افراد مخرب معمولا IOS رو بخاطر یوزر بیس و مشکلات امنیتیش مورد هدف قرار میدن ، با وجود تدابیر امنیتی قوی اپل، نقص‌های موجود توی سیستم‌عامل و برنامه‌های شخص ثالث می‌تونه مورد استفاده قرار بگیره که به شخص مخرب اجازه میده به دستگاه‌ها دسترسی پیدا کنن ، اما بسته به خلاقیت ...

محقق های ThreatFabric تازگیا متوجه شدن که بدافزار LightSpy برای iOS به‌روزرسانی شده و شامل 28 پلاگین با قابلیت‌های تخریبیه .

به‌روزرسانی بدافزار LightSpy برای iOS 
توی ماه مه 2024 انجام شده ، شرکت امنیت سایبری ThreatFabric تحولای قابل توجهی توی اکوسیستم بدافزار LightSpy کشف کرده ، تحقیقات اونا نسخه پیشرفته‌ای از “LightSpy” برای iOS (نسخه 7.9.0، ارتقا یافته از نسخه 6.0.0) رو شناسایی کردن که به طور قابل توجهی پیشرفت بزرگی رو توی قابلیت‌های مخرب خودش نشون داده. 

این بدافزار گسترش پیدا کرده و شامل 28 پلاگین متمایزه (که از 12 افزونه اصلی افزایش پیدا کرده ). از میون این پلاگینا ، هفت پلاگین به طور خاص طراحی شدن که قادر به مختل کردن عملکرد دستگاه هستن ، به ویژه با هدف قرار دادن فرایند راه‌اندازی از طریق دستوراتی مثل “/usr/sbin/nvram auto-boot=false”.

اینا اسم همون 25 افزونه هستن : 
- AppDelete 
- BaseInfo 
- Bootdestroy 
- Browser 
- BrowserDelete 
- cameramodule 
- ContactDelete 
- DeleteKernelFile 
- DeleteSpring 
- EnvironmentalRecording 
- FileManage 
- ios_line 
- ios_mail 
- ios_qq 
- ios_telegram 
- ios_wechat 
- ios_whatsapp 
- KeyChain 
- landevices 
- Location 
- MediaDelete 
- PushMessage 
- Screen_cap 
- ShellCommand 
- SMSDelete 
- SoftInfo 
- WifiDelete 
- WifiList

 
این بدافزاری که ازش حرف میزنیم از دو آسیب پذیری بحرانی استفاده میکنه :

- ‘CVE-2020-9802’ برای دسترسی اولیه به سیستم از طریق سوءاستفاده از WebKit. 
- ‘CVE-2020-3837’ برای افزایش سطح دسترسیش. 

و از طرفی هم این بدافزار از طریق پنج سرور فعال “C2” ارتباط خودشو حفظ میکنه و از “اتصالات WebSocket” برای انتقال دیتاش استفاده کرده و میگن اخرین بار همین تاریخ 26 اکتبر 2022 پیاده سازی شده .
 
افکشن چِین با یه “ HTML-based exploit delivery system ” شروع شده و بعدشم یه مرحله جیلبریک بوده که “FrameworkLoader” (که به عنوان “ircloader” هم شناخته میشه) رو پیاده‌­سازی کرده و بعدشم نصب “LightSpy Core” اصلی و پلاگینای اونو انجام داده .

این بدافزار از "حملات Day-1" (آسیب پذیری هایی که افشا شده و عمومی هستن) و تکنیک "rootless jailbreak" استفاده کرده که بعد از راه اندازی مجدد دستگاه قربانی پابرجا نمیمونه و میاد نسخه های خاص IOS رو از طریق حملات watering hole مورد هدف قرار میده .

بدافزار داستان ، شامل دوتا پنل مدیریتی بوده توی پورت های 3458 و 53501 و یه سرور کنترل اضافه ، از طرفی هم تحلیل دیتای موجود نشون داده که 15 نفر که توی هنگ کنگ و تقریبا جاهای دیگه ای از چین بودن که به یه شبکه Wi-fi به اسم "Haso6185G" وصل بودن ، از طرفی هم با برسی مسیر های (/Users/air/work/znfios/ios/، /Users/mac/dev/iosmm/ و...) مشخص شد این بدافزار سه توسعه دهنده داشته

یه آسیب‌پذیری امنیتی جدی توی دوربین‌های Hikvision کشف شده که می‌تونه به حمله‌کننده این اجازه رو بده که کریدنشیال‌های Dynamic DNS ( DDNS ) رو که به‌صورت متن ساده منتقل میشن رو به نحوی رهگیری کنن و این موضوع ممکنه تعداد زیادی از دستگاهارو در معرض دسترسی و دستکاری غیرمجاز قرار بده . 

این آسیب‌پذیری چندین مدل دوربین هایک‌ویژن رو تحت تأثیر قرار داده که از نسخه‌های قبل از به‌روزرسانی‌های امنیتی اخیری که هایک‌ویژن ارائه کرده استفاده میکردن ، مسأله به نحوه پیاده‌سازی خدمات DDNS توی این دوربین‌ها مربوط میشه‌ ، به‌ویژه DynDNS و NO-IP، جایی که اطلاعات شناسایی بدون رمزگذاری و از طریق HTTP به جای پروتکل امن HTTPS منتقل می‌شه.
 
