‫ اطلاع‌رسانی‌ها

هشدار مهم در خصوص انتشار باج‌افزار با سوء استفاده از درگاه مدیریتی iLO سرورهای شرکت HP

طی 24 ساعت  گذشته، رصد فضای مجازی نشان دهنده حملاتی مبتنی بر #آسیب‌پذیری‌ های موجود در سرویس #iLo سرورهای #HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی می‌باشد که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌گردد. این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه اندازی مجدد و دسترسی غیر مجاز را میدهد. حملات مذکور بر روی نسخه‌های مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.

اقدامات کلی بعمل آمده:

  • با اعلام حمله باج‌‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO اطمینان حاصل گردید.

  • بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.

  • رصد فضای آدرس IP کشور بر روی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی گردیدند. با شماری از صاحبان این سرویس‌ بر روی بستر اینترنت که در معرض تهدید می‌باشند تماس گرفته شده و هشدار لازم ارائه شد.

  • لازم به ذکر است بررسیها در این خصوص ادامه دارد و جزییات بیشتری در این خصوص منتشر خواهد شد.

توصیه‌های امنیتی:

  • دسترسی درگاه‌های iLo از طریق شبکه‌ی اینترنت بر روی سرورهای HP مسدود گردد. توصیه اکید میشود در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار گردد.

  • در صورت مشاهده هرگونه موردی نظیر پیام باج‌خواهی در iLo Security Login Banner ، تغییر در Boot Order، بهم ریختگی یا پاک شدن بی دلیل پیکربندی و اطلاعات یا هر مورد مرتبط و مشکوک دیگر با مرکز ماهر تماس حاصل نمایید
8 ساعت قبل دسته‌ها: اخبار
هشدار مرکز ماهر در مورد آسیب پذیری جدید در روترهای میکروتیک

شرکت #میکروتیک روز گذشته خبر از شناسایی آسیب پذیری جدیدی در همه نسخه‌های RouterOS  از ورژن 6.29 تا 6.43rc3 داد.این آسیب پذیری مربوط به پورت نرم افزار (Winbox (8291 می باشد. در صورتی که این پورت از پیش بر روی شبکه اینترنت فعال بوده لازم است اقدامات زیر صورت پذیرد:

  • با اعمال قوانین مناسب فایروال و یا در قسمت IP> Services  دسترسی به سرویس #winbox  را محدود به  آدرس‌های شناخته شده از شبکه خود نمایید.

  • روتر خود را به اخرین نسخه ارائه شده بروزرسانی کنید.

  • رمز عبور دستگاه خود را عوض کنید.

برای دریافت جزییات بیشتر کلیک نمایید.

 

4 اردیبهشت 1397 دسته‌ها: اخبار
هشدار مرکز ماهر درخصوص افزایش حملات فیشینگ بانکی در ماه‌های اخیر

 

بر اساس رصد صورت گرفته حملات #فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار #برنامک_های_اندرویدی مخرب یا جعلی صورت می‌‌ پذیرد. لذا توصیه ‌های زیر جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد می‌گردد:

  • پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها 
  • حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر. لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد
  • توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.
  • درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبر می‌باشند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر(cert [@] certcc.ir) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.
  • توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارائه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

 دریافت پیوست

3 اردیبهشت 1397 دسته‌ها: اخبار
وصله‌ی آسيب‌پذيری‌های بحرانی محصولات Adobe

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.
Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد. در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-2018-4932) و دو خطای نوشتن خارج از نوبت (CVE-2018-4935 و CVE-2018-4937). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE-2018-4933 و CVE-2018-4934) و همچنین یک اشکال سرریز پشته (CVE-2018-4936) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های 6.0 تا 6.3 را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-2018-4929) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-2018-4930, CVE-2018-4931) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-2018-4928) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE-2018-4927) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.
در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-2018-4925 و CVE-2018-4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های 4.5.7 و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی 2016 ColdFusion به‌روزرسانی 5 و پیش‌ از آن، همچنین ColdFusion 11، به‌روزرسانی 13 و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE-2018-4939 و CVE-2018-4942 اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-2018-4938)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-2018-4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-2018-4941) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است.
این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی 2.1.0 برنامه‌‌های PhoneGap  پلاگین Push وجود دارد را حل می‌کند.
Adobe  به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.

