افتانا - آخرين عناوين تهدیدات :: rss_full_edition https://www.aftana.ir/threats Wed, 01 Feb 2023 10:40:01 GMT استوديو خبر (سيستم جامع انتشار خبر و اتوماسيون هيئت تحريريه) نسخه 3.0 https://www.aftana.ir/skins/default/fa/{CURRENT_THEME}/ch01_newsfeed_logo.gif تهيه شده توسط افتانا https://www.aftana.ir/ 100 70 fa نقل و نشر مطالب با ذکر نام افتانا آزاد است. Wed, 01 Feb 2023 10:40:01 GMT تهدیدات 60 کشف باگ امنیتی جدید در فیس‌بوک https://www.aftana.ir/fa/doc/news/20339/کشف-باگ-امنیتی-جدید-فیس-بوک مهر: یک محقق نپالی باگی جدید در سیستم احراز هویت دومرحله‌ای فیس‌بوک کشف کرد که باعث می‌شود مهاجمان به شماره موبایل کاربران دسترسی پیدا کنند.به گزارش افتانا، باگی در سیستم متمرکزی که فیس‌بوک برای مدیریت ورود کاربران به حساب‌های فیس‌بوک و اینستاگرام ابداع کرده بود، به هکرها اجازه می‌داد با اطلاع از شماره تماس کاربر قابلیت احراز هویت دومرحله‌ای حساب را خاموش کنند.Gtm Manoz محقق نپالی متوجه شد متا در سیستم جدید مرکز حساب متا (Meta Account Center) تعداد تلاش‌ها برای ورود به حساب کاربری با استفاده از کد احراز هویت دو مرحله را محدود نکرده است. این سیستم به کاربران کمک می‌کند تمام حساب‌های کاربری خود در شرکت متا ( مانند فیس‌بوک و اینستاگرام) را به یکدیگر متصل کنند.هکرها با استفاده از شماره موبایل کاربر می‌توانند وارد حساب‌های تمرکز یافته شوند و شماره موبایل قربانی را وارد و آن را به حساب کاربری خود مرتبط کنند. در مرحله بعد احراز هویت دو مرحله ای را غیرفعال می‌کند. این امر بسیار مهم است زیرا هیچ محدودیتی برای تعداد تلاش‌های یک کاربر برای ورود به سیستم تعیین نشده است.هنگامیکه هکر به کد درست دست یابد، شماره موبایل قربانی به حساب کاربری فیس‌بوک وی متصل می‌شود. چنین حمله‌ای سبب می‌شود متا پیامی‌به قربانیان ارسال و اعلام کند سیستم احراز هویت دو عاملی آن‌ها غیرفعال شده و همزمان موبایل آن‌ها به حساب کاربری فرد دیگری متصل شده است.در این وضعیت هکر می‌تواند با استفاده از روش فیشینگ پسورد حساب کاربری فیس‌بوک را کنترل کند.Manoz سال گذشته میلادی این باگ را در مرکز حساب‌های کاربری متا ردیابی کرد و در نیمه سپتامبر ۲۰۲۲ آن را به شرکت گزارش داد.این شرکت آمریکایی چند روز بعد باگ را برطرف کرد و پاداشی ۲۷هزار و ۲۰۰ دلاری به وی پرداخت کرد. ]]> تهدیدات Tue, 31 Jan 2023 09:37:39 GMT https://www.aftana.ir/fa/doc/news/20339/کشف-باگ-امنیتی-جدید-فیس-بوک توصیه مایکروسافت به کاربران اکسچنج https://www.aftana.ir/fa/doc/news/20335/توصیه-مایکروسافت-کاربران-اکسچنج اختصاصی افتانا: شرکت مایکروسافت به کاربران برنامه اکسچنج توصیه کرد برنامه خود را به‌روزرسانی کنند.به گزارش افتانا به نقل از اینفوسکیوریتی، مایکروسافت از مدیران سرورهای اکسچنج (Exchange) خواسته است تا آن‌ها را اصلاح کرده و به‌روز نگه دارند و هشدار داده است که مهاجمان دست‌بردار نخواهند بود.این غول فناوری روز گذشته در یک پست وبلاگی توصیه کرد که مشتریان آخرین به‌روزرسانی تجمعی (CU) و به‌روزرسانی امنیتی (SU) را روی همه سرورها و در برخی موارد ایستگاه‌های کاری ابزارهای مدیریت اکسچنج (Exchange Management Tools) نصب کنند.CUها برای ساده سازی فرآیند وصله با ترکیب چندین اصلاح در یک به‌روزرسانی واحد طراحی شده‌اند. SU در بالای این‌ها نصب شده است. هر دو به‌روزرسانی جامع هستند، بنابراین سازمان‌ها فقط باید جدیدترین‌ها را نصب کنند.مایکروسافت در وبلاگ خود نوشت: شما جدیدترین CU را نصب می‌کنید، سپس ببینید آیا پس از انتشار CU، SU منتشر شده است یا خیر. اگر چنین است، جدیدترین SU را نصب کنید.در زمان نگارش این مقاله، جدیدترین نسخه‌ها CU12 برای  Exchange Server 2019 و CU23 برای Exchange Server 2016 و Exchange Server 2013 هستند و آخرین نسخه SU به ژانویه ۲۰۲۳ بازمی‌گردد.