‫ سوءاستفاده از نقص انکار سرویس در چندین مسیریاب MIKRO TIK

شرکت MikroTik بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.
 
مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.
 
اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.
 
به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.
 
آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.
 
پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.
 
MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.
 
کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.
 
Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.
 
در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.
 
این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.
 
Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.
 
کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

هشدار مرکز ماهر درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو

مرکز ماهر وزارت ارتباطات درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو هشدار داد.
 
مرکز ماهر با انتشار اطلاعیه‌ای اعلام کرد: یک آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک ‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.
 
آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک
 
یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوءاستفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.
 
این مرکز با معرفی شناسه آسیب‌پذیری ( CVE-2019-1663) و درجه اهمیت این آسیب‌پذیری (بحرانی CVSS3 Base Score 9.8)، مشخصات تجهیزات آسیب‌پذیر را اینگونه اعلام کرد: 
 
RV110W Wireless-N VPN Firewall
 
RV130W Wireless-N Multifunction VPN Router
 
RV215W Wireless-N VPN Router
 
رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.
 
براساس اعلام مرکز ماهر، در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:
 
RV110W Wireless-N VPN Firewall: 1.2.2.1
 
RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
 
RV215W Wireless-N VPN Router: 1.3.1.1
 
آسیب‌پذیری در محصولات ویدئوکنفرانس
 
آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
 
هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.
 
شناسه: CVE-2019-1674
 
درجه اهمیت: بالا CVSS3 Base Score 7.8
 
راه حل موجود برای این آسیب‌پذیری نیز ارتقای نرم‌افزارهای معرفی شده به نسخه به‌روزشده مطابق جدول زیر است.

هشدار مرکز ماهر درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو

مرکز ماهر وزارت ارتباطات درباره آسیب‌پذیری بحرانی برخی محصولات سیسکو هشدار داد.
 
مرکز ماهر با انتشار اطلاعیه‌ای اعلام کرد: یک آسیب‌پذیری بحرانی در مسیریاب‌های ویژه دفاتر کوچک ‫سیسکو (RV110W, RV130W,RV215W) و یک آسیب‌پذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه می‌شوند. برای این محصولات به‌روزرسانی امنیتی منتشر شده است.
 
آسیب‌پذیری در مسیریاب‌های ویژه دفاتر کوچک
 
یک آسیب‌پذیری بحرانی در رابط تحت وب مسیریاب‌های سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم می‌کند. این آسیب‌پذیری، ناشی از اعتبارسنجی نامناسب داده‌های ورودی است. مهاجم می‌تواند با ارسال درخواست HTTP مخرب از این نقص سوءاستفاده کند. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستم‌عامل تجهیز شود.
 
این مرکز با معرفی شناسه آسیب‌پذیری ( CVE-2019-1663) و درجه اهمیت این آسیب‌پذیری (بحرانی CVSS3 Base Score 9.8)، مشخصات تجهیزات آسیب‌پذیر را اینگونه اعلام کرد: 
 
RV110W Wireless-N VPN Firewall
 
RV130W Wireless-N Multifunction VPN Router
 
RV215W Wireless-N VPN Router
 
رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیش‌فرض غیرفعال است.
 
براساس اعلام مرکز ماهر، در نسخه‌های نرم‌افزاری زیر، این نقص برطرف شده است. همه نسخه‌های ماقبل، آسیب‌پذیر هستند:
 
RV110W Wireless-N VPN Firewall: 1.2.2.1
 
RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
 
RV215W Wireless-N VPN Router: 1.3.1.1
 
آسیب‌پذیری در محصولات ویدئوکنفرانس
 
آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیب‌پذیری به مهاجم محلیِ احراز هویت نشده اجازه می‌دهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
 
هرچند برای بهره‌برداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیط‌های دارای Active Directory، می‌توان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهره‌برداری کرد.
 
شناسه: CVE-2019-1674
 
درجه اهمیت: بالا CVSS3 Base Score 7.8
 
راه حل موجود برای این آسیب‌پذیری نیز ارتقای نرم‌افزارهای معرفی شده به نسخه به‌روزشده مطابق جدول زیر است.

نفوذ به دوربین‌های نظارت تصویری در سطح کشور

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به افزایش شدید تلاش برای نفوذ به دوربین‌های نظارت تصویری در سطح کشور هشدار داد و اعلام کرد که تهران در صدر این حملات قرار دارد.
 
مرکز ماهر اعلام کرد که در روزهای گذشته، تلاش برای نفوذ به دوربین‌های نظارت تصویری از طریق پویش درگاه ۹۵۲۷ در سطح کشور به شدت افزایش پیدا کرده است.
 
این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربین‌های مدار بسته تحت IP است.
 
بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاه‌ها هستند.
 
بررسی‌های مرکز ماهر حاکی از آن است که در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.
 
تهران با ۷۲.۴ درصد حملات، در صدر بیشترین آسیب پذیری ها قرار دارد.
 
مرکز ماهر از کاربران خواست که در صورت استفاده از دوربین‌های مداربسته تحت IP، از دسترسی حفاظت نشده این تجهیزات به اینترنت جلوگیری کنند.
 
این درگاه کاربرد ضروری نداشته و فقط برای عیب‌یابی محصول در زمان تولید فعال شده است.

رتبه دوم کشور ایران در آلودگی به بدافزار استخراج رمز ‌ارز NRSMINER

به گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای :این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.
 
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای طی ارائه گزارشی اعلام کرد: نسخه جدید اکسپلویت EternalBlue  در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نموده‌اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز‌ارز ‫NRSMiner  نیز می‌نماید.
 
به گزارش این مرکز  اکسپلویت EternalBlue یکی از ابزار‌های جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌نمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.
 
بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدید‌ترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت  EternalBlue در کامپیوتر‌های آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.
 
این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز نموده است. این بدافزار به صورت چند‌نخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمز‌ارز و فشرده‌سازی اطلاعات را انجام دهد.
 
این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آن‌ها در دسترس باشد، روی آن اکسپلویت   EternalBlue  را اجرا نموده و در صورت اجرای موفق درب پشتی   DoublePulsar را روی سیستم قربانی جدید نصب می‌نماید. این بدافزار از استخراج کننده رمز‌ارز XMRig برای استخراج رمز‌ارز استفاده می‌کند.
 
به گزارش مرکز ماهر کاربرانی که به‌روز‌رسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب نمائید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.

نقص امنیتی کروم پس از ۳ سال رفع شد

گوگل پس از سه سال از اولین گزارش نقص امنیتی مرورگر «کروم»، با انتشار وصله امنیتی، این نقص را برطرف کرد.
 
به گزارش [مرکز ماهر، گوگل اخیرا یک نقص امنیتی در مرورگر «کروم» اندرویدی را وصله کرده است که اطلاعات مربوط به مدل سخت‌افزاری گوشی‌های هوشمند، نسخه‌ سفت‌افزار و به طور غیرمستقیم سطح وصله‌ امنیتی دستگاه را افشا می‌سازد.
 
این نقص اولین بار سه سال پیش، در ماه می سال ۲۰۱۵ گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی که کارکنان Chrome متوجه شدند اطلاعاتی که مرورگر کروم دستگاه‌های اندرویدی منتشر می‌سازد خطرناک است.
 
این نقص ابتدا توسط محققان امنیتی شرکت امنیت سایبری Nightwatch کشف شد. آن‌ها دریافتند که رشته‌های User-Agent مرورگر کروم نسخه‌های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه‌های دسکتاپی آن است.
 
رشته‌های User-Agent مرورگر کروم اندرویدی علاوه بر جزئیات مرورگر کروم و اطلاعات مربوطه به نسخه‌ سیستم‌عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت‌افزار آن نیز است. شماره ساخت سفت‌افزار نه تنها برای شناسایی دستگاه بلکه برای شناسایی سرویس‌گیرنده و کشور نیز می‌تواند استفاده شود. شماره ساخت به راحتی از وب‌سایت‌های سازنده و سرویس‌گیرنده‌ تلفن همراه قابل دستیابی است.
 
علاوه‌براین، با دانستن شماره ساخت، مهاجمان می‌توانند شماره دقیق سفت‌افزار را تعیین کنند و به‌طور غیرمستقیم تعیین کنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه آسیب‌پذیری‌هایی است. لذا چنین اطلاعات حساسی هرگز نباید در رشته‌ User-Agent گنجانده شوند.
 