وصله‌ی #آسيب‌پذيری‌های_بحرانی #محصولات_Adobe

3 اردیبهشت 1397 دسته‌ها: اخبار
اصلاح آسيب‌پذيری موجود در WebLogic Server توسط اوراکل


در روزهای گذشته اوراکل به‌روزرسانی وصله‌ی حیاتی (CPU) را منتشر کرد که در آن آسیب‌پذیری موجود در Oracle WebLogic Server(#CVE_2018_2628)، که امکان اجرای بدون مجوز کد از راه دور را فراهم می‌کرد، اصلاح شده است.
در این آسیب‌پذیری مهاجم غیرمجاز می‌تواند از طریق ارسال شیء جاوا، که به‌طور خاص ایجاد شده است، به پورت 7001 TCP در ترافیک پروتکل T3 (پروتکل اختصاصی Oracle)، از این آسیب‌پذیری سوءاستفاده کند. 
مهاجم با سوءاستفاده از این نقص اجازه پیدا می‌کند که دستورات دلخواهخود را از راه دور اجرا و مجوزهای بیشتری به‌دست آورد و درنتیجه موفق به کنترل و به دست گرفتن  Oracle WLS گردد.  
این آسیب‌پذیری دارای امتیاز CVSS  9.8 از 10 است و نسخه‌های Weblogic server 10.3.6.0, 12.1.3.0, 12.2.1.2 و 12.2.1.3 را تحت تأثیر قرار می‌دهد. 
احتمال دارد نسخه‌های قبلی نیز تحت تأثیر این آسیب‌پذیری‌ها قرار گیرند؛ درنتیجه اوراکل توصیه می‌کند مشتریان، نسخه‌های خود را  به نسخه‌های اصلاح‌شده ارتقاء دهند. همچنین به مراکز عملیات امنیتی (SOC) توصیه می‌شود برای مشاهده افزایش ترافیک در پورت 7001 TCP، نظارت لازم را داشته باشند.

اصلاح #آسيب‌پذيری موجود در #WebLogic_Server توسط #اوراکل

2 اردیبهشت 1397 دسته‌ها: اخبار
هشدار در خصوص آسیب پذیری بحرانی شرکت سیسکو به شماره CVE-2018-0238



#Cisco_USC_Director  یکی از راه‌حل‌های شرکت سیسکو جهت مراکزداده مبتنی بر سرویس‌های ابری می‌باشد، که از بخش‌ها و قابلیت‌های مختلفی تشکیل شده‌است، این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایه‌های مختلف پیاده‌سازی می‌شود، لذا به بخش‌های مختلفی در شبکه و مراکز داده متصل می‌گردد که از اهمیت و حساسیت بالایی برای استفاده کنند‌گان برخوردار می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0238 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM می‌باشد، که طبق اطلاعات منتشر شده مهاجمان از راه‌دور می‌توانند اطلاعات غیرمجاز هر ماشین‌مجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشین‌های مجازی هدف انجام دهند.
آسیب‌پذیری فوق ناشی از عدم تایید هویت صحیح کاربران می‌باشد. جهت سوء استفاده از این آسیب‌پذیری مهاجمان می‌توانند با استفاده از نام‌کاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندی‌ها و دیگر اطلاعات حساس دسترسی داشته و می‌تواند هرگونه اقدامی علیه ماشین‌های مجازی انجام دهند.
نسخه‌های آسیب‌پذیری:
این آسیب پذیری بر روی سیستم های UCS با نسخه 6.0 و 6.5 قبل از Patch 3  که دارای پیکربندی پیش فرض هستند، تاثیر می گذارد.
آسیب‌پذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوء استفاده قرار می‌گیرد. (رابط کاربری Rest API آسیب‌پذیری و تحت تاثیر قرار نمی‌گیرد.)
لازم به ذکر است که هر دو نوع روش‌های احرازهویت به صورت محلی و از طریق سرویس‌دهنده‌های LDAP می‌توانند مورد سوء استفاده قرار گیرند.
راه حل:
این آسیب پذیری در نسخه Cisco UCS Director 6.5.0.3 وصله شده‌است، که مدیران شبکه نیاز به به‌روز رسانی سیستم‌های خود دارند. مسیر دریافت آخرین نسخه به‌روز رسانی شده، در سایت شرکت سازنده در مسیر زیر می‌باشد.
•    Products > Servers - Unified Computing > UCS Director > UCS Director 6.5 > UCS Director Virtual Appliance Software-6
دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:
•    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-uscd
#آسیب_پذیری بحرانی شرکت #سیسکو

