GPT-5 در عرض ۲۴ ساعت هک شد

دو تیم از محققان راهی پیدا کرده‌اند تا هوش مصنوعی را وادار کنند دستورالعمل‌های ممنوعه را آشکار کند.

پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکاف‌های قابل توجهی را به ویژه از نظر جهت‌گیری تجاری باقی می‌گذارند.»

NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستان‌سرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت می‌گوید این مورد نشان می‌دهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر می‌سپارد - آسیب‌پذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت می‌کنند و از محرک‌های مسدودکننده آشکار اجتناب می‌کنند.

این فرآیند به این صورت انجام می‌شود: ابتدا، سرنخ‌های سمی به طور نامحسوس در قالب متنی بی‌ضرر وارد مکالمه می‌شوند؛ سپس روایتی ساخته می‌شود که انسجام منطقی را حفظ می‌کند اما از کلماتی که می‌توانند باعث رد شدن شوند، اجتناب می‌کند؛ سپس چرخه‌ای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه می‌کند که زمینه مورد نظر را تقویت می‌کند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر می‌دهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیع‌تر می‌کند و به آن اجازه می‌دهد بدون نقض مستقیم قوانین، به هدف خود برسد.

SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهم‌سازی پرس‌وجو آزمایش کرد. یکی از روش‌ها، حمله مبهم‌سازی StringJoin است که بین هر حرف یک خط فاصله قرار می‌دهد و کل پرس‌وجو را به یک وظیفه «رمزگشایی» جعلی تبدیل می‌کند. در یک مثال، به GPT-5، دستورالعمل طولانی‌ای که با سوال «چگونه بمب بسازم؟» تمام می‌شد، با آشنایی غیرمنتظره‌ای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام می‌گذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما می‌گویم چگونه...»

آزمایش‌های مقایسه‌ای نشان داده‌اند که GPT-4o ، به‌ویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاوم‌تر باقی می‌ماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آیا «ربودن» ماهواره بدون موشک امکان‌پذیر است؟ محققان ادعا می‌کنند این کار آسان‌تر از آن چیزی است که به نظر می‌رسد

فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.


در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسان‌تر و ارزان‌تر از استفاده از سلاح‌های ضد ماهواره است. کافی است آسیب‌پذیری‌های موجود در نرم‌افزاری که خود دستگاه را کنترل می‌کند یا ایستگاه‌های زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهره‌برداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار می‌کرده و در آنجا بارها به آسیب‌پذیری‌های موجود در زیرساخت فناوری اطلاعات ایستگاه‌های زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.

طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهواره‌های عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهواره‌ها، ماهواره‌های استارلینک اسپیس ایکس هستند، اما تعداد پلتفرم‌های نظامی نیز در بحبوحه تنش‌های ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهواره‌ها ارزان‌تر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.

با این حال، رشد تعداد دستگاه‌ها با مشکلاتی در امنیت نرم‌افزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاه‌های مداری استفاده می‌شود. پنج آسیب‌پذیری با شناسه‌های CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم می‌کرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه می‌توان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیه‌ساز انجام شد و دستگاه‌های واقعی آسیب ندیدند.

وضعیت در OpenC3 Cosmos، یکی دیگر از سیستم‌های باز برای کنترل دستگاه‌ها از ایستگاه‌های زمینی، حتی بدتر هم شد. در اینجا هفت آسیب‌پذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپت‌نویسی بین‌سایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بسته‌ی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس می‌شوند، یک آسیب‌پذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم می‌کند. چنین خطاهایی می‌توانند نرم‌افزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستم‌ها را بدهند.

حتی کتابخانه رمزگذاری متن‌باز CryptoLib که در بسیاری از ماهواره‌ها استفاده می‌شود، از مشکلات جدی در امان نمانده است. چهار آسیب‌پذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیب‌پذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرم‌افزار داخلی اجازه می‌دهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راه‌اندازی مجدد می‌شود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی می‌شوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار می‌گیرد.

