بندر عباس تسلیت 🖤

دور زدن Falco با استفاده از روت کیت io_uring

نمونه جالبی از روت کیت لینوکس که از طریق io_uring کار می کند، و اکثر EDR ها به سادگی این io_uring را نادیده می گیرند.

https://github.com/armosec/curing

#linux #rootkits
@PfkSecurity

بهره‌برداری از آسیب‌پذیری CVE-2024-0582 با روش Dirty Pagetable 

کوزی آردا بولوت مقاله‌ای درباره سوءاستفاده از آسیب‌پذیری CVE-2024-0582 در io_uring با استفاده از تکنیک Dirty Pagetable منتشر کرد. 

این باگ پیش‌تر توسط جان هورن گزارش شده بود و اوریول کاستخون از آن سوءاستفاده کرده بود. 


- Dirty Pagetable
یک تکنیک اکسپلویت برای دستکاری حافظه هسته (kernel) است. 
- CVE-2024-0582
یک آسیب‌پذیری در سیستم io_uring لینوکس است که امکان اجرای کدهای مخرب یا افزایش دسترسی را فراهم می‌کند. 
@PfkSecurity

⭕ قابل توجه دوستان
متاسفانه دوستان این نسخه جدید رو با نسخه قبلی که این نسخه میشه اشتباه گرفتند دوستان این نسخه دیگری است و مطالب با نسخه قبلی فرق دارد .

اتصال امنیتی روز صفر مایکروسافت (Zero-Day):

دور زدن احراز هویت سرور Microsoft Telnet (MS-TNAP) – آسیب‌پذیری 0-Click RCE (اجرا از راه دور بدون نیاز به احراز هویت)
آسیب‌پذیری بحرانی در سرویس Telnet سرور مایکروسافت وجود دارد که هکرها را قادر می‌سازد بدون نیاز به هیچ گونه احراز هویت وارد سیستم شوند و به عنوان هر کاربری حتی مدیر سیستم (Administrator) دسترسی پیدا کنند.
این آسیب‌پذیری از طریق یک تنظیم اشتباه در پروسس احراز هویت NTLM در قسمت تلفنی MS-TNAP سرور Telnet مایکروسافت، امکان دور زدن کامل احراز هویت توسط حملات رُخ داده از راه دور را فراهم می‌کند.

کد تأیید نشده:
https://github.com/hackerhouse-opensource/hfwintelnet


⚠️ لطفاً توجه داشته باشید که استفاده از این کد بدون مجوز و بدون آگاهی از عواقب حقوقی و امنیتی، می‌تواند غیرقانونی باشد و خطرات جدی داشته باشد.
@PfkSecurity

تحلیل لیست‌های کنترل دسترسی (ACL) در Active Directory یک کار ساده نیست و معمولاً به صورت دستی انجام نمی‌شود. برای یک مهاجم، این تحلیل اغلب مسیرهای پنهان و غیرمنتظره‌ای را تا دسترسی Domain Admin فاش می‌کند.

ابزار BloodHound که اغلب برای این منظور استفاده می‌شود، تنها ACE‌هایی را ثبت می‌کند که تشخیص دهد و فقط آن‌هایی را نشان می‌دهد که امنیتی مهم هستند. اما چطور می‌توان تصویر کامل را دید و تمام ACE‌ها را بدون حذف و یا فیلتر، جمع‌آوری کرد؟ این کار همچنین به این دلیل دشوار است که DACL یک فرمت باینری ناخوشایند دارد که تحلیل آزادانه آن را مشکل می‌کند. همانند BloodHound و Impacket، این ابزارها تنها با مقایسه بیتی ماسک‌ها و فلگ‌ها عمل می‌کنند و اجازه تحلیل مستقل ACL و دیدن چیزهایی بیشتر از آنچه BloodHound نشان می‌دهد را نمی‌دهند.