مایکروسافت هشدار داد: مهاجمانی که به دنبال سوء استفاده از سرورهای اکسچنج اصلاح نشده هستند، از بین نخواهند رفت. جنبه‌های زیادی از محیط‌های اکسچنج داخلی وصله نشده وجود دارد که برای مهاجمانی که به دنبال استخراج داده‌ها یا ارتکاب سایر اعمال مخرب هستند، ارزشمند است.در ادامه نوشته شده است: اولا، صندوق‌های دریافت کاربر اغلب حاوی داده‌های حساس هستند. دوم، هر سرور اکسچنج حاوی یک کپی از دفترچه آدرس شرکت است که اطلاعات زیادی از جمله ساختار سازمانی، عناوین، اطلاعات تماس و موارد دیگر را ارائه می‌دهد و برای حملات مهندسی اجتماعی مفید است. و سوم، اکسچنج دارای قلاب‌ها و مجوزهای عمیق در دایرکتوری فعال و در یک محیط ترکیبی، دسترسی به محیط ابری متصل است.عوامل تهدید چندین بار در سال‌های اخیر از استقرار سرور اکسچنج در محل استفاده کرده‌اند، به‌ویژه در حملات ProxyLogon در مارس ۲۰۲۱ و هدف قرار دادن باگ‌های ProxyNotShell که در نوامبر ۲۰۲۲ وصله شدند.مایکروسافت از مدیران سیستم خواست که همیشه HealthChecker را پس از نصب به‌روزرسانی اجرا کنند تا بررسی کنند که آیا کارهای دستی اضافی برای انجام وجود دارد یا خیر.منبع: Infosecurity ]]> تهدیدات Mon, 30 Jan 2023 12:27:16 GMT https://www.aftana.ir/fa/doc/news/20335/توصیه-مایکروسافت-کاربران-اکسچنج تبحر چت‌جی‌پی‌تی در تولید بدافزار غیر قابل ردیابی https://www.aftana.ir/fa/doc/news/20329/تبحر-چت-جی-پی-تی-تولید-بدافزار-غیر-قابل-ردیابی زومیت: چت‌بات هوش مصنوعی چت‌جی‌پی‌تی قابلیت‌های زیادی دارد و ظاهراً یکی از این مهارت‌ها، نوشتن بدافزارهایی است که می‌توانند رایانه‌های هدف را نابود کنند.به گزارش افتانا، چت‌جی‌پی‌تی (ChatGPT)، چت‌بات مبتنی‌بر هوش مصنوعی با استعدادی است که مهارت‌های آن در انجام کارهای مختلف باعث شده است در چند ماه اخیر به‌شدت مورد توجه رسانه‌ها، کاربران و شرکت‌های بزرگ فناوری قرار گیرد. اکنون به‌نظر می‌رسد این ابزار در ساخت بدافزارهای پیچیده‌ نیز توانایی زیادی دارد.گزارش شرکت امنیتی سایبرآرک (CyberArk) نشان می‌دهد چت‌بات چت‌جی‌پی‌تی که اوپن‌ای‌آی (OpenAI) آن را توسعه داده است، عملکرد بسیار خوبی در ساخت بدافزارها دارد. گفته‌ می‌شود بدافزارهایی که این هوش مصنوعی ایجاد کرده است، می‌توانند آسیب‌های زیادی به سخت‌افزارهای هدف وارد کنند. متخصصان اینفوسک (Infosec) سعی کرده‌اند درمورد قابلیت‌های این ابزار جدید مبتنی بر هوش مصنوعی در گسترش جرایم سایبری، زنگ خطر را به صدا درآورند. البته درحال‌حاضر این چت‌بات به طور گسترده برای ایجاد انواع بدافزارهای پیچیده مورد استفاده قرار نگرفته است.به‌نوشته گیزمودو، کدی که چت‌جی‌پی‌تی نوشته است، قابلیت‌های پیشرفته‌ای را نشان می‌دهد که قادر است انواع محصولات امنیتی را به راحتی دور بزند. درواقع این هوش مصنوعی می‌تواند بدافزارهای معروف به چندشکلی (PolyMorphic) را توسعه دهد. کارشناسان امنیت سایبری CrowdStrike می‌گویند: ویروس پلی‌مورفیک که گاهی با عنوان متامورفیک (MetaMorphic) نیز شناخته می‌شود، نوعی بدافزار است که برنامه‌ریزی شده تا امضای خود را با روش‌های روتین رمزنگاری تغییر دهد و بدین‌ترتیب ابزارهای امنیتی قادر به شناسایی آن نیستند.بدافزارهای پلی‌مورفیک می‌توانند با استفاده از روش‌های رمزنگاری، شکل خود را هنگام مواجه با مکانیزم‌های امنیتی سنتی تغییر دهند. شایان‌ذکر است بسیاری از ابزارهای آنتی‌ویروس و برنامه‌های شناساسی بدافزار از روش تشخیص مبتنی‌بر امضا استفاده می‌کنند.اگرچه فیلترهایی برای چت‌جی‌پی‌تی درنظر گرفته شده است تا جلوی درخواست‌های کاربران را برای ساخت بدافزار بگیرد، اما محققان امنیتی موفق شدند با اصرار بر پیروی از دستورات درخواست‌کننده، این موانع را دور بزنند. به‌عبارت دیگر، آن‌ها پلتفرم هوش مصنوعی را آنقدر مورد آزار و اذیت قرار دادند تا خواسته‌هایشان را برآورده کند.