افراد مخرب معمولا IOS رو بخاطر یوزر بیس و مشکلات امنیتیش مورد هدف قرار میدن ، با وجود تدابیر امنیتی قوی اپل، نقصهای موجود توی سیستمعامل و برنامههای شخص ثالث میتونه مورد استفاده قرار بگیره که به شخص مخرب اجازه میده به دستگاهها دسترسی پیدا کنن ، اما بسته به خلاقیت ...
محقق های ThreatFabric تازگیا متوجه شدن که بدافزار LightSpy برای iOS بهروزرسانی شده و شامل 28 پلاگین با قابلیتهای تخریبیه .
بهروزرسانی بدافزار LightSpy برای iOS
توی ماه مه 2024 انجام شده ، شرکت امنیت سایبری ThreatFabric تحولای قابل توجهی توی اکوسیستم بدافزار LightSpy کشف کرده ، تحقیقات اونا نسخه پیشرفتهای از “LightSpy” برای iOS (نسخه 7.9.0، ارتقا یافته از نسخه 6.0.0) رو شناسایی کردن که به طور قابل توجهی پیشرفت بزرگی رو توی قابلیتهای مخرب خودش نشون داده.
این بدافزار گسترش پیدا کرده و شامل 28 پلاگین متمایزه (که از 12 افزونه اصلی افزایش پیدا کرده ). از میون این پلاگینا ، هفت پلاگین به طور خاص طراحی شدن که قادر به مختل کردن عملکرد دستگاه هستن ، به ویژه با هدف قرار دادن فرایند راهاندازی از طریق دستوراتی مثل “/usr/sbin/nvram auto-boot=false”.
این بدافزاری که ازش حرف میزنیم از دو آسیب پذیری بحرانی استفاده میکنه :
- ‘CVE-2020-9802’ برای دسترسی اولیه به سیستم از طریق سوءاستفاده از WebKit.
- ‘CVE-2020-3837’ برای افزایش سطح دسترسیش.
و از طرفی هم این بدافزار از طریق پنج سرور فعال “C2” ارتباط خودشو حفظ میکنه و از “اتصالات WebSocket” برای انتقال دیتاش استفاده کرده و میگن اخرین بار همین تاریخ 26 اکتبر 2022 پیاده سازی شده .
افکشن چِین با یه “ HTML-based exploit delivery system ” شروع شده و بعدشم یه مرحله جیلبریک بوده که “FrameworkLoader” (که به عنوان “ircloader” هم شناخته میشه) رو پیادهسازی کرده و بعدشم نصب “LightSpy Core” اصلی و پلاگینای اونو انجام داده .
این بدافزار از "حملات Day-1" (آسیب پذیری هایی که افشا شده و عمومی هستن) و تکنیک "rootless jailbreak" استفاده کرده که بعد از راه اندازی مجدد دستگاه قربانی پابرجا نمیمونه و میاد نسخه های خاص IOS رو از طریق حملات watering hole مورد هدف قرار میده .
بدافزار داستان ، شامل دوتا پنل مدیریتی بوده توی پورت های 3458 و 53501 و یه سرور کنترل اضافه ، از طرفی هم تحلیل دیتای موجود نشون داده که 15 نفر که توی هنگ کنگ و تقریبا جاهای دیگه ای از چین بودن که به یه شبکه Wi-fi به اسم "Haso6185G" وصل بودن ، از طرفی هم با برسی مسیر های (/Users/air/work/znfios/ios/، /Users/mac/dev/iosmm/ و...) مشخص شد این بدافزار سه توسعه دهنده داشته
محقق های ThreatFabric تازگیا متوجه شدن که بدافزار LightSpy برای iOS بهروزرسانی شده و شامل 28 پلاگین با قابلیتهای تخریبیه .
بهروزرسانی بدافزار LightSpy برای iOS
توی ماه مه 2024 انجام شده ، شرکت امنیت سایبری ThreatFabric تحولای قابل توجهی توی اکوسیستم بدافزار LightSpy کشف کرده ، تحقیقات اونا نسخه پیشرفتهای از “LightSpy” برای iOS (نسخه 7.9.0، ارتقا یافته از نسخه 6.0.0) رو شناسایی کردن که به طور قابل توجهی پیشرفت بزرگی رو توی قابلیتهای مخرب خودش نشون داده.
این بدافزار گسترش پیدا کرده و شامل 28 پلاگین متمایزه (که از 12 افزونه اصلی افزایش پیدا کرده ). از میون این پلاگینا ، هفت پلاگین به طور خاص طراحی شدن که قادر به مختل کردن عملکرد دستگاه هستن ، به ویژه با هدف قرار دادن فرایند راهاندازی از طریق دستوراتی مثل “/usr/sbin/nvram auto-boot=false”.
