سوءاستفاده هکرها از نقص امنیتی برطرف نشده ۱۱ سال قبل

بدافزارنویسان، آگهی دهندگان و هکرها با سواستفاده از یک نقص امنیتی در مرورگر فایرفاکس که از ۱۱ سال قبل برطرف نشده، مشکلاتی را برای کاربران ایجاد می کنند.
 
به گزارش زددی نت، در حالی که معمولا بسیاری از شرکت های رایانه ای و نرم افزاری به سرعت آسیب پذیری ها و مشکلات تولیدات خود را برطرف می کنند، ظاهرا موزیلا عجله ای برای برطرف کردن برخی از این مشکلات ندارد.
 
وقوع این مشکل اولین بار توسط شرکت های امنیتی در آوریل سال ۲۰۰۷ به اطلاع موزیلا رسید. اما این شرکت از آن زمان تاکنون نتوانسته این نقص را برطرف کند.
 
از آسیب پذیری یادشده برای طراحی یک آی فریم یا پنجره ورود اطلاعات در درون کدهای منبع وب سایت ها استفاده شده و این آی فریم با به نمایش درآمدن مکرر خواستار دریافت اسامی کاربری و کلمه عبور افراد می شود.
 
از ۱۱ سال قبل تا به حال سوءاستفاده های فراوانی از این مشکل برای سرقت اطلاعات کاربران و وادار کردن آنها به درج اطلاعات شخصیشان به عمل آمده است. نکته مهم اینکه با فشردن علامت ضربدر هم این درخواست مجددا ظاهر می شود و دسترسی به کل پنجره های باز شده در فایرفاکس را مختل می کند.
 
تنها راه حل مشکل مذکور بستن اجباری تمامی پنجره ها و راه اندازی مجدد مرورگر فایرفاکس است. هنوز مشخص نیست آیا موزیلا برنامه ای برای حل این مشکل دارد یا نه.

باگ پورتال وزارت صمت استعلام و استخراج اطلاعات هویتی تمامی ایرانیان را برای افراد غیرمجاز ممکن ساخته بود!

همزمان با اعلام حمله و تلاش ناموفق رژیم صهیونیستی برای دسترسی و استخراج اطلاعات کاربران تلفن همراه ایران، مشخص شده که وجود یک باگ امنیتی در یکی از پورتال های اینترنتی متعلق به وزارت صنعت، معدن و تجارت (صمت)، استعلام و استخراج اطلاعات هویتی تمامی ایرانیان توسط افراد غیرمجاز را ممکن ساخته بود.

DrQcEI8VsAE84l1.jpg

به گزارش خبرنگار آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، به گفته دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در یک رشته توییت، در شب سه‌شنبه ۱۶ آبان، فردی در توییتر با انتشار شواهدی اعلام کرد که بر اثر آسیب‌پذیری یکی از پورتال‌های وزارت صنعت و معدن، امکان استعلام اطلاعات هویتی همه‌ی ایرانیان تنها با وارد کردن کد ملی فراهم شده است. البته این فرد نام پورتال را جهت پیشگیری از سوءاستفاده منتشر نکرده بود و حساب توییتری تازه تاسیس مرکز ماهر از فرد گزارش دهنده درخواست اطلاعات بیشتر نمود. از سوی دیگر این مرکز شبانه با برقراری ارتباط با مسئولین حوزه IT وزارت صمت، ضمن اطلاع رسانی موضوع و درخواست بررسی سریع همه سامانه‌های آن وزارت خانه که دارای API فعال به اطلاعات ثبت‌ احوال هستند، فهرست همه سایت‌های محتمل را دریافت کرد.

به گفته سجاد بنابی، این سایت‌ها از همان زمان بمنظور شناسایی حفره مشابه مورد ارزیابی امنیتی یکی از تیم های تخصصی مرکز ماهر قرار گرفتند و صبح دیروز با توجه به حسن نیت فرد انتشار دهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیب‌پذیری در سامانه‌ی آمار صنعت آن وزارت‌خانه وجود داشته است که پس از اطلاع رسانی به مسؤولین آن وزارت خانه، هم اکنون سامانه از مدار خارج شده است.