اینکه اگر بتوان ACE‌های باینری را به یک فرمت کانونیک (Canonical)، قابل خواندن توسط انسان و همچنین قابل جستجو (greppable) تبدیل کرد، تمامی میس‌کانفیگ‌ها حتی با چشم غیرمجرب هم قابل شناسایی می‌شدند.

چند سال پیش متوجه شدم که تنها کتابخانه skelsec/winacl امکان رمزگشایی کامل ACE‌ها به فرمت کانونیک را فراهم می‌کند. بنابراین من یک pull request در winacl (https://github.com/skelsec/winacl/pull/8) و همچنین در ldap shell msldap (https://github.com/skelsec/msldap/pull/28) ارسال کردم. حالا با این تغییرات می‌توانید ACL هر شیء Active Directory دلخواه را دریافت کنید و آن را در قالبی قابل خواندن و جستجو مشاهده کنید.

در یکی از پروژه‌های Red Team اخیر، این قابلیت در ابزار msldap به شدت به منظور کشف تنظیمات نادرست دسترسی به یک الگوی گواهی دیجیتال (Template) ADCS کمک کرد — این در حالی بود که ما هنوز هم از رادار SOC دور بودیم. این اطلاعات به کسب دسترسی کنترلی بالا بر بستر زیرساخت به روش ESC4 کمک کرد.
نویسنده : s0i37
#AD
@PfkSecurity

‏اگر قدمت کشور امارات و قطر رو در همدیگه ضرب کنیم باز هم به قدمت ایران و خلیج فارس نمیرسن.
‏⁦
‏ایران با تمام آب و خاکش می‌ماند و خلیج فارس همیشه خلیج فارس می‌ماند.
چون ما مردم ایران اینو میخوایم چو ایران نباشد تن من مباد 💔

‏⁦ PersianGulf - خلیج همیشه پارس
@PfkSecurity

بسی رنج بردم در این سال سی
عجم زنده کردم بدین پارسی
۲۵ اردیبهشت روز بزرگداشت فردوسی بزرگ

انقد این ادیت حقه حجمش کمی بالاست
@PfkSecurity

📣 چالش‌های توسعه اکسپلویت

سناریوهای مختلف ویندوز سرور: طیف وسیعی از نسخه‌های ویندوز سرور (۲۰۱۹، ۲۰۲۲ و …) تحت تأثیر قرار دارند. ساختارهای مختلف LDAP/LSASS ممکن است در هریک تفاوت‌های جزئی داشته باشد. SafeBreach اعلام کرده در برخی تست‌ها، سرور صرفاً کرش می‌کند و در برخی نسخه‌ها امکان اجرای کد وجود دارد.

میتیگشن‌های احتمالی: DEP/NX / ASLR / CFG در ویندوز سرورهای مدرن فعالند. اکسپلویت برای دستیابی به RCE باید از Heap Spray یا Partial Overwrite استفاده کند. ابزار PoC کنونی بیشتر نشانگر کرش است ولی نشان می‌دهد که می‌توان حمله را فراتر برد.

نیاز به اینترنت و DNS: در حملهٔ مورد بحث، مهاجم باید DNS و دامنه کنترلی داشته باشد تا SRV Queryها و Referralها را دستکاری کند. اگر سرور LDAP هدف پشت فایروال و بدون دسترسی DNS خارجی باشد، احتمال موفقیت کمتر است.

🔺تأثیر احتمالی و توصیه‌های امنیتی:

سرورهای Domain Controller: کل اکتیو دایرکتوری سازمان در معرض خطر است. مهاجم می‌تواند از طریق DC به منابع حیاتی دسترسی یابد یا کل سرویس احراز هویت را از کار بیندازد.

کرش زیرساخت حیاتی: با ایجاد Loop یا حملهٔ یک‌باره، LSASS کرش کرده و سرور ریستارت می‌شود. این معادل DoS روی شبکه سازمانی است.