اینا اسم همون 25 افزونه هستن :
- AppDelete
- BaseInfo
- Bootdestroy
- Browser
- BrowserDelete
- cameramodule
- ContactDelete
- DeleteKernelFile
- DeleteSpring
- EnvironmentalRecording
- FileManage
- ios_line
- ios_mail
- ios_qq
- ios_telegram
- ios_wechat
- ios_whatsapp
- KeyChain
- landevices
- Location
- MediaDelete
- PushMessage
- Screen_cap
- ShellCommand
- SMSDelete
- SoftInfo
- WifiDelete
- WifiList
این بدافزاری که ازش حرف میزنیم از دو آسیب پذیری بحرانی استفاده میکنه :
- ‘CVE-2020-9802’ برای دسترسی اولیه به سیستم از طریق سوءاستفاده از WebKit.
- ‘CVE-2020-3837’ برای افزایش سطح دسترسیش.
و از طرفی هم این بدافزار از طریق پنج سرور فعال “C2” ارتباط خودشو حفظ میکنه و از “اتصالات WebSocket” برای انتقال دیتاش استفاده کرده و میگن اخرین بار همین تاریخ 26 اکتبر 2022 پیاده سازی شده .
افکشن چِین با یه “ HTML-based exploit delivery system ” شروع شده و بعدشم یه مرحله جیلبریک بوده که “FrameworkLoader” (که به عنوان “ircloader” هم شناخته میشه) رو پیادهسازی کرده و بعدشم نصب “LightSpy Core” اصلی و پلاگینای اونو انجام داده .
این بدافزار از "حملات Day-1" (آسیب پذیری هایی که افشا شده و عمومی هستن) و تکنیک "rootless jailbreak" استفاده کرده که بعد از راه اندازی مجدد دستگاه قربانی پابرجا نمیمونه و میاد نسخه های خاص IOS رو از طریق حملات watering hole مورد هدف قرار میده .
بدافزار داستان ، شامل دوتا پنل مدیریتی بوده توی پورت های 3458 و 53501 و یه سرور کنترل اضافه ، از طرفی هم تحلیل دیتای موجود نشون داده که 15 نفر که توی هنگ کنگ و تقریبا جاهای دیگه ای از چین بودن که به یه شبکه Wi-fi به اسم "Haso6185G" وصل بودن ، از طرفی هم با برسی مسیر های (/Users/air/work/znfios/ios/، /Users/mac/dev/iosmm/ و...) مشخص شد این بدافزار سه توسعه دهنده داشته
👍6🌭2
یه آسیبپذیری امنیتی جدی توی دوربینهای Hikvision کشف شده که میتونه به حملهکننده این اجازه رو بده که کریدنشیالهای Dynamic DNS ( DDNS ) رو که بهصورت متن ساده منتقل میشن رو به نحوی رهگیری کنن و این موضوع ممکنه تعداد زیادی از دستگاهارو در معرض دسترسی و دستکاری غیرمجاز قرار بده .
این آسیبپذیری چندین مدل دوربین هایکویژن رو تحت تأثیر قرار داده که از نسخههای قبل از بهروزرسانیهای امنیتی اخیری که هایکویژن ارائه کرده استفاده میکردن ، مسأله به نحوه پیادهسازی خدمات DDNS توی این دوربینها مربوط میشه ، بهویژه DynDNS و NO-IP، جایی که اطلاعات شناسایی بدون رمزگذاری و از طریق HTTP به جای پروتکل امن HTTPS منتقل میشه.
محقق های امنیتی متوجه شدن که حملهکنندهها میتونن حملات man-in-the-middle رو اجرا کنن و کریدنشیال های سرویس DDNS رو کپچر کنن ، و بعدشم که ...
این آسیبپذیری میتونه خیلی نگران کننده باشه چراکه دوربینهای هایکویژن به طور گسترده توی مکانهای حساس و زیرساختهای حیاتی نصب شدن .
لیست محصولات تحت تأثیر :
هایکویژن بهروزرسانیهای نرمافزاری برای رفع این مشکل امنیتی منتشر کرده و دوربینها رو تنظیم کرد تا فقط با HTTPS برای خدمات DDNS ارتباط برقرار کنن. این شرکت به شدت به کاربران توصیه میکنه :
سازمانهایی که از دوربینهای هایکویژن تحت تأثیر استفاده میکنن، باید این اقدامات امنیتی رو اولویتشون قرار بدن ، چراکه ترکیب کریدنشیالهای DDNS و سایر آسیبپذیریهای شناختهشده ممکنه باعث نفوذ به کل شبکه بشه .
این آسیبپذیری چندین مدل دوربین هایکویژن رو تحت تأثیر قرار داده که از نسخههای قبل از بهروزرسانیهای امنیتی اخیری که هایکویژن ارائه کرده استفاده میکردن ، مسأله به نحوه پیادهسازی خدمات DDNS توی این دوربینها مربوط میشه ، بهویژه DynDNS و NO-IP، جایی که اطلاعات شناسایی بدون رمزگذاری و از طریق HTTP به جای پروتکل امن HTTPS منتقل میشه.
محقق های امنیتی متوجه شدن که حملهکنندهها میتونن حملات man-in-the-middle رو اجرا کنن و کریدنشیال های سرویس DDNS رو کپچر کنن ، و بعدشم که ...
این آسیبپذیری میتونه خیلی نگران کننده باشه چراکه دوربینهای هایکویژن به طور گسترده توی مکانهای حساس و زیرساختهای حیاتی نصب شدن .
لیست محصولات تحت تأثیر :
DS-2CD1xxxG0 versions prior to V5.7.23 build241008
DS-2CD2xx1G0 versions prior to V5.7.23 build241008
DS-2CD3xx1G0 versions prior to V5.7.23 build241008
IPC-xxxxH versions prior to V5.7.23 build241008
DS-2CD29xxG0 versions prior to V5.7.21 build240814
DS-2CD1xxxG2 versions prior to V5.8.4 build240613
DS-2CD3xx1G2 versions prior to V5.8.4 build240613
HWI-xxxxHA versions prior to V5.8.4 build240613
IPC-xxxxHA versions prior to V5.8.4 build240613
DS-2CD2xxxG2 versions prior to V5.7.18 build240826
DS-2CD3xxxG2 versions prior to V5.7.18 build240826
DS-2CD2xxxFWD versions prior to V5.6.821 build240409
هایکویژن بهروزرسانیهای نرمافزاری برای رفع این مشکل امنیتی منتشر کرده و دوربینها رو تنظیم کرد تا فقط با HTTPS برای خدمات DDNS ارتباط برقرار کنن. این شرکت به شدت به کاربران توصیه میکنه :
- بلافاصله به آخرین نسخه نرمافزار بهروزرسانی کنن .
- پسورد چنج کنن و پسورد قوی انتخاب کنن .
- شبکههای دوربین رو از چیزای حیاتی با استفاده از فایروالها یا VLAN ها جدا کنن .
- بهطور منظم تلاشهای غیرمجاز برای دسترسی رو نظارت کنن .
سازمانهایی که از دوربینهای هایکویژن تحت تأثیر استفاده میکنن، باید این اقدامات امنیتی رو اولویتشون قرار بدن ، چراکه ترکیب کریدنشیالهای DDNS و سایر آسیبپذیریهای شناختهشده ممکنه باعث نفوذ به کل شبکه بشه .
👍3🌭2
شرکت اوکتا، که توی زمینه access & identity management پیشرو هست ، بهتازگی یه آسیبپذیری حیاتی رو توی سیستم احراز هویت واگذاری شده AD/LDAP خودش شناسایی و برطرف کرده . تیم امنیتی اوکتا بهصورت داخلی این نقص رو کشف کرده و بهسرعت اونو رفع کرده ، اما از طرفی این داستان ممکنه باعث دسترسی غیرمجاز به حسابهای کاربرا شده باشه .
این آسیبپذیری که توی تاریخ ۲۳ ژوئیه ۲۰۲۴ در حین یه بهروزرسانی عادی پلتفرم معرفی شده بود ، که میاد مکانیزم تولید کلید کش اوکتا برای احراز هویت DelAuth AD/LDAP رو تحت تاثیر قرار میده .
این مشکل به استفاده از الگوریتم Bcrypt برای ایجاد کلیدهای کش از طریق هش کردن ترکیبی از شناسه کاربری، نام کاربری و کلمه عبور برمیگرده .
آسیبپذیری احراز هویت AD/LDAP اوکتا ؛
این نقص حیاتی بهویژه روی نامهای کاربری که ۵۲ کاراکتر یا بیشتر بودن تأثیر گذاشته . تحت شرایط خاص ، این پیادهسازی میتونست اجازه بده تا فقط با یه نام کاربری که با یک تلاش ورود موفق گذشته که توی کش ذخیره شده بود، احراز هویت انجام شه و بهاینترتیب نیاز به کلمه عبور رو کلا دور بزنه .
دو سناریو میتونه احتمالا آسیبپذیری رو فعال کنه :
1- زمانی که عامل احراز هویت خاموش و غیرقابل دسترس شده باشه.
2 - زمانایی که ترافیک بالا حاکمه .
توی این شرایط، سیستم احراز هویت واگذاری شده ( Delegated Authentication ) به جستجوی کش اولویت میداده، که ممکنه به دسترسی غیرمجاز منجر بشه . در حالی که پیشنیاز نامهای کاربری ۵۲ کاراکتر یا بیشتر ممکنه دامنه آسیبپذیری رو محدود کنه ، سازمانهایی که از نامهای کاربری بلند توی پیکربندی Active Directory یا LDAP خودشون استفاده میکنن، بهصورت ویژه در معرض خطر قرار گرفتن .
این مشکل روی تمام پیادهسازیهای DelAuth AD/LDAP اوکتا که بعد از ۲۳ ژوئیه ۲۰۲۴ مستقر شده بودن، تأثیر گذاشت .
بعد از کشف داخلی توی ۳۰ اکتبر ۲۰۲۴، تیم امنیتی اوکتا بلافاصله به این آسیبپذیری رسیدگی کرد. اصلاح شامل جایگزینی الگوریتم Bcrypt با PBKDF2 برای تولید کلید کش بود که بهطور مؤثری شکاف امنیتی رو برطرف کرد.
