آسیبپذیری در نرمافزار آنتیویروس Kaspersky Industrial CyberSecurity for Linux Nodes و Kaspersky Endpoint Security برای سیستمعاملهای MacOS و Linux مربوط به هدایت مجدد به سایتهای غیرقابل اعتماد است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد حمله XSS بازتابی را با استفاده از تکنیکهای فیشینگ انجام دهد.
BDU:2025-14047
استفاده از توصیههای تولیدکننده:
https://support.kaspersky.ru/vulnerability/list-of-advisories/12430#181125
بهروزرسانی نرمافزار Kaspersky Endpoint Security (MacOS) به نسخه 12.2.0.694 با پایگاههای آنتیویروس منتشر شده پس از 17.11.2025
برای Kaspersky Endpoint Security (Linux) و Kaspersky Industrial CyberSecurity for Linux Nodes اصلاحات بهصورت خودکار نصب میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
BDU:2025-14047
استفاده از توصیههای تولیدکننده:
https://support.kaspersky.ru/vulnerability/list-of-advisories/12430#181125
بهروزرسانی نرمافزار Kaspersky Endpoint Security (MacOS) به نسخه 12.2.0.694 با پایگاههای آنتیویروس منتشر شده پس از 17.11.2025
برای Kaspersky Endpoint Security (Linux) و Kaspersky Industrial CyberSecurity for Linux Nodes اصلاحات بهصورت خودکار نصب میشود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
support.kaspersky.ru
Отчеты
Список обнаруженных на текущий момент уязвимостей в продуктах «Лаборатории Касперского» и сообщивших о них исследователей.
برای تماس با سیا، رمز عبور خود را در نوار جستجوی وبسایت جدای وارد کنید.
آنچه که به نظر میرسید یک سایت هواداری باشد، در واقع یک شبکه جهانی از اطلاعات ایالات متحده بود.
در نگاه اول، starwarsweb.net مانند یک سایت هواداری معمولی از دوران اوج ایکسباکس ۳۶۰ به نظر میرسد - با نقل قولی از شخصیت یودا، "این بازیها را دوست خواهید داشت"، مجموعهای از بازیهایی مانند جنگ ستارگان بتلفرانت ۲ و تبلیغی برای لگو جنگ ستارگان. با این حال، این رابط کاربری ساده، عملکرد بسیار خطرناکتری را پنهان میکرد. معلوم شد که این سایت توسط سیا به عنوان وسیلهای برای ارتباط پنهانی با مأموران خارج از کشور استفاده میشد. تحت پوشش صفحاتی در مورد بازیهای ویدیویی، ورزش و فرهنگ پاپ، شبکه گستردهای از اطلاعات محرمانه دیجیتال - یکی از بزرگترین اشتباهات اطلاعاتی آمریکا در دهههای اخیر - پنهان شده بود. به گفته محقق مستقل، سیرو سانتیلی، starwarsweb.net تنها بخشی از یک سیستم گسترده از وبسایتها بود که به عنوان کانالهای مخفی برای سیا جهت ارتباط با منابع خود در کشورهای دیگر عمل میکرد. این وبسایتها کاملاً بیخطر به نظر میرسیدند - سایتهای طرفداران کمدینها، منابعی در مورد موسیقی برزیلی یا ورزشهای شدید. اما وارد کردن رمز عبور در نوار جستجو باعث ایجاد مجوز پنهان و دسترسی به مکاتبات محرمانه با اطلاعات ایالات متحده میشد.
تصویر صفحه وبسایت (سیرو سانتیلی)
اولین افشای این طرح بیش از ده سال پیش در ایران رخ داد. سپس، سازمانهای اطلاعاتی محلی شبکه وبسایتها را کشف کردند و جستجوی افراد مشکوک را آغاز کردند که متعاقباً منجر به دستگیریها و قتلهای گسترده مأموران سیا در چین در سالهای ۲۰۱۱-۲۰۱۲ شد. طبق تحقیقات یاهو نیوز، نشت اطلاعات از ایران نقش کلیدی در فروپاشی کل سیستم داشت. این آژانس متعاقباً زیرساختهای خود را تعطیل کرد.
سانتیلی گفت که عوامل متعددی او را به کشف شبکه قدیمی سیا ترغیب کرده است: علاقه به سیاست چین، نفوذ مادرزنش که متعلق به جنبش مذهبی فالون گونگ است، و تمایل به «آزار دادن جاسوسانی که دموکراسیها را رصد میکنند». او کار خود را به عنوان یک تحقیق هکری بر اساس تحلیل دامنه، کد HTML، استفاده از سرویس viewdns.info و بایگانی Wayback Machine توصیف میکند که در آن از ارتشی از رباتهای Tor برای دور زدن محدودیتهای بایگانی استفاده شده است. همه ابزارها متنباز و رایگان هستند.
یکی از انگیزههای اصلی برای جستجوی جدید، مقالهای در رویترز در سال ۲۰۲۲ بود که خطاهایی را در استتار وبسایتها توصیف میکرد - به طور خاص، این واقعیت که آدرسهای IP آنها متوالی بودند و امکان کشف کل گروههای دامنه را فراهم میکردند. در تصاویر گرفته شده از تحقیقات، سانتیلی متوجه نام فایلها شد که به URLهای منبع اشاره میکردند. این به او سرنخهایی داد که منجر به صدها منبع اضافی شد.
به گفته یکی دیگر از متخصصان مستقل امنیت، زک ادواردز، اکتشافات جدید کاملاً با دانش او از ساختار شبکه سازگار است. او تأکید کرد که این وبسایتها واقعاً وجود داشتهاند و مأموریتهای شناسایی انجام میدادند و خطاهای توسعهدهندگان آنها سالها بعد به اطلاع عموم رسید. به گفته سانتیلی، اکنون، بیش از ۱۵ سال بعد، افشای این وبسایتها تهدید کمتری نسبت به فرصتی بینظیر برای تجربه آثار دیجیتالی از دوران جاسوسی دارد. این محقق آن را با بازدید از یک موزه مقایسه کرد - به لطف بایگانی اینترنت، هر کسی میتواند ردپای "زنده" یک عملیات ویژه شکستخورده را ببیند. این داستان در تاریخ اطلاعات آمریکا به هیچ وجه منحصر به فرد نیست - پیش از این نیز افشاگریهای گستردهای در مورد عملیات مخفی سیا وجود داشته است.
سیا از اظهار نظر خودداری کرد.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آنچه که به نظر میرسید یک سایت هواداری باشد، در واقع یک شبکه جهانی از اطلاعات ایالات متحده بود.