تمام نقص‌های شناسایی‌شده به توسعه‌دهندگان منتقل و برطرف شده‌اند. با این حال، متخصصان VisionSpace مطمئن هستند که نمی‌توان کنترل وسیله نقلیه مداری را به راه‌حل‌های ناامن سپرد و فرض می‌کنند که سایر آسیب‌پذیری‌های حیاتی ممکن است در نرم‌افزار مورد استفاده باقی مانده باشند

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اسکن فعال در محیط‌های #OT نگرانی‌های زیادی را ایجاد می‌کند زیرا می‌تواند با تحریک سیگنال‌های نامطلوب، بر دسترسی‌پذیری یا یکپارچگی سیستم تأثیر بگذارد، اما همه اسکن‌های فعال به یک اندازه خطرناک نیستند. انواعی از اسکن فعال وجود دارند که به طور خاص برای OT طراحی شده‌اند و با دستگاه‌های تعبیه‌شده به زبان بومی خود (پروتکل‌های ارتباطی صنعتی) ارتباط برقرار می‌کنند. این ابزارهای کشف OT مانند نرم‌افزارهای مهندسی رفتار می‌کنند و سیستم (مانند PLCها، RTUها و کنترل‌کننده‌های DCS) را به روشی که دستگاه می‌فهمد، می‌خوانند تا اطلاعات دقیقی در مورد دارایی‌ها را با خیال راحت جمع‌آوری کنند. اسکن فعال، هنگامی که به درستی انجام شود و با آگاهی از پروتکل‌های OT و رفتار دستگاه، می‌تواند از کشف جامع دارایی‌ها پشتیبانی کند که همچنان یکی از بزرگترین چالش‌ها در ایمن‌سازی محیط‌های OT است. همیشه به یاد داشته باشید: هر فعالیتی در OT باید به مجوزها، فرآیندهای مجوز کار و ماهیت منحصر به فرد سیستم‌های OT احترام بگذارد، جایی که ایمنی و تداوم کسب‌وکار بسیار مهم هستند.

🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert

مایکروسافت راهنمایی در مورد آسیب‌پذیری با شدت بالا (CVE-2025-53786) در پیاده‌سازی‌های Hybrid Exchange منتشر کرد.

به‌روزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را به‌روزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکه‌های یک سازمان ارائه دهد و راهنمایی‌های بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.

IACS از آسیب‌پذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیب‌پذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه می‌دهد تا با سوءاستفاده از پیکربندی‌های آسیب‌پذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیب‌پذیری، در صورت عدم رسیدگی، می‌تواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.

اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفاده‌ای مشاهده نشده است، اما IACS اکیداً از سازمان‌ها می‌خواهد که راهنمای آسیب‌پذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار می‌دهند.

سازمان‌ها ابتدا باید تمام سرورهای Exchange را در شبکه‌های خود فهرست‌بندی کنند (سازمان‌ها باید از ابزارهای موجود برای مشاهده‌پذیری یا ابزارهای عمومی مانند اسکریپت‌های NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده می‌کنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفته‌اند و برای به‌روزرسانی تجمعی (CU) در دسترس هستند یا خیر.
به‌روزرسانی‌های هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعمل‌های پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمان‌هایی که از Exchange hybrid استفاده می‌کنند (یا قبلاً Exchange hybrid را پیکربندی کرده‌اند اما دیگر از آن استفاده نمی‌کنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.

IACS اکیداً به نهادها توصیه می‌کند که نسخه‌های عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیده‌اند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخه‌های قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.

