هشدار در مورد کمین برخی از باجافزارها برای انتشار در ابتدای سال جدید میلادی
رصد فضای مجازی و مهندسی معکوس بر روی نمونههای باجافزاری مشاهده شده در چند هفته گذشته حاکی از آن است که رفتاری غیر معمول از سوی برخی از این نمونهها مشاهده میشود. این رفتار غیر معمول حاکی از آن است که برخلاف باجافزاهای متداول که به محض آلوده کردن قربانی و تلاش برای انتشار، اقدام به رمزگذاری و باجخواهی مینمایند، برخی باجافزاهای جدید زمان حمله را تا ابتدای سال جدید میلادی به تعویق میاندازند. معمولا اقدامات موثر در سطح جهان علیه حملات باجافزاری پس از ایجاد خسارت آغاز میشود و این زمانبندی خاص که مقارن با تعطیلی مراجع جهانی میباشد، ممکن است سببساز تاخیر در همکاری بینالمللی فرآیندهای تحلیلی و امدادی شود. لذا به تمامی راهبران فناوری اطلاعات پیشنهاد میشود که در این بازه زمانی، اقدامات زیر را به صورت پیشگیرانه مد نظر قرار دهند:
1- تهیه نسخ پشتیبان از سامانهها و اطلاعات به ویژه سرورهای پایگاه داده با دقت مضاعف و همچنین بررسی درستی پشتیبانهای تهیه شده و نگهداری آفلاین نسخ پشتیبان.
2- به روزرسانی نرمافزارها و تجهیزات دفاعی (از قبیل آنتی ویروس و فایروال) و بررسی صحت عملکرد آنها در شبکه.
۳- هشیاری، حضور و بررسی موارد مشکوک و همچنین توجه مضاعف به هشدارهای صادر شده در این بازه.
۴- توجه ویژه به پیوست پیامهای الکترونیکی و آگاهی رسانی به کاربران در خصوص عدم دریافت پیوستهای مشکوک خصوصا انواع پیوستهای دارای قابلیت انتقال کدهای اجرایی از قبیل فایلهای آفیس، .zip ، .js ، wsf و امثال آن.
۵- پرهیز از استفاده از پروتکلهای دسترسی از راه دور به ویژه RDP و یا محدود سازی دسترسی به آن.
۶- بررسی دقیق موارد ثبت شده در لاگهای سیستمعامل و تجهیزات امنیتی به خصوص توجه ویژه به رخدادهای تلاش ناموفق ورود (login) و رخدادهای ورود در ساعتهای غیر معمول.
۷- حصول اطمینان از اختصاص دادن رمزهای ورود با در نظر گرفتن پیچیدگی کافی.
رصد فضای مجازی و مهندسی معکوس بر روی نمونههای باجافزاری مشاهده شده در چند هفته گذشته حاکی از آن است که رفتاری غیر معمول از سوی برخی از این نمونهها مشاهده میشود. این رفتار غیر معمول حاکی از آن است که برخلاف باجافزاهای متداول که به محض آلوده کردن قربانی و تلاش برای انتشار، اقدام به رمزگذاری و باجخواهی مینمایند، برخی باجافزاهای جدید زمان حمله را تا ابتدای سال جدید میلادی به تعویق میاندازند. معمولا اقدامات موثر در سطح جهان علیه حملات باجافزاری پس از ایجاد خسارت آغاز میشود و این زمانبندی خاص که مقارن با تعطیلی مراجع جهانی میباشد، ممکن است سببساز تاخیر در همکاری بینالمللی فرآیندهای تحلیلی و امدادی شود. لذا به تمامی راهبران فناوری اطلاعات پیشنهاد میشود که در این بازه زمانی، اقدامات زیر را به صورت پیشگیرانه مد نظر قرار دهند:
1- تهیه نسخ پشتیبان از سامانهها و اطلاعات به ویژه سرورهای پایگاه داده با دقت مضاعف و همچنین بررسی درستی پشتیبانهای تهیه شده و نگهداری آفلاین نسخ پشتیبان.
2- به روزرسانی نرمافزارها و تجهیزات دفاعی (از قبیل آنتی ویروس و فایروال) و بررسی صحت عملکرد آنها در شبکه.
۳- هشیاری، حضور و بررسی موارد مشکوک و همچنین توجه مضاعف به هشدارهای صادر شده در این بازه.
۴- توجه ویژه به پیوست پیامهای الکترونیکی و آگاهی رسانی به کاربران در خصوص عدم دریافت پیوستهای مشکوک خصوصا انواع پیوستهای دارای قابلیت انتقال کدهای اجرایی از قبیل فایلهای آفیس، .zip ، .js ، wsf و امثال آن.
۵- پرهیز از استفاده از پروتکلهای دسترسی از راه دور به ویژه RDP و یا محدود سازی دسترسی به آن.
۶- بررسی دقیق موارد ثبت شده در لاگهای سیستمعامل و تجهیزات امنیتی به خصوص توجه ویژه به رخدادهای تلاش ناموفق ورود (login) و رخدادهای ورود در ساعتهای غیر معمول.
۷- حصول اطمینان از اختصاص دادن رمزهای ورود با در نظر گرفتن پیچیدگی کافی.
آسیب پذیری اجرای کد از راه دور در وب سرورهای کوچک GoAhead
به تازگی در وب سرورهای GoAhead از شرکت Embedthis آسیب پذیریای کشف شده است که این امکان را به فرد مهاجم میدهد که از راه دور کد اجرایی خود را در وب سرور قربانی اجرا کند. وب سرور GoAhead نوع خاصی از وب سرورهای کوچک و قابل تعبیه در سامانهها و رایانههای کوچک میباشد که در تجهیزاتی مانند روترها، چاپگرها و دیگر تجهیزات شبکه بکار می رود.
این آسیبپذیری در تمامی وب سرورهای GoAhead که بروزرسانی نسخه قبلتر از 3.6.5 را دارند، و همچنین در صورت فعال بودن قابلیت CGI (که امکان اجرای برنامه اجرایی را از طریف پایانه وب را در وب سرور می دهند) در تجهیزات شرکت های بزرگ و معتبری مانند Comcast، Oracle، D-link، ZTE ، Siemens و Canon وجود دارد.
بررسی های اولیه نشان می دهد مودم ها و تجهیزات بی سیم شرکت Tendaو مودم های TD-LTE مدل AirMaster 3100 و شمار دیگری از انواع مودم های ADSL و دوربین های نظارت تصویری در کشور دارای این آسیب پذیری می باشند. در این راستا مرکز ماهر اطلاع رسانی به IPهای آسیب پذیر در کشور را آغاز نموده است.
جهت اطلاعات بیشتر به لینک ذیل مراجعه فرمایید.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
به تازگی در وب سرورهای GoAhead از شرکت Embedthis آسیب پذیریای کشف شده است که این امکان را به فرد مهاجم میدهد که از راه دور کد اجرایی خود را در وب سرور قربانی اجرا کند. وب سرور GoAhead نوع خاصی از وب سرورهای کوچک و قابل تعبیه در سامانهها و رایانههای کوچک میباشد که در تجهیزاتی مانند روترها، چاپگرها و دیگر تجهیزات شبکه بکار می رود.
این آسیبپذیری در تمامی وب سرورهای GoAhead که بروزرسانی نسخه قبلتر از 3.6.5 را دارند، و همچنین در صورت فعال بودن قابلیت CGI (که امکان اجرای برنامه اجرایی را از طریف پایانه وب را در وب سرور می دهند) در تجهیزات شرکت های بزرگ و معتبری مانند Comcast، Oracle، D-link، ZTE ، Siemens و Canon وجود دارد.
بررسی های اولیه نشان می دهد مودم ها و تجهیزات بی سیم شرکت Tendaو مودم های TD-LTE مدل AirMaster 3100 و شمار دیگری از انواع مودم های ADSL و دوربین های نظارت تصویری در کشور دارای این آسیب پذیری می باشند. در این راستا مرکز ماهر اطلاع رسانی به IPهای آسیب پذیر در کشور را آغاز نموده است.
