اوپن سورسی که اوپن سورس نیست

افراد مخرب معمولا IOS رو بخاطر یوزر بیس و مشکلات امنیتیش مورد هدف قرار میدن ، با وجود تدابیر امنیتی قوی اپل، نقص‌های موجود توی سیستم‌عامل و برنامه‌های شخص ثالث می‌تونه مورد استفاده قرار بگیره که به شخص مخرب اجازه میده به دستگاه‌ها دسترسی پیدا کنن ، اما بسته به خلاقیت ...

محقق های ThreatFabric تازگیا متوجه شدن که بدافزار LightSpy برای iOS به‌روزرسانی شده و شامل 28 پلاگین با قابلیت‌های تخریبیه .

به‌روزرسانی بدافزار LightSpy برای iOS 
توی ماه مه 2024 انجام شده ، شرکت امنیت سایبری ThreatFabric تحولای قابل توجهی توی اکوسیستم بدافزار LightSpy کشف کرده ، تحقیقات اونا نسخه پیشرفته‌ای از “LightSpy” برای iOS (نسخه 7.9.0، ارتقا یافته از نسخه 6.0.0) رو شناسایی کردن که به طور قابل توجهی پیشرفت بزرگی رو توی قابلیت‌های مخرب خودش نشون داده. 

این بدافزار گسترش پیدا کرده و شامل 28 پلاگین متمایزه (که از 12 افزونه اصلی افزایش پیدا کرده ). از میون این پلاگینا ، هفت پلاگین به طور خاص طراحی شدن که قادر به مختل کردن عملکرد دستگاه هستن ، به ویژه با هدف قرار دادن فرایند راه‌اندازی از طریق دستوراتی مثل “/usr/sbin/nvram auto-boot=false”.

اینا اسم همون 25 افزونه هستن : 
- AppDelete 
- BaseInfo 
- Bootdestroy 
- Browser 
- BrowserDelete 
- cameramodule 
- ContactDelete 
- DeleteKernelFile 
- DeleteSpring 
- EnvironmentalRecording 
- FileManage 
- ios_line 
- ios_mail 
- ios_qq 
- ios_telegram 
- ios_wechat 
- ios_whatsapp 
- KeyChain 
- landevices 
- Location 
- MediaDelete 
- PushMessage 
- Screen_cap 
- ShellCommand 
- SMSDelete 
- SoftInfo 
- WifiDelete 
- WifiList

 
این بدافزاری که ازش حرف میزنیم از دو آسیب پذیری بحرانی استفاده میکنه :

- ‘CVE-2020-9802’ برای دسترسی اولیه به سیستم از طریق سوءاستفاده از WebKit. 
- ‘CVE-2020-3837’ برای افزایش سطح دسترسیش. 

و از طرفی هم این بدافزار از طریق پنج سرور فعال “C2” ارتباط خودشو حفظ میکنه و از “اتصالات WebSocket” برای انتقال دیتاش استفاده کرده و میگن اخرین بار همین تاریخ 26 اکتبر 2022 پیاده سازی شده .
 
افکشن چِین با یه “ HTML-based exploit delivery system ” شروع شده و بعدشم یه مرحله جیلبریک بوده که “FrameworkLoader” (که به عنوان “ircloader” هم شناخته میشه) رو پیاده‌­سازی کرده و بعدشم نصب “LightSpy Core” اصلی و پلاگینای اونو انجام داده .

این بدافزار از "حملات Day-1" (آسیب پذیری هایی که افشا شده و عمومی هستن) و تکنیک "rootless jailbreak" استفاده کرده که بعد از راه اندازی مجدد دستگاه قربانی پابرجا نمیمونه و میاد نسخه های خاص IOS رو از طریق حملات watering hole مورد هدف قرار میده .

بدافزار داستان ، شامل دوتا پنل مدیریتی بوده توی پورت های 3458 و 53501 و یه سرور کنترل اضافه ، از طرفی هم تحلیل دیتای موجود نشون داده که 15 نفر که توی هنگ کنگ و تقریبا جاهای دیگه ای از چین بودن که به یه شبکه Wi-fi به اسم "Haso6185G" وصل بودن ، از طرفی هم با برسی مسیر های (/Users/air/work/znfios/ios/، /Users/mac/dev/iosmm/ و...) مشخص شد این بدافزار سه توسعه دهنده داشته

یه آسیب‌پذیری امنیتی جدی توی دوربین‌های Hikvision کشف شده که می‌تونه به حمله‌کننده این اجازه رو بده که کریدنشیال‌های Dynamic DNS ( DDNS ) رو که به‌صورت متن ساده منتقل میشن رو به نحوی رهگیری کنن و این موضوع ممکنه تعداد زیادی از دستگاهارو در معرض دسترسی و دستکاری غیرمجاز قرار بده . 

