🔴 آسیب‌پذیری بحرانی در RD Gateway – خطر اجرای کد از راه دور!

🚨 مایکروسافت در به‌روزرسانی امنیتی ژانویه 2025 از وجود یک آسیب‌پذیری بسیار خطرناک با شناسه CVE-2025-21297 در سرویس Remote Desktop Gateway خبر داد. متاسفانه، این آسیب‌پذیری هم‌اکنون توسط مهاجمان به‌طور فعال مورد سوءاستفاده قرار گرفته است!

🚨 این آسیب‌پذیری از نوع "Race Condition" است و به مهاجم اجازه می‌دهد با اختلال در زمان‌بندی تخصیص حافظه و اشاره‌گرها، کد مخرب خود را به‌صورت از راه دور بر روی سیستم قربانی اجرا کند.

🚨 توجه: تنها کافی است که درگاه RD Gateway باز باشد تا سیستم شما مستعد اجرای کد دلخواه مهاجم شود!
اگر از این سرویس استفاده می‌کنید، فوراً اقدام به پچ کردن آن کنید.

📶 نکته مهم: ایمن‌سازی سیستم‌های خود را جدی بگیرید و همیشه از آخرین به‌روزرسانی‌ها استفاده کنید. مهاجمان به سرعت از آسیب‌پذیری‌ها سوءاستفاده می‌کنند، بنابراین پیش‌گیری و حفاظت از داده‌ها بسیار حیاتی است.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 دزدیدن رمز عبور ویندوز به سادگی APT 123 است

🚨 گزارشی از تحلیلگران تهدیدات سایبری در Cyfirma در تاریخ ۱۴ می نشان می‌دهد که گروه ۱۲۳ (Group123) سیستم‌های ویندوز را با تمرکز خاص بر روی Windows Credential Manager برای سرقت اطلاعات احراز هویت هدف قرار داده است.

🚨 این گروه که با نام‌های مستعار متعددی از جمله Cloud Dragon ، InkySquid، Reaper، Red Eyes و ScarCruft شناخته می‌شود، از بدافزارهای سفارشی و فراخوانی‌های رابط برنامه‌نویسی کاربردی (API) ویندوز در حملات خود استفاده می‌کند.

🚨 روش نفوذ اولیه:
📶 حملات فیشینگ از طریق ایمیل‌های مخرب
📶 بهره‌برداری از آسیب‌پذیری‌های موجود در Microsoft Office، وب سرورها و برنامه‌های اینترنتی

🚨 اهداف و اقدامات مخرب:
📶 استقرار دیسک وایپرها (Disk Wipers) برای پاک کردن داده‌ها
📶 اجرای عملیات باج‌افزار (Ransomware) در برخی از حملات خود

🚨 این گزارش تأکید می‌کند که گروه ۱۲۳ از تاکتیک‌های پیشرفته برای سرقت اطلاعات حساس و ایجاد اختلال در سیستم‌های قربانیان استفاده می‌کند.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-4123 - Grafana Path Traversal + Open Redirect + XSS]

🚨 آسیب‌پذیری بحرانی در Grafana کشف شد! (CVE-2025-4123)

🚨 جزئیات:
نسخه‌های آسیب‌پذیر از Grafana (قبل از 10.4.2) دارای یک آسیب‌پذیری ترکیبی خطرناک هستند که مهاجم می‌تواند از طریق آن:
به مسیرهای محدود شده دسترسی پیدا کند (Path Traversal)
کاربران را به مسیرهای دلخواه هدایت کند (Open Redirect)
و در نهایت کد جاوااسکریپت دلخواه تزریق و اجرا کند (XSS)

🚨 در برخی شرایط، این آسیب‌پذیری می‌تواند برای حملات پیشرفته‌تر مانند SSRF نیز مورد استفاده قرار گیرد.

🚨 از PoC عمومی منتشر شده است و اکسپلویت آن بسیار ساده است — کافی‌ست یک لینک خاص حاوی مسیر مخرب به کاربر ارسال شود تا کد مهاجم در مرورگر وی اجرا گردد.