در نگاه اول، starwarsweb.net مانند یک سایت هواداری معمولی از دوران اوج ایکسباکس ۳۶۰ به نظر میرسد - با نقل قولی از شخصیت یودا، "این بازیها را دوست خواهید داشت"، مجموعهای از بازیهایی مانند جنگ ستارگان بتلفرانت ۲ و تبلیغی برای لگو جنگ ستارگان. با این حال، این رابط کاربری ساده، عملکرد بسیار خطرناکتری را پنهان میکرد. معلوم شد که این سایت توسط سیا به عنوان وسیلهای برای ارتباط پنهانی با مأموران خارج از کشور استفاده میشد. تحت پوشش صفحاتی در مورد بازیهای ویدیویی، ورزش و فرهنگ پاپ، شبکه گستردهای از اطلاعات محرمانه دیجیتال - یکی از بزرگترین اشتباهات اطلاعاتی آمریکا در دهههای اخیر - پنهان شده بود. به گفته محقق مستقل، سیرو سانتیلی، starwarsweb.net تنها بخشی از یک سیستم گسترده از وبسایتها بود که به عنوان کانالهای مخفی برای سیا جهت ارتباط با منابع خود در کشورهای دیگر عمل میکرد. این وبسایتها کاملاً بیخطر به نظر میرسیدند - سایتهای طرفداران کمدینها، منابعی در مورد موسیقی برزیلی یا ورزشهای شدید. اما وارد کردن رمز عبور در نوار جستجو باعث ایجاد مجوز پنهان و دسترسی به مکاتبات محرمانه با اطلاعات ایالات متحده میشد.
تصویر صفحه وبسایت (سیرو سانتیلی)
اولین افشای این طرح بیش از ده سال پیش در ایران رخ داد. سپس، سازمانهای اطلاعاتی محلی شبکه وبسایتها را کشف کردند و جستجوی افراد مشکوک را آغاز کردند که متعاقباً منجر به دستگیریها و قتلهای گسترده مأموران سیا در چین در سالهای ۲۰۱۱-۲۰۱۲ شد. طبق تحقیقات یاهو نیوز، نشت اطلاعات از ایران نقش کلیدی در فروپاشی کل سیستم داشت. این آژانس متعاقباً زیرساختهای خود را تعطیل کرد.
سانتیلی گفت که عوامل متعددی او را به کشف شبکه قدیمی سیا ترغیب کرده است: علاقه به سیاست چین، نفوذ مادرزنش که متعلق به جنبش مذهبی فالون گونگ است، و تمایل به «آزار دادن جاسوسانی که دموکراسیها را رصد میکنند». او کار خود را به عنوان یک تحقیق هکری بر اساس تحلیل دامنه، کد HTML، استفاده از سرویس viewdns.info و بایگانی Wayback Machine توصیف میکند که در آن از ارتشی از رباتهای Tor برای دور زدن محدودیتهای بایگانی استفاده شده است. همه ابزارها متنباز و رایگان هستند.
یکی از انگیزههای اصلی برای جستجوی جدید، مقالهای در رویترز در سال ۲۰۲۲ بود که خطاهایی را در استتار وبسایتها توصیف میکرد - به طور خاص، این واقعیت که آدرسهای IP آنها متوالی بودند و امکان کشف کل گروههای دامنه را فراهم میکردند. در تصاویر گرفته شده از تحقیقات، سانتیلی متوجه نام فایلها شد که به URLهای منبع اشاره میکردند. این به او سرنخهایی داد که منجر به صدها منبع اضافی شد.
به گفته یکی دیگر از متخصصان مستقل امنیت، زک ادواردز، اکتشافات جدید کاملاً با دانش او از ساختار شبکه سازگار است. او تأکید کرد که این وبسایتها واقعاً وجود داشتهاند و مأموریتهای شناسایی انجام میدادند و خطاهای توسعهدهندگان آنها سالها بعد به اطلاع عموم رسید. به گفته سانتیلی، اکنون، بیش از ۱۵ سال بعد، افشای این وبسایتها تهدید کمتری نسبت به فرصتی بینظیر برای تجربه آثار دیجیتالی از دوران جاسوسی دارد. این محقق آن را با بازدید از یک موزه مقایسه کرد - به لطف بایگانی اینترنت، هر کسی میتواند ردپای "زنده" یک عملیات ویژه شکستخورده را ببیند. این داستان در تاریخ اطلاعات آمریکا به هیچ وجه منحصر به فرد نیست - پیش از این نیز افشاگریهای گستردهای در مورد عملیات مخفی سیا وجود داشته است.
سیا از اظهار نظر خودداری کرد.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
عملیات Endgame و RapTor: یک پاکسازی گسترده نشان داد که ناشناس بودن در دارک نت دیگر یک دفاع نیست، بلکه یک توهم است.
۲۶ مه ۲۰۲۵
۳۰۰ سرور، ۶۵۰ دامنه، ۲۱ میلیون یورو - و این فقط آغاز است.
عملیات ویژه پلیس علیه مجرمان سایبری و معاملهگران در بازارهای سایه در حال افزایش است. دو کمپین بزرگ بینالمللی - عملیات Endgame و عملیات RapTor - به نتایج قابل توجهی در مبارزه با زیرساختهای مورد استفاده برای توزیع بدافزار، حملات باجافزاری و تجارت غیرقانونی در سمت تاریک اینترنت دست یافتهاند.
عملیات Endgame که در ماه مه ۲۰۲۴ آغاز شد، با هدف از بین بردن سرویسهایی است که به عنوان نقطه دسترسی اولیه برای حملات باجافزاری بعدی عمل میکنند. این بار، تلاشهای هماهنگ اجرای قانون منجر به خاموش شدن تقریباً ۳۰۰ سرور در سراسر جهان، خنثیسازی ۶۵۰ نام دامنه و صدور حکم دستگیری برای ۲۰ فرد درگیر در فراهم کردن دسترسی به گروههای مهاجم شد.
این عملیات بر روی انواع جدید بدافزار و جانشینان گروههایی که زیرساختهای آنها قبلاً پاکسازی شده بود، متمرکز بود. اهداف کلیدی شامل Bumblebee، Lactrodectus، QakBot، HijackLoader، DanaBot، TrickBot و WARMCOOKIE بودند. مرحله فعال از ۱۹ تا ۲۲ مه ۲۰۲۵ ادامه داشت.
علاوه بر پیروزیهای فنی، در طول این عملیات، ارز دیجیتال به ارزش ۳.۵ میلیون یورو توقیف شد و کل داراییهای دیجیتال مصادره شده تحت عنوان Endgame به ۲۱.۲ میلیون یورو رسید. یوروپل تأکید میکند که چنین بدافزارهایی اغلب به عنوان خدماتی برای سایر مجرمان توزیع میشوند و برای حملات گسترده و به دنبال آن رمزگذاری دادهها و اخاذی استفاده میشوند.
در همین حال، دفتر پلیس جنایی فدرال آلمان (Bundeskräfte der Wehrmacht) پروندههای جنایی علیه ۳۷ مظنون، از جمله اعضای گروههای شناخته شده QakBot و TrickBot، باز کرده است. برخی از این افراد، از جمله رومن میخائیلوویچ پروکوپ (کارترج)، دانیل رایسوویچ خالیتوف (دانچو)، اسکندر ریفکاتوویچ شرافتالدینوف (آلیک، گوچی)، میخائیل میخائیلوویچ تسارف (مانگو)، ماکسیم سرگیویچ گالوچکین (بنتلی، مکس۱۷، کریپت) و ویتالی نیکولاویچ کووالف (استرن، گریو، وینسنت، بنتلی، برگن، الکس کونور)، اکنون رسماً به فهرست تحت تعقیبترین افراد اتحادیه اروپا اضافه شدهاند.
