سایتهای مهم مشاهده حملات سایبری آنلاین در سراسر جهان
attacks
تهیه شده توسط کار گروه امنیت مرکز داده امین Online cyber attacks
@@ سایت شرکت فورتی نت Fortinet Threat Map
هشدار مهم مرکز ماهر درخصوص آسیبپذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین
تجهیزات ارتباطی شرکت #میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکههای کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین #آسیبپذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیبپذیریها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم میکند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیبپذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وبسایت و شبکه تعاملی منتشر نموده است.
هشدار مرکز ماهر در خصوص آسیبپذیری بحرانی در libssh و تهدید جدی آن برای تجهیزات سیسکو
اخیرا یک #آسیبپذیری بحرانی به شماره CVE-2018-10933 در #libssh شناسایی شده است که حاکی از عملکرد نادرست احراز هویت نرمافزاری در سمت سرور میباشد. Libssh مجموعه کد مورد استفاده در بسیاری از محصولات برای امنیت و احراز هویت در انتقال فایل، اجرای برنامه از راه دور و … است. با سوء استفاده از این آسیبپذیری مهاجمین میتوانند فرآیند احراز هویت را دور زده و وارد تجهیزات آسیب پذیر شوند. بنا بر مستندات موجود این آسیبپذیری در محصولات مبتنی بر سیستمعامل لینوکس که از libssh نسخه 0.6 و بالاتر به عنوان سرور ssh استفاده میکنند، نیز وجود دارد. آسیبپذیری مذکور در نسخههای 0.7.6 و 0.8.4 libssh رفع شده است و به روزرسانی مربوطه در انواع سیستمعاملهای لینوکس از جمله Debian، Ubuntu، SUSE و … در دسترس میباشند. متاسفانه مشاهدات اخیر در فرایندهای امدادی حاکی از وجود این آسیبپذیری در محصولات #سیسکو که کاربردی گسترده در فضای سایبری کشور دارند، می باشد. احتمال وجود این آسیبپذیری در محصولات سیسکو، در روزهای گذشته به تایید شرکت سیسکو نیز رسیده است. این شرکت هنوز در حال بررسی وجود آسیبپذیری مذکور در محصولات مختلف خود میباشد و تاکنون هیچ فهرستی از انواع تجهیزات آسیبپذیر و وصلههای امنیتی و بهروزرسانیهای لازم از سوی شرکت سیسکو برای رفع مشکل ارایه نشده است.
باج افزاری که اینترفیس HP iLO را آلوده می کند + روش جلوگیری
بیش از 5 هزار اینترفیس iLO توسط باج افزار یا همان Ransomware آلوده گردیده است که از این تعداد 360 عدد مربوط به ایران می باشد.
در این مقاله در مورد این تهدید جدید Ransomware که در این مدت کوتاه اینترفیس iLO یا همان Enterprise Integrated Lights-Out از شرکت HP را آلوده نموده است صحبت خواهیم کرد.
iLO چیست : iLO تکنولوژی مورد استفاده در تجهیزات سرور شرکت اچ پی است. iLO یک چیپست سختافزاری است که دارای یک پورت خارجی Rj-45 بوده و این پورت در کنار سایر پورتهای شبکه روی سرور قرار میگیرد. این پورت امکان اتصال از راه دور به سرور از طریق شبکه را برای کاربران ایجاد نموده و پس در نتیجه زمانی به کار می آید که شما به هر دلیلی بخواهید از راه دور به سرور خود دسترسی داشته باشید. این دسترسی از نوع سطح پایین و Out of Band Management است.
هکر ها با Scan IP مراکز داده ، شرکت ها و سازمان ها لیست IP هایی که سرویس iLO بر روی آن باز می باشد را جمع آوری کرده و شروع به آلوده کردن سرور از راه دور می نماید.
مواردی که توسط دیتاسنتر امین جهت جلوگیری از آلوده شدن توصیه می گردد:
- تغییر Port های سرویس iLO و تمامی سرویس های که احتمال Attack و Ransomware بر روی آنها وجود دارند به Port های نامتعارف دیگر
- محدودیت دسترسی بر روی سرویس ها و کنسول های مدیریتی ، این دسترسی را فقط بر روی IP های مشخصی که نیاز به دسترسی دارند باز نمایید. این IP های می تواند IP های سازمان و یا شرکت شما باشند.
- انتخاب پسورد پیچیده و سخت برای سرویس های خود حتما باید جزء پالیسی های شما باشد برای این کار حتما از کاراکتر های خاص در پسورد های خود استفاده نمایید.
واحد عملیات و مانیتورینگ شبکه
فیروس WannaCry + طرق الحمایه منه و تجنب الاصابه به
یعتمد فیروس الفدیه Wanna Cry على ثغره فی نظام الوینوز لیتمکن من اصابه الاجهزه، فإذا کان جهازک لا یعمل بنظام الویندوز فلا تقلق، فلن یصیبک Wanna Cry.
و إذا کنت تقوم بتحدیث نظام الویندوز الخاص بک بإستمرار ، فلا تقلق ایضاً، حیث قامت مایکروسوفت بإصدار تحدیثات خاصه بغلق تلک الثغره فی مارس الماضی، و تستطیع معرفه المزید من التفاصیل بخصوص التحدیث من صفحه الخاصه بذلک التحدیث و یتختلف رقم التحدیث على حسب نظام التشغیل الخاص بک.
و إذا کان نظام التشغیل الخاص بک ویندوز XP او وینوز 8، فقد اصدرت مایکروسوفت تحدیثات للنظامین تستطیع الحصول علیهم من هنا، و تنزیل التحدیث الخاص بنظام تشغیلک.
بما ان هجمه فیروس الفدیه Wanna Cry Ransomware تعتمد على ثغره خاصه بالـSMB، فتستطیع ایضاً اغلاق تلک الخاصیه إذا لم تتمکن من الحصول على التحدیث، و هناک اکثر من طریقه و تختلف على حسب نسخه الوینوز المتوفره على جهازک.
لتحمیل التحادیث لنظام الویندوز یمکنک اختیار الروابط التالیه:
Download Microsoft Security Patch MS17-010 (Wanna Cry)
| Download URL | Product Name |
| تحمیل | Windows 7 32bit |
| تحمیل | Windows 7 64bit |
| تحمیل | Windows 8.1 32bit |
| تحمیل | Windows 8.1 64bit |
| تحمیل | Windows 10 32bit |
| تحمیل | Windows 10 64bit |
| تحمیل | Windows 10 Version 1511 for 32bit |
| تحمیل | Windows 10 Version 1511 for 64bit |
| تحمیل | Windows 10 Version 1607 for 32bit |
| تحمیل | Windows 10 Version 1607 for 64bit |
| تحمیل | Windows Server 2003 32bit |
| تحمیل | Windows Server 2003 64bit |
| تحمیل | Windows Server 2008 32bit |
| تحمیل | Windows Server 2008 64bit |
| تحمیل | Windows Server 2008 R2 64bit |
| تحمیل | Windows Server 2012 64bit |
| تحمیل | Windows Server 2012 R2 64bit |
| تحمیل | Windows Server 2016 64bit |
باج افزار WannaCry + دانلود مستقیم آپدیت ها
در چند روز اخیر باج افزاری به نامهای WannaCryptor، WannaCry یا Wana Decrypt0r در سرتاسر دنیا منتشر شده و با قابلیت خود انتشاری توانسته است بسیاری از رایانهها را آلوده ساخته و در نتیجه سبب رمزنگاری فایلهای اطلاعاتی شود؛ حسب اطلاعات کسبشده تاکنون بیش از ۵۰۰ مورد در کشور گزارش گردیده است. همچنین تاکنون هیچگونه اطلاعی مبنی بر بازگردانی و دسترسپذیری به اطلاعات با پرداخت هزینه به باجگیران واصل نشده است.
این باج افزار از یک آسیبپذیری سرویس SMB سیستمعامل ویندوز (سرویس اشتراکگذاری فایلها) و بر روی پورتهای 139 و 445 شبکه استفاده کرده و موجب آلودگی رایانه میشود.
شرکت مایکروسافت وصله (Patch) امنیتی لازم را به منظور رفع آسیبپذیری مورد اشاره با شماره MS17-010 ارائه نموده است. این وصله برای نسخههای متفاوت سیستمعامل ویندوز ارائه شده و با توجه به اهمیت موضوع شرکت مذکور حتی برای سیستمعاملهای از رده خارج خود مانند XP و 2003 نیز آن را منتشر نموده است.
تاکنون روش دقیقی از نحوه انتشار اولیه این باجافزار در رایانهها منتشر نشده لیکن به نظر میرسد ورود آن به سیستمها از طریق ایمیلهای ناشناس (فیشینگ) و پیوستهای آنها یا لینکهای آلوده در برخی سایتهای غیرمعتبر میباشد،
به منظور جلوگیری از آلودگی رایانهها و سرورها به این باج افزار ضروری است تمامی مدیران شبکه در اسرع وقت نسبت به بروزرسانی سیستمعامل سرورها و کاربران خود اقدام نمایند.
مرکز داده امین به منظور سهولت در دسترسی به وصلههای امنیتی، تمامی Update های مورد نیاز را بصورت فایل های مجزا برای سیستم عاملهای Server و Client در قالب لینکهای مستقیم دانلود زیر در اختیار قرار داده است.
Download Microsoft Security Patch MS17-010 (Wanna Cry)
| Download URL | Product Name |
| دانلود | Windows 7 32bit |
| دانلود | Windows 7 64bit |
| دانلود | Windows 8.1 32bit |
| دانلود | Windows 8.1 64bit |
| دانلود | Windows 10 32bit |
| دانلود | Windows 10 64bit |
| دانلود | Windows 10 Version 1511 for 32bit |
| دانلود | Windows 10 Version 1511 for 64bit |
| دانلود | Windows 10 Version 1607 for 32bit |
| دانلود | Windows 10 Version 1607 for 64bit |
| دانلود | Windows Server 2003 32bit |
| دانلود | Windows Server 2003 64bit |
| دانلود | Windows Server 2008 32bit |
| دانلود | Windows Server 2008 64bit |
| دانلود | Windows Server 2008 R2 64bit |
| دانلود | Windows Server 2012 64bit |
| دانلود | Windows Server 2012 R2 64bit |
| دانلود | Windows Server 2016 64bit |