اقدامات فوری: 

- نصب پچ: مایکروسافت پچی را ارائه کرده که SafeBreach تأیید کرده رفع‌کنندهٔ مشکل است.

- محدودسازی External DNS: در صورتی‌که نیازی به درخواست DNS خارجی برای سرورهای LDAP/DC ندارید، آن را غیرفعال کنید یا به شدت محدود کنید.

- مانیتورینگ درخواست‌های DCE/RPC: نظارت بر بسته‌های CLDAP / NetBIOS Referral می‌تواند نشانه‌های اولیه حمله را شناسایی کند.

📺 نتیجه‌گیری

آسیب‌پذیری CVE-2024-49112 یا LDAP Nightmare یک مورد بحرانی در سرویس LDAP ویندوز است که می‌تواند بدون نیاز به تعامل کاربر، Domain Controllers یا سایر سرورها را کرش کند یا با روش‌های پیشرفته‌تر منجر به اجرای کد سطح سیستم شود. SafeBreach Labs با انتشار یک Proof-of-Concept (PoC) نشان داده‌اند که چگونه ساختار ارجاعات در LDAP می‌تواند دستکاری شود و LSASS را از پایداری خارج نماید. از آن‌جایی که این حفره، ساختار اصلی احراز هویت در اکتیو دایرکتوری را هدف می‌گیرد، خطر آن در محیط‌های سازمانی بسیار بالاست. مایکروسافت پچی ارائه کرده که طبق گفته SafeBreach، بهره‌برداری از حفره را ناممکن می‌کند. در نتیجه:

- به‌روزرسانی فوری همه ویندوز سرورها (۲۰۱۹، ۲۰۲۲ و…) ضروری است.

- محدودسازی ترافیک خارجی به LDAP/LSASS از طریق فایروال یا DNS Policy توصیه می‌شود.

- نظارت فعال بر ترافیک مشکوک (مانند SRV Queryهای غیرمعمول یا ارجاعات CLDAP) ضریب موفقیت حمله را کاهش می‌دهد.

این مورد بار دیگر نشان می‌دهد خدمات زیرساختی (LDAP, AD) حتی اگر قدیمی و ثابت به‌نظر برسند، ممکن است هدفی جذاب برای مهاجمان باشند و باید مرتباً پچ شوند و تحت نظارت باشند.

منبع : #aioooir

آوازه وشهرت خیام بیشتر به دلیل رباعیات اوست.

اما یکی از برجسته‌ترین کارهای خیام را می‌توان سروسامان دادن به گاهشماری ایران در زمان وزارت خواجه نظام‌الملک در دوره پادشاهی ملک‌شاه سلجوقی دانست. در آن زمان خیام توانست مدار گردش کره زمین به دور خورشید را تا ۱۶ رقم اعشار محاسبه کند. خیام به تقویم جلالی سروسامان داد که اعتبار آن از گاه‌شمار میلادی نیز بیشتر است و همچنان بعد از ۹۰۰ سال، دقیق‌ترین تقویم جهان محسوب می‌شود.

از این‌رو خیام خیلی سال‌ها قبل‌تر از گالیله و کوپرنیک اعتقاد داشت که زمین درحال چرخیدن به دور خورشید است.
از خیام تعیین ضرایب بسط دو جمله‌ای به جا مانده است. این کار را نیوتون نیز انجام داده بود اما از لحاظ زمانی خیام بر نیوتن تقدم داشته است که البته تا صد سال پیش این موضوع کشف نشده بود.

دستاوردهای بسیاری در ریاضیات، نجوم، تاریخ و فلسفه از خیام به جا مانده است که او را تبدیل به بزرگترین دانشمند قرون وسطی می‌کند.