پچ توی همون روز کشف، و توی محیط تولید اوکتا مستقر شد.
اوکتا از مشتریای آسیبدیده خواست تا سوابق سیستمی خودشونو بین ۲۳ ژوئیه ۲۰۲۴ و ۳۰ اکتبر ۲۰۲۴ بررسی کنن تا تلاشهای احتمالی دسترسی غیرمجاز رو شناسایی کنن .
با توجه به اینکه سازمانها بیشتر و بیشتر به راهحلهای مدیریت هویت مبتنی بر کلود متکی هستن ، این رویداد نیاز حیاتی به مراقبت و اقدامهای امنیتی پیشگیرانه برای حفاظت از دادههای حساس کاربران و جلوگیری از دسترسی غیرمجاز به سیستمهای حیاتی رو برجسته میکنه.
این آسیبپذیری که توی تاریخ ۲۳ ژوئیه ۲۰۲۴ در حین یه بهروزرسانی عادی پلتفرم معرفی شده بود ، که میاد مکانیزم تولید کلید کش اوکتا برای احراز هویت DelAuth AD/LDAP رو تحت تاثیر قرار میده .
این مشکل به استفاده از الگوریتم Bcrypt برای ایجاد کلیدهای کش از طریق هش کردن ترکیبی از شناسه کاربری، نام کاربری و کلمه عبور برمیگرده .
آسیبپذیری احراز هویت AD/LDAP اوکتا ؛
این نقص حیاتی بهویژه روی نامهای کاربری که ۵۲ کاراکتر یا بیشتر بودن تأثیر گذاشته . تحت شرایط خاص ، این پیادهسازی میتونست اجازه بده تا فقط با یه نام کاربری که با یک تلاش ورود موفق گذشته که توی کش ذخیره شده بود، احراز هویت انجام شه و بهاینترتیب نیاز به کلمه عبور رو کلا دور بزنه .
دو سناریو میتونه احتمالا آسیبپذیری رو فعال کنه :
1- زمانی که عامل احراز هویت خاموش و غیرقابل دسترس شده باشه.
2 - زمانایی که ترافیک بالا حاکمه .
توی این شرایط، سیستم احراز هویت واگذاری شده ( Delegated Authentication ) به جستجوی کش اولویت میداده، که ممکنه به دسترسی غیرمجاز منجر بشه . در حالی که پیشنیاز نامهای کاربری ۵۲ کاراکتر یا بیشتر ممکنه دامنه آسیبپذیری رو محدود کنه ، سازمانهایی که از نامهای کاربری بلند توی پیکربندی Active Directory یا LDAP خودشون استفاده میکنن، بهصورت ویژه در معرض خطر قرار گرفتن .
این مشکل روی تمام پیادهسازیهای DelAuth AD/LDAP اوکتا که بعد از ۲۳ ژوئیه ۲۰۲۴ مستقر شده بودن، تأثیر گذاشت .
بعد از کشف داخلی توی ۳۰ اکتبر ۲۰۲۴، تیم امنیتی اوکتا بلافاصله به این آسیبپذیری رسیدگی کرد. اصلاح شامل جایگزینی الگوریتم Bcrypt با PBKDF2 برای تولید کلید کش بود که بهطور مؤثری شکاف امنیتی رو برطرف کرد.
پچ توی همون روز کشف، و توی محیط تولید اوکتا مستقر شد.
اوکتا از مشتریای آسیبدیده خواست تا سوابق سیستمی خودشونو بین ۲۳ ژوئیه ۲۰۲۴ و ۳۰ اکتبر ۲۰۲۴ بررسی کنن تا تلاشهای احتمالی دسترسی غیرمجاز رو شناسایی کنن .
با توجه به اینکه سازمانها بیشتر و بیشتر به راهحلهای مدیریت هویت مبتنی بر کلود متکی هستن ، این رویداد نیاز حیاتی به مراقبت و اقدامهای امنیتی پیشگیرانه برای حفاظت از دادههای حساس کاربران و جلوگیری از دسترسی غیرمجاز به سیستمهای حیاتی رو برجسته میکنه.
Cyber Security News
What is Authentication? – Types, Role & How it Works!
Authentication is verifying a user's or system's identity. Types - Single-Factor Authentication and Two-Factor Authentication.
👍2🌭2
سلام
بعد از یه سری مشکلات ، اینور ،اونور ، کارای دانشگاه و وقت نکردن توی خوابگاه واسه رکورد کردن و خیلی مشکلات دیگه ، دوباره استارت میزنیم و این دفه هر هفته یه قسمت اپلود میشه تحت هر شرایطی .
از طرفی هم میریم سمت اخبار ها و هر چیز باحالی که دیدم رو براتون مینویسم...
بعد از یه سری مشکلات ، اینور ،اونور ، کارای دانشگاه و وقت نکردن توی خوابگاه واسه رکورد کردن و خیلی مشکلات دیگه ، دوباره استارت میزنیم و این دفه هر هفته یه قسمت اپلود میشه تحت هر شرایطی .
