مرکز امنیت سایبری کانادا از افزایش فعالیتهای هکری که سیستمهای کنترل صنعتی (ICS) قابل دسترسی از طریق اینترنت را هدف قرار دادهاند، گزارش میدهد.
متخصصان اشاره میکنند که هکرها بارها سیستمهای زیرساختی حیاتی در سراسر کشور را هک کردهاند که به آنها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر میتوانست منجر به ایجاد موقعیتهای خطرناک شود.
به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره میکند که در آن فعالان هکری در عملکرد سیستمهای حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کردهاند.
این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شدهاند.
در نتیجه حمله به ایستگاه آب، شاخصهای فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.
مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقصهایی در عملکرد سطحسنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.
مورد سوم در خشککن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم میشد، که اگر مشکل به موقع برطرف نمیشد، میتوانست به وضعیت بسیار خطرناکی منجر شود.
با این حال، مقامات کانادا معتقدند که همه این حملات برنامهریزی شده یا سازمانیافته پیچیده نبودهاند، بلکه بیشتر ماهیتی فرصتطلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانهها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بودهاند.
اگرچه هیچ یک از سازمانهای هدفگرفته شده در کانادا دچار پیامدهای فاجعهبار نشدند، این حملات نشاندهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاههای صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
متخصصان اشاره میکنند که هکرها بارها سیستمهای زیرساختی حیاتی در سراسر کشور را هک کردهاند که به آنها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر میتوانست منجر به ایجاد موقعیتهای خطرناک شود.
به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره میکند که در آن فعالان هکری در عملکرد سیستمهای حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کردهاند.
این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شدهاند.
در نتیجه حمله به ایستگاه آب، شاخصهای فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.
مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقصهایی در عملکرد سطحسنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.
مورد سوم در خشککن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم میشد، که اگر مشکل به موقع برطرف نمیشد، میتوانست به وضعیت بسیار خطرناکی منجر شود.
با این حال، مقامات کانادا معتقدند که همه این حملات برنامهریزی شده یا سازمانیافته پیچیده نبودهاند، بلکه بیشتر ماهیتی فرصتطلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانهها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بودهاند.
اگرچه هیچ یک از سازمانهای هدفگرفته شده در کانادا دچار پیامدهای فاجعهبار نشدند، این حملات نشاندهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاههای صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
در ایالات متحده آمریکا حادثهای جنجالی جدید رخ داده است که شرکت بزرگ ملی مخابراتی Ribbon Communications را تحت تأثیر قرار داده است.
شرکت آمریکایی راهحلهای ارتباطی و شبکهای و همچنین فناوریهای اصلی برای شبکههای ارتباطی ارائه میدهد. راهحلهای آن مورد اعتماد ارائهدهندگان خدمات پیشرو، شرکتها و زیرساختهای حیاتی است.
در میان مشتریان Ribbon Communications شرکتهایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لسآنجلس دیده میشوند.
در گزارش مالی سهماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.
تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان میدهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.
در زمان ارائه گزارش سهماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.
با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپتاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتادهاند».
مشتریان آسیبدیده به طور مناسب مطلع شدهاند.
به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیتهای آن نخواهد داشت.
Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.
در پی رسواییهای اخیر پیرامون هکرهای چینی همهجا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.
به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.
اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
شرکت آمریکایی راهحلهای ارتباطی و شبکهای و همچنین فناوریهای اصلی برای شبکههای ارتباطی ارائه میدهد. راهحلهای آن مورد اعتماد ارائهدهندگان خدمات پیشرو، شرکتها و زیرساختهای حیاتی است.
در میان مشتریان Ribbon Communications شرکتهایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لسآنجلس دیده میشوند.
در گزارش مالی سهماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.
تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان میدهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.
در زمان ارائه گزارش سهماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.
با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپتاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتادهاند».
مشتریان آسیبدیده به طور مناسب مطلع شدهاند.
به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیتهای آن نخواهد داشت.
Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.
در پی رسواییهای اخیر پیرامون هکرهای چینی همهجا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.
به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.
اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
دویچه وله، یک رسانه بینالمللی که در سال ۱۹۶۰ تأسیس شد و توسط دولت آلمان تأمین مالی میشود، هک شده است.
یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش میرسد (مدرک آن نیز ارائه شده است).
به گفته فروشنده، دادههای فاش شده شامل آدرسهای ایمیل کاربر، نامهای کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش میرسد (مدرک آن نیز ارائه شده است).
به گفته فروشنده، دادههای فاش شده شامل آدرسهای ایمیل کاربر، نامهای کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
مقامات استرالیایی نسبت به یک کمپین APT فعال که دستگاههای Cisco IOS XE وصله نشده را هدف قرار میدهد، هشدار میدهند و هدف آن آلوده کردن روترها با پوسته وب BadCandy مبتنی بر Lua است.
این آسیبپذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه میدهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاهها را به دست بگیرند.
سیسکو این آسیبپذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیبپذیری فعال مورد سوءاستفاده علامتگذاری شد.
دو هفته بعد، یک بهرهبرداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیبپذیری را برای نصب درهای پشتی در دستگاههای متصل به اینترنت تسهیل میکرد.
پس از نصب، BadCandy به مهاجمان از راه دور اجازه میدهد تا دستورات را با امتیازات ریشه در دستگاههای آسیبدیده اجرا کنند.
پس از راهاندازی مجدد، از دستگاهها حذف میشود. با این حال، با توجه به عدم وجود وصله در این دستگاهها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان میتوانند به راحتی آن را دوباره نصب کنند.
اداره سیگنالهای استرالیا تخمین میزند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیبپذیر بودهاند و بیش از ۱۵۰ دستگاه باقی مانده است.
در حالی که تعداد آلودگیها به طور پیوسته در حال کاهش بوده است، ASD نشانههایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.
به گفته این آژانس، مهاجمان میتوانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.
به گفته ASD، این آسیبپذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعهای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.
در حالی که این تهدید در حال حاضر فاقد یک نسبتدهی واضح است، ASD افزایش اخیر فعالیتها را به مجرمان سایبری تحت حمایت دولت نسبت میدهد.
مدیران سیستمهای Cisco IOS XE در سراسر جهان باید توصیههای کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاومسازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
این آسیبپذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه میدهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاهها را به دست بگیرند.
سیسکو این آسیبپذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیبپذیری فعال مورد سوءاستفاده علامتگذاری شد.
دو هفته بعد، یک بهرهبرداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیبپذیری را برای نصب درهای پشتی در دستگاههای متصل به اینترنت تسهیل میکرد.
پس از نصب، BadCandy به مهاجمان از راه دور اجازه میدهد تا دستورات را با امتیازات ریشه در دستگاههای آسیبدیده اجرا کنند.
پس از راهاندازی مجدد، از دستگاهها حذف میشود. با این حال، با توجه به عدم وجود وصله در این دستگاهها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان میتوانند به راحتی آن را دوباره نصب کنند.
اداره سیگنالهای استرالیا تخمین میزند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیبپذیر بودهاند و بیش از ۱۵۰ دستگاه باقی مانده است.
در حالی که تعداد آلودگیها به طور پیوسته در حال کاهش بوده است، ASD نشانههایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.
به گفته این آژانس، مهاجمان میتوانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.
به گفته ASD، این آسیبپذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعهای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.
در حالی که این تهدید در حال حاضر فاقد یک نسبتدهی واضح است، ASD افزایش اخیر فعالیتها را به مجرمان سایبری تحت حمایت دولت نسبت میدهد.
مدیران سیستمهای Cisco IOS XE در سراسر جهان باید توصیههای کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاومسازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
محققان Socket Security بستههای مخرب NuGet را که در سالهای ۲۰۲۳ و ۲۰۲۴ دانلود شده بودند، کشف کردند که برای اجرای کد مخرب پس از تاریخهای مشخص در سالهای ۲۰۲۷ و ۲۰۲۸ طراحی شدهاند و قادر به ایجاد حمله DoS به پایگاههای داده و سیستمهای ICS هستند.
مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.
این بستهها در مجموع ۹۴۸۸ بار دانلود شدهاند.
این بستهها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.
طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار میکنند و باعث میشوند توسعهدهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.
مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار میکردند.
اکنون همه آنها از NuGet حذف شدهاند.
Socket Security همچنین خاطرنشان میکند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار میدهد - یک پیادهسازی .NET برای تعامل با PLC های Siemens S7.
گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد میکند و این واقعیت را پنهان میکند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق میکند.
متدهای افزونه به توسعهدهندگان اجازه میدهند بدون تغییر کد منبع، متدهای جدیدی را به انواع دادههای موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده میکنند.
هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام میدهد، این متدهای افزونه به طور خودکار اجرا میشوند و تاریخ فعلی را با تاریخهای شروع (که در اکثر بستهها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شدهاند) مقایسه میکنند.
هشت بسته سیستمهای پایگاه داده را هدف قرار میدهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه میدهند.
در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال میشود و تا 6 ژوئن 2028 فعال میماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف میشود.
این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار میدهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن دادههای جدید توسط PLC میشود و عملاً دستگاه را از بین میبرد.
قرار است پیادهسازیهای خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بستهها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راهاندازی شوند.
این رویکرد مرحلهای به مهاجم زمان بیشتری میدهد تا قبل از فعال شدن بدافزار با تأخیر فعالسازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستمهای ICS را مختل کند.
اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان میدهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.
توسعهدهندگانی که در سال ۲۰۲۴ بستهها را نصب کردهاند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر میشود، به پروژهها یا شرکتهای دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابیهای سختافزاری پنهان میکند.
این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیبدیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک میکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.
این بستهها در مجموع ۹۴۸۸ بار دانلود شدهاند.
این بستهها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.
طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار میکنند و باعث میشوند توسعهدهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.
مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار میکردند.
اکنون همه آنها از NuGet حذف شدهاند.
Socket Security همچنین خاطرنشان میکند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار میدهد - یک پیادهسازی .NET برای تعامل با PLC های Siemens S7.
گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد میکند و این واقعیت را پنهان میکند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق میکند.
متدهای افزونه به توسعهدهندگان اجازه میدهند بدون تغییر کد منبع، متدهای جدیدی را به انواع دادههای موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده میکنند.
هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام میدهد، این متدهای افزونه به طور خودکار اجرا میشوند و تاریخ فعلی را با تاریخهای شروع (که در اکثر بستهها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شدهاند) مقایسه میکنند.
هشت بسته سیستمهای پایگاه داده را هدف قرار میدهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه میدهند.
