🔴 معرفی پروژه ی TinyInst
بصورت کلی، Instrumentation یا ابزارسنجی، یعنی قرار دادن کدهای اضافی (معمولا بصورت خودکار) در یک برنامه با هدف نظارت، رهگیری و آنالیز رفتار اون برنامه.
دو نوع کلی ابزارسنجی داریم:
نوع Static Instrumentation: در این روش، برنامه رو قبل از اجرا بررسی میکنیم. مثلا موقع کامپایل به کدها، یسری کد اضافه میکنیم تا بتونیم برنامه رو ابزارسنجی کنیم. مثلا ASan
نوع Dynamic Instrumentation: در زمان اجرا انجام میشه، یعنی بدون تغییر دائمی در فایل اجرایی، در لحظه ی اجرا، کدهای ما بین اجرای اصلی تزریق میشن. مثلا DynamoRIO
پروژه ی TinyInst یک کتابخانه ی سبک برای Dynamic Instrumentation هستش که توسط آقای میثم فیروزی توسعه داده شده و میشه اون رو طوری تنظیم کرد که تنها ماژولهای انتخاب شدهای از یک پروسس رو ابزارسنجی کنه و بقیه بصورت بومی (native) اجرا بشن. هدفش ساده بودن در درک، توسعه، استفاده و تغییر هستش.
از پلتفرمهای ویندوز، لینوکس، اندروید و macOS پشتیبانی میکنه.
در زمینه ی فازینگ، مهندسی معکوس و توسعه اکسپلویت، کاربردی هستش.
#فازینگ #مهندسی_معکوس #توسعه_اکسپلویت
#Fuzzing #ReverseEngineering #ExploitDev #TinyInst #DynamicInstrumentation
🆔 @onhex_ir
➡️ ALL Link
بصورت کلی، Instrumentation یا ابزارسنجی، یعنی قرار دادن کدهای اضافی (معمولا بصورت خودکار) در یک برنامه با هدف نظارت، رهگیری و آنالیز رفتار اون برنامه.
دو نوع کلی ابزارسنجی داریم:
نوع Static Instrumentation: در این روش، برنامه رو قبل از اجرا بررسی میکنیم. مثلا موقع کامپایل به کدها، یسری کد اضافه میکنیم تا بتونیم برنامه رو ابزارسنجی کنیم. مثلا ASan
نوع Dynamic Instrumentation: در زمان اجرا انجام میشه، یعنی بدون تغییر دائمی در فایل اجرایی، در لحظه ی اجرا، کدهای ما بین اجرای اصلی تزریق میشن. مثلا DynamoRIO
پروژه ی TinyInst یک کتابخانه ی سبک برای Dynamic Instrumentation هستش که توسط آقای میثم فیروزی توسعه داده شده و میشه اون رو طوری تنظیم کرد که تنها ماژولهای انتخاب شدهای از یک پروسس رو ابزارسنجی کنه و بقیه بصورت بومی (native) اجرا بشن. هدفش ساده بودن در درک، توسعه، استفاده و تغییر هستش.
از پلتفرمهای ویندوز، لینوکس، اندروید و macOS پشتیبانی میکنه.
در زمینه ی فازینگ، مهندسی معکوس و توسعه اکسپلویت، کاربردی هستش.
#فازینگ #مهندسی_معکوس #توسعه_اکسپلویت
#Fuzzing #ReverseEngineering #ExploitDev #TinyInst #DynamicInstrumentation
🆔 @onhex_ir
➡️ ALL Link
GitHub
GitHub - R00tkitSMM/TinyInstLibfuzzer
Contribute to R00tkitSMM/TinyInstLibfuzzer development by creating an account on GitHub.
❤9
🔴 کاربران سامسونگ ایرانی، یکی از قربانیان LANDFALL + (نمونه بدافزار)
در این پست گزارش اخیر محققای PaloAltoNetworks در خصوص بدافزار LANDFALL رو بررسی کردیم که کاربران برخی از مدلهای گوشی های سامسونگ رو هدف قرار داده.
در این کمپین که با هدف جاسوسی انجام شده، برخی از کاربران ایرانی هم تحت تاثیر بودن.
#سامسونگ #آنالیز_بدافزار #بازیگران_تهدید #ایران
#Samsung #LANDFALL #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
در این پست گزارش اخیر محققای PaloAltoNetworks در خصوص بدافزار LANDFALL رو بررسی کردیم که کاربران برخی از مدلهای گوشی های سامسونگ رو هدف قرار داده.
در این کمپین که با هدف جاسوسی انجام شده، برخی از کاربران ایرانی هم تحت تاثیر بودن.
#سامسونگ #آنالیز_بدافزار #بازیگران_تهدید #ایران
#Samsung #LANDFALL #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
❤7
🔴 آژانس ملی دیجیتال اسرائیل (INDA) فعالیتهایی با نام SpearSpecter شناسایی کردن که توسط گروه هکری منتسب به ایران، APT42، انجام شده و مقامات ارشد دفاعی و دولتی باارزش بالا رو هدف قرار داده.
نکته قابل توجه اینِ که این حمله خانواده ی اهداف رو هم در بر میگیره و سطح حمله رو گستردهتر کرده و فشار بیشتری بر هدف اصلی وارد میکنه.
گروه هکری APT42 اولین بار در اواخر سال 2022 توسط Google Mandiant معرفی و مشخص شد که با خوشه های تهدیدی همچون APT35، CALANQUE، Charming Kitten، CharmingCypress، Cobalt Illusion، Educated Manticore، GreenCharlie، ITG18، Magic Hound، Mint Sandstorm (Phosphorus سابق)، TA453 و Yellow Garuda همپوشانی داره.
یکی از مشخصه های اصلی این گروه، توانایی اجرای کمپینهای مهندسی اجتماعی بسیار قانع کننده هستش. کمپینهایی که ممکنِ روزها یا هفتهها طول بکشه تا اعتماد هدف رو جلب کنه. در برخی موارد، این گروه با جعل هویت افراد آشنا برای ایجاد حس واقعی بودن و بعدش ارسال پیلود مخرب یا فریب دادن هدف برای کلیک روی لینک آلوده، حمله رو انجام میدن.
محققای INDA اعلام کردن که SpearSpecter انعطافپذیره، چون مهاجم براساس ارزش هدف و اهداف عملیاتی، روش خودش رو تغییر میده. در برخی حملات، قربانیان به صفحات جعلی هدایت میشن که برای سرقت اطلاعات حساب کاربری طراحی شدن. اگه هدف نهایی دسترسی بلندمدت و مداوم باشه، حمله به استقرار یک بکدور پاورشل شناخته شده با نام TAMECAT منجر میشه که در سالهای اخیر بارها استفاده شده.
در این سناریو، مهاجم با جعل هویت یک مخاطب مطمئن در واتساپ یک لینک مخرب ارسال میکنه که ظاهرا مربوط به سند مورد نیاز برای جلسه یا کنفرانس آینده هستش. با کلیک روی لینک، زنجیرهای از ریدایرکتها شروع میشه که در نهایت یک فایل LNK روی WebDAV رو تحویل میده که با استفاده از پروتکل search-ms خودش رو بعنوان فایل PDF جا میزنه.
این فایل LNK با یک زیردامنه ی Cloudflare Workers ارتباط برقرار کرده و یک اسکریپت Batch دریافت میکنه که نقش لودر برای TAMECAT رو داره. بعدش TAMECAT از ماژولهای مختلفی برای استخراج داده و کنترل از راه دور استفاده میکنه.
این فریمورک پاورشلی 3 کانال جداگانه برای C2 دارد: HTTPS و دیسکورد و تلگرام. این نشان میده که مهاجم قصد داره حتی در صورت شناسایی و مسدود شدن یکی از مسیرها، دسترسی خودش رو حفظ کنه.
در حالت C2 مبتنی بر تلگرام، TAMECAT منتظر دستورات از یک بات تلگرام تحت کنترل مهاجم میمونه و بعدش کدهای پاورشل بیشتری رو از زیردامنههای مختلف Cloudflare Workers دریافت و اجرا میکنه. برای دیسکورد، یک Webhook برای ارسال اطلاعات سیستم و دریافت دستورات از یک کانال مشخص استفاده میشه.
تحلیل اکانتهایی که از سرور دیسکورد بازیابی شدن، نشان میده منطق دریافت دستورات بر پایه پیامهای یک کاربر خاص بنا شده. این به مهاجم اجازه میده به هر قربانی آلوده دستورات اختصاصی بده و در عین حال همه حملات رو از یک کانال مشترک مدیریت کنه. عملا یک محیط کاری مشترک برای حملات روی یک زیرساخت واحد ایجاد میشه.
علاوه بر این، TAMECAT مجهز به قابلیتهایی برای شناسایی سیستم، جمعآوری فایل با پسوندهای خاص، سرقت داده از مرورگرهای Chrome و Edge، جمعآوری ایمیلهای Outlook و گرفتن اسکرین شات هر ۱۵ ثانیه یکبار است. دادهها از طریق HTTPS یا FTP استخراج میشن.