بخش دوم حمله پلیس در جبهه بازار وب تاریک - عملیات رپتور - آغاز شد. یوروپل و آژانسهای ملی ۲۷۰ شرکتکننده - فروشندگان و خریداران کالاهای غیرقانونی در وب تاریک - را شناسایی و بازداشت کردند. ایالات متحده، آلمان، بریتانیا و فرانسه در دستگیریها پیشرو بودند. در میان اقلام توقیف شده، ۱۸۴ میلیون یورو پول نقد و ارز دیجیتال، دو تن مواد مخدر، ۱۸۰ قبضه سلاح، بیش از ۱۲۰۰۰ کالای تقلبی و چهار تن تنباکوی غیرقانونی وجود داشت. تحلیلگران خاطرنشان میکنند که کل این عملیات بر اساس دادههای بهدستآمده پس از حذف بازارهای شناختهشدهی وب تاریک Nemesis، Tor2Door، Bohemia و Kingdom Markets انجام شده است. بسیاری از مظنونین به هزاران تراکنش غیرقانونی مرتبط بودند و بهطور فعال از ابزارهای رمزنگاری و رمزگذاری برای ناشناس ماندن استفاده میکردند. یوروپل خاطرنشان میکند که تحت فشار پلیس، بازارهای سنتی به صورت زیرزمینی فعالیت میکنند و جای خود را به سایتهای معاملاتی مستقل میدهند که توسط فروشندگان انفرادی اداره میشوند تا خطرات و کمیسیونها را به حداقل برسانند. با وجود تلاشهای فراوان نیروهای انتظامی، مواد مخدر همچنان کالای اصلی در وب تاریک است.
شرکتکنندگان در این عملیات تأکید میکنند که مجرمان هیچ توهمی در مورد مصونیت از مجازات ندارند - دستگیریها و توقیفهای گسترده تأیید میکند که حتی ناشناس بودن وب تاریک دیگر محافظت واقعی ارائه نمیدهد.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
۲۶ مه ۲۰۲۵
۳۰۰ سرور، ۶۵۰ دامنه، ۲۱ میلیون یورو - و این فقط آغاز است.
عملیات ویژه پلیس علیه مجرمان سایبری و معاملهگران در بازارهای سایه در حال افزایش است. دو کمپین بزرگ بینالمللی - عملیات Endgame و عملیات RapTor - به نتایج قابل توجهی در مبارزه با زیرساختهای مورد استفاده برای توزیع بدافزار، حملات باجافزاری و تجارت غیرقانونی در سمت تاریک اینترنت دست یافتهاند.
عملیات Endgame که در ماه مه ۲۰۲۴ آغاز شد، با هدف از بین بردن سرویسهایی است که به عنوان نقطه دسترسی اولیه برای حملات باجافزاری بعدی عمل میکنند. این بار، تلاشهای هماهنگ اجرای قانون منجر به خاموش شدن تقریباً ۳۰۰ سرور در سراسر جهان، خنثیسازی ۶۵۰ نام دامنه و صدور حکم دستگیری برای ۲۰ فرد درگیر در فراهم کردن دسترسی به گروههای مهاجم شد.
این عملیات بر روی انواع جدید بدافزار و جانشینان گروههایی که زیرساختهای آنها قبلاً پاکسازی شده بود، متمرکز بود. اهداف کلیدی شامل Bumblebee، Lactrodectus، QakBot، HijackLoader، DanaBot، TrickBot و WARMCOOKIE بودند. مرحله فعال از ۱۹ تا ۲۲ مه ۲۰۲۵ ادامه داشت.
علاوه بر پیروزیهای فنی، در طول این عملیات، ارز دیجیتال به ارزش ۳.۵ میلیون یورو توقیف شد و کل داراییهای دیجیتال مصادره شده تحت عنوان Endgame به ۲۱.۲ میلیون یورو رسید. یوروپل تأکید میکند که چنین بدافزارهایی اغلب به عنوان خدماتی برای سایر مجرمان توزیع میشوند و برای حملات گسترده و به دنبال آن رمزگذاری دادهها و اخاذی استفاده میشوند.
در همین حال، دفتر پلیس جنایی فدرال آلمان (Bundeskräfte der Wehrmacht) پروندههای جنایی علیه ۳۷ مظنون، از جمله اعضای گروههای شناخته شده QakBot و TrickBot، باز کرده است. برخی از این افراد، از جمله رومن میخائیلوویچ پروکوپ (کارترج)، دانیل رایسوویچ خالیتوف (دانچو)، اسکندر ریفکاتوویچ شرافتالدینوف (آلیک، گوچی)، میخائیل میخائیلوویچ تسارف (مانگو)، ماکسیم سرگیویچ گالوچکین (بنتلی، مکس۱۷، کریپت) و ویتالی نیکولاویچ کووالف (استرن، گریو، وینسنت، بنتلی، برگن، الکس کونور)، اکنون رسماً به فهرست تحت تعقیبترین افراد اتحادیه اروپا اضافه شدهاند.
بخش دوم حمله پلیس در جبهه بازار وب تاریک - عملیات رپتور - آغاز شد. یوروپل و آژانسهای ملی ۲۷۰ شرکتکننده - فروشندگان و خریداران کالاهای غیرقانونی در وب تاریک - را شناسایی و بازداشت کردند. ایالات متحده، آلمان، بریتانیا و فرانسه در دستگیریها پیشرو بودند. در میان اقلام توقیف شده، ۱۸۴ میلیون یورو پول نقد و ارز دیجیتال، دو تن مواد مخدر، ۱۸۰ قبضه سلاح، بیش از ۱۲۰۰۰ کالای تقلبی و چهار تن تنباکوی غیرقانونی وجود داشت. تحلیلگران خاطرنشان میکنند که کل این عملیات بر اساس دادههای بهدستآمده پس از حذف بازارهای شناختهشدهی وب تاریک Nemesis، Tor2Door، Bohemia و Kingdom Markets انجام شده است. بسیاری از مظنونین به هزاران تراکنش غیرقانونی مرتبط بودند و بهطور فعال از ابزارهای رمزنگاری و رمزگذاری برای ناشناس ماندن استفاده میکردند. یوروپل خاطرنشان میکند که تحت فشار پلیس، بازارهای سنتی به صورت زیرزمینی فعالیت میکنند و جای خود را به سایتهای معاملاتی مستقل میدهند که توسط فروشندگان انفرادی اداره میشوند تا خطرات و کمیسیونها را به حداقل برسانند. با وجود تلاشهای فراوان نیروهای انتظامی، مواد مخدر همچنان کالای اصلی در وب تاریک است.
شرکتکنندگان در این عملیات تأکید میکنند که مجرمان هیچ توهمی در مورد مصونیت از مجازات ندارند - دستگیریها و توقیفهای گسترده تأیید میکند که حتی ناشناس بودن وب تاریک دیگر محافظت واقعی ارائه نمیدهد.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
سقوط یک ابرقهرمان دروغین: داستان Builder.ai و ترفند «شستشوی هوش مصنوعی»
یک استارتاپ انگلیسی با شعار «ساخت اپ مثل سفارش پیتزا»، سرمایهگذاران بزرگی مانند مایکروسافت و سافتبانک را فریب داد و در نهایت ورشکسته شد. این داستان، نمونه کلاسیک فاصلهٔ عمیق بین «حرف» و «عمل» در دنیای فناوری است.
---
⚫ خط زمانی سقوط: از رویا تا ورشکستگی
· ۲۰۱۶: تأسیس شرکت توسط «ساچین دوگال» با وعدهٔ ساخت اپلیکیشن توسط یک دستیار هوش مصنوعی به نام «ناتاشا».