دستیار امور جوانان وزیر ارتباطات تاکید کرد: به نظر می‌رسد اگر سامانه‌های ملی کشور از بستر مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات به عنوان متولی دولت الکترونیکی استفاده کنند، احتمال بروز چنین خطاهایی کاهش یابد.

به گزارش ایستنا، فردی به نام حسن ابیات که خود را توسعه دهنده وب معرفی کرده، برای نخستین بار این باگ در پورتال وزارت صمت را که استعلام هویت تمام ایرانیان را برای افراد غیر مجاز ممکن میساخت، گزارش کرده است. وی با انتشار تصویری از تست این باگ که با آن اطلاعات هویتی محمود احمدی نژاد بعنوان نمونه استعلام شده بود، تصریح کرده بود: "در این باگ، با وارد کردن کد ملی هر فرد، دریافت تمامی اطلاعات هویتی وی امکان پذیر بوده و با یک نرم افزار که نوشتن آن بیشتر از 30 دقیقه طول نمیکشد و الگوی کد ملی، میتوان تمام اطلاعات هویتی ایرانیان را سرقت کرد و به همین دلیل، وی در توییتر خود از انتشار نشانی این زیرپورتال وزارت صمت، به دلیل احتمال سوء استفاده دیگر افراد خودداری کرده بود".

هنوز روابط عمومی وزارت صنعت، معدن و تجارت در خصوص این نقصان امنیتی که دسترسی افراد غیرمجاز از سراسر دنیا به اطلاعات هویتی تمامی ایرانیان دارای کارت ملی را ممکن میساخت موضع گیری نکرده است. 

‫ رفع آسیب‌پذیری‌های اجرای کد راه‌دور DRUPAL

توسعه‌دهندگان سیستم مدیریت محتوای ‫Drupal نقص‌‌های مختلف از جمله ‫آسیب‌پذیری‌هایی که می‌توانند منجر به اجرای کد راه‌دور شوند را برطرف ساخته‌اند. یکی از این شکاف‌‌های امنیتی که «بحرانی» رتبه‌بندی شده، ماژول Contextual Links را تحت‌تأثیر قرار داده و لینک‌های متنی درخواستی را به‌درستی اعتبارسنجی نمی‌کند. این آسیب‌‌پذیری می‌تواند منجر به اجرای کد راه‌دور شود، اما مهاجم برای سوءاستفاده، نیاز به یک حساب کاربری دارای مجوز «دسترسی به لینک‌های متنی» دارد.
 
نقص بحرانی دیگر، یک مشکل تزریق در تابع DefaultMailSystem::mail() است. این مشکل ناشی از عدم پاکسازی (sanitization) برخی از متغیر‌ها برای آرگومان‌های شل (shell) در هنگام ارسال رایانامه‌ها است.
لازم به ذکر است که در Drupal، رتبه‌بندی «بحرانی» دومین سطح خطر امنیتی و پس از «بسیار بحرانی» است. پس از «بحرانی»، رتبه‌بندی «نسبتا بحرانی» را داریم.
 
سه آسیب‌پذیری دیگری که در سیستم مدیریت محتوای Drupal برطرف شده‌اند، رتبه‌بندی «نسبتا بحرانی» را به خود اختصاص داده‌اند. این آسیب‌پذیر‌ها، شامل یک مشکل دورزدن دسترسی مربوط به تعدیل محتوا و دو اشکال هدایت باز (open redirect) است.
 
یکی از اشکالات مربوط به هدایت باز پیش از انتشار وصله، به صورت عمومی مستندسازی شده ‌بود. توسعه‌دهندگان Drupal هشدار داده‌اند که تغییرات پیاده‌سازی‌شده برای رفع ضعف دورزدن دسترسی می‌تواند پیامدهایی برای سازگاری عقبگردها داشته باشد.
 
این آسیب‌پذیری‌ها، با انتشار نسخه‌های 7.60، 8.6.2 و 8.5.8 Drupal رفع شده‌اند.
 
به کاربران توصیه می‌شود در اسرع وقت به‌روزرسانی‌های امنیتی را نصب نمایند، زیرا آسیب‌پذیری‌های Drupal در سال‌های گذشته اغلب مورد سوءاستفاده‌ی هکرهای مخرب قرار گرفته‌اند.