در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال میشود و تا 6 ژوئن 2028 فعال میماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف میشود.
این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار میدهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن دادههای جدید توسط PLC میشود و عملاً دستگاه را از بین میبرد.
قرار است پیادهسازیهای خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بستهها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راهاندازی شوند.
این رویکرد مرحلهای به مهاجم زمان بیشتری میدهد تا قبل از فعال شدن بدافزار با تأخیر فعالسازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستمهای ICS را مختل کند.
اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان میدهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.
توسعهدهندگانی که در سال ۲۰۲۴ بستهها را نصب کردهاند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر میشود، به پروژهها یا شرکتهای دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابیهای سختافزاری پنهان میکند.
این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیبدیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک میکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
ما همچنان به معرفی رایجترین آسیبپذیریها و تهدیدهای مرتبط میپردازیم:
۱. محققان سیسکو آسیبپذیریهای متقاطع را در هشت مدل LLM متنباز موجود در بازار از شرکتهایی مانند OpenAI، Alibaba، Mistral، Google و دیگران کشف کردند. این تعجبآور نیست، زیرا این مدلها به ندرت پس از انتشار کد منبع بهروزرسانی میشوند.
۲. Cyderes یک آسیبپذیری در Advanced Installer، چارچوبی برای ایجاد نصابهای ویندوز، کشف کرد که به مهاجمان اجازه میدهد مکانیسمهای بهروزرسانی برنامه را ربوده و در صورت عدم امضای دیجیتالی بستههای بهروزرسانی، کد خارجی مخرب را اجرا کنند.
Advanced Installers توسط برخی از بزرگترین شرکتهای جهان مانند اپل، مایکروسافت، گوگل و IBM استفاده میشود.
۳. محققان Tenable هفت آسیبپذیری و روش حمله را شناسایی کردند که کاربران ChatGPT را هدف قرار میدهد. این نقصها به مهاجمان اجازه میدهد تا اطلاعات حساس را از حافظه و تاریخچه چت کاربران سرقت کنند.
۴. محققان Zscaler یک آسیبپذیری دسترسی به فایل و SSRF (CVE-2025-12058) را در پلتفرم هوش مصنوعی Keras کشف کردند.
۵. گروهی از محققان وابسته به موسسه فناوری ماساچوست (MIT) گزارشی نسبتاً بحثبرانگیز ارائه دادند که محکومیت گستردهای را در حوزه امنیت اطلاعات برانگیخت.
مردم این ادعا را که هوش مصنوعی زیربنای ۸۰٪ از کل حملات باجافزاری مدرن است، زیر سوال بردهاند.
محققان برجسته و کارشناسان امنیت اطلاعات، یافتههای این مطالعه را مورد انتقاد قرار دادند و آنها را از نظر فنی بیاساس و چیزی بیش از یک تبلیغ تبلیغاتی ندانستند.
۶. گوگل نیز به نوبه خود، گزارش خود را در مورد گونههای بدافزار مبتنی بر هوش مصنوعی منتشر کرد.
تنها پنج مورد از آنها وجود دارد و همه آنها اساساً "سرباره" هستند. با این حال، یکی از این پنج مورد در نهایت به یک پروژه واقعی دانشمندان تبدیل شد.
بنابراین، طبق گفته گوگل، دوران بدافزارهای تمام عیار مبتنی بر هوش مصنوعی هنوز فرا نرسیده است، اما توسعهدهندگان بدافزار هنوز در حال ایجاد ابزارهای LLM خود برای اهداف بسیار خاص هستند.
۷. گزارش "آزمایشگاههای تهدید: تولید ۲۰۲۵" نتسکوپ، جزئیات آخرین تهدیدات امنیت سایبری را که بر سازمانهای صنعت تولید تأثیر میگذارند، شرح میدهد.
به طور خاص، این موضوع روندهایی مانند وابستگی فزاینده به زیرساختهای ابری و تکنیکهای پیچیدهی نفوذ به زنجیرهی تأمین که منجر به اختلال در فرآیندهای تولید میشود را برجسته میکند.
۸. طبق گفتهی Palo Alto Networks، مهاجمان از آسیبپذیری CVE-2025-21042 برای ارائهی جاسوسافزار Landfall برای اندروید به کاربران در خاورمیانه با استفاده از تصاویر DNG دستکاریشدهی خاص و واتساپ سوءاستفاده کردهاند.
این حملات ظاهراً گوشیهای سامسونگ گلکسی را هدف قرار دادهاند و مهاجم ممکن است Landfall را با استفاده از یک اکسپلویت ZeroClick مستقر کرده باشد.
سامسونگ در ماه آوریل CVE-2025-21042 را وصله کرد، اما در اعلامیهی این غول فناوری هیچ اشارهای به سوءاستفاده از این آسیبپذیری در سطح اینترنت نشده است.
Palo Alto اظهار داشت که حملات Landfall حداقل از ژوئیه ۲۰۲۴ ادامه داشته است و CVE-2025-21042 حتی قبل از انتشار وصلههای سامسونگ، به عنوان یک آسیبپذیری روز صفر مورد سوءاستفاده قرار میگرفته است.
CVE-2025-21042 مشابه CVE-2025-21043 است، یکی دیگر از آسیبپذیریهای روز صفر که اخیراً توسط سامسونگ در همان کتابخانه تصویر وصله شده است.
چند هفته قبل از افشای CVE-2025-21043، اپل CVE-2025-43300 را وصله کرد، آسیبپذیری مشابهی که گمان میرود با آسیبپذیری روز صفر واتساپ (CVE-2025-55177) مرتبط باشد که برای ارائه جاسوسافزار به مشتریان اپل استفاده میشود.
شرکت Palo Alto Networks نتوانست تأیید کند که زنجیره بهرهبرداری CVE-2025-43300/CVE-2025-55177 برای ارائه جاسوسافزار Landfall به کاربران iOS استفاده شده است.
مهاجم شناسایی نشده و اکنون با نام CL-UNK-1054 ردیابی میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
۱. محققان سیسکو آسیبپذیریهای متقاطع را در هشت مدل LLM متنباز موجود در بازار از شرکتهایی مانند OpenAI، Alibaba، Mistral، Google و دیگران کشف کردند. این تعجبآور نیست، زیرا این مدلها به ندرت پس از انتشار کد منبع بهروزرسانی میشوند.
۲. Cyderes یک آسیبپذیری در Advanced Installer، چارچوبی برای ایجاد نصابهای ویندوز، کشف کرد که به مهاجمان اجازه میدهد مکانیسمهای بهروزرسانی برنامه را ربوده و در صورت عدم امضای دیجیتالی بستههای بهروزرسانی، کد خارجی مخرب را اجرا کنند.
Advanced Installers توسط برخی از بزرگترین شرکتهای جهان مانند اپل، مایکروسافت، گوگل و IBM استفاده میشود.
۳. محققان Tenable هفت آسیبپذیری و روش حمله را شناسایی کردند که کاربران ChatGPT را هدف قرار میدهد. این نقصها به مهاجمان اجازه میدهد تا اطلاعات حساس را از حافظه و تاریخچه چت کاربران سرقت کنند.
۴. محققان Zscaler یک آسیبپذیری دسترسی به فایل و SSRF (CVE-2025-12058) را در پلتفرم هوش مصنوعی Keras کشف کردند.
۵. گروهی از محققان وابسته به موسسه فناوری ماساچوست (MIT) گزارشی نسبتاً بحثبرانگیز ارائه دادند که محکومیت گستردهای را در حوزه امنیت اطلاعات برانگیخت.
مردم این ادعا را که هوش مصنوعی زیربنای ۸۰٪ از کل حملات باجافزاری مدرن است، زیر سوال بردهاند.
محققان برجسته و کارشناسان امنیت اطلاعات، یافتههای این مطالعه را مورد انتقاد قرار دادند و آنها را از نظر فنی بیاساس و چیزی بیش از یک تبلیغ تبلیغاتی ندانستند.
۶. گوگل نیز به نوبه خود، گزارش خود را در مورد گونههای بدافزار مبتنی بر هوش مصنوعی منتشر کرد.
تنها پنج مورد از آنها وجود دارد و همه آنها اساساً "سرباره" هستند. با این حال، یکی از این پنج مورد در نهایت به یک پروژه واقعی دانشمندان تبدیل شد.
بنابراین، طبق گفته گوگل، دوران بدافزارهای تمام عیار مبتنی بر هوش مصنوعی هنوز فرا نرسیده است، اما توسعهدهندگان بدافزار هنوز در حال ایجاد ابزارهای LLM خود برای اهداف بسیار خاص هستند.
۷. گزارش "آزمایشگاههای تهدید: تولید ۲۰۲۵" نتسکوپ، جزئیات آخرین تهدیدات امنیت سایبری را که بر سازمانهای صنعت تولید تأثیر میگذارند، شرح میدهد.
به طور خاص، این موضوع روندهایی مانند وابستگی فزاینده به زیرساختهای ابری و تکنیکهای پیچیدهی نفوذ به زنجیرهی تأمین که منجر به اختلال در فرآیندهای تولید میشود را برجسته میکند.
۸. طبق گفتهی Palo Alto Networks، مهاجمان از آسیبپذیری CVE-2025-21042 برای ارائهی جاسوسافزار Landfall برای اندروید به کاربران در خاورمیانه با استفاده از تصاویر DNG دستکاریشدهی خاص و واتساپ سوءاستفاده کردهاند.
این حملات ظاهراً گوشیهای سامسونگ گلکسی را هدف قرار دادهاند و مهاجم ممکن است Landfall را با استفاده از یک اکسپلویت ZeroClick مستقر کرده باشد.
سامسونگ در ماه آوریل CVE-2025-21042 را وصله کرد، اما در اعلامیهی این غول فناوری هیچ اشارهای به سوءاستفاده از این آسیبپذیری در سطح اینترنت نشده است.
Palo Alto اظهار داشت که حملات Landfall حداقل از ژوئیه ۲۰۲۴ ادامه داشته است و CVE-2025-21042 حتی قبل از انتشار وصلههای سامسونگ، به عنوان یک آسیبپذیری روز صفر مورد سوءاستفاده قرار میگرفته است.
CVE-2025-21042 مشابه CVE-2025-21043 است، یکی دیگر از آسیبپذیریهای روز صفر که اخیراً توسط سامسونگ در همان کتابخانه تصویر وصله شده است.
چند هفته قبل از افشای CVE-2025-21043، اپل CVE-2025-43300 را وصله کرد، آسیبپذیری مشابهی که گمان میرود با آسیبپذیری روز صفر واتساپ (CVE-2025-55177) مرتبط باشد که برای ارائه جاسوسافزار به مشتریان اپل استفاده میشود.
