#هشدار
بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایلهای حساس را میدهد در معرض خطر قرار گرفتهاند.
این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایلها در سیستم ریشه دستگاههای FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.
طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.
مهاجمان پس از دسترسی به دستگاهها، پیوندهای نمادینی را در پوشه فایلهای زبان به سیستم فایل ریشه دستگاههای دارای SSL-VPN فعال ایجاد کردند.
از آنجایی که فایلهای زبان در دستگاههای FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم میتواند به این پوشه رفته و حتی پس از رفع آسیبپذیریهای اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.
Fortinet همچنین شروع به اطلاعرسانی خصوصی به مشتریان از طریق ایمیل از دستگاههای فورتیگیت کرده است که توسط FortiGuard شناسایی شدهاند که توسط این درب پشتی symlink در معرض خطر قرار گرفتهاند.
Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.
آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.
در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایلهای پیکربندی، از جمله اعتبارنامهها دسترسی داشته باشند.
بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
@Hacker0x01vo
بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایلهای حساس را میدهد در معرض خطر قرار گرفتهاند.
این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایلها در سیستم ریشه دستگاههای FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.
طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.
مهاجمان پس از دسترسی به دستگاهها، پیوندهای نمادینی را در پوشه فایلهای زبان به سیستم فایل ریشه دستگاههای دارای SSL-VPN فعال ایجاد کردند.
از آنجایی که فایلهای زبان در دستگاههای FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم میتواند به این پوشه رفته و حتی پس از رفع آسیبپذیریهای اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.
Fortinet همچنین شروع به اطلاعرسانی خصوصی به مشتریان از طریق ایمیل از دستگاههای فورتیگیت کرده است که توسط FortiGuard شناسایی شدهاند که توسط این درب پشتی symlink در معرض خطر قرار گرفتهاند.
Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.
آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.
در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایلهای پیکربندی، از جمله اعتبارنامهها دسترسی داشته باشند.
بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
@Hacker0x01vo
Fortinet Blog
Analysis of Threat Actor Activity
Fortinet diligently balances our commitment to the security of our customers and our culture of responsible transparency and commits to sharing information with that goal in mind. While efforts by …
🧑💻Cyber.vision🧑💻
https://discord.gg/rQd49PsK
سرور دیسکورد حرفهای امنیت سایبری راهاندازی شد!
اگه عاشق دنیای تست نفوذ، امنیت شبکه، امنیت صنعتی (ICS/SCADA)، شکار آسیبپذیری و باگبانتی هستی — حتما به سرور ما سر بزن!
توی این سرور:
بخش تخصصی تست نفوذ شبکه و وب
چنل اختصاصی باگبانتی و گزارش آسیبپذیری
فضای ویژه برای امنیت شبکههای صنعتی و SCADA
کلی آموزش تست نفوذ و CTF
معرفی و اشتراک ابزار و اسکریپتهای حرفهای
مسابقات دورهای و چالشهای امنیتی
و کلی افراد حرفهای و متخصص
با نقشبندی اختصاصی و سیستم پاداش برای بهترین شکارچیها!
عضو شو و دانش و مهارتتو ارتقاء بده!
[https://discord.gg/rQd49PsK]
اگه عاشق دنیای تست نفوذ، امنیت شبکه، امنیت صنعتی (ICS/SCADA)، شکار آسیبپذیری و باگبانتی هستی — حتما به سرور ما سر بزن!
توی این سرور:
بخش تخصصی تست نفوذ شبکه و وب
چنل اختصاصی باگبانتی و گزارش آسیبپذیری
فضای ویژه برای امنیت شبکههای صنعتی و SCADA
کلی آموزش تست نفوذ و CTF
معرفی و اشتراک ابزار و اسکریپتهای حرفهای
مسابقات دورهای و چالشهای امنیتی
و کلی افراد حرفهای و متخصص
با نقشبندی اختصاصی و سیستم پاداش برای بهترین شکارچیها!
عضو شو و دانش و مهارتتو ارتقاء بده!
[https://discord.gg/rQd49PsK]
Discord
Join the 🔥 CipherNest 🕶🛡 Discord Server!
Check out the 🔥 CipherNest 🕶🛡 community on Discord - hang out with 5 other members and enjoy free voice and text chat.
#Solarwinds #Platform #Deserializtion #Bugs
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
🧑💻Cyber.vision🧑💻
Photo
#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد
👍1
بانک گردشگری در راستای توسعه سرمایه انسانی و تکمیل کادر تخصصی خود در بخشهای زیر دعوت به همکاری میکند:
🔹 کارشناس فناوری اطلاعات
🔹 بانکدار شعب برخی استانها
🔹 بانکدار ارشد ارزی
🔹 معاون ارزی شعب تهران و برخی استانها
✅ مهلت ثبت نام : از تاریخ 1404/02/01 لغایت 1404/02/20
📍 ثبتنام فقط از طریق وبسایت رسمی بانک گردشگری
لینک ثبتنام و اطلاعات کامل( بدون فیلتر شکن) :
https://www.tourismbank.ir/s/mfabMze
✅کسب اطلاعات بیشتر: ۲۳۹۵۰-۰۲
🔹 کارشناس فناوری اطلاعات
🔹 بانکدار شعب برخی استانها
🔹 بانکدار ارشد ارزی
🔹 معاون ارزی شعب تهران و برخی استانها
✅ مهلت ثبت نام : از تاریخ 1404/02/01 لغایت 1404/02/20
📍 ثبتنام فقط از طریق وبسایت رسمی بانک گردشگری
لینک ثبتنام و اطلاعات کامل( بدون فیلتر شکن) :
https://www.tourismbank.ir/s/mfabMze
✅کسب اطلاعات بیشتر: ۲۳۹۵۰-۰۲