▪️بنابر گزارشات واصله برخی کاربران در اعمال دستور no vstack به ویژه بر روی سوییچ های 3750 با مشکل مواجه شده اند. این دسته از کاربران می توانند به سادگی از قابلیت access list سوییچ جهت مسدود سازی ترافیک ورودی به پورت tcp/4786 استفاده نمایند.
🔳هشدار مرکز ماهر به کاربران بهرهبردار از روترهای Mikrotik
با توجه به اطلاعیه اخیر شرکت میکروتیک در خصوص روترهای میکروتیک با سیستم عامل RouterOS v6.38.5 به قبل، نسخه جدیدی از باتنت Hajime فعال شده و در مقیاس وسیع اقدام به نفوذ و سوءاستفاده از این روترها می نماید.
این بات با اسکن آی پی های عمومی در اینترنت و یافتن روترهای با پورت های باز 8291 (نرم افزار winbox) و 80 (وب)، از طریق سوءاستفاده از آسیبپذیری ملقب به "ChimayRed" اقدام به نفوذ و بهرهبرداری از منابع روترهای آسیبپذیر مینماید.
برای ایمن سازی روترها در برابر این آسیپ پذیری رعایت نکات زیر الزامی است:
▪️سیستم عامل روتر را بروزرسانی کنید.
▪️سرویس مدیریت تحت وب روتر را غیرفعال کرده یا دسترسی به آن را به شبکه داخلی خود محدود نمایید. توجه داشته باشید در صورت فعال بودن سرویس و وجود آلودگی در شبکه داخلی، همچنان امکان آلودگی روتر وجود دارد.
▪️جهت غیرفعال سازی سرویس وب در قسمت IP Service سرویس WWW را غیر فعال نمایید.
▪️اگر در شبکه خود هات اسپات دارید Webfig را غیرفعال کنید.
▪️در قسمت IP Service و Allowed-From دسترسی مدیریتی به روتر را فقط به شبکه ای خاص یا آی پی خاص بدهید.
منبع: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
@ircert
با توجه به اطلاعیه اخیر شرکت میکروتیک در خصوص روترهای میکروتیک با سیستم عامل RouterOS v6.38.5 به قبل، نسخه جدیدی از باتنت Hajime فعال شده و در مقیاس وسیع اقدام به نفوذ و سوءاستفاده از این روترها می نماید.
این بات با اسکن آی پی های عمومی در اینترنت و یافتن روترهای با پورت های باز 8291 (نرم افزار winbox) و 80 (وب)، از طریق سوءاستفاده از آسیبپذیری ملقب به "ChimayRed" اقدام به نفوذ و بهرهبرداری از منابع روترهای آسیبپذیر مینماید.
برای ایمن سازی روترها در برابر این آسیپ پذیری رعایت نکات زیر الزامی است:
▪️سیستم عامل روتر را بروزرسانی کنید.
▪️سرویس مدیریت تحت وب روتر را غیرفعال کرده یا دسترسی به آن را به شبکه داخلی خود محدود نمایید. توجه داشته باشید در صورت فعال بودن سرویس و وجود آلودگی در شبکه داخلی، همچنان امکان آلودگی روتر وجود دارد.
▪️جهت غیرفعال سازی سرویس وب در قسمت IP Service سرویس WWW را غیر فعال نمایید.
▪️اگر در شبکه خود هات اسپات دارید Webfig را غیرفعال کنید.
▪️در قسمت IP Service و Allowed-From دسترسی مدیریتی به روتر را فقط به شبکه ای خاص یا آی پی خاص بدهید.
منبع: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
@ircert
🔳هشدار مرکز ماهر درخصوص آسیب پذیری بحرانی در سیستم مدیریت محتوای دروپال
▪️يك آسیب پذیری بحرانی در هسته ی سیستم مدیریت محتوای دروپال با درجه اهمیت بسیار حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است. این آسیب پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و8 دروپال بدون نیاز به احراز هویت می دهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند. اين آسيب پذيري كه با شناسه CVE-2018-7600 شناخته مي شود بر روی نسخه های مختلف دروپال تاثیر می گذارد:
▫️7.x
▫️8.3.x
▫️8.4.x
▫️8.5.x
▪️راهکار مقابله بروزرسانی و یا نصب وصله امنیتی ارائه شده است. جزییات آسیبپذیری و نحوه رفع آن در فایل پیوست ارائه شده است.
@ircert
▪️يك آسیب پذیری بحرانی در هسته ی سیستم مدیریت محتوای دروپال با درجه اهمیت بسیار حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است. این آسیب پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و8 دروپال بدون نیاز به احراز هویت می دهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند. اين آسيب پذيري كه با شناسه CVE-2018-7600 شناخته مي شود بر روی نسخه های مختلف دروپال تاثیر می گذارد:
▫️7.x
▫️8.3.x
▫️8.4.x
▫️8.5.x
▪️راهکار مقابله بروزرسانی و یا نصب وصله امنیتی ارائه شده است. جزییات آسیبپذیری و نحوه رفع آن در فایل پیوست ارائه شده است.