شرکت Palo Alto Networks نتوانست تأیید کند که زنجیره بهرهبرداری CVE-2025-43300/CVE-2025-55177 برای ارائه جاسوسافزار Landfall به کاربران iOS استفاده شده است.
مهاجم شناسایی نشده و اکنون با نام CL-UNK-1054 ردیابی میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
😆QNAPهفت آسیب پذیری روز صفر را پس از نمایش در مسابقات Pwn2Own 2025 وصله کرد
QNAP، تولیدکننده تایوانی، بهروزرسانیهای امنیتی اضطراری را منتشر کرده است که هفت آسیبپذیری روز صفر را که در مسابقات Pwn2Own ایرلند 2025 نشان داده شده بود، وصله میکند.
این آسیبپذیریها نه تنها یک محصول، بلکه کل اکوسیستم کیو ان ای پی، از جمله QTS، QuTS hero، نرمافزار پشتیبانگیری (HBS 3 Hybrid Backup Sync)، نرمافزار حفاظت از دادهها (Hyper Data Protector) و حتی اسکنر آنتی ویروس (Malware Remover) را تحت تأثیر قرار میدهند.
🛡 نسخههای نرمافزاری آسیبپذیر (نیازمند بهروزرسانی فوری):
▪️Hyper Data Protector: تمام نسخههای قبل از ۲.۲.۴.۱ (CVE-2025-59389)
▪️Malware Remover: تمام نسخههای قبل از ۶.۶.۸.۲۰۲۵۱۰۲۳ (CVE-2025-11837)
▪️HBS 3 Hybrid Backup Sync: تمام نسخههای قبل از ۲۶.۲.۰.۹۳۸ (CVE-2025-62840، CVE-2025-62842)
▪️QTS 5.2.7: تمام نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.2.7: همه نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.3.1: تمام نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
هر هفت آسیبپذیری توسط تیم Summoning، DEVCORE، تیم DDOS و یک کارآموز از CyCraft technology نشان داده شده است.
👆QNAP اکیداً به کاربران توصیه میکند که به آخرین نسخههای نرمافزار بهروزرسانی کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
QNAP، تولیدکننده تایوانی، بهروزرسانیهای امنیتی اضطراری را منتشر کرده است که هفت آسیبپذیری روز صفر را که در مسابقات Pwn2Own ایرلند 2025 نشان داده شده بود، وصله میکند.
این آسیبپذیریها نه تنها یک محصول، بلکه کل اکوسیستم کیو ان ای پی، از جمله QTS، QuTS hero، نرمافزار پشتیبانگیری (HBS 3 Hybrid Backup Sync)، نرمافزار حفاظت از دادهها (Hyper Data Protector) و حتی اسکنر آنتی ویروس (Malware Remover) را تحت تأثیر قرار میدهند.
🛡 نسخههای نرمافزاری آسیبپذیر (نیازمند بهروزرسانی فوری):
▪️Hyper Data Protector: تمام نسخههای قبل از ۲.۲.۴.۱ (CVE-2025-59389)
▪️Malware Remover: تمام نسخههای قبل از ۶.۶.۸.۲۰۲۵۱۰۲۳ (CVE-2025-11837)
▪️HBS 3 Hybrid Backup Sync: تمام نسخههای قبل از ۲۶.۲.۰.۹۳۸ (CVE-2025-62840، CVE-2025-62842)
▪️QTS 5.2.7: تمام نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.2.7: همه نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.3.1: تمام نسخههای قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
هر هفت آسیبپذیری توسط تیم Summoning، DEVCORE، تیم DDOS و یک کارآموز از CyCraft technology نشان داده شده است.
👆QNAP اکیداً به کاربران توصیه میکند که به آخرین نسخههای نرمافزار بهروزرسانی کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
باند باجافزار Cl0p در حال تکمیل آخرین کمپین خود است و انتشار اسامی قربانیان هک Oracle E-Business Suite (EBS) را که گفته میشود در اواخر سپتامبر ایمیلهای باجخواهی دریافت کردهاند، در DLS آغاز کرده است.
هکرها تقریباً 30 شرکت بزرگ آسیبدیده از جمله Logitech، The Washington Post، Cox Enterprises، Pan American Silver، LKQ Corporation و Copeland را فهرست کردهاند.
ما قبلاً در اواسط اکتبر به برخی از آنها اشاره کردیم. اولین شرکتهایی که شناسایی شدند دانشگاه هاروارد، دانشگاه Wits (آفریقای جنوبی) و Envoy Air بودند. همه آنها این حوادث را تأیید کردهاند.
هفته گذشته، واشنگتن پست نیز تأیید کرد که در طول این کمپین مورد حمله قرار گرفته است، اما جزئیات بیشتری ارائه نکرد.
در همین حال، اکثر قربانیان ادعایی دیگر هنوز هک یا نشت دادهها را تأیید نکردهاند، از جمله Schneider Electric و Emerson و همچنین همه موارد فوق.
سایر قربانیان ادعایی شامل شرکتهایی در زمینه تولید، خدمات حرفهای، خدمات رفاهی، ساخت و ساز، بیمه، امور مالی، حمل و نقل، فناوری، خودرو و انرژی هستند.
ظاهراً همه آنها در حال انجام تحقیقات هستند (یا حداقل شروع کردهاند)، اما قصد ندارند یافتههای خود را به اشتراک بگذارند. بنابراین، Cl0p شروع به افشای دادههای سرقت شده کرده است - در حال حاضر، این لیست شامل ۱۸ قربانی است که دادههای آنها اکنون در دسترس عموم قرار دارد.
تحلیل ساختاری برخی از فایلهای فاش شده نشان میدهد که احتمالاً همه آنها مستقیماً با محیط اوراکل مرتبط هستند.
در واقع، با توجه به کمپینهای قبلی Cl0p شامل Cleo، MOVEit و Fortra، شکی در مورد مشروعیت افشاگریها و جدی بودن اهداف این باند وجود ندارد.
با این حال، جزئیات دیگری ناشناخته مانده است: کدام آسیبپذیریهای خاص Oracle EBS در این حمله مورد سوءاستفاده قرار گرفتهاند.
به احتمال زیاد CVE-2025-61882 و CVE-2025-61884 هستند، زیرا هر دو میتوانند از راه دور و بدون احراز هویت یا تعامل با کاربر برای دسترسی به دادههای حساس مورد سوءاستفاده قرار گیرند.
علاوه بر این، در مورد CVE-2025-61882، ظاهراً بهرهبرداری از آسیبپذیری روز صفر حداقل دو ماه قبل از انتشار وصلهها آغاز شده است، که با امضای این اشکالات سازگار است.
اما خواهیم دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
هکرها تقریباً 30 شرکت بزرگ آسیبدیده از جمله Logitech، The Washington Post، Cox Enterprises، Pan American Silver، LKQ Corporation و Copeland را فهرست کردهاند.
ما قبلاً در اواسط اکتبر به برخی از آنها اشاره کردیم. اولین شرکتهایی که شناسایی شدند دانشگاه هاروارد، دانشگاه Wits (آفریقای جنوبی) و Envoy Air بودند. همه آنها این حوادث را تأیید کردهاند.
هفته گذشته، واشنگتن پست نیز تأیید کرد که در طول این کمپین مورد حمله قرار گرفته است، اما جزئیات بیشتری ارائه نکرد.
در همین حال، اکثر قربانیان ادعایی دیگر هنوز هک یا نشت دادهها را تأیید نکردهاند، از جمله Schneider Electric و Emerson و همچنین همه موارد فوق.
سایر قربانیان ادعایی شامل شرکتهایی در زمینه تولید، خدمات حرفهای، خدمات رفاهی، ساخت و ساز، بیمه، امور مالی، حمل و نقل، فناوری، خودرو و انرژی هستند.
ظاهراً همه آنها در حال انجام تحقیقات هستند (یا حداقل شروع کردهاند)، اما قصد ندارند یافتههای خود را به اشتراک بگذارند. بنابراین، Cl0p شروع به افشای دادههای سرقت شده کرده است - در حال حاضر، این لیست شامل ۱۸ قربانی است که دادههای آنها اکنون در دسترس عموم قرار دارد.
تحلیل ساختاری برخی از فایلهای فاش شده نشان میدهد که احتمالاً همه آنها مستقیماً با محیط اوراکل مرتبط هستند.
در واقع، با توجه به کمپینهای قبلی Cl0p شامل Cleo، MOVEit و Fortra، شکی در مورد مشروعیت افشاگریها و جدی بودن اهداف این باند وجود ندارد.
با این حال، جزئیات دیگری ناشناخته مانده است: کدام آسیبپذیریهای خاص Oracle EBS در این حمله مورد سوءاستفاده قرار گرفتهاند.
به احتمال زیاد CVE-2025-61882 و CVE-2025-61884 هستند، زیرا هر دو میتوانند از راه دور و بدون احراز هویت یا تعامل با کاربر برای دسترسی به دادههای حساس مورد سوءاستفاده قرار گیرند.
علاوه بر این، در مورد CVE-2025-61882، ظاهراً بهرهبرداری از آسیبپذیری روز صفر حداقل دو ماه قبل از انتشار وصلهها آغاز شده است، که با امضای این اشکالات سازگار است.
اما خواهیم دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
شرکت Comparitech نتایج تحلیل رمز عبور ۲۰۲۵ خود را منتشر کرده است که یافتههای آن بهطور سنتی برای این موضوع ناامیدکننده بوده است.
محققان بیش از ۲ میلیارد حساب کاربری را از نشتهایی که در وب تاریک و گزارشهای واکنش به حوادث جمعآوری کرده بودند، تجزیه و تحلیل کردند.
این مطالعه فقط شامل دادههایی بود که واقعاً در سال ۲۰۲۵ به خطر افتاده بودند.
Comparitech با استفاده از این دادهها، فهرستی از پرکاربردترین رمزهای عبور را ارائه کرد.
۱۰ مورد برتر، همانطور که احتمالاً حدس زدهاید، شامل رهبران همیشگی این رتبهبندی ضد-رتبهبندی در رتبه اول هستند - ۱۲۳۴۵۶ با ۷۶۱۸۱۹۲ منشن.
به ترتیب نزولی، 12345678 (3,676,487)، 123456789 (2,866,100)، admin (1,987,808)، 1234 (1,771,335)، Aa123456 (1,411,847)، 12345 (1,301,052)، password (1,082,010، و Password is 470,313)، 123 (959,741) و 1234567890 (674,200) در رتبههای بعدی قرار دارند.