نفوذ هکرها به ویندوز ۱۰ با یک حفره امنیتی

آسیب‌پذیری جدیدی در دستیار صوتی کورتانای مایکروسافت یافت شده است که به هکرها اجازه ورود غیمجاز به صفحه قفل ویندوز ۱۰ را می‌دهد.
 
به گزارش زد دی نت، هم اکنون در رویداد هکرهای کلاه سیاه که در شهر لاس وگاس ایالات متحده آمریکا در حال برگزاری است، درباره آسیب پذیری، امنیت سایبری و تقویت فضای مجازی سخنرانی می‌شود و متخصصان و دانشمندان فعال در حوزه‌های مرتبط، درباره یافته و نتایج جدید تحقیقات خود به بحث و گفت‌وگو می‌نشینند.
 
در این رویداد از آسیب‌پذیری جدیدی پرده‌برداری شد که به هکرها اجازه ورود و نفوذ غیرمجاز به رایانه کاربران که به سیستم عامل ویندوز ۱۰ مجهز است، را می‌دهد و اطلاعات شخصی و محرمانه آن‌ها را  به سرقت می‌برد.
 
سپس هکر و مهاجم موردنظر با نفوذ به رایانه شخص قربانی، قادر خواهد بود داده‌های ورودی کاربران را تحت کنترل و مدیریت خود قرار دهد و یا به صورت خودسرانه به بارگزاری فایل اطلاعات شخصی قربانیان در اینترنت بپردازد.
 
این پژوهشگران تاکید کرده‌اند کاربران ویندوز ۱۰ حتی درصورت استفاده از بهترین و قدرتمندترین نرم‌افزارهای آنتی ویروس نیز قادر نخواهند بود از نفوذ هکرها جلوگیری به‌عمل بیاورند.
 
آنها بر این باورند که سیستم عامل ویندوز ۱۰ میزبان حفره‌های امنیتی کوچک و بزرگ بسیاری است که تاکنون مایکروسافت برای برطرف کردن و حذف آن‌ها از پلت‌فرم ویندوز چاره‌ای نیندیشیده است.
 
پیش‌تر هم اخبار بسیاری مبنی بر ضعف امنیتی دستیارهای صوتی و اسپیکرهای هوشمند در فضای مجازی منتشر شده بود که نشان می‌داد اتصال این دستگاه‌های الکترونیکی و هوشمند به رایانه و گوشی‌های موبایل، خطر دسترسی افراد غریب ، ناشناس و هکرها به اطلاعات ذخیره شده شخصی کاربران را با خود به همراه دارد.
 

حمله گسترده به روترهای میکروتیک

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: تعداد زیادی از مسیریاب های داده اینترنتی در کشور (روترهای میکروتیک) به دلیل به روز رسانی نشدن، مورد حمله های گسترده بدافزارها قرار گرفته اند.
 
 
به گزارش روز شنبه ایرنا، روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می توان کلیدی ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه ای از شبکه‌ها که امروزه به آن اینترنت می‌گوییم را شکل می‌دهد.
 
بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای کشور، به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه امسال در خصوص آسیب‌پذیری گسترده‌ی روترهای ‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده اند.
 
مرکز ماهر اعلام کرد: رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت 23 (telnet) از مبداء روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است؛ آلودگی این روترها به صورت عمده از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است. 
مرکز ماهر برای حفاظت از روترهای میکروتیک، توصیه کرد در اسرع وقت بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز روی اینترنت اجرا شود.
 
بر اساس این گزارش، مشاهدات حسگرهای مرکز ماهر در شبکه کشور، در روزهای گذشته حجم حمله های ثبت شده به پورت 23(telnet) افزایش چشمگیری داشته است. براساس بررسی های انجام شده، منشاء این حمله ها به طور عمده تجهیزات اینترنت اشیا (hot) آلوده نظیر مودم های خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.
 
مرکز ماهر مهمترین راهکار پیشگیری و مقابله با این تهدید را بروزرسانی(firmware) تجهیزات و مسدودسازی دسترسی به پورت های کنترلی از جمله پورت 23و 22 اعلام کرد.

