OnHex

2023-01-13 16:30:00 Centos Web Panel 7 Unauthenticated Remote Code Execution - CVE-2022-44877 آسیب پذیری با شناسه CVE-2022-44877 در Control Web Panel (CWP) کشف شده که امکان اجرا دستورات سیستمی رو به مهاجم احراز هویت نشده میده. این پنل قبلا CentOS Web Panel نامیده میشد… باز کردن / نظر دهید

2023-01-13 13:30:00 Off By One Security : Breaking into Hacking as a Career! تو این لایو که تقریبا نیم ساعت دیگه شروع میشه در خصوص نحوه ورود به دنیای هک بعنوان یه شغل و حرفه صحبت میشه. تو لایو در کل ، Stephen Sims ، در مورد اینکه چطوری به این جایگاه رسیده و اگه الان وارد… باز کردن / نظر دهید

2023-01-13 11:30:00 Cisco Small Business RV016, RV042, RV042G, and RV082 Routers Vulnerabilities

سیسکو در خصوص وجود دو آسیب پذیری در چندین VPN routers که دیگه پشتیبانی نمیشن ، هشدار داده.

آسیب پذیری CVE-2023-20025 : امکان دور زدن احراز هویت رو به مهاجم میده. اکسپلویت موفقیت آمیز دسترسی به ROOT رو میده. دارای امتیاز 9 و بحرانی هستش.

محصولات تحت تاثیر :

Cisco Small Business RV016, RV042, RV042G,RV082

آسیب پذیری در مولفه اینترفیس مدیریتی وب این محصولات هستش. مهاجم میتونه با ارسال درخواست های HTTP مخرب ، از این آسیب پذیری برای دور زدن فرایند احراز هویت سوء استفاده کنه.

اآسیب پذیری CVE-2023-20026 : امکان اجرای دستورات دلخواه رو در سیستم عامل زیرساختی دستگاه فراهم میکنه. برای اکسپلویت ، مهاجم نیاز به اعتبارنامه مدیریتی داره ، بنابراین این آسیب پذیری میتونه با آسیب پذیری بالایی ترکیب بشه. دارای امتیاز 6.5 و شدت متوسط هستش.

محصولات تحت تاثیر این آسیب پذیری:

Cisco Small Business RV016, RV042, RV042G, RV082 Routers

راه حل :

با توجه به اینکه یکی از این آسیب پذیری ها ، بحرانی هستش و یه POC هم براش منتشر شده ، اما سیسکو گفته که براش اصلاحیه نمیده و اونو رفع نمیکنه. چون تو محصولاتی هستش که دیگه پشتیبانی نمیشن.

سیسکو گفته ، حمله ای رو مشاهده نکرده که از این آسیب پذیری سوء استفاده کرده باشه.

برای حل این آسیب پذیری ها یا باید به محصولات جدید سیسکو مهاجرت کنید و یا اینکه رابط مدیریت وب تو محصولات آسیب پذیر رو غیرفعال کنید و دسترسی به پورتهای 443 و 60443 رو بلاک کنید.

برای اینکار باید وارد مدیریت وب هر دستگاه بشید، سپس به بخش Firewall و General رفته و تیک گزینه Remote Management رو بردارید.

برای اینکه پورتها رو بلاک کنید :

قدم اول :
باید یه سرویس جدید برای access rules در دستگاه برای پورت 60443 تعریف کنید. پورت 443 چون قبلا تعریف شده نیازی به تعریف این مورد براش نیست.
وارد اینترفیس مدیریتی وب دستگاه بشید. در قسمت Firewall و Access Rules ، روی Service Management کلیک کنید.
در فیلد Service Name عبارت TCP-60443 و در لیست Protocol گزینه TCP رو انتخاب کنید. برای فیلدهای Port Range عبارت 60443 رو وارد کنید و در نهایت Add to List و OK کنید.

قدم دوم:
برای اینکه access rules رو بلاک کنید این مسیر رو برید: ( این مورد برای 443 هستش که باید برای 60443 هم تکرار کنید)

وارد بخش مدیریت وب دستگاه بشید . Firewall و Access Rules رو انتخاب و گزینه ADD بزنید. تو لیست Action گزینه Deny رو انتخاب کنید. در لیست Service گزینه HTTPS (TCP 443-443) رو انتخاب کنید. در لیست Log گزینه Log packets match this rule انتخاب کنید. در لیست Source Interface گزینه ای رو انتخاب کنید که با اتصال دستگاه مطابقت داره. لیست Source IP رو روی Any بزارید. گزینه Destination IP رو روی Single . برای Destination IP مقدار WAN IP address رو وارد کنید. در نهایت تغییرات SAVE کنید.

@onhex_ir باز کردن / نظر دهید

2023-01-13 10:05:31 EyeSpy - Iranian Spyware Delivered in VPN Installers

@onhex_ir باز کردن / نظر دهید

2023-01-13 10:05:27 EyeSpy - Iranian Spyware Delivered in VPN Installers

محققای bitdefender یه کمپینی رو شناسایی کردن که از برنامه نظارتی قانونی SecondEye برای جاسوسی از کاربران 20Speed VPN سوء استفاده کرده.

برنامه SecondEye که یه برنامه قانونی برای نظارت والدین و کارمندان هستش و در ایران توسعه یافته.

تو این کمپین با سوء استفاده از این برنامه ، اونو تبدیل به یه برنامه جاسوسی بنام EyeSpy کردن.قربانی هنگام نصب VPN ، این بدافزار رو هم رو سیستمش نصب میکنه.

اغلب قربانیان این کمپین تو ایران هستن، اما مواردی هم تو آلمان و آمریکا شناسایی شدن.

بدافزار قابلیت سرقت اطلاعات حساس مانند : رمز عبورهای ذخیره شده ، اطلاعات کیف پولهای رمزارزها ، اسناد و تصاویر ، اطلاعات ذخیره شده در کلیبورد و کلیدهای فشرده شده (کیلاگر) داره.

این اطلاعات امکان ایجاد ضررهای مالی و معنوی (از جمله باج خواهی و ...) رو میتونه داشته باشه .

در صورتیکه از سرویس 20Speed VPN استفاده میکنید ، حتما اونو از سیستمتون پاک کنید. رمزهای عبور برای سایتهای حساس رو هم تغییر بدید.

تحلیل و گزارش فنی هم در ادامه قرار دادم.

@onhex_ir باز کردن / نظر دهید

2023-01-13 09:38:36 خبرهای حمایت از اعتراضات به کشته شدن مهسا امینی منظور از ، "از دسترس خارج کردن" اینکه سایت برای مدتی ، دقیقه یا ساعت ، دچار اختلال شده و بعدش دوباره بالا میاد. در خصوص هکهایی که اتفاق می افته ، دیگه فقط هکهایی که شامل لینک و مستندات باشن رو میزارم.… باز کردن / نظر دهید

2023-01-12 16:29:59 NCSC statement on the Royal Mail Group incident

شرکت Royal Mail ، که بزرگترین شرکت پستی در بریتانیا هستش اعلام کرده به دلیل حمله سایبری و اختلال در سیستمش ، ارسال بسته های پستی به خارج از کشور با اختلال مواجه هستش.

سخنگوی مرکز امنیت سایبری ملی بریتانیا (NCSC) اعلام کرده که از این حادثه مطلع هستش و در کنار آژانس NCA داره این رخداد امنیتی رو بررسی میکنه.

@onhex_ir باز کردن / نظر دهید

2023-01-12 13:30:00 200 million Twitter users' email addresses allegedly leaked online اطلاعات بیش از 200 میلیون کاربر توییتر دوباره برای فروش در یکی از فرومهای فروش داده به قیمت حدودا 2 دلار قرار گرفته. این اطلاعات مشابه نقض 400 میلیونی هست که در ماه نوامبر منتشر شده بود… باز کردن / نظر دهید

2023-01-12 11:30:00 SCATTERED SPIDER Exploits Windows Security Deficiencies with Bring-Your-Own-Vulnerable-Driver Tactic in Attempt to Bypass Endpoint Security

کمپانی Crowdstrike یه گزارشی از تکنیک جدید نفوذ گروه هکری Scattered Spider منتشر کرده.

این گروه دامنه حملات محدودی داره و اغلب سازمانهای مرتبط با مخابرات و برون‌سپاری فرایندهای تجاری (BPO) رو هدف قرار میده.

در حمله اخیرشون این گروه از تکنیک BYOVD استفاده کردن. تو این تکنیک از یه درایور کرنلی آسیب پذیر برای بدست آوردن امتیاز بالا ، برای اجرای دستورات استفاده میکنن و اغلب برای دور زدن محصولات امنیتی مانند EDRها استفاده میشه.

تو این حمله این گروه از آسیب پذیری CVE-2015-2291 در درایور Intel Ethernet diagnostics که امکان اجرای کد با امتیاز بالا (کرنل) رو میده برای دور زدن محصولات امنیتی Microsoft Defender for Endpoint و Palo Alto Networks Cortex XDR و SentinelOne استفاده کردن.

این آسیب پذیری در سال 2015 رفع شده ، اما مهاجمین با نصب درایور آسیب پذیر در سیستم هدف ، دوباره میتونن از اون استفاه کنن.

درایور iqvw64.sys یه درایور 64 بیتی با 35 تابع هستش که توسط Global Software LLC و NVIDIA امضا شده و بنابراین توسط مایکروسافت مسدود نمیشه.

این درایورها با تزریق کد مخرب به محصولات امنیتی باعث عدم شناسایی خودشون میشن. این تزریق هم طوری هستش که برنامه امنیتی به روال ثابق کار میکنه اما از سیستم محافظت نمیکنه.

مایکروسافت در سال 2021 خواست این مشکل رو با ایجاد لیستی از درایورهای آسیب پذیر حل کنه اما همچنان مشکل وجود داره ، مگه اینکه از ویندوز 11 با آپدیت سپتامبر 2022 استفاده کنید.

@onhex_ir باز کردن / نظر دهید

2023-01-12 10:28:33 P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk

@onhex_ir باز کردن / نظر دهید