فا

‫ اخبار

محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار #‫Crysis برای اولین بار در سال 2016 مشاهده شد و به تازگی نیز در میان کاربران ایرانی شایع شده است. این باج‌افزار از تنظیمات ناامن #‫RDP (کنترل دسکتاپ از راه دور) سوء استفاده می‌کند و با به‌دست آوردن نام کاربری و رمز عبور کاربران به سیستم قربانی از راه دور دسترسی پیدا کرده و فایل اجرایی خود را به صورت دستی در سیستم قربانی اجرا می‌کند. رمزعبورهای ضعیف تنظیم شده برای RDP راه ورود این باج‌افزار به سیستم را بسیار آسان می‌کند.

دریافت پیوست

26 فروردین 1397 برچسب‌ها: گزارشات تحلیلی
هشدار مرکز ماهر در خصوص آسیب‌پذیری بحرانی در سرویس QoS تجهیزات سیسکو

اخیرا #‫آسیب_پذیری با هدف سرویس Quality of Service در سیستم عامل IOS و IOS XE تجهیزات #‫سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصه‌ی #‫CVE_2018_0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "#عدم بررسی مرزحافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP:18999دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.

▪️دستگاه های آسیب پذیر

سرویس و پورت آسیب‌پذیر بصورت پیش‌فرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت #‫DMVPN و نسخه‌ای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیب‌پذیری هستند.
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.

▪️جهت مسدود سازی این آسیب‌پذیری می توانید با استفاده از #‫ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos

25 فروردین 1397 برچسب‌ها: اخبار
اطلاعیه تکمیلی مرکز ماهر در خصوص نقص امنیتی در قابلیت Smart Install تجهیزات سیسکو

پیرو انتشار توصیه نامه اخیر #‫سیسکو به تاریخ ۹ آپریل درخصوص نقص امنیتی در قابلیت #‫Smart_Install، به اطلاع می رساند بنابر اعلام این شرکت، در برخی از محصولات، غیرفعالسازی قابلیت با استفاده از دستور no vstack در هربار راه‌اندازی مجدد (reload) دستگاه لغو گشته و سرویس Smart Install مجددا فعال می‌گردد. تجهیزات تحت تاثیر این نقص عبارتند از:

▫️ Cisco Catalyst 4500 and 4500-X Series Switches: 3.9.2E/15.2(5)E2

▫️ Cisco Catalyst 6500 Series Switches: 15.1(2)SY11, 15.2(1)SY5, 15.2(2)SY3

▫️ Cisco Industrial Ethernet 4000 Series Switches: 15.2(5)E2, 15.2(5)E2a

▫️Cisco ME 3400 and ME 3400E Series Ethernet Access Switches: 12.2(60)EZ11

لذا اکیدا توصیه می گردد در صورت استفاده از این تجهیزات نسبت به #‫بروزرسانی_IOS و یا استفاده از #‫ACL بمنظور مسدود سازی ترافیک ورودی به #‫پورت__4786_TCP تجهیز اقدام نمایید.

توضیحات بیشتر:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi

23 فروردین 1397 برچسب‌ها: اخبار
افشای فایل محلی با بکارگیری تزریق SQL

تزریق SQL با نام مستعار "مادر هک", یکی از آسیبپذیری‌ها شناخته‌شده‌ای است که موجب خسارات زیادی به فضای سایبر شده است. محققان تعدادی از روش‌های مختلف جهت بهره‌برداری از این آسیب‌پذیری را جهت انجام حملاتی مانند دسترسی به داده‌های ذخیرهشده در پایگاهداده، خواندن/ نوشتن کد از/ به سرور و انجام اجرای فرمان با کمک حساب کاربری SAدر MSSQLرا منتشر ساخته‌اند.

در این مقاله، از آسیب‌پذیری SQL Injectionدر تابع "دانلود فایل"استفاده میکنیم تا براساس خروجی‌ای که توسط  SQL queryآسیب‌پذیر ایجاد میشود، فایل را از سرور دانلود کند. سناریویی را در نظر میگیریم که در آن یک کاربر، پارامتری را ارائه میدهد که در پرس‌وجو (کوئری) SQLمورد پردازش قرار میگیرد و پس از پردازش, پرس‌وجو SQLمحل فایل را برمیگرداند. هم‌اکنون، فرض کنید که مقدار بازگشتی توسط پرس‌وجو SQLبه تابعی که فایل محلی را از سرور دانلود میکند, داده شود. در این حالت اگر ورودی کاربر، توسط "برنامه وب"بررسی نشود، مهاجم می‌تواند به‌راحتی جهت دانلود هر فایلی از سرور با محل مشخص‌شده، پرس‌وجوی SQLرا دست‌کاری کند (فایل بایستی مجوز خواندن را داشته باشد).

لذا در این مقاله روش افشای فایل محلی (FPD)[1] در "برنامه وب"مبتنی بر "پی‌اچ پی"و با "پایگاه‌داده MySQL"ارائه میشود. پارامتر دانلود فایل به تزریق SQLآسیب‌پذیر است.