· ۲۰۱۹: اولین افشاگری توسط والاستریت ژورنال: هستهٔ اصلی کار، هوش مصنوعی نبود، بلکه هزاران برنامهنویس هندی بودند که کدها را بهصورت دستی مینوشتند.
· ۲۰۲۳: جذب بیش از ۴۴۵ میلیون دلار سرمایه و رسیدن به ارزش بازار ۱.۵ میلیارد دلار (وضعیت «تکشاخ»).
· فوریه ۲۰۲۵: دوگال پس از مطرحشدن اتهامات مالی در هند، از سمت خود استعفا داد.
· مه ۲۰۲۵: مسدودشدن داراییها توسط طلبکاران و در نهایت اعلام ورشکستگی.
⚙️ پشت صحنهٔ «ناتاشا»: یک نمایش هوشمندانه
شرکت بهجای ساخت یک پلتفرم هوش مصنوعی واقعی، یک شبیهسازی دقیق ایجاد کرد:
· دستیار هوش مصنوعی «ناتاشا» فقط یک واسط کاربری بود. تمام منطق و کدنویسی پشت صحنه، توسط نیروی انسانی انجام میشد.
· فریب مالی: در گزارشها، درآمد شرکت را تا ۴۰۰٪ بزرگنمایی میکردند (ادعای ۲۲۰ میلیون دلار در مقابل واقعیت ۵۵ میلیون دلار).
📉 پیامدها و هشدار: پدیدهٔ «شستشوی هوش مصنوعی» (AI Washing)
سقوط Builder.ai نماد بارز پدیدهای خطرناک به نام «AI Washing» است: استفاده از برچسب جذاب «هوش مصنوعی» برای جذب سرمایه، بدون پشتوانهٔ فناورانهٔ واقعی.
· این کار اعتماد عمومی به فناوریهای نوظهور را تخریب میکند.
· سرمایهگذاران کلانی را متضرر میکند.
· مشتریان را با محصولات ناتمام و پشتیبانینشده رها میسازد.
کارشناسان هشدار میدهند که مشابهتهای نگرانکنندهای با حباب داتکم در سالهای ۲۰۰۰ وجود دارد: ارزشگذاریهای اغراقآمیز، مدلهای تجاری ضعیف و هیاهوی رسانهای برای پوشش خلأ فناورانه.
🔮 درس اصلی: تفکر انتقادی را از دست ندهید
این ماجرا بهما یادآوری میکند که در مواجهه با وعدههای فناورانهٔ بزرگ، باید:
· دقیق و شکآمیز باشیم.
· به دنبال مدرک و اثبات عملی از ادعاها بگردیم.
· بدانیم که هیچ راهحل جادویی (مثل یک دکمه) نمیتواند کاملاً جایگزین تخصص انسانی، مدل تجاری درست و اجرای باکیفیت شود.
فناوری واقعی میتواند مسیرها را کوتاهتر کند، اما هیچگاه پیچیدگی، خلاقیت و صداقت لازم برای خلق یک محصول ارزشمند را حذف نمیکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
یک استارتاپ انگلیسی با شعار «ساخت اپ مثل سفارش پیتزا»، سرمایهگذاران بزرگی مانند مایکروسافت و سافتبانک را فریب داد و در نهایت ورشکسته شد. این داستان، نمونه کلاسیک فاصلهٔ عمیق بین «حرف» و «عمل» در دنیای فناوری است.
---
⚫ خط زمانی سقوط: از رویا تا ورشکستگی
· ۲۰۱۶: تأسیس شرکت توسط «ساچین دوگال» با وعدهٔ ساخت اپلیکیشن توسط یک دستیار هوش مصنوعی به نام «ناتاشا».
· ۲۰۱۹: اولین افشاگری توسط والاستریت ژورنال: هستهٔ اصلی کار، هوش مصنوعی نبود، بلکه هزاران برنامهنویس هندی بودند که کدها را بهصورت دستی مینوشتند.
· ۲۰۲۳: جذب بیش از ۴۴۵ میلیون دلار سرمایه و رسیدن به ارزش بازار ۱.۵ میلیارد دلار (وضعیت «تکشاخ»).
· فوریه ۲۰۲۵: دوگال پس از مطرحشدن اتهامات مالی در هند، از سمت خود استعفا داد.
· مه ۲۰۲۵: مسدودشدن داراییها توسط طلبکاران و در نهایت اعلام ورشکستگی.
⚙️ پشت صحنهٔ «ناتاشا»: یک نمایش هوشمندانه
شرکت بهجای ساخت یک پلتفرم هوش مصنوعی واقعی، یک شبیهسازی دقیق ایجاد کرد:
· دستیار هوش مصنوعی «ناتاشا» فقط یک واسط کاربری بود. تمام منطق و کدنویسی پشت صحنه، توسط نیروی انسانی انجام میشد.
· فریب مالی: در گزارشها، درآمد شرکت را تا ۴۰۰٪ بزرگنمایی میکردند (ادعای ۲۲۰ میلیون دلار در مقابل واقعیت ۵۵ میلیون دلار).
📉 پیامدها و هشدار: پدیدهٔ «شستشوی هوش مصنوعی» (AI Washing)
سقوط Builder.ai نماد بارز پدیدهای خطرناک به نام «AI Washing» است: استفاده از برچسب جذاب «هوش مصنوعی» برای جذب سرمایه، بدون پشتوانهٔ فناورانهٔ واقعی.
· این کار اعتماد عمومی به فناوریهای نوظهور را تخریب میکند.
· سرمایهگذاران کلانی را متضرر میکند.
· مشتریان را با محصولات ناتمام و پشتیبانینشده رها میسازد.
کارشناسان هشدار میدهند که مشابهتهای نگرانکنندهای با حباب داتکم در سالهای ۲۰۰۰ وجود دارد: ارزشگذاریهای اغراقآمیز، مدلهای تجاری ضعیف و هیاهوی رسانهای برای پوشش خلأ فناورانه.
🔮 درس اصلی: تفکر انتقادی را از دست ندهید
این ماجرا بهما یادآوری میکند که در مواجهه با وعدههای فناورانهٔ بزرگ، باید:
· دقیق و شکآمیز باشیم.
· به دنبال مدرک و اثبات عملی از ادعاها بگردیم.
· بدانیم که هیچ راهحل جادویی (مثل یک دکمه) نمیتواند کاملاً جایگزین تخصص انسانی، مدل تجاری درست و اجرای باکیفیت شود.
فناوری واقعی میتواند مسیرها را کوتاهتر کند، اما هیچگاه پیچیدگی، خلاقیت و صداقت لازم برای خلق یک محصول ارزشمند را حذف نمیکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
پیشبینی مقام اسرائیلی: نخستین جنگ سایبری تمامعیار به زودی در خاورمیانه رخ میدهد!
🔸جهان بهسوی «نخستین جنگ مبتنی بر سایبر» پیش میرود؛ جنگی که در آن حتی یک گلوله هم شلیک نمیشود.
این یک سناریوی تخیلی نیست، بلکه مسیری کاملا واقعی است؛ محاصره دیجیتال را تصور کنید: نیروگاهها خاموش میشوند، ارتباطات قطع میشود، حملونقل فلج میشود و منابع آب آلوده میشود.