🚨 توصیه امنیتی:

بلافاصله به نسخه Grafana 10.4.2 یا بالاتر ارتقا دهید.
دسترسی Anonymous را غیرفعال کنید.
ترافیک مسیر /public/plugins/ را فیلتر نمایید.

🔒 اول ایمن، بعد آنلاین!
⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-48827] - Unauthenticated API Access in vBulletin

🚨 در این مقاله به یک آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) در نسخه‌های 5 و 6 نرم‌افزار vBulletin پرداخته می شود. این آسیب‌پذیری ناشی از استفاده‌ی نادرست از API بازتابی (Reflection API) در منطق کنترلر API این نرم‌افزار است.

🚨 به‌طور خاص، تغییراتی که در PHP نسخه 8.1 معرفی شده‌اند، اجازه می‌دهند که متدهای protected و private بدون نیاز به تغییر سطح دسترسی با استفاده از ReflectionMethod::invoke() فراخوانی شوند؛ این موضوع کنترل‌های دسترسی مورد انتظار را دور می‌زند.

🚨 توصیه امنیتی: این مقاله هشدار می‌دهد که نمی‌توان صرفاً به سطح دسترسی متدها (مانند private یا protected) به عنوان راهی برای کنترل دسترسی اعتماد کرد، به‌ویژه در سیستم‌هایی که متدها به‌صورت پویا فراخوانی می‌شوند. این مقاله برای توسعه‌دهندگان یک یادآوری جدی است تا مفروضات امنیتی در برنامه‌های خود را دوباره بررسی کنند.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-32756]: Fortinet RCE PoC

🚨 آسیب‌پذیری CVE-2025-32756 یک نقص بحرانی از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در محصولات Fortinet است که به مهاجمان اجازه می‌دهد بدون احراز هویت از راه دور کد دلخواه را اجرا کنند. این آسیب‌پذیری در پردازش پارامتر enc در مسیر /remote/hostcheck_validate رخ می‌دهد، جایی که بررسی‌های نامناسب مرزها منجر به سرریز بافر می‌شود.

📶 جزئیات آسیب‌پذیری:
محصولات آسیب‌پذیر: FortiVoice، FortiMail، FortiNDR، FortiRecorder، FortiCamera
تأثیر: اجرای کد از راه دور بدون نیاز به احراز هویت
نحوه استفاده: برای استفاده از PoC، کافی است اسکریپت fortinet_cve_2025_32756_poc.py را با Python 3 اجرا کرده و آدرس IP هدف را مشخص کنید.

🚨 توصیه‌های امنیتی:
به ‌روزرسانی فوری محصولات Fortinet به نسخه‌های اصلاح‌شده.
بررسی لاگ‌ها و تنظیمات سیستم برای شناسایی نشانه‌های بهره ‌برداری.
محدودسازی دسترسی به رابط‌های مدیریتی از طریق فایروال و شبکه‌های خصوصی.

🚨 با توجه به بهره‌برداری فعال از این آسیب‌پذیری در محیط‌های واقعی، اقدام سریع برای کاهش خطرات توصیه می‌شود.


⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-49113]: Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization

🚨 آسیب‌پذیری CVE-2025-49113 یک نقص امنیتی بحرانی در نرم‌افزار Roundcube Webmail است که به کاربران احراز هویت‌شده اجازه می‌دهد تا از طریق سریال‌زدایی ناامن اشیاء PHP، کد دلخواه را از راه دور اجرا کنند. این آسیب‌پذیری در نسخه‌های قبل از 1.5.10 و 1.6.11 وجود دارد و بیش از یک دهه بدون شناسایی در کد باقی مانده بود.

🚨 این نقص ناشی از عدم اعتبارسنجی مناسب پارامتر _from در فایل upload.php است که به مهاجمان امکان می‌دهد داده‌های مخرب را به نشست فعلی تزریق کنند.

🚨 این آسیب‌پذیری با امتیاز CVSS 9.9 از 10 ارزیابی شده و به عنوان "آخرالزمان ایمیل" توصیف شده است.


⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-21204]: Windows Process Activation Elevation of Privilege Vulnerability

🚨 آسیب‌پذیری CVE-2025-21204 یک نقص امنیتی با شدت بالا در Windows Update Stack است که به مهاجمان دارای دسترسی محلی اجازه می‌دهد تا با سوءاستفاده از پیوندهای نمادین (symlinks)، سطح دسترسی خود را ارتقاء دهند.