تعداد شگفتانگیزی از رمزهای عبور، اعدادی هستند که به راحتی حدس زده میشوند و به ترتیب صعودی یا نزولی هستند. یک چهارم از 1000 رمز عبور برتر منحصراً از اعداد تشکیل شدهاند.
38.6٪ شامل توالی اعداد "123" و 2٪ دیگر شامل ارقام نزولی "321" بودند. به طور مشابه، ۳.۱٪ شامل توالی حروف "abc" بودند. بسیاری از رمزهای عبور رایج از یک کاراکتر تشکیل شدهاند. "۱۱۱۱۱۱" هجدهمین رمز عبور رایج و "****" سی و پنجمین رمز عبور رایج است.
همه این اعداد و حروف اغلب با کلمات ضعیف مشابه مانند "password"، "admin" و "qwerty" ترکیب میشوند.
۳.۹٪ از ۱۰۰۰ رمز عبور رایج شامل نوعی از "pass" یا "password" بودند، ۲.۷٪ شامل نوعی از "admin"، ۱.۶٪ شامل رشته "qwerty" و ۱٪ شامل کلمه "welcome" بودند.
"Minecraft" در بین رمزهای عبور در مجموعه دادههای تجزیه و تحلیل شده، رتبه ۱۰۰ را کسب کرد و تقریباً ۷۰،۰۰۰ بار به علاوه ۲۰،۰۰۰ بار دیگر با alt-case "Minecraft" ظاهر شد.
رمز عبور "India@123" که در رتبه ۵۳ قرار دارد، به عنوان یک رمز عبور بسیار رایج اما کمتر جهانی، برجسته است.
توزیع طول به شرح زیر است: ۶۵.۸٪ از رمزهای عبور مورد بررسی شامل کمتر از ۱۲ کاراکتر، ۶.۹٪ کمتر از ۸ کاراکتر و ۳.۲٪ از ۱۶ کاراکتر یا بیشتر استفاده کردهاند.
بنابراین، در اینجا چیزی برای اظهار نظر وجود ندارد.💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
محققان بیش از ۲ میلیارد حساب کاربری را از نشتهایی که در وب تاریک و گزارشهای واکنش به حوادث جمعآوری کرده بودند، تجزیه و تحلیل کردند.
این مطالعه فقط شامل دادههایی بود که واقعاً در سال ۲۰۲۵ به خطر افتاده بودند.
Comparitech با استفاده از این دادهها، فهرستی از پرکاربردترین رمزهای عبور را ارائه کرد.
۱۰ مورد برتر، همانطور که احتمالاً حدس زدهاید، شامل رهبران همیشگی این رتبهبندی ضد-رتبهبندی در رتبه اول هستند - ۱۲۳۴۵۶ با ۷۶۱۸۱۹۲ منشن.
به ترتیب نزولی، 12345678 (3,676,487)، 123456789 (2,866,100)، admin (1,987,808)، 1234 (1,771,335)، Aa123456 (1,411,847)، 12345 (1,301,052)، password (1,082,010، و Password is 470,313)، 123 (959,741) و 1234567890 (674,200) در رتبههای بعدی قرار دارند.
تعداد شگفتانگیزی از رمزهای عبور، اعدادی هستند که به راحتی حدس زده میشوند و به ترتیب صعودی یا نزولی هستند. یک چهارم از 1000 رمز عبور برتر منحصراً از اعداد تشکیل شدهاند.
38.6٪ شامل توالی اعداد "123" و 2٪ دیگر شامل ارقام نزولی "321" بودند. به طور مشابه، ۳.۱٪ شامل توالی حروف "abc" بودند. بسیاری از رمزهای عبور رایج از یک کاراکتر تشکیل شدهاند. "۱۱۱۱۱۱" هجدهمین رمز عبور رایج و "****" سی و پنجمین رمز عبور رایج است.
همه این اعداد و حروف اغلب با کلمات ضعیف مشابه مانند "password"، "admin" و "qwerty" ترکیب میشوند.
۳.۹٪ از ۱۰۰۰ رمز عبور رایج شامل نوعی از "pass" یا "password" بودند، ۲.۷٪ شامل نوعی از "admin"، ۱.۶٪ شامل رشته "qwerty" و ۱٪ شامل کلمه "welcome" بودند.
"Minecraft" در بین رمزهای عبور در مجموعه دادههای تجزیه و تحلیل شده، رتبه ۱۰۰ را کسب کرد و تقریباً ۷۰،۰۰۰ بار به علاوه ۲۰،۰۰۰ بار دیگر با alt-case "Minecraft" ظاهر شد.
رمز عبور "India@123" که در رتبه ۵۳ قرار دارد، به عنوان یک رمز عبور بسیار رایج اما کمتر جهانی، برجسته است.
توزیع طول به شرح زیر است: ۶۵.۸٪ از رمزهای عبور مورد بررسی شامل کمتر از ۱۲ کاراکتر، ۶.۹٪ کمتر از ۸ کاراکتر و ۳.۲٪ از ۱۶ کاراکتر یا بیشتر استفاده کردهاند.
بنابراین، در اینجا چیزی برای اظهار نظر وجود ندارد.💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
مایکروسافت جزئیات یک حمله کانال جانبی جدید به نام Whisper Leak را فاش کرده است که به یک مهاجم بالقوه اجازه میدهد موضوعات حساس پرسوجو را از ترافیک رمزگذاری شده بین کاربران و مدلهای زبانی بزرگ (LLM) استخراج کند.
به گفته محققان، نشت دادههای رد و بدل شده بین افراد و مدلهای زبانی در حالت پخش، تهدیدی جدی برای حریم خصوصی ارتباطات کاربران و شرکتها محسوب میشود.
علاوه بر این، مایکروسافت خطرات اصلی Whisper Leak را با بازیگرانی مرتبط میداند که توانایی نظارت بر ترافیک رمزگذاری شده را دارند.
این افراد شامل سازمانهای اطلاعاتی با تجهیزات خود، ISPها و مهاجمان پیچیده مستقر در همان شبکه محلی هستند.
با وجود استفاده گسترده از رمزگذاری TLS، محققان نشان دادند که الگوهای موجود در اندازه بستهها و زمان انتقال میتوانند اطلاعات کافی را برای طبقهبندی موضوعات مکالمه با دقت قابل توجه فاش کنند.
محققانی که Whisper Leak را کشف کردند، جزئیات فنی را به ۲۸ ارائه دهنده اصلی LLM افشا کردند که ترافیک آنها را برای بیش از ۲۱۰۰۰ درخواست در هر مدل رصد کردند.
آنها با استفاده از طبقهبندیکنندههای پیشرفته یادگیری ماشین، مدلها را آموزش دادند تا موضوعات حساس، مانند پولشویی، را از موضوعات بیخطر در یک مجموعه داده آشفته تشخیص دهند.
نکته قابل توجه این است که ۱۷ مدل آزمایششده، تحت عدم تعادل نسبت نویز به هدف شبیهسازیشده ۱۰۰۰۰:۱، به دقت ۱۰۰٪ با بازیابی ۵-۲۰٪ دست یافتند.
این حمله ماژولهای LLM را که پاسخهای توکنشده را از طریق اتصالات رمزگذاریشده HTTPS ارسال میکنند، هدف قرار میدهد. TLS محتوا را رمزگذاری میکند اما اندازه یا زمان تحویل بستههای منفرد را پنهان نمیکند.
Whisper Leak از این ویژگی سوءاستفاده میکند و به مهاجم اجازه میدهد ترافیک رمزگذاریشده بین کاربر و یک سرویس LLM را مشاهده کند، اندازه بستهها و توالیهای زمانی را استخراج کند و در نهایت از طبقهبندیکنندههای آموزشدیده برای تعیین اینکه آیا موضوع مکالمه با یک دسته هدف حساس مطابقت دارد یا خیر، استفاده کند.
همانطور که محققان خاطرنشان میکنند، این یک نقص در خود TLS نیست، بلکه یک مشکل اساسی در تعاملات LLM مدرن با کاربران است، که در آن ترکیب تولید خودهمبستگی، APIهای جریانی و ابردادههای رمزگذاری، آسیبپذیریهایی را ایجاد میکند.
آزمایشها نشان داد که آسیبپذیرترین مدلها، مدلهای OpenAI (GPT-4o-mini، GPT-4.1)، مایکروسافت (DeepSeek)، X.AI (سری Grok)، Mistral و Alibaba (Qwen2.5) بودند.
همه آنها اغلب پاسخها را یک به یک توکن ارسال میکردند که آنها را آسیبپذیرتر میکرد.
مدلهای گوگل (Gemini) و آمازون (Nova) انعطافپذیری بیشتری نشان دادند، احتمالاً به دلیل دستهبندی توکنها، اما هنوز کاملاً در برابر حمله مصون نبودند.
علاوه بر این، محققان به این نتیجه رسیدند که هیچ یک از استراتژیهای کاهش (بذردهی تصادفی، دستهبندی توکن یا تزریق بسته) حمله را به طور کامل خنثی نکردند.
بدتر از آن، محققان دریافتند که اثربخشی Whisper Leak میتواند با جمعآوری دادههای آموزشی بیشتر توسط مهاجم در طول زمان افزایش یابد.
این بدان معناست که حملات کانال جانبی به سیستمهای هوش مصنوعی ممکن است با گذشت زمان به طور فزایندهای قدرتمند شوند.
پس از افشای مسئولانه، از ژوئن ۲۰۲۵، OpenAI، Mistral، Microsoft و xAI اقدامات کاهش خطر را اجرا کردند، در حالی که سایر فروشندگان پاسخی ندادهاند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
به گفته محققان، نشت دادههای رد و بدل شده بین افراد و مدلهای زبانی در حالت پخش، تهدیدی جدی برای حریم خصوصی ارتباطات کاربران و شرکتها محسوب میشود.
علاوه بر این، مایکروسافت خطرات اصلی Whisper Leak را با بازیگرانی مرتبط میداند که توانایی نظارت بر ترافیک رمزگذاری شده را دارند.
این افراد شامل سازمانهای اطلاعاتی با تجهیزات خود، ISPها و مهاجمان پیچیده مستقر در همان شبکه محلی هستند.
با وجود استفاده گسترده از رمزگذاری TLS، محققان نشان دادند که الگوهای موجود در اندازه بستهها و زمان انتقال میتوانند اطلاعات کافی را برای طبقهبندی موضوعات مکالمه با دقت قابل توجه فاش کنند.