البته چت‌جی‌پی‌تی در پاسخ به درخواست محققان سایبرآرک برای ساخت بدافزار، فقط قطعه کدی را به آن‌ها نشان داد که می‌توان برای ساخت اکسپلویت‌های پیچیده و جلوگیری از شناسایی‌شدن با ابزارهای امنیتی از آن استفاده کرد. نتیجه این است که چت‌جی‌پی‌تی فرآیند هک کردن را برای مجرمان سایبری تازه‌کار آسان‌تر خواهد کرد.در بخشی از گزارش سایبرآرک آمده است: همان‌طور که مشاهده کردیم، استفاده از چت‌جی‌پی‌تی برای ساخت بدافزار، می‌تواند چالش‌های مهمی را برای متخصصان امنیت سایبری ایجاد کند. باید به‌ یاد داشته باشید این مورد فقط یک سناریوی فرضی نیست و یک نگرانی بسیار واقعی به‌حساب می‌آید. ]]> تهدیدات Mon, 30 Jan 2023 05:15:00 GMT https://www.aftana.ir/fa/doc/news/20329/تبحر-چت-جی-پی-تی-تولید-بدافزار-غیر-قابل-ردیابی ایمیل‌های ویروسی صبح‌ها ارسال می‌شوند https://www.aftana.ir/fa/doc/news/20322/ایمیل-های-ویروسی-صبح-ها-ارسال-می-شوند اختصاصی افتانا: مرکز ماهر اطلاع داده است که اکثر ایمیل‌های آلوده در ساعات اولیه صبح ارسال می‌شوند.به گزارش افتانا، طبق اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) بیشترین تعداد ویروس‌ها در هر روز بین ساعت ۸ تا ۹ صبح فرستاده می‌شوند.یکی از متداول‌ترین روش‌های انتشار ویروس‌های رایانه‌ای، بازکردن ایمیل‌های اشخاصی است که به نظر دوست و آشنا هستند اما اینگونه ایمیل‌ها صرفآ جهت انتشار ویروس‌های مخرب و بعضاً سرقت اطلاعات شخصی افراد ارسال می‌شود. در این زمینه گفته شده ویروس‌های رایانه‌ای در قالب ارسال ایمیل از جانب افراد ناشناس جابه‌جا شده و گاهی دارای عناوین جذابی است که کاربران را برای بازکردن آنها، ترغیب می‌کند و در برخی موارد نیز درخواستی مبنی بر کلیک کردن روی لینک اینگونه ایمیل‌ها در قالب ایمیل‌های تبلیغاتی فرستاده می‌شود و گیرنده را برای بازکردن ایمیل‌ها تشویق می‌کند.شهروندان و کاربران باید مراقب این دسته از ایمیل‌ها باشند چراکه این لینک‌های تبلیغاتی آلوده به ویروس بوده و به محض کلیک بر روی آنها ویروس امکان نفوذ به رایانه شخصی را پیدا کرده و می‌تواند زمینه سرقت اطلاعات فردی را نیز فراهم کند؛ یک مقام انتظامی‌از کاربران رایانه و اینترنت درخواست کرد که از کلیک کردن بر روی هر ایمیل مشکوک که بدون هیچ پیامی‌ارسال می‌شود، خودداری کنند تا بدین ترتیب از دام بزه کاران مصون بمانند.در همین رابطه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای به تازگی اعلام کرده است با توجه به گزارش امنیت جهانی که این هفته توسط تحقیقات امنیتی شرکت تراست‌ویو (Trustwave) منتشر شده است بیشترین تعداد ویروس‌ها در هر روز بین ساعت ۸ تا ۹ صبح فرستاده می‌شوند.در این گزارش آمده است: تعداد برنامه‌های اجرایی و ویروس‌های ارسال شده در ساعات اولیه صبح افزایش یافته است. شرکت تراست‌ویو با استفاده از داده‌های جمع آوری شده در سال ۲۰۱۱ از بیش از ۳۰۰ تحقیقات قانونی و پاسخگوی حادثه در ۱۸ کشور، به همراه تجزیه و تحلیل ۱۶ بیلیون ایمیل از سال ۲۰۰۸ تا سال ۲۰۱۱، گزارشی در خصوص امنیت و آسیب‌پذیری‌ها گردآوری کرده است. این شرکت هم چنین نشان می‌دهد که در کدام ماه سال بیشترین ویروس‌ها فرستاده شده‌اند و نتیجه می‌گیرد که ارسال ویروس در ماه سپتامبر به اوج خود رسیده است. به طور کلی، ۳ درصد از ویروس‌های فرستاده شده از طریق ایمیل در ماه‌های آگوست و سپتامبر ارسال شده است.همچنین در اکثر محیط‌ها، زمان آسیب پذیری تا کشف آن حدود شش ماه طول می‌کشد. بنابراین، ماه مارس ۲۰۱۲ باید شلوغ ترین ماه برای پاسخگویان حادثه و آشکار شدن رخنه‌ها باشد. ]]> تهدیدات Sun, 29 Jan 2023 10:00:38 GMT https://www.aftana.ir/fa/doc/news/20322/ایمیل-های-ویروسی-صبح-ها-ارسال-می-شوند ابزار مانیتورینگ کاکتی دچار آسیب‌پذیری شد https://www.aftana.ir/fa/doc/news/20315/ابزار-مانیتورینگ-کاکتی-دچار-آسیب-پذیری مرکز ماهر: کارشناسان امنیت سایبری نسبت به آسیب‌پذیری در نسخه‌های قدیمی ابزار مانیتورینگ کاکتی هشدار دادند.