۲۸ اردیبهشت بزرگداشت حکیم عمر خیام نیشابوری گرامی‌باد

@PfkSecurity

Ivanti EPMM Pre-Auth RCE Chain

این لینک به اشاره می‌کند که حاوی یک ابزار پیشرفته تشخیص و اسکنر امنیتی برای آسیب‌پذیری‌های CVE-2025-4427 و CVE-2025-4428 در سیستم Ivanti Endpoint Manager Mobile (EPMM) است. این دو آسیب‌پذیری به صورت زنجیره‌ای (chained) قابل استفاده هستند و امکان اجرای کد از راه دور بدون نیاز به احراز هویت (Unauthenticated RCE) را فراهم می‌کنند .

### ویژگی‌های اصلی این ابزار:
1. تشخیص آسیب‌پذیری: این اسکنر سیستم‌های آسیب‌پذیر را از طریق تحلیل سیگنچر شناسایی می‌کند.
2. اجرای دستورات کنترل‌شده: امکان تست امنیتی آسیب‌پذیری با اجرای دستورات ساده (مانند id یا uname -a) وجود دارد .
3. پشتیبانی از پروکسی: قابلیت تنظیم پروکسی (مانند Burp Suite) برای تحلیل ترافیک شبکه.
4. گزارش‌گیری و لاگینگ: لاگ‌های جامع در فایل و کنسول، همراه با سیستم بازگشت خودکار در صورت اتصال ناموفق.
5. سازگاری: این ابزار با محیط‌های bash و sh کار می‌کند و نیازمند Python 3.6+ و کتابخانه requests است.

نحوه استفاده:
- برای چک کردن آسیب‌پذیری:

  python scanner.py -H https://example.com/
  

- اجرای دستورات دلخواه با پروکسی:

  python scanner.py -H http://internal-server/ -c "uname -a" -x http://proxy:8080
  

- ذخیره نتایج در فایل:

  python scanner.py -H http://test-site.com/ -s sh -t 30 -o results.txt
  

وضعیت قانونی و اخلاقی:
- این ابزار فقط برای تست روی سیستم‌های مجاز استفاده می‌شود و در صورت نقض قوانین، مسئولیت کاربر است.
- امکان وجود نتایج غلط مثبت/منفی وجود دارد، بنابراین توصیه می‌شود همیشه نتایج را به صورت دستی تأیید کنید .

زمینه آسیب‌پذیری:
این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند بدون نیاز به گذرواژه یا حساب کاربری، دستورات دلخواه را روی سرور Ivanti EPMM اجرا کنند. این موضوع خطر بسیار بالایی برای سازمان‌ها ایجاد می‌کند، زیرا می‌تواند منجر به دسترسی کامل به سیستم‌های داخلی شود .

#exploit
@PfkSecurity

Slightly improved exploit of the CVE-2025-24203 iOS vulnerability by Ian Beer of Google Project Zero

این لینک به این اشاره می‌کند که حاوی یک بُروزرسانی شده‌ی اکسپلویت آسیب‌پذیری CVE-2025-24203 در iOS است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد دسترسی نامحدود به فایل‌های سیستمی را به دست آورند و دستورات با دسترسی بالا اجرا کنند. این اکسپلویت ابتدا توسط این بیر (Ian Beer) از گروه Google Project Zero کشف و توسعه داده شد، اما GeoSn0w آن را با بهبود سیستم گزارش خطاها (error logging) و افزایش قابلیت استفاده در ابزارهای تحقیقاتی آی‌اواس بهینه کرده است .

جزئیات فنی:
- نوع آسیب‌پذیری: افزایش دسترسی (Privilege Escalation)
- نسخه‌های آسیب‌پذیر: iOS 16.0 تا 18.3.2 (در دستگاه‌های مختلف)
- هدف اصلی: این اکسپلویت امکان نوشتن فایل‌های سیستمی را فراهم می‌کند، شبیه به اکسپلویت MacDirtyCow، و می‌تواند برای اعمال تغییرات (tweaks) در آی‌اواس بدون نیاز به جیلبریک (jailbreak) استفاده شود .