این آسیب‌پذیری چندین مدل دوربین هایک‌ویژن رو تحت تأثیر قرار داده که از نسخه‌های قبل از به‌روزرسانی‌های امنیتی اخیری که هایک‌ویژن ارائه کرده استفاده میکردن ، مسأله به نحوه پیاده‌سازی خدمات DDNS توی این دوربین‌ها مربوط میشه‌ ، به‌ویژه DynDNS و NO-IP، جایی که اطلاعات شناسایی بدون رمزگذاری و از طریق HTTP به جای پروتکل امن HTTPS منتقل می‌شه.
 
محقق های امنیتی متوجه شدن که حمله‌کننده‌ها می‌تونن حملات man-in-the-middle رو اجرا کنن و کریدنشیال های سرویس DDNS رو کپچر کنن ، و بعدشم که ...
این آسیب‌پذیری میتونه خیلی نگران کننده باشه چراکه دوربین‌های هایک‌ویژن به طور گسترده‌ توی مکان‌های حساس و زیرساخت‌های حیاتی نصب شدن .

لیست محصولات تحت تأثیر :

DS-2CD1xxxG0 versions prior to V5.7.23 build241008
DS-2CD2xx1G0 versions prior to V5.7.23 build241008
DS-2CD3xx1G0 versions prior to V5.7.23 build241008
IPC-xxxxH versions prior to V5.7.23 build241008
DS-2CD29xxG0 versions prior to V5.7.21 build240814
DS-2CD1xxxG2 versions prior to V5.8.4 build240613
DS-2CD3xx1G2 versions prior to V5.8.4 build240613
HWI-xxxxHA versions prior to V5.8.4 build240613
IPC-xxxxHA versions prior to V5.8.4 build240613
DS-2CD2xxxG2 versions prior to V5.7.18 build240826
DS-2CD3xxxG2 versions prior to V5.7.18 build240826
DS-2CD2xxxFWD versions prior to V5.6.821 build240409

 
هایک‌ویژن به‌روزرسانی‌های نرم‌افزاری برای رفع این مشکل امنیتی منتشر کرده و دوربین‌ها رو تنظیم کرد تا فقط با HTTPS برای خدمات DDNS ارتباط برقرار کنن. این شرکت به شدت به کاربران توصیه می‌کنه :
 

- بلافاصله به آخرین نسخه نرم‌افزار به‌روزرسانی کنن .
- پسورد چنج کنن و پسورد قوی انتخاب کنن .
- شبکه‌های دوربین رو از چیزای حیاتی با استفاده از فایروال‌ها یا VLAN ها جدا کنن .
- به‌طور منظم تلاش‌های غیرمجاز برای دسترسی رو نظارت کنن .

سازمان‌هایی که از دوربین‌های هایک‌ویژن تحت تأثیر استفاده می‌کنن، باید این اقدامات امنیتی رو اولویتشون قرار بدن ، چراکه ترکیب کریدنشیال‌های DDNS و سایر آسیب‌پذیری‌های شناخته‌شده ممکنه باعث نفوذ به کل شبکه بشه .

شرکت اوکتا، که توی زمینه access & identity management پیشرو هست ، به‌تازگی یه آسیب‌پذیری حیاتی رو توی سیستم احراز هویت واگذاری شده AD/LDAP خودش شناسایی و برطرف کرده . تیم امنیتی اوکتا به‌صورت داخلی این نقص رو کشف کرده و به‌سرعت اونو رفع کرده ، اما از طرفی این داستان ممکنه باعث دسترسی غیرمجاز به حساب‌های کاربرا شده باشه .

این آسیب‌پذیری که توی تاریخ ۲۳ ژوئیه ۲۰۲۴ در حین یه به‌روزرسانی عادی پلتفرم معرفی شده بود ، که میاد مکانیزم تولید کلید کش اوکتا برای احراز هویت DelAuth AD/LDAP رو تحت تاثیر قرار میده .

این مشکل به استفاده از الگوریتم Bcrypt برای ایجاد کلیدهای کش از طریق هش کردن ترکیبی از شناسه کاربری، نام کاربری و کلمه عبور برمی‌گرده .