به گزارش افتانا، یک آسیب‌پذیری با شناسه CVE-2022-46169 و شدت بحرانی (۹.۸) در ابزار مانیتورینگ کاکتی (Cacti) کشف شد است که امکان اجرای کد از راه دور را برای مهاجم فراهم خواهد ساخت. جزئیات آسیب‌پذیریکاکتی یکی از ابزارهای مانیتورینگ شبکه است که به‌صورت Opensource و با زبان برنامه‌نویسی PHP طراحی شده است. این ابزار مبتنی ‌بر وب است و جهت ذخیره اطلاعات نمودارها از MySQL استفاده می‌کند. کاکتی در ایران نیز مورد توجه می‌باشد و بسیاری از کاربران، به دلیل راحتی در پیاده‌سازی و منبع باز و رایگان بودن، از آن بهره می‌بردند.این آسیب‌پذیری با CWE-۷۷ منجر به اجرا و تزریق کد از راه دور خواهد شد و به مهاجم احراز هویت نشده این امکان را خواهد داد تا کد دلخواه خود را روی سروری که کاکتی بر روی آن نصب شده است، اجرا کند. این آسیب‌پذیری در فایل remote_agent.php قرار دارد که فایل مذکور، بدون احراز هویت کاربر، قابل دسترسی است.}if (!remote_client_authorized()) print FATAL: You are not authorized to use this service; exit;}این تابع آدرس IP کلاینت را از طریق get_client_addr بازیابی و این آدرس IP را از طریق gethostbyaddr به نام کلاینت مربوطه تفسیر می‌کند.این آسیب‌پذیری دارای بردار حمله CVSS:۳.۱/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H می‌باشد؛ یعنی بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و سوء ‌استفاده از آن نیز نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N). سوء‌ استفاده از این آسیب‌پذیری بر منابع مدیریت‌شده توسط سایر مراجع امنیتی تأثیر نمی‌گذارد (S:U) و با سوء‌ استفاده از آن، هر سه ضلع امنیت به میزان بسیار زیادی تحت تأثیر قرار می‌گیرند (C:H و I:H و A:N).محصولات تحت تأثیرنسخه v۱.۲.۲۲ ابزار کاکتی تحت تأثیر این آسیب‌پذیری قرار دارند.توصیه‌های امنیتیاین آسیب‌پذیری در نسخه‌های ۱.۲.۲۳ و ۱.۳.۰رفع شده است و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء ابزار کاکتی به این نسخه‌ها اقدام کنند. ]]> تهدیدات Sat, 28 Jan 2023 13:00:00 GMT https://www.aftana.ir/fa/doc/news/20315/ابزار-مانیتورینگ-کاکتی-دچار-آسیب-پذیری کشف آسیب‌پذیری‌های متعدد در روترهای سیسکو https://www.aftana.ir/fa/doc/news/20312/کشف-آسیب-پذیری-های-متعدد-روترهای-سیسکو مرکز ماهر: کارشناسان چندین آسیب‌پذیری در روترهای سیسکو کشف کرده‌اند که مهاجمان با سوء استفاده از آن‌ها می‌توانند احراز هویت را دور بزنند.به گزارش افتانا، چند آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Small Business RV016, RV042, RV042G, and R7082 سیسکو گزارش شده است.جزئیات آسیب‌پذیریاین آسیب‌پذیری‌ها با شناسه‌های CVE-2023-20025 و CVE-2023-20026 ردیابی می‌شوند. به دنبال این آسیب‌پذیری‌ها، مهاجمان می‌توانند از راه دور احراز هویت را دور بزنند یا دستورات دلخواه را بر روی سیستم‌عامل دستگاه آسیب‌دیده اجرا کند.این آسیب‌پذیری‌ها به یکدیگر وابسته نیستند و بهره‌برداری از یکی ملزم به بهره‌برداری از آسیب‌پذیری‌ دیگر نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تأثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد، ممکن است تحت تأثیرآسیب‌پذیری دیگر قرار نگیرد.این آسیب‌پذیری‌ها به دلیل اعتبارسنجی نامناسب ورودی کاربر در بسته‌های HTTP ورودی است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP ساختگی به رابط مدیریت مبتنی بر وب، از این آسیب‌پذیری‌ها بهره‌برداری کند.آسیب‌پذیری با شناسه CVE-2023-20025، شدت بحرانی و Base Score ۹.