای ترکیب امنیت و سرعت بالا در این باج‌افزار، الگوریتم X25519 elliptic curve Diffie-Hellman و AES در پروتکل تبادل اصلی در این طرح استفاده شده است. در این روش، Curve25519 به عنوان یکی از اجزای عناصر اصلی، نقش حیاتی ایفا می‌کند. در این باج‌افزار، انتقال کد منبع به پلتفرم‌های مختلف با تغییرات نسبتاً کم، تنها چیزی است که مورد نیاز است.
همچنین محققان توانسته‌اند جزئیاتی در مورد باج‌افزار دیگری به نام Black Basta بدست آورند. این باج‌افزار از فوریه 2022 در دسترس بوده است اما به تازگی کشف شده است. در این باج‌افزار هر فایل رمزگذاری شده با پسوند . basta ذخیره می‌شود و یک فایل به نام readme.txt در هر پوشه ساخته می‌شود. علاوه بر این، باج‌افزار Black Basta می‌تواند با سیستم ویندوز در حالت امن، چندین راه‌حل امنیتی نقطه پایانی را دور بزند.

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.
توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.
منبع خبر

https://gbhackers.com/hackers-attack-windows-linux-esxi-systems-using-rust-based-malware

 

بازدید: 124
امتیاز:
( 0 Rating )

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال

هشدار به کاربران ویندوز در خصوص کرم Raspberry Robin

 		      
     

 محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیت‌های کرم را منتشر می‌کنند، هشدار می‌دهند. در این حملات یک کرم از طریق دستگاه‌های USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر می‌شود و از دستگاه‌های ذخیره‌سازی متصل به شبکه QNAP که آسیب‌دیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده می‌کند.

این بدافزار که به نام کرم QNAP هم شناخته می‌شود، از یک باینری مجاز نصب‌کننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیب‌دیده استفاده می‌کند.
پایداری این کرم در دستگاه آسیب‌پذیر، با تغییرات Windows Registry جهت بارگیری پی‌لود مخرب بدست می‌آید که این امر از طریق باینری ویندوز "rundll32.exe" در فاز راه‌اندازی صورت می‌پذیرد.

QNAP  اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگی‌های باج‌افزار Checkmate است که دستگاه‌هایش را مورد هدف قرار می‌دهد، به طوری که پس از باج‌افزارهای AgeLocker،  eCh0raix و DeadBolt ، آن را به جدیدترین نوع از باج‌افزارها تبدیل کرده است. تحقیقات اولیه نشان می‌دهد که باج‌افزار Checkmate از طریق سرویس‌های SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده می‌کنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد می‌شود، داده‌ها را در پوشه‌های مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" می‌باشد را در هر پوشه قرار می‌دهد. شرکت تایوانی QNAP به مشتریان توصیه می‌کند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند، به طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخه‌ی منتشر شده، به‌روزرسانی کنند.

منبع

https://thehackernews.com/2022/07/researchers-warn-of-raspberry-robins.html

 

 

منوی نمایش در موبایل