آسیب‌پذیری احراز هویت AD/LDAP اوکتا ؛
این نقص حیاتی به‌ویژه روی نام‌های کاربری که ۵۲ کاراکتر یا بیشتر بودن تأثیر گذاشته . تحت شرایط خاص ، این پیاده‌سازی می‌تونست اجازه بده تا فقط با یه نام کاربری که با یک تلاش ورود موفق گذشته که توی کش ذخیره شده بود، احراز هویت انجام شه و به‌این‌ترتیب نیاز به کلمه عبور رو کلا دور بزنه .
دو سناریو می‌تونه احتمالا آسیب‌پذیری رو فعال کنه :
1- زمانی که عامل احراز هویت خاموش و غیرقابل دسترس شده باشه.
2 - زمانایی که ترافیک بالا حاکمه .

توی این شرایط، سیستم احراز هویت واگذاری شده ( Delegated Authentication ) به جستجوی کش اولویت می‌داده، که ممکنه به دسترسی غیرمجاز منجر بشه . در حالی که پیش‌نیاز نام‌های کاربری ۵۲ کاراکتر یا بیشتر ممکنه دامنه آسیب‌پذیری رو محدود کنه ، سازمان‌هایی که از نام‌های کاربری بلند توی پیکربندی Active Directory یا LDAP خودشون استفاده می‌کنن، به‌صورت ویژه در معرض خطر قرار گرفتن .
این مشکل روی تمام پیاده‌سازی‌های DelAuth AD/LDAP اوکتا که بعد از ۲۳ ژوئیه ۲۰۲۴ مستقر شده بودن، تأثیر گذاشت .
بعد از کشف داخلی توی ۳۰ اکتبر ۲۰۲۴، تیم امنیتی اوکتا بلافاصله به این آسیب‌پذیری رسیدگی کرد. اصلاح شامل جایگزینی الگوریتم Bcrypt با PBKDF2 برای تولید کلید کش بود که به‌طور مؤثری شکاف امنیتی رو برطرف کرد.
پچ توی همون روز کشف، و توی محیط تولید اوکتا مستقر شد.
اوکتا از مشتریای آسیب‌دیده خواست تا سوابق سیستمی خودشونو بین ۲۳ ژوئیه ۲۰۲۴ و ۳۰ اکتبر ۲۰۲۴ بررسی کنن تا تلاش‌های احتمالی دسترسی غیرمجاز رو شناسایی کنن .
با توجه به اینکه سازمان‌ها بیشتر و بیشتر به راه‌حل‌های مدیریت هویت مبتنی بر کلود متکی هستن ، این رویداد نیاز حیاتی به مراقبت و اقدام‌های امنیتی پیشگیرانه برای حفاظت از داده‌های حساس کاربران و جلوگیری از دسترسی غیرمجاز به سیستم‌های حیاتی رو برجسته می‌کنه.

سلام
بعد از یه سری مشکلات ، اینور ،اونور ، کارای دانشگاه و وقت نکردن توی خوابگاه واسه رکورد کردن و خیلی مشکلات دیگه ، دوباره استارت میزنیم و این دفه هر هفته یه قسمت اپلود میشه تحت هر شرایطی .

از طرفی هم میریم سمت اخبار ها و هر چیز باحالی که دیدم رو براتون مینویسم...

شرکت Cloudflare که در زمینه زیرساخت وب و امنیت فعالیت می‌کنه، اعلام کرد که تونسته بزرگ‌ترین حمله DDoS تاریخ رو که قدرتش به 5.6 ترابیت بر ثانیه (Tbps) می‌رسید، شناسایی و مسدود کنه.

این حمله که از پروتکل UDP استفاده می‌کرد، در 29 اکتبر 2024 انجام شد و یکی از مشتریان Cloudflare رو که یه شرکت اینترنتی ناشناس از شرق آسیا بود، هدف قرار داد. این حمله از یه بات‌نت مبتنی بر Mirai شروع شده بود.

طبق گزارش Cloudflare، حمله فقط 80 ثانیه طول کشید و بیش از 13,000 دستگاه IoT (اینترنت اشیا) توی این حمله نقش داشتن. به طور میانگین، تو هر ثانیه حدود 5,500 آدرس IP منحصر به فرد شناسایی شد که هرکدوم حدود 1 گیگابیت بر ثانیه دیتا ارسال می‌کردن.

جالبه بدونید رکورد قبلی بزرگ‌ترین حمله DDoS هم توی اکتبر 2024 توسط خود Cloudflare گزارش شده بود که قدرتش 3.8 Tbps بود.

