خانه » پست‌هایی با برچسب "مرکز ماهر"

توضیحات مرکز ماهر در خصوص جزئیات حمله سایبری به دیتاسنترهای داخلی

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای درخصوص حمله صورت گرفته به سرویس‌های مراکز داده داخلی (دیتاسنتر) و بروز اختلال سراسری در سرویس اینترنت، اطلاعیه‌ای صادر کرد.
شب گذشته برخی از مراکز داده کشور با حمله سایبری مواجه شده‌اند؛ این موضوع از سوی وزیر ارتباطات تأیید شد.
در این زمینه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (مرکز ماهر) با تشریح جزئیات این حمله سایبری اعلام کرد: «در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس‌های مراکز داده داخلی در ساعت حدود ۲۰: ۱۵ روز ۱۷ فروردین‌ماه جاری، بررسی و رسیدگی فنی به موضوع انجام پذیرفت.»
طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی‌های این تجهیزات (شامل running-config و startup-config) حذف شده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده شد.
دلیل اصلی مشکل، وجود حفره امنیتی در ویژگی smart install client تجهیزات سیسکو است و هر سیستم عاملی که این ویژگی روی آن فعال باشد در معرض آسیب‌پذیری مذکور قرار داشته و مهاجمان می‌توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور روی روتر/سوئیچ اقدام کنند.
در این راستا لازم است مدیران سیستم با استفاده از دستور «no vstack» نسبت به غیرفعال سازی قابلیت فوق (که عموماً مورد استفاده نیز قرار ندارد) روی سوئیچ‌ها و روترهای خود اقدام کنند؛ همچنین بستن پورت ۴۷۸۶ در لبه شبکه نیز توصیه می‌شود. در صورت نیاز به استفاده از ویژگی smart install، نیز لازم است به‌روزرسانی به آخرین نسخه‌های پیشنهادی شرکت سیسکو صورت پذیرد.

جزییات فنی این آسیب‌پذیری و نحوه برطرف سازی آن در این لینک‌ها آمده است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi

در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب‌پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس‌دهنده‌های عمده اینترنت کشور مسدود شد.
تا این لحظه، سرویس‌دهی شرکت‌ها و مراکز داده بزرگ از جمله افرانت، آسیاتک، شاتل، پارس آنلاین و رسپینا به‌صورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است.
لازم به توضیح است متأسفانه ارتباط دیتاسنتر میزبان وبسایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.
همچنین پیش‌بینی می‌شود که با آغاز ساعت کاری سازمان‌ها، ادارات و شرکت‌ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه داخلی خود شوند. لذا مدیران سیستم‌های آسیب‌دیده لازم است اقدامات زیر را انجام دهند:

  • با استفاده از کپی پشتیبان قبلی، اقدام به راه‌اندازی مجدد تجهیز خود کنند یا در صورت عدم وجود کپی پشتیبان، راه‌اندازی و تنظیم تجهیز مجدداً انجام پذیرد.
  • قابلیت آسیب‌پذیر smart install client را با اجرای دستور «no vstack» غیرفعال شود.
  • لازم است این تنظیم روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده‌اند) انجام شود. رمز عبور قبلی تجهیز تغییر داده شود.
  • توصیه می‌شود در روتر لبه شبکه با استفاده از ACL ترافیک ورودی ۴۷۸۶ TCP نیز مسدود شود.

مرکز ماهر تأکید کرد: «متعاقباً گزارشات تکمیلی در رابطه با این آسیب‌پذیری و ابعاد تأثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.»

 

🗞منبع خبر: راه پرداخت

تایرنت، مقدمه حمله بزرگ باج‌افزارهای فارسی

باج افزار تایرنت به زبان فارسی در هفته گذشته به کاربران ایرانی حمله و به آنها ۲۴ ساعت وقت داد تا ۱۵ دلار بابت دریافت کلید رمزگشایی بپردازند.