۰:یک آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Small Business R7016, RV042, RV042G, R7082 می‌تواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد تا احراز هویت را در دستگاه آسیب‌دیده دور بزند. یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا احراز هویت را دور بزند و به سیستم‌عامل اصلی دسترسی پیدا کند.آسیب‌پذیری با شناسه CVE-2023-20026، شدت متوسط و Base Score ۶.۵:یک آسیب‌پذیری در رابط مدیریت مبتنی بر وب روترهای Cisco Small Business RV016، RV042، R7042G و R7082 می تواند به مهاجم احراز هویت شده و از راه دور اجازه دهد تا دستورات دلخواه را روی دستگاه آسیب دیده اجرا کند.یک اکسپلویت موفق می‌تواند به مهاجم اجازه دهد تا امتیازات کاربر root را به دست آورد و به داده‌های غیرمجاز دسترسی پیدا کند. برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید دارای مجوزهای کاربر administrative معتبر در دستگاه آسیب‌دیده باشد.محصولات تحت تأثیراین آسیب‌پذیری‌ها بر روی تمام نسخه‌های نرم‌افزاری که بر روی روترهای RV Series Small Business اجرا می‌شوند، تاثیر می‌گذارد:• روترهای RV016 Multi-WAN VPN• روترهای RV042 Dual WAN VPN• روترهای RV042G Dual Gigabit WAN VPN• R7082 Dual WAN VPNتوصیه‌های امنیتیهیچ راه‌حلی برای رفع این آسیب‌پذیری‌ها وجود ندارد. با این حال، مدیران می‌توانند با غیرفعال کردن مدیریت از راه دور و مسدود کردن دسترسی به پورت‌های ۴۴۳ و ۶۰۴۴۳، آسیب‌پذیری‌ها را کاهش دهند. پس از این اقدامات، روترها همچنان از طریق رابط LAN قابل دسترسی خواهند بود.۱. مدیریت از راه دور را با انجام مراحل زیر غیرفعال کنید:- وارد رابط مدیریت مبتنی بر وب دستگاه شوید.- Firewall > General را انتخاب کنید.- تیک کادر Remote Management را بردارید.۲. دسترسی به پورت های ۴۴۳ و ۶۰۴۴۳ را مسدود کنید:ابتدا یک سرویس جدید به قوانین دسترسی دستگاه برای پورت 60443 اضافه کنید. نیازی به ایجاد سرویس برای پورت ۴۴۳ نیست زیرا در لیست سرویس‌ها از پیش تعریف شده است:- وارد رابط مدیریت مبتنی بر وب شوید.- Firewall > Access Rules را انتخاب کنید.- بر روی Service Management کلیک کنید.- در قسمت Service Name، TCP-60443 را وارد کنید.- از لیست کشویی Protocol، TCP را انتخاب کنید.- در هر دو قسمت Port Range، 60443 را وارد کنید.- بر روی Add to List کلیک کنید.- بر روی OK کلیک کنید.در مرحله بعد، قوانین دسترسی را برای مسدود کردن پورت های ۴۴۳ و ۶۰۴۴۳ ایجاد کنید. برای این کار، مراحل زیر را انجام دهید:- وارد رابط مدیریت مبتنی بر وب شوید.- Firewall > Access Rules را انتخاب کنید.- بر روی Add کلیک کنید.- از لیست کشویی Action، گزینه Deny را انتخاب کنید.- از لیست کشویی Service، HTTPS (TCP 443-443) را انتخاب کنید.- از لیست کشویی Log، Log packets match this rule را انتخاب کنید.- از لیست کشویی Source Interface، گزینه‌ای را انتخاب کنید که با اتصال WAN در دستگاه شما مطابقت داشته باشد.- از منوی Source IP، Any را انتخاب کنید.- از لیست Destination IP، Single را انتخاب کنید.- در هر دو قسمت Destination IP، آدرس WAN IP را وارد کنید.- روی Save کلیک کنید.برای ایجاد یک قانون دسترسی برای مسدود کردن پورت ۶۰۴۴۳، مراحل قبل را تکرار کنید، اما برای مرحله ۵، HTTPS (TCP 60443-60443) را از لیست کشویی Service انتخاب کنید.این شرکت گفت: «سیسکو ‌یروزرسانی‌های نرم‌افزاری را برای رفع این آسیب‌پذیری‌ها منتشر نکرده و نخواهد نکرد». در حقیقت روترهای سیسکو Small Business RV016, RV042, RV042G and R7082 وارد فرآیند پایان عمر شده‌اند. ]]> تهدیدات Sat, 28 Jan 2023 10:00:00 GMT https://www.aftana.ir/fa/doc/news/20312/کشف-آسیب-پذیری-های-متعدد-روترهای-سیسکو سرقت فایل‌های پشتیبان مشتریان لست‌پس https://www.aftana.ir/fa/doc/news/20310/سرقت-فایل-های-پشتیبان-مشتریان-لست-پس اختصاصی افتانا: مالک شرکت لست‌پس تأیید کرد که فایل‌های پشتیبان مشتریان این شرکت در حمله سایبری ربوده شده‌اند.