 

[1] https://www.owasp.org/index.php/Full_Path_Disclosure

 

دانلود فایل  پیوست

21 فروردین 1397 برچسب‌ها: هشدارها و راهنمایی امنیتی
هشدار مرکز ماهر درخصوص آسیب‌پذیری جدی ماژول DNNarticle از سیستم مدیریت محتوای DotNetNuke

به اطلاع می رساند در روز جمعه مورخ 17 فروردین ماه 1397 کد سوء‌استفاده مربوط به یک #‫آسیب‌پذیری‌ از ماژول #‫DNNarticle در فضای مجازی منتشر گردید. این ماژول برای مدیریت محتوا در سامانه #‫DotNetNuke استفاده می‌شود. انواع مقاله، اخبار، معرفی محصول و ... نمونه‌هایی از محتوای قابل مدیریت توسط این ماژول می‌باشند. با سوءاستفاده از این آسیب‌پذیری، نفوذگر از راه دور امکان دسترسی به محتویات حساس سرور میزبان وب‌سایت‌ را خواهد داشت. با توجه به عدم وجود #‫وصله_امنیتی مناسب،‌ لازم است مالکین اینگونه وب‌سایت‌ها بلافاصله نسبت به غیرفعال سازی این ماژول اقدام نمایند. در این خصوص بیش از ۱۵۰ وب‌سایت آسیب‌پذیر در کشور شناسایی شده که اطلاع رسانی مستقیم به آنها از سوی مرکز ماهر در جریان است.

20 فروردین 1397 برچسب‌ها: اخبار
هشدار مرکز ماهر در خصوص آسیب پذیری بحرانی در سیستم مدیریت محتوای دروپال

▪️يك آسیب پذیری بحرانی در هسته ی سیستم مدیریت محتوای #‫دروپال با درجه اهمیت بسیار #‫حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است. این #‫آسیب_پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و8 دروپال بدون نیاز به احراز هویت می دهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند. اين آسيب پذيري كه با شناسه #‫CVE_2018_7600 شناخته مي شود بر روی نسخه های مختلف دروپال تاثیر می گذارد:
▫️7.x
▫️8.3.x
▫️8.4.x
▫️.8.5.x
▪️راهکار مقابله بروزرسانی و یا نصب وصله امنیتی ارائه شده است. جزییات آسیب‌پذیری و نحوه رفع آن در فایل پیوست ارائه شده است.

20 فروردین 1397 برچسب‌ها: اخبار
هشدار مرکز ماهر به کاربران بهره‌بردار از روترهای Mikrotik

با توجه به اطلاعیه اخیر شرکت #‫میکروتیک در خصوص روترهای میکروتیک با سیستم عامل RouterOS v6.38.5 به قبل، نسخه جدیدی از #‫بات‌نت Hajime فعال شده و در مقیاس وسیع اقدام به نفوذ و سوءاستفاده از این روترها می نماید.این بات با اسکن آی پی های عمومی در اینترنت و یافتن روترهای با پورت های باز 8291(نرم افزار winbox) و 80 (وب)، از طریق سوءاستفاده از آسیب‌پذیری ملقب به ChimayRed اقدام به نفوذ و بهره‌برداری از منابع روترهای آسیب‌پذیر می‌نماید.

برای ایمن سازی روترها در برابر این آسیپ پذیری رعایت نکات زیر الزامی است:
▪️ #‫سیستم_عامل روتر را بروزرسانی کنید.
▪️ سرویس مدیریت تحت وب روتر را غیرفعال کرده یا دسترسی به آن را به شبکه داخلی خود محدود نمایید. توجه داشته باشید در صورت فعال بودن سرویس و وجود آلودگی در شبکه داخلی، همچنان امکان آلودگی روتر وجود دارد.
▪️ جهت غیرفعال سازی سرویس وب در قسمت IP Service سرویس WWW را غیر فعال نمایید.
▪️ اگر در شبکه خود هات اسپات دارید Webfig را غیرفعال کنید.
▪️ در قسمت IP Service و Allowed-From دسترسی مدیریتی به روتر را فقط به شبکه ای خاص یا آی پی خاص بدهید.

منبع: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499

19 فروردین 1397 برچسب‌ها: اخبار
اطلاعیه مرکز ماهر در خصوص اختلال سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی

در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مضمون در قالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند. لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید. تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد. همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

18 فروردین 1397 برچسب‌ها: اخبار
اطلاعیه مرکز ماهر درخصوص حواشی مطرح شده در فضای مجازی در مورد اپلیکیشن ((روبیکا))

در پی طرح سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرم‏ افزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت. در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است. در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که: ▪️این نرم افزار حریم خصوصی کاربران را نقض نمی کند. ▪️این نرم افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند) ▪️کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند. ▪️نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند. ▪️درخصوص استفاده از نرم افزارهای متن باز با لایسنس GPL و عدم رعایت تعهدات حقوقی مربوط به آن، متاسفانه این موضوع در محصولات داخلی امری رایج بوده و در این محصول نیز مورد توجه واقع نشده است. ▪️درخصوص استفاده از مجوز (certificate) امضای دیجیتال با نام شرکت گوگل لازم به توضیح است که این مجوز بصورت خودامضا (self signed ) بوده و جزییات آن در محیط توسعه اندروید بطور پیش فرض به نام شرکت گوگل ثبت شده است و لازم بود شرکت توسعه دهنده نرم افزار این مشخصات را پیش از انتشار عمومی تغییر می داد. ▪️درخصوص لوگوی اپلیکیشن، اظهارنظر در این مورد در صلاحیت این مرکز نیست.

8 فروردین 1397 برچسب‌ها: اخبار