جدیدا broadcom یه آپدیت امنیتی مهم رو منتشر کرده برای رفع یه سری آسیب پذیریایی که از دل vmware Vcenter server بیرون اومده و این آسیب پذیری به یه شخص مخرب که قصد بهره برداری داره اجازه میده به صورت ریموت ، کد دلخواهش رو اجرا کنه و از طرفی هم باعث افزایش دسترسی بشه .

میخوایم از دو نقص امنیتی CVE-2024-38812 , CVE-2024-38813 حرف بزنیم که چندین نسخه از Vcenter و VMware cloud foundation رو تحت تاثیر قرار داده اما آسیب پذیری 38812 نسبت به اون یکی شدید تره چراکه یه stack owerflow زمان اجرای پروتکل DCERPC رخ میده و این آسیب پذیری تونسته امتیاز 9.8 از 10 رو به دست بیاره ( به به ) .

جریان اینطوره که شخص مخرب یه نتورک اکسس داره حالا به نحوی ، به سرور Vcenter میاد یه پکت کرفت ارسال میکنه ، یک پکت کرفت ممکنه یه سری دیتا هایی داشته باشه که به شکلی تنظیم شده‌ تا نقاط ضعف موجود توی نرم‌افزار یا پروتکل رو هدف قرار بده ، توی این مورد ، آسیب‌پذیری ناشی از ورود داده‌ها به حافظه (heap memory) هستش که زمان اجرای پروتکل DCERPC اعتفاق میوفته . اگه یه مهاجم بتونه یه پکت کرفت (بسته خاص) به سرور vCenter ارسال کنه، این بسته می‌تونه به طوری تنظیم شده باشه که باعث شه سرور دیتا رو به درستی پردازش نکنه و منجر به overflow شه و حالا وقتشه که اکسپلویت بشه که نسخه 8.0 , 7.0 Vcenter و 5.x و 4.x از cloud foundation تاثیر میزاره .

علاوه بر این ، Broadcom CVE-2024-38813 رو اصلاح کرد ، یه آسیب‌پذیری افزایش امتیاز با CVSS 7.5 ، این نقص به یه مهاجم با دسترسی به شبکه اجازه میده تا با همون عمل پکت کرفتینگ امتیازشو به سطح روت افزایش بده . محققای Zbl و تیم TZL این آسیب‌پذیری‌ها رو در طول مسابقه امنیت سایبری جام ماتریکس 2024 توی چین کشف کردن .

خودشون که گفتن اولین بار توسط همین محقق ها کشف شده و گزارشی از بهره برداری ازش نیست اما خب کسی چه میدونه ، CVE رو سرچ کنید

🔰خبر از لینوس توروالدز
🔰حذف نگهدارندگان روسی از هسته لینوکس

🔹لینوس توروالدز، خالق لینوکس، تایید کرد که هفته گذشته حدود  11 تن از نگهدارندگان هسته لینوکس که روسی بودند، از فهرست نگهدارندگان حذف شده‌اند. در تاریخ ۱۸ اکتبر، گرگ کروهارتمن، یکی از توسعه‌دهندگان هسته لینوکس، پیامی در لیست پستی لینوکس منتشر کرد که نشان می‌داد 11تن  از توسعه‌دهندگان لینوکس از فهرست MAINTAINERS حذف شده‌اند.  همه نام‌های حذف‌شده  روسی  و بیشتر آن‌ها دارای آدرس ایمیل روسی (.ru) بودند. روسیه در حال حاضر تحت تحریم‌های دولتی آمریکا به دلیل تهاجم به اوکراین در فوریه ۲۰۲۲ و مسائل دیگر قرار دارد.

🔹ایالات متحده در ماه ژوئن 2024 تحریم‌هایی را علیه فروش و ارائه خدمات و نرم‌افزار IT به روسیه اعمال کرد. این تحریم‌ها در ماه سپتامبر اجرایی شدند و خدماتی از جمله Miro، ClickUp، Coda، Wix و Hubspot اعلام کردند که دیگر به مشتریان روسی خدمات ارائه نخواهند داد

افرادی که از لیست نگهدارندگان حذف شده‌اند، نظارت بر درایورهای مختلف لینوکس که قابلیت سازگاری با سخت‌افزارهایی مانند Acer و Cirrus Logic را دارند، را برعهده داشتند.