محقق های امنیتی متوجه شدن که حمله‌کننده‌ها می‌تونن حملات man-in-the-middle رو اجرا کنن و کریدنشیال های سرویس DDNS رو کپچر کنن ، و بعدشم که ...
این آسیب‌پذیری میتونه خیلی نگران کننده باشه چراکه دوربین‌های هایک‌ویژن به طور گسترده‌ توی مکان‌های حساس و زیرساخت‌های حیاتی نصب شدن .

لیست محصولات تحت تأثیر :

DS-2CD1xxxG0 versions prior to V5.7.23 build241008
DS-2CD2xx1G0 versions prior to V5.7.23 build241008
DS-2CD3xx1G0 versions prior to V5.7.23 build241008
IPC-xxxxH versions prior to V5.7.23 build241008
DS-2CD29xxG0 versions prior to V5.7.21 build240814
DS-2CD1xxxG2 versions prior to V5.8.4 build240613
DS-2CD3xx1G2 versions prior to V5.8.4 build240613
HWI-xxxxHA versions prior to V5.8.4 build240613
IPC-xxxxHA versions prior to V5.8.4 build240613
DS-2CD2xxxG2 versions prior to V5.7.18 build240826
DS-2CD3xxxG2 versions prior to V5.7.18 build240826
DS-2CD2xxxFWD versions prior to V5.6.821 build240409

 
هایک‌ویژن به‌روزرسانی‌های نرم‌افزاری برای رفع این مشکل امنیتی منتشر کرده و دوربین‌ها رو تنظیم کرد تا فقط با HTTPS برای خدمات DDNS ارتباط برقرار کنن. این شرکت به شدت به کاربران توصیه می‌کنه :
 

- بلافاصله به آخرین نسخه نرم‌افزار به‌روزرسانی کنن .
- پسورد چنج کنن و پسورد قوی انتخاب کنن .
- شبکه‌های دوربین رو از چیزای حیاتی با استفاده از فایروال‌ها یا VLAN ها جدا کنن .
- به‌طور منظم تلاش‌های غیرمجاز برای دسترسی رو نظارت کنن .

سازمان‌هایی که از دوربین‌های هایک‌ویژن تحت تأثیر استفاده می‌کنن، باید این اقدامات امنیتی رو اولویتشون قرار بدن ، چراکه ترکیب کریدنشیال‌های DDNS و سایر آسیب‌پذیری‌های شناخته‌شده ممکنه باعث نفوذ به کل شبکه بشه .

شرکت اوکتا، که توی زمینه access & identity management پیشرو هست ، به‌تازگی یه آسیب‌پذیری حیاتی رو توی سیستم احراز هویت واگذاری شده AD/LDAP خودش شناسایی و برطرف کرده . تیم امنیتی اوکتا به‌صورت داخلی این نقص رو کشف کرده و به‌سرعت اونو رفع کرده ، اما از طرفی این داستان ممکنه باعث دسترسی غیرمجاز به حساب‌های کاربرا شده باشه .

این آسیب‌پذیری که توی تاریخ ۲۳ ژوئیه ۲۰۲۴ در حین یه به‌روزرسانی عادی پلتفرم معرفی شده بود ، که میاد مکانیزم تولید کلید کش اوکتا برای احراز هویت DelAuth AD/LDAP رو تحت تاثیر قرار میده .

این مشکل به استفاده از الگوریتم Bcrypt برای ایجاد کلیدهای کش از طریق هش کردن ترکیبی از شناسه کاربری، نام کاربری و کلمه عبور برمی‌گرده .

آسیب‌پذیری احراز هویت AD/LDAP اوکتا ؛
این نقص حیاتی به‌ویژه روی نام‌های کاربری که ۵۲ کاراکتر یا بیشتر بودن تأثیر گذاشته . تحت شرایط خاص ، این پیاده‌سازی می‌تونست اجازه بده تا فقط با یه نام کاربری که با یک تلاش ورود موفق گذشته که توی کش ذخیره شده بود، احراز هویت انجام شه و به‌این‌ترتیب نیاز به کلمه عبور رو کلا دور بزنه .
دو سناریو می‌تونه احتمالا آسیب‌پذیری رو فعال کنه :
1- زمانی که عامل احراز هویت خاموش و غیرقابل دسترس شده باشه.
2 - زمانایی که ترافیک بالا حاکمه .