محققانی که Whisper Leak را کشف کردند، جزئیات فنی را به ۲۸ ارائه دهنده اصلی LLM افشا کردند که ترافیک آنها را برای بیش از ۲۱۰۰۰ درخواست در هر مدل رصد کردند.
آنها با استفاده از طبقهبندیکنندههای پیشرفته یادگیری ماشین، مدلها را آموزش دادند تا موضوعات حساس، مانند پولشویی، را از موضوعات بیخطر در یک مجموعه داده آشفته تشخیص دهند.
نکته قابل توجه این است که ۱۷ مدل آزمایششده، تحت عدم تعادل نسبت نویز به هدف شبیهسازیشده ۱۰۰۰۰:۱، به دقت ۱۰۰٪ با بازیابی ۵-۲۰٪ دست یافتند.
این حمله ماژولهای LLM را که پاسخهای توکنشده را از طریق اتصالات رمزگذاریشده HTTPS ارسال میکنند، هدف قرار میدهد. TLS محتوا را رمزگذاری میکند اما اندازه یا زمان تحویل بستههای منفرد را پنهان نمیکند.
Whisper Leak از این ویژگی سوءاستفاده میکند و به مهاجم اجازه میدهد ترافیک رمزگذاریشده بین کاربر و یک سرویس LLM را مشاهده کند، اندازه بستهها و توالیهای زمانی را استخراج کند و در نهایت از طبقهبندیکنندههای آموزشدیده برای تعیین اینکه آیا موضوع مکالمه با یک دسته هدف حساس مطابقت دارد یا خیر، استفاده کند.
همانطور که محققان خاطرنشان میکنند، این یک نقص در خود TLS نیست، بلکه یک مشکل اساسی در تعاملات LLM مدرن با کاربران است، که در آن ترکیب تولید خودهمبستگی، APIهای جریانی و ابردادههای رمزگذاری، آسیبپذیریهایی را ایجاد میکند.
آزمایشها نشان داد که آسیبپذیرترین مدلها، مدلهای OpenAI (GPT-4o-mini، GPT-4.1)، مایکروسافت (DeepSeek)، X.AI (سری Grok)، Mistral و Alibaba (Qwen2.5) بودند.
همه آنها اغلب پاسخها را یک به یک توکن ارسال میکردند که آنها را آسیبپذیرتر میکرد.
مدلهای گوگل (Gemini) و آمازون (Nova) انعطافپذیری بیشتری نشان دادند، احتمالاً به دلیل دستهبندی توکنها، اما هنوز کاملاً در برابر حمله مصون نبودند.
علاوه بر این، محققان به این نتیجه رسیدند که هیچ یک از استراتژیهای کاهش (بذردهی تصادفی، دستهبندی توکن یا تزریق بسته) حمله را به طور کامل خنثی نکردند.
بدتر از آن، محققان دریافتند که اثربخشی Whisper Leak میتواند با جمعآوری دادههای آموزشی بیشتر توسط مهاجم در طول زمان افزایش یابد.
این بدان معناست که حملات کانال جانبی به سیستمهای هوش مصنوعی ممکن است با گذشت زمان به طور فزایندهای قدرتمند شوند.
پس از افشای مسئولانه، از ژوئن ۲۰۲۵، OpenAI، Mistral، Microsoft و xAI اقدامات کاهش خطر را اجرا کردند، در حالی که سایر فروشندگان پاسخی ندادهاند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یک حمله غیرفعال جدید که توسط محققان چینی اعلام شده است، به نام U-Print، کاربران گوشیهای هوشمند را با دقت ۹۸٪ با رهگیری و تجزیه و تحلیل ترافیک رمزگذاری شده Wi-Fi شناسایی میکند.
U-Print منحصراً در لایه MAC بیسیم عمل میکند و میتواند نه تنها برنامههای مورد استفاده، بلکه اقدامات خاص درون برنامه و همچنین هویت کاربر را بدون نیاز به رمزگشایی ترافیک یا تغییر آدرسهای MAC تصادفی، تعیین کند.
روش حمله شامل قرار دادن یک شنودگر غیرفعال توسط مهاجم در ناحیه پوشش بیسیم محیط هدف (مثلاً دفتر یا خانه) است.
هیچ رمز عبور یا دسترسی به شبکه لازم نیست؛ نزدیکی به سیگنال Wi-Fi کافی است.
سپس سیستم بر اساس الگوهای تعامل برنامه، پروفایلهای رفتاری کاربران را ایجاد میکند که به طور بالقوه امکان استنتاج در مورد ویژگیهای شخصی مانند سن، جنسیت و حتی سلامت روان را فراهم میکند.
حملات قبلی، استفاده از برنامه را شناسایی میکردند، اما به طور قابل اعتمادی کاربر تولیدکننده ترافیک را شناسایی نمیکردند، به خصوص تحت تصادفیسازی آدرس MAC - دفاعی که اکنون به طور گسترده در گوشیهای هوشمند مورد استفاده قرار میگیرد.
رویکرد U-Print بر اساس این ایده است که ترجیحات فردی، مانند انتخاب برنامه و الگوهای استفاده، الگوهای متفاوتی را در ابردادههای لایه MAC، از جمله اندازه بسته، زمان انتقال و جهت، شکل میدهند.
به عنوان مثال، دو کاربر ممکن است از واتساپ استفاده کنند، اما یکی ممکن است چت متنی را ترجیح دهد در حالی که دیگری پیامهای صوتی را ترجیح میدهد، که منجر به تفاوتهای ظریف در الگوهای ترافیک میشود.
محققان U-Print را در یک محیط اداری در دنیای واقعی آزمایش کردند و از یک لپتاپ لنوو و یک کارت شبکه که Kali Linux را اجرا میکند، برای جمعآوری غیرفعال ترافیک Wi-Fi از ۱۲ کاربر تلفن هوشمند در ۴۰ برنامه تلفن همراه استفاده کردند.
نتایج چشمگیر بود: دقت طبقهبندی برنامه ۹۸.۷٪، دقت شناسایی عمل ۹۶.۸٪ و دقت شناسایی کاربر ۹۸.۴٪ با امتیاز F1 0.983، حتی هنگام استفاده از آدرسهای MAC تصادفی بود.
علاوه بر این، عملکرد این روش با وجود چالشهای معمول در دنیای واقعی مانند از دست دادن بسته (تا ۱۵٪)، نویز برنامههای پسزمینه (حتی زمانی که چندین برنامه به طور همزمان ترافیک ایجاد میکنند) و تغییرات محیطی، پایدار ماند.
اگرچه U-Print هنوز فقط یک مدل حمله نظری است، اما این مطالعه شکافهای جدی در سیستمهای امنیتی شبکههای بیسیم مدرن را آشکار میکند.
حتی شبکههای Wi-Fi رمزگذاری شده با استفاده از استانداردهای مدرن مانند WPA3 و تصادفیسازی آدرس MAC قادر به جلوگیری از چنین حملاتی با هدف شناسایی و شکلدهی رفتار کاربر نیستند.
محققان به عنوان اقدامات محافظتی ممکن در برابر شناسایی U-Print، مبهمسازی ترافیک، تصادفیسازی اندازه و زمان بسته، تصادفیسازی آدرسهای MAC و ترکیب سیگنالهای رفتاری را پیشنهاد میکنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
U-Print منحصراً در لایه MAC بیسیم عمل میکند و میتواند نه تنها برنامههای مورد استفاده، بلکه اقدامات خاص درون برنامه و همچنین هویت کاربر را بدون نیاز به رمزگشایی ترافیک یا تغییر آدرسهای MAC تصادفی، تعیین کند.
روش حمله شامل قرار دادن یک شنودگر غیرفعال توسط مهاجم در ناحیه پوشش بیسیم محیط هدف (مثلاً دفتر یا خانه) است.
هیچ رمز عبور یا دسترسی به شبکه لازم نیست؛ نزدیکی به سیگنال Wi-Fi کافی است.
سپس سیستم بر اساس الگوهای تعامل برنامه، پروفایلهای رفتاری کاربران را ایجاد میکند که به طور بالقوه امکان استنتاج در مورد ویژگیهای شخصی مانند سن، جنسیت و حتی سلامت روان را فراهم میکند.
حملات قبلی، استفاده از برنامه را شناسایی میکردند، اما به طور قابل اعتمادی کاربر تولیدکننده ترافیک را شناسایی نمیکردند، به خصوص تحت تصادفیسازی آدرس MAC - دفاعی که اکنون به طور گسترده در گوشیهای هوشمند مورد استفاده قرار میگیرد.
رویکرد U-Print بر اساس این ایده است که ترجیحات فردی، مانند انتخاب برنامه و الگوهای استفاده، الگوهای متفاوتی را در ابردادههای لایه MAC، از جمله اندازه بسته، زمان انتقال و جهت، شکل میدهند.
به عنوان مثال، دو کاربر ممکن است از واتساپ استفاده کنند، اما یکی ممکن است چت متنی را ترجیح دهد در حالی که دیگری پیامهای صوتی را ترجیح میدهد، که منجر به تفاوتهای ظریف در الگوهای ترافیک میشود.
محققان U-Print را در یک محیط اداری در دنیای واقعی آزمایش کردند و از یک لپتاپ لنوو و یک کارت شبکه که Kali Linux را اجرا میکند، برای جمعآوری غیرفعال ترافیک Wi-Fi از ۱۲ کاربر تلفن هوشمند در ۴۰ برنامه تلفن همراه استفاده کردند.
نتایج چشمگیر بود: دقت طبقهبندی برنامه ۹۸.۷٪، دقت شناسایی عمل ۹۶.۸٪ و دقت شناسایی کاربر ۹۸.۴٪ با امتیاز F1 0.983، حتی هنگام استفاده از آدرسهای MAC تصادفی بود.
علاوه بر این، عملکرد این روش با وجود چالشهای معمول در دنیای واقعی مانند از دست دادن بسته (تا ۱۵٪)، نویز برنامههای پسزمینه (حتی زمانی که چندین برنامه به طور همزمان ترافیک ایجاد میکنند) و تغییرات محیطی، پایدار ماند.
اگرچه U-Print هنوز فقط یک مدل حمله نظری است، اما این مطالعه شکافهای جدی در سیستمهای امنیتی شبکههای بیسیم مدرن را آشکار میکند.
حتی شبکههای Wi-Fi رمزگذاری شده با استفاده از استانداردهای مدرن مانند WPA3 و تصادفیسازی آدرس MAC قادر به جلوگیری از چنین حملاتی با هدف شناسایی و شکلدهی رفتار کاربر نیستند.