منبع: بلومبرگ
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
🔸جهان بهسوی «نخستین جنگ مبتنی بر سایبر» پیش میرود؛ جنگی که در آن حتی یک گلوله هم شلیک نمیشود.
این یک سناریوی تخیلی نیست، بلکه مسیری کاملا واقعی است؛ محاصره دیجیتال را تصور کنید: نیروگاهها خاموش میشوند، ارتباطات قطع میشود، حملونقل فلج میشود و منابع آب آلوده میشود.
منبع: بلومبرگ
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آسیب پذیری مدیریت اتصال دسترسی از راه دور ویندوز امکان اجرای که دلخواه را فراهم می کند
یک مسئله امنیتی حیاتی مربوط به مدیر اتصال دسترسی از راه دور ويندوز (Ras Man) که به مهاجمان محلی اجازه می دهد که دلخواه را با دسترسی سیستم اجرا کنند. در حین بررسی 59230-2025-CVE، آسیب پذیری ای که مایکروسافت در به روزرسانی های امنیتی اکتبر ۲۰۲۵ به آن پرداخت.
یک زنجیره بهره برداری پیچیده که برای عملکرد مؤثر به یک نقص ثانویه و ناشناخته در روز صفر متکی است. آسیب پذیری اصلی 2025-59230-CVE، بر نحوه مدیریت نقاط پایانی RPC توسط سرویسRasan متمرکز است
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
یک مسئله امنیتی حیاتی مربوط به مدیر اتصال دسترسی از راه دور ويندوز (Ras Man) که به مهاجمان محلی اجازه می دهد که دلخواه را با دسترسی سیستم اجرا کنند. در حین بررسی 59230-2025-CVE، آسیب پذیری ای که مایکروسافت در به روزرسانی های امنیتی اکتبر ۲۰۲۵ به آن پرداخت.
یک زنجیره بهره برداری پیچیده که برای عملکرد مؤثر به یک نقص ثانویه و ناشناخته در روز صفر متکی است. آسیب پذیری اصلی 2025-59230-CVE، بر نحوه مدیریت نقاط پایانی RPC توسط سرویسRasan متمرکز است
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آسیب پذیری روزصفر سيسكو AsyncOS به طور گسترده برای اجرای دستورات سطح سیستم استفاده شده
یک کمپین فعال که از آسیب پذیری روز صفر در نرم افزار Cisco Asynco بهره برداری می کند و هدفش Secure Email Gateway که قبلا Email Security Appliance یا ESA نام داشت و Secure Email and Web Manager (که قبلا Content Security
کنند.
Management Appliance یا SMA نام داشت را هدف قرار می دهد.
این حمله که از اواخر نوامبر ۲۰۲۵ شناسایی شده و در ۱۰ دسامبر به طور عمومی اعلام شد به مهاجمان اجازه می دهد دستورات سطح سیستم را اجرا کرده و یک در پشتی پایتون پایدار به نام «AquaShell» را نصب
تالوس این عملیات را با اطمینان نسبی به 9686-UAT، یک عامل تهدید پایدار پیشرفته (APT) وابسته به چین نسبت می دهد. همپوشانی در تاکتیک ها تکنیک ها رویه ها (TTP) ابزارها و زیرساخت ها 9686-AT را به گروه هایی مانند APT41 و UNC5174 متصل می کند
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
یک کمپین فعال که از آسیب پذیری روز صفر در نرم افزار Cisco Asynco بهره برداری می کند و هدفش Secure Email Gateway که قبلا Email Security Appliance یا ESA نام داشت و Secure Email and Web Manager (که قبلا Content Security
کنند.
Management Appliance یا SMA نام داشت را هدف قرار می دهد.
این حمله که از اواخر نوامبر ۲۰۲۵ شناسایی شده و در ۱۰ دسامبر به طور عمومی اعلام شد به مهاجمان اجازه می دهد دستورات سطح سیستم را اجرا کرده و یک در پشتی پایتون پایدار به نام «AquaShell» را نصب
تالوس این عملیات را با اطمینان نسبی به 9686-UAT، یک عامل تهدید پایدار پیشرفته (APT) وابسته به چین نسبت می دهد. همپوشانی در تاکتیک ها تکنیک ها رویه ها (TTP) ابزارها و زیرساخت ها 9686-AT را به گروه هایی مانند APT41 و UNC5174 متصل می کند
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
آسیبپذیری ماژول Endpoint Manager در رابط وب مدیریت سیستمهای تلفن IP FreePBX به دلیل نقصهایی در مکانیزم احراز هویت ایجاد شده است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند، اجازه دسترسی غیرمجاز به سیستم را بدهد.
CVE-2025-66039
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ماژول User Manager برای سازماندهی احراز هویت جهت دسترسی به نرمافزار آسیبپذیر؛
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن ترافیک شبکه؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با تغییر مکانیزم احراز هویت؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.
استفاده از توصیههای تولیدکننده:
بهروزرسانی نرمافزار به نسخه 16.0.44 و بالاتر؛
بهروزرسانی نرمافزار به نسخه 17.0.23 و بالاتر؛
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
CVE-2025-66039
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ماژول User Manager برای سازماندهی احراز هویت جهت دسترسی به نرمافزار آسیبپذیر؛
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن ترافیک شبکه؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به نرمافزار آسیبپذیر؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با تغییر مکانیزم احراز هویت؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.
استفاده از توصیههای تولیدکننده:
بهروزرسانی نرمافزار به نسخه 16.0.44 و بالاتر؛
بهروزرسانی نرمافزار به نسخه 17.0.23 و بالاتر؛
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
GitHub
Authenticated Activation of Webserver Authentication Method in Advanced Settings Allows Subsequent Unauthenticated Logins
### Summary
Unauthenticated Logins to Administrator Control Panel via Forged Basic Auth Header
### Denoscription
An authentication bypass vulnerability exists in the latest FreePBX versions ...
Unauthenticated Logins to Administrator Control Panel via Forged Basic Auth Header
### Denoscription
An authentication bypass vulnerability exists in the latest FreePBX versions ...
آسیبپذیری در سیستم مدیریت زیرساخت فناوری اطلاعات HPE OneView به دلیل مدیریت نادرست تولید کد رخ داده است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند اجازه دهد کد دلخواه خود را اجرا کند.
BDU:2025-16117
CVE-2025-37164
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر با استفاده از طرح دسترسی بر اساس «فهرستهای سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US#vulnerability-summary-1
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
BDU:2025-16117
CVE-2025-37164
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر با استفاده از طرح دسترسی بر اساس «فهرستهای سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US#vulnerability-summary-1
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری کنسول مدیریت نرمافزار فایروالهای SonicWall SMA1000 به دلیل نقص در مکانیزم تفکیک دسترسی ایجاد شده است. بهرهبرداری از این آسیبپذیری میتواند به نفوذگری که به صورت از راه دور عمل میکند، اجازه افزایش امتیازات خود را بدهد.
BDU:2025-16145
CVE-2025-40602
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019/dr_kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
BDU:2025-16145
CVE-2025-40602
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019/dr_kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
آسیبپذیری پلتفرم اتوماسیون گردش کار N8n مربوط به کنترل ناکافی منابع با مدیریت پویا است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دسترسی غیرمجاز به پلتفرم را بدهد.