Cloudflare همچنین گفت تو سال 2024، حدود 21.3 میلیون حمله DDoS رو مسدود کرده، که نسبت به 2023 حدود 53 درصد افزایش داشته. تعداد حملاتی که قدرتشون از 1 Tbps بیشتر بوده هم 1,885 درصد  افزایش پیدا کرده. فقط توی سه‌ماهه آخر 2024، حدود 6.9 میلیون حمله DDoS توسط این شرکت خنثی شده.

چند نکته جالب دیگه از سه‌ماهه آخر 2024:

72.6% از تمام حملات HTTP DDoS توسط بات‌نت‌های شناخته‌شده انجام شدن.

سه روش رایج حمله توی لایه‌های شبکه (لایه 3 و 4) اینا بودن: SYN flood (38%)، DNS flood (16%)، و UDP flood (14%).

حملات Memcached DDoS، BitTorrent DDoS، و Ransom DDoS به ترتیب 314%، 304% و 78% رشد داشتن.

حدود 72% از حملات HTTP DDoS و 91% از حملات لایه شبکه کمتر از 10 دقیقه طول کشیدن.

کشورهایی مثل اندونزی، هنگ‌کنگ، سنگاپور، اوکراین، و آرژانتین بزرگ‌ترین منابع حملات بودن.

کشورهایی که بیشترین حملات رو دریافت کردن شامل چین، فیلیپین، تایوان، هنگ‌کنگ، و آلمان بودن.

بیشترین حملات به صنایع مخابرات، اینترنت، بازاریابی، فناوری اطلاعات و قمار انجام شده.
هم‌زمان، شرکت‌های امنیت سایبری Qualys و Trend Micro گزارش دادن که نسخه‌های جدیدی از بدافزار Mirai داره از آسیب‌پذیری‌های امنیتی و رمزهای ضعیف تو دستگاه‌های اینترنت اشیا سوءاستفاده می‌کنه و از اون‌ها برای حملات DDoS استفاده می‌شه.

پژوهشگرای امنیت سایبری هشدار دادن که یه کمپین بزرگ و گسترده داره از ضعف‌های امنیتی توی دوربین‌های AVTECH IP و روترهای Huawei HG532 سوءاستفاده می‌کنه تا این دستگاه‌ها رو وارد یه بات‌نت جدید به اسم Murdoc Botnet کنه.
طبق تحلیل‌های Shilpesh Trivedi از شرکت امنیتی Qualys، این حمله قابلیت‌های پیشرفته‌ای داره و از آسیب‌پذیری‌های مختلف برای نفوذ به دستگاه‌ها و گسترش شبکه بات‌نت استفاده می‌کنه.
این کمپین از جولای 2024 شروع شده و تا الان بیش از 1370 سیستم آلوده شدن. بیشتر این آلودگی‌ها تو کشورهایی مثل مالزی، مکزیک، تایلند، اندونزی، و ویتنام دیده شده.

این بات‌نت از ضعف‌های امنیتی شناخته‌شده مثل CVE-2017-17215 و CVE-2024-7029 استفاده می‌کنه تا به دستگاه‌های اینترنت اشیا (IoT) دسترسی اولیه پیدا کنه. بعد از اون، یه اسکریپت شِل رو اجرا می‌کنه که بدافزار بات‌نت رو دانلود می‌کنه و بسته به نوع پردازنده دستگاه اجراش می‌کنه. هدف نهایی این حمله اینه که بات‌نت رو برای انجام حملات DDoS آماده کنه.

چند هفته پیش هم یه نسخه دیگه از بات‌نت Mirai به اسم gayfemboy پیدا شد که داشت از یه ضعف امنیتی جدید توی روترهای صنعتی Four-Faith سوءاستفاده می‌کرد. همچنین، تو اواسط 2024، شرکت Akamai گزارش داده بود که CVE-2024-7029 توسط هکرها برای آلوده کردن دستگاه‌های AVTECH به یه بات‌نت استفاده شده بود.

طبق گفته شرکت Trend Micro، این بات‌نت از بدافزارهایی مثل نسخه‌های مشتق‌شده از Mirai و BASHLITE تشکیل شده. این بدافزارها می‌تونن روش‌های مختلفی برای حملات DDoS، آپدیت بدافزارها، و فعال‌سازی سرویس‌های پروکسی به کار ببرن.
حمله به این صورت انجام می‌شه که دستگاه‌های IoT آلوده می‌شن، یه Loader روشون نصب می‌شه، بعد اون بدافزار اصلی رو دانلود می‌کنه و به یه سرور C2 وصل می‌شه تا دستورات بعدی رو برای حملات DDoS یا کارهای دیگه بگیره .