محققان به عنوان اقدامات محافظتی ممکن در برابر شناسایی U-Print، مبهمسازی ترافیک، تصادفیسازی اندازه و زمان بسته، تصادفیسازی آدرسهای MAC و ترکیب سیگنالهای رفتاری را پیشنهاد میکنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
دانمارک، روسیه را مسئول حملات سایبری به شرکت آب و فاضلاب این کشور که باعث قطعی آب خانهها شد، دانست.
مقامات دانمارکی در ارزیابی جدیدی که این هفته منتشر شد و موارد جدیدی را که قبلاً گزارش نشده بود، شرح داد، گفتند که روسیه در سالهای ۲۰۲۴ و ۲۰۲۵ حملات سایبری علیه زیرساختها و وبسایتهای دانمارک انجام داده است
سرویس اطلاعات دفاعی دانمارک روز پنجشنبه در بیانیهای اعلام کرد که مسکو مسئول حملات سایبری «مخرب و مخرب» به یک شرکت آب دانمارکی در سال ۲۰۲۴ و مجموعهای از حملات انکار سرویس بود که وبسایتهای دانمارکی را پیش از انتخابات منطقهای و محلی ماه گذشته مختل کرد. این شرکت آب اعلام کرد که این حمله باعث ترکیدن لولهها و قطع موقت آب خانهها شده است.
یان هانسن، رئیس شرکت آبرسانی توربی آلکستروپ در جنوب غربی کپنهاگ، پایتخت دانمارک، گفت که توصیه او به سایر شرکتها این است که هزینههای امنیت سایبری را کاهش ندهند و بیمه سایبری بگیرند. او گفت که این حمله به این دلیل رخ داده است که این شرکت آبرسانی به امنیت سایبری ارزانتری روی آورده است که به اندازه قبل امن نیست.
سرویس اطلاعاتی دانمارک اعلام کرد که این حملات بخشی از «جنگ هیبریدی» روسیه علیه غرب و تلاشی برای ایجاد بیثباتی است. این سرویس اعلام کرد که حملات سایبری مسکو بخشی از یک کمپین گستردهتر برای تضعیف و مجازات کشورهایی است که از اوکراین حمایت میکنند. هکرهای روسی پیش از این به انجام هک در سایر تأسیسات آبی در اروپا متهم شدهاند - از جمله در یک سد نروژی که مقامات نروژی گفتند هکرها دریچهها را باز کردهاند تا آب جاری شود.
تورستن شاک پدرسن، وزیر تابآوری و آمادگی دانمارک، گفت که این حملات خسارات محدودی داشته اما پیامدهای جدی داشته است.
او روز پنجشنبه در یک کنفرانس خبری، به گزارش شبکه تلویزیونی دانمارکی DR، گفت: «این نشان میدهد که نیروهایی وجود دارند که قادر به از کار انداختن بخشهای مهمی از جامعه ما هستند.»
شاک پدرسن افزود که حملات سایبری نشان میدهد که دانمارک به اندازه کافی برای مدیریت چنین موقعیتهایی مجهز نیست.
این حملات از جمله تعداد فزایندهای از حوادثی هستند که مقامات غربی میگویند بخشی از یک کارزار خرابکاری و اختلال در سراسر اروپا هستند که توسط روسیه طراحی شده است. یک پایگاه داده آسوشیتدپرس ۱۴۷ حادثه را ثبت کرده است، از جمله دو موردی که دانمارک این هفته گزارش داد.
همه حوادث علنی نیستند و گاهی اوقات ممکن است ماهها طول بکشد تا مقامات ارتباط آن را با مسکو اثبات کنند. در حالی که مقامات میگویند این کمپین - که از زمان حمله ولادیمیر پوتین، رئیس جمهور روسیه به اوکراین در سال ۲۰۲۲ آغاز شده است - با هدف محروم کردن کیف از حمایت انجام میشود ، آنها معتقدند که مسکو همچنین در تلاش است نقاط ضعف اروپا را شناسایی کرده و منابع اجرای قانون را جذب کند.
گروه طرفدار روسیه، Z-Pentest، در سال 2024 «حمله مخرب» به شرکت آب را انجام داده و یک گروه جداگانه، NoName057(16)، مسئول حمله سایبری به وبسایتهای دانمارکی پیش از انتخابات اخیر بوده است. این آژانس اعلام کرد که هر دو با دولت روسیه ارتباط دارند.
در این بیانیه آمده است: «دولت روسیه از هر دو گروه به عنوان ابزار جنگ ترکیبی خود علیه غرب استفاده میکند. هدف، ایجاد ناامنی در کشورهای هدف و مجازات کسانی است که از اوکراین حمایت میکنند.» به گفته دکتر Голиноволиноволиноволиной، مقامات گفتند که گروه NoName057(16) در ماه نوامبر برای ایجاد اختلال در انتخابات اقدام کرده است.
شرکت آبرسانی توربی آلکستروپ به چندین روستا در حدود ۳۵ کیلومتری (۲۲ مایلی) جنوب کپنهاگ خدماترسانی میکند. این شرکت آبرسانی اعلام کرد که هکرها فشار آب را تغییر دادهاند که باعث ترکیدن لوله شده است. این شرکت اعلام کرد که حدود ۵۰ خانوار حدود هفت ساعت بدون آب بودهاند در حالی که حدود ۴۵۰ خانه به مدت یک ساعت آب نداشتهاند.
در همین حال، در آلمان، مقامات در ۱۲ دسامبر سفیر روسیه در برلین را پس از آنکه وزارت امور خارجه مسکو را به انجام خرابکاری ، حملات سایبری و دخالت در انتخابات متهم کرد، احضار کردند.
مارتین گیزه، سخنگوی وزارت امور خارجه آلمان، گفت که این شامل حمله سایبری سال ۲۰۲۴ علیه کنترل ترافیک هوایی آلمان نیز میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
مقامات دانمارکی در ارزیابی جدیدی که این هفته منتشر شد و موارد جدیدی را که قبلاً گزارش نشده بود، شرح داد، گفتند که روسیه در سالهای ۲۰۲۴ و ۲۰۲۵ حملات سایبری علیه زیرساختها و وبسایتهای دانمارک انجام داده است
سرویس اطلاعات دفاعی دانمارک روز پنجشنبه در بیانیهای اعلام کرد که مسکو مسئول حملات سایبری «مخرب و مخرب» به یک شرکت آب دانمارکی در سال ۲۰۲۴ و مجموعهای از حملات انکار سرویس بود که وبسایتهای دانمارکی را پیش از انتخابات منطقهای و محلی ماه گذشته مختل کرد. این شرکت آب اعلام کرد که این حمله باعث ترکیدن لولهها و قطع موقت آب خانهها شده است.
یان هانسن، رئیس شرکت آبرسانی توربی آلکستروپ در جنوب غربی کپنهاگ، پایتخت دانمارک، گفت که توصیه او به سایر شرکتها این است که هزینههای امنیت سایبری را کاهش ندهند و بیمه سایبری بگیرند. او گفت که این حمله به این دلیل رخ داده است که این شرکت آبرسانی به امنیت سایبری ارزانتری روی آورده است که به اندازه قبل امن نیست.
سرویس اطلاعاتی دانمارک اعلام کرد که این حملات بخشی از «جنگ هیبریدی» روسیه علیه غرب و تلاشی برای ایجاد بیثباتی است. این سرویس اعلام کرد که حملات سایبری مسکو بخشی از یک کمپین گستردهتر برای تضعیف و مجازات کشورهایی است که از اوکراین حمایت میکنند. هکرهای روسی پیش از این به انجام هک در سایر تأسیسات آبی در اروپا متهم شدهاند - از جمله در یک سد نروژی که مقامات نروژی گفتند هکرها دریچهها را باز کردهاند تا آب جاری شود.
تورستن شاک پدرسن، وزیر تابآوری و آمادگی دانمارک، گفت که این حملات خسارات محدودی داشته اما پیامدهای جدی داشته است.
او روز پنجشنبه در یک کنفرانس خبری، به گزارش شبکه تلویزیونی دانمارکی DR، گفت: «این نشان میدهد که نیروهایی وجود دارند که قادر به از کار انداختن بخشهای مهمی از جامعه ما هستند.»
شاک پدرسن افزود که حملات سایبری نشان میدهد که دانمارک به اندازه کافی برای مدیریت چنین موقعیتهایی مجهز نیست.
این حملات از جمله تعداد فزایندهای از حوادثی هستند که مقامات غربی میگویند بخشی از یک کارزار خرابکاری و اختلال در سراسر اروپا هستند که توسط روسیه طراحی شده است. یک پایگاه داده آسوشیتدپرس ۱۴۷ حادثه را ثبت کرده است، از جمله دو موردی که دانمارک این هفته گزارش داد.
همه حوادث علنی نیستند و گاهی اوقات ممکن است ماهها طول بکشد تا مقامات ارتباط آن را با مسکو اثبات کنند. در حالی که مقامات میگویند این کمپین - که از زمان حمله ولادیمیر پوتین، رئیس جمهور روسیه به اوکراین در سال ۲۰۲۲ آغاز شده است - با هدف محروم کردن کیف از حمایت انجام میشود ، آنها معتقدند که مسکو همچنین در تلاش است نقاط ضعف اروپا را شناسایی کرده و منابع اجرای قانون را جذب کند.
گروه طرفدار روسیه، Z-Pentest، در سال 2024 «حمله مخرب» به شرکت آب را انجام داده و یک گروه جداگانه، NoName057(16)، مسئول حمله سایبری به وبسایتهای دانمارکی پیش از انتخابات اخیر بوده است. این آژانس اعلام کرد که هر دو با دولت روسیه ارتباط دارند.
در این بیانیه آمده است: «دولت روسیه از هر دو گروه به عنوان ابزار جنگ ترکیبی خود علیه غرب استفاده میکند. هدف، ایجاد ناامنی در کشورهای هدف و مجازات کسانی است که از اوکراین حمایت میکنند.» به گفته دکتر Голиноволиноволиноволиной، مقامات گفتند که گروه NoName057(16) در ماه نوامبر برای ایجاد اختلال در انتخابات اقدام کرده است.
شرکت آبرسانی توربی آلکستروپ به چندین روستا در حدود ۳۵ کیلومتری (۲۲ مایلی) جنوب کپنهاگ خدماترسانی میکند. این شرکت آبرسانی اعلام کرد که هکرها فشار آب را تغییر دادهاند که باعث ترکیدن لوله شده است. این شرکت اعلام کرد که حدود ۵۰ خانوار حدود هفت ساعت بدون آب بودهاند در حالی که حدود ۴۵۰ خانه به مدت یک ساعت آب نداشتهاند.