توی این شرایط، سیستم احراز هویت واگذاری شده ( Delegated Authentication ) به جستجوی کش اولویت می‌داده، که ممکنه به دسترسی غیرمجاز منجر بشه . در حالی که پیش‌نیاز نام‌های کاربری ۵۲ کاراکتر یا بیشتر ممکنه دامنه آسیب‌پذیری رو محدود کنه ، سازمان‌هایی که از نام‌های کاربری بلند توی پیکربندی Active Directory یا LDAP خودشون استفاده می‌کنن، به‌صورت ویژه در معرض خطر قرار گرفتن .
این مشکل روی تمام پیاده‌سازی‌های DelAuth AD/LDAP اوکتا که بعد از ۲۳ ژوئیه ۲۰۲۴ مستقر شده بودن، تأثیر گذاشت .
بعد از کشف داخلی توی ۳۰ اکتبر ۲۰۲۴، تیم امنیتی اوکتا بلافاصله به این آسیب‌پذیری رسیدگی کرد. اصلاح شامل جایگزینی الگوریتم Bcrypt با PBKDF2 برای تولید کلید کش بود که به‌طور مؤثری شکاف امنیتی رو برطرف کرد.
پچ توی همون روز کشف، و توی محیط تولید اوکتا مستقر شد.
اوکتا از مشتریای آسیب‌دیده خواست تا سوابق سیستمی خودشونو بین ۲۳ ژوئیه ۲۰۲۴ و ۳۰ اکتبر ۲۰۲۴ بررسی کنن تا تلاش‌های احتمالی دسترسی غیرمجاز رو شناسایی کنن .
با توجه به اینکه سازمان‌ها بیشتر و بیشتر به راه‌حل‌های مدیریت هویت مبتنی بر کلود متکی هستن ، این رویداد نیاز حیاتی به مراقبت و اقدام‌های امنیتی پیشگیرانه برای حفاظت از داده‌های حساس کاربران و جلوگیری از دسترسی غیرمجاز به سیستم‌های حیاتی رو برجسته می‌کنه.

سلام
بعد از یه سری مشکلات ، اینور ،اونور ، کارای دانشگاه و وقت نکردن توی خوابگاه واسه رکورد کردن و خیلی مشکلات دیگه ، دوباره استارت میزنیم و این دفه هر هفته یه قسمت اپلود میشه تحت هر شرایطی .

از طرفی هم میریم سمت اخبار ها و هر چیز باحالی که دیدم رو براتون مینویسم...

شرکت Cloudflare که در زمینه زیرساخت وب و امنیت فعالیت می‌کنه، اعلام کرد که تونسته بزرگ‌ترین حمله DDoS تاریخ رو که قدرتش به 5.6 ترابیت بر ثانیه (Tbps) می‌رسید، شناسایی و مسدود کنه.

این حمله که از پروتکل UDP استفاده می‌کرد، در 29 اکتبر 2024 انجام شد و یکی از مشتریان Cloudflare رو که یه شرکت اینترنتی ناشناس از شرق آسیا بود، هدف قرار داد. این حمله از یه بات‌نت مبتنی بر Mirai شروع شده بود.

طبق گزارش Cloudflare، حمله فقط 80 ثانیه طول کشید و بیش از 13,000 دستگاه IoT (اینترنت اشیا) توی این حمله نقش داشتن. به طور میانگین، تو هر ثانیه حدود 5,500 آدرس IP منحصر به فرد شناسایی شد که هرکدوم حدود 1 گیگابیت بر ثانیه دیتا ارسال می‌کردن.

جالبه بدونید رکورد قبلی بزرگ‌ترین حمله DDoS هم توی اکتبر 2024 توسط خود Cloudflare گزارش شده بود که قدرتش 3.8 Tbps بود.

Cloudflare همچنین گفت تو سال 2024، حدود 21.3 میلیون حمله DDoS رو مسدود کرده، که نسبت به 2023 حدود 53 درصد افزایش داشته. تعداد حملاتی که قدرتشون از 1 Tbps بیشتر بوده هم 1,885 درصد  افزایش پیدا کرده. فقط توی سه‌ماهه آخر 2024، حدود 6.9 میلیون حمله DDoS توسط این شرکت خنثی شده.

چند نکته جالب دیگه از سه‌ماهه آخر 2024:

72.6% از تمام حملات HTTP DDoS توسط بات‌نت‌های شناخته‌شده انجام شدن.

سه روش رایج حمله توی لایه‌های شبکه (لایه 3 و 4) اینا بودن: SYN flood (38%)، DNS flood (16%)، و UDP flood (14%).

حملات Memcached DDoS، BitTorrent DDoS، و Ransom DDoS به ترتیب 314%، 304% و 78% رشد داشتن.

حدود 72% از حملات HTTP DDoS و 91% از حملات لایه شبکه کمتر از 10 دقیقه طول کشیدن.

کشورهایی مثل اندونزی، هنگ‌کنگ، سنگاپور، اوکراین، و آرژانتین بزرگ‌ترین منابع حملات بودن.

کشورهایی که بیشترین حملات رو دریافت کردن شامل چین، فیلیپین، تایوان، هنگ‌کنگ، و آلمان بودن.

بیشترین حملات به صنایع مخابرات، اینترنت، بازاریابی، فناوری اطلاعات و قمار انجام شده.
هم‌زمان، شرکت‌های امنیت سایبری Qualys و Trend Micro گزارش دادن که نسخه‌های جدیدی از بدافزار Mirai داره از آسیب‌پذیری‌های امنیتی و رمزهای ضعیف تو دستگاه‌های اینترنت اشیا سوءاستفاده می‌کنه و از اون‌ها برای حملات DDoS استفاده می‌شه.

پژوهشگرای امنیت سایبری هشدار دادن که یه کمپین بزرگ و گسترده داره از ضعف‌های امنیتی توی دوربین‌های AVTECH IP و روترهای Huawei HG532 سوءاستفاده می‌کنه تا این دستگاه‌ها رو وارد یه بات‌نت جدید به اسم Murdoc Botnet کنه.
طبق تحلیل‌های Shilpesh Trivedi از شرکت امنیتی Qualys، این حمله قابلیت‌های پیشرفته‌ای داره و از آسیب‌پذیری‌های مختلف برای نفوذ به دستگاه‌ها و گسترش شبکه بات‌نت استفاده می‌کنه.
این کمپین از جولای 2024 شروع شده و تا الان بیش از 1370 سیستم آلوده شدن. بیشتر این آلودگی‌ها تو کشورهایی مثل مالزی، مکزیک، تایلند، اندونزی، و ویتنام دیده شده.

این بات‌نت از ضعف‌های امنیتی شناخته‌شده مثل CVE-2017-17215 و CVE-2024-7029 استفاده می‌کنه تا به دستگاه‌های اینترنت اشیا (IoT) دسترسی اولیه پیدا کنه. بعد از اون، یه اسکریپت شِل رو اجرا می‌کنه که بدافزار بات‌نت رو دانلود می‌کنه و بسته به نوع پردازنده دستگاه اجراش می‌کنه. هدف نهایی این حمله اینه که بات‌نت رو برای انجام حملات DDoS آماده کنه.

چند هفته پیش هم یه نسخه دیگه از بات‌نت Mirai به اسم gayfemboy پیدا شد که داشت از یه ضعف امنیتی جدید توی روترهای صنعتی Four-Faith سوءاستفاده می‌کرد. همچنین، تو اواسط 2024، شرکت Akamai گزارش داده بود که CVE-2024-7029 توسط هکرها برای آلوده کردن دستگاه‌های AVTECH به یه بات‌نت استفاده شده بود.

طبق گفته شرکت Trend Micro، این بات‌نت از بدافزارهایی مثل نسخه‌های مشتق‌شده از Mirai و BASHLITE تشکیل شده. این بدافزارها می‌تونن روش‌های مختلفی برای حملات DDoS، آپدیت بدافزارها، و فعال‌سازی سرویس‌های پروکسی به کار ببرن.
حمله به این صورت انجام می‌شه که دستگاه‌های IoT آلوده می‌شن، یه Loader روشون نصب می‌شه، بعد اون بدافزار اصلی رو دانلود می‌کنه و به یه سرور C2 وصل می‌شه تا دستورات بعدی رو برای حملات DDoS یا کارهای دیگه بگیره .

به کاربران اوبونتو 22.04 LTS توصیه می‌شه که سیستم‌های خودشون رو فوراً به‌روزرسانی کنن. این توصیه بعد از انتشار یک وصله امنیتی مهم توسط شرکت Canonical صورت گرفته که برای رفع چندین آسیب‌پذیری بحرانی در هسته لینوکس برای پردازنده‌های Xilinx ZynqMP ارائه شده.

هسته لینوکس مخصوص پردازنده‌های Xilinx Zynq UltraScale+ MPSoC (ZynqMP) به شکل خاصی طراحی شده که از امکانات و سخت‌افزار این خانواده از پردازنده‌ها پشتیبانی کنه.

این پردازنده‌ها ترکیبی از این موارد هستن:
یه پردازنده چهار هسته‌ای ARM Cortex-A53 (۶۴ بیتی) برای برنامه‌های کاربردی،
یه پردازنده دو هسته‌ای ARM Cortex-R5 (۳۲ بیتی) برای پردازش بلادرنگ،
یه پردازنده گرافیکی ARM Mali-400،
و یه بخش منطقی قابل برنامه‌ریزی (FPGA).

هسته لینوکس پایه‌ی محکمی برای استفاده از این پردازنده‌ها توی برنامه‌های تعبیه‌شده و حتی کاربردهای عمومی فراهم می‌کنه.

اما جدیدا حدود 126 آسیب پذیری گزارش شده و پیشنهاد شده لینوکس هاتونو اپدیت کنین و پچ های موجود صدها آسیب‌پذیری امنیتی رو برطرف می‌کنه که شامل مشکلات موجود توی ساب سیستم‌ها، معماری‌ها، درایورها و پروتکل‌ها می‌شه. فهرست کامل CVEهایی که رفع شدن، توی اطلاعیه رسمی امنیتی منتشر شده.

آپدیت هسته لینوکس: رفع مشکلات امنیتی و بهبود عملکرد
آخرین به‌روزرسانی هسته لینوکس، شامل وصله‌های حیاتی امنیتی و بهبودهای عملکرد در بخش‌های مختلف سیستمه:

معماری‌ها: به‌روزرسانی برای ARM32، x86، RISC-V و S390.

سیستم‌های فایل: امنیت و عملکرد بهتر برای BTRFS، Ext4، GFS2، Ceph، NFS، JFS و F2FS.

