🧑💻Cyber.vision🧑💻
https://discord.gg/rQd49PsK
سرور دیسکورد حرفهای امنیت سایبری راهاندازی شد!
اگه عاشق دنیای تست نفوذ، امنیت شبکه، امنیت صنعتی (ICS/SCADA)، شکار آسیبپذیری و باگبانتی هستی — حتما به سرور ما سر بزن!
توی این سرور:
بخش تخصصی تست نفوذ شبکه و وب
چنل اختصاصی باگبانتی و گزارش آسیبپذیری
فضای ویژه برای امنیت شبکههای صنعتی و SCADA
کلی آموزش تست نفوذ و CTF
معرفی و اشتراک ابزار و اسکریپتهای حرفهای
مسابقات دورهای و چالشهای امنیتی
و کلی افراد حرفهای و متخصص
با نقشبندی اختصاصی و سیستم پاداش برای بهترین شکارچیها!
عضو شو و دانش و مهارتتو ارتقاء بده!
[https://discord.gg/rQd49PsK]
اگه عاشق دنیای تست نفوذ، امنیت شبکه، امنیت صنعتی (ICS/SCADA)، شکار آسیبپذیری و باگبانتی هستی — حتما به سرور ما سر بزن!
توی این سرور:
بخش تخصصی تست نفوذ شبکه و وب
چنل اختصاصی باگبانتی و گزارش آسیبپذیری
فضای ویژه برای امنیت شبکههای صنعتی و SCADA
کلی آموزش تست نفوذ و CTF
معرفی و اشتراک ابزار و اسکریپتهای حرفهای
مسابقات دورهای و چالشهای امنیتی
و کلی افراد حرفهای و متخصص
با نقشبندی اختصاصی و سیستم پاداش برای بهترین شکارچیها!
عضو شو و دانش و مهارتتو ارتقاء بده!
[https://discord.gg/rQd49PsK]
Discord
Join the 🔥 CipherNest 🕶🛡 Discord Server!
Check out the 🔥 CipherNest 🕶🛡 community on Discord - hang out with 5 other members and enjoy free voice and text chat.
#Solarwinds #Platform #Deserializtion #Bugs
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
همانطور که میدانید یکی از اصلی ترین نرم افزار های SolarWinds محصول مدیریت و نظارت بر شبکه است که طی سالهای اخیر چند آسیب پذیری روز صفر داشته است.
پروتکلی در SolarWinds استفاده میشود با نام RabbitMQ که بر مبنای TCP کار کرده و در تصویر بالا پکت ضبط شده آن را مشاهده میکنید.
این پروتکل بر روی پورت 5671 کار کرده و میتواند پیام های AMQP ارسال نماید، این پیام چند نوع و روش ارسال داده دارد.
که در نوع Content header (2) میتواند نوع داده Serialize ارسال کند و در Properties تصویر دوم مشخص میشود که دریافت کننده مقدار کجاست.
محقق با بررسی دقیق و مهندسی معکوس کد منبع، متوجه شده که در جریان ردیابی کد، هیچ کنترلی بر روی مقادیر Serialize نبوده و مقدار Properties در پیام، ظرفیت Deserialize شدن دارند.
در تصویر بالا تابع HandleBasicDeliver پیام در پروتکل را دریافت میکند و در موقعیت 3 اقدام به برگشت دادن مقدار به تابع میکند.
در تصویر دوم، Consume رو داریم که یک Method از IDisposable است و مقدار پیام دریافتی در Body را Deserialize میکند و عدم کنترل موجب اجرای کد شده است.
🧑💻Cyber.vision🧑💻
Photo
#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.
ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.
تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.
در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.
قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.
در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.
محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد
👍1
بانک گردشگری در راستای توسعه سرمایه انسانی و تکمیل کادر تخصصی خود در بخشهای زیر دعوت به همکاری میکند:
🔹 کارشناس فناوری اطلاعات
🔹 بانکدار شعب برخی استانها
🔹 بانکدار ارشد ارزی
🔹 معاون ارزی شعب تهران و برخی استانها
✅ مهلت ثبت نام : از تاریخ 1404/02/01 لغایت 1404/02/20
📍 ثبتنام فقط از طریق وبسایت رسمی بانک گردشگری
لینک ثبتنام و اطلاعات کامل( بدون فیلتر شکن) :
https://www.tourismbank.ir/s/mfabMze
✅کسب اطلاعات بیشتر: ۲۳۹۵۰-۰۲
🔹 کارشناس فناوری اطلاعات
🔹 بانکدار شعب برخی استانها
🔹 بانکدار ارشد ارزی
🔹 معاون ارزی شعب تهران و برخی استانها
✅ مهلت ثبت نام : از تاریخ 1404/02/01 لغایت 1404/02/20
📍 ثبتنام فقط از طریق وبسایت رسمی بانک گردشگری
لینک ثبتنام و اطلاعات کامل( بدون فیلتر شکن) :
https://www.tourismbank.ir/s/mfabMze
✅کسب اطلاعات بیشتر: ۲۳۹۵۰-۰۲
😍 تحقیق "چگونه استراتژی های CISO تغییر کرده اند": در مورد CISO و برای CISO
تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.
این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری
برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکتها بهطور فزایندهای در حال طراحی معماریهای ترکیبی (انتقالی) هستند و روشهای ZT و انعطافپذیری سایبری را به لایههای ثابت دفاع اضافه میکنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکتهایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.
این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود
تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.
این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری
برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکتها بهطور فزایندهای در حال طراحی معماریهای ترکیبی (انتقالی) هستند و روشهای ZT و انعطافپذیری سایبری را به لایههای ثابت دفاع اضافه میکنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکتهایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.
این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود