خبر جدید رو خلاصه بخوام بگم
به گزارش FBI یه سری افراد مخرب که ضاهرا از کره شمالی هستن با حملات پیچیده مهندسی اجتماعی سعی میکنن بدافزار هایی رو وارد کنن و از این طریق ارز های دیجیتال تارگت رو بالا بکشن و نوش جان کنن .

و در خبری جدید و شگفت انگیز و زیبا شرکت D-LINK هشدار داده که روتر DIR-846 بخاطر اینکه دارای آسیب پذیری RCE بوده باید بای بای کنه .

به نقل از این شرکت کتو کلفت چهار تا آسیب پذیری پیدا شده که به همین مربوط بوده ، که دوتا با درجه پایین تر و دوتای دیگه بحرانی هستن : CVE-2024-44341 و CVE-2024-44342 (امتیاز CVSS 9.8) همون دوتا آسیب پذیری هستن که پیدا شدن و داریم درموردشون حرف میزنیم که باعث RCE شدن .

از طرف دیگه نقص سوم یعنی CVE-2024-41622 که با یه پارامتر آسیب پذیر میشه ازش بهره برداری کرد خود D-LINK اون رو با امتیاز CVSS 8.8 نشون داده ولی NIST میگه نه این یه آسیب پذیری به شدت بحرانی هست و امتیاز 9.8 داده .


و در نهایت نقص چهارم، CVE-2024-44340 که بازم RCE هست ولی برای بهره برداری نیاز به احراز هویت داره .

و در نهایت خود D-LINK گفته به منچه این مشکل رو قصد ندارم اوکی کنم از محصولات جدید استفاده کنین ....

داستان از این قراره که هرچی که بتونم و مهم باشه رو تا جایی که بتونم میگم .

و اما گوگل روز سه شنبه مجموعه ای از اپدیت های امنیتی رو برای موبایل های اندرویدی ارائه کرده که بیاد و 35 آسیب پذیری رو فیکس کنه از جمله جدی ترین این آسیب پذیری ها که باعث تشدید دسترسی محلی میشده .

داریم درمورد CVE-2024-32896 (امتیاز CVSS 7.8) حرف میزنیم که چهارچوب اندروید رو تحت تاثیر خودش قرار داده و توی این آسیب پذیری یه اشتباه منطقی توی کد باعث میشده که بتونیم تمام حفاظتی که میشه رو بایپس کنیم یه جورایی .

گوگل توی بولتن امنیتی اندروید در سپتامبر 2024 گفته : «جدی‌ترین این مشکلات، آسیب‌پذیری امنیتی بالا در مؤلفه Framework است که می‌تواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود».

البته توی گزارش ها گفته شده که این باگ توی ژوئن پیدا شده تا جایی که گوگل گزارش داده که از یه آسیب پذیری روز صفر برای هدف قرار دادن دستگاه های پیکسل ازش استفاده شده و پیکسل هم با اپدیت امنیتی خودش سرو ته قضیه رو هم اورده .

از طرفی گوگل اشاره کرده به اینکه ممکنه هنوز این آسیب پذیری مورد بهره برداری محدود و هدفمند قرار بگیره و از طرفی دیگه گفته با اولین اپدیت امنیتی که در تاریخ 2024-09-01 ارائه شده در مجموع 10 آسیب پذیری برطرف شده که گفته شده 3 مورد در سطح Framework و 7 تا در سطح System که نقص های خیلی شدیدی بودن .

و بخش دوم آپدیت امنیتی در تاریخ 2024-09-05 با رفع 25 اشکال در اجزای Kernel، Arm، Imagination Technologies، Unisoc و Qualcomm در دستگاه‌ها .

البته این خلاصه بود سطح این حملات اینقدر گسترده بوده که این چندین هفته هست خبر های زیادی از این دست کارای اینا به گوش میرسه

به به چه آپدیتی :

یه Hex Editor برای مهندسای معکوس، برنامه نویس ها و کسانی که ساعت 3 صبح به چشمشون اهمیت میدن.

https://github.com/WerWolv/ImHex

اما خبری که هست درمورد بانک های ایرانیه که نسبتا عجیب بود اما ..

یک ماه پیش دیدم توی چنل تلگرامی IRleaks برای چند دقیقه یه پیام گذاشته شد و اعلام شد که تونستن به یه سری از بانک های ایران حمله ای موفق انجام بدن اما سریع پاک شد و سوالاتی رو به جا گذاشت تا امروز که هنوز هم مسئولیت این حمله بزرگ به ۲۰ بانک کشور قبول نکرده توی چنل رسمی خودش .

اما ماجرا از این قراره که یه حمله فوق گسترده ای به سیستم بانکی کشور شده و دولت هم تونسته با یه باج کتو کلفت سرو ته ماجرا رو هم بیاره که مبلغ این باج گفته میشه ۳ میلیون دلاره ولی از اون طرف IRleaks میخواست مبلغ باج ۱۰ میلیون دلار ارز دیجیتال باشه که انگار راضی شده ۳ میلیون دلار بگیره و صداش در نیاد البته هنوز مطمئنا این گروه پشت این قضیه نیست . (شک)

خامنه ای هم برگشته توی سخنرانی اشاره ای به امریکا و اسرائیل داشته و گفته بین مردم ما دارین ترس رو ایجاد میکنین و اشاره به جنگ روانی داشته که احتمالا داره درمورد این مشکل بزرگ یه چیزایی میگه .

البته فکر کنم این اخبار رو از شبکه های تلوزیونی دنبال کرده باشین که واشنگتن به ایران میگه تو داری به انتخابات ما حمله هایی انجام میدی و گزارش هایی هم هست در این مورد و از طرفی هم اختلاف بین ایران و اسرائیل سر قضایای چند ماه پیش .

اما کسایی که به نحوی با جزئیات این حمله سایبری آشنایی داشتن به پولتیکو گفتن که گروه IRleaks نه به اسرائیل وابستگی داره و نه به آمریکا بلکه ممکنه اصلا کار اینا نباشه .

در ادامه :

ولی ماجرای واقعی از چه قراره یا بهتره بگیم میتونه از چه قرار باشه ؟

یه سری از مقام هایی که ازشون اسمی برده نشده (که منطقی هم هست اسمی برده نشه) گفتن : آی آر لیکس از طریق یه شرکت به اسم توسان که یه سری دیتا و خدمات دیجیتالی رو به همین بانک های ایران ارائه میکرده وارد سرور بانک های ایرانی شده و تونسته داده های بانک های خصوصی و بانک مرکزی ایران رو جمع آوری کنه .

این مقام ها که اسمشون فاش نشده گفتن از ۲۹ موسسه مالی ایران ۲۰ تا مورد حمله قرار گرفتن از جمله : بانک صنعت و معدن، بانک بدون بهره مهر، پست بانک ایران، بانک ایران زمین، بانک سرمایه، بانک دو ملی ایران و ونزوئلا، بانک دی، بانک شهر، بانک اقتصاد نوین، بانک صنعت و معدن از جمله بانک های آسیب دیده بودن. و بانک سامان که در ایتالیا و آلمان هم شعبه داره .

اما گفته میشه که رژیم حاضر نشده باجی پرداخت کنه و در نهایت شرکت توسان رو مجبور به پرداخت این باج کرده که خب احتمالا از نظر من باید با این مخالفت کرد چرا که اولا هنوز معلوم نیست که نفوذگر از طرف توسان تونسته به این اطلاعات دسترسی پیدا کنه یا نه چراکه توسان یه شرکت خیلی بزرگه و دیتابیسی که از مشتری های دیگه خودش داره حتی چیزی بزرگتر از بانک مرکزیه .

البته باید اینو در نظر گرفت که همش میتونه یه فیلم سینمایی خوش خط و خال باشه که ساخته ذهنه و باعث گمراهی ... و باید در نظر داشت که هیچ چیزی هنوز تایید نشده

یه خبر جدید اما این بار با سیسکو ...

سیسکو روز چهارشنبه خبر از چندین آسیب پذیری جدید میده که از جمله اونها دو نقص امنیتی توی Smart Licensing Utility و یه نقص دیگه توی Identity Services Engine هستش .

اشکالات smart licensing utility که اونارو با عنوان CVE-2024-20439 و CVE-2024-20440 (امتیاز CVSS 9.8) میشناسیم با شدت بحرانی طبقه بندی شدن که این دو آسیب پذیری میتونستن باعث بشن که شخص خرابکار داستان بدون احراز هویت و از راه دور بتونه به اطلاعات حساس دسترسی پیدا کنه و یا وارد بشه .

سیسکو توی گزارش های خودش گفته که دلیل وجود داشتن CVE-2024-20439 اینه که یه اعتبار کاربری ثابت و غیرمستند برای یه حساب مدیریتی توی برنامه smart licensing utility هستش و یه اکسپلویت خوب میتونه به شخص مخرب داستان اجازه بده با امتیاز مدیریتی روی API برنامه کاربردی Cisco Smart Licensing Utility وارد سیستم آسیب پذیر بشه .

از طرف دیگه CVE-2024-20440 احتمالا باید بگیم که ناشی از زیاد بودن گزارش ها توی یه فایل اشکال زداییه که مهاجم میتونه اینجا یه درخواست HTTP دستکاری شده ارسال کنه و فایل های گزارشی که دیتا های حساسی دارن و اعتبارنامه هارو به دست بیاره .

از اونجایی که سیسکو هنوز هیچ راه حلی البته تا دیروز برای این آسیب پذیری توی Smart Licensing Utility پیدا نکرده بود گفته بود به نسخه 2.3.0 مهاجرت کنن کاربر ها چونکه به این آسیب پذیری ها این نسخه ضاهرا آلوده نیست .


و در نهایت آسیب پذیری Identity Services Engine (ISE) که حالا با CVE-2024-20469 میشناسیمش یه مشکل امنیتی متوسطی بوده که به کاربر احراز هویت شده اجازه میده که کامند اینجکشن انجام بده و دسترسی خودشو به روت ارتقاع بده .

سیسکو اعلام کرده توی این ماه نسخه 3.2P7 که آسیب پذیری ISE داشت رو پچ های لازم رو براش در نظر میگیره و نسخه 3.3P4 که ISE داشت هم توی ماه اکتبر و اینو باید گفت که PoC این آسیب پذیری ها موجوده و سیسکو درموردش هشدار داده...

توی یه خبر دیگه آمریکا و متحد های خودش نشستن باهم حرف زدن و تونستن به مدارکی دست پیدا کنن که نشون میده یک واحد اطلاعات نظامی مخفی روسیه که قبلاً با ترورهای خارجی و اقدامات بی ثبات کننده توی اروپا مرتبط بود، الان برای اولین بار با عملیات های جاسوسی سایبری و خرابکاری مرتبط شده.

این واحد نظامی - که به عنوان مرکز آموزش تخصصی 161 روسیه GRU (واحد 29155) شناخته می شه به دلیل یک سری عملیات سایبری تهاجمی توی سراسر جهان، از جمله بدافزار مخرب WhisperGate که رکورد اصلی بوت (MBR) رایانه ها رو تو اوکراین پاک کرد، مقصر شناخته می شه.

این یه تیکه به نقل از آژانس NCSC بریتانیا گفته میشه :
آژانس NCSC دولت بریتانیا گفت که واحد 29155 متشکل از افسران جوان فعال GRU است اما از بازیگران غیر GRU نیز استفاده می کند، از جمله مجرمان سایبری شناخته شده و توانمندسازان برای انجام عملیات خود. این گروه با گروه‌های سایبری تأسیس‌شده‌ مربوط به GRU، واحد 26165 (خرس فانتزی) و واحد 74455 (کرم شنی) متفاوت است. «واحد 29155 مسئول کودتا، عملیات خرابکاری و نفوذ، و تلاش برای ترور در سراسر اروپا است. طبق توصیه CISA، واحد 29155 تجارت خود را گسترش داد تا عملیات سایبری تهاجمی را حداقل از سال 2020 در بر گیرد. "به نظر می رسد اهداف واحد 29155 بازیگران سایبری شامل جمع آوری اطلاعات برای اهداف جاسوسی، آسیب به شهرت ناشی از سرقت و نشت اطلاعات حساس، و خرابکاری سیستماتیک ناشی از تخریب داده ها باشد."

از طرفی یه ransomware (باج افزار) ادعا کرده که تونسته 93 گیگ از دیتای سازمان غیر انتفاعی بهداشت باروری Planned Parenthood رو به دست بیاره .

دولت ایالات متحده اعلام کرده گروه مجرمی که RansomHub رو اداره میکنن از ابتدای سال میلادی تا الان 200 قربانی رو هدف خودشون قرار دادن گرچه این باج افزار از قبل به خاطر اینکه بیشتر زیرساخت های حیاطی رو مورد هدف قرار میده شناخته شده هست و از طرفی هم این اولین بار نیست که سازمان Planned Parenthood مورد حمله باج افزار ها قرار میگیره .