سازمان‌ها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنمایی‌های بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:

اطلاعات موجود در این گزارش صرفاً جهت اطلاع‌رسانی و «به همین صورت که هست» ارائه می‌شود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمی‌کند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

✴️ معماری سیستم کنترل صنعتی / OT — کنترل‌کننده‌های دامنه در مقابل اشیاء سیاست گروهی (GPO)

✴️ در محیط‌های فناوری عملیاتی (OT)، استقرار کنترل‌کننده‌های دامنه فقط یک دیدگاه فناوری اطلاعات نیست، بلکه یک اقدام حیاتی امنیت سایبری با ایمنی و دسترسی صنعتی در معرض خطر است.
بیایید ببینیم چرا اهمیت دارد: چه در حال مهندسی و طراحی یک سیستم کنترل در حال توسعه باشید و چه در حال ارتقاء یک مجموعه در حال توسعه از معماری سیستم کنترل موجود، اشیاء سیاست گروهی (GPO) نقش محوری در مقاوم‌سازی زیرساخت OT ایفا می‌کنند.

در اینجا نگاهی سریع به بهترین شیوه‌های ضروری GPO برای محیط‌های صنعتی OT با یکپارچگی بالا و تنظیم‌شده می‌اندازیم:
✅ غیرفعال کردن پروتکل‌های قدیمی (مانند LM/NTLM fallback)
✅ محدود کردن دسترسی ناشناس (pipes، shareها، SID enumeration)
✅ اعمال رمزهای عبور قوی، UAC و سیاست‌های قفل‌گذاری
✅ جلوگیری از ترافیک رمزگذاری نشده (SMB، WinRM، Digest)
✅ حسابرسی استفاده از امتیازات حساس، تغییرات سیاست‌ها و اشیاء AD
✅ مسدود کردن autorun/auto-play، سوءاستفاده از نصب‌کننده‌های سطح بالا
✅ الزام به امضای "همیشه" SMB

آیا می‌دانستید؟
ترافیک رمزگذاری نشده محدود به یک فروشنده سیستم کنترل قدیمی نیست، بلکه بی‌سروصدا در بسیاری از فروشندگان سیستم کنترل وجود دارد.
پروتکل‌هایی مانند SMB، WinRM و احراز هویت Digest اغلب به دلایل زیر رمزگذاری نشده باقی می‌مانند:
🔹 محدودیت‌های پشتیبانی از سیستم‌عامل‌های قدیمی
🔹 وابستگی‌های انتقال فایل مختص فروشنده
🔹 نیازهای سازگاری در معماری‌های نسخه ترکیبی.
اما سوال این است که چرا این موضوع مهم است؟
پروتکل‌های رمزگذاری نشده، راه را برای سرقت اعتبارنامه، حملات مرد میانی (که قبلاً در صنعت اتفاق می‌افتد) و دستکاری داده‌ها اغلب بدون ایجاد هشدار باز می‌کنند.

👉 کاهش و بهترین شیوه‌ها:
هنگام استقرار کنترل‌کننده دامنه جدید یا مقاوم‌سازی کنترل‌کننده‌های دامنه OT و میزبان‌های ویندوز موجود:
✅ امضا و رمزگذاری SMB را اجباری کنید
✅ Kerberos را به NTLM/Digest ترجیح دهید
✅ گره‌های قدیمی را با استفاده از کنترل‌های منطقه‌بندی و جبران‌سازی ایزوله کنید زیرا در محیط OT، ایمنی و در دسترس بودن بسیار مهم است اما امنیت چیزی است که آن را قابل اعتماد نگه می‌دارد.

#امنیت_سایبری #امنیت #IEC62443 #سیستم‌های_کنترلی #تاب‌آوری_سایبری #امنیت_صنعتی #دفاع_در_عمق #NERC_CIP

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک گروه دیگر (گفته می‌شود طرفدار روسیه است) که تمرکز خود را بر حملات به سیستم‌های کنترل و اتوماسیون صنعتی در جهان گذاشته است
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

استاندارد NIST برای تبدیلات رمزنگاری در دستگاه‌های با توان محدود (مثلاً اینترنت اشیاء) منتشر شد
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیب‌پذیری‌های سیستم‌های سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستم‌های کنترل صنعتی #ICS ، آسیب‌پذیری‌های شناخته‌شده زیادی وجود دارند و در حالی که وصله‌ها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامه‌ریزی‌شده بعدی، اعمال آنها را به تأخیر می‌اندازند.
با تنش‌های سیاسی فعلی بین کشورهای بزرگ، زیرساخت‌های حیاتی به هدف اصلی تبدیل شده‌اند.
اخیراً، گروه‌های تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساخت‌های حیاتی در ایالات متحده را هدف قرار می‌دهند.

