هشدار در مورد کمین برخی از باجافزارها برای انتشار در ابتدای سال جدید میلادی
رصد فضای مجازی و مهندسی معکوس بر روی نمونههای باجافزاری مشاهده شده در چند هفته گذشته حاکی از آن است که رفتاری غیر معمول از سوی برخی از این نمونهها مشاهده میشود. این رفتار غیر معمول حاکی از آن است که برخلاف باجافزاهای متداول که به محض آلوده کردن قربانی و تلاش برای انتشار، اقدام به رمزگذاری و باجخواهی مینمایند، برخی باجافزاهای جدید زمان حمله را تا ابتدای سال جدید میلادی به تعویق میاندازند. معمولا اقدامات موثر در سطح جهان علیه حملات باجافزاری پس از ایجاد خسارت آغاز میشود و این زمانبندی خاص که مقارن با تعطیلی مراجع جهانی میباشد، ممکن است سببساز تاخیر در همکاری بینالمللی فرآیندهای تحلیلی و امدادی شود. لذا به تمامی راهبران فناوری اطلاعات پیشنهاد میشود که در این بازه زمانی، اقدامات زیر را به صورت پیشگیرانه مد نظر قرار دهند:
1- تهیه نسخ پشتیبان از سامانهها و اطلاعات به ویژه سرورهای پایگاه داده با دقت مضاعف و همچنین بررسی درستی پشتیبانهای تهیه شده و نگهداری آفلاین نسخ پشتیبان.
2- به روزرسانی نرمافزارها و تجهیزات دفاعی (از قبیل آنتی ویروس و فایروال) و بررسی صحت عملکرد آنها در شبکه.
۳- هشیاری، حضور و بررسی موارد مشکوک و همچنین توجه مضاعف به هشدارهای صادر شده در این بازه.
۴- توجه ویژه به پیوست پیامهای الکترونیکی و آگاهی رسانی به کاربران در خصوص عدم دریافت پیوستهای مشکوک خصوصا انواع پیوستهای دارای قابلیت انتقال کدهای اجرایی از قبیل فایلهای آفیس، .zip ، .js ، wsf و امثال آن.
۵- پرهیز از استفاده از پروتکلهای دسترسی از راه دور به ویژه RDP و یا محدود سازی دسترسی به آن.
۶- بررسی دقیق موارد ثبت شده در لاگهای سیستمعامل و تجهیزات امنیتی به خصوص توجه ویژه به رخدادهای تلاش ناموفق ورود (login) و رخدادهای ورود در ساعتهای غیر معمول.
۷- حصول اطمینان از اختصاص دادن رمزهای ورود با در نظر گرفتن پیچیدگی کافی.
رصد فضای مجازی و مهندسی معکوس بر روی نمونههای باجافزاری مشاهده شده در چند هفته گذشته حاکی از آن است که رفتاری غیر معمول از سوی برخی از این نمونهها مشاهده میشود. این رفتار غیر معمول حاکی از آن است که برخلاف باجافزاهای متداول که به محض آلوده کردن قربانی و تلاش برای انتشار، اقدام به رمزگذاری و باجخواهی مینمایند، برخی باجافزاهای جدید زمان حمله را تا ابتدای سال جدید میلادی به تعویق میاندازند. معمولا اقدامات موثر در سطح جهان علیه حملات باجافزاری پس از ایجاد خسارت آغاز میشود و این زمانبندی خاص که مقارن با تعطیلی مراجع جهانی میباشد، ممکن است سببساز تاخیر در همکاری بینالمللی فرآیندهای تحلیلی و امدادی شود. لذا به تمامی راهبران فناوری اطلاعات پیشنهاد میشود که در این بازه زمانی، اقدامات زیر را به صورت پیشگیرانه مد نظر قرار دهند:
1- تهیه نسخ پشتیبان از سامانهها و اطلاعات به ویژه سرورهای پایگاه داده با دقت مضاعف و همچنین بررسی درستی پشتیبانهای تهیه شده و نگهداری آفلاین نسخ پشتیبان.
2- به روزرسانی نرمافزارها و تجهیزات دفاعی (از قبیل آنتی ویروس و فایروال) و بررسی صحت عملکرد آنها در شبکه.
۳- هشیاری، حضور و بررسی موارد مشکوک و همچنین توجه مضاعف به هشدارهای صادر شده در این بازه.
۴- توجه ویژه به پیوست پیامهای الکترونیکی و آگاهی رسانی به کاربران در خصوص عدم دریافت پیوستهای مشکوک خصوصا انواع پیوستهای دارای قابلیت انتقال کدهای اجرایی از قبیل فایلهای آفیس، .zip ، .js ، wsf و امثال آن.
۵- پرهیز از استفاده از پروتکلهای دسترسی از راه دور به ویژه RDP و یا محدود سازی دسترسی به آن.
۶- بررسی دقیق موارد ثبت شده در لاگهای سیستمعامل و تجهیزات امنیتی به خصوص توجه ویژه به رخدادهای تلاش ناموفق ورود (login) و رخدادهای ورود در ساعتهای غیر معمول.
۷- حصول اطمینان از اختصاص دادن رمزهای ورود با در نظر گرفتن پیچیدگی کافی.
آسیب پذیری اجرای کد از راه دور در وب سرورهای کوچک GoAhead
به تازگی در وب سرورهای GoAhead از شرکت Embedthis آسیب پذیریای کشف شده است که این امکان را به فرد مهاجم میدهد که از راه دور کد اجرایی خود را در وب سرور قربانی اجرا کند. وب سرور GoAhead نوع خاصی از وب سرورهای کوچک و قابل تعبیه در سامانهها و رایانههای کوچک میباشد که در تجهیزاتی مانند روترها، چاپگرها و دیگر تجهیزات شبکه بکار می رود.
این آسیبپذیری در تمامی وب سرورهای GoAhead که بروزرسانی نسخه قبلتر از 3.6.5 را دارند، و همچنین در صورت فعال بودن قابلیت CGI (که امکان اجرای برنامه اجرایی را از طریف پایانه وب را در وب سرور می دهند) در تجهیزات شرکت های بزرگ و معتبری مانند Comcast، Oracle، D-link، ZTE ، Siemens و Canon وجود دارد.
بررسی های اولیه نشان می دهد مودم ها و تجهیزات بی سیم شرکت Tendaو مودم های TD-LTE مدل AirMaster 3100 و شمار دیگری از انواع مودم های ADSL و دوربین های نظارت تصویری در کشور دارای این آسیب پذیری می باشند. در این راستا مرکز ماهر اطلاع رسانی به IPهای آسیب پذیر در کشور را آغاز نموده است.
جهت اطلاعات بیشتر به لینک ذیل مراجعه فرمایید.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
به تازگی در وب سرورهای GoAhead از شرکت Embedthis آسیب پذیریای کشف شده است که این امکان را به فرد مهاجم میدهد که از راه دور کد اجرایی خود را در وب سرور قربانی اجرا کند. وب سرور GoAhead نوع خاصی از وب سرورهای کوچک و قابل تعبیه در سامانهها و رایانههای کوچک میباشد که در تجهیزاتی مانند روترها، چاپگرها و دیگر تجهیزات شبکه بکار می رود.
این آسیبپذیری در تمامی وب سرورهای GoAhead که بروزرسانی نسخه قبلتر از 3.6.5 را دارند، و همچنین در صورت فعال بودن قابلیت CGI (که امکان اجرای برنامه اجرایی را از طریف پایانه وب را در وب سرور می دهند) در تجهیزات شرکت های بزرگ و معتبری مانند Comcast، Oracle، D-link، ZTE ، Siemens و Canon وجود دارد.
بررسی های اولیه نشان می دهد مودم ها و تجهیزات بی سیم شرکت Tendaو مودم های TD-LTE مدل AirMaster 3100 و شمار دیگری از انواع مودم های ADSL و دوربین های نظارت تصویری در کشور دارای این آسیب پذیری می باشند. در این راستا مرکز ماهر اطلاع رسانی به IPهای آسیب پذیر در کشور را آغاز نموده است.
جهت اطلاعات بیشتر به لینک ذیل مراجعه فرمایید.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
cve.mitre.org
CVE -
CVE-2017-17562
CVE-2017-17562
Common Vulnerabilities and Exposures (CVE®) is a list of common identifiers for publicly known cybersecurity vulnerabilities. Assigned by CVE Numbering Authorities (CNAs) from around the world, use of CVE Entries ensures confidence among parties when used…
مرکز ماهر
وردپرس.png
شناسایی backdoor در چند پلاگین WordPress
در برخی از پلاگین های WordPress، به تازگی backdoor هایی شناسایی شده است. تیم امنیت WordPress نسبت به حذف آن از سایت رسمی خود تا انتشار نسخه جدید اقدام نموده است. در جدول ذیل اطلاعات مربوط به این پلاگین ها آمده است.
در صورت استفاده از این پلاگین ها در وب سایت خود نسبت به حذف آن اقدام کنید.
https://wordpress.org/plugins/duplicate-page-and-post
https://wordpress.org/plugins/nofollow-all-external-links/
https://wordpress.org/plugins/wp-noexternallinks/
در برخی از پلاگین های WordPress، به تازگی backdoor هایی شناسایی شده است. تیم امنیت WordPress نسبت به حذف آن از سایت رسمی خود تا انتشار نسخه جدید اقدام نموده است. در جدول ذیل اطلاعات مربوط به این پلاگین ها آمده است.
در صورت استفاده از این پلاگین ها در وب سایت خود نسبت به حذف آن اقدام کنید.
https://wordpress.org/plugins/duplicate-page-and-post
https://wordpress.org/plugins/nofollow-all-external-links/
https://wordpress.org/plugins/wp-noexternallinks/
WordPress.org
Duplicate Page and Post
Duplicate Page and Post does exactly what it says it will. No need to build styling and layout from scratch, with this plugin you can copy any page or …
هشدار مهم مرکز ماهر درخصوص سوءاستفاده برخی وبسایتها از توان پردازشی رایانه بازدیدکنندگان استحصال بیتکوین
مشاهدات اخیر نشان داده است که شماری از وبسایتهای داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی مینمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک وبسایت مشخص نمایان میگردد. البته در این موارد، با بسته شدن صفحه وبسایت در مرورگر اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری بر روی سیستم عامل صورت نمیپذیرد.این اقدام با قرارگیری اسکریپتهای جاوااسکریپت استحصال بیتکوین در صفحات وبسایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت میپذیرد.
لازم است مدیران محترم وبسایتهای داخلی توجه داشته باشند مسئولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین وبسایتهایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند.
مشاهدات اخیر نشان داده است که شماری از وبسایتهای داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی مینمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک وبسایت مشخص نمایان میگردد. البته در این موارد، با بسته شدن صفحه وبسایت در مرورگر اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری بر روی سیستم عامل صورت نمیپذیرد.این اقدام با قرارگیری اسکریپتهای جاوااسکریپت استحصال بیتکوین در صفحات وبسایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت میپذیرد.
لازم است مدیران محترم وبسایتهای داخلی توجه داشته باشند مسئولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین وبسایتهایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند.
در روزهای گذشته یک نسخه جعلی از اپلیکیشن اندرویدی تلگرام در گروههای تلگرامی منتشر شده است. انتشار این اپلیکیشن از طریق لینک به دو وبسایت hxxp://telgram.news و hxxp://telgram.blog صورت می پذیرد. درصورت نصب این اپلیکیشن، لینک دانلود آن برای فهرست مخاطبین نیز از طریق تلگرام ارسال میگردد. در صورت مشاهده پیامهای مشابه از نصب این اپلیکیشن خودداری کنید.
جزییات سایر اقدامات این اپلیکیشن در دست بررسی است.
@ircert
جزییات سایر اقدامات این اپلیکیشن در دست بررسی است.
@ircert