مهندسان گوگل این نقص را با حذف شماره ساخت از رشته‌ User-Agent مرورگر کروم اندرویدی برطرف ساختند و در اواسط ماه اکتبر سال ۲۰۱۸، با انتشار نسخه‌ Chrome ۷۰، بی‌سروصدا به کاربران این مرورگر عرضه کردند.
 
البته این رفع نقص هنوز کامل نیست. رشته‌های نام دستگاه هنوز وجود دارند. علاوه‌براین، هر دو رشته‌ نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه‌های پایین‌تر موتور Chrome هستند که برنامه‌های دیگر می‌توانند درون کد آن‌ها تعبیه شوند، بنابراین کاربران می‌توانند محتوای وب را با استفاده از یک مرورگر داخلی شبه کروم مشاهد کنند.
 
Custom Tabs در حال حاضر به‌ندرت استفاده می‌شود اما WebView بسیار محبوب است. از آنجاییکه رفع نقص به مرورگر WebView اعمال نشده است، توسعه‌دهندگان برنامه کاربردی باید به صورت دستی پیکربندی User Agent را تغییر دهند یا کاربران از مرورگر دیگری استفاده کنند.
 
جهت رفع موقت این نقص، کاربران می‌توانند از گزینه‌ «Request Desktop Site» در تنظیمات مرورگر کروم اندرویدی هنگام مشاهده‌ وب‌سایت‌ها در دستگاه تلفن همراهشان استفاده کنند. استفاده از این گزینه در مرورگر کروم اندرویدی، یک رشته‌ User Agent شبیه لینوکس (Linux ) منتشر می‌سازد که دارای نام دستگاه و شماره ساخت سفت‌افزار نیست.
 
محققان امنیتی بر این باورند که تمامی نسخه‌های قبلی مرورگر کروم تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و به تمامی کاربران توصیه می‌کنند مرورگر کروم خود را به نسخه‌ ۷۰ یا نسخه‌های بعدتر ارتقا دهند.

نقص امنیتی کروم پس از ۳ سال رفع شد

گوگل پس از سه سال از اولین گزارش نقص امنیتی مرورگر «کروم»، با انتشار وصله امنیتی، این نقص را برطرف کرد.
 
به گزارش [مرکز ماهر، گوگل اخیرا یک نقص امنیتی در مرورگر «کروم» اندرویدی را وصله کرده است که اطلاعات مربوط به مدل سخت‌افزاری گوشی‌های هوشمند، نسخه‌ سفت‌افزار و به طور غیرمستقیم سطح وصله‌ امنیتی دستگاه را افشا می‌سازد.
 
این نقص اولین بار سه سال پیش، در ماه می سال ۲۰۱۵ گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی که کارکنان Chrome متوجه شدند اطلاعاتی که مرورگر کروم دستگاه‌های اندرویدی منتشر می‌سازد خطرناک است.
 
این نقص ابتدا توسط محققان امنیتی شرکت امنیت سایبری Nightwatch کشف شد. آن‌ها دریافتند که رشته‌های User-Agent مرورگر کروم نسخه‌های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه‌های دسکتاپی آن است.
 
رشته‌های User-Agent مرورگر کروم اندرویدی علاوه بر جزئیات مرورگر کروم و اطلاعات مربوطه به نسخه‌ سیستم‌عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت‌افزار آن نیز است. شماره ساخت سفت‌افزار نه تنها برای شناسایی دستگاه بلکه برای شناسایی سرویس‌گیرنده و کشور نیز می‌تواند استفاده شود. شماره ساخت به راحتی از وب‌سایت‌های سازنده و سرویس‌گیرنده‌ تلفن همراه قابل دستیابی است.
 
علاوه‌براین، با دانستن شماره ساخت، مهاجمان می‌توانند شماره دقیق سفت‌افزار را تعیین کنند و به‌طور غیرمستقیم تعیین کنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه آسیب‌پذیری‌هایی است. لذا چنین اطلاعات حساسی هرگز نباید در رشته‌ User-Agent گنجانده شوند.
 