این ابزار از تکنیکهای متعدد برای مخفیسازی و فرار از تحلیل استفاده میکنه از جمله:
- رمزگذاری ترافیک و پیلودها
- مبهم سازی کد
- استفاده از LOLBins برای مخفی کردن فعالیتها
- اجرای بیشتر عملیات در حافظه و عدم برجای گذاشتن رد قابل توجه روی دیسک
محققای INDA در پایان گفتن: زیرساخت کمپین SpearSpecter نشان دهنده ترکیبی پیشرفته از چابکی، مخفی کاری و امنیت عملیاتی هستش که برای تداوم جاسوسی طولانی مدت علیه اهداف باارزش بالا طراحی شده. اپراتورها از زیرساختی چندلایه متشکل از سرویسهای ابری مشروع در کنار منابع تحت کنترل مهاجم استفاده میکنن که دسترسی اولیه، C2 پایدار و استخراج مخفیانه داده رو ممکن میکنه./منبع
#ایران #بازیگران_تهدید
#APT #APT42 #SpearSpecter
🆔 @onhex_ir
➡️ ALL Link
نکته قابل توجه اینِ که این حمله خانواده ی اهداف رو هم در بر میگیره و سطح حمله رو گستردهتر کرده و فشار بیشتری بر هدف اصلی وارد میکنه.
گروه هکری APT42 اولین بار در اواخر سال 2022 توسط Google Mandiant معرفی و مشخص شد که با خوشه های تهدیدی همچون APT35، CALANQUE، Charming Kitten، CharmingCypress، Cobalt Illusion، Educated Manticore، GreenCharlie، ITG18، Magic Hound، Mint Sandstorm (Phosphorus سابق)، TA453 و Yellow Garuda همپوشانی داره.
یکی از مشخصه های اصلی این گروه، توانایی اجرای کمپینهای مهندسی اجتماعی بسیار قانع کننده هستش. کمپینهایی که ممکنِ روزها یا هفتهها طول بکشه تا اعتماد هدف رو جلب کنه. در برخی موارد، این گروه با جعل هویت افراد آشنا برای ایجاد حس واقعی بودن و بعدش ارسال پیلود مخرب یا فریب دادن هدف برای کلیک روی لینک آلوده، حمله رو انجام میدن.
محققای INDA اعلام کردن که SpearSpecter انعطافپذیره، چون مهاجم براساس ارزش هدف و اهداف عملیاتی، روش خودش رو تغییر میده. در برخی حملات، قربانیان به صفحات جعلی هدایت میشن که برای سرقت اطلاعات حساب کاربری طراحی شدن. اگه هدف نهایی دسترسی بلندمدت و مداوم باشه، حمله به استقرار یک بکدور پاورشل شناخته شده با نام TAMECAT منجر میشه که در سالهای اخیر بارها استفاده شده.
در این سناریو، مهاجم با جعل هویت یک مخاطب مطمئن در واتساپ یک لینک مخرب ارسال میکنه که ظاهرا مربوط به سند مورد نیاز برای جلسه یا کنفرانس آینده هستش. با کلیک روی لینک، زنجیرهای از ریدایرکتها شروع میشه که در نهایت یک فایل LNK روی WebDAV رو تحویل میده که با استفاده از پروتکل search-ms خودش رو بعنوان فایل PDF جا میزنه.
این فایل LNK با یک زیردامنه ی Cloudflare Workers ارتباط برقرار کرده و یک اسکریپت Batch دریافت میکنه که نقش لودر برای TAMECAT رو داره. بعدش TAMECAT از ماژولهای مختلفی برای استخراج داده و کنترل از راه دور استفاده میکنه.
این فریمورک پاورشلی 3 کانال جداگانه برای C2 دارد: HTTPS و دیسکورد و تلگرام. این نشان میده که مهاجم قصد داره حتی در صورت شناسایی و مسدود شدن یکی از مسیرها، دسترسی خودش رو حفظ کنه.
در حالت C2 مبتنی بر تلگرام، TAMECAT منتظر دستورات از یک بات تلگرام تحت کنترل مهاجم میمونه و بعدش کدهای پاورشل بیشتری رو از زیردامنههای مختلف Cloudflare Workers دریافت و اجرا میکنه. برای دیسکورد، یک Webhook برای ارسال اطلاعات سیستم و دریافت دستورات از یک کانال مشخص استفاده میشه.
تحلیل اکانتهایی که از سرور دیسکورد بازیابی شدن، نشان میده منطق دریافت دستورات بر پایه پیامهای یک کاربر خاص بنا شده. این به مهاجم اجازه میده به هر قربانی آلوده دستورات اختصاصی بده و در عین حال همه حملات رو از یک کانال مشترک مدیریت کنه. عملا یک محیط کاری مشترک برای حملات روی یک زیرساخت واحد ایجاد میشه.
علاوه بر این، TAMECAT مجهز به قابلیتهایی برای شناسایی سیستم، جمعآوری فایل با پسوندهای خاص، سرقت داده از مرورگرهای Chrome و Edge، جمعآوری ایمیلهای Outlook و گرفتن اسکرین شات هر ۱۵ ثانیه یکبار است. دادهها از طریق HTTPS یا FTP استخراج میشن.
این ابزار از تکنیکهای متعدد برای مخفیسازی و فرار از تحلیل استفاده میکنه از جمله:
- رمزگذاری ترافیک و پیلودها
- مبهم سازی کد
- استفاده از LOLBins برای مخفی کردن فعالیتها
- اجرای بیشتر عملیات در حافظه و عدم برجای گذاشتن رد قابل توجه روی دیسک
محققای INDA در پایان گفتن: زیرساخت کمپین SpearSpecter نشان دهنده ترکیبی پیشرفته از چابکی، مخفی کاری و امنیت عملیاتی هستش که برای تداوم جاسوسی طولانی مدت علیه اهداف باارزش بالا طراحی شده. اپراتورها از زیرساختی چندلایه متشکل از سرویسهای ابری مشروع در کنار منابع تحت کنترل مهاجم استفاده میکنن که دسترسی اولیه، C2 پایدار و استخراج مخفیانه داده رو ممکن میکنه./منبع
#ایران #بازیگران_تهدید
#APT #APT42 #SpearSpecter
🆔 @onhex_ir
➡️ ALL Link
National-Digital-Agency
SpearSpecter
Unmasking Iran’s IRGC Cyber Operations Targeting High-Profile Individuals
The SpearSpecter campaign linked to Iran’s IRGC / APT42 used social engineering and the TAMECAT backdoor to infiltrate high-value targets. The operation leveraged cloud-based infrastructure…
The SpearSpecter campaign linked to Iran’s IRGC / APT42 used social engineering and the TAMECAT backdoor to infiltrate high-value targets. The operation leveraged cloud-based infrastructure…
❤14
🔴 اختلال در اولین کمپین جاسوسی خودکار توسط هوش مصنوعی
محققای Anthropic گزارشی منتشر کردن در خصوص یک کمپین با هدف جاسوسی، که 80 - 90 درصد کارهای تاکتیکی و فنی، بدون دخالت عامل انسانی و توسط هوش مصنوعی انجام شده. در این پست نگاهی به این گزارش جالب انداختیم.
#هوش_مصنوعی
#AI #Anthropic
🆔 @onhex_ir
➡️ ALL Link
محققای Anthropic گزارشی منتشر کردن در خصوص یک کمپین با هدف جاسوسی، که 80 - 90 درصد کارهای تاکتیکی و فنی، بدون دخالت عامل انسانی و توسط هوش مصنوعی انجام شده. در این پست نگاهی به این گزارش جالب انداختیم.
#هوش_مصنوعی
#AI #Anthropic
🆔 @onhex_ir
➡️ ALL Link
❤8
OnHex
🔴 بررسی Patch Tuesday مایکروسافت برای نوامبر 2025 (آبان 1404) مایکروسافت Patch Tuesday خودش رو برای نوامبر 2025/آبان 1404 منتشر کرده و در اون به اصلاح 68 آسیب پذیری در محصولات مختلفش پرداخته. در این پست نگاهی به آسیب پذیری های زیرودی و بحرانی انداختیم. این…
🔴 مایکروسافت تأیید کرده که در حال بررسی یک باگ هستش که باعث میشه، نصب اولین بروزرسانی ESU در ویندوز 10 با شناسه KB5068781 روی دستگاههایی که لایسنس سازمانی دارن با خطای 0x800f0922 (CBS_E_INSTALLERS_FAILED) شکست بخوره.
به گفته ی کاربران: بروزرسانی ظاهرا با موفقیت نصب میشه، اما بعد از ری استارت، اعمال نمیشه و با خطای رایج 0x800f0922 به حالت قبل برمیگرده.
مایکروسافت تأیید کرده که از این مشکل آگاهه و در حال بررسیش هستش و توضیح داده که این مسئله فقط دستگاههایی رو تحت تأثیر قرار میده که از طریق Microsoft 365 Admin Center و با روش Windows Subnoscription Activation فعال شدن.
متأسفانه هنوز زمان مشخصی برای انتشار اصلاحیه اعلام نشده و مایکروسافت هیچ راه حل موقتی هم برای رفع این مشکل ارائه نکرده.