جهت اطلاعات بیشتر به لینک ذیل مراجعه فرمایید.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
cve.mitre.org
CVE -
CVE-2017-17562
CVE-2017-17562
Common Vulnerabilities and Exposures (CVE®) is a list of common identifiers for publicly known cybersecurity vulnerabilities. Assigned by CVE Numbering Authorities (CNAs) from around the world, use of CVE Entries ensures confidence among parties when used…
مرکز ماهر
وردپرس.png
شناسایی backdoor در چند پلاگین WordPress
در برخی از پلاگین های WordPress، به تازگی backdoor هایی شناسایی شده است. تیم امنیت WordPress نسبت به حذف آن از سایت رسمی خود تا انتشار نسخه جدید اقدام نموده است. در جدول ذیل اطلاعات مربوط به این پلاگین ها آمده است.
در صورت استفاده از این پلاگین ها در وب سایت خود نسبت به حذف آن اقدام کنید.
https://wordpress.org/plugins/duplicate-page-and-post
https://wordpress.org/plugins/nofollow-all-external-links/
https://wordpress.org/plugins/wp-noexternallinks/
در برخی از پلاگین های WordPress، به تازگی backdoor هایی شناسایی شده است. تیم امنیت WordPress نسبت به حذف آن از سایت رسمی خود تا انتشار نسخه جدید اقدام نموده است. در جدول ذیل اطلاعات مربوط به این پلاگین ها آمده است.
در صورت استفاده از این پلاگین ها در وب سایت خود نسبت به حذف آن اقدام کنید.
https://wordpress.org/plugins/duplicate-page-and-post
https://wordpress.org/plugins/nofollow-all-external-links/
https://wordpress.org/plugins/wp-noexternallinks/
WordPress.org
Duplicate Page and Post
Duplicate Page and Post does exactly what it says it will. No need to build styling and layout from scratch, with this plugin you can copy any page or …
هشدار مهم مرکز ماهر درخصوص سوءاستفاده برخی وبسایتها از توان پردازشی رایانه بازدیدکنندگان استحصال بیتکوین
مشاهدات اخیر نشان داده است که شماری از وبسایتهای داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی مینمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک وبسایت مشخص نمایان میگردد. البته در این موارد، با بسته شدن صفحه وبسایت در مرورگر اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری بر روی سیستم عامل صورت نمیپذیرد.این اقدام با قرارگیری اسکریپتهای جاوااسکریپت استحصال بیتکوین در صفحات وبسایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت میپذیرد.
لازم است مدیران محترم وبسایتهای داخلی توجه داشته باشند مسئولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین وبسایتهایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند.
مشاهدات اخیر نشان داده است که شماری از وبسایتهای داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی مینمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک وبسایت مشخص نمایان میگردد. البته در این موارد، با بسته شدن صفحه وبسایت در مرورگر اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری بر روی سیستم عامل صورت نمیپذیرد.این اقدام با قرارگیری اسکریپتهای جاوااسکریپت استحصال بیتکوین در صفحات وبسایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت میپذیرد.
لازم است مدیران محترم وبسایتهای داخلی توجه داشته باشند مسئولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین وبسایتهایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند.
در روزهای گذشته یک نسخه جعلی از اپلیکیشن اندرویدی تلگرام در گروههای تلگرامی منتشر شده است. انتشار این اپلیکیشن از طریق لینک به دو وبسایت hxxp://telgram.news و hxxp://telgram.blog صورت می پذیرد. درصورت نصب این اپلیکیشن، لینک دانلود آن برای فهرست مخاطبین نیز از طریق تلگرام ارسال میگردد. در صورت مشاهده پیامهای مشابه از نصب این اپلیکیشن خودداری کنید.
جزییات سایر اقدامات این اپلیکیشن در دست بررسی است.
@ircert
جزییات سایر اقدامات این اپلیکیشن در دست بررسی است.
@ircert
هشتمین دوره مسابقه بین المللی فتح پرچم مرکز آپا دانشگاه صنعتی شریف (SharifCTF) با حمایت مرکز ماهر به صورت آنلاین از فردا جمعه 13 بهمن ساعت 10 صبح تا روز شنبه 10 شب به مدت 36 ساعت برگزار خواهد شد. رقابت در کنار برترین تیمهای بین المللی در این حوزه می تواند محک مناسبی برای تیمهای شرکت کننده ایرانی باشد.