درایورها: رفع مشکلات مربوط به درایورهای GPU، USB، بلوتوث، GPIO، Ethernet bonding و InfiniBand.

شبکه: بهبودهایی در TCP، SCTP، IPv4، IPv6، Netfilter و موارد دیگه.

چارچوب‌های امنیتی: آپدیت‌هایی برای SELinux و ماژول‌های کنترل دسترسی.

اجزای اصلی: بهینه‌سازی‌هایی در مدیریت حافظه و زیرساخت‌های ردیابی (Tracing Infrastructure).

جدول به‌روزشده همراه با لینک‌های CVE مربوطه:

Architectures :
ARM32, RISC-V, S390, x86
CVE-2024-49938, CVE-2024-49966, CVE-2024-50013, CVE-2024-50093

Block Layer Subsystem :
Storage block layer management
CVE-2024-49944, CVE-2024-50046, CVE-2024-50096

ACPI Drivers:
Advanced Configuration and Power Interface
CVE-2024-49985, CVE-2024-50040

Drivers Core :
Core drivers across subsystems
CVE-2024-49924, CVE-2024-49981

ATA over Ethernet (AOE)
ATA protocol over Ethernet
CVE-2024-49877, CVE-2024-49975

TPM Device Driver
Trusted Platform Module
CVE-2024-49902, CVE-2024-49903

Clock Framework and Drivers : Timing and synchronization drivers
CVE-2024-50062, CVE-2024-49997

EFI Core:
Extensible Firmware Interface core functionality
CVE-2024-49977, CVE-2024-50024

GPU Drivers :
Graphics processing unit drivers
CVE-2024-50038, CVE-2024-50008

File Systems :
Ext4, BTRFS, Ceph, NFS (client/server/superblock), NILFS2, GFS2, F2FS, JFSCVE-2024-49936, CVE-2024-49892, CVE-2024-50049

Networking Core :
IPv4, IPv6, CAN, Multipath TCP, MAC80211
CVE-2024-49863, CVE-2024-50033, CVE-2024-50015

USB Drivers:
USB Device Class, USB Type-C Port ControllerCVE-2024-50019, CVE-2024-50059

Bluetooth Subsystem:
Bluetooth stack
CVE-2024-49913, CVE-2024-50044

Kernel Security:
SELinux, Simplified Mandatory Access Control Kernel framework
CVE-2024-49948, CVE-2024-50095

Media Drivers:
Amlogic Meson SoC drivers, AudioScience HPI, USB soundCVE-2024-49973, CVE-2024-50038

Memory Management:
Kernel-level memory management
CVE-2024-49871, CVE-2024-50001

Perf Events:
Performance monitoring events
CVE-2024-49967, CVE-2024-49954

Tracing Infrastructure:
Kernel tracing framework
CVE-2024-49995, CVE-2024-49957

علاوه بر به‌روزرسانی‌های مربوط به ساب‌سیستم‌ها، اوبونتو همچنین به‌روزرسانی‌های امنیتی رو منتشر کرده که آسیب‌پذیری‌های مربوط به سیستم‌های دیگه رو برطرف می‌کنه.
در ادامه، جدول به‌روزرسانی‌شده‌ای رو می‌بینید که لینک‌های مربوط به شناسه‌های CVE توش قرار داده شده:

CVE-2024-49907   Kernel memory management subsystem
CVE-2024-50062    Clock framework and drivers
CVE-2024-36893    ACPI drivers
CVE-2024-49903    TPM device driver

آسیب‌پذیری Zero-Click RCE در Microsoft Outlook

یک نمونه PoC منتشر شده که نشون میده یه آسیب‌پذیری RCE زیرو کلیک توی Microsoft Outlook وجود داره. این آسیب‌پذیری که توی قابلیت Windows Object Linking and Embedding (OLE) شناسایی شده، با کد CVE-2025-21298 ثبت شده.

جزئیات باگ و نمونه بهره‌برداری:
مشکل اصلی توی فایل ole32.dll و ریشه اش خطای double-free توی تابع UtOlePresStmToContentsStm هست. این تابع وظیفه پردازش اشیاء OLE داخل فایل‌های RTF رو داره که یکی از قابلیت‌های رایج تو Microsoft Outlook محسوب میشه.

آسیب پذیری CVE-2025-21298 یه باگ بحرانی اجرای کد از راه دوره (RCE) که تو همین تابع تو فایل ole32.dll پیدا شده. این مشکل به خاطر وضعیت double-free پیش میاد و می‌تونه باعث دستکاری حافظه و اجرای کدهای مخرب از راه دور بشه.