هشدار درباره آلودگی روترهای میکروتیک در کشور

با وجود هشدارها درباره آسیب‌پذیری گسترده‌ی روترهای میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران نسبت به به‌روزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده‌اند.
 
به گزارش ایسنا، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) اعلام کرد که متاسفانه علی رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه درباره آسیب‌پذیری گسترده‌ی روترهای میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به به‌روزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده‌اند.
در این رابطه، رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت ۲۳ (telnet) از مبدا روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است. آلودگی این روترها عمدتا از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت ۸۲۹۱ مربوط به سرویس winbox) صورت گرفته است.
 
مرکز ماهر همچنین اعلام کرده که فهرست آدرس‌های IP روترهای آلوده در ساعات آتی در سامانه تعاملی مرکز ماهر در دسترس اعضا خواهد بود. مدیران شبکه عضو سامانه می‌توانند ضمن مراجعه به سامانه تعاملی از آلودگی روترهای کاربران خود مطلع شوند. لذا بمنظور حفاظت از روترهای میکروتیک، اکیدا توصیه می‌گردد سریعا به‌روزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز بر روی اینترنت اجرا گردد.
 
بر این اساس اوایل اردیبهشت ماه مرکز ماهر اعلامکرده بود که شرکت ‫میکروتیک از شناسایی آسیب پذیری جدیدی در همه نسخه‌های RouterOS  از ورژن 6.29 تا 6.43rc3 خبر داده که این آسیب پذیری مربوط به پورت نرم افزار (Winbox (8291 است. در صورتی که این پورت از پیش برروی شبکه اینترنت فعال بوده لازم است اقدامات زیر صورت پذیرد:
 
با اعمال قوانین مناسب فایروال و یا در قسمت IP> Services  دسترسی به سرویس ‫winbox  را محدود به  آدرس‌های شناخته شده از شبکه خود کنید.
 
روتر خود را به اخرین نسخه ارائه شده به‌روزرسانی کنید.
 
رمز عبور دستگاه خود را عوض کنید.

بدافزار VPN FILTER تا این لحظه در ایران قربانی نداشته است

بدافزار VPN FILTER تا این لحظه در ایران قربانی نداشته اما خبرهای دریافتی و رصد و پایش انجام گرفته از احتمال بروز آن در فضای سایبری کشور در روزهای آینده در کشور می دهد.
 
 
به گزارش مرکز ماهر، گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از 500 هزار قربانی در جهان داشته‌است و این عدد نیز افزایش خواهد داشت.
 
لازم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال می‌باشد.
 
تجهیزات و دستگاه‌های برندهای مختلف شامل Linksys،Mikrotik ، NETGEAR و TP-Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت عدم بروز رسانی مستعد آلوده شدن به این بدافزار هستند. با توجه به استفاده‌ی بالای برندهای فوق در کشور، هشدار حاضر ارائه دهندگان سرویسها، مدیران شبکه‌ها و کاربران را مخاطب قرار می دهد که نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدامات لازم را که در ادامه به آنها اشاره شده‌است در دستور کار قراردهند. لازم به ذکر است نوع دستگاه‌های آلوده به این بد‌افزار بیشتر از نوع دستگاه‌های غیر Backbone هستند و قربانیان اصلی این بد‌افزار، کاربران و شرکت‌های ISP کوچک و متوسط می‌باشند. در این گزارش شرح مختصری از شیوه عمل این بد‌افزار و روش‌های مقابله با آن ارایه خواهد شد.
 
تشریح بدافزار:
 
VPNFilter یک بدافزار چند مرحله است که توانایی جمع‌آوری داده از دستگاه‌ قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد. بر خلاف بسیاری از بد‌افزارها روی دستگاه‌های IOT که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بد‌افزار با راه‌اندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. در مرحله اول، دستورات مختلفی (و در برخی اوقات تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.  شکل زیر نمایی از چرخه حیات و ارتباطات بدافزار را نشان می دهد.
 
شناسایی قربانیان:
 
بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است. دستگاه‌های قربانیان پس از آلودگی شروع به پویش بر روی درگاه‌های23, 80, 2000 و 8080  پروتکل TCP می‌کنند و از این طریق قابل شناسایی است (دستگاه‌هایی که مداوم این ۴ پورت را پایش می‌کنند مشکوک به آلودگی هستند).
 