جهت کسب اطلاعات بیشتر می توانید به وبگاه مسابقه به آدرس زیر مراجعه نمایید.
http://ctf.sharif.edu
اطلاعات مسابقه در سایت ctftime.org نیز ثبت شده است و لذا در رتبه بندی بین المللی تیمها نیز موثر است.
@ircert
جهت کسب اطلاعات بیشتر می توانید به وبگاه مسابقه به آدرس زیر مراجعه نمایید.
http://ctf.sharif.edu
اطلاعات مسابقه در سایت ctftime.org نیز ثبت شده است و لذا در رتبه بندی بین المللی تیمها نیز موثر است.
@ircert
سیدهادی سجادی معاون امنیت سازمان فناوری اطلاعات ایران در گفتگو با خبرنگار مهر، از ابلاغ دستورالعمل دولت به دستگاه های اجرایی برای استفاده از آنتی ویروس بومی «پادویش» خبر داد و گفت: علاوه بر موضوعات مربوط به امنیت سیستم های رایانه ای دستگاه های دولتی، این تصمیم در راستای حمایت از محصول بومی و تحقق اقتصاد مقاومتی اتخاذ شده است.
@ircert
https://goo.gl/11nBfF
@ircert
https://goo.gl/11nBfF
خبرگزاری مهر | اخبار ایران و جهان | Mehr News Agency
اختصاصی مهر؛ دستگاه های اجرایی ملزم به استفاده از آنتی ویروس بومی شدند
با ابلاغ دستورالعمل هیات دولت به دستگاه های اجرایی، از این پس به منظور حفظ امنیت در سیستم های کامپیوتری، دستگاهها و سازمانهای دولتی ملزم هستند که از آنتی ویروس بومی استفاده کنند.
هشتمین دوره مسابقه بینالمللی فتح پرچم شریف (SharifCTF) از مجموعه رقابتهای نفوذ و دفاع در فضای مجازی با حمایت مرکز ماهر سازمان فناوری اطلاعات ایران در روزهای ۱۳ و ۱۴ بهمن توسط مرکز آپا دانشگاه صنعتی شریف برگزار گردید. تیمهای شرکتکننده در این مسابقه، در طی ۴۰ ساعت با حل ۳۲ چالش امنیتی در زمینههای نفوذگری در وب، رمزنگاری، مهندسی معکوس، فارنزیک، اکسپلویت و مسائل ترکیبی به محکزنی توانمندیهای خود در زمینه نفوذگری و تحلیل مسائل و آسیبپذیریهای امنیتی پرداختند.
در این دوره از رقابتها، ۱۲۶۶ تیم از بیش از ۹۰ کشور در مسابقه فتح پرچم شرکت نمودند که در این میان ایران با ۲۴۳ تیم، آمریکا با ۱۶۸ تیم، هند با ۱۱۰ تیم و روسیه با ۷۲ تیم، بیشترین تیمهای شرکت کننده در این دوره را به خود اختصاص داده بودند. تیمهای برتر این دوره از مسابقات فتح پرچم به ترتیب از کشور لهستان، اسپانیا و اوکراین بودهاند و برترین تیم ایرانی نیز توانست رتبه چهارم را در این دوره به خود اختصاص دهد.
@ircert
https://www.certcc.ir/news/entry/12335
در این دوره از رقابتها، ۱۲۶۶ تیم از بیش از ۹۰ کشور در مسابقه فتح پرچم شرکت نمودند که در این میان ایران با ۲۴۳ تیم، آمریکا با ۱۶۸ تیم، هند با ۱۱۰ تیم و روسیه با ۷۲ تیم، بیشترین تیمهای شرکت کننده در این دوره را به خود اختصاص داده بودند. تیمهای برتر این دوره از مسابقات فتح پرچم به ترتیب از کشور لهستان، اسپانیا و اوکراین بودهاند و برترین تیم ایرانی نیز توانست رتبه چهارم را در این دوره به خود اختصاص دهد.