🚨 مایکروسافت در آوریل 2025 با انتشار به ‌روزرسانی‌هایی سعی در رفع این نقص داشت. یکی از اقدامات، ایجاد پیش‌فرض پوشه C:\inetpub در سیستم‌ها بود .با این حال، این اصلاحیه خود منجر به آسیب‌پذیری جدیدی شد که به کاربران غیرمدیر اجازه می‌داد با ایجاد پیوندهای نمادین، فرآیند به‌روزرسانی ویندوز را مختل کرده و از دریافت به‌روزرسانی‌های امنیتی جلوگیری کنند.

📶 جزئیات فنی
نوع آسیب‌پذیری: دنبال‌کردن نادرست پیوندها پیش از دسترسی به فایل (CWE-59)
تأثیر: افشای اطلاعات، تغییر داده‌ها و اختلال در دسترسی
این آسیب‌پذیری به دلیل عدم بررسی مناسب پیوندهای نمادین در مسیرهای فایل‌ها در Windows Update Stack رخ می‌دهد. مهاجم می‌تواند با ایجاد پیوندهای نمادین مخرب، فرآیند به ‌روزرسانی ویندوز را به مسیرهای دلخواه هدایت کرده و به سطح دسترسی بالاتری دست یابد.

🚨 اقدامات پیشنهادی:
اطمینان حاصل کنید که سیستم‌عامل ویندوز شما با آخرین به ‌روزرسانی‌های امنیتی مایکروسافت به ‌روز است.
از ایجاد یا وجود پیوندهای نمادین مشکوک در مسیر C:\inetpub جلوگیری کنید.
از ابزارهای امنیتی برای شناسایی و حذف پیوندهای نمادین مخرب استفاده کنید.
سطح دسترسی کاربران را بررسی کرده و از اعطای دسترسی‌های غیرضروری خودداری کنید.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-33073]: The Reflective Kerberos Relay Attack

🚨 مهاجم ترافیک Kerberos AP‑REQ را از قربانی دریافت کرده و آن را به سرویس هدف ارسال می‌کند؛ با این کار هویت قربانی را منعکس (reflect) می‌کند تا بدون داشتن کلید جلسه (session key)، به سرویس هدف دسترسی یابد.

🚨 توصیه‌های دفاعی:
فعال‌سازی Signing/Encryption در سرویس‌های Kerberos و پروتکل SMB/HTTP.
استفاده از Channel Binding و Extended Protection در سرویس‌ها.
بستن راه‌های poisoning مانند LLMNR, mDNS و جلوگیری از پاسخ‌دهی سرورهای غیرمجاز.
مانیتورینگ رویدادهایی مانند درخواست‌های غیرمنتظره AP REQ یا ارتباطات SPN نا‌معمول.

🚨 جمع‌بندی:
این حمله، نسخه پیشرفته‌ای از NTLM relay در بستر پروتکل Kerberos است که با سوءاستفاده از ضعف در امضا/رمزنگاری سرویس‌ها اجرا می‌شود. مقاله‌ی ارائه‌شده توضیحات فنی دقیق، شکل‌های شماتیک و اشاره به ابزار عملی را پوشش داده است—منبع مهمی برای تحلیلگران امنیتی، تیم‌های Red/Blue و مدیران سرورها جهت درک تهدید و تدوین دفاع استراتژیک.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 Bypassing BitLocker Encryption: Bitpixie PoC and WinPE Edition

🚨 در این مقاله تحت عنوان به «دور زدن رمزنگاری BitLocker: Bitpixie PoC و ویرایش WinPE» پرداخته می شود. یک روش حمله نرم‌افزاری معرفی شده که به مهاجمان امکان می‌دهد در کمتر از ۵ دقیقه و بدون نیاز به تغییرات سخت‌افزاری یا نفوذ دائمی به دستگاه، کلید اصلی BitLocker را استخراج کرده و رمزنگاری کامل دیسک را دور بزنند.
🚨 چرا این حمله به راحتی امکان‌پذیر است
بسیاری از دستگاه‌ها از پیش‌تنظیم TPM-only استفاده می‌کنند و فاقد احراز هویت پیش از بوت (مثل PIN یا فایل کلید) هستند.
حتی با وجود Secure Boot و Signatures، حمله با استفاده از کل کامپوننت‌های «امضاشده توسط مایکروسافت» (در نسخه WinPE) اجرا می‌شود.
🚨 راه‌های مقابله:
فعال‌سازی احراز هویت قبل از بوت با استفاده از PIN و/یا فایل کلید USB
غیرفعال‌سازی امکان بوت PXE در تنظیمات BIOS/UEFI
به‌روزرسانی مبتنی بر KB5025885 برای افزودن گواهی‌های Secure Boot جدید.
ترکیب TPM با PIN برای افزایش دفاع چندلایه.
🚨 جمع‌بندی:
این حمله نشان می‌دهد که تنها تکیه بر TPM و Secure Boot کافی نیست؛ اگر احراز هویت پیش‌از-بوت فعال نباشد، در مواردی مانند سرقت لپ‌تاپ، مهاجم می‌تواند کلید رمزنگاری را در کمتر از پنج دقیقه استخراج کند. مقاله‌ی Marc Tanner یک PoC عملی، تحلیل تکنیکی کامل و راهنمایی برای بررسی وضعیت دستگاه‌ها را ارائه می‌دهد؛ مخصوصاً برای تیم‌های امنیت قرمز/آبی و مدیران فناوری اطلاعات.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

🔴 [CVE-2025-33073]: NTLM Exploit in the Wild

🚨 یک نقص امنیتی در پروتکل NTLM ویندوز بررسی شده که با حداقل تعامل کاربر، امکان لو رفتن هش‌های NTLMv2 را فراهم می‌کند -از جمله با باز کردن، انتخاب یا حتی صرفاً مشاهده یک فایل library ms آلوده در Windows Explorer.

🚨 توصیه‌های امنیتی:
فورا وصله‌گذاری کنید – اطمینان حاصل کنید که همه سیستم‌ها در حال اجرای نسخه‌های وصله‌شده بعد از ۱۱ مارس ۲۰۲۵ هستند (ویندوز و سرور). توجه داشته باشید که برخی سیستم‌ها ممکن است هنوز آسیب‌پذیر باشند .
ایمیل ‌فیشینگ را بلاک کنید – پیوست‌های zip یا فایل‌های library ms را مسدود یا قرنطینه کنید.
NTLM را محدود یا غیرفعال کنید – اگر ممکن است به Kerberos مهاجرت کنید.
نظارت بر ترافیک – SMB رخدادهای غیرمنتظره را شناسایی و هشدار دهید، از جمله تلاش برای اتصال به سرورهای SMB ناشناخته.

🚨 جمع‌بندی:
نقص CVE‑2025‑24054 نشان می‌دهد که NTLM هنوز یکی از آسیب‌پذیرترین روش‌های احراز هویت است، زیرا حتی با حداقل تعامل کاربر می‌تواند منجر به سرقت هش و بعدا به تسخیر دامنه کامل بینجامد.

⬅️ اطلاعات بیشتر
🇮🇷 @IranCyber_org

موضوع من ایران است
چه به نام، چه به ننگ ...


🇮🇷 @IranCyber_org

گروه ما حملات سایبری هدفمندی را با استفاده از باج‌افزارهای ALPHV و LockBit علیه سرورهای دولتی و خصوصی آغاز کرده است. این حملات به‌صورت یک‌طرفه و بدون امکان رمزگشایی طراحی شده‌اند. از زمان شروع تنش‌های اخیر بین اسرائیل و ایران، ما با هدف ایجاد اختلال گسترده و مقابله قاطع با دشمنان ایران، این عملیات را آغاز کرده‌ایم و به آن ادامه خواهیم داد. این حملات تنها بخشی از ظرفیت‌های اولیه مرکز ما بوده و توانایی‌های کامل ما در آینده آشکار خواهد شد. توصیه می‌کنیم از اقدامات تحریک‌آمیز علیه ما خودداری کنید.

