آسیب‌پذیری Cloudflare می‌تواند مکان کاربران اپلیکیشن‌های پیام‌رسان‌ و شبکه‌‎های اجتماعی را لو دهد

🔹یک مشکل امنیتی در شبکه تحویل محتوای Cloudflare شناسایی شده است که به مهاجمان اجازه میداد مکان تقریبی کاربران اپلیکیشن‌های پیام‌رسان و شبکه‌های اجتماعی مانند Signal، Discord و ایکس را تخمین بزنند.

🔸این آسیب‌پذیری ناشی از نحوه استفاده این برنامه‌ها از Cloudflare برای کش کردن تصاویر است و ارتباطی با آسیب‌پذیری خود برنامه‌ها ندارد . مهاجم با ارسال یک تصویر به کاربر هدف، می‌تواند بفهمد که کدام دیتاسنتر Cloudflare تصویر را کش کرده و بدین ترتیب مکان کاربر را تخمین بزند.

🔹 این آسیب‌پذیری به‌وسیله پژوهشگری به نام daniel کشف شده است که با استفاده از ابزاری به نام Cloudflare Teleport، توانسته درخواست‌هایی به تمام مراکز داده Cloudflare ارسال کند تا مشخص کند تصویر در کدام دیتاسنتر  کلادفلر کش شده است! این پژوهشگر از این طریق می‌تواند محل تقریبی کاربر را پیدا کند (در واقع محل یا کشوری که دیتاسنتر یا CDN کلادفلر در آن کشور وجود دارد).

یک باج افزار در ESXi: باعت مکانیزه کردن حملات مجازی می شود

/home/amnban/Pictures/photo_2025-01-13_16-55-35.jpg

🔹در سال 2024، حملات باج‌افزاری که سرورهای VMware ESXi را مورد هدف قرار می‌دهند، به سطوح هشداردهنده‌ای رسید ومیانگین تقاضای باج به 5 میلیون دلار افزایش یافت.

🔸با تقریباً 8000 میزبان ESXi که مستقیماً در معرض اینترنت قرار دارند (طبق گفته Shodan)، تأثیر عملیاتی و تجاری این حملات عمیق است.

🔹بیشتر رشته‌های باج‌افزاری که امروزه به سرورهای ESXi حمله می‌کنند، انواعی از باج‌افزار بدنام Babuk هستند که برای جلوگیری از شناسایی ابزارهای امنیتی سازگار شده‌اند. علاوه بر این، دسترسی گسترده‌تر می‌شود، زیرا مهاجمان با فروش دسترسی اولیه به سایر عوامل تهدید، از جمله گروه‌های باج‌افزار، از نقاط ورودی خود درآمد کسب می‌کنند.

 

نقص افزونه وردپرس Hunk Companion برای نصب بی‌صدا افزونه‌های آسیب‌پذیر مورد سوء استفاده قرار گرفت.

🔹عوامل مخرب در حال سوء استفاده از یک آسیب پذیری مهم در افزونه Hunk Companion برای وردپرس هستند تا افزونه های آسیب پذیر دیگری را نصب کنند که می تواند در را برای انواع حملات باز کند.

هشدار: بدافزار DEEPDATA از نقص بدون اصلاح Fortinet برای سرقت اعتبار VPN استفاده می کند.

/g

🔹یک بازیگر تهدید معروف به نام Brazen Bamboo از یک نقص امنیتی حل نشده در FortiClient Fortinet برای ویندوز برای استخراج اعتبار VPN به عنوان بخشی از یک چارچوب ماژولار به نام DEEPDATA استفاده کرده است.

مجرمان سایبری از Excel Exploit برای انتشار بدافزار Remcos RAT بدون فایل استفاده می کنند.

🔹محققان امنیت سایبری یک کمپین فیشینگ جدید کشف کرده‌اند که نوع جدیدی از بدافزار تجاری شناخته شده بدون فایل را به نام Remcos RAT گسترش می‌دهد.

شناسایی آسیب‌پذیری در Microsoft Windows Kernel

/home/amnban/Pictures/photo_2024-11-02_12-03-11.jpg

🔹یک تکنیک حمله جدید می تواند برای دور زدن اجرای امضای درایور مایکروسافت (DSE) در سیستم های ویندوز کاملاً اصلاح شده استفاده شود که منجر به حملات کاهش رتبه سیستم عامل (OS) شود.