کاربردها:
- ابزار iDevice Toolkit: GeoSn0w این اکسپلویت را در ابزار iDevice Toolkit خود پیاده سازی کرده است تا کاربران بتوانند فایل‌های خاصی را به صفر (zero out) کنند و تغییرات سفارشی در سیستم ایجاد کنند .
- تحقیقات امنیتی: استفاده از این اکسپلویت برای تست امنیت سیستم‌های آی‌اواس و شناسایی آسیب‌پذیری‌های مشابه .

ویژگی‌های اضافی:
- پورت Swift: GeoSn0w یک پیاده‌سازی Swift از این اکسپلویت را نیز منتشر کرده است تا در ابزارهای آینده‌ی خود از آن استفاده کند .
- گزارش خطا بهتر: بهبود در مدیریت خطاها برای استفاده راحت‌تر در محیط‌های تحقیقاتی .

نکات حقوقی و اخلاقی:
- این اکسپلویت فقط برای اهداف آموزشی و تحقیقاتی طراحی شده است و استفاده نادرست از آن ممکن است نقض قانون محسوب شود .
- GeoSn0w
در وب‌سایت رسمی iDeviceCentral.com اعلام کرده است که این ابزار برای "تحقیق و توسعه" است و نباید برای عملیات غیرقانونی به کار رود .

#exploit
@PfkSecurity

WordPress Plugin Digits OTP Bypass (CVE-2025-4094)

این لینک به این اشاره می‌کند که حاوی یک اثبات مفهوم (PoC) برای آسیب‌پذیری CVE-2025-4094 در افزونه WordPress Digits است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد بدون نیاز به داشتن رمز یک‌بار مصرف (OTP) به حساب کاربری دسترسی پیدا کنند، حتی اگر دو عامل احراز هویت (2FA) فعال باشد.

جزئیات آسیب‌پذیری:
1. نوع آسیب‌پذیری:
- دور زدن احراز هویت OTP با استفاده از حمله Brute Force

https://github.com/POCPioneer/CVE-2025-4094-POC
https://vulmon.com/cve/CVE-2025-4094

- نسخه‌های آسیب‌پذیر: Digits 8.4.6.1 و قبل از آن.

2. نحوه عملکرد:
- مهاجم می‌تواند با ارسال درخواست‌های مکرر OTP به سرور، کد یک‌بار مصرف را شکافته و وارد حساب کاربری شود. این آسیب‌پذیری به دلیل عدم محدودیت تعداد تلاش‌های ناموفق در سیستم OTP افزونه Digits رخ می‌دهد

https://wpscan.com/vulnerability/5d7c6b05-3f3c-4a9d-ba3d-4e3c1e1d6b4d

3. پیامدهای امنیتی:
- دسترسی غیرمجاز به حساب‌های کاربری، از جمله حساب‌های مدیریتی، که می‌تواند منجر به کنترل کامل وب‌سایت شود

https://packetstormsecurity.com/files/178594/

محتوای مخزن GitHub:

- اثبات مفهوم (PoC):
این مخزن یک اسکریپت یا ابزار فراهم کرده است که نحوه انجام حمله Brute Force OTP را نشان می‌دهد. این ابزار می‌تواند به صورت خودکار کد OTP را تست کند و در صورت موفقیت، اطلاعات احراز هویت را استخراج کند

https://github.com/POCPioneer/CVE-2025-4094-POC
https://unsafe.sh/pocpioneer-cve-2025-4094-poc/

- روش استفاده:
کاربران می‌توانند از این PoC برای تست آسیب‌پذیری در محیط‌های آزمایشگاهی استفاده کنند. به عنوان مثال، با ارسال درخواست‌های HTTP به URL هدف و شکار کد OTP در زمان واقعی

https://sploitus.com/exploit?id=2E53879E-869F-503D-8FC6-A0A8FCCD0F2C

راه‌حل و رفع آسیب‌پذیری:
- به‌روزرسانی فوری:
سازنده افزونه Digits نسخه 8.4.6.1 را منتشر کرده است که این مشکل را برطرف می‌کند. تمام کاربران توصیه می‌شوند به این نسخه به‌روزرسانی کنند

https://vulmon.com/cve/CVE-2025-4094
https://wpscan.com/vulnerability/5d7c6b05-3f3c-4a9d-ba3d-4e3c1e1d6b4d

- راه‌حل‌های موقت:
- غیرفعال کردن افزونه Digits تا زمان به‌روزرسانی.
- استفاده از راه‌حل‌های امنیتی جانبی مانند WAF (فایروال اپلیکیشن وب) برای تشخیص و بلاک کردن حملات Brute Force

https://packetstormsecurity.com/files/178594/

منابع بیشتر:

- [مستندات رسمی WPScan]

https://wpscan.com/vulnerability/5d7c6b05-3f3c-4a9d-ba3d-4e3c1e1d6b4d

- صفحه CVE-2025-4094 درVulmon

https://vulmon.com/cve/CVE-2025-4094

- [GitHub مخزن PoC]

https://github.com/POCPioneer/CVE-2025-4094-POC

#exploit
@PfkSecurity

در این مقاله توسط D3vil، یک آسیب‌پذیری نوع اشتباه (Type Confusion) در زیرسیستم زمان‌بندی شبکه (Network Scheduler) لینوکس که منجر به اجرای کد از راه دور (RCE) می‌شود، مورد بررسی قرار گرفته است. این آسیب‌پذیری با شناسه CVE-2025-37752 به نام "[Two Bytes Of Madness]" شناخته می‌شود و چگونگی استثمار یک اثر جانبی محدود از نوشتن خارج از محدوده (OOB Write) برای دستیابی به یک حمله عملی روی تمام نمونه‌های kernelCTF را نشان می‌دهد

جزئیات فنی:
1. نوع آسیب‌پذیری:
- آسیب‌پذیری ناشی از اشتباه در مدیریت نوع داده‌ها (Type Confusion) در زیرسیستم زمان‌بندی شبکه، که امکان نوشتن دو بایت (0x0000) به مقدار 262,636 بایت خارج از محدوده (OOB) را فراهم می‌کند .


2. روش استثمار:
- نویسنده مقاله، با استفاده از این نوشتن خارج از محدوده، ساختار pipe_inode_info->tmp_page (یک صفحه موقت در لوله‌های لینوکس) را دستکاری می‌کند و یک اصلیه خواندن/نوشتن UAF (Use-After-Free) در حافظه کرنل ایجاد می‌کند. این امر به او اجازه می‌دهد بدون محدودیت به حافظه دسترسی پیدا کند.

3. دستیابی به دسترسی بالا (Privilege Escalation):

- با دستکاری فیلدهای private_data و f_cred در ساختار فایل signalfd (که مربوط به مدیریت سیگنال‌های فرآیند است)، نویسنده موفق به بازنویسی اعتبارات کاربری (Credentials) از طریق signalfd_ctx می‌شود. این کار در نهایت منجر به دسترسی روت (Root) به سیستم می‌شود.

### اهمیت این تحقیق:
- اثبات مفهوم: حتی یک نوشتن خارج از محدوده بسیار محدود (مثل دو بایت) می‌تواند به یک حمله کامل کرنل تبدیل شود، که نشان از ضعف عمیق در مدیریت حافظه لینوکس دارد.

- تأثیر گسترده: این آسیب‌پذیری تمام نمونه‌های kernelCTF (چالش‌های امنیتی کرنل) را تحت تأثیر قرار می‌دهد و می‌تواند در محیط‌های واقعی نیز به کار رود.

#CVE
@PfkSecurity

اسکریپت پایتون IDA برای دریافت نام تمام توابع از سازنده رویداد (VCL) (IDA 9)

https://github.com/Coldzer0/IDA-For-Delphi

@PfkSecurity