حتی اگر کشورهای ما مستقیماً درگیر این درگیری‌های ژئوپلیتیکی نباشند، ما هنوز هم می‌توانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیط‌های خاص ICS طراحی شده‌اند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هسته‌ای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجه‌های امنیت سایبری در اکثر شرکت‌های زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT می‌تواند بسیار فراتر از نقض داده‌ها باشد، می‌تواند بر زندگی انسان‌ها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

ما به عنوان متخصصان امنیت سایبری فقط می‌خواهیم به سازمان‌هایی که محیط‌های OT دارند کمک کنیم تا در صورت وقوع، آسیب حوادث امنیت سایبری را محدود کنند.
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025

به طور خاص در رابطه با بخش OT IR نشان می‌دهد که چگونه حملات مسیر خود را طی کرده‌اند و دارایی‌های در معرض اینترنت، رمزهای عبور ضعیف، پیکربندی‌های نادرست، نقاط پایانی بدون آنتی‌ویروس و غیره را به خطر انداخته‌اند.
آنها درک می‌کنند که در دسترس بودن سیستم‌ها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیم‌های OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد می‌شنوند، در داخل خود در برابر تغییر مقاومت می‌کنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترل‌های مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیم‌های OT با حمایت تیم‌های امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیم‌های IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترل‌ها/تغییرات در سیستم‌های آنها پیش نرویم.

همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاست‌ها/رویه‌ها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهم‌تر از اجرای واقعی کنترل‌ها و غیره است. استانداردها/دستورالعمل‌های ما مانند IEC-62443، NIST 800-82 توصیه‌هایی برای کنترل‌ها ارائه داده‌اند و همیشه گزینه‌ای برای جبران کنترل‌ها ارائه داده‌اند.

هدف از جبران کنترل‌ها نباید فقط به سیستم‌های قدیمی/منسوخ یا سیستم‌هایی که نمی‌توانند در کوتاه‌مدت دوره‌های نگهداری داشته باشند، محدود شود. ما همچنین باید تیم‌های OT را درک و با آنها همدلی کنیم تا در جایی که احساس می‌کنند کنترل‌های جبرانی برای آنها مشکل ایجاد می‌کند و در برابر تغییر مقاومت ایجاد می‌کند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانی‌های آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترل‌های امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄


بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری سرور ایمیل Microsoft Exchange Server به دلیل نقص‌هایی در روند احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد امتیازات خود را افزایش دهد.

BDU:2025-09477
CVE-2025-53786

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیم‌بندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درس هایی از حمله سایبری آئروفلوت:
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری سرویس نظارت بر وضعیت فرآیند phMonitor در سیستم مدیریت امنیت FortiSIEM مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه و افزایش امتیازات خود با ارسال دستورات خاص می‌کند، اجازه دهد.

BDU:2025-09821
CVE-2025-25256

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

کمتر از ۱ ساعت دیگر رویداد درس هایی از حمله سایبری آئروفلوت:ضرورت تقویت امنیت OT در زیرساختهای حیاتی و حساس آغاز خواهد شد.
لینک ورود به رویداد:
https://m0h.ir/73acmqkw

آسیب‌پذیری نرم‌افزار محاسبه موقعیت ترنسپوندرهای جداگانه RTLS در SIMATIC RTLS Locating Manager به نقص‌های مکانیزم بررسی داده‌های ورودی هنگام اجرای سناریوهای پشتیبان‌گیری مرتبط است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد کد دلخواه را با دسترسی SYSTEM اجرا کند.

CVE-2025-40746

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای رصد تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری وب‌پردازشگر ماژول سوئیچینگ Rockwell Automation ControlLogix® Ethernet Modules مربوط به مقداردهی ناامن منبع هنگام استفاده از یک آدرس IP خاص برای اتصال به عامل WDB است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه اجرای کد دلخواه را بدهد.