مشکل زمانی پیش میاد که اشاره‌گر pstmContents هنگام پاکسازی درست مدیریت نمیشه و این اشاره‌گر تبدیل به یه dangling pointer (اشاره‌گر نامعتبر) میشه که به حافظه‌ای که قبلاً آزاد شده بود، اشاره می‌کنه.
اگه تابع UtReadOlePresStmHeader با خطا مواجه بشه، کد پاکسازی دوباره حافظه‌ای رو که قبلاً آزاد شده بود، آزاد می‌کنه و باعث ایجاد مشکل double-free میشه.
این باگ خیلی خطرناکه چون میشه از طریق فایل‌های RTF مخرب که شامل اشیاء OLE جاسازی‌شده هستن، ازش سوءاستفاده کرد. این حمله می‌تونه تو برنامه‌هایی مثل Microsoft Word یا Outlook اجرا بشه.
امتیاز CVSS این آسیب‌پذیری 9.8 هست، که نشون‌دهنده شدت بحرانی اونه. دلیل اصلی این شدت، ماهیت zero-click اون هست؛ یعنی مهاجم می‌تونه بدون نیاز به تعامل کاربر، کد مخرب خودش رو اجرا کنه.


خطرات آسیب‌پذیری
این باگ بسیار خطرناکه ،چراکه مهاجما میتونن از طریق فایل‌های RTF مخرب حاوی اشیاء OLE از اون سو استفاده کنن. کاربرا حتی بدون باز کردن ایمیل، تنها با پیش‌نمایش اون توی Outlook، می‌تونن هدف حمله قرار بگیرن.

مایکروسافت توی به‌روزرسانی امنیتی ژانویه 2025 این مشکل رو برطرف کرده. این به‌روزرسانی پوینتر pstmContents رو بعد از آزادسازی به‌طور صریح روی مقدار NULL تنظیم می‌کنه تا از وقوع *double-free* جلوگیری بشه.

نسخه‌های آسیب‌پذیر :
این مشکل طیف وسیعی از نسخه‌های ویندوز، از Windows 10 تا Windows 11 و نسخه‌های سرور از 2008 تا 2025 رو تحت تأثیر قرار میده.

توصیه ها :

1. با نصب آخرین به‌روزرسانی امنیتی، این آسیب‌پذیری برطرف میشه.
2. اگر امکان به‌روزرسانی فوری وجود نداره، پیش‌نمایش RTF رو توی Outlook غیرفعال کنید.

برای کسایی که به تحلیل فنی دقیق‌تری علاقه دارن، مت جوهانسن یک اسکریپت KQL برای جستجوی تهدید منتشر کرده که به کارشناسان امنیتی کمک میکنه نشانه‌های بهره‌برداری از این آسیب‌پذیری رو شناسایی کنن.


برای اطلاعات بیشتر، می‌تونین پست‌های مت جوهانسن توی شبکه اجتماعی X رو ببینین

یه گروه از محقق‌ها جزئیات بیش از 100 آسیب‌پذیری امنیتی رو منتشر کردن که روی پیاده‌سازی‌های LTE و 5G تأثیر می‌ذاره. این آسیب‌پذیری‌ها می‌تونن توسط مهاجمان مورد سوءاستفاده قرار بگیرن تا دسترسی به خدمات رو مختل کنن و حتی به هسته شبکه سلولی نفوذ کنن.

این 119 آسیب‌پذیری که 97 تا از اون‌ها شناسه CVE مخصوص به خودشون رو دارن، در هفت پیاده‌سازی LTE (شامل Open5GS، Magma، OpenAirInterface، Athonet، SD-Core، NextEPC، srsRAN) و سه پیاده‌سازی 5G (Open5GS، Magma، OpenAirInterface) کشف شدن. این یافته‌ها توسط محققان دانشگاه فلوریدا و دانشگاه ایالتی کارولینای شمالی گزارش شده.

این مطالعه با عنوان "RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces" جزئیات این کشف‌ها رو توضیح داده. از طرفی محقق ها گفتن:"هر کدوم از این 100 آسیب‌پذیری می‌تونه تمام ارتباطات سلولی (تماس‌ها، پیام‌ها و داده‌ها) رو تو سطح یه شهر کامل مختل کنه."

مهاجم می‌تونه با ارسال یه بسته داده کوچیک به شبکه، بدون نیاز به احراز هویت یا سیم‌کارت، به‌طور مداوم بخش‌های مدیریت تحرک (MME) یا مدیریت دسترسی و تحرک (AMF) رو تو شبکه‌های LTE/5G مختل کنه و باعث کرش کردن اون‌ها بشه.

این آسیب‌پذیری‌ها از طریق یه تمرین فازینگ (fuzzing) با نام RANsacked کشف شدن. این روش روی رابط‌های بین شبکه دسترسی رادیویی (RAN) و هسته شبکه (Core) متمرکز بوده، جایی که این رابط‌ها ورودی‌هایی مستقیم از دستگاه‌های موبایل و ایستگاه‌های پایه دریافت می‌کنن.

بسیاری از این آسیب‌پذیری‌ها به مشکلاتی مثل سرریز بافر (buffer overflow) و خرابی حافظه مربوط می‌شن که می‌تونن برای نفوذ به هسته شبکه سلولی مورد استفاده قرار بگیرن. با این دسترسی، مهاجمان می‌تونن:
- اطلاعات مکان و اتصال تمام کاربران رو تو سطح شهر ردیابی کنن.
- حملات هدفمند روی کاربران خاص انجام بدن.
- اقدامات مخرب بیشتری روی خود شبکه انجام بدن.