@ircert
https://www.certcc.ir/news/entry/12335
www.certcc.ir
نتایج هشتمین دوره مسابقه بینالمللی فتح پرچم شریف در مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای
هشتمین دوره مسابقه بین‌المللی فتح پرچم شریف (SharifCTF) از مجموعه رقابت‌های نفوذ و دفاع در فضای مجازی با حمایت مرکز ماهر سازمان فناوری اطلاعات ایران در روزهای ۱۳ و ۱۴ بهمن توسط مرکز آپا دانشگاه صنعتی شریف برگزار گردید. تیم‌های شرکت‌کننده…
گزارش مرکز ماهر از حمله سایبری به وب سایت ها و پورتال های خبری
https://www.certcc.ir/news/entry/12336
@ircert
https://www.certcc.ir/news/entry/12336
@ircert
اطلاعیه مرکز ماهر درخصوص پاره ای از سوء برداشت ها از گزارش حمله سایبری به وب سایت ها و پورتال های خبری
پیرو گزارش منتشر شده از نتایج بررسیهای فنی این مرکز درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، نکات زیر را به اطلاع میرساند:
• ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچگونه آسیبپذیری و نقص امنیتی در مراکز دادهی میزبان سایتهای آسیبدیده مشاهده نشده است. همچنین مورد ذکر شده درخصوص عدم همکاری مرکز داده تبیان، ناشی از ضعف در هماهنگی و تعامل بموقع طرفین برای حل مشکل بوده که خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.
• در گزارش منتشر شده، یکی از پنج آدرس IP مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.
• در گزارش این مرکز صرفا به آدرسهای IP مهاجم و کشورهای مالک آنها اشاره شده و هیچگونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرسها جهت نفوذ به وبسایتها صورت نگرفته است.
• در برخی از رسانهها نام برخی از شرکتهای تولید کننده CMS داخلی مطرح شده که فاقد صحت می باشد. با بررسیهای انجام شده آسیبپذیری مورد سوءاستفاده شناسایی و مرتفع گردیده است.
• ذکر این نکته ضروری است که وجود آسیبپذیری و نقص امنیتی در محصولات نرمافزاری و سختافزاری امری اجتناب ناپذیر است. اما لازم است که تولیدکنندگان نرمافزار و مدیران راهبر سیستمها حساسیت و سرمایهگذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.
• متاسفانه برخی ادعا های مطرح شده در خصوص آلوذگی فایلpdf گزارش مرکز ماهر به بدافزار از اساس کذب بوده و با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام می باشد.
@ircert
پیرو گزارش منتشر شده از نتایج بررسیهای فنی این مرکز درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، نکات زیر را به اطلاع میرساند:
• ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچگونه آسیبپذیری و نقص امنیتی در مراکز دادهی میزبان سایتهای آسیبدیده مشاهده نشده است. همچنین مورد ذکر شده درخصوص عدم همکاری مرکز داده تبیان، ناشی از ضعف در هماهنگی و تعامل بموقع طرفین برای حل مشکل بوده که خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.
• در گزارش منتشر شده، یکی از پنج آدرس IP مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.
• در گزارش این مرکز صرفا به آدرسهای IP مهاجم و کشورهای مالک آنها اشاره شده و هیچگونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرسها جهت نفوذ به وبسایتها صورت نگرفته است.
• در برخی از رسانهها نام برخی از شرکتهای تولید کننده CMS داخلی مطرح شده که فاقد صحت می باشد. با بررسیهای انجام شده آسیبپذیری مورد سوءاستفاده شناسایی و مرتفع گردیده است.
• ذکر این نکته ضروری است که وجود آسیبپذیری و نقص امنیتی در محصولات نرمافزاری و سختافزاری امری اجتناب ناپذیر است. اما لازم است که تولیدکنندگان نرمافزار و مدیران راهبر سیستمها حساسیت و سرمایهگذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.
• متاسفانه برخی ادعا های مطرح شده در خصوص آلوذگی فایلpdf گزارش مرکز ماهر به بدافزار از اساس کذب بوده و با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام می باشد.
@ircert