علاوه بر خطای نصب، مدیران IT در محیطهای سازمانی گزارش دادن که همهی دستگاههای ویندوز ۱۰ اونا نیاز به آپدیت ESU با شناسه KB5068781 رو نشان نمیده، حتی زمانی که لایسنس رو بدرستی دریافت کردن.
به منظور کمک به سازمانها برای بهبود فرآیندهای Patch Management و کاهش خطر چنین مشکلاتی، BleepingComputer در تاریخ ۲ دسامبر یک وبینار با Action1 درباره مدیریت مدرن بروزرسانیها برگزار خواهد کرد./منبع
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #PatchTuesday
🆔 @onhex_ir
➡️ ALL Link
به گفته ی کاربران: بروزرسانی ظاهرا با موفقیت نصب میشه، اما بعد از ری استارت، اعمال نمیشه و با خطای رایج 0x800f0922 به حالت قبل برمیگرده.
مایکروسافت تأیید کرده که از این مشکل آگاهه و در حال بررسیش هستش و توضیح داده که این مسئله فقط دستگاههایی رو تحت تأثیر قرار میده که از طریق Microsoft 365 Admin Center و با روش Windows Subnoscription Activation فعال شدن.
متأسفانه هنوز زمان مشخصی برای انتشار اصلاحیه اعلام نشده و مایکروسافت هیچ راه حل موقتی هم برای رفع این مشکل ارائه نکرده.
علاوه بر خطای نصب، مدیران IT در محیطهای سازمانی گزارش دادن که همهی دستگاههای ویندوز ۱۰ اونا نیاز به آپدیت ESU با شناسه KB5068781 رو نشان نمیده، حتی زمانی که لایسنس رو بدرستی دریافت کردن.
به منظور کمک به سازمانها برای بهبود فرآیندهای Patch Management و کاهش خطر چنین مشکلاتی، BleepingComputer در تاریخ ۲ دسامبر یک وبینار با Action1 درباره مدیریت مدرن بروزرسانیها برگزار خواهد کرد./منبع
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #PatchTuesday
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Microsoft: Windows 10 KB5068781 ESU update may fail with 0x800f0922 errors
Microsoft has confirmed it is investigating a bug causing the Windows 10 KB5068781 extended security update to fail to install with 0x800f0922 errors on devices with corporate licensing.
❤5
tarh_zarbati_afta.pdf
510.7 KB
🔴 فراخوان اعلام نظر در مورد طرح ارتقای امنیت ۱۴۰۴
افتا جزییات طرحی با عنوان "طرح ضربتی ارتقاء سطح آمادگی برای شناسایی و مقابله با حملات سایبری" رو در سال 1403 با هدف ارتقای امنیت سایبری منتشر کرده بود. مهلت این طرح، شهریور 1404 تمام شد.
بعد از جنگ 12 روزره و تشدید حملات اسرائیل و آمریکا در حوزه ی سایبری، نسخه ی جدیدی از این طرح رو برای اجرا از مهر 1404 تا شهریور 1405 تدوین کرده و از تمامی صاحب نظران این حوزه دعوت کرده تا ضمن مطالعه طرح، نظرات، انتقادات و پیشنهادات خودشون رو تا پایان آبان ماه به دبیرخانه این مرکز(تهران، خیابان شهید بهشتی، خیابان قائم مقام فراهانی، خیابان شهدا، پلاک 1) و یا از طریق ایمیل arzyabi@afta.gov.ir ارسال کنن.
#ایران #افتا #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
افتا جزییات طرحی با عنوان "طرح ضربتی ارتقاء سطح آمادگی برای شناسایی و مقابله با حملات سایبری" رو در سال 1403 با هدف ارتقای امنیت سایبری منتشر کرده بود. مهلت این طرح، شهریور 1404 تمام شد.
بعد از جنگ 12 روزره و تشدید حملات اسرائیل و آمریکا در حوزه ی سایبری، نسخه ی جدیدی از این طرح رو برای اجرا از مهر 1404 تا شهریور 1405 تدوین کرده و از تمامی صاحب نظران این حوزه دعوت کرده تا ضمن مطالعه طرح، نظرات، انتقادات و پیشنهادات خودشون رو تا پایان آبان ماه به دبیرخانه این مرکز(تهران، خیابان شهید بهشتی، خیابان قائم مقام فراهانی، خیابان شهدا، پلاک 1) و یا از طریق ایمیل arzyabi@afta.gov.ir ارسال کنن.
#ایران #افتا #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
❤8
🔴 اصلاح آسیب پذیری بحرانی در FortiWeb
فورتی نت آسیب پذیری با شناسه ی CVE-2025-64446 و از نوع Path Traversal و با امتیاز 9.8 رو در FortiWeb اصلاح کرده که بطور فعال، در حال اکسپلویت هستش.
آسیب پذیری در مؤلفه GUI محصول FortiWeb هستش و به مهاجمان بدون احرازهویت اجازه میده از طریق درخواستهای HTTP/HTTPS مخرب، دستورات مدیریتی رو اجرا کنن.
نسخه های تحت تاثیر:
FortiWeb 8.0 8.0.0 through 8.0.1
FortiWeb 7.6 7.6.0 through 7.6.4
FortiWeb 7.4 7.4.0 through 7.4.9
FortiWeb 7.2 7.2.0 through 7.2.11
FortiWeb 7.0 7.0.0 through 7.0.11
نسخه های اصلاح شده:
8.0.2 or above
7.6.5 or above
7.4.10 or above
7.2.12 or above
7.0.12 or above
نکته جالب در خصوص این آسیب پذیری، اصلاح بی سر و صدای اون هستش. بازیگران تهدید از اوایل اکتبر، از طریق اکسپلویت این آسیب پذیری، کاربر ادمین می ساختن.
شرکت هوش تهدید Defused اولین بار در ۶ اکتبر این حملات رو شناسایی و یک PoC برای اون منتشر و اعلام کرد که اکسپلویتِش، احتمالا مشابه CVE-2022-40684 هستش که برای ارسال درخواستهای POST به مسیر زیر استفاده میشه تا اکانت ادمین محلی جدید ساخته بشه:
روز پنجشنبه، محققای watchTowr Labs هم یک اکسپلویت رو نمایش و ابزاری بنام FortiWeb Authentication Bypass Artifact Generator رو منتشر کردن تا به مدافعان برای شناسایی دستگاههای آسیبپذیر کمک کنه.
شرکت امنیتی Rapid7 هم اعلام کرد که این نقص روی نسخههای 8.0.1 و قبلتر تأثیر میذاره و تأیید کرد که PoC منتشر شده بعد از بروزرسانی به نسخه 8.0.2 دیگه کار نمیکنه.
در نهایت فورتی نت این آسیب پذیری رو بی سر و صدا و بعد از سه هفته از اولین گزارش اکسپلویت، در نسخه 8.0.2 که در ۲۸ اکتبر منتشر شد، اصلاح کرد.
اگه نمیتونید به نسخه های جدید بروزرسانی کنید، توصیه شده دستگاه رو در معرض اینترنت قرار ندید.
همچنین توصیه شده ادمینها، پیکربندی و لاگها رو برای وجود اکانتهای ادمین غیر مجاز جدید یا تغییرات مشکوک بررسی کنن./ منبع
#فورتی_نت #بازیگران_تهدید #زیرودی
#FortiWeb #Fortinet #0day #PathTraversal
🆔 @onhex_ir
➡️ ALL Link
فورتی نت آسیب پذیری با شناسه ی CVE-2025-64446 و از نوع Path Traversal و با امتیاز 9.8 رو در FortiWeb اصلاح کرده که بطور فعال، در حال اکسپلویت هستش.
آسیب پذیری در مؤلفه GUI محصول FortiWeb هستش و به مهاجمان بدون احرازهویت اجازه میده از طریق درخواستهای HTTP/HTTPS مخرب، دستورات مدیریتی رو اجرا کنن.
نسخه های تحت تاثیر:
FortiWeb 8.0 8.0.0 through 8.0.1
FortiWeb 7.6 7.6.0 through 7.6.4
FortiWeb 7.4 7.4.0 through 7.4.9
FortiWeb 7.2 7.2.0 through 7.2.11
FortiWeb 7.0 7.0.0 through 7.0.11
نسخه های اصلاح شده:
8.0.2 or above
7.6.5 or above
7.4.10 or above
7.2.12 or above
7.0.12 or above
نکته جالب در خصوص این آسیب پذیری، اصلاح بی سر و صدای اون هستش. بازیگران تهدید از اوایل اکتبر، از طریق اکسپلویت این آسیب پذیری، کاربر ادمین می ساختن.
شرکت هوش تهدید Defused اولین بار در ۶ اکتبر این حملات رو شناسایی و یک PoC برای اون منتشر و اعلام کرد که اکسپلویتِش، احتمالا مشابه CVE-2022-40684 هستش که برای ارسال درخواستهای POST به مسیر زیر استفاده میشه تا اکانت ادمین محلی جدید ساخته بشه:
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi
روز پنجشنبه، محققای watchTowr Labs هم یک اکسپلویت رو نمایش و ابزاری بنام FortiWeb Authentication Bypass Artifact Generator رو منتشر کردن تا به مدافعان برای شناسایی دستگاههای آسیبپذیر کمک کنه.