به گزارش آی تی آنالیز، نکته جالب اینکه این باج افزار بومی توضیحات مفصلی به کاربران برای نحوه پرداخت وجه از ایران می داد و با توجه به مبلغ کم درخواستی، احتمالا قربانیان زیادی حاضر به پرداخت این پول شده اند. موضوعی که می تواند آغازی بر شیوع گسترده باج افزارهای ایرانی بوده و لازم است کاربران نکات ایمنی ساده ای را که بارها هشدار داده شده است، رعایت کنند.

 پشتیبانی ۲۴ ساعته

بلافاصله پس از آلودگی سیستم به تایرنت، پیغامی پیش روی کاربر قرار می گیرد که در آن نوشته شده است: اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باج افزار تایرنت آلوده شده و تمام فایل ها، پوشه ها و درایو های سیستم شما درگیر و توسط الگوریتم های بسیار پیچیده (ای بی اس آی و ای ای اس) رمزنگاری شده و کلید رمزگشایی فایل های شما به صورت خودکار برای ما ارسال گردیده
است. وقت تعیین شده برای پرداخت مبلغ ۱۵ دلار و دریافت ابزار و کلید رمزگشایی فایل های شما ۲۴ ساعت تعیین شده است. این بدان معنی است که شما ۲۴ ساعت وقت دارید تا مبلغ ۱۵ دلار را به صورت وب مانی برای ما ارسال کنید. در غیر این صورت کلید رمزگشایی فایل های تان به صورت خودکار از بین خواهد رفت و تمام فایل های شما برای همیشه نابود خواهند شد.
در ادامه این پیام وبمانی، نحوه دسترسی و پرداخت به طور مفصل توضیح داده شده و حتی فروشگاه هایی نیز در ایران معرفی شده اند.
نکته جالب اینکه این باج افزار پشتیبانی ۲۴ ساعته دارد و قربانیان می توانند از طریق تلگرام یا ایمیل با این گروه تماس بگیرند.

توضیحات مرکز ماهر

مرکز ماهر نیز هفته گذشته نسبت به شیوع تایرانت هشدار داد و از کاربران خواست نکات امنیتی را رعایت کنند.
در اطلاعیه مرکز ماهر آمده است: بررسی های مرکز ماهر نشان می دهد که باج افزاری موسوم به TYRANT با الهام از یک باج افزار متن باز در فضای سایبری منتشر شده است که از صفحه باج خواهی به زبان فارسی استفاده می کند و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. این باج افزار در محیط سیستم عامل های ویندوزی عمل می کند تا این لحظه تقریبا فقط نیمی از آنتی ویروس های معتبر، قادر به شناسایی این بدافزار هستند.
این باج افزار با قفل کردن دسترسی به سامانه های قربانی و رمز کردن فایل های سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیر قابل پیگیری تلگرام و ایمیل برقراری ارتباط با قربانی و بررسی پرداخت باج استفاده می کند.
در گزارش های واصله، روش انتشار این باج افزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکه های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می کند که در حقیقت حاوی بد افزار است. البته با توجه به ماهیت حمله، استفاده از دیگر روش های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت نشده نیز محتمل است.
روش انتقال باج که این باج افزار از آن استفاده می کند، Web money است و سازنده باج افزار، مدت ۲۴ ساعت فرصت برای پرداخت باج در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب سایت های فارسی ارایه کننده این نوع از ارز الکترونیکی ازسوی باج افزار معرفی می شوند.
تحلیل های اولیه نشان می دهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگ تر باشد؛ چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایل ها، گاهی باج افزار موفق به رمزگذاری فایل های قربانی نمی شود و از آن مهم تر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریستارت کردن سیستم نمی شود. با این وجود به نظر نمی رسد که تا کنون از محل این باج افزار خسارت قابل توجه ای ایجاد شده باشد.