مهندسان گوگل این نقص را با حذف شماره ساخت از رشته‌ User-Agent مرورگر کروم اندرویدی برطرف ساختند و در اواسط ماه اکتبر سال ۲۰۱۸، با انتشار نسخه‌ Chrome ۷۰، بی‌سروصدا به کاربران این مرورگر عرضه کردند.
 
البته این رفع نقص هنوز کامل نیست. رشته‌های نام دستگاه هنوز وجود دارند. علاوه‌براین، هر دو رشته‌ نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه‌های پایین‌تر موتور Chrome هستند که برنامه‌های دیگر می‌توانند درون کد آن‌ها تعبیه شوند، بنابراین کاربران می‌توانند محتوای وب را با استفاده از یک مرورگر داخلی شبه کروم مشاهد کنند.
 
Custom Tabs در حال حاضر به‌ندرت استفاده می‌شود اما WebView بسیار محبوب است. از آنجاییکه رفع نقص به مرورگر WebView اعمال نشده است، توسعه‌دهندگان برنامه کاربردی باید به صورت دستی پیکربندی User Agent را تغییر دهند یا کاربران از مرورگر دیگری استفاده کنند.
 
جهت رفع موقت این نقص، کاربران می‌توانند از گزینه‌ «Request Desktop Site» در تنظیمات مرورگر کروم اندرویدی هنگام مشاهده‌ وب‌سایت‌ها در دستگاه تلفن همراهشان استفاده کنند. استفاده از این گزینه در مرورگر کروم اندرویدی، یک رشته‌ User Agent شبیه لینوکس (Linux ) منتشر می‌سازد که دارای نام دستگاه و شماره ساخت سفت‌افزار نیست.
 
محققان امنیتی بر این باورند که تمامی نسخه‌های قبلی مرورگر کروم تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و به تمامی کاربران توصیه می‌کنند مرورگر کروم خود را به نسخه‌ ۷۰ یا نسخه‌های بعدتر ارتقا دهند.

هشدار مرکز ماهر به کاربران ایرانی برای استفاده از اسکایپ

مرکز ماهر: یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
 
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
 
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
 
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
 
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.

گسترش بدافزار استخراج ارز دیجیتال در خاورمیانه

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به گسترش یک نمونه از بدافزار استخراج ارز دیجیتال در خاورمیانه هشدار داد و اعلام کرد: ایران در رتبه دوم این آلودگی سایبری قرار دارد.
 
به گزارش مرکز ماهر، نسخه جدید ‫اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده کرده اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز ارز ‫NRSMiner نیز می‌کند.
 
اکسپلویت EternalBlue یکی از ابزارهای جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌کرد. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.
 
بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدیدترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع کرده و با استفاده از اکسپلویت EternalBlue در کامپیوترهای آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که ۵۴ درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از ۱۶ درصد دارد.
 
این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز کرده است. این بدافزار به صورت چندنخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمزارز و فشرده‌سازی اطلاعات را انجام دهد.
 
این بدافزار بقیه تجهیزات محلی در دسترس را اسکن کرده و اگر پورت TCP شماره ۴۴۵ آن‌ها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا کرده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب می‌کند.
 
این بدافزار از استخراج کننده رمزارز XMRig برای استخراج رمزارز استفاده می‌کند.
 
کاربرانی که به‌روزرسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب کرده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب کنید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.

‫ هشدار; رتبه دوم ایران در آلودگی به بدافزار استخراج رمز ‌ارز NRSMINER

نسخه جدید اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نموده‌اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز‌ارز ‫NRSMiner نیز می‌نماید.
 
اکسپلویت EternalBlue یکی از ابزار‌های جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌نمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.
 
بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدید‌ترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت EternalBlue در کامپیوتر‌های آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.
 
این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز نموده است. این بدافزار به صورت چند‌نخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمز‌ارز و فشرده‌سازی اطلاعات را انجام دهد.
 
این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آن‌ها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا نموده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب می‌نماید.
 
این بدافزار از استخراج کننده رمز‌ارز XMRig برای استخراج رمز‌ارز استفاده می‌کند.
 
کاربرانی که به‌روز‌رسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب نمائید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.