CVE-2025-7353

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تغییر مقادیر آدرس IP برای اتصال پیش‌فرض به عامل WDB؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به پلتفرم از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1732.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری هسته KONG در میان‌افزار آداپتور شبکه Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter از خانواده کنترل‌کننده‌های اترنت Broadcom NetXtreme-E مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

PT-2025-19

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب‌های کاربری استفاده نشده.

توصیه‌های استفاده:

به‌روزرسانی میان‌افزار به نسخه ۲.۳۳ و بالاتر؛

https://www.broadcom.com/support/download-search

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• لطیفه روز: تولیدکننده چاپگرها Procolored به مدت شش ماه درایورهایی با بدافزار به شکل تروجان دسترسی از راه دور و سرقت ارز دیجیتال منتشر می‌کرد.

• برای کسانی که درباره Procolored نشنیده‌اند، توضیح می‌دهم: این یک شرکت چینی است که به خاطر محصولاتش برای چاپ روی پارچه، آکریلیک، چوب، فلز و سطوح دیگر شناخته شده است. این شرکت چاپگرهای خود را در بیش از 31 کشور، از جمله ایالات متحده آمریکا می‌فروشد.

• تحقیقات شرکت امنیت اطلاعات G Data نشان داد که بسته‌های نرم‌افزاری رسمی Procolored حداقل به مدت شش ماه بدافزار ارائه می‌دادند. کارشناس G Data، کارستن هان، اطلاع داد که درایورها حداقل برای شش مدل چاپگر Procolored حاوی بدافزار بودند. تولیدکننده بسته‌های نرم‌افزاری را در پلتفرم اشتراک فایل Mega قرار می‌دهد و دانلود مستقیم درایورها از آنجا امکان‌پذیر است.

• هان 39 فایل آلوده به XRedRAT و SnipVex را کشف کرد. XRedRAT یک بدافزار شناخته شده است که قابلیت‌های کی‌لاگر، ضبط صفحه، دسترسی از راه دور به شل و مدیریت فایل‌ها را دارد. SnipVex یک برنامه مخرب کلیپر است که قبلاً مستند نشده بود و فایل‌های .exe را آلوده می‌کند، در آنها نفوذ می‌کند و آدرس‌های BTC در کلیپ‌بورد را هنگام کپی کردن هر آدرسی جایگزین می‌کند (یعنی شما یک آدرس بیت‌کوین را کپی می‌کنید اما آدرس بیت‌کوین هکرها جایگزین می‌شود). در زمان تحلیل، آخرین به‌روزرسانی فایل‌ها در اکتبر 2024 انجام شده بود.

• گزارش شده است که آدرس BTC استفاده شده توسط SnipVex حدود 9,308 بیت‌کوین دریافت کرده است که معادل حدود 756 میلیون روبل بر اساس نرخ تبدیل فعلی است.

• در نهایت، Procolored بسته‌های نرم‌افزاری را در 8 مه حذف کرد و تحقیقات داخلی را آغاز نمود. پس از تماس G Data، شرکت چینی اعتراف کرد که فایل‌ها را روی Mega.nz با استفاده از یک حافظه USB که ممکن است به Floxif آلوده بوده باشد، بارگذاری کرده است. درایورها تنها پس از انجام بررسی‌های دقیق ویروس و امنیت نرم‌افزار به پلتفرم بازخواهند گشت.

➡️ https://www.gdatasoftware.com/printer-infected-software

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• یک پژوهشگر با نام مستعار es3n1n سرویس Windows Security Center را معکوس کرد و به این ترتیب راهی برای غیرفعال کردن Microsoft Defender در دستگاه‌های ویندوز پیدا کرد. همچنین توسعه‌دهنده ابزاری به نام Defendnot ساخته است که از این آسیب‌پذیری استفاده می‌کند و اجازه می‌دهد Defender را بدون حذف یا دخالت در سرویس‌های سیستمی غیرفعال کنید.