مقابله با آلودگی:
 
به خاطر ماهیت دستگاه‌های آلوده شده و هم به سبب نوع آلودگی چندمرحله‌ای که امکان پاک کردن آن ‌را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار می‌باشد، مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ی آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاه‌های آلوده شده دارای قابلیت‌های ضد‌بد‌افزار داخلی نیز نیستند.
 
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه‌ پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند جهت جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته‌شده مورد استفاده قرار گیرد.
 
بر اساس این گزارش، به کاربران پیشنهاد می شود که در صورت آلودگی، بازگردانی تنظیمات به حالت پیش‌فرض کارخانه منجر به حذف کدهای غیرمقیم  می‌شود ، میان‌افزار و لیست تجهیزاتی که در ادامه گزارش قید شده‌اند حتما به‌روز‌ رسانی  شوند و شرکت‌های ارائه دهنده‌ی سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی کنند.
 
مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.
 
این گزارش حاکی است، VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به‌کارگیری منابع قربانی است که به شدت در حال رشد است. این بد‌افزار ساختاری پیمانه‌ای  دارد که به آن امکان افزودن قابلیت‌های جدید و سوء استفاده از ابزارهای کاربران را فراهم می‌کند. با توجه به استفاده بسیار زیاد از دستگاه‌هایی مورد حمله و دستگاه‌های IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات گردد. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاه‌ها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نمی‌باشد.

آلوده شدن ۵۰۰ هزار روتر در ۵۴ کشور به بدافزار “VPN فیلتر”

بیش از 500 هزار روترِ اغلب خانگی، به بدافزار موسوم به VPNFilter آلوده شدند.
 
 
به گزارش خبرآنلاین، روترهای لینک سیس، نِت گی یر، میکروتیک و تی پی لینک؛ عمده محصولات آلوده‌شده در 54 کشور جهان هستند که در کنار برخی ابزارهای ذخیره‌سازی شبکه / NAS به بدافزار وی پی ان فیلتر آلوده‌شده‌اند.
 
اف بی آی پس از بازکردن بخشی از کد این بدافزار اعلام کرد هکرهای دولتی روسیه (Fancy Bear) پشت این ماجرا هستند که بیشتر دستگاه‌های اوکراینی را موردحمله سایبری خود قرار داده‌اند. (این مقامات مدعی هستند که بدافزار جدید، بدافزار BlackEnergy را که سال گذشته به اوکراین حمله کرد؛ هم‌پوشانی می‌کند و بنابراین سازنده هر دو یکی است.)
 
جاسوس‌افزار تعریف‌شده هدفی چندگانه دارد و در مرحله دوم قابلیت خودتخریبی پیداکرده و با نشستن روی فِرم‌وِر/ Firmware روتر، کنترل کامل دستگاه را از دست مالک درآورده و مالک قادر به ورود به روتر خود نخواهد بود.
 
 
ارسال دستورات از راه دور برای گردآوری دیتای سیستم قربانی، مرحله بعدی حمله سایبری توسط این بدافزار است تا محصولات مربوط به اینترنت اشیاء را تحت مدیریت و فرمان خود در آورد.
 
اما در مرحله سوم از حمله، اپلیکیشنِ مانیتورکردن ترافیکِ اینترنت، روی دستگاه قربانی نصب‌شده و گواهینامه معتبر امنیتی تخریب می‌شود و سپس ارتباطات جدید بین سیستم قربانی و شبکه TOR برقرار می‌شود.
 
برای مقابله با این بدافزار نیاز به آپدیت روتر است که کاربر عادی قادر به انجام آن نیست و به همین خاطر به‌زودی شاهد قربانیان بیشتری خواهیم بود.

هشدار بدافزار VPNFilter

شرکت سیمانتک یک هشدار امنیتی مهم را برای بدافزاری به نام VPNFilter منتشر کرده که روترها و دستگاه‌های NAS را صادر کرده است. این بدافزار روترهای Linksys را آلوده می‌کند.
 