🔹لینوس توروالدز به چالش‌های مطرح‌شده در لیست پستی پاسخ داد و اعلام کرد که این تغییرات به دلیل رعایت الزامات مختلف انجام شده و برگشت‌پذیر نیستند. وی همچنین به مسئله تحریم‌های روسیه اشاره کرد و اعلام کرد که این تحریم‌ها فقط مربوط به آمریکا نیستند. توروالدز به کسانی که پچ‌های برگردانی ارسال می‌کنند هشدار داد که این کار فایده‌ای ندارد و تاکید کرد که او هرگز از تهاجمات روسیه حمایت نمی‌کند.


نویسنده: حسین سیلانی
منبع : کانال لینوکسی: لینوکس تی ان تی

اوپن سورسی که اوپن سورس نیست

افراد مخرب معمولا IOS رو بخاطر یوزر بیس و مشکلات امنیتیش مورد هدف قرار میدن ، با وجود تدابیر امنیتی قوی اپل، نقص‌های موجود توی سیستم‌عامل و برنامه‌های شخص ثالث می‌تونه مورد استفاده قرار بگیره که به شخص مخرب اجازه میده به دستگاه‌ها دسترسی پیدا کنن ، اما بسته به خلاقیت ...

محقق های ThreatFabric تازگیا متوجه شدن که بدافزار LightSpy برای iOS به‌روزرسانی شده و شامل 28 پلاگین با قابلیت‌های تخریبیه .

به‌روزرسانی بدافزار LightSpy برای iOS 
توی ماه مه 2024 انجام شده ، شرکت امنیت سایبری ThreatFabric تحولای قابل توجهی توی اکوسیستم بدافزار LightSpy کشف کرده ، تحقیقات اونا نسخه پیشرفته‌ای از “LightSpy” برای iOS (نسخه 7.9.0، ارتقا یافته از نسخه 6.0.0) رو شناسایی کردن که به طور قابل توجهی پیشرفت بزرگی رو توی قابلیت‌های مخرب خودش نشون داده. 

این بدافزار گسترش پیدا کرده و شامل 28 پلاگین متمایزه (که از 12 افزونه اصلی افزایش پیدا کرده ). از میون این پلاگینا ، هفت پلاگین به طور خاص طراحی شدن که قادر به مختل کردن عملکرد دستگاه هستن ، به ویژه با هدف قرار دادن فرایند راه‌اندازی از طریق دستوراتی مثل “/usr/sbin/nvram auto-boot=false”.

اینا اسم همون 25 افزونه هستن : 
- AppDelete 
- BaseInfo 
- Bootdestroy 
- Browser 
- BrowserDelete 
- cameramodule 
- ContactDelete 
- DeleteKernelFile 
- DeleteSpring 
- EnvironmentalRecording 
- FileManage 
- ios_line 
- ios_mail 
- ios_qq 
- ios_telegram 
- ios_wechat 
- ios_whatsapp 
- KeyChain 
- landevices 
- Location 
- MediaDelete 
- PushMessage 
- Screen_cap 
- ShellCommand 
- SMSDelete 
- SoftInfo 
- WifiDelete 
- WifiList

 
این بدافزاری که ازش حرف میزنیم از دو آسیب پذیری بحرانی استفاده میکنه :

- ‘CVE-2020-9802’ برای دسترسی اولیه به سیستم از طریق سوءاستفاده از WebKit. 
- ‘CVE-2020-3837’ برای افزایش سطح دسترسیش. 

و از طرفی هم این بدافزار از طریق پنج سرور فعال “C2” ارتباط خودشو حفظ میکنه و از “اتصالات WebSocket” برای انتقال دیتاش استفاده کرده و میگن اخرین بار همین تاریخ 26 اکتبر 2022 پیاده سازی شده .
 
افکشن چِین با یه “ HTML-based exploit delivery system ” شروع شده و بعدشم یه مرحله جیلبریک بوده که “FrameworkLoader” (که به عنوان “ircloader” هم شناخته میشه) رو پیاده‌­سازی کرده و بعدشم نصب “LightSpy Core” اصلی و پلاگینای اونو انجام داده .