به گزارش افتانا و به نقل از تک‌رادار، به‌روزرسانی دیگری در مورد نقض اخیر داده نرم‌افزار مدیریت رمز عبور لست‌پس (LastPass)، اخبار بالقوه بدتری را برای کاربران آن فاش کرده است.پدی سرینیواسان، مدیرعامل شرکت گوتو (GoTo)، شرکت مادر لست‌پس در یک پست وبلاگی فاش کرد مهاجمانی که سرویس ذخیره‌سازی ابری شخص ثالث مشترک بین دو شرکت را هدف قرار داده بودند، موفق به استخراج نسخه پشتیبان رمزگذاری شده مربوط به تعدادی از محصولات شدند.این محصولات عبارتند از Central، Pro، join.me، Hamachi و RemotelyAnywhere.سرینیواسان افزود، علاوه بر پشتیبان‌های رمزگذاری شده، مهاجمان همچنین یک کلید رمزگذاری را برای بخشی از پشتیبان‌های رمزگذاری شده استخراج کردند.داده‌هایی که اکنون در معرض خطر هستند شامل نام‌های کاربری، گذرواژه‌های سالت‌شده و هش‌شده، بخشی از تنظیمات احراز هویت چند عاملی (MFA) و برخی تنظیمات محصول و اطلاعات مجوز است. کارت اعتباری یا جزئیات بانکی تحت تأثیر قرار نگرفت. تاریخ تولد، آدرس خانه و شماره‌های تأمین اجتماعی نیز ایمن هستند، زیرا گوتو هیچ یک از این موارد را ذخیره نمی‌کند.علاوه بر این، زیر مجموعه کوچکی از کاربران Rescue و GoToMyPC تنظیمات احراز هویت چند عاملی آن‌ها را تحت تاثیر قرار داده است. با این حال، گفته شد که پایگاه‌های اطلاعاتی رمزگذاری شده گرفته نشده‌اند.در حالی که همه گذرواژه‌ها مطابق با بهترین شیوه‌ها سالت و هش شده بودند، گوتو همچنان گذرواژه‌های کاربران آسیب دیده را بازنشانی می‌کند و آن‌ها را در صورت امکان مجدداً به تنظیمات احراز هویت چند عاملی وصل می‌کند. مدیرعامل همچنین گفت که این شرکت در حال انتقال حساب‌های آسیب‌دیده به یک پلتفرم مدیریت هویت پیشرفته است تا امنیت بیشتر و گزینه‌های امنیتی مبتنی بر احراز هویت و ورود به سیستم قوی‌تر را فراهم کند.سرینیواسان تأیید کرد که با مشتریان آسیب دیده مستقیماً تماس گرفته می‌شود.لست‌پس برای اولین بار در نوامبر ۲۰۲۲ گزارش داد که گرفتار نقض داده شده است. تحقیقات اولیه نشان داد که هکرها موفق به سرقت خزانه‌های مشتریان شده‌اند که اساساً پایگاه‌های داده حاوی تمام رمزهای عبور آن‌ها است. با این حال، خود خزانه‌ها رمزگذاری شده‌اند، به این معنی که کلاهبرداران برای دسترسی به محتویات آن‌ها زمان چندان زیادی نخواهند گذاشت.کریم توبا، مدیر عامل لست‌پس گفته است: این فیلدهای رمزگذاری شده با رمزگذاری AES دویست و پنجاه و شش بیتی ایمن باقی می‌مانند و تنها با یک کلید رمزگذاری منحصربه‌فرد که از رمز عبور اصلی هر کاربر با استفاده از معماری Zero Knowledge استخراج می‌شود، رمزگشایی می‌شوند. به عنوان یک یادآوری، رمز عبور اصلی هرگز برای لست‌پس شناخته شده نیست و توسط لست‌پس ذخیره یا نگهداری نمی‌شود.منبع: Techradar ]]> تهدیدات Sat, 28 Jan 2023 07:30:00 GMT https://www.aftana.ir/fa/doc/news/20310/سرقت-فایل-های-پشتیبان-مشتریان-لست-پس ویژگی جدید اندروید رمز عبور کاربران را لو می‌دهد https://www.aftana.ir/fa/doc/news/20293/ویژگی-جدید-اندروید-رمز-عبور-کاربران-لو-می-دهد زومیت: مشکل نمایش گذرواژه‌ها در سیستم کپی جدید اندروید ۱۳ آزاردهنده است و امکان دارد امنیت شما را به‌خطر بیندازد.به گزارش افتانا، متن‌های کپی‌شده در حافظه کلیپ‌بورد اندروید تا قبل‌ از انتشار نسخه‌ی ۱۳ این سیستم‌عامل خصوصی بود. ناگفته نماند سیستم کپی نسخه‌های قبلی اندروید کاملاً رضایت‌بخش نبود. به‌همین‌دلیل، گوگل در نسخه‌ی ۱۳ آن، ویژگی کپی جدیدی رونمایی کرد. اکنون وقتی بخشی از متن را انتخاب کنید، حبابی که رشته متن را نمایش می‌دهد، در سمت‌ چپ پایین صفحه نشان داده خواهد شد که این امر گذرواژه‌ها را نیز شامل می‌شود.به‌گزارش PCWorld، اندروید ۱۳ توسعه‌دهندگان را ملزم می‌کند برای خصوصی نگه‌داشتن اطلاعات کپی‌شده، متن مدنظر را به‌عنوان اطلاعات حساس علامت‌گذاری کنند؛ وگرنه سیستم‌عامل فرض می‌کند که متن کپی‌شده ساده است و در این شرایط، حتی گذرواژه‌ها را نمایش می‌دهد. برخی از ابزارهای مدیریت رمز عبور گوشی‌های هوشمند هنوز به‌روزرسانی جدیدی برای سازگاری با این قابلیت ارائه نداده‌اند و همین موضوع می‌تواند باعث کاهش سطح امنیت کاربران شود.مشکل سیستم کپی جدید اندروید ۱۳ همه‌ی کاربران را تحت تأثیر قرار نمی‌دهد؛ زیرا گوشی‌هایی که از نسخه‌هایی غیر از اندروید خام استفاده می‌کنند (مثل گوشی‌های سامسونگ)، احتمالاً رفتار متفاوتی نشان خواهند داد. نسخه اصلی اندروید ۱۳ که نمونه آن را روی گوشی‌های سری پیکسل می‌بینیم، امکان غیرفعال کردن قابلیت کپی جدید را دراختیار کاربر قرار نمی‌دهد.خوشبختانه راهکارهایی برای رفع مشکل نمایش گذرواژه‌های کپی‌شده در اندروید ۱۳ وجود دارد. درواقع، شما دو روش برای رفع این مشکل دراختیار دارید که استفاده از هر دو بسیار آسان است.روش اول: مجوز تکمیل خودکار فرم را به برنامه مدیریت رمزعبور خود ارائه دهیدبرای فعال‌‌کردن این ویژگی، برنامه Settings را در گوشی اندرویدی خود باز و سپس Autofill را جست‌وجو و سرویس تکمیل خودکار (Autofill service) را انتخاب کنید. در گام بعدی، باید برنامه مدیر گذرواژه خود را بین گزینه‌های موجود انتخاب کنید.اکنون هنگامی‌که رمزعبور جدیدی بسازید یا رمز جدیدی در برنامه‌ها یا وب‌سایت‌ها وارد کنید، قابلیت تکمیل خودکار برنامه مدیریت گذرواژه برای آن فیلد ظاهر خواهد شد.روش دوم: به‌روزرسانی برنامه مدیریت رمزعبوراگر به‌ هر دلیلی استفاده از روش اول را ترجیح نمی‌دهید، شاید به‌روزرسانی برنامه مدیریت گذرواژه مشکل امنیتی نمایش رمزعبور را در اندروید ۱۳ برطرف کند.برای این منظور، ابتدا وارد فروشگاه گوگل‌پلی شوید و روی نماد آواتار خود در بالای صفحه ضربه بزنید. درادامه، Manage Apps & Device را انتخاب کنید. اگر به‌روزرسانی جدیدی برای برنامه مدیریت گذرواژه شما دردسترس بود، آن را آپدیت کنید.اگر برنامه مدیر رمزعبور شما به‌روزرسانی جدیدی دریافت نکرده است، بررسی کنید آیا توسعه‌دهنده آن برنامه نسخه جداگانه‌ای منتشر کرده است یا خیر. به‌عنوان مثال، برای 1Password نسخه‌ی ۷ و ۸ کاملاً متفاوت ساخته شده‌اند و فقط نسخه جدیدتر می‌تواند گذرواژه‌ها را هنگام کپی کردن در اندروید ۱۳ به‌طور‌خصوصی نگه دارد.اگر هیچکدام از راهکارهای ارائه‌شده کار نکرد، می‌توانید از برنامه مدیر گذرواژه دیگری استفاده کنید. ]]> تهدیدات Sun, 22 Jan 2023 06:30:00 GMT https://www.aftana.ir/fa/doc/news/20293/ویژگی-جدید-اندروید-رمز-عبور-کاربران-لو-می-دهد حمله هکرها به توکن‌های احراز هویت https://www.aftana.ir/fa/doc/news/20290/حمله-هکرها-توکن-های-احراز-هویت اختصاصی افتانا: دسترسی هکرها به توکن‌های احراز هویت می‌تواند به عنوان یکی از خطرناک‌ترین تهدیدهای سایبری محسوب شود.به گزارش افتانا به نقل از اسپلانک، پاون استورم (Pawn Storm) - یک گروه جاسوسی فعال که از سال ۲۰۰۴ فعالیت می‌کند - از استراتژی های مختلفی برای به دست آوردن اطلاعات از اهداف خود استفاده می‌کند. یکی از این روش‌ها به‌ویژه سوء استفاده از احراز هویت باز (OAuth) در طرح‌های پیشرفته مهندسی اجتماعی، هدف قرار دادن کاربران با مشخصات بالا از ایمیل‌های اینترنتی رایگان بین سال‌های ۲۰۱۵ و ۲۰۱۶ بود.این گروه همچنین حملات فیشینگ اعتباری تهاجمی علیه کنوانسیون ملی دموکرات‌ها (DNC)، اتحادیه دموکرات مسیحی آلمان (CDU)، پارلمان و دولت ترکیه، پارلمان مونته‌نگرو، آژانس جهانی ضد دوپینگ (WADA)، الجزیره و بسیاری از سازمان‌های دیگر را در کارنامه خود دارد.آن‌ها همچنان از چندین برنامه مخرب که از نشانه‌های دسترسی OAuth برای دسترسی به حساب‌های ایمیل هدف از جمله جیمیل و یاهو میل سوء استفاده می‌کنند، بهره می‌برند.