این کشف نشون میده که چقدر پیاده‌سازی‌های LTE و 5G در برابر حملات آسیب‌پذیر هستن و چه خطرات جدی‌ای رو می‌تونن ایجاد کنن.

این باگ‌هایی که پیدا شدن، به دو دسته کلی تقسیم می‌شن:
1. اون‌هایی که هر دستگاه موبایل بدون احراز هویت می‌تونه ازشون سوءاستفاده کنه.
2. اون‌هایی که مهاجم می‌تونه با نفوذ به یک ایستگاه پایه یا فمتوسل (femtocell) ازشون استفاده کنه.

از بین ۱۱۹ آسیب‌پذیری کشف‌شده:
- ۷۹ مورد در پیاده‌سازی‌های MME پیدا شده.
- ۳۶ مورد در پیاده‌سازی‌های AMF.
- ۴ مورد هم در پیاده‌سازی‌های SGW.
همچنین ۲۵ مورد از این مشکلات به حملات Non-Access Stratum (NAS) مربوط می‌شن که می‌تونن توسط هر گوشی موبایل دلخواهی انجام بشن.

تحقیق اشاره می‌کنه که معرفی فمتوسل‌های خانگی و ایستگاه‌های gNodeB در 5G که به راحتی در دسترس هستن، شرایط امنیتی رو تغییر داده. تجهیزاتی که قبلاً به‌صورت فیزیکی ایمن بودن، حالا در معرض تهدیدهای فیزیکی قرار گرفتن.

یه مشکل امنیتی جدی توی فریم‌ورک مدل زبانی بزرگ لاما (Llama) از متا پیدا شده که اگه درست ازش سوءاستفاده بشه، می‌تونه به هکر اجازه بده هر کدی که می‌خواد روی سرور لاما-استک اجرا کنه.

این باگ که با کد CVE-2024-50050 شناخته می‌شه، یه امتیاز 6.3 از 10 توی سیستم CVSS گرفته. البته شرکت امنیت زنجیره تأمین Snyk بهش نمره بحرانی 9.3 داده.

طبق گفته «آوی لوملسکی»، محقق امنیتی Oligo Security: «نسخه‌های آسیب‌پذیر meta-llama مشکل سریال‌سازی داده‌های غیرقابل اعتماد دارن، یعنی یه مهاجم می‌تونه با فرستادن داده‌های مخرب که سریال‌سازی شدن، هر کدی که بخواد اجرا کنه.»

این نقص، طبق گفته یه شرکت امنیت ابری، توی یه بخش به اسم Llama Stack قرار داره که یه سری رابط‌های API برای توسعه اپلیکیشن‌های هوش مصنوعی (AI) ارائه می‌ده، از جمله استفاده از مدل‌های خودِ لامای متا.

مشکل دقیقاً مربوط می‌شه به یه باگ اجرای کد از راه دور توی API استنتاج پایتون. این باگ اشیای پایتون رو با استفاده از کتابخونه pickle به صورت خودکار سریال‌سازی می‌کنه؛ روشی که به خاطر خطر اجرای کد مخرب یا غیرقابل اعتماد، پرریسک شناخته شده.

لوملسکی گفته : «توی سناریوهایی که سوکت ZeroMQ روی شبکه در دسترس باشه، هکرها می‌تونن از این آسیب‌پذیری سوءاستفاده کنن و اشیای مخرب دستکاری‌شده رو به سوکت بفرستن. از اونجایی که تابع recv_pyobj این اشیا رو باز می‌کنه (unpickle)، مهاجم می‌تونه روی سیستم میزبان اجرای کد دلخواه (RCE) انجام بده.»

بعد از اطلاع‌رسانی مسئولانه توی تاریخ ۲۴ سپتامبر ۲۰۲۴، متا این مشکل رو در نسخه 0.0.41 که در تاریخ ۱۰ اکتبر منتشر شد، برطرف کرد. این مشکل همچنین توی کتابخونه pyzmq، که برای دسترسی به کتابخونه پیام‌رسانی ZeroMQ در پایتون استفاده می‌شه، حل شده.

متا در یک اطلاعیه اعلام کرد که برای رفع خطر اجرای کد از راه دور مربوط به استفاده از pickle به‌عنوان فرمت سریال‌سازی در ارتباطات سوکت، این فرمت رو به JSON تغییر داده.

این اولین بار نیست که چنین آسیب‌پذیری‌هایی توی فریم‌ورک‌های هوش مصنوعی پیدا می‌شه. در آگوست ۲۰۲۴، شرکت Oligo یه «آسیب‌پذیری پنهان» در فریم‌ورک Keras مربوط به TensorFlow رو شناسایی کرد. این نقص، که نوعی دور زدن CVE-2024-3660 با امتیاز CVSS 9.8 بود، به خاطر استفاده از ماژول ناامن marshal می‌تونست باعث اجرای کد دلخواه بشه.

این ماجرا زمانی پیش اومد که بنجامین فلش، محقق امنیتی، یه مشکل با شدت بالا رو توی کراولر ChatGPT اوپن‌ای‌آی کشف کرد. این مشکل می‌تونه برای راه‌اندازی حملات DDoS به سایت‌های دلخواه استفاده بشه.

مسئله از مدیریت نادرست درخواست‌های HTTP POST به API "chatgpt.com/backend-api/attributions" ناشی می‌شه. این API برای گرفتن لیستی از URLها طراحی شده، اما نه بررسی می‌کنه که آیا یه URL چند بار توی لیست تکرار شده، نه محدودیتی روی تعداد لینک‌هایی که می‌شه ارسال کرد اعمال می‌کنه.

بیاین یه سناریو رو درنظر بگیریم :

یه مهاجم می‌تونه هزاران لینک رو توی یه درخواست HTTP ارسال کنه. این باعث می‌شه اوپن‌ای‌آی تمام اون درخواست‌ها رو به سایت قربانی بفرسته، بدون اینکه تعداد اتصال‌ها رو محدود کنه یا از ارسال درخواست‌های تکراری جلوگیری کنه.

بسته به تعداد لینک‌هایی که به اوپن‌ای‌آی فرستاده می‌شه، این نقص می‌تونه باعث تقویت شدید حمله DDoS بشه و منابع سایت هدف رو از دسترس خارج کنه. اوپن‌ای‌آی این مشکل رو رفع کرده.

فلش گفته: «کراولر ChatGPT می‌تونه با یه درخواست HTTP به یه API نامرتبط ChatGPT برای حمله DDoS به یه سایت قربانی تحریک بشه. این نقص تو نرم‌افزار اوپن‌ای‌آی باعث می‌شه یه حمله DDoS به یه سایت بی‌خبر انجام بشه، با استفاده از چندین رنج IP متعلق به مایکروسافت آژور که کراولر ChatGPT روی اون‌ها اجرا می‌شه.»

یه گزارش از Truffle Security هم منتشر شده که میگه دستیارهای کدنویسی مجهز به هوش مصنوعی، مثل ChatGPT، گاهی پیشنهاد می‌کنن که "کلیدهای API و پسوردها رو به‌صورت هاردکد شده" توی پروژه‌ها بذارین. این پیشنهاد خطرناکه و ممکنه برنامه‌نویسای تازه‌کار رو گمراه کنه و باعث بشه توی پروژه‌هاشون ضعف امنیتی ایجاد کنن.

جو لئون، محقق امنیتی، گفته: «این مدل‌های زبانی بزرگ (LLMs) دارن به ترویج این عادت بد کمک می‌کنن، احتمالاً به این دلیل که روی داده‌هایی آموزش دیدن که پر از روش‌های ناامن برنامه‌نویسی بوده.»

خبرهای مربوط به آسیب‌پذیری‌های فریم‌ورک‌های LLM همچنین همراه با تحقیقاتی منتشر شده که نشون میده چطور میشه از این مدل‌ها برای تقویت چرخه حملات سایبری استفاده کرد.

در ادامه :


مارک وایتزمن، محقق Deep Instinct گفته: «تهدیدات سایبری مرتبط با مدل‌های زبانی بزرگ (LLMs) یه انقلاب نیستن، بلکه یه تکامل هستن. چیز جدیدی اینجا نیست؛ LLMها فقط تهدیدات سایبری رو بهتر، سریع‌تر و دقیق‌تر و در مقیاس بزرگ‌تر می‌کنن. با هدایت یه مهاجم باتجربه، می‌شه LLMها رو توی تمام مراحل چرخه حمله سایبری به‌کار برد. این قابلیت‌ها احتمالاً با پیشرفت تکنولوژی پایه‌ای‌شون، خودمختارتر هم می‌شن.»

تحقیقات اخیر یه روش جدید به نام ShadowGenes رو نشون داده که می‌تونه برای شناسایی شجره مدل‌ها، شامل معماری، نوع و خانواده‌شون، از نمودار محاسباتی مدل استفاده کنه. این روش بر اساس یه تکنیک حمله قبلی به نامShadowLogic ساخته شده.

شرکت امنیتی HiddenLayer گفته: «امضاهایی که برای شناسایی حملات مخرب در نمودار محاسباتی استفاده می‌شن، می‌تونن برای ردیابی و شناسایی الگوهای تکراری، به نام زیرگراف‌های تکراری ، تطبیق داده بشن و به این شکل، شجره معماری مدل رو مشخص کنن.»

HiddenLayer اضافه کرده: «درک خانواده مدل‌هایی که توی سازمانتون استفاده می‌شه، آگاهی کلی شما از زیرساخت هوش مصنوعی‌تون رو افزایش می‌ده و به مدیریت بهتر وضعیت امنیتی کمک می‌کنه.»

بخش قابل توجهی از ffmpeg با اسمبلی نوشته شده؛ حالا سازنده هاش تصمیم گرفتن این اسمبلی رو توی قالب آموزش در بیارن تا امروز سه قسمت منتشر شده اگه خواستین همراه باهاشون می‌تونین یادگیری رو شروع کنید :

https://github.com/FFmpeg/asm-lessons


@Linuxor