از طرفی هم میریم سمت اخبار ها و هر چیز باحالی که دیدم رو براتون مینویسم...
👍6🔥5❤1🤣1
شرکت Cloudflare که در زمینه زیرساخت وب و امنیت فعالیت میکنه، اعلام کرد که تونسته بزرگترین حمله DDoS تاریخ رو که قدرتش به 5.6 ترابیت بر ثانیه (Tbps) میرسید، شناسایی و مسدود کنه.
این حمله که از پروتکل UDP استفاده میکرد، در 29 اکتبر 2024 انجام شد و یکی از مشتریان Cloudflare رو که یه شرکت اینترنتی ناشناس از شرق آسیا بود، هدف قرار داد. این حمله از یه باتنت مبتنی بر Mirai شروع شده بود.
طبق گزارش Cloudflare، حمله فقط 80 ثانیه طول کشید و بیش از 13,000 دستگاه IoT (اینترنت اشیا) توی این حمله نقش داشتن. به طور میانگین، تو هر ثانیه حدود 5,500 آدرس IP منحصر به فرد شناسایی شد که هرکدوم حدود 1 گیگابیت بر ثانیه دیتا ارسال میکردن.
جالبه بدونید رکورد قبلی بزرگترین حمله DDoS هم توی اکتبر 2024 توسط خود Cloudflare گزارش شده بود که قدرتش 3.8 Tbps بود.
Cloudflare همچنین گفت تو سال 2024، حدود 21.3 میلیون حمله DDoS رو مسدود کرده، که نسبت به 2023 حدود 53 درصد افزایش داشته. تعداد حملاتی که قدرتشون از 1 Tbps بیشتر بوده هم 1,885 درصد افزایش پیدا کرده. فقط توی سهماهه آخر 2024، حدود 6.9 میلیون حمله DDoS توسط این شرکت خنثی شده.
چند نکته جالب دیگه از سهماهه آخر 2024:
بیشترین حملات به صنایع مخابرات، اینترنت، بازاریابی، فناوری اطلاعات و قمار انجام شده.
همزمان، شرکتهای امنیت سایبری Qualys و Trend Micro گزارش دادن که نسخههای جدیدی از بدافزار Mirai داره از آسیبپذیریهای امنیتی و رمزهای ضعیف تو دستگاههای اینترنت اشیا سوءاستفاده میکنه و از اونها برای حملات DDoS استفاده میشه.
این حمله که از پروتکل UDP استفاده میکرد، در 29 اکتبر 2024 انجام شد و یکی از مشتریان Cloudflare رو که یه شرکت اینترنتی ناشناس از شرق آسیا بود، هدف قرار داد. این حمله از یه باتنت مبتنی بر Mirai شروع شده بود.
طبق گزارش Cloudflare، حمله فقط 80 ثانیه طول کشید و بیش از 13,000 دستگاه IoT (اینترنت اشیا) توی این حمله نقش داشتن. به طور میانگین، تو هر ثانیه حدود 5,500 آدرس IP منحصر به فرد شناسایی شد که هرکدوم حدود 1 گیگابیت بر ثانیه دیتا ارسال میکردن.
جالبه بدونید رکورد قبلی بزرگترین حمله DDoS هم توی اکتبر 2024 توسط خود Cloudflare گزارش شده بود که قدرتش 3.8 Tbps بود.
Cloudflare همچنین گفت تو سال 2024، حدود 21.3 میلیون حمله DDoS رو مسدود کرده، که نسبت به 2023 حدود 53 درصد افزایش داشته. تعداد حملاتی که قدرتشون از 1 Tbps بیشتر بوده هم 1,885 درصد افزایش پیدا کرده. فقط توی سهماهه آخر 2024، حدود 6.9 میلیون حمله DDoS توسط این شرکت خنثی شده.
چند نکته جالب دیگه از سهماهه آخر 2024:
72.6% از تمام حملات HTTP DDoS توسط باتنتهای شناختهشده انجام شدن.
سه روش رایج حمله توی لایههای شبکه (لایه 3 و 4) اینا بودن: SYN flood (38%)، DNS flood (16%)، و UDP flood (14%).
حملات Memcached DDoS، BitTorrent DDoS، و Ransom DDoS به ترتیب 314%، 304% و 78% رشد داشتن.
حدود 72% از حملات HTTP DDoS و 91% از حملات لایه شبکه کمتر از 10 دقیقه طول کشیدن.
کشورهایی مثل اندونزی، هنگکنگ، سنگاپور، اوکراین، و آرژانتین بزرگترین منابع حملات بودن.
کشورهایی که بیشترین حملات رو دریافت کردن شامل چین، فیلیپین، تایوان، هنگکنگ، و آلمان بودن.
بیشترین حملات به صنایع مخابرات، اینترنت، بازاریابی، فناوری اطلاعات و قمار انجام شده.