چهارشنبه RansomHub توی یه سایت بر بستر Tor تهدید کرده به درز 93 گیگابایت از اطلاعاتی که هفته پیش از این سازمان به دست آورده و گفته پول منو بدین برم و اومده مقداری از دیتای به سرقت رفته رو به عنوان اثبات نفوذ به Planned Parenthood منتشر کرده و گفته درصورتی که پولمو ندین توی هفت روز آینده همشو پخش میکنم و سازمان قربانی داستان هم تایید کرده که مورد حمله قرار گرفته .

همونطور که گفتیم Planned Parenthood چند بار دیگه هم از این دست حملات بهش شده بوده برای مثال توی دسامبر 2021 ، معلوم شد که اطلاعات مربوط به 400000 بیمار توی حمله یه باج افزار به شعبه لس انجلسش به سرقت رفته . و دوباره توی همون سال ، شعبه متروپولیتن واشنگتن هک شد و اطلاعات صدها کارمند Planned parenthood به صورت انلاین به بیرون درز کرد.

دو شهروند نیجریه ای توی آمریکا به دلیل اجرای حمله BEC که نوعی حمله مهندسی اجتماعی هست به زندان محکوم شدن .

یکی از این افراد ، ابوکا رافائل اومتی ، 35 ساله ، توی 27 اوت به 10 سال زندان محکوم شده و متهم دیگه ، فرانکلین ایفانیکوچوو اوکوونا (اینا دیگه چه اسماییه ) 34 ساله ، در تاریخ 3 سپتامبر به پنج سال و سه ماه زندان محکوم شده و هرکدوم هم 5 میلیون دلار غرامت باید بدن .

بین فوریه 2016 و ژوئیه 2021 مدارکی توی دادگاه ارائه شده که نشون دهنده این بوده که ایمیل هایی که ارسال میشده از طرف این دو شخص بوده و این حمله به نحوی بوده که به سازمان های داخل و خارج ایالات متحده آسیب هایی وارد کرده .

ایمیل های ارسال شده ضمیمه های آلوده به بدافزار داشتن که از این طریق باعث دسترسی به سیستم ها و حساب ایمیل افراد و همینطور اطلاعات دیگه میشده و با استفاده از همین اطلاعات کارمند های سازمان قربانی رو فریب دادن که به اهداف خودشون برسن .

و دادگستری هم در این مورد گفته که این دو شخص حتی بیشتر از ۵ میلیون دلار به شرکت های قربانی آسیب رسوندن در نهایت اومتی به اتهام آسیب رسوندن به کامپیوتر ها محکوم شده که جزئیاتی ندیدم ازش و اوکونا هم به جرم کلاهبرداری و سرقت هویت محکوم شد.

کرومیوم پایه و اساس اکثر مرورگر های معروف مثل گوگل کروم و مایکروسافت اج هست و این میتونه یکی از مهم ترین چیز هایی باشه برای جلب توجه یه فرد خرابکار شایدم بهتره بگیم باهوش و کنجکاو .

مایکروسافت به تازگی فهمیده که افرادی از کره شمالی دارن روی آسیب پذیری های کرومیوم کار میکنن و توی تاریخ 19 اگوست 2024 ، مایکروسافت یه اشاره داشته به شخص مخربی از کره شمالی که از یه آسیب پذیری روز صفر استفاده میکرده که اونو با CVE-2024-7971 میشناسیم و اینطور بوده که موتور جاوااسکریپت V8 رو توی وب بروزر کرومیوم هدف قرار داده تا فرایند رندر کرومیوم سندباکس شده رو تحت تاثیر قرار بده و باعث RCE بشه.

محقق ها این فعالیت رو به گروهی به اسم Citrine Sleet نسبت دادن به طوری که توی این حمله از روت کیتی استفاده شده به اسم FudModule که بازم به این گروه مرتبط بوده این گروه بیشتر روی سرقت ارز های دیجیتال تمرکز داره تا بتونه دولت کره شمالی رو ساپورت کنه .