❌ هشدار امنیتی مهم ❌

⚠️ یگان فارسی‌زبان ارتش اسرائیل (یگان ۸۲۰۰) در فضای مجازی به شدت فعال است. این افراد با اکانت‌های جعلی خود را به عنوان مردم عادی جا زده و در تلاشند تا اطلاعات جمع‌آوری کنند.

آن ها بدنبال اطلاعاتی نظیر محل برخورد ، محل پرتاب موشک و جزئیات حملات هستند
لطفاً از نوشتن مواردی همچون «کجا رو زدن» یا «صدای انفجار از کدوم سمت اومده» خودداری کنید! حتی ساده‌ترین اطلاعات می‌تواند به آن‌ها کمک کند تا هدف بعدی را شناسایی کنند.

اکانت‌های با پشتیبانی موساد به صورت هدفمند به کاربران ایرانی در تلگرام پیام می‌فرستند. اگر کسی به شما پیام داد و لینکی ارسال کرد، فوراً او را بلاک کرده و به هیچ وجه وارد آن لینک‌ها نشوید.
لطفاً اطلاع‌رسانی کنید تا کسی به دام این افراد نیفتد.
🇮🇷@IranCyber_Org

⚠️ اپلیکشن های اینستاگرام و واتساپ آپدیت جدید دادند، در شرایط فعلی هیچ اپلیکشینی آپدیت نکنید. احتمالا جهت دسترسی بیشتر به گوشی‌های ایرانی باشه!

⛔️ این دو تا برنامه متعلق به شرکت متا آمریکایی هستند...

🇮🇷 @IranCyber_Org

🔴هشدار
🔺 پروتکل رسانه‌ای بسیار مهم

در برابر برخی پرسش‌ها، تنها یک پاسخ داریم:

📢 مردم عزیز، در پاسخ به سؤالات حساس فقط بگویید: #نمی‌دانم

❓ از کجا موشک‌ها پرتاب شده‌اند؟
✅ #نمی‌دانم

❓ چه زمانی پرتاب صورت گرفته؟
✅ #نمی‌دانم

❓ کدام مناطق آسیب دیده‌اند؟
✅ #نمی‌دانم

❓ چه کسانی شهید شده‌اند؟
✅ #نمی‌دانم

🔒 امنیت یعنی سکوت در برابر پرسش‌های مشکوک
📵 اشتراک‌گذاری اطلاعات حساس = تهدید امنیت


🇮🇷 @IranCyber_Org

❌ هشدار امنیتی مهم ❌

با توجه به حجم و گستردگی تهدیدات موجود، توصیه می‌شود که سرویس‌های غیرضروری را غیرفعال کرده و در صورت نیاز، سایر سرویس‌ها را به حالت "Iran Access" تغییر دهید. این اقدام می‌تواند مانع از سوءاستفاده دشمن از این سرویس‌ها در شرایط فعلی شود.

🇮🇷 @IranCyber_Org

🛑 شرکت اسرائیلی ISP 099 توسط گروه حنظله مورد نفود قرار گرفت.
طبقه POC منتشر شده ۱۵۰ هزار ایمیل تهدید آمیز به کاربران ارسال شد.همچنین گفته شده دسترسی های این گروه منجر به از کار افتادن سیستم های آنها شده است.


اخبار تکمیلی بزودی!
🇮🇷@IranCyber_org

یکی از راهبردهایی که منجر به فروپاشی ارتش سوریه شد اجرای کمپین با عنوان کمک معیشتی بود

لذا از تمامی ایرانیان درخواست داریم از ثبت اطلاعات در سامانه هایی با عنوان
“کمک معیشتی”
“کمک های هلال احمر”
“کمک های خیریه”
و ازین قبیل
جدا خودداری شود

چنانچه سامانه ای با این مضامین مشاهده شد سریعا به ما اطلاع دهید

#نشر_حداکثری
🇮🇷@IranCyber_Org

🛑کمپین اسرائیل از طریق تبلیغات فیلترشکنها و vpn ها در حال انجام است. از هموطنان میخواهیم از درز اطلاعات جلوگیری بعمل آورند

❗️هرگونه لینک یا تبلیغ مشکوک را برای ما ارسال کنید

🇮🇷@IranCyber_Org