• اصل موضوع ساده است: Windows Security Center (WSC) دارای یک API مستندسازی نشده است که به کمک آن می‌توان یک محصول آنتی‌ویروس جعلی را در سیستم ثبت کرد، که می‌تواند تمام بررسی‌های ویندوز را پشت سر بگذارد. پس از آن ویندوز به‌طور خودکار Microsoft Defender را غیرفعال می‌کند، تا از بروز تعارض هنگام اجرای چند برنامه امنیتی روی یک دستگاه جلوگیری شود.

• به طور کلی، ابزار Defendnot از این API سوءاستفاده می‌کند، تمام اقدامات لازم برای غیرفعال کردن Defender را انجام می‌دهد و یک وظیفه در «برنامه‌ریز وظایف» ایجاد می‌کند که به ابزار اجازه می‌دهد در هر بار راه‌اندازی ویندوز اجرا شود.

• اگرچه Defendnot یک پروژه تحقیقاتی محسوب می‌شود، این ابزار نشان می‌دهد چگونه می‌توان با دستکاری عملکردهای قابل اعتماد سیستم، سیستم‌های امنیتی را غیرفعال کرد. در حال حاضر Microsoft Defender ابزار Defendnot را به عنوان «Win32/Sabsik.FL.!ml;» شناسایی و قرنطینه می‌کند.

➡️ در وبلاگ نویسنده مقاله خوبی درباره توسعه این ابزار و معکوس‌سازی سرویس وجود دارد: https://blog.es3n1n.eu

➡️ گیت‌هاب: https://github.com/es3n1n/defendnot

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

🪙 استخراج‌کنندگان و آلودگی کانتینرها از طریق APIهای باز Docker.

• حملات به کانتینرها به اندازه سیستم‌های دیگر رایج نیست، اما این موضوع آن‌ها را کمتر خطرناک نمی‌کند. در این مقاله یک طرح جالب شرح داده شده است که در آن محیط کانتینریزه شده با ترکیبی از استخراج‌کننده شناخته‌شده قبلی و نرم‌افزار مخرب جدید به خطر افتاده است، که امکان ایجاد کانتینرهای آلوده جدید و آلوده کردن کانتینرهای موجود را فراهم کرده است. هر دو مؤلفه مخرب بدون استفاده از سرور فرماندهی منتشر می‌شوند، که هر شبکه‌ای با زیرساخت کانتینریزه شده و API باز و ناامن Docker را در معرض خطر قرار می‌دهد.

• به گفته تحلیل Shodan، در آوریل ۲۰۲۵ در سراسر جهان ۵۲۰ API Docker که روی پورت ۲۳۷۵ منتشر شده بودند، برای دسترسی از اینترنت باز بودند. این اطلاعات نمایی از پتانسیل مخرب این تهدید را به ما می‌دهد و بر ضرورت نظارت دقیق بر کانتینرها و حفاظت مطمئن آن‌ها تأکید می‌کند.

➡️ https://securelist.ru/dero-docker-api

#امنیت_اطلاعات #Docker

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

14 میلیون دانلود کتابخانه SHA JavaScript کاربران را در معرض حملات دستکاری هش قرار می دهد
یک آسیب پذیری امنیتی حیاتی در بسته sha.js npm که به طور گسترده مورد استفاده قرار می گیرد کشف شده است که میلیون ها برنامه را در معرض حملات پیچیده دستکاری هش قرار می دهد که می تواند عملیات رمزنگاری را به خطر بیندازد و دسترسی غیرمجاز به سیستم های حساس را امکان پذیر کند.

این آسیب پذیری که CVE-2025-9288 نامگذاری شده است، بر تمام نسخه های تا 2.4.11 کتابخانه تأثیر می گذارد که بیش از 14 میلیون دانلود در سراسر اکوسیستم جاوا اسکریپت جمع آوری کرده است.

جزئیات آسیب پذیری و بردارهای حمله
این نقص امنیتی ناشی از از دست دادن اعتبار سنجی نوع ورودی در مکانیسم محاسبه هش کتابخانه sha.js است که به مهاجمان اجازه می دهد تا حالت های هش را از طریق ورودی های با قابلیت رشته سازی JSON که به دقت ساخته شده اند، دستکاری کنند.