از طرفی گوگل 21اگوست این آسیب پذیری رو پچ کرده بود و سه نقص که موبوط به V8 بودن رو شامل میشده ولی در ادامه گفته شده که این گروه بدنام حملات روز صفر دیگه ای رو هم انجام داده برای بهره برداری از sandbox escape [CVE-2024-38106] که برای رسیدن به اهداف مخربشون هم از روت کیت خودشون استفاده کردن که بالاتر گفتم .

استفاده اصلی که از این روت کیت توی این حمله شده دستکاری مستقیم هسته یا DKOM بوده که به نحوی تونستن مکانیزم های امنیتی ویندوز رو باهاش دور بزنن و حمله موفقی داشته باشن که در کنار استفاده از درایور های آسیب پذیر این اعتفاق افتاده .

اگه مشکلی برای سیستمتون پیش اومد با sshx میتونید ترمینالتون رو با دوستتون شیر کنید و مشکل رو حل کنید.

این ابزار خیلی سادس یه لینک بهتون میده و از طریق مرورگر میتونید ترمینال رو کنترل کنید.

Linux or Mac Installation :

curl -sSf https://sshx.io/get | sh

آپاچی این هفته بروزرسانی امنیتی برای سیستم برنامه ریزی منابع سازمانی (ERP) OFBiz ارائه کرده که دو نقص امنیتی رو رفع کنه از جمله دوتا پچ قبلی که به نحوی بایپس شده بودن و مورد استفاده قرار گرفتن.

آسیب پذیری که اونو با CVE-2024-45195میشناسیم یه اسیب پذیری بحرانیه که به مهاجم احراز هویت نشده از راه دور اجازه دسترسی به سرور رو میده و این چیز جالبی نیست و از طرفی هم Rapid7 اعلام کرده که هم سرور های لینوکسی و هم ویندوزی رو میتونن انگولک شن .

یه شرکت سایبر سکیوریتی توی گزارش خودش اعلام کرده که این مشکلی که پیش اومده مربوط به سه آسیب پذیری (CVE-2024-32113، CVE-2024-36104، و CVE-2024-38856) هست که برای Apache OFBiz هستش که Rapid 7 در ادامه گفته که این سه آسیب پذیری درواقع یه آسیب پذیری هستن چون علت همه یکیه و اونم اینه که وقتی این مشکل ها رخ میده که برنامه الگو های URI غیر منتظره دریافت کنه

و اما SonicWall به مشتری های خودش هشدار داده که آسیب پذیری SonicOS که اونو با CVE-2024-40766 میشناسیم ، این آسیب پذیری توی تاریخ 22 اگوست فاش شده زمانی که پچ های امنیتی لازم رو برای فایروال های Gen6 , Gen7 , Gen5 رو اعلام کرد .

این حفره امنیتی یه مشکل کنترل دسترسی نامناسب با سطح مدیریتی توی SonicOS و SSLVPN که در نهایت منجر به دسترسی غیر مجاز به منابع میشده و یا باعث خرابی فایروال میشده .

اما الان SonicWall روز جمعه که میشه امروز دوباره گزارش های خودشو به روز رسانی کرد و به این مورد اشاره کرده که این آسیب پذیری به طور نگران کننده ای هنوز مورد بهره برداری قرار میگیره چراکه خیلی از مشتری ها محصولاتشون هنوز به اینترنت متصله و این مشکل نیست مشکل اینه که اسیب پذیری مربوط رو پچ نکرده ول کردن .

و در نهایت توصیه شده که کاربر هایی که از این فایروال ها با کاربر SSLVPN استفاده کردن برای افزایش امنیت و جلوگیری از دسترسی ریموت پسورد هارو یه دور چنج کنن البته خودم ندیدم که گزارشی مربوط به بهره برداری از این آسیب پذیری پخش شده باشه شایدم تو چشم نبوده و تنها چیزی که دیدم این بود که سال پیش Mandiant گزارش داده بود که یه بدافزار پیچیده که ضاهرا منشا چینی داشته رو توی یه دستگاه SonicWall شناسایی کرده .

‌اگه سیستم عاملتون رو زیاد دستکاری میکنین احتمالا نتیجش این میشه که مجددا از اول نصبش کنید، اما وقت زیادی میخواد و غیر حرفه ایه برای همین میتونید از ابزار timeshift برای فیکس کردنش استفاده کنید‌.

به صورت دوره ای از سیستمون اسنپ شات میگیره و باهاش می‌تونید تایم رو به عقب shift بدین .