شرکت امنیتی Rapid7 هم اعلام کرد که این نقص روی نسخههای 8.0.1 و قبلتر تأثیر میذاره و تأیید کرد که PoC منتشر شده بعد از بروزرسانی به نسخه 8.0.2 دیگه کار نمیکنه.
در نهایت فورتی نت این آسیب پذیری رو بی سر و صدا و بعد از سه هفته از اولین گزارش اکسپلویت، در نسخه 8.0.2 که در ۲۸ اکتبر منتشر شد، اصلاح کرد.
اگه نمیتونید به نسخه های جدید بروزرسانی کنید، توصیه شده دستگاه رو در معرض اینترنت قرار ندید.
همچنین توصیه شده ادمینها، پیکربندی و لاگها رو برای وجود اکانتهای ادمین غیر مجاز جدید یا تغییرات مشکوک بررسی کنن./ منبع
#فورتی_نت #بازیگران_تهدید #زیرودی
#FortiWeb #Fortinet #0day #PathTraversal
🆔 @onhex_ir
➡️ ALL Link
X (formerly Twitter)
Defused (@DefusedCyber) on X
⚠️Unknown Fortinet exploit (possibly a CVE-2022-40684 variant) from 64.95.13.8 🇺🇸 ( BLNWX )
VirusTotal Detections: 0/95 🟢
JWT payload translates into:
{
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}
VirusTotal Detections: 0/95 🟢
JWT payload translates into:
{
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}
❤4
🔴 مصاحبه با بنیانگذار BlackHoodie: جامعه ی زنان مهندس معکوس
خانم Justine Benjamin از Hex-Rays مصاحبه ای با خانم Marion Marschalek بنیانگذار BlackHoodie انجام داده که در این پست بصورت کامل ارائه کردیم.
#مهندسی_معکوس
#ReverseEngineering #HexRays #BlackHoodie
🆔 @onhex_ir
➡️ ALL Link
خانم Justine Benjamin از Hex-Rays مصاحبه ای با خانم Marion Marschalek بنیانگذار BlackHoodie انجام داده که در این پست بصورت کامل ارائه کردیم.
#مهندسی_معکوس
#ReverseEngineering #HexRays #BlackHoodie
🆔 @onhex_ir
➡️ ALL Link
❤11
🔴 اخیرا سردار غلامرضا جلالی، رئیس سازمان پدافند غیرعامل اعلام کرده بود که تصاویر دوربین های شهری، توسط یک IP مشخص به خارج از کشور ارسال میشد.
در این خصوص دیده بان ایران، گفتگویی با مهدی عباسی، رئیس کمیسیون شهرسازی و معماری شورای شهر تهران انجام داده.
ایشون درباره احتمال ارسال تصاویر دوربینهای ترافیکی تهران به اسرائیل گفتن: لازمِ درباره تجهیزاتی که از خارج وارد میشن، بویژه تجهیزاتی که در حوزه فناوری و ارتباطات بکار میره و رویکرد سایبری داره و در بستر اینترنت فعاله، با سختگیریهای فراوان عمل کنیم و این تجهیزات باید با عبور از فیلترهای متعدد، مورد بررسی قرار گیرن تا از صحت عملکرد اونا اطمینان حاصل بشه. تجربه نشان داده که با آزمایشهای مربوطه در پدافند غیرعامل، امکان بررسی تجهیزات فراهم است و از آنجا که این امکان وجود داره که اطلاعات ما به خارج از کشور فرستاده بشه، باید خطرناکترین فرضیهها رو در نظر بگیریم و برای مواجهه با اونا آمادگی لازم رو ایجاد کنیم.
ایشون درباره خرید دوربینهای ترافیکی از کشورهای خارجی، گفتن: ما یک تأکید کلی داریم؛ در دنیایی که کشورها یا در رقابت با یکدیگرن یا در دشمنی، برای حفاظت و ایمن نگه داشتن کشور ابتدا باید به توان داخلی فکر کنیم و خود را از درون قدرتمند کنیم. چنانچه هم ناچار به استفاده از خدمات خارج از کشور شویم، لازم است از نوع، کیفیت و صحت عملکرد آن خدمات اطمینان کامل حاصل کنیم و از سلامت اونا مطمئن شویم. پس از دستیابی به این اطمینان، میتوان از آن خدمات استفاده کرد.
ایشون در پاسخ به این سؤال که احتمال داره فرد یا افرادی در شهرداری، تصاویر رو به خارج از کشور ارسال کرده باشن، گفت: بحث این نیست که این اقدام احتمالی توسط چه کسی انجام شده؛ بلکه مهم آنست که تمام فرضیاتی که ممکن است از این زاویه موجب آسیب شود، شناسایی و فهرست شود و برای همه آنها پیشبینیها و پیشگیریهای لازم انجام شود.
ایشون در پایان گفت: فناوری این تجهیزات به قدری پیچیده نیست که مهندسین داخلی ما از تولید اونا ناتوان باشن. باید تولید داخلی این تجهیزات انجام بشه و در بخشهایی که به هر دلیلی، اعم از فنی یا اقتصادی، وابستگی وجود داره، باید این وابستگی به حداقل برسه. در این صورت، هم بازار بزرگی برای تولیدات داخلی ایجاد خواهد شد و هم ایمنی لازم برای شرایط داخلی و استفاده در شهرها فراهم میشود.
#ایران #اخبار_سایبری_جنگ_ایران_اسرائیل
🟥 Telegram | Site | X | Youtube | Github | Donate
در این خصوص دیده بان ایران، گفتگویی با مهدی عباسی، رئیس کمیسیون شهرسازی و معماری شورای شهر تهران انجام داده.
ایشون درباره احتمال ارسال تصاویر دوربینهای ترافیکی تهران به اسرائیل گفتن: لازمِ درباره تجهیزاتی که از خارج وارد میشن، بویژه تجهیزاتی که در حوزه فناوری و ارتباطات بکار میره و رویکرد سایبری داره و در بستر اینترنت فعاله، با سختگیریهای فراوان عمل کنیم و این تجهیزات باید با عبور از فیلترهای متعدد، مورد بررسی قرار گیرن تا از صحت عملکرد اونا اطمینان حاصل بشه. تجربه نشان داده که با آزمایشهای مربوطه در پدافند غیرعامل، امکان بررسی تجهیزات فراهم است و از آنجا که این امکان وجود داره که اطلاعات ما به خارج از کشور فرستاده بشه، باید خطرناکترین فرضیهها رو در نظر بگیریم و برای مواجهه با اونا آمادگی لازم رو ایجاد کنیم.
ایشون درباره خرید دوربینهای ترافیکی از کشورهای خارجی، گفتن: ما یک تأکید کلی داریم؛ در دنیایی که کشورها یا در رقابت با یکدیگرن یا در دشمنی، برای حفاظت و ایمن نگه داشتن کشور ابتدا باید به توان داخلی فکر کنیم و خود را از درون قدرتمند کنیم. چنانچه هم ناچار به استفاده از خدمات خارج از کشور شویم، لازم است از نوع، کیفیت و صحت عملکرد آن خدمات اطمینان کامل حاصل کنیم و از سلامت اونا مطمئن شویم. پس از دستیابی به این اطمینان، میتوان از آن خدمات استفاده کرد.
ایشون در پاسخ به این سؤال که احتمال داره فرد یا افرادی در شهرداری، تصاویر رو به خارج از کشور ارسال کرده باشن، گفت: بحث این نیست که این اقدام احتمالی توسط چه کسی انجام شده؛ بلکه مهم آنست که تمام فرضیاتی که ممکن است از این زاویه موجب آسیب شود، شناسایی و فهرست شود و برای همه آنها پیشبینیها و پیشگیریهای لازم انجام شود.
ایشون در پایان گفت: فناوری این تجهیزات به قدری پیچیده نیست که مهندسین داخلی ما از تولید اونا ناتوان باشن. باید تولید داخلی این تجهیزات انجام بشه و در بخشهایی که به هر دلیلی، اعم از فنی یا اقتصادی، وابستگی وجود داره، باید این وابستگی به حداقل برسه. در این صورت، هم بازار بزرگی برای تولیدات داخلی ایجاد خواهد شد و هم ایمنی لازم برای شرایط داخلی و استفاده در شهرها فراهم میشود.
#ایران #اخبار_سایبری_جنگ_ایران_اسرائیل
🟥 Telegram | Site | X | Youtube | Github | Donate
دیدبان ایران
واکنش عباسی، عضو شورای شهر تهران به استفاده اسرائیل از تصاویر دوربین های شهری: شهرداری باید نظارت بیشتری انجام می داد
مهدی عباسی، عضو شورای شهر تهران به تایید ارسال تصاویر دوربینهای ترافیکی پایتخت به اسرائیل به دیدهبان ایران گفت: در ابتدا باید گفت شهرداری باید نظارت بیشتری انجام می داد. در دنیایی که کشورها یا در رقابت با یکدیگر هستند یا در دشمنی، برای حفاظت و ایمن نگه…
❤10
🔴 هکرها دوربینهای بیمارستانهای زنان و زایمان در هند رو هک و فیلمهاش رو در تلگرام فروختن.