1 اردیبهشت 1397 دسته‌ها: اخبار
آسیب پذیری بحرانی سیسکو به شماره CVE-2018-0112


محصول #Cisco_WebEx یکی از راه‌حل‌های پرطرفدار در راه‌اندازی سرویس‌های کنفرانس تحت وب با تنوع سرویس‌ها و خدمات نظیر پشتیبانی از تمام ارتباطات صوتی، ویدیویی و به اشتراک گذاری اسناد و غیره می‌باشد.
آسیب‌پذیری بحرانی با کد #CVE_2018_0112 در خصوص این سیستم متنشر شده‌است که در ادامه بیان می‌گردد:
آسیب پذیری در بخش‌های سیستم‌ هدف از قبیل WebEx Business Suite clients، WebEx Meetings و WebEx Meetings Server could می تواند به مهاجم اجازه اجرای کدهای مخرب از راه دور بر روی سیستم هدف را بدهد در نتیجه کنترل سیستم را در اختیار بگیرد.
این آسیب پذیری ناشی از اعتبارسنجی نادرست داده های ورودی توسط WebEx Clients است. مهاجم می‌تواند از این آسیب پذیری از طریق قابلیت به اشتراک گذاری فایل‌، با یک فایل فلش (.swf) مخرب سوء استفاده کند. بهره برداری از این آسیب پذیری می تواند منجر به اجرای کد دلخواه مهاجم در سیستم هدف گردد.
نسخه های آسیب پذیر:
تمامی استفاده کنندگان از نسخه‌های نرم‌افزاری زیر آسیب‌پذیری می‌باشند.
•        Cisco WebEx Business Suite (WBS31) client builds prior to T31.23.2
•        Cisco WebEx Business Suite (WBS32) client builds prior to T32.10
•        Cisco WebEx Meetings with client builds prior to T32.10
•        Cisco WebEx Meetings Server builds prior to 2.8 MR2
راه حل:
به‌روز رسانی سرویس‌دهنده‌های مورد استفاده توسط مدیران شبکه به آخرین نسخه‌ی منتشر شده توسط شرکت سازنده
دیگر اطلاعات در آدرس زیر توسط شرکت سازنده در دسترس می‌باشد:
•    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wbs
راهنمای وصله #آسیب_پذیری بحرانی #سیسکو 

1 اردیبهشت 1397 دسته‌ها: اخبار
مدیریت مدیران

#جـدول_آخـرین_به‌روزرسـانـی‌ها_و_آسـیب‌پذیـری‌های_نـرم‌افـزارهای_پرکاربرد_در_کشور(فروردین_ماه_1397)

دریافت جدول

1 اردیبهشت 1397 دسته‌ها: هشدارها و راهنمایی امنیتی
مدیریت مدیران

#باج‌افزار_Crysis برای اولین بار در سال 2016 مشاهده شد و به تازگی نیز در میان کاربران ایرانی شایع شده است. این باج‌افزار از تنظیمات ناامن #RDP (کنترل دسکتاپ از راه دور) سوء استفاده می‌کند و با به‌دست آوردن نام کاربری و رمز عبور کاربران به سیستم قربانی از راه دور دسترسی پیدا کرده و فایل اجرایی خود را به صورت دستی در سیستم قربانی اجرا می‌کند. رمزعبورهای ضعیف تنظیم شده برای RDP راه ورود این باج‌افزار به سیستم را بسیار آسان می‌کند.

 

دریافت پیوست

26 فروردین 1397 دسته‌ها: گزارشات تحلیلی
هشدار مرکز ماهر در خصوص آسیب‌پذیری بحرانی در سرویس QoS تجهیزات سیسکو

اخیرا #آسیب_پذیری با هدف سرویس Quality of Service  در سیستم عامل IOS و IOS XE تجهیزات #سیسکو توسط این شرکت گزارش شده است. این آسیب پذیری با مشخصه‌ی #CVE_2018_0151، امکان اجرای کد از راه دور را برای حمله کننده فراهم می کند. این آسیب پذیری به دلیل وجود ضعف "#عدم بررسی مرزحافظه تخصیص داده شده" در کد های سیستم عامل IOS به وجود آمده است.
مهاجم می تواند با بهره برداری از این آسیب پذیری، بسته های مخرب را به پورت UDP:18999دستگاه های آسیب پذیر ارسال کند. هنگامی که بسته ها پردازش می شوند، یک وضعیت سرریز بافر قابل بهره برداری رخ می دهد. یک بهره برداری موفق می تواند به مهاجم اجازه دهد تا کد دلخواه را با سطح دسترسی بالا در دستگاه اجرا کند و یا با reload دستگاه باعث توقف سرویس دهی دستگاه شود.

▪️دستگاه های آسیب پذیر

سرویس و پورت آسیب‌پذیر بصورت پیش‌فرض بر روی تجهیزات سیسکو فعال نیست و تنها تجهیزاتی که از قابلیت #DMVPN  و نسخه‌ای بروز نشده از سیستم عامل سیسکو استفاده می کنند تحت تاثیر این آسیب‌پذیری هستند. 
با استفاده از دستور show udp می توانید از غیر فعال بودن این پورت اطمینان حاصل کنید.

▪️جهت مسدود سازی این آسیب‌پذیری می توانید با استفاده از #ACL، دسترسی به پورت UDP 18999 تجهیز را مسدود نمایید.

منبع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
 

25 فروردین 1397 دسته‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»