جزئیات CVE
شناسه CVE CVE-2025-9288
شدت بحرانی
امتیاز CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:H/VA:H/SC:H/SI:H/SA:N
بسته آسیب دیده sha.js (npm)
نسخه های آسیب دیده ≤2.4.11

محقق امنیتی ChALkeR کشف کرد که بازیگران مخرب می توانند از این ضعف برای عقب بردن حالت های هش، تبدیل هش های برچسب گذاری شده به انواع بدون برچسب و ایجاد برخوردهای هش که کنترل های امنیتی را دور می زند، سوء استفاده کنند.

این آسیب پذیری در سه سناریوی حمله اولیه آشکار می شود. ابتدا، مهاجمان می توانند با استفاده از اشیایی با ویژگی های طول منفی، حالت هش را به عقب برگردانند و به طور موثر حالت رمزنگاری را به مقادیر قبلی برگردانند.

دوم، این نقص حملات اشتباه محاسبه ارزش را امکان پذیر می کند که در آن اشیاء ساخته شده به طور خاص می توانند خروجی های هش یکسان را برای داده های ورودی مختلف تولید کنند و سناریوهای برخورد خطرناک ایجاد کنند.

سوم، این آسیب پذیری با ارائه مقادیر طول نادرست که باعث می شود کتابخانه به طور نامحدود آویزان شود، امکان حملات انکار سرویس را فراهم می کند.

به این آسیب پذیری یک امتیاز پایه حیاتی CVSS v4 اختصاص داده شده است که نشان دهنده تأثیر بالقوه شدید آن بر سیستم های آسیب پذیر و بعدی است.

بردار حمله از طریق اتصالات شبکه با الزامات پیچیدگی بالا اما بدون تعامل کاربر عمل می کند، که آن را به ویژه برای سناریوهای بهره برداری خودکار خطرناک می کند.

نگهدارنده های sha.js آسیب پذیری را در نسخه 2.4.12 برطرف کرده اند که شامل اعتبارسنجی جامع نوع ورودی برای جلوگیری از بردارهای حمله شناسایی شده است.

سازمان هایی که از کتابخانه آسیب دیده استفاده می کنند باید فورا به نسخه وصله شده به روز شوند و ارزیابی های امنیتی کاملی از سیستم هایی که ممکن است در معرض تلاش های دستکاری هش مخرب قرار گرفته باشند، انجام دهند.

این کشف بر اهمیت حیاتی اعتبارسنجی ورودی قوی در کتابخانه های رمزنگاری تأکید می کند و خطرات امنیتی آبشاری را برجسته می کند که می تواند از نظارت های به ظاهر جزئی پیاده سازی در اجزای منبع باز که به طور گسترده پذیرفته شده اند، پدیدار شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

سیستم های هوش مصنوعی قادر به ایجاد اکسپلویت های کاری برای CVE ها تنها در 10 تا 15 دقیقه هستند
محققان امنیت سایبری یک سیستم هوش مصنوعی ایجاد کرده اند که قادر است به طور خودکار اکسپلویت های کاری را برای آسیب پذیری ها و مواجهه های رایج منتشر شده (CVE) تنها در 10 تا 15 دقیقه با قیمت تقریبا 1 دلار به ازای هر اکسپلویت ایجاد کند و اساسا جدول زمانی پاسخ امنیتی سنتی را که مدافعان به آن تکیه می کنند، به چالش بکشد.

این سیستم موفقیت آمیز از یک خط لوله پیچیده چند مرحله ای استفاده می کند که توصیه های CVE و وصله های کد را تجزیه و تحلیل می کند، هم برنامه های آزمایشی آسیب پذیر و هم کد اکسپلویت را ایجاد می کند، سپس با آزمایش در برابر نسخه های آسیب پذیر در مقابل نسخه های وصله شده برای حذف موارد مثبت کاذب، سوء استفاده ها را تأیید می کند.

این رویکرد در مقایسه با تجزیه و تحلیل دستی انسانی، که معمولا ساعت ها، روزها یا حتی هفته ها زمان مهلت کاهش را در اختیار مدافعان قرار می دهد، به طور چشمگیری توسعه بهره برداری را تسریع می کند.

با بیش از 130 CVE که روزانه منتشر می شود، پیامدهای آن خیره کننده است. تیم های امنیتی سنتی در طول تاریخ از یک دوره بافر بین افشای آسیب پذیری و بهره برداری فعال برخوردار بوده اند و زمان را برای استقرار وصله و اقدامات دفاعی فراهم می کنند.

این رویکرد مبتنی بر هوش مصنوعی می تواند این پنجره بحرانی را به طور کامل از بین ببرد.

پیاده سازی فنی و متدولوژی
محققان سیستم خود را حول سه مرحله اصلی ساختار دادند. ابتدا، هوش مصنوعی توصیه های CVE و داده های مخزن را برای درک مکانیک بهره برداری تجزیه و تحلیل می کند و از قابلیت های پردازش زبان طبیعی مدل های زبان بزرگ برای تفسیر متن و کد مشاوره به طور همزمان استفاده می کند.

این سیستم هر دو رجیستری NIST و GitHub Security Advisory (GHSA) را برای جمع آوری جزئیات آسیب پذیری جامع از جمله مخازن آسیب پذیر، اطلاعات نسخه و توضیحات قابل خواندن توسط انسان پرس و جو می کند.

دوم، این سیستم از غنی سازی زمینه از طریق تحریک هدایت شده استفاده می کند و هوش مصنوعی را از طریق تجزیه و تحلیل گام به گام برای توسعه استراتژی های بهره برداری دقیق هدایت می کند. این شامل تکنیک های ساخت محموله و نقشه برداری جریان آسیب پذیری است.

حلقه ارزیابی نهایی هم کد اکسپلویت و هم برنامه های آزمایشی آسیب پذیر را ایجاد می کند و هر دو مؤلفه را تا زمانی که بهره برداری موفقیت آمیز حاصل شود، اصلاح می کند.

مهمتر از همه، سیستم اکسپلویت ها را در برابر نسخه های آسیب پذیر و وصله شده آزمایش می کند تا از مثبت کاذب جلوگیری کند.

در ابتدا، این تیم با محدودیت هایی با سرویس های هوش مصنوعی تجاری مانند OpenAI و Anthropic مواجه شد که گاردریل های آنها از تولید اکسپلویت جلوگیری می کرد.

آنها با استفاده از مدل های میزبان محلی مانند qwen3:8b قبل از انتقال به گزینه های قدرتمندتر، با موفقیت این محدودیت ها را دور زدند.

محققان پادمان های حیاتی از جمله محیط های اجرای کانتینری با استفاده از خنجر برای آزمایش ایمن و مکانیسم های ذخیره سازی را برای بهینه سازی عملکرد و کاهش هزینه ها در طول تکرارهای توسعه اجرا کردند.

این پیشرفت نشان دهنده یک تغییر پارادایم در پویایی امنیت سایبری است.

اتوماسیون تولید اکسپلویت در مقیاس می تواند چشم انداز تهدید را به طور اساسی تغییر دهد و سازمان ها را مجبور کند تا چرخه های استقرار وصله را تسریع کنند و در استراتژی های مدیریت آسیب پذیری تجدید نظر کنند.

این تحقیق تولید موفقیت آمیز اکسپلویت را در چندین زبان برنامه نویسی و انواع آسیب پذیری، از جمله بای پس رمزنگاری و حملات آلودگی نمونه اولیه نشان می دهد که تطبیق پذیری سیستم را در محیط های فنی مختلف ثابت می کند.

همانطور که قابلیت های هوش مصنوعی به پیشرفت خود ادامه می دهند، متخصصان امنیت سایبری باید برای عصری آماده شوند که در آن فرض سنتی دوره های مهلت پس از افشای اطلاعات ممکن است دیگر اعمال نشود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t