اوایل امسال، پلیس ایالت گجرات پس از گزارش رسانهها نسبت به ویدئوهایی در یوتیوب هشداری دریافت کرده. برخی از این ویدئوها زنان باردار رو هنگام انجام معاینات پزشکی و دریافت تزریق از پشت رو نشون میداد. این اتفاق در یک بیمارستان زنان و زایمان در یک شهر رخ داده بود. این ویدئوها لینکی داشتن که بینندگان رو به کانالهای تلگرام برای خرید نسخه های طولانیتر هدایت میکرد.
پلیس گفته تحقیقاتشون یک شبک ی عظیم جرائم سایبری رو افشا کرده که تصاویر حساس حداقل ۵۰,۰۰۰ دوربین مداربسته در هند رو هک، استخراج و در اینترنت میفروختن.
دوربینهای مداربسته در هند، بویژه در مناطق شهری، همه جا دیده میشن. این دوربینها در مراکز خرید، ادارات، بیمارستانها، مدارس، مجتمعهای مسکونی خصوصی و حتی داخل خانه مردم نصب میشن.
کارشناسان هشدار دادن که هر چند CCTV امنیت رو افزایش میده، اما سیستمهایی که به درستی نصب نشن یا بصورت بد مدیریت بشن، میتونن تهدیدی برای حریم خصوصی باشن. در هند، این دوربینها اغلب توسط کارکنانی مدیریت میشن که هیچ آموزش امنیت سایبری ندیدن و برخی مدلهای بومی براحتی قابل سوء استفاده هستن.
سال گذشته دولت فدرال از ایالتها خواست که دوربین مداربسته رو از تأمین کنندگانی که سابقه ی نقص امنیتی و نشت داده دارن، خریداری نکنن و همچنین قوانین جدیدی برای بهبود امنیت سایبری دوربینهای CCTV ارائه کرد. اما همچنان گزارشهایی از هک این دوربینها گزارش میشه.
لاوینا سینها، رئیس واحد جرائم سایبری احمدآباد که مسئول این پرونده بوده گفته: هکرها به دوربین های بیمارستانها، مدارس، دانشگاهها، دفاتر شرکتها و حتی اتاق خواب افراد، در چندین ایالت نفوذ کردن.
هاردیک ماکادیا، بالاترین مقام سایبری گجرات، گفته: ویدیوها بین ۸۰۰ تا ۲,۰۰۰ روپیه (۹ تا ۲۲ دلار) فروخته میشدن و کانالهای تلگرام هم فیدهای زنده از دوربینهای هک شده رو بصورت اشتراکی ارائه میکردن.
پلیس پروندهای رو تحت عناوین مختلف قانون ثبت کرده از جمله نقض حریم خصوصی بیمار زن، انتشار مطالب مستهجن و تروریسم سایبری و با تلگرام و یوتیوب تماس گرفته و ویدئوها حذف شدن.
از ماه فوریه تاکنون، پلیس هشت نفر رو در این پرونده بازداشت کرده. چهار نفر از ماهاراشترا و بقیه از اوتار پرادش، گجرات، دهلی و اوتاراکند. اونا همچنان در بازداشت قضایی هستن تا روند پرونده در دادگاه ادامه پیدا کنه.
وکیل سه تن از متهمان، اتهامات رو رد کرده و گفته اونا هکر نیستن و یکی دیگه هک رو انجام داده.
مدیر یکی از بیمارستانهای درگیر این پرونده گفته که دوربینهای اتاق معاینه و تزریق برای محافظت از پزشکان در برابر اتهامات نادرست نصب شدن. این دوربینها از مناطق حساس حذف شدن.
پلیس گجرات گفته نه بیمارستان و نه هیچ بیماری برای ثبت شکایت رسمی پیش قدم نشده. شکایت در نهایت توسط یک افسر پلیس ثبت شده.
یکی از افسران گفت: بیماران زن میترسن که هویتشان افشا بشه. به همین دلیل حاضر نیستن شکایت ثبت کنن.
دِملو گفته :شرمی که زنان در مواجهه با چنین اتفاقاتی تجربه میکنن، فقط بر ابعاد هولناک ماجرا اضافه میکنه. وقتی بُعد جنسی در میان باشه، قربانی بخاطر ساختار پدرسالار جامعه ی هند دوباره قربانی میشه. اگه میخواهیم زنان از حقوقشان دفاع کنن و مجرمان به عدالت سپرده بشن، باید بعنوان یک جامعه، سرزنش و مقصر دونستن زنان رو متوقف کنیم./ منبع
#هند #بازیگران_تهدید
🟥 Telegram | Site | X | Youtube | Github | Donate
اوایل امسال، پلیس ایالت گجرات پس از گزارش رسانهها نسبت به ویدئوهایی در یوتیوب هشداری دریافت کرده. برخی از این ویدئوها زنان باردار رو هنگام انجام معاینات پزشکی و دریافت تزریق از پشت رو نشون میداد. این اتفاق در یک بیمارستان زنان و زایمان در یک شهر رخ داده بود. این ویدئوها لینکی داشتن که بینندگان رو به کانالهای تلگرام برای خرید نسخه های طولانیتر هدایت میکرد.
پلیس گفته تحقیقاتشون یک شبک ی عظیم جرائم سایبری رو افشا کرده که تصاویر حساس حداقل ۵۰,۰۰۰ دوربین مداربسته در هند رو هک، استخراج و در اینترنت میفروختن.
دوربینهای مداربسته در هند، بویژه در مناطق شهری، همه جا دیده میشن. این دوربینها در مراکز خرید، ادارات، بیمارستانها، مدارس، مجتمعهای مسکونی خصوصی و حتی داخل خانه مردم نصب میشن.
کارشناسان هشدار دادن که هر چند CCTV امنیت رو افزایش میده، اما سیستمهایی که به درستی نصب نشن یا بصورت بد مدیریت بشن، میتونن تهدیدی برای حریم خصوصی باشن. در هند، این دوربینها اغلب توسط کارکنانی مدیریت میشن که هیچ آموزش امنیت سایبری ندیدن و برخی مدلهای بومی براحتی قابل سوء استفاده هستن.
سال گذشته دولت فدرال از ایالتها خواست که دوربین مداربسته رو از تأمین کنندگانی که سابقه ی نقص امنیتی و نشت داده دارن، خریداری نکنن و همچنین قوانین جدیدی برای بهبود امنیت سایبری دوربینهای CCTV ارائه کرد. اما همچنان گزارشهایی از هک این دوربینها گزارش میشه.
لاوینا سینها، رئیس واحد جرائم سایبری احمدآباد که مسئول این پرونده بوده گفته: هکرها به دوربین های بیمارستانها، مدارس، دانشگاهها، دفاتر شرکتها و حتی اتاق خواب افراد، در چندین ایالت نفوذ کردن.
هاردیک ماکادیا، بالاترین مقام سایبری گجرات، گفته: ویدیوها بین ۸۰۰ تا ۲,۰۰۰ روپیه (۹ تا ۲۲ دلار) فروخته میشدن و کانالهای تلگرام هم فیدهای زنده از دوربینهای هک شده رو بصورت اشتراکی ارائه میکردن.
پلیس پروندهای رو تحت عناوین مختلف قانون ثبت کرده از جمله نقض حریم خصوصی بیمار زن، انتشار مطالب مستهجن و تروریسم سایبری و با تلگرام و یوتیوب تماس گرفته و ویدئوها حذف شدن.
از ماه فوریه تاکنون، پلیس هشت نفر رو در این پرونده بازداشت کرده. چهار نفر از ماهاراشترا و بقیه از اوتار پرادش، گجرات، دهلی و اوتاراکند. اونا همچنان در بازداشت قضایی هستن تا روند پرونده در دادگاه ادامه پیدا کنه.
وکیل سه تن از متهمان، اتهامات رو رد کرده و گفته اونا هکر نیستن و یکی دیگه هک رو انجام داده.
مدیر یکی از بیمارستانهای درگیر این پرونده گفته که دوربینهای اتاق معاینه و تزریق برای محافظت از پزشکان در برابر اتهامات نادرست نصب شدن. این دوربینها از مناطق حساس حذف شدن.
پلیس گجرات گفته نه بیمارستان و نه هیچ بیماری برای ثبت شکایت رسمی پیش قدم نشده. شکایت در نهایت توسط یک افسر پلیس ثبت شده.
یکی از افسران گفت: بیماران زن میترسن که هویتشان افشا بشه. به همین دلیل حاضر نیستن شکایت ثبت کنن.
دِملو گفته :شرمی که زنان در مواجهه با چنین اتفاقاتی تجربه میکنن، فقط بر ابعاد هولناک ماجرا اضافه میکنه. وقتی بُعد جنسی در میان باشه، قربانی بخاطر ساختار پدرسالار جامعه ی هند دوباره قربانی میشه. اگه میخواهیم زنان از حقوقشان دفاع کنن و مجرمان به عدالت سپرده بشن، باید بعنوان یک جامعه، سرزنش و مقصر دونستن زنان رو متوقف کنیم./ منبع
#هند #بازیگران_تهدید
🟥 Telegram | Site | X | Youtube | Github | Donate
Bbc
Hackers steal maternity ward CCTV videos in India cybercrime racket
Police say that dozens of videos of pregnant women undergoing medical check-ups were sold on the internet.
❤13
🔴 طبق اعلام کاربران در برخی کشورها، Cloudflare قطع و در نتیجه دسترسی به برخی سایتها با مشکل مواجه شده.
شرکت Cloudflare اعلام کرده که قطعی رو شناسایی و راه حلی اعمال کرده، اما همچنان برخی از سایتها در دسترس نیستن.
حمله سایبری تایید نشده اما برخی گروهها مانند Dark Strom Team، مسئولیت قطعی ها رو به عهده گرفتن.
بهزاد اکبری معاون وزیر ارتباطات و فناوری اطلاعات هم در توییتی اعلام کرده که:
#اینترنت
🟥 Telegram | Site | X | Youtube | Github | Donate
شرکت Cloudflare اعلام کرده که قطعی رو شناسایی و راه حلی اعمال کرده، اما همچنان برخی از سایتها در دسترس نیستن.
حمله سایبری تایید نشده اما برخی گروهها مانند Dark Strom Team، مسئولیت قطعی ها رو به عهده گرفتن.
بهزاد اکبری معاون وزیر ارتباطات و فناوری اطلاعات هم در توییتی اعلام کرده که:
لطفا به گیرندههایتان دست نزنید، هم کلادفلر مشکل دارد و هم قطعی گسترده در خارج از کشور در ارمنستان داریم.
#اینترنت
🟥 Telegram | Site | X | Youtube | Github | Donate
Cloudflarestatus
Cloudflare Status
Welcome to Cloudflare's home for real-time and historical data on system performance.
❤7
OnHex
🔴 طبق اعلام کاربران در برخی کشورها، Cloudflare قطع و در نتیجه دسترسی به برخی سایتها با مشکل مواجه شده. شرکت Cloudflare اعلام کرده که قطعی رو شناسایی و راه حلی اعمال کرده، اما همچنان برخی از سایتها در دسترس نیستن. حمله سایبری تایید نشده اما برخی گروهها مانند…
🔴 شرکت Cloudflare بعد از 6 ساعت قطعی، تونسته همه ی مشکلات رو حل و سرویس هاش رو به حالت نرمال برگردونه.
مشکل از حمله سایبری نبوده. یک اشتباه انسانی در تنظیمات دیتابیس باعث شده یک فایل داخلی که سیستم تشخیص Bot ازش استفاده میکنه، بطور ناخواسته بزرگتر از حد معمول بشه (تقریباً دو برابر شده).
این فایل بعدا به همه ی سرورهای شبکه فرستاده شده. اما نرمافزاری که روی این سرورها کار میکرد، توانایی پردازش فایل به اون بزرگی رو نداشته. برای همین نرمافزار از کار افتاده.
در ابتدا فکر کردن، این اختلال بخاطر یک حمله ی DDoS خیلی بزرگه، اما بعدا فهمیدن مشکل از همان فایل بزرگ شده، هستش. وقتی فایل رو با نسخه ی قبلی و کوچکتر جایگزین کردن، همهچیز به تدریج درست شده و شبکه Cloudflare دوباره کاملا به حالت عادی برگشته./ منبع
دیروز علاوه بر Cloudflare، مشکلاتی در GIT هم رخ داده بود، که اصلاح شده.
#اینترنت
🟥 Telegram | Site | X | Youtube | Github | Donate
مشکل از حمله سایبری نبوده. یک اشتباه انسانی در تنظیمات دیتابیس باعث شده یک فایل داخلی که سیستم تشخیص Bot ازش استفاده میکنه، بطور ناخواسته بزرگتر از حد معمول بشه (تقریباً دو برابر شده).
این فایل بعدا به همه ی سرورهای شبکه فرستاده شده. اما نرمافزاری که روی این سرورها کار میکرد، توانایی پردازش فایل به اون بزرگی رو نداشته. برای همین نرمافزار از کار افتاده.
در ابتدا فکر کردن، این اختلال بخاطر یک حمله ی DDoS خیلی بزرگه، اما بعدا فهمیدن مشکل از همان فایل بزرگ شده، هستش. وقتی فایل رو با نسخه ی قبلی و کوچکتر جایگزین کردن، همهچیز به تدریج درست شده و شبکه Cloudflare دوباره کاملا به حالت عادی برگشته./ منبع
دیروز علاوه بر Cloudflare، مشکلاتی در GIT هم رخ داده بود، که اصلاح شده.
#اینترنت
🟥 Telegram | Site | X | Youtube | Github | Donate
The Cloudflare Blog
Cloudflare outage on November 18, 2025
Cloudflare suffered a service outage on November 18, 2025. The outage was triggered by a bug in generation logic for a Bot Management feature file causing many Cloudflare services to be affected.
❤12
OnHex
🔴 مایکروسافت تأیید کرده که در حال بررسی یک باگ هستش که باعث میشه، نصب اولین بروزرسانی ESU در ویندوز 10 با شناسه KB5068781 روی دستگاههایی که لایسنس سازمانی دارن با خطای 0x800f0922 (CBS_E_INSTALLERS_FAILED) شکست بخوره. به گفته ی کاربران: بروزرسانی ظاهرا با…
🔴 مایکروسافت برای اصلاح خطای 0x800f0922 (CBS_E_INSTALLERS_FAILED) یک بروزرسانی با عنوان KB5072653 Extended Security Updates (ESU) Licensing Preparation Package منتشر کرده.
همچنین برای حل عدم نمایش نیاز به بروزرسانی در WSUS و SCCM، قراره بزودی یک Scan Cab همراه با متادیتای بروزرسانی منتشر کنه./ منبع
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #PatchTuesday
🟥 Telegram | Site | X | Youtube | Github | Donate
همچنین برای حل عدم نمایش نیاز به بروزرسانی در WSUS و SCCM، قراره بزودی یک Scan Cab همراه با متادیتای بروزرسانی منتشر کنه./ منبع
#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #PatchTuesday
🟥 Telegram | Site | X | Youtube | Github | Donate
❤5
OnHex
🔴 اصلاح آسیب پذیری بحرانی در FortiWeb فورتی نت آسیب پذیری با شناسه ی CVE-2025-64446 و از نوع Path Traversal و با امتیاز 9.8 رو در FortiWeb اصلاح کرده که بطور فعال، در حال اکسپلویت هستش. آسیب پذیری در مؤلفه GUI محصول FortiWeb هستش و به مهاجمان بدون احرازهویت…
🔴 فورتی نت دوباره یک آسیب پذیری زیرودی رو در FortiWeb اصلاح کرده. این آسیب پذیری با شناسه ی CVE-2025-58034 و شدت متوسط و امتیاز 6.7، به مهاجم احرازهویت شده امکان OS command injection رو میده. این آسیب پذیری در حملاتی مورد اکسپلویت قرار گرفته. شرکت Trend Micro گفته حدود 2000 مورد سوء استفاده از این آسیب پذیری رو شناسایی کرده.
نسخه های تحت تاثیر:
FortiWeb 8.0 8.0.0 through 8.0.1
FortiWeb 7.6 7.6.0 through 7.6.5
FortiWeb 7.4 7.4.0 through 7.4.10
FortiWeb 7.2 7.2.0 through 7.2.11
FortiWeb 7.0 7.0.0 through 7.0.11
نسخه های اصلاح شده:
8.0.2 or above
7.6.6 or above
7.4.11 or above
Upgrade to 7.2.12 or above
Upgrade to 7.0.12 or above
#فورتی_نت #بازیگران_تهدید #زیرودی
#FortiWeb #Fortinet #0day
🟥 Telegram | Site | X | Youtube | Github | Donate
نسخه های تحت تاثیر:
FortiWeb 8.0 8.0.0 through 8.0.1
FortiWeb 7.6 7.6.0 through 7.6.5
FortiWeb 7.4 7.4.0 through 7.4.10
FortiWeb 7.2 7.2.0 through 7.2.11
FortiWeb 7.0 7.0.0 through 7.0.11
نسخه های اصلاح شده:
8.0.2 or above
7.6.6 or above
7.4.11 or above
Upgrade to 7.2.12 or above
Upgrade to 7.0.12 or above
#فورتی_نت #بازیگران_تهدید #زیرودی
#FortiWeb #Fortinet #0day
🟥 Telegram | Site | X | Youtube | Github | Donate
❤5
🔴 گوگل، هفتمین زیرودی امسال در کروم رو اصلاح کرده. این آسیب پذیری با شناسه ی CVE-2025-13223 و از نوع type confusion و در موتور جاوااسکریپت V8 رخ میده. این آسیب پذیری توسط بازیگران تهدید تحت حمایت دولت، در کمپین های جاسوسی برای هدف قرار دادن افراد پرخطر، از جمله روزنامهنگاران، سیاستمداران مخالف و مخالفان مورد استفاده قرار گرفته.
نسخه های اصلاح شده:
معمولا کروم بصورت خودکار بروزرسانی رو اعمال میکنه اما برای بررسی دستی:
#گوگل #کروم
#CVE #0day #Chrome #Google
🟥 Telegram | Site | X | Youtube | Github | Donate
نسخه های اصلاح شده:
Windows: 142.0.7444.175/.176
Mac: 142.0.7444.176
Linux: 142.0.7444.175
معمولا کروم بصورت خودکار بروزرسانی رو اعمال میکنه اما برای بررسی دستی:
Chrome menu > Help > About Google Chrome
#گوگل #کروم
#CVE #0day #Chrome #Google
🟥 Telegram | Site | X | Youtube | Github | Donate
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 142.0.7444.175/.176 for Windows and 142.0.7444.176 for Mac and 142.0.7444.175 for Linux, which will...
❤3
🔴 معرفی پروژه ی MemScan
این ابزار، امکان اسکن مموری پروسسهای ویندوزی و لینوکسی رو فراهم میکنه و در فرایند دیباگ، مهندسی معکوس، آنالیز داینامیک کاربرد داره.
قابلیتهایی که داره:
- در زبان Rust و با APIهای سطح کاربر توسعه داده شده.
- امکان اسکن حافظه ی یک پروسس برای الگوهای بایتی مشخص رو داره.
- از ویندوز و لینوکس پشتیبانی میکنه.
- نگاشت حافظه برای تشخیص فوری تغییرات.
- مقایسه ی موازی روی نواحی حافظه ی موردنظر.
- توانایی اسکن نواحی حافظه ی بزرگ رو داره.
- فیلتر کردن نواحی حافظه بر اساس مالکیت ماژول.
#ویندوز #لینوکس
#MemScan
🟥 Telegram | Site | X | Youtube | Github | Donate
این ابزار، امکان اسکن مموری پروسسهای ویندوزی و لینوکسی رو فراهم میکنه و در فرایند دیباگ، مهندسی معکوس، آنالیز داینامیک کاربرد داره.
قابلیتهایی که داره:
- در زبان Rust و با APIهای سطح کاربر توسعه داده شده.
- امکان اسکن حافظه ی یک پروسس برای الگوهای بایتی مشخص رو داره.
- از ویندوز و لینوکس پشتیبانی میکنه.
- نگاشت حافظه برای تشخیص فوری تغییرات.
- مقایسه ی موازی روی نواحی حافظه ی موردنظر.
- توانایی اسکن نواحی حافظه ی بزرگ رو داره.
- فیلتر کردن نواحی حافظه بر اساس مالکیت ماژول.
#ویندوز #لینوکس
#MemScan
🟥 Telegram | Site | X | Youtube | Github | Donate
GitHub
GitHub - WilliamRagstad/memscan: Simple memory scanning tool
Simple memory scanning tool. Contribute to WilliamRagstad/memscan development by creating an account on GitHub.
❤7
OnHex
🔴 عنوان برنامه ی Off By One Security این هفته: "ReVault! Compromised by your Secure SoC" هستش. مهمان برنامه: Philippe Laulheret این برنامه ساعت 30 : 21 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه. مکانیسم امنیتی ControlVault یک راه…
🔴 عنوان برنامه ی Off By One Security این هفته: "Burnout: Don’t Get Scorched" هستش.
مهمان برنامه: Jonathan
این برنامه ساعت 30 : 22 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
فرسودگی شغلی (Burnout) یک وضعیت خستگی شدید ذهنی، احساسی و جسمی هستش که معمولا در نتیجه ی استرس طولانی مدت و فشار کاری مداوم ایجاد میشه. وقتی فرد برای مدت طولانی تحت فشار باشه اما نتونه انرژی از دست رفته رو بازیابی کنه، به مرور دچار حالتی میشه که به اون Burnout میگن.
نشانه های این حالت: خستگی شدید و دائمی، بی انگیزگی و بی تفاوتی، کاهش بازده و تمرکز.
در این لایو قراره در خصوص فرسودگی شغلی در مشاغل سایبری صحبت کنن، اینکه چه شکلیه، چطوری جلوش رو بگیرم و چطوری درمانش کنیم.
اگه درگیر فرسودگی شغلی شدید و سوالاتی در این خصوص دارید، این برنامه رو از دست ندید.
#فرسودگی_شغلی
#Burnout
🟥 Telegram | Site | X | Youtube | Github | Donate
مهمان برنامه: Jonathan
این برنامه ساعت 30 : 22 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
فرسودگی شغلی (Burnout) یک وضعیت خستگی شدید ذهنی، احساسی و جسمی هستش که معمولا در نتیجه ی استرس طولانی مدت و فشار کاری مداوم ایجاد میشه. وقتی فرد برای مدت طولانی تحت فشار باشه اما نتونه انرژی از دست رفته رو بازیابی کنه، به مرور دچار حالتی میشه که به اون Burnout میگن.
نشانه های این حالت: خستگی شدید و دائمی، بی انگیزگی و بی تفاوتی، کاهش بازده و تمرکز.
در این لایو قراره در خصوص فرسودگی شغلی در مشاغل سایبری صحبت کنن، اینکه چه شکلیه، چطوری جلوش رو بگیرم و چطوری درمانش کنیم.
اگه درگیر فرسودگی شغلی شدید و سوالاتی در این خصوص دارید، این برنامه رو از دست ندید.
#فرسودگی_شغلی
#Burnout
🟥 Telegram | Site | X | Youtube | Github | Donate
X (formerly Twitter)
Jonathan (@jon__reiter) on X
Proud dad and husband, reverse engineer, exploit developer, author of SANS SEC670, and SEC665. Windows kernel developer, Air Force
❤7
🔴 آسیب پذیری بحرانی CVE-2025-9501 در افزونه ی وردپرسی W3TC
آسیب پذیری با شناسه ی CVE-2025-9501 و از نوع Command Injection و شدت بحرانی و امتیاز 9.1 در افزونه ی وردپرسی W3 Total Cache (W3TC) اصلاح شده.
مهاجم بدون احرازهویت شده، از طریق ارسال کامنت به پستها، میتونه کد PHP اجرا کنه.
نسخه های قبل از 2.8.13، تحت تاثیر این آسیب پذیری هستن.
این پلاگین برای افزایش کارایی و کاهش زمان لوود، روی بیش از یک میلیون سایت نصب شده.
محققای WPscan یک PoC برای این آسیب پذیری توسعه دادن که 24 نوامبر منتشر میشه.
#وردپرس
#CVE #Wordpress #W3TC
🟥 Telegram | Site | X | Youtube | Github | Donate
آسیب پذیری با شناسه ی CVE-2025-9501 و از نوع Command Injection و شدت بحرانی و امتیاز 9.1 در افزونه ی وردپرسی W3 Total Cache (W3TC) اصلاح شده.
مهاجم بدون احرازهویت شده، از طریق ارسال کامنت به پستها، میتونه کد PHP اجرا کنه.
نسخه های قبل از 2.8.13، تحت تاثیر این آسیب پذیری هستن.
این پلاگین برای افزایش کارایی و کاهش زمان لوود، روی بیش از یک میلیون سایت نصب شده.
محققای WPscan یک PoC برای این آسیب پذیری توسعه دادن که 24 نوامبر منتشر میشه.
#وردپرس
#CVE #Wordpress #W3TC
🟥 Telegram | Site | X | Youtube | Github | Donate
WPScan
W3 Total Cache < 2.8.13 - Unauthenticated Command Injection
See details on W3 Total Cache < 2.8.13 - Unauthenticated Command Injection CVE 2025-9501. View the latest Plugin Vulnerabilities on WPScan.
❤4
🔴 سال آینده، Sysmon با ویندوز 11 و ویندوز سرور 2025 ادغام میشه.
مایکروسافت اعلام کرده که سال آینده میخواد Sysmon رو بصورت بومی در ویندوز 11 و ویندوز سرور 2025 قرار بده. اینجوری بدون نیاز به نصب این ابزار، میتونید ازش استفاده کنید.
ابزار Sysmon یا System Monitor یک ابزار رایگان Microsoft Sysinternals هستش که میتونه برای نظارت و مسدود کردن فعالیتهای مخرب/مشکوک و ثبت رویدادها در گزارش رویدادهای ویندوز پیکربندی بشه. بطور پیش فرض میتونه رویدادهای اساسی مانند ایجاد یا خاتمه ی یک پروسس رو لاگ کنه اما با استفاده از فایلهای پیکربندی میشه امکانات نظارتی پیشرفته تری مانند نظارت روی DNS، دستکاری پروسس ها، تغییرات کلیپ بورد و ... ایجاد کرد و یکی از ابزارهای محبوب در شکار تهدیدات (Threat Hunting) است.
الان اینجوری مورد استفاده قرار میگیره که باید دانلود و نصب کنیم تا بتونیم ازش استفاده کنیم، اما از سال آینده، از طریق تنظیمات Optional features، میتونیم فعال/غیرفعال کنیم و همچنین در بروزرسانی ها، نسخه های جدیدتر رو بصورت خودکار دریافت کنیم.