راهکارهای پیشگیری:

۱- از دریافت فایل های اجرایی در شبکه های اجتماعی و اجرای فایل های ناشناخته و مشکوک پرهیز شود.
۲- از دانلود و اجرای فایل های پیوست ایمیل های ناشناس و هرزنامه ها خودداری شود.
۳- دقت ویژه در به روزرسانی دایم سیستم عامل و آنتی ویروس
۴- دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی
۵- عدم استفاده از مجوز دسترسی Administrator  روی سیستم های کاربران سازمان.

هشدار دوم مرکز ماهر

هم زمان با هشدار مرکز ماهر درباره تایرنت، این مرکز درباره آسیب پذیری بحرانی در پروتکل WPA2 که ترافیک ز را در معرض سوءاستفاده قرار می دهد، هشدار داد.
براساس این گزارش محققان امنیتی چندین آسیب پذیری مدیریت کلید را در هسته پروتکل WPA2 کشف کردند که به مهاجمان امکان هک شبکه Wi-Fi و دزدیدن اتصالات اینترنت را می دهد.
این نقاط ضعف مربوط به یک پیاده سازی یا یک محصول نیستند و در خود استاندارد وجود دارند. از این رو تمامی پیاده سازی های WPA2 تحت تاثیر این کشف قرار می گیرند. تاثیرات استفاده از این آسیب پذیری ها شامل رمزگشایی، بازبخش بسته، ربودن اتصال TCP و تزریق محتوای HTTP است. برای رفع این آسیب پذیری ها باید منتظر انتشار به روزرسانی برای دستگاه ها بود.
🌐منبع خبر: IT Analyze

مشکلات امنیتی نرم افزارهای پرکاربرد در ایران

مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای (ماهر) جدول آسیب‌پذیری نرم افزارهای پرکاربرد در کشور نحوه به روز رسانی آنها را منتشر کرد.
در این جدول آسیب پذیری‌ها به سه سطح زیاد، متوسط و کم تقسیم شده و تاریخ انتشار آخرین به روز رسانی، خلاصه ای از آسیب‌پذیری و نحوه رفع آن نوشته شده است.

 سرویس‌دهنده‌ها

در بخش سرویس دهنده‎ها (وب، پست الکترونیکی، پراکسی و…)، Apache web sever دارای آسیب‌پذیری سطح زیاد است که شامل چندین آسیب‌پذیری جلوگیری از سرویس در این نرم افزار می‌شود. همچنین Microsift SharePoint Server نیز آسیب‌پذیری‌هایی با سطح متوسط شامل سطح دسترسی، آشکارسازی اطلاعات و XSS در Microsift SharePoint Server  به واسطه پاک سازی نشدن مناسب یک درخواست جعلی خاص گزارش شده است.
میزان آسیب‌پذیری Samba هم زیاد گزارش شده که سبب جلوگیری از سرویس به واسطه نقص در عملکرد smbd و افتادن تابع fd-open-atomic در حلقه بی نهایت و مصرف بالای پردازنده و حافظه می‌شود.
در این بخش آسیب‌پذیری‌هایActive Directory و Hyper-V نیز دچار آسیب‌پذیری با سطح خطر متوسط هستند.

 سیستم‌های عامل

در این بخش مرکز ماهر تعداد زیادی آسیب‌پذیری با سطح خطر زیاد و متوسط در لینوکس و ویندوز شناسایی کرده است.
در لینوکس چندین آسیب‌پذیری برای به دست آوردن اطلاعات حساس و جلوگیری از سرویس در نسخه‌های مختلف هسته لینوکس گزارش شده که البته برای برخی از آنها هنوز راه حلی ارایه نشده است.
در ویندوز مواردی چون آسیب‌پذیری افزایش سطح دسترسی و اجرای کد دلخواه در DirectX با استفاده از اجرای برنامه کاربری جعلی روی سیستم قربانی، آشکارسازی اطلاعات در هسته ویندوز، آشکارسازی اطلاعات و اجرای کد از راه دور در ویندوز به واسطه مدیریت نادرست در حافظه توسط Windows Search با ارسال یک متن جعلی، افزایش سطح دسترسی، آشکارسازی اطلاعات و اجرای کد دلخواه در مولفه Graphics ویندوز ازجمله آسیب‌پذیری‌های گزارش شده است.
در Apple iTunes، iOS، iCloud، macOS، tvOS، Safari و watchOS نیز آسیب‌پذیری‌های دورزدن محدودیت‌های امنیتی، افزایش سطح دسترسی، به دست آوردن اطلاعات حساس، اجرای کد از راه دور و جلوگیری از سرویس در محصولات apple وجود دارد.

 محیط‌های برنامه‌نویسی

مرکز ماهر درباره آسیب‌پذیری در محیط‌های برنامه نویسی شامل Joomla، Drupal و WordPress هشدار داده است. جلوگیری از سرویس، دور زدن محدودیت‌های امنیتی و نقص در عملکرد از جمله این آسیب‌پذیری‌هاست که اکثر آنها در نسخه‌های بالاتر برطرف شده است.

 مرورگرهای اینترنت

در بخش مرورگرها نیز Microsoft Edge با چندین آسیب‌پذیری با سطح خطر زیاد مواجه است که شامل دورزدن محدودیت‌های امنیتی، به دست آوردن اطلاعات حساس و جلوگیری از سرویس است.
Internet Explorer نیز آسیب‌پذیری‌هایی شامل اجرای کد از راه دور و آشکارسازی اطلاعات حساس به واسطه دسترسی نامناسب به اشیا و مدیریت نادرست اشیا در حافظه و برای Chrome چندین آسیب‌پذیری جلوگیری از سرویس در این مرورگر گزارش شده است. این آسیب‌پذیری‌ها در آخرین نسخه مرورگرها رفع شده است.

 تجهیزات شبکه، دیواره‌های آتش و ضدبدافزار

در بخش مجازی سازی محصولات VMware با آسیب‌پذیری‌های خطرناکی شامل جلوگیری از سرویس و اجرای کد روبه رو هستند. همچنین در بخش تجهیزات شبکه محصولات Cisco، QNAP QTS و Mikrotik با آسیب‌پذیری‌هایی رو به رو هستند که مسوولان شبکه شرکت‌ها باید به آن توجه کنند.
اما نکته جالب اینکه دو آنتی ویروس Avast و McAfee که قرار است مانع آسیب‌پذیری باشند، با مشکل مواجهند. براساس این گزارش آنتی ویروس‌های نسخه قبل از ۱۷ Avast ممکن است با آسیب‌پذیری دورزدن محدودیت‌های امنیتی و جلوگیری از سرویس
مواجه شوند.
مکافی نیز مشکل جلوگیری از سرویس در نسخه‌های سازمانی را به واسطه وجود خرابی حافظه با استفاده از یک لینک HTML جعلی دارد که البته تاکنون راه حلی برای آن ارایه نشده است.

 نرم‌افزارهای کاربردی

یکی از نرم افزارهای پرکاربرد ایرانی‌ها OpenVPN است که چندین آسیب‌پذیری شامل آشکارسازی اطلاعات، خرابی حافظه و جلوگیری از سرویس در آن شناسایی شده که البته در نسخه‌های جدید این مشکلات برطرف شده است.
نرم افزار Microsoft Office هم با مشکل اجرای کد از راه دور به واسطه بروز خطا هنگام مدیریت اشیا در حافظه در صورت بازکردن یک فایل جعلی خاص مواجه است.
Photoshop، SolarWinds LEM، Foxit Reader and PhantomPDF، Kerio Connect، Veritas Net Backup، McAfee NDLP، ۷ ZIP، Skype، NVIDIA Display Driver، Adobe Flash Player، Adobe Shockwave Player، Wireshark، glibc، FFmpeg، Acronis True Image، Webmin و Vim دیگر نرم افزارهای پرکاربردی است که مرکز ماهر آسیب‌پذیری‌های آنها را گزارش کرده و البته اکثر آنها در صورت به روز رسانی به موقع، مشکل‌شان رفع خواهد شد.