در همین حال، در آلمان، مقامات در ۱۲ دسامبر سفیر روسیه در برلین را پس از آنکه وزارت امور خارجه مسکو را به انجام خرابکاری ، حملات سایبری و دخالت در انتخابات متهم کرد، احضار کردند.
مارتین گیزه، سخنگوی وزارت امور خارجه آلمان، گفت که این شامل حمله سایبری سال ۲۰۲۴ علیه کنترل ترافیک هوایی آلمان نیز میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
This media is not supported in your browser
VIEW IN TELEGRAM
دیپ فیک و دیگر هیچ....
سال نو مبارک
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
سال نو مبارک
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
پورت های رایج ICS/SCADA/PLC در معرض اینترنت
گزارش وضعیت امنیت عملیاتی
🛑پورتهای OT قابل دسترسی از طریق اینترنت گسترده و خطرناک هستند. بسیاری از دستگاهها پیکربندیهای پیشفرض یا پشتههای آسیبپذیر شناختهشده را اجرا میکنند و در اسکنهای اینترنتی قابل مشاهده هستند.
🛑پروتکلهای Modbus، FOX و BACnet بیشترین میزان آسیبپذیری را دارند. این پروتکلهای قدیمی فاقد امنیت داخلی هستند و اغلب بزرگترین منبع پورتهای در معرض اینترنت هستند.
🛑میزان مواجهه پویا است - برخی کشورها بهبود مییابند در حالی که برخی دیگر بدتر میشوند. ایالات متحده آمریکا کاهش قابل توجهی را بین اسکنها نشان داد، در حالی که چندین کشور دیگر افزایش را تجربه کردند.
🛑هانیپاتها معیارهای سادهلوحانه را تحریف میکنند؛ اعتبارسنجی لایه کاربردی اهمیت دارد. حذف هانیپاتهای مشکوک، تصویر دقیقتری از آسیبپذیری واقعی ایجاد میکند.
🛑کنترلهای مبتنی بر استانداردها مؤثر هستند. پیادهسازی مناطق و مجاری IEC-62443، مناطق غیرمتمرکز (DMZ) و دروازههای آگاه از پروتکل، در صورت اعمال صحیح، ریسک را به میزان قابل توجهی کاهش میدهد.
❇️محافظتهای عملی که میتوانید به کار بگیرید
✅دسترسی مستقیم به اینترنت را (فوری) حذف کنید. یک بررسی سطح حمله خارجی انجام دهید؛ IP های عمومی را روی کنترلرها حذف کنید و دستگاه ها را پشت فایروال/پروکسی قرار دهید.
✅بخشبندی با مناطق و مجاری (IEC-62443). داراییها را بر اساس اهمیت گروهبندی کنید و ارتباطات را با DMZها و ACLها کنترل کنید تا از چرخشهای آسان IT→OT جلوگیری شود.
✅فایروالهای DPI آگاه از پروتکل یا دروازههای امن را مستقر کنید. پروتکلهای قدیمی را به کانالهای رمزگذاری شده تبدیل کنید، کدهای تابع غیرمجاز را مسدود کنید و دستورات نوشتن را از منابع غیرقابل اعتماد رد کنید.
✅پورتهای بلااستفاده را غیرفعال کنید و پیکربندی دستگاهها را ایمن کنید. اعتبارنامههای پیشفرض و سرویسهای غیرضروری را روی کنترلرها، HMIها و ایستگاههای کاری مهندسی حذف کنید.
✅از پشتیبانها و مسیرهای بازیابی محافظت کنید. پشتیبانهای آفلاین تغییرناپذیر را حفظ کنید و بازیابیها را از نمونههای جداگانه بهطور منظم آزمایش کنید.
✅نظارت مداوم بر OT و تشخیص ناهنجاری. ترافیک "عادی" پایه، تشخیص سوءاستفاده از پروتکل و هشدار در مورد فعالیت غیرعادی پورت و handshake های غیرمنتظره در لایه برنامه.
✅کتابهای راهنمای بازیابی اطلاعات مخصوص عملیات عملیاتی را تدوین و آنها را به کار بگیرید. تمرینهای رومیزی و آزمایشی باید شامل تیمهای مهندسی، عملیاتی و انطباق باشند تا جدول زمانی نظارتی رعایت شود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
گزارش وضعیت امنیت عملیاتی
🛑پورتهای OT قابل دسترسی از طریق اینترنت گسترده و خطرناک هستند. بسیاری از دستگاهها پیکربندیهای پیشفرض یا پشتههای آسیبپذیر شناختهشده را اجرا میکنند و در اسکنهای اینترنتی قابل مشاهده هستند.
🛑پروتکلهای Modbus، FOX و BACnet بیشترین میزان آسیبپذیری را دارند. این پروتکلهای قدیمی فاقد امنیت داخلی هستند و اغلب بزرگترین منبع پورتهای در معرض اینترنت هستند.
🛑میزان مواجهه پویا است - برخی کشورها بهبود مییابند در حالی که برخی دیگر بدتر میشوند. ایالات متحده آمریکا کاهش قابل توجهی را بین اسکنها نشان داد، در حالی که چندین کشور دیگر افزایش را تجربه کردند.
🛑هانیپاتها معیارهای سادهلوحانه را تحریف میکنند؛ اعتبارسنجی لایه کاربردی اهمیت دارد. حذف هانیپاتهای مشکوک، تصویر دقیقتری از آسیبپذیری واقعی ایجاد میکند.
🛑کنترلهای مبتنی بر استانداردها مؤثر هستند. پیادهسازی مناطق و مجاری IEC-62443، مناطق غیرمتمرکز (DMZ) و دروازههای آگاه از پروتکل، در صورت اعمال صحیح، ریسک را به میزان قابل توجهی کاهش میدهد.
❇️محافظتهای عملی که میتوانید به کار بگیرید
✅دسترسی مستقیم به اینترنت را (فوری) حذف کنید. یک بررسی سطح حمله خارجی انجام دهید؛ IP های عمومی را روی کنترلرها حذف کنید و دستگاه ها را پشت فایروال/پروکسی قرار دهید.
✅بخشبندی با مناطق و مجاری (IEC-62443). داراییها را بر اساس اهمیت گروهبندی کنید و ارتباطات را با DMZها و ACLها کنترل کنید تا از چرخشهای آسان IT→OT جلوگیری شود.
✅فایروالهای DPI آگاه از پروتکل یا دروازههای امن را مستقر کنید. پروتکلهای قدیمی را به کانالهای رمزگذاری شده تبدیل کنید، کدهای تابع غیرمجاز را مسدود کنید و دستورات نوشتن را از منابع غیرقابل اعتماد رد کنید.
✅پورتهای بلااستفاده را غیرفعال کنید و پیکربندی دستگاهها را ایمن کنید. اعتبارنامههای پیشفرض و سرویسهای غیرضروری را روی کنترلرها، HMIها و ایستگاههای کاری مهندسی حذف کنید.
✅از پشتیبانها و مسیرهای بازیابی محافظت کنید. پشتیبانهای آفلاین تغییرناپذیر را حفظ کنید و بازیابیها را از نمونههای جداگانه بهطور منظم آزمایش کنید.
✅نظارت مداوم بر OT و تشخیص ناهنجاری. ترافیک "عادی" پایه، تشخیص سوءاستفاده از پروتکل و هشدار در مورد فعالیت غیرعادی پورت و handshake های غیرمنتظره در لایه برنامه.
✅کتابهای راهنمای بازیابی اطلاعات مخصوص عملیات عملیاتی را تدوین و آنها را به کار بگیرید. تمرینهای رومیزی و آزمایشی باید شامل تیمهای مهندسی، عملیاتی و انطباق باشند تا جدول زمانی نظارتی رعایت شود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
در اواخر سال ۲۰۱۷، TRITON در یک کارخانه پتروشیمی پس از آنکه اپراتورها دید خود را از دست دادند و سایت به حالت خاموشی غیرمنتظرهای رفت، کشف شد.
اکثر مردم آن را به عنوان "بدافزار برای سیستمهای ایمنی" به یاد میآورند. من آن را به عنوان یادآوری به یاد میآورم که امنیت سایبری OT به ندرت به دلیل از دست رفتن یک کنترل از بین میرود.
این امر به این دلیل اتفاق میافتد که انتقال بین تیمها نامشخص است و استثنائات به فرآیند تبدیل میشوند. یک سیستم ابزار دقیق ایمنی، از نظر طراحی، خارج از منطق کنترل روزانه قرار دارد.
این سیستم برای رساندن کارخانه به حالت ایمن در زمانی که شرایط خطرناک میشود، وجود دارد. این جدایی یک توهم خطرناک ایجاد میکند. تیمها با ایستگاههای کاری مهندسی SIS، کنترلکنندهها و مسیرهای نگهداری به عنوان "ویژه" رفتار میکنند، بنابراین در یک منطقه خاکستری بین امنیت فناوری اطلاعات، مهندسی کنترل و ایمنی عملکردی قرار میگیرند.
در عین حال، این محیطها اغلب به ابزارهای فروشنده، لپتاپهای مهندسی، پشتیبانی از راه دور و تغییرات پیکربندی که تحت فشار زمانی اتفاق میافتند، متکی هستند. این دقیقاً همان سطحی است که یک مهاجم ترجیح میدهد، زیرا آنها میتوانند به جای سوءاستفاده از یک اشکال واحد، از گردشهای کاری مشروع سوءاستفاده کنند. نکته اینجاست. بسیاری از سازمانها میتوانند
یک اسلاید معماری مرتب، یک فهرست ریسک و یک سیاست که میگوید «حداقل امتیاز» را نشان دهند. سپس شما در مسیر واقعی قدم میگذارید.
یک حساب مهندسی مشترک وجود دارد زیرا «سریعتر است». یک میزبان پرش به یک میانبر دائمی تبدیل میشود زیرا قطع برق پرهزینه است. یک قانون فایروال موقت سه چهارم عمر میکند زیرا هیچ کس پاکسازی را در اختیار ندارد. گزارشها وجود دارند، اما هیچ کس اقدامات مهندسی مهم، مانند دانلودهای منطقی، فلشهای سیستم عامل، تغییرات همگامسازی زمان، ویرایشهای پارامترهای ایمنی یا چرخش جلسات از راه دور به یک بخش مهندسی را زیر نظر ندارد.
استاندارد IEC 62443 کمک میکند زیرا شما را مجبور میکند تا میانه را مهندسی کنید.
مناطق و مجاری به صورت ملموس در میآیند، نه آرمانی. هویت و کنترل دسترسی به نقشها و داراییها گره میخورند، نه به نیتهای خوب افراد. سطوح امنیتی، انتخابهای طراحی را تعیین میکنند، مانند نحوه کنترل دسترسی از راه دور به یک منطقه مهندسی، نحوه مقاومسازی نقاط انتهایی که ابزارهای اختصاصی را اجرا میکنند و نحوه تشخیص تغییرات ناامن.
NIS2 با پیشبرد پاسخگویی و مدیریت ریسک قابل اثبات، نه فقط مستندسازی، ریسکها را افزایش میدهد. سوال عملی که من با کارخانجات استفاده میکنم ساده است. اگر یک فروشنده ساعت ۳ بامداد تماس بگیرد و درخواست دسترسی اضطراری کند، آیا مسیری دارید که تأیید شده، دارای محدودیت زمانی، تحت نظارت و برگشتپذیر باشد؟ یا استثنایی دارید که بیسروصدا به روال عادی جدید شما تبدیل شود؟
#OTSecurity #ICS #IEC62443 #NIS2 #IndustrialCybersecurity #SCADA #SIS #SafetySecurity #RiskManagement #CriticalInfrastructure
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
اکثر مردم آن را به عنوان "بدافزار برای سیستمهای ایمنی" به یاد میآورند. من آن را به عنوان یادآوری به یاد میآورم که امنیت سایبری OT به ندرت به دلیل از دست رفتن یک کنترل از بین میرود.
این امر به این دلیل اتفاق میافتد که انتقال بین تیمها نامشخص است و استثنائات به فرآیند تبدیل میشوند. یک سیستم ابزار دقیق ایمنی، از نظر طراحی، خارج از منطق کنترل روزانه قرار دارد.
این سیستم برای رساندن کارخانه به حالت ایمن در زمانی که شرایط خطرناک میشود، وجود دارد. این جدایی یک توهم خطرناک ایجاد میکند. تیمها با ایستگاههای کاری مهندسی SIS، کنترلکنندهها و مسیرهای نگهداری به عنوان "ویژه" رفتار میکنند، بنابراین در یک منطقه خاکستری بین امنیت فناوری اطلاعات، مهندسی کنترل و ایمنی عملکردی قرار میگیرند.
در عین حال، این محیطها اغلب به ابزارهای فروشنده، لپتاپهای مهندسی، پشتیبانی از راه دور و تغییرات پیکربندی که تحت فشار زمانی اتفاق میافتند، متکی هستند. این دقیقاً همان سطحی است که یک مهاجم ترجیح میدهد، زیرا آنها میتوانند به جای سوءاستفاده از یک اشکال واحد، از گردشهای کاری مشروع سوءاستفاده کنند. نکته اینجاست. بسیاری از سازمانها میتوانند
یک اسلاید معماری مرتب، یک فهرست ریسک و یک سیاست که میگوید «حداقل امتیاز» را نشان دهند. سپس شما در مسیر واقعی قدم میگذارید.
یک حساب مهندسی مشترک وجود دارد زیرا «سریعتر است». یک میزبان پرش به یک میانبر دائمی تبدیل میشود زیرا قطع برق پرهزینه است. یک قانون فایروال موقت سه چهارم عمر میکند زیرا هیچ کس پاکسازی را در اختیار ندارد. گزارشها وجود دارند، اما هیچ کس اقدامات مهندسی مهم، مانند دانلودهای منطقی، فلشهای سیستم عامل، تغییرات همگامسازی زمان، ویرایشهای پارامترهای ایمنی یا چرخش جلسات از راه دور به یک بخش مهندسی را زیر نظر ندارد.
استاندارد IEC 62443 کمک میکند زیرا شما را مجبور میکند تا میانه را مهندسی کنید.
مناطق و مجاری به صورت ملموس در میآیند، نه آرمانی. هویت و کنترل دسترسی به نقشها و داراییها گره میخورند، نه به نیتهای خوب افراد. سطوح امنیتی، انتخابهای طراحی را تعیین میکنند، مانند نحوه کنترل دسترسی از راه دور به یک منطقه مهندسی، نحوه مقاومسازی نقاط انتهایی که ابزارهای اختصاصی را اجرا میکنند و نحوه تشخیص تغییرات ناامن.
NIS2 با پیشبرد پاسخگویی و مدیریت ریسک قابل اثبات، نه فقط مستندسازی، ریسکها را افزایش میدهد. سوال عملی که من با کارخانجات استفاده میکنم ساده است. اگر یک فروشنده ساعت ۳ بامداد تماس بگیرد و درخواست دسترسی اضطراری کند، آیا مسیری دارید که تأیید شده، دارای محدودیت زمانی، تحت نظارت و برگشتپذیر باشد؟ یا استثنایی دارید که بیسروصدا به روال عادی جدید شما تبدیل شود؟
#OTSecurity #ICS #IEC62443 #NIS2 #IndustrialCybersecurity #SCADA #SIS #SafetySecurity #RiskManagement #CriticalInfrastructure
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
اگر دسترسی اینترنت و یا دسترسی به ChatGPT و Gemini و در کل LLM ها قطع بود چطور از ابزار هوش مصنوعی استفاده کنیم؟
بهتره اگر سیستم با مشخصات سختافزاری به نسبت خوبی دارید، برید به سایت ollama.com و نصبش کنید، بعد یکی از مدلهای دلخواهتون رو دانلود کنید و به Ollama اضافه کنید.
مدلهای پیشنهادی:
Llama 4
Qwen 3
Mistral
DeepSeek-R1 (برای reasoning)
از اون جایی که Ollama به صورت لوکال محیطش خیلی ساده و متنی مثل cmd هستش، نیاز به یک محیط با UI مناسب داریم.
برای این کار Chatbox رو از chatboxai.app دانلود کنید و مدلی که قبلا گرفتید رو بهش اضافه کنید. حتی میتونید از همین سرویسهایی که آنلاین دسترسی دارید، مثل ChatGPT و Gemini با API در Chatbox استفاده کنید.
برای اینکه Chatbox بتونه با مدلهای لوکال کار کنه، Ollama باید در بکگراند در حال اجرا باشه.
به زبان ساده:
Ollama = موتور اجرای مدلها (server)
Chatbox = رابط چت (client)
وقتی Ollama ران باشه:
روی localhost:11434 به شما API میده و Chatbox بهش وصل میشه و مدل رو صدا میزنه.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
بهتره اگر سیستم با مشخصات سختافزاری به نسبت خوبی دارید، برید به سایت ollama.com و نصبش کنید، بعد یکی از مدلهای دلخواهتون رو دانلود کنید و به Ollama اضافه کنید.
مدلهای پیشنهادی:
Llama 4
Qwen 3
Mistral
DeepSeek-R1 (برای reasoning)
از اون جایی که Ollama به صورت لوکال محیطش خیلی ساده و متنی مثل cmd هستش، نیاز به یک محیط با UI مناسب داریم.
برای این کار Chatbox رو از chatboxai.app دانلود کنید و مدلی که قبلا گرفتید رو بهش اضافه کنید. حتی میتونید از همین سرویسهایی که آنلاین دسترسی دارید، مثل ChatGPT و Gemini با API در Chatbox استفاده کنید.
برای اینکه Chatbox بتونه با مدلهای لوکال کار کنه، Ollama باید در بکگراند در حال اجرا باشه.
به زبان ساده:
Ollama = موتور اجرای مدلها (server)
Chatbox = رابط چت (client)
وقتی Ollama ران باشه:
روی localhost:11434 به شما API میده و Chatbox بهش وصل میشه و مدل رو صدا میزنه.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
آسیبپذیری عملکرد Code Node در پلتفرم اتوماسیون گردش کار N8n مربوط به نقض مکانیزم حفاظت دادهها است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه اجرای کد دلخواه را بدهد.
CVE-2025-68668
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- محدود کردن امکان استفاده از عملکرد Code Node؛
- محدود کردن امکان نوشتن و اجرای کد پایتون با تنظیم مقدار false برای متغیر N8N_PYTHON_ENABLED؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به پلتفرم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به پلتفرم از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://github.com/n8n-io/n8n/security/advisories/GHSA-62r4-hw23-cc8v
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
CVE-2025-68668
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- محدود کردن امکان استفاده از عملکرد Code Node؛
- محدود کردن امکان نوشتن و اجرای کد پایتون با تنظیم مقدار false برای متغیر N8N_PYTHON_ENABLED؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به پلتفرم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به پلتفرم از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://github.com/n8n-io/n8n/security/advisories/GHSA-62r4-hw23-cc8v
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
GitHub
Arbitrary Command Execution in Pyodide based Python Code Node
### Impact
A sandbox bypass vulnerability exists in the Python Code Node that uses Pyodide.
An authenticated user with permission to create or modify workflows can exploit this vulnerability to...
A sandbox bypass vulnerability exists in the Python Code Node that uses Pyodide.
An authenticated user with permission to create or modify workflows can exploit this vulnerability to...
آسیبپذیری سیستم مدیریت فرآیندهای فناوری ABB Ability OPTIMAX به دلیل نقصهایی در پیادهسازی الگوریتم احراز هویت ایجاد شده است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند، اجازه دهد تا مکانیزمهای امنیتی موجود را دور زده و با ارسال درخواست بهطور خاص ساخته شده، به سیستم دسترسی غیرمجاز پیدا کند.
CVE-2025-14510
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108472A1331&LanguageCode=en&DocumentPartId=&Action=Launch
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
CVE-2025-14510
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108472A1331&LanguageCode=en&DocumentPartId=&Action=Launch
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
مژده به علاقمندان حوزه امنیت سایبری صنعتی:
برای اولین بار دوره : "آموزش نقشه راه امنیت سایبری – حفاظت از اتوماسیون و کنترل صنعتی ICS/OT (رایگان)" از لینک زیر قابل دریافت است:
https://faradars.org/videos/cybersecurity-in-industrial-automation-control-systems-fvit322
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
برای اولین بار دوره : "آموزش نقشه راه امنیت سایبری – حفاظت از اتوماسیون و کنترل صنعتی ICS/OT (رایگان)" از لینک زیر قابل دریافت است:
https://faradars.org/videos/cybersecurity-in-industrial-automation-control-systems-fvit322
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec :
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کانال بله
https://ble.ir/otsec
فرادرس
آموزش نقشه راه امنیت سایبری – حفاظت از اتوماسیون و کنترل صنعتی ICS/OT (رایگان) | فرادرس
در این آموزش، مسیر یادگیری امنیت سایبری در سامانه های کنترل صنعتی (ICS/OT) و مهارت ها، ابزارها و استانداردهای حیاتی برای حفاظت از زیرساخت های صنعتی معرفی می شود