بر خلاف بدافزارهای مشابه در حوزه اینترنت اشیا این بدافزار قادر به ادامه فعالیت در صورت راه‌اندازی مجدد دستگاه ( reboot ) است. بدافزار VPNFilter قابلیت‌های مختلفی دارد از جمله جاسوسی سیستم، ساختن ماژول‌هایی برای آلوده کردن سیستم‌های ارتباطی صنعتی SCADA و …
 
این بدافزار به شکل گسترده‌ای طی هفته‌های اخیر آلودگی سیستم‌ها را افزایش داده و گفته می‌شود یک هدف عمده آن اوکراین است با این حال این بدافزار به شکل گسترده‌ای در سراسر جهان در حال پخش است. 
 
در حال حاضر این بدافزار قادر به آلوده کردن روترهای خانگی و اداری با مدل Linksys ، MikroTik ، Netgear و TP-Link است همچنین بدافزار قادر به آلوده سازی سیتم‌های ذخیره سازی شبکه QNAP و دستگاه‌های NAS است. 
 
لیست دستگاه‌های آلوده :‌
 
Linksys E1200
 
Linksys E2500
 
Linksys WRVS4400N
 
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
 
Netgear DGN2200
 
Netgear R6400
 
Netgear R7000
 
Netgear R8000
 
Netgear WNR1000
 
Netgear WNR2000
 
QNAP TS251
 
QNAP TS439 Pro
 
Other QNAP NAS devices running QTS software
 
TP-Link R600VPN
 
سیمانتک میگوید این بدافزار پیچیده در چندین مرحله در داخل دستگاه‌های آلوده قرار می‌گیرد و احتمال می‌رود دستگاه‌های آلوده برای یک حمله گسترده در آینده نزدیک مورد استفاده قرار گیرند.
 
از کسانی که دستگاه‌های آلوده دارند خواسته شده بلافاصله دستگاه را دوباره راه‌اندازی کرده و نسبت به نصب تازه‌ترین نسخه یا اصلاحیه نرم‌افزاری روتر یا دستگاه‌هشان اقدام کنند. 
 
منبع: سیمانتک
ترجمه: آی تی ایران

آسیب‌پذیری حیاتی در DVR دوربین های مدار بسته

در روزهای گذشته ابزاری از سوی یک محقق آرژانتینی جهت حمله و اخذ دسترسی به دوربین‌های تحت شبکه منتشر نموده است. آسیب پذیری مرتبط با این ابزار دارای شناسه‌ی CVE-2018-9995 می‌باشد. وجود این آسیب پذیری برای حمله کننده این امکان را فراهم می کند تا فرآیند احراز هویت موجود در سرویس وب دستگاه های DVR را دور بزند و بدون انجام احراز هویت به تمامی سرویس های ارائه شده در واسط کاربری وب دسترسی پیدا کند.
 
با ارسال یک درخواست HTTP و قرار دادن مقدار "Cookie: uid=admin," در سرآیند درخواست ارسالی، دستگاه در پاسخ این درخواست، اطلاعات محرمانه حساب کاربری admin به همراه رمز عبور را ارسال می  کند. این اطلاعات بصورت رمزنشده ارسال می شوند و حمله کننده به راحتی گذرواژه حساب مدیر دستگاه را بدست می آورد.
 
در گزارش اولیه منتشر شده توسط این محقق امنیتی، تنها دستگاه های DVR تولیدی شرکت TBK آسیب‌پذیر معرفی شدند. اما در نسخه‌های بروز شده گزارش، تمامی دستگاه های DVR که از روی این نسخه کپی شده اند نیز آسیب پذیر معرفی شده اند. دستگاه های آسیب‌پذیر از خانواده TBK DVR4104و DVR4216 می باشند:
 
Novo
 
CeNova
 
QSee
 
Pulnix
 
XVR 5 in 1 Securus
 
Night OWL
 
DVR Login
 
HVR Login
 
MDVR Login
 
 
برندهای آسیب‌پذیر خوشبختانه در کشور ما رایج نیستند با این وجود لازم است با توجه به آسیب‌پذیری‌های جدی اکثر انواع دوربین‌های تحت شبکه،از در دسترس قراردادن این تجهیزات در اینترنت خودداری نمود. در غیر اینصورت لازم است دسترسی به واسط وب این سامانه ها صرفا به آدرس‌های IP مشخص محدود گردد.