چه چیزی باید بدانیم؟یک هکر با یک توکن دسترسی OAuth می‌تواند از REST API اعطا شده توسط کاربر برای انجام عملکردهایی مانند جستجوی ایمیل و شمارش مخاطبان استفاده کند. با یک سرویس ایمیل مبتنی بر ابر، هنگامی که یک توکن دسترسی OAuth به یک برنامه مخرب اعطا شد، در صورت اعطای یک توکن «Refresh» که امکان دسترسی پس‌زمینه را فراهم می‌کند، به طور بالقوه می‌تواند به ویژگی‌های حساب کاربری دسترسی طولانی‌مدت داشته باشد.این حمله چگونه اتفاق می‌افتد؟مهاجمان ممکن است از نشانه‌های دسترسی برنامه برای دور زدن فرآیند احراز هویت معمولی و دسترسی به حساب‌ها، اطلاعات یا خدمات محدود در سیستم‌های راه دور استفاده کنند. این توکن‌ها معمولاً از کاربران به سرقت می‌روند و به‌جای اعتبار ورود استفاده می‌شوند.توکن‌های دسترسی به خطر افتاده ممکن است به عنوان گام اولیه برای به خطر انداختن سایر خدمات استفاده شوند. به عنوان مثال، اگر یک توکن به ایمیل اصلی قربانی اجازه دسترسی بدهد، مهاجم ممکن است بتواند با راه‌اندازی روتین‌های رمز عبور فراموش‌شده، دسترسی به سایر سرویس‌هایی را که هدف در آن‌ها مشترک است، گسترش دهد.دسترسی مستقیم API از طریق یک توکن، اثربخشی یک عامل احراز هویت دوم را نفی می‌کند و ممکن است از اقدامات متقابلی مانند تغییر رمز عبور مصون باشد.منبع: Splunk ]]> تهدیدات Sat, 21 Jan 2023 09:38:16 GMT https://www.aftana.ir/fa/doc/news/20290/حمله-هکرها-توکن-های-احراز-هویت آتنی‌ویروس‌ها رادار گیم را به عنوان بدافزار شناسایی کردند https://www.aftana.ir/fa/doc/news/20287/آتنی-ویروس-ها-رادار-گیم-عنوان-بدافزار-شناسایی-کردند زومیت: سرویس دولتی کاهش پینگ بازی، رادار گیم توسط آنتی‌ویروس‌های مشهور جهان به عنوان یک بدافزار شناخته شد.به گزارش افتانا، وزارت ارتباطات ۲۷ دی‌ماه سرویس جدیدی به نام «رادار گیم» رونمایی کرد که تجربه بازی‌های ویدیویی را برای گیمرها لذت‌بخش‌تر می‌کند. رادار گیم ابزار سنجش تأخیر و پینگ اینترنت کاربر و DNS رایگان برای کاهش پینگ بازی‌ها در دسترس قرار می‌دهد.به گفته وزارت ارتباطات، سرویس رادار گیم توسط بخش خصوصی راه‌اندازی شده و پروژه‌ی مشترک بنیاد ملی بازی‌های رایانه‌ای و شرکت ارتباطات زیرساخت است. عیسی زارع‌پور، وزیر ارتباطات و فناوری اطلاعات گفت پنج میلیون نفر از رادار گیم استفاده کرده‌اند.در وب‌سایت رسمی رادار گیم دو اپلیکیشن برای ویندوز و اندروید ارائه می‌شود که ظاهرا هر دوی آن‌ها حاوی بدافزار هستند.سرویس ویروس‌توتال که فایل‌ها را با هدف یافتن بدافزار اسکن می‌کند، فایل نسخه‌ی ویندوزی رادار گیم را از نگاه هفت آنتی‌ویروس Avira و CRDF و G-Data و Viettel Threat Intelligence و BitDefender و CyRadar و Sophos به‌عنوان بدافزار شناسایی کرده است. ده‌ها آنتی‌ویروس دیگر در سرویس ویروس توتال اعتقاد دارند که رادار گیم ایمن است.به‌طور مشابه، به‌نظر می‌رسد نسخه‌ی اندرویدی رادار گیم نیز در خود کد مخرب دارد. چهار آنتی‌ویروس BitDefender و CyRadar و CRDF و G-Data این نسخه را حاوی بدافزار تشخیص داده‌اند.دو آنتی‌ویروس BitDefender و G-Data حتی وب‌سایت رسمی رادار گیم را نیز حاوی بدافزار تشخیص داده‌اند.البته نمی‌توان با قطعیت از بدافزار بودن رادار گیم سخن گفت. مصطفی علوی، فعال حوزه بازی می‌گوید شناسایی رادار گیم به‌عنوان بدافزار احتمالا نتیجه استفاده از اینستالرهای کرک‌شده است.وزارت ارتباطات فعلا به ادعای بدافزار بودن رادار گیم واکنش نشان نداده است.به گفته توسعه‌دهندگان رادار گیم، این سرویس سرعت دانلود و به‌روزرسانی بازی‌ها را بالا می‌برد و باعث کاهش چشمگیر پینگ بازی‌ها می‌شود. ]]> تهدیدات Sat, 21 Jan 2023 07:30:00 GMT https://www.aftana.ir/fa/doc/news/20287/آتنی-ویروس-ها-رادار-گیم-عنوان-بدافزار-شناسایی-کردند