🔸محقق SafeBreach، Alon Leviev در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: "این دور زدن اجازه بارگیری درایورهای هسته بدون امضا را می دهد و مهاجمان را قادر می سازد تا روت کیت های سفارشی را مستقر کنند که می تواند کنترل های امنیتی را خنثی کند، فرآیندها و فعالیت های شبکه را مخفی کند، مخفی کاری را حفظ کند و موارد دیگر."

🔹جدیدترین یافته‌ها بر اساس تجزیه و تحلیل قبلی است که دو نقص افزایش امتیاز را در فرآیند به‌روزرسانی ویندوز (CVE-2024-21302 و CVE-2024-38202) کشف کرد که می‌توان آن را برای بازگرداندن یک نرم‌افزار به‌روز ویندوز به نسخه قدیمی‌تر به کار برد. حاوی آسیب‌پذیری‌های امنیتی اصلاح نشده است.

شناسایی آسیب‌پذیری بحرانی در VMware Fusion

VMware Fusion ماشین مجازی مختص کاربران macOS است که امکان اجرای مجازی سیستم‌عامل‌های مختلفی مانند ویندوز، لینوکس و سایر نسخه‌های macOS را بر روی دستگاه‌‌های mac فراهم می‌کند.این ماشین مجازی به دلیل استفاده از یک متغیر محیطی ناامن، حاوی یک آسیب‌پذیری اجرای کد (code execution) است.
این آسیب‌پذیری که با شناسه‌ CVE-2024-38811، شدت بالا و امتیاز CVSS 8.8 شناسایی شده‌ است، یک کاربر با امتیازات استاندارد را قادر می‌سازد تا کد مخرب را در پس‌زمینه برنامه VMware Fusion اجرا کند.

رفع آسیب‌پذیری روز صفر در هسته سیستم‌عامل اندروید

آسیب‌پذیری روز صفر با شناسه  CVE-2024-36971 در هسته (Kernel) سیستم‌عامل لینوکس یک نقص امنیتی استفاده پس از آزادسازی Use-After-Free  یا UAF در مدیریت مسیرهای شبکه هسته لینوکس است. مهاجمان با استفاده از این نقص می‌توانند رفتار شبکه را به گونه‌ای تغییر دهند که به نفع خودشان باشد اما برای بهره‌برداری از این آسیب‌پذیری باید سطح دسترسی بالایی داشته باشند.
گوگل اعلام کرده است نشانه‌هایی وجود دارد که آسیب‌پذیری با تحت تاثیر قراردادن هسته سیستم‌عامل اندروید، ممکن است به مهاجمان امکان اجرای کد دلخواه و راه دور (RCE) بدون نیاز به تعامل کاربر در دستگاه‌هایی که آخرین بروزرسانی‌های امنیتی را دریافت نکرده‌اند، بدهد.

کشف آسیب‌پذیری در افزونه Redux

آسیب‌پذیری با شناسه CVE-2024-6828 و امتیاز ۷.۲ در افزونه Redux Framework وردپرس شناسایی شده است. این آسیب‌پذیری به دلیل عدم بررسی مجوزها و قابلیت‌ها در تابع Redux_Color_S+cheme_Import رخ می‌دهد و امکان بارگذاری فایل‌های JSON بدون احراز هویت را فراهم می‌کند.

آسیب‌پذیری بحرانی دور زدن احراز هویت در Docker

یک آسیب‌پذیری بحرانی‌ با شناسه‌ی CVE-2024-41110 و شدت CVSS:10 در Docker Engine کشف شده است که به مهاجمان اجازه می‌دهد از فرآیند احراز هویت عبور کنند و دسترسی غیرمجاز به سیستم‌ها پیدا کنند. این مشکل، ناشی از یک بازگشت (Regression) در سیستم پلاگین احراز‌هویت Docker بنام AuthZ است. یعنی تغییرات جدیدی که در سیستم احراز هویت اعمال گردیده، باعث شده‌ است یک نقص جدید به وجود بیاید که امکان عبور از احراز هویت بدون بررسی صحیح فراهم شود.