این بدافزار از "حملات Day-1" (آسیب پذیری هایی که افشا شده و عمومی هستن) و تکنیک "rootless jailbreak" استفاده کرده که بعد از راه اندازی مجدد دستگاه قربانی پابرجا نمیمونه و میاد نسخه های خاص IOS رو از طریق حملات watering hole مورد هدف قرار میده .

بدافزار داستان ، شامل دوتا پنل مدیریتی بوده توی پورت های 3458 و 53501 و یه سرور کنترل اضافه ، از طرفی هم تحلیل دیتای موجود نشون داده که 15 نفر که توی هنگ کنگ و تقریبا جاهای دیگه ای از چین بودن که به یه شبکه Wi-fi به اسم "Haso6185G" وصل بودن ، از طرفی هم با برسی مسیر های (/Users/air/work/znfios/ios/، /Users/mac/dev/iosmm/ و...) مشخص شد این بدافزار سه توسعه دهنده داشته

یه آسیب‌پذیری امنیتی جدی توی دوربین‌های Hikvision کشف شده که می‌تونه به حمله‌کننده این اجازه رو بده که کریدنشیال‌های Dynamic DNS ( DDNS ) رو که به‌صورت متن ساده منتقل میشن رو به نحوی رهگیری کنن و این موضوع ممکنه تعداد زیادی از دستگاهارو در معرض دسترسی و دستکاری غیرمجاز قرار بده . 

این آسیب‌پذیری چندین مدل دوربین هایک‌ویژن رو تحت تأثیر قرار داده که از نسخه‌های قبل از به‌روزرسانی‌های امنیتی اخیری که هایک‌ویژن ارائه کرده استفاده میکردن ، مسأله به نحوه پیاده‌سازی خدمات DDNS توی این دوربین‌ها مربوط میشه‌ ، به‌ویژه DynDNS و NO-IP، جایی که اطلاعات شناسایی بدون رمزگذاری و از طریق HTTP به جای پروتکل امن HTTPS منتقل می‌شه.
 
محقق های امنیتی متوجه شدن که حمله‌کننده‌ها می‌تونن حملات man-in-the-middle رو اجرا کنن و کریدنشیال های سرویس DDNS رو کپچر کنن ، و بعدشم که ...
این آسیب‌پذیری میتونه خیلی نگران کننده باشه چراکه دوربین‌های هایک‌ویژن به طور گسترده‌ توی مکان‌های حساس و زیرساخت‌های حیاتی نصب شدن .

لیست محصولات تحت تأثیر :

DS-2CD1xxxG0 versions prior to V5.7.23 build241008
DS-2CD2xx1G0 versions prior to V5.7.23 build241008
DS-2CD3xx1G0 versions prior to V5.7.23 build241008
IPC-xxxxH versions prior to V5.7.23 build241008
DS-2CD29xxG0 versions prior to V5.7.21 build240814
DS-2CD1xxxG2 versions prior to V5.8.4 build240613
DS-2CD3xx1G2 versions prior to V5.8.4 build240613
HWI-xxxxHA versions prior to V5.8.4 build240613
IPC-xxxxHA versions prior to V5.8.4 build240613
DS-2CD2xxxG2 versions prior to V5.7.18 build240826
DS-2CD3xxxG2 versions prior to V5.7.18 build240826
DS-2CD2xxxFWD versions prior to V5.6.821 build240409

 
هایک‌ویژن به‌روزرسانی‌های نرم‌افزاری برای رفع این مشکل امنیتی منتشر کرده و دوربین‌ها رو تنظیم کرد تا فقط با HTTPS برای خدمات DDNS ارتباط برقرار کنن. این شرکت به شدت به کاربران توصیه می‌کنه :
 

- بلافاصله به آخرین نسخه نرم‌افزار به‌روزرسانی کنن .
- پسورد چنج کنن و پسورد قوی انتخاب کنن .
- شبکه‌های دوربین رو از چیزای حیاتی با استفاده از فایروال‌ها یا VLAN ها جدا کنن .
- به‌طور منظم تلاش‌های غیرمجاز برای دسترسی رو نظارت کنن .

سازمان‌هایی که از دوربین‌های هایک‌ویژن تحت تأثیر استفاده می‌کنن، باید این اقدامات امنیتی رو اولویتشون قرار بدن ، چراکه ترکیب کریدنشیال‌های DDNS و سایر آسیب‌پذیری‌های شناخته‌شده ممکنه باعث نفوذ به کل شبکه بشه .

شرکت اوکتا، که توی زمینه access & identity management پیشرو هست ، به‌تازگی یه آسیب‌پذیری حیاتی رو توی سیستم احراز هویت واگذاری شده AD/LDAP خودش شناسایی و برطرف کرده . تیم امنیتی اوکتا به‌صورت داخلی این نقص رو کشف کرده و به‌سرعت اونو رفع کرده ، اما از طرفی این داستان ممکنه باعث دسترسی غیرمجاز به حساب‌های کاربرا شده باشه .

این آسیب‌پذیری که توی تاریخ ۲۳ ژوئیه ۲۰۲۴ در حین یه به‌روزرسانی عادی پلتفرم معرفی شده بود ، که میاد مکانیزم تولید کلید کش اوکتا برای احراز هویت DelAuth AD/LDAP رو تحت تاثیر قرار میده .

این مشکل به استفاده از الگوریتم Bcrypt برای ایجاد کلیدهای کش از طریق هش کردن ترکیبی از شناسه کاربری، نام کاربری و کلمه عبور برمی‌گرده .

آسیب‌پذیری احراز هویت AD/LDAP اوکتا ؛
این نقص حیاتی به‌ویژه روی نام‌های کاربری که ۵۲ کاراکتر یا بیشتر بودن تأثیر گذاشته . تحت شرایط خاص ، این پیاده‌سازی می‌تونست اجازه بده تا فقط با یه نام کاربری که با یک تلاش ورود موفق گذشته که توی کش ذخیره شده بود، احراز هویت انجام شه و به‌این‌ترتیب نیاز به کلمه عبور رو کلا دور بزنه .
دو سناریو می‌تونه احتمالا آسیب‌پذیری رو فعال کنه :
1- زمانی که عامل احراز هویت خاموش و غیرقابل دسترس شده باشه.
2 - زمانایی که ترافیک بالا حاکمه .

توی این شرایط، سیستم احراز هویت واگذاری شده ( Delegated Authentication ) به جستجوی کش اولویت می‌داده، که ممکنه به دسترسی غیرمجاز منجر بشه . در حالی که پیش‌نیاز نام‌های کاربری ۵۲ کاراکتر یا بیشتر ممکنه دامنه آسیب‌پذیری رو محدود کنه ، سازمان‌هایی که از نام‌های کاربری بلند توی پیکربندی Active Directory یا LDAP خودشون استفاده می‌کنن، به‌صورت ویژه در معرض خطر قرار گرفتن .
این مشکل روی تمام پیاده‌سازی‌های DelAuth AD/LDAP اوکتا که بعد از ۲۳ ژوئیه ۲۰۲۴ مستقر شده بودن، تأثیر گذاشت .
بعد از کشف داخلی توی ۳۰ اکتبر ۲۰۲۴، تیم امنیتی اوکتا بلافاصله به این آسیب‌پذیری رسیدگی کرد. اصلاح شامل جایگزینی الگوریتم Bcrypt با PBKDF2 برای تولید کلید کش بود که به‌طور مؤثری شکاف امنیتی رو برطرف کرد.
پچ توی همون روز کشف، و توی محیط تولید اوکتا مستقر شد.
اوکتا از مشتریای آسیب‌دیده خواست تا سوابق سیستمی خودشونو بین ۲۳ ژوئیه ۲۰۲۴ و ۳۰ اکتبر ۲۰۲۴ بررسی کنن تا تلاش‌های احتمالی دسترسی غیرمجاز رو شناسایی کنن .
با توجه به اینکه سازمان‌ها بیشتر و بیشتر به راه‌حل‌های مدیریت هویت مبتنی بر کلود متکی هستن ، این رویداد نیاز حیاتی به مراقبت و اقدام‌های امنیتی پیشگیرانه برای حفاظت از داده‌های حساس کاربران و جلوگیری از دسترسی غیرمجاز به سیستم‌های حیاتی رو برجسته می‌کنه.