برای استفاده بصورت پیش فرض میتونیم از دستور زیر استفاده کنیم:
برای استفاده از طریق فایل پیکربندی از دستور زیر:
علاوه بر این ادغام، مایکروسافت گفته مستندات این ابزار رو تکمیل تر میکنه تا جامعه بتونه ازش راحتتر استفاده کنه، همچنین قراره ویژگی های مدیریت سازمانی و تشخیص تهدید مبتنی بر هوش مصنوعی رو هم اضافه کنن.
#مایکروسافت #شکار_تهدید #هوش_مصنوعی
#Microsoft #ThreatHunting #Sysmon #AI #Sysinternals
🟥 Telegram | Site | X | Youtube | Github | Donate
مایکروسافت اعلام کرده که سال آینده میخواد Sysmon رو بصورت بومی در ویندوز 11 و ویندوز سرور 2025 قرار بده. اینجوری بدون نیاز به نصب این ابزار، میتونید ازش استفاده کنید.
ابزار Sysmon یا System Monitor یک ابزار رایگان Microsoft Sysinternals هستش که میتونه برای نظارت و مسدود کردن فعالیتهای مخرب/مشکوک و ثبت رویدادها در گزارش رویدادهای ویندوز پیکربندی بشه. بطور پیش فرض میتونه رویدادهای اساسی مانند ایجاد یا خاتمه ی یک پروسس رو لاگ کنه اما با استفاده از فایلهای پیکربندی میشه امکانات نظارتی پیشرفته تری مانند نظارت روی DNS، دستکاری پروسس ها، تغییرات کلیپ بورد و ... ایجاد کرد و یکی از ابزارهای محبوب در شکار تهدیدات (Threat Hunting) است.
الان اینجوری مورد استفاده قرار میگیره که باید دانلود و نصب کنیم تا بتونیم ازش استفاده کنیم، اما از سال آینده، از طریق تنظیمات Optional features، میتونیم فعال/غیرفعال کنیم و همچنین در بروزرسانی ها، نسخه های جدیدتر رو بصورت خودکار دریافت کنیم.
برای استفاده بصورت پیش فرض میتونیم از دستور زیر استفاده کنیم:
sysmon -i
برای استفاده از طریق فایل پیکربندی از دستور زیر:
sysmon -i <name_of_config_file>
علاوه بر این ادغام، مایکروسافت گفته مستندات این ابزار رو تکمیل تر میکنه تا جامعه بتونه ازش راحتتر استفاده کنه، همچنین قراره ویژگی های مدیریت سازمانی و تشخیص تهدید مبتنی بر هوش مصنوعی رو هم اضافه کنن.
#مایکروسافت #شکار_تهدید #هوش_مصنوعی
#Microsoft #ThreatHunting #Sysmon #AI #Sysinternals
🟥 Telegram | Site | X | Youtube | Github | Donate
TECHCOMMUNITY.MICROSOFT.COM
Native Sysmon functionality coming to Windows | Microsoft Community Hub
Learn how to eliminate manual deployment and reduce operational risk with Sysmon functionality in Windows.
❤20
🔴 در نگاه سنتی، تهدیدات دیجیتال و فیزیکی، دو حوزه ی جدا از هم بودن اما در سالهای اخیر، مرز بین این دو، هر روز داره باریکتر میشه.
آمازون اسم این روند جدید رو Cyber-Enabled Kinetic Targeting میگه، جایی که بازیگران تهدید وابسته به دولتها، از عملیات سایبری بصورت سازمانیافته برای تسهیل و تقویت عملیات فیزیکی استفاده میکنن.
برای این قضیه، آمازون دو نمونه از فعالیتهای گروههای هکری منتسب به ایران رو ارائه کرده:
کمپین Imperial Kitten:
۴ دسامبر ۲۰۲۱: به سامانهی AIS یک کشتی نفوذ و به زیرساخت حساس کشتیرانی دسترسی پیدا کردن. آمازون این نفوذ رو شناسایی و به سازمان مربوطه در رفع اون کمک کرده.
۱۴ آگوست ۲۰۲۲: هدفگیری گسترده تر شده و در یکی از موارد به دوربینهای CCTV داخل کشتی دسترسی پیدا کردن که اطلاعات بصری رو بصورت زنده در اختیارشون قرار داده.
۲۷ ژانویه ۲۰۲۴: برای دادههای مکان یابی AIS متعلق به یک کشتی خاص، جستجوهای هدفمندی انجام دادن. تغییر آشکار از شناسایی گسترده به جمعآوری اطلاعات هدفمند.
۱ فوریه ۲۰۲۴: گزارش سنتکام از حملهی موشکی نیروهای حوثی به همان کشتیای که Imperial Kitten در حال ردیابی اون بود. اگرچه حمله ناموفق بود، ارتباط میان شناسایی سایبری و ضربهی فیزیکی کاملا مشخصه.
کمپین MuddyWater:
۱۳ مه ۲۰۲۵: راهاندازی یک سرور مخصوص عملیات شبکهای سایبری.
۱۷ ژوئن ۲۰۲۵: استفاده از این زیرساخت برای دسترسی به یک سرور هک شده دیگه که پخش زندهی دوربینهای CCTV شهر اورشلیم رو ارائه میداد.
۲۳ ژوئن ۲۰۲۵: حملات گستردهی موشکی ایران به اورشلیم. در همان روز، مقامات اسرائیلی اعلام کردن که ایران از دوربینهای امنیتی نفوذ شده برای دریافت اطلاعات لحظهای و تنظیم مسیر موشکها استفاده میکرد.
طبق گزارش The Record، مقامات اسرائیلی از مردم خواستن دوربینهای امنیتی متصل به اینترنت رو خاموش کنن، چون ایران از اونا برای جمعآوری اطلاعات لحظهای و تنظیم هدفگیری موشکها استفاده میکرد.
این گزارش بخشی از ارائه ای با موضوع Ping First, Boom Second در کنفرانس CyberWarCon 2025 هستش که 19 نوامبر برگزار شده و فعلا ویدیوهاش در یوتیوب قرار نگرفته.
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
#APT #CyberWarCon2025 #MuddyWater #ImperialKitten
🟥 Telegram | Site | X | Youtube | Github | Donate
آمازون اسم این روند جدید رو Cyber-Enabled Kinetic Targeting میگه، جایی که بازیگران تهدید وابسته به دولتها، از عملیات سایبری بصورت سازمانیافته برای تسهیل و تقویت عملیات فیزیکی استفاده میکنن.
برای این قضیه، آمازون دو نمونه از فعالیتهای گروههای هکری منتسب به ایران رو ارائه کرده:
کمپین Imperial Kitten:
۴ دسامبر ۲۰۲۱: به سامانهی AIS یک کشتی نفوذ و به زیرساخت حساس کشتیرانی دسترسی پیدا کردن. آمازون این نفوذ رو شناسایی و به سازمان مربوطه در رفع اون کمک کرده.
۱۴ آگوست ۲۰۲۲: هدفگیری گسترده تر شده و در یکی از موارد به دوربینهای CCTV داخل کشتی دسترسی پیدا کردن که اطلاعات بصری رو بصورت زنده در اختیارشون قرار داده.
۲۷ ژانویه ۲۰۲۴: برای دادههای مکان یابی AIS متعلق به یک کشتی خاص، جستجوهای هدفمندی انجام دادن. تغییر آشکار از شناسایی گسترده به جمعآوری اطلاعات هدفمند.
۱ فوریه ۲۰۲۴: گزارش سنتکام از حملهی موشکی نیروهای حوثی به همان کشتیای که Imperial Kitten در حال ردیابی اون بود. اگرچه حمله ناموفق بود، ارتباط میان شناسایی سایبری و ضربهی فیزیکی کاملا مشخصه.
کمپین MuddyWater:
۱۳ مه ۲۰۲۵: راهاندازی یک سرور مخصوص عملیات شبکهای سایبری.
۱۷ ژوئن ۲۰۲۵: استفاده از این زیرساخت برای دسترسی به یک سرور هک شده دیگه که پخش زندهی دوربینهای CCTV شهر اورشلیم رو ارائه میداد.
۲۳ ژوئن ۲۰۲۵: حملات گستردهی موشکی ایران به اورشلیم. در همان روز، مقامات اسرائیلی اعلام کردن که ایران از دوربینهای امنیتی نفوذ شده برای دریافت اطلاعات لحظهای و تنظیم مسیر موشکها استفاده میکرد.
طبق گزارش The Record، مقامات اسرائیلی از مردم خواستن دوربینهای امنیتی متصل به اینترنت رو خاموش کنن، چون ایران از اونا برای جمعآوری اطلاعات لحظهای و تنظیم هدفگیری موشکها استفاده میکرد.
این گزارش بخشی از ارائه ای با موضوع Ping First, Boom Second در کنفرانس CyberWarCon 2025 هستش که 19 نوامبر برگزار شده و فعلا ویدیوهاش در یوتیوب قرار نگرفته.
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
#APT #CyberWarCon2025 #MuddyWater #ImperialKitten
🟥 Telegram | Site | X | Youtube | Github | Donate
CYBERWARCON
Ping First, Boom Second — CYBERWARCON
❤8