همزمان، شرکتهای امنیت سایبری Qualys و Trend Micro گزارش دادن که نسخههای جدیدی از بدافزار Mirai داره از آسیبپذیریهای امنیتی و رمزهای ضعیف تو دستگاههای اینترنت اشیا سوءاستفاده میکنه و از اونها برای حملات DDoS استفاده میشه.
👍3
GeekNotif
شرکت Cloudflare که در زمینه زیرساخت وب و امنیت فعالیت میکنه، اعلام کرد که تونسته بزرگترین حمله DDoS تاریخ رو که قدرتش به 5.6 ترابیت بر ثانیه (Tbps) میرسید، شناسایی و مسدود کنه. این حمله که از پروتکل UDP استفاده میکرد، در 29 اکتبر 2024 انجام شد و یکی از…
پژوهشگرای امنیت سایبری هشدار دادن که یه کمپین بزرگ و گسترده داره از ضعفهای امنیتی توی دوربینهای AVTECH IP و روترهای Huawei HG532 سوءاستفاده میکنه تا این دستگاهها رو وارد یه باتنت جدید به اسم Murdoc Botnet کنه.
طبق تحلیلهای Shilpesh Trivedi از شرکت امنیتی Qualys، این حمله قابلیتهای پیشرفتهای داره و از آسیبپذیریهای مختلف برای نفوذ به دستگاهها و گسترش شبکه باتنت استفاده میکنه.
این کمپین از جولای 2024 شروع شده و تا الان بیش از 1370 سیستم آلوده شدن. بیشتر این آلودگیها تو کشورهایی مثل مالزی، مکزیک، تایلند، اندونزی، و ویتنام دیده شده.
این باتنت از ضعفهای امنیتی شناختهشده مثل CVE-2017-17215 و CVE-2024-7029 استفاده میکنه تا به دستگاههای اینترنت اشیا (IoT) دسترسی اولیه پیدا کنه. بعد از اون، یه اسکریپت شِل رو اجرا میکنه که بدافزار باتنت رو دانلود میکنه و بسته به نوع پردازنده دستگاه اجراش میکنه. هدف نهایی این حمله اینه که باتنت رو برای انجام حملات DDoS آماده کنه.
چند هفته پیش هم یه نسخه دیگه از باتنت Mirai به اسم gayfemboy پیدا شد که داشت از یه ضعف امنیتی جدید توی روترهای صنعتی Four-Faith سوءاستفاده میکرد. همچنین، تو اواسط 2024، شرکت Akamai گزارش داده بود که CVE-2024-7029 توسط هکرها برای آلوده کردن دستگاههای AVTECH به یه باتنت استفاده شده بود.
طبق گفته شرکت Trend Micro، این باتنت از بدافزارهایی مثل نسخههای مشتقشده از Mirai و BASHLITE تشکیل شده. این بدافزارها میتونن روشهای مختلفی برای حملات DDoS، آپدیت بدافزارها، و فعالسازی سرویسهای پروکسی به کار ببرن.
حمله به این صورت انجام میشه که دستگاههای IoT آلوده میشن، یه Loader روشون نصب میشه، بعد اون بدافزار اصلی رو دانلود میکنه و به یه سرور C2 وصل میشه تا دستورات بعدی رو برای حملات DDoS یا کارهای دیگه بگیره .
طبق تحلیلهای Shilpesh Trivedi از شرکت امنیتی Qualys، این حمله قابلیتهای پیشرفتهای داره و از آسیبپذیریهای مختلف برای نفوذ به دستگاهها و گسترش شبکه باتنت استفاده میکنه.
این کمپین از جولای 2024 شروع شده و تا الان بیش از 1370 سیستم آلوده شدن. بیشتر این آلودگیها تو کشورهایی مثل مالزی، مکزیک، تایلند، اندونزی، و ویتنام دیده شده.
این باتنت از ضعفهای امنیتی شناختهشده مثل CVE-2017-17215 و CVE-2024-7029 استفاده میکنه تا به دستگاههای اینترنت اشیا (IoT) دسترسی اولیه پیدا کنه. بعد از اون، یه اسکریپت شِل رو اجرا میکنه که بدافزار باتنت رو دانلود میکنه و بسته به نوع پردازنده دستگاه اجراش میکنه. هدف نهایی این حمله اینه که باتنت رو برای انجام حملات DDoS آماده کنه.
چند هفته پیش هم یه نسخه دیگه از باتنت Mirai به اسم gayfemboy پیدا شد که داشت از یه ضعف امنیتی جدید توی روترهای صنعتی Four-Faith سوءاستفاده میکرد. همچنین، تو اواسط 2024، شرکت Akamai گزارش داده بود که CVE-2024-7029 توسط هکرها برای آلوده کردن دستگاههای AVTECH به یه باتنت استفاده شده بود.
طبق گفته شرکت Trend Micro، این باتنت از بدافزارهایی مثل نسخههای مشتقشده از Mirai و BASHLITE تشکیل شده. این بدافزارها میتونن روشهای مختلفی برای حملات DDoS، آپدیت بدافزارها، و فعالسازی سرویسهای پروکسی به کار ببرن.