BDU:2025-16183
CVE-2025-68613
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به پلتفرم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
بهروزرسانی نرمافزار به نسخههای 1.120.4، 1.121.1، 1.122.0:
https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
BDU:2025-16183
CVE-2025-68613
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیبپذیر؛
- بخشبندی شبکه برای محدود کردن دسترسی به پلتفرم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- غیرفعالسازی/حذف حسابهای کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
بهروزرسانی نرمافزار به نسخههای 1.120.4، 1.121.1، 1.122.0:
https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری تابع SafeUrlFilter() در نرمافزار روترهای Tenda WH450 مربوط به خروج عملیات از محدوده بافر در حافظه است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد کد دلخواه اجرا کند و باعث ایجاد اختلال در سرویس شود
CVE-2025-15010
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
منابع اطلاعات:
https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md#reproduce/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-15010
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
منابع اطلاعات:
https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md#reproduce/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
GitHub
BinaryAudit/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md at main · z472421519/BinaryAudit
Contribute to z472421519/BinaryAudit development by creating an account on GitHub.
آسیبپذیری در پیادهسازی پروتکل Zlib در سیستم مدیریت پایگاه داده MongoDB مربوط به پردازش نادرست ناسازگاری پارامتر طول است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد اطلاعات محافظتشده را افشا کند.
BDU:2025-16225
CVE-2025-14847
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- محدود کردن امکان استفاده از پروتکل Zlib؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://jira.mongodb.org/browse/SERVER-115508
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
BDU:2025-16225
CVE-2025-14847
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- محدود کردن امکان استفاده از پروتکل Zlib؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرمافزار آسیبپذیر؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- محدود کردن دسترسی به نرمافزار آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیههای تولیدکننده:
https://jira.mongodb.org/browse/SERVER-115508
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آسیبپذیری تابع sub_F934() در نرمافزار میکروکنترلر آداپتور Wi-Fi مدل TRENDnet TEW-800MB به دلیل عدم انجام اقدامات پاکسازی دادهها در سطح کنترلکننده است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواستهای HTTP بهطور خاص ساخته شده، دستورات دلخواه را اجرا کند.
CVE-2025-15137
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
منابع اطلاعات:
https://pentagonal-time-3a7.notion.site/TRENDnet-TEW-800MB-NTP-2c7e5dd4c5a580f999adcaff2c31978b/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-15137
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
منابع اطلاعات:
https://pentagonal-time-3a7.notion.site/TRENDnet-TEW-800MB-NTP-2c7e5dd4c5a580f999adcaff2c31978b/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Notion
The AI workspace that works for you. | Notion
A tool that connects everyday work into one space. It gives you and your teams AI tools—search, writing, note-taking—inside an all-in-one, flexible workspace.
باتنت جدید اینترنت اشیاء مبتنی بر Mirai، که نام Aisuru را به خود اختصاص داده است، برای راهاندازی چندین حمله قدرتمند و گسترده DDoS با سرعت بیش از ۲۰ ترابیت بر ثانیه یا ۴ میلیارد بسته در ثانیه استفاده شده است که پیشتر توسط Cloudflare گزارش شده بود.
بر اساس دادههای Netscout، Aisuru به کلاس جدیدی از بدافزارها تعلق دارد که قادر به انجام حملات DDoS است و به عنوان TurboMirai شناخته میشود.
اپراتورها این بدافزار را در سرویسهایی برای انجام حملات DDoS سفارشی به کار میگیرند و در عین حال از هدف قرار دادن اهداف دولتی، انتظامی، نظامی و سایر اهداف پرخطر خودداری میکنند.
مطالعات نشان میدهد که Aisuru عمدتاً به پلتفرمهای بازی آنلاین حمله کرده است.
مشابه سایر باتنتهای کلاس TurboMirai، Aisuru قادر است ترافیک حملات را در هر گره باتنت افزایش دهد و دارای قابلیتهای گستردهای است که به اپراتورها اجازه میدهد از آن برای جعل اطلاعات کاربری، استخراج داده با استفاده از هوش مصنوعی، فیشینگ و ارسال هرزنامه استفاده کنند.
این باتنت از پروکسیهای مقیم برای انعکاس حملات HTTPS-DDoS بهره میبرد.
گرههای آن عمدتاً شامل روترها، سیستمهای نظارت تصویری و سایر دستگاههای آسیبپذیر هستند که تحت نسخههای مشابه فریمور OEM کار میکنند.
اپراتورها به طور مداوم به دنبال روشهای جدید بهرهبرداری از آسیبپذیریها برای گسترش باتنت هستند.
باتنت قابلیت ارسال انبوه درخواستهای UDP، TCP، GRE و DNS را به صورت مستقیم دارد، مشابه باتنت اصلی Mirai.
Aisuru قادر است حملات با پهنای باند بالا (بستههای بزرگ، تعداد بیت زیاد در ثانیه) و همچنین حملات با توان عملیاتی بالا (بستههای کوچک، تعداد زیاد بسته در ثانیه) را اجرا کند و همچنین میتواند با حملات خروجی و متقاطع عملکرد سرویسها را مختل کند.
Netscout اشاره میکند که باتنتهای اینترنت اشیاء کلاس Aisuru و TurboMirai عمدتاً حملات DDoS تکبرداری را به صورت مستقیم اجرا میکنند و گاهی حملات چندبرداری را با سایر سرویسهای زیرزمینی DDoS ترکیب میکنند.
حملات شامل سیل UDP با بستههای متوسط، بزرگ یا کوچک، سیل TCP با بستههای کوچک یا بزرگ و تا ۱۱۹ ترکیب مختلف پرچم TCP است.
برخی از ترافیکها بستههای HTTP قانونی را شبیهسازی میکنند، در حالی که حملات HTTPS از پروکسیهای مقیم داخلی استفاده میکنند.
محققان همچنین اشاره میکنند که ترافیک باتنت جعل نمیشود زیرا دسترسی ویژهای وجود ندارد.
علاوه بر این، باتها بخشی از شبکههای دسترسی پهنباند با مکانیزمهای تأیید آدرس مبدأ (SAV) فعال هستند.
Netscout معتقد است که این امکان ردیابی و همبستگی با اطلاعات مشترک را فراهم میکند که به متخصصان امنیتی اجازه میدهد دستگاههای آلوده را شناسایی، قرنطینه و اصلاح کنند.
حفاظت جامع نیازمند ابزارهای نظارتی در تمام مرزهای شبکه است و مهار حملات خروجی و بینشبکهای به همان اندازه مهار حملات ورودی اهمیت دارد.
سیستمهای هوشمند مقابله با حملات DDoS (IDMS)، روشهای پیشرفته زیرساخت شبکه (BCP) مانند فهرستهای کنترل دسترسی (iACL) و حذف پیشگیرانه آسیبپذیریهای CPE اهمیت ویژهای دارند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
بر اساس دادههای Netscout، Aisuru به کلاس جدیدی از بدافزارها تعلق دارد که قادر به انجام حملات DDoS است و به عنوان TurboMirai شناخته میشود.
اپراتورها این بدافزار را در سرویسهایی برای انجام حملات DDoS سفارشی به کار میگیرند و در عین حال از هدف قرار دادن اهداف دولتی، انتظامی، نظامی و سایر اهداف پرخطر خودداری میکنند.
مطالعات نشان میدهد که Aisuru عمدتاً به پلتفرمهای بازی آنلاین حمله کرده است.