@ircert
🔳هشدار مرکز ماهر درخصوص آسیبپذیری جدی ماژول DNNarticle از سیستم مدیریت محتوای DotNetNuke
به اطلاع می رساند در روز جمعه مورخ 17 فروردین ماه 1397 کد سوءاستفاده مربوط به یک آسیبپذیری از ماژول DNNarticle در فضای مجازی منتشر گردید. این ماژول برای مدیریت محتوا در سامانه DotNetNuke استفاده میشود. انواع مقاله، اخبار، معرفی محصول و ... نمونههایی از محتوای قابل مدیریت توسط این ماژول میباشند. با سوءاستفاده از این آسیبپذیری، نفوذگر از راه دور امکان دسترسی به محتویات حساس سرور میزبان وبسایت را خواهد داشت. با توجه به عدم وجود وصله امنیتی مناسب، لازم است مالکین اینگونه وبسایتها بلافاصله نسبت به غیرفعال سازی این ماژول اقدام نمایند. در این خصوص بیش از ۱۵۰ وبسایت آسیبپذیر در کشور شناسایی شده که اطلاع رسانی مستقیم به آنها از سوی مرکز ماهر در جریان است.
@ircert
به اطلاع می رساند در روز جمعه مورخ 17 فروردین ماه 1397 کد سوءاستفاده مربوط به یک آسیبپذیری از ماژول DNNarticle در فضای مجازی منتشر گردید. این ماژول برای مدیریت محتوا در سامانه DotNetNuke استفاده میشود. انواع مقاله، اخبار، معرفی محصول و ... نمونههایی از محتوای قابل مدیریت توسط این ماژول میباشند. با سوءاستفاده از این آسیبپذیری، نفوذگر از راه دور امکان دسترسی به محتویات حساس سرور میزبان وبسایت را خواهد داشت. با توجه به عدم وجود وصله امنیتی مناسب، لازم است مالکین اینگونه وبسایتها بلافاصله نسبت به غیرفعال سازی این ماژول اقدام نمایند. در این خصوص بیش از ۱۵۰ وبسایت آسیبپذیر در کشور شناسایی شده که اطلاع رسانی مستقیم به آنها از سوی مرکز ماهر در جریان است.
@ircert
🔳اطلاعیه تکمیلی در خصوص نقص امنیتی در قابلیت Smart Install تجهیزات سیسکو
پیرو انتشار توصیه نامه اخیر سیسکو به تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت Smart Install، به اطلاع می رساند بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راهاندازی مجدد (reload) دستگاه لغو گشته و سرویس Smart Install مجددا فعال میگردد. تجهیزات تحت تاثیر این نقص عبارتند از:
▫️ Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2
▫️ Cisco Catalyst 6500 Series Switches: 15.1(2)SY11, 15.2(1)SY5, 15.2(2)SY3
▫️ Cisco Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2a
▫️Cisco ME 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11
لذا اکیدا توصیه می گردد در صورت استفاده از این تجهیزات نسبت به بروزرسانی IOS و یا استفاده از ACL بمنظور مسدود سازی ترافیک ورودی به پورت 4786 TCP تجهیز اقدام نمایید.
توضیحات بیشتر:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi
@IRCERT
پیرو انتشار توصیه نامه اخیر سیسکو به تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت Smart Install، به اطلاع می رساند بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راهاندازی مجدد (reload) دستگاه لغو گشته و سرویس Smart Install مجددا فعال میگردد. تجهیزات تحت تاثیر این نقص عبارتند از:
▫️ Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2
▫️ Cisco Catalyst 6500 Series Switches: 15.1(2)SY11, 15.2(1)SY5, 15.2(2)SY3
▫️ Cisco Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2a
▫️Cisco ME 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11
لذا اکیدا توصیه می گردد در صورت استفاده از این تجهیزات نسبت به بروزرسانی IOS و یا استفاده از ACL بمنظور مسدود سازی ترافیک ورودی به پورت 4786 TCP تجهیز اقدام نمایید.
توضیحات بیشتر:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi
@IRCERT
Cisco
Cisco Security Advisory: Action Required to Secure the Cisco IOS and IOS XE Smart Install Feature
In recent weeks, Cisco has published several documents related to the Smart Install feature: one Talos blog about potential misuse of the feature if left enabled, and two Cisco Security Advisories that were included in the March 2018 release of the Cisco IOS…
🔳آسیبپذیری بحرانی در سرویس QoS تجهیزات سیسکو
اخیرا آسیب پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصهی CVE-2018-0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "عدم بررسی مرز حافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP 18999 دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.
▪️دستگاه های آسیب پذیر
سرویس و پورت آسیبپذیر بصورت پیشفرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت Adaptive QoS for Dynamic Multipoint VPN (DMVPN) و نسخهای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیبپذیری هستند.
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.
▪️جهت مسدود سازی این آسیبپذیری می توانید با استفاده از ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.
منبع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
@ircert
اخیرا آسیب پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصهی CVE-2018-0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "عدم بررسی مرز حافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP 18999 دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.
▪️دستگاه های آسیب پذیر
سرویس و پورت آسیبپذیر بصورت پیشفرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت Adaptive QoS for Dynamic Multipoint VPN (DMVPN) و نسخهای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیبپذیری هستند.
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.
▪️جهت مسدود سازی این آسیبپذیری می توانید با استفاده از ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.
منبع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
@ircert
Cisco
Cisco Security Advisory: Cisco IOS and IOS XE Software Quality of Service Remote Code Execution Vulnerability
A vulnerability in the quality of service (QoS) subsystem of Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with elevated privileges.
The…
The…
The account of the user that created this channel has been inactive for the last 5 months. If it remains inactive in the next 29 days, that account will self-destruct and this channel will no longer have a creator.
The account of the user that owns this channel has been inactive for the last 5 months. If it remains inactive in the next 8 days, that account will self-destruct and this channel will no longer have an owner.
The account of the user that owns this channel has been inactive for the last 5 months. If it remains inactive in the next 27 days, that account will self-destruct and this channel may no longer have an owner.