حمله به این صورت انجام میشه که دستگاههای IoT آلوده میشن، یه Loader روشون نصب میشه، بعد اون بدافزار اصلی رو دانلود میکنه و به یه سرور C2 وصل میشه تا دستورات بعدی رو برای حملات DDoS یا کارهای دیگه بگیره .
👍4🌭1
به کاربران اوبونتو 22.04 LTS توصیه میشه که سیستمهای خودشون رو فوراً بهروزرسانی کنن. این توصیه بعد از انتشار یک وصله امنیتی مهم توسط شرکت Canonical صورت گرفته که برای رفع چندین آسیبپذیری بحرانی در هسته لینوکس برای پردازندههای Xilinx ZynqMP ارائه شده.
هسته لینوکس مخصوص پردازندههای Xilinx Zynq UltraScale+ MPSoC (ZynqMP) به شکل خاصی طراحی شده که از امکانات و سختافزار این خانواده از پردازندهها پشتیبانی کنه.
این پردازندهها ترکیبی از این موارد هستن:
یه پردازنده چهار هستهای ARM Cortex-A53 (۶۴ بیتی) برای برنامههای کاربردی،
یه پردازنده دو هستهای ARM Cortex-R5 (۳۲ بیتی) برای پردازش بلادرنگ،
یه پردازنده گرافیکی ARM Mali-400،
و یه بخش منطقی قابل برنامهریزی (FPGA).
هسته لینوکس پایهی محکمی برای استفاده از این پردازندهها توی برنامههای تعبیهشده و حتی کاربردهای عمومی فراهم میکنه.
اما جدیدا حدود 126 آسیب پذیری گزارش شده و پیشنهاد شده لینوکس هاتونو اپدیت کنین و پچ های موجود صدها آسیبپذیری امنیتی رو برطرف میکنه که شامل مشکلات موجود توی ساب سیستمها، معماریها، درایورها و پروتکلها میشه. فهرست کامل CVEهایی که رفع شدن، توی اطلاعیه رسمی امنیتی منتشر شده.
آپدیت هسته لینوکس: رفع مشکلات امنیتی و بهبود عملکرد
آخرین بهروزرسانی هسته لینوکس، شامل وصلههای حیاتی امنیتی و بهبودهای عملکرد در بخشهای مختلف سیستمه:
معماریها: بهروزرسانی برای ARM32، x86، RISC-V و S390.
سیستمهای فایل: امنیت و عملکرد بهتر برای BTRFS، Ext4، GFS2، Ceph، NFS، JFS و F2FS.
درایورها: رفع مشکلات مربوط به درایورهای GPU، USB، بلوتوث، GPIO، Ethernet bonding و InfiniBand.
شبکه: بهبودهایی در TCP، SCTP، IPv4، IPv6، Netfilter و موارد دیگه.
چارچوبهای امنیتی: آپدیتهایی برای SELinux و ماژولهای کنترل دسترسی.
اجزای اصلی: بهینهسازیهایی در مدیریت حافظه و زیرساختهای ردیابی (Tracing Infrastructure).
جدول بهروزشده همراه با لینکهای CVE مربوطه:
علاوه بر بهروزرسانیهای مربوط به سابسیستمها، اوبونتو همچنین بهروزرسانیهای امنیتی رو منتشر کرده که آسیبپذیریهای مربوط به سیستمهای دیگه رو برطرف میکنه.
در ادامه، جدول بهروزرسانیشدهای رو میبینید که لینکهای مربوط به شناسههای CVE توش قرار داده شده:
هسته لینوکس مخصوص پردازندههای Xilinx Zynq UltraScale+ MPSoC (ZynqMP) به شکل خاصی طراحی شده که از امکانات و سختافزار این خانواده از پردازندهها پشتیبانی کنه.
این پردازندهها ترکیبی از این موارد هستن:
یه پردازنده چهار هستهای ARM Cortex-A53 (۶۴ بیتی) برای برنامههای کاربردی،
یه پردازنده دو هستهای ARM Cortex-R5 (۳۲ بیتی) برای پردازش بلادرنگ،
یه پردازنده گرافیکی ARM Mali-400،
و یه بخش منطقی قابل برنامهریزی (FPGA).
هسته لینوکس پایهی محکمی برای استفاده از این پردازندهها توی برنامههای تعبیهشده و حتی کاربردهای عمومی فراهم میکنه.
اما جدیدا حدود 126 آسیب پذیری گزارش شده و پیشنهاد شده لینوکس هاتونو اپدیت کنین و پچ های موجود صدها آسیبپذیری امنیتی رو برطرف میکنه که شامل مشکلات موجود توی ساب سیستمها، معماریها، درایورها و پروتکلها میشه. فهرست کامل CVEهایی که رفع شدن، توی اطلاعیه رسمی امنیتی منتشر شده.
آپدیت هسته لینوکس: رفع مشکلات امنیتی و بهبود عملکرد
آخرین بهروزرسانی هسته لینوکس، شامل وصلههای حیاتی امنیتی و بهبودهای عملکرد در بخشهای مختلف سیستمه:
معماریها: بهروزرسانی برای ARM32، x86، RISC-V و S390.
سیستمهای فایل: امنیت و عملکرد بهتر برای BTRFS، Ext4، GFS2، Ceph، NFS، JFS و F2FS.
درایورها: رفع مشکلات مربوط به درایورهای GPU، USB، بلوتوث، GPIO، Ethernet bonding و InfiniBand.
شبکه: بهبودهایی در TCP، SCTP، IPv4، IPv6، Netfilter و موارد دیگه.
چارچوبهای امنیتی: آپدیتهایی برای SELinux و ماژولهای کنترل دسترسی.
اجزای اصلی: بهینهسازیهایی در مدیریت حافظه و زیرساختهای ردیابی (Tracing Infrastructure).
جدول بهروزشده همراه با لینکهای CVE مربوطه:
Architectures :
ARM32, RISC-V, S390, x86
CVE-2024-49938, CVE-2024-49966, CVE-2024-50013, CVE-2024-50093
Block Layer Subsystem :
Storage block layer management
CVE-2024-49944, CVE-2024-50046, CVE-2024-50096
ACPI Drivers:
Advanced Configuration and Power Interface
CVE-2024-49985, CVE-2024-50040
Drivers Core :
Core drivers across subsystems
CVE-2024-49924, CVE-2024-49981
ATA over Ethernet (AOE)
ATA protocol over Ethernet
CVE-2024-49877, CVE-2024-49975
TPM Device Driver
Trusted Platform Module
CVE-2024-49902, CVE-2024-49903
Clock Framework and Drivers : Timing and synchronization drivers
CVE-2024-50062, CVE-2024-49997
EFI Core:
Extensible Firmware Interface core functionality
CVE-2024-49977, CVE-2024-50024
GPU Drivers :
Graphics processing unit drivers
CVE-2024-50038, CVE-2024-50008
File Systems :
Ext4, BTRFS, Ceph, NFS (client/server/superblock), NILFS2, GFS2, F2FS, JFSCVE-2024-49936, CVE-2024-49892, CVE-2024-50049
Networking Core :
IPv4, IPv6, CAN, Multipath TCP, MAC80211
CVE-2024-49863, CVE-2024-50033, CVE-2024-50015
USB Drivers:
USB Device Class, USB Type-C Port ControllerCVE-2024-50019, CVE-2024-50059
Bluetooth Subsystem:
Bluetooth stack
CVE-2024-49913, CVE-2024-50044
Kernel Security:
SELinux, Simplified Mandatory Access Control Kernel framework
CVE-2024-49948, CVE-2024-50095
Media Drivers:
Amlogic Meson SoC drivers, AudioScience HPI, USB soundCVE-2024-49973, CVE-2024-50038
Memory Management:
Kernel-level memory management
CVE-2024-49871, CVE-2024-50001
Perf Events:
Performance monitoring events
CVE-2024-49967, CVE-2024-49954
Tracing Infrastructure:
Kernel tracing framework
CVE-2024-49995, CVE-2024-49957
علاوه بر بهروزرسانیهای مربوط به سابسیستمها، اوبونتو همچنین بهروزرسانیهای امنیتی رو منتشر کرده که آسیبپذیریهای مربوط به سیستمهای دیگه رو برطرف میکنه.
در ادامه، جدول بهروزرسانیشدهای رو میبینید که لینکهای مربوط به شناسههای CVE توش قرار داده شده:
CVE-2024-49907 Kernel memory management subsystem
CVE-2024-50062 Clock framework and drivers
CVE-2024-36893 ACPI drivers
CVE-2024-49903 TPM device driver
cve.mitre.org
CVE -
CVE-2024-49966
CVE-2024-49966
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
👍3
CVE-2024-49886 USB drivers
CVE-2024-50180 Ethernet bonding drivers
CVE-2024-47757 Networking Core
CVE-2024-49938 Architectures (x86)
CVE-2024-47709 Network Traffic Control
CVE-2024-49884 Media drivers
CVE-2024-49977 EFI core
CVE-2024-47734 InfiniBand drivers
CVE-2024-49963 GPU drivers
CVE-2024-47747 Bluetooth subsystem
CVE-2024-50008 GPU drivers
CVE-2024-47696 File systems (Ceph, NFS)
CVE-2024-50038 GPU drivers
CVE-2024-46695 USB Type-C Port Controller Manager
CVE-2024-47705 Media drivers
CVE-2024-49957 Tracing infrastructure
CVE-2024-38538 IPv6 Networking
CVE-2024-50019 USB drivers
CVE-2024-38544 IPv4 Networking
CVE-2024-50003 SELinux security module
CVE-2024-50095 Simplified Mandatory Access Control Kernel Framework
CVE-2024-50000 File systems infrastructure
CVE-2024-49981 Drivers core
CVE-2024-49863 Networking core
CVE-2024-47710 IPv4 networking
CVE-2024-49983 Multipath TCP
Ubuntu
CVE-2024-49886 | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
👍2