مشابه سایر باتنتهای کلاس TurboMirai، Aisuru قادر است ترافیک حملات را در هر گره باتنت افزایش دهد و دارای قابلیتهای گستردهای است که به اپراتورها اجازه میدهد از آن برای جعل اطلاعات کاربری، استخراج داده با استفاده از هوش مصنوعی، فیشینگ و ارسال هرزنامه استفاده کنند.
این باتنت از پروکسیهای مقیم برای انعکاس حملات HTTPS-DDoS بهره میبرد.
گرههای آن عمدتاً شامل روترها، سیستمهای نظارت تصویری و سایر دستگاههای آسیبپذیر هستند که تحت نسخههای مشابه فریمور OEM کار میکنند.
اپراتورها به طور مداوم به دنبال روشهای جدید بهرهبرداری از آسیبپذیریها برای گسترش باتنت هستند.
باتنت قابلیت ارسال انبوه درخواستهای UDP، TCP، GRE و DNS را به صورت مستقیم دارد، مشابه باتنت اصلی Mirai.
Aisuru قادر است حملات با پهنای باند بالا (بستههای بزرگ، تعداد بیت زیاد در ثانیه) و همچنین حملات با توان عملیاتی بالا (بستههای کوچک، تعداد زیاد بسته در ثانیه) را اجرا کند و همچنین میتواند با حملات خروجی و متقاطع عملکرد سرویسها را مختل کند.
Netscout اشاره میکند که باتنتهای اینترنت اشیاء کلاس Aisuru و TurboMirai عمدتاً حملات DDoS تکبرداری را به صورت مستقیم اجرا میکنند و گاهی حملات چندبرداری را با سایر سرویسهای زیرزمینی DDoS ترکیب میکنند.
حملات شامل سیل UDP با بستههای متوسط، بزرگ یا کوچک، سیل TCP با بستههای کوچک یا بزرگ و تا ۱۱۹ ترکیب مختلف پرچم TCP است.
برخی از ترافیکها بستههای HTTP قانونی را شبیهسازی میکنند، در حالی که حملات HTTPS از پروکسیهای مقیم داخلی استفاده میکنند.
محققان همچنین اشاره میکنند که ترافیک باتنت جعل نمیشود زیرا دسترسی ویژهای وجود ندارد.
علاوه بر این، باتها بخشی از شبکههای دسترسی پهنباند با مکانیزمهای تأیید آدرس مبدأ (SAV) فعال هستند.
Netscout معتقد است که این امکان ردیابی و همبستگی با اطلاعات مشترک را فراهم میکند که به متخصصان امنیتی اجازه میدهد دستگاههای آلوده را شناسایی، قرنطینه و اصلاح کنند.
حفاظت جامع نیازمند ابزارهای نظارتی در تمام مرزهای شبکه است و مهار حملات خروجی و بینشبکهای به همان اندازه مهار حملات ورودی اهمیت دارد.
سیستمهای هوشمند مقابله با حملات DDoS (IDMS)، روشهای پیشرفته زیرساخت شبکه (BCP) مانند فهرستهای کنترل دسترسی (iACL) و حذف پیشگیرانه آسیبپذیریهای CPE اهمیت ویژهای دارند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
مرکز امنیت سایبری کانادا از افزایش فعالیتهای هکری که سیستمهای کنترل صنعتی (ICS) قابل دسترسی از طریق اینترنت را هدف قرار دادهاند، گزارش میدهد.
متخصصان اشاره میکنند که هکرها بارها سیستمهای زیرساختی حیاتی در سراسر کشور را هک کردهاند که به آنها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر میتوانست منجر به ایجاد موقعیتهای خطرناک شود.
به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره میکند که در آن فعالان هکری در عملکرد سیستمهای حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کردهاند.
این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شدهاند.
در نتیجه حمله به ایستگاه آب، شاخصهای فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.
مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقصهایی در عملکرد سطحسنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.
مورد سوم در خشککن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم میشد، که اگر مشکل به موقع برطرف نمیشد، میتوانست به وضعیت بسیار خطرناکی منجر شود.
با این حال، مقامات کانادا معتقدند که همه این حملات برنامهریزی شده یا سازمانیافته پیچیده نبودهاند، بلکه بیشتر ماهیتی فرصتطلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانهها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بودهاند.
اگرچه هیچ یک از سازمانهای هدفگرفته شده در کانادا دچار پیامدهای فاجعهبار نشدند، این حملات نشاندهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاههای صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
متخصصان اشاره میکنند که هکرها بارها سیستمهای زیرساختی حیاتی در سراسر کشور را هک کردهاند که به آنها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر میتوانست منجر به ایجاد موقعیتهای خطرناک شود.
به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره میکند که در آن فعالان هکری در عملکرد سیستمهای حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کردهاند.
این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شدهاند.
در نتیجه حمله به ایستگاه آب، شاخصهای فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.
مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقصهایی در عملکرد سطحسنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.
مورد سوم در خشککن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم میشد، که اگر مشکل به موقع برطرف نمیشد، میتوانست به وضعیت بسیار خطرناکی منجر شود.
با این حال، مقامات کانادا معتقدند که همه این حملات برنامهریزی شده یا سازمانیافته پیچیده نبودهاند، بلکه بیشتر ماهیتی فرصتطلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانهها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بودهاند.
اگرچه هیچ یک از سازمانهای هدفگرفته شده در کانادا دچار پیامدهای فاجعهبار نشدند، این حملات نشاندهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاههای صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
در ایالات متحده آمریکا حادثهای جنجالی جدید رخ داده است که شرکت بزرگ ملی مخابراتی Ribbon Communications را تحت تأثیر قرار داده است.
شرکت آمریکایی راهحلهای ارتباطی و شبکهای و همچنین فناوریهای اصلی برای شبکههای ارتباطی ارائه میدهد. راهحلهای آن مورد اعتماد ارائهدهندگان خدمات پیشرو، شرکتها و زیرساختهای حیاتی است.
در میان مشتریان Ribbon Communications شرکتهایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لسآنجلس دیده میشوند.
در گزارش مالی سهماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.
تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان میدهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.
در زمان ارائه گزارش سهماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.
با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپتاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتادهاند».
مشتریان آسیبدیده به طور مناسب مطلع شدهاند.
به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیتهای آن نخواهد داشت.
Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.
در پی رسواییهای اخیر پیرامون هکرهای چینی همهجا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.
به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.
اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
شرکت آمریکایی راهحلهای ارتباطی و شبکهای و همچنین فناوریهای اصلی برای شبکههای ارتباطی ارائه میدهد. راهحلهای آن مورد اعتماد ارائهدهندگان خدمات پیشرو، شرکتها و زیرساختهای حیاتی است.
در میان مشتریان Ribbon Communications شرکتهایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لسآنجلس دیده میشوند.
در گزارش مالی سهماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.
تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان میدهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.
در زمان ارائه گزارش سهماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.
با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپتاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتادهاند».
مشتریان آسیبدیده به طور مناسب مطلع شدهاند.
به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیتهای آن نخواهد داشت.
Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.
در پی رسواییهای اخیر پیرامون هکرهای چینی همهجا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.
به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.
اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
دویچه وله، یک رسانه بینالمللی که در سال ۱۹۶۰ تأسیس شد و توسط دولت آلمان تأمین مالی میشود، هک شده است.
یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش میرسد (مدرک آن نیز ارائه شده است).
به گفته فروشنده، دادههای فاش شده شامل آدرسهای ایمیل کاربر، نامهای کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش میرسد (مدرک آن نیز ارائه شده است).
به گفته فروشنده، دادههای فاش شده شامل آدرسهای ایمیل کاربر، نامهای کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
مقامات استرالیایی نسبت به یک کمپین APT فعال که دستگاههای Cisco IOS XE وصله نشده را هدف قرار میدهد، هشدار میدهند و هدف آن آلوده کردن روترها با پوسته وب BadCandy مبتنی بر Lua است.
این آسیبپذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه میدهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاهها را به دست بگیرند.
سیسکو این آسیبپذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیبپذیری فعال مورد سوءاستفاده علامتگذاری شد.
دو هفته بعد، یک بهرهبرداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیبپذیری را برای نصب درهای پشتی در دستگاههای متصل به اینترنت تسهیل میکرد.
پس از نصب، BadCandy به مهاجمان از راه دور اجازه میدهد تا دستورات را با امتیازات ریشه در دستگاههای آسیبدیده اجرا کنند.
پس از راهاندازی مجدد، از دستگاهها حذف میشود. با این حال، با توجه به عدم وجود وصله در این دستگاهها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان میتوانند به راحتی آن را دوباره نصب کنند.
اداره سیگنالهای استرالیا تخمین میزند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیبپذیر بودهاند و بیش از ۱۵۰ دستگاه باقی مانده است.
در حالی که تعداد آلودگیها به طور پیوسته در حال کاهش بوده است، ASD نشانههایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.
به گفته این آژانس، مهاجمان میتوانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.
به گفته ASD، این آسیبپذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعهای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.
در حالی که این تهدید در حال حاضر فاقد یک نسبتدهی واضح است، ASD افزایش اخیر فعالیتها را به مجرمان سایبری تحت حمایت دولت نسبت میدهد.
مدیران سیستمهای Cisco IOS XE در سراسر جهان باید توصیههای کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاومسازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
این آسیبپذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه میدهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاهها را به دست بگیرند.
سیسکو این آسیبپذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیبپذیری فعال مورد سوءاستفاده علامتگذاری شد.
دو هفته بعد، یک بهرهبرداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیبپذیری را برای نصب درهای پشتی در دستگاههای متصل به اینترنت تسهیل میکرد.
پس از نصب، BadCandy به مهاجمان از راه دور اجازه میدهد تا دستورات را با امتیازات ریشه در دستگاههای آسیبدیده اجرا کنند.
پس از راهاندازی مجدد، از دستگاهها حذف میشود. با این حال، با توجه به عدم وجود وصله در این دستگاهها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان میتوانند به راحتی آن را دوباره نصب کنند.
اداره سیگنالهای استرالیا تخمین میزند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیبپذیر بودهاند و بیش از ۱۵۰ دستگاه باقی مانده است.
در حالی که تعداد آلودگیها به طور پیوسته در حال کاهش بوده است، ASD نشانههایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.
به گفته این آژانس، مهاجمان میتوانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.
به گفته ASD، این آسیبپذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعهای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.
در حالی که این تهدید در حال حاضر فاقد یک نسبتدهی واضح است، ASD افزایش اخیر فعالیتها را به مجرمان سایبری تحت حمایت دولت نسبت میدهد.
مدیران سیستمهای Cisco IOS XE در سراسر جهان باید توصیههای کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاومسازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
محققان Socket Security بستههای مخرب NuGet را که در سالهای ۲۰۲۳ و ۲۰۲۴ دانلود شده بودند، کشف کردند که برای اجرای کد مخرب پس از تاریخهای مشخص در سالهای ۲۰۲۷ و ۲۰۲۸ طراحی شدهاند و قادر به ایجاد حمله DoS به پایگاههای داده و سیستمهای ICS هستند.
مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.
این بستهها در مجموع ۹۴۸۸ بار دانلود شدهاند.
این بستهها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.
طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار میکنند و باعث میشوند توسعهدهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.
مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار میکردند.
اکنون همه آنها از NuGet حذف شدهاند.
Socket Security همچنین خاطرنشان میکند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار میدهد - یک پیادهسازی .NET برای تعامل با PLC های Siemens S7.
گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد میکند و این واقعیت را پنهان میکند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق میکند.
متدهای افزونه به توسعهدهندگان اجازه میدهند بدون تغییر کد منبع، متدهای جدیدی را به انواع دادههای موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده میکنند.
هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام میدهد، این متدهای افزونه به طور خودکار اجرا میشوند و تاریخ فعلی را با تاریخهای شروع (که در اکثر بستهها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شدهاند) مقایسه میکنند.
هشت بسته سیستمهای پایگاه داده را هدف قرار میدهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه میدهند.
در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال میشود و تا 6 ژوئن 2028 فعال میماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف میشود.
این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار میدهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن دادههای جدید توسط PLC میشود و عملاً دستگاه را از بین میبرد.
قرار است پیادهسازیهای خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بستهها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راهاندازی شوند.
این رویکرد مرحلهای به مهاجم زمان بیشتری میدهد تا قبل از فعال شدن بدافزار با تأخیر فعالسازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستمهای ICS را مختل کند.
اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان میدهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.
توسعهدهندگانی که در سال ۲۰۲۴ بستهها را نصب کردهاند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر میشود، به پروژهها یا شرکتهای دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابیهای سختافزاری پنهان میکند.
این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیبدیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک میکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.
این بستهها در مجموع ۹۴۸۸ بار دانلود شدهاند.
این بستهها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.
طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار میکنند و باعث میشوند توسعهدهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.
مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار میکردند.
اکنون همه آنها از NuGet حذف شدهاند.
Socket Security همچنین خاطرنشان میکند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار میدهد - یک پیادهسازی .NET برای تعامل با PLC های Siemens S7.
گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد میکند و این واقعیت را پنهان میکند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق میکند.
متدهای افزونه به توسعهدهندگان اجازه میدهند بدون تغییر کد منبع، متدهای جدیدی را به انواع دادههای موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده میکنند.
هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام میدهد، این متدهای افزونه به طور خودکار اجرا میشوند و تاریخ فعلی را با تاریخهای شروع (که در اکثر بستهها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شدهاند) مقایسه میکنند.
هشت بسته سیستمهای پایگاه داده را هدف قرار میدهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه میدهند.
در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال میشود و تا 6 ژوئن 2028 فعال میماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف میشود.
این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار میدهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن دادههای جدید توسط PLC میشود و عملاً دستگاه را از بین میبرد.
قرار است پیادهسازیهای خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بستهها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راهاندازی شوند.
این رویکرد مرحلهای به مهاجم زمان بیشتری میدهد تا قبل از فعال شدن بدافزار با تأخیر فعالسازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستمهای ICS را مختل کند.
اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان میدهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.
توسعهدهندگانی که در سال ۲۰۲۴ بستهها را نصب کردهاند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر میشود، به پروژهها یا شرکتهای دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابیهای سختافزاری پنهان میکند.
این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیبدیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک میکند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://news.1rj.ru/str/ics_cert
گروه تلگرام :
https://news.1rj.ru/str/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir