صدور ۱۰۰۰ پروانه فعالیت در حوزه افتا

/در , , , , , , , /توسط
 
ارتقای امنیت شبکه ملی اطلاعات و پیشگیری از خسارات احتمالی ناشی از به‌کارگیری محصولات ناامن، از جمله اهداف به کارگیری محصولات، خدمات و آزمایشگاه‌های دارای صلاحیت خدمات امنیتی به شمار می‌رود و تا کنون نزدیک به ۱۰۰۰ گواهی و تاییدیه در حوزه امنیت فضای تولید و تبادل اطلاعات صادر شده است.
 
 با توجه به توسعه روزافزون محصولات و خدمات حوزه فضای تبادل اطلاعات و به‌کارگیری گسترده آنهـا در زیرساخت‌های حیاتی، حساس و مهم کشور، تامین امنیت زیرساخت‌ها، سازمان‌ها و نهادهای کشور موضوع بسیار حائز اهمیتی تلقی می‌شود، زیرا تهدیدات امنیتی نیز در فضای تولید و تبادل اطلاعات به‌طور روزافزونی اتفاق می‌افتند. استفاده از محصولات، خدمات و آزمایشگاه­‌های دارای صلاحیت خدمات امنیتی منجر به ارتقای امنیت شـبکه ملی خواهد شد و از خسارات احتمالی ناشی از به‌کارگیری محصولات ناامن پیشگیری می‌کند. 
 
در این راستا طبق آخرین آمار به دست آمده از سازمان فناوری اطلاعات ایران، در حال حاضر ۹۵۶ گواهی و تاییدیه توسط معاونت امنیت فضای تولید و تبادل اطلاعات صادر شده است. این گواهی‌ها به تفکیک نوع فعالیت عبارتند از ۴۶۶ پروانه فعالیت خدمات امنیت فضای تولید و تبادل اطلاعات که توسط اداره کل نظام ملی مدیریت امنیت اطلاعات (نما) صادر شده است.
 
هم‌چنین از میان مجموع گواهی‌های صادره تعداد ۸۴ گواهی معتبر متعلق به ارزیابی امنیتی محصول فاوا، ۱۳ گواهی در حال تمدید، ۲۱ گواهی منقضی شده، ۹۸ تاییدیه صادره برای محصولات خارجی در سال ۱۳۹۸، ۲۹۷ تاییدیه صادره برای محصولات خارجی در سال ۱۳۹۹ و هفت گواهی نیز به ارزیابی امنیتی آزمایشگاه‌ها تعلق دارد که وظیفه بررسی و صدور آن را اداره کل ارزیابی امنیتی محصولات (ارم) به عهده دارد.
 
ارتقای امنیـت شـبکه ملـی اطلاعات و پیشگیری از خسارات احتمالی ناشی از به‌کارگیری محصولات ناامن، از جمله اهداف به کارگیری محصولات، خدمات و آزمایشگاه‌های دارای صلاحیت خدمات امنیتی به شمار می‌رود که طی فعالیتی مشترک، مرکز مدیریت راهبـردی افتا و سازمان فناوری اطلاعات ایران وظیفه ارایه آن را به عهده دارند. بر این اساس، کلیه متقاضیان دریافت گواهی ارزیابی امنیتی محصولات (گواهی افتا) می‌توانند جهت شروع و تمدید فرآیند ارزیابی امنیتی محصولات و اخذ گواهی امنیتی محصول، به سامانه جامع خدمات و محصولات افتا مراجعه کنند.
 
 بنا به اعلام معاونت امنیت فضای تولید و تبادل اطلاعات، به دلیل شرایط کرونایی و تسهیل مراجعین به منظور تمدید اعتبار گواهی‌نامه‌های منقضی شده یا در حال انقضای محصولات، از تاریخ ۱۴۰۰/۰۲/۰۱ اعتبار این دسته از ‌گواهی‌ها به مدت شش ماه تمدید می‌شود و معتبر خواهد بود.

مرکز مدیریریت راهبردی افتا حملات سایبری به وزارت راه و شهرسازی و راه‌آهن را تایید کرد

/در , , , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری حملات سایبری به وزارت راه‌ و شهرسازی و شرکت راه‌آهن کشور را در هفته‌های گذشته تایید کرد. این اتفاق در حالی رخ می‌دهد که در زمان این حمله حداقل شرکت راه‌ آهن در اطلاعیه‌ای اعلام کرده بود که مورد هیچ حمله سایبری قرار نگرفته است. حالا مرکز مدیریت راهبردی افتا اعلام کرده که کم‌توجهی و ساده انگاری به هشدار‌های این مرکز باعث بروز حملات به این دو نهاد شده است.
 
 اوایل هفته گذشته (۱۹ تیرماه) وزیر ارتباطات و فناوری اطلاعات از مشاهده تحرکات جدید توسط مهاجمان سایبری برای طراحی حملات باج‌افزاری خبر داد. در همان زمان محمدجواد آذری جهرمی اعلام کرد که این تحرکات جدید شباهت زیادی به حملات باج‌افزاری اردیبهشت سال ۱۳۹۷ دارد. مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در اردیبهشت ۹۷ در اطلاعیه‌ای که روی سایت خود منتشر کرده اعلام کرده بود که « رصد فضای مجازی نشان دهنده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است.»
 
حال امروز (۲۷ تیر) مرکز مدیریت راهبردی افتا جزئیات بیشتری از این حملات را منتشر کرده است. این مرکز ساده انگاری و کم‌توجهی به هشدارهای افتا را عامل اصلی این حملات سایبری، کم دفاع شدن یا سست شدن سیستم امنیت سایبری وزارت راه‌ و شهرسازی و شرکت راه‌آهن اعلام کرده است.
 
کارشناسان امنیت سایبری افتا در مورد نتایج بررسی‌های کارشناسی و جزئیات این حملات گفته‌‌اند که مهاجمان توانسته‌اند به برخی از مدیریت سیستم‌ها دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند. به گفته این کارشناسان نفوذ به سامانه های وزارت راه و شهرسازی و شرکت راه‌آهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان ازهفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکرها آن را، حدود ۷ روز قبل از حادثه سایبری آماده کرده‌اند.
 
بر اساس نظر کارشناسان افتا، مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستم‌ها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستم‌ها را غیرفعال کرده بودند. آنطور که  کارشناسان امنیت سایبری افتا ادعا کرده‌اند بدلیل زمان بر بودن تخریب دیتاها، مهاجمان تنها به تخریب برخی از ساختارهای دیتا بسنده کرده‌اند.
 
در اطلاعیه مرکز راهبردی افتای ریاست جمهوری آمده که مهاجم یا مهاجمان سایبری در صورتی که در حمله سایبری خود، کنترل سیستم را به دست بگیرند، همه زیرساخت‌های IP را تخریب می کنند و بیشترین ضربه را وارد می‌کنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
 
رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است. تغییر امتیازات و دسترسی های موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستم‌‌های وزارت راه و شهرسازی و شرکت راه‌آهن بوده است. مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمان‌های زیرساختی خواسته تا در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورت‌های مدیریتی سرورها و تجهیزات ILO  و IPMI سیستم‌های خود اعمال کنند.

شناسایی ۵۰آسیب پذیری در Windows و دیگر محصولات مایکروسافت

/در , , , , , /توسط
 
 
شرکت مایکروسافت با شناسایی ۵۰ آسیب‌پذیری در Windows و دیگر محصولات خود، برای ترمیم آنها وصله‌هایی را ارائه داده است.
 
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا (مرکز امنیت فضای تبادل اطلاعات)، درجه اهمیت ۵ مورد از این آسیب‌پذیری‌ها «حیاتی» (Critical) و ۴۵ مورد «مهم» (Important) اعلام شده است.
از میان ۵۰ آسیب‌پذیری اعلام شده مایکروسافت، ۷ آسیب‌پذیری ترمیم شده از نوع «روز – صفر» هستند که از حداقل ۶ مورد آنها، از مدتی قبل مهاجمان سوءاستفاده می‌کرده‌اند؛ لذا اعمال فوری به‌روزرسانی‌ها و وصله‌های امنیتی مربوط توصیه می‌شود.
یکی از این آسیب‌پذیری‌ها، از نوع «نشت اطلاعات» است که بر Windows Kernel اثر می‌گذارد و چهار ضعف دیگر از نوع "افزایش دسترسی" است.
ضعف دیگر «اجرای کد از راه دور» است که موجب آسیب پذیری ویندوز و دیگر محصولات مایکروسافت شده است.  
دیگر آسیب‌پذیری روز - صفر ماه ژوئن  از نوع «منع سرویس»  است که Windows Remote Desktop Services از آن تأثیر می‌پذیرد.
 بر اساس گزارش آزمایشگاه کسپرسکی، گروه مهاجمان سایبری PuzzleMaker از ماه‌ها پیش از دو نوع از این آسیب‌پذیری‌ها سوءاستفاده کرده و در جریان حملاتی کاملاً هدفمند، ابتدا از یک ضعف امنیتی روز - صفر در Chrome در زنجیره Exploit بهره گرفته و در ادامه با ترکیب دو آسیب‌پذیری مذکور سطح دسترسی خود را در Windows ارتقا داده است.
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند: مهاجمان سایبری با سوءاستفاده از این آسیب‌پذیری‌ها، در نهایت با ایجاد یک Remote Shell بر روی ویندوز، امکان آپلود و دانلود فایل‌ها و اجرای فرمان‌ها را برای خود فراهم می‌کرده‌اند.  
فهرست کامل آسیب‌پذیری‌های ترمیم شده به همراه لینک شیوه عمل مهاجمان سایبری در سوءاستفاده از این آسیب پذیری‌ها، در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس متخصصان و کارشناسان IT قرار گرفته است.

تجهیزات سازمانی در خطر ۵ آسیب‌پذیری سایبری

/در , , , , , , , /توسط
در تجهیزات سازمانی پنج آسیب‌پذیری وجود دارد که هکرها برای نفوذ به شبکه‌های شرکتی و دولتی، در حال استفاده از آنها هستند.
 
به‌گزارش مرکز مدیریت راهبردی افتا، همه این پنج آسیب‌پذیری کاملاً شناخته شده و از آنها در حملات مهاجمان دولتی و گروه‌های جرایم اینترنتی استفاده شده است.
 
هکرها به طور مکرر شبکه‌های سیستم‌های آسیب‌پذیری‌ شده را اسکن می‌کنند و در تلاش برای به‌دست‌آوردن اطلاعات احراز هویت برای دسترسی بیشتر هستند.
 
سه آژانس امنیتی و امنیت سایبری آمریکا، شامل آژانس امنیت سایبری و زیرساخت (CISA) ، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) ، این هکرها را SVR (سرویس اطلاعات خارجی روسیه) خوانده‌اند.
 
بر اساس هشدار امنیتی مشترک آمریکا و انگلیس که در ژوئیه سال ۲۰۲۰ منتشر شد، SVR   از چهار نوع از این آسیب‌پذیری‌ها برای هدف قراردادن و نفوذ به شبکه‌های شرکت‌های فعال در ساخت واکسن COVID-19 استفاده کرده‌اند.
 
آژانس امنیت ملی آمریکا (NSA)  نیز در دسامبر سال ۲۰۲۰ به شرکت‌های آمریکایی هشدار داده بود که هکرهای روسی از آسیب‌پذیری VMWare بعنوان پنجمین باگ سوءاستفاده می‌کنند.
 
با استفاده از آسیب‌پذیری‌های 5گانه جدید، مهاجمان ممکن است سعی کنند از یک نقطه‌ضعف در یک رایانه یا برنامه سمت اینترنت با استفاده از نرم‌افزار، داده‌ها یا دستورات، استفاده کنند تا رفتاری ناخواسته و یا پیش‌بینی‌نشده‌ای انجام دهند.
 
ممکن است مهاجمان از سرویس‌های از راه دور خارجی که برای دسترسی اولیه در شبکه استفاده می‌کنند، کمک بگیرند؛ سرویس‌های از راه دور مانند VPN ها، Citrix  و سایر مکانیزم‌های دسترسی به‌ویژه پروتکل ریموت دسکتاپ (RPD)  که به کاربران امکان می‌دهند از مکان‌های خارجی (اینترنت) به منابع شبکه سازمانی داخلی متصل شوند.
 
به متولیان امنیت سایبری شرکت‌ها و سازمان‌ها توصیه می‌شود، با اولویت ویژه، شبکه‌های خود را از نظر شاخص سازش مربوط به هر پنج آسیب‌پذیری و تکنیک‌های تفصیلی بررسی کرده و اقدامات فوری را انجام دهند. 
 
برای مقابه با این نفوذهای سایبری لازم و ضروری است تا مدیران، متخصصان و کارشناسان IT دستگاه‎های زیرساختی، سیستم‌ها و محصولات را به‌روز نگه دارند و در به‌روزرسانی وقفه‌ای ایجاد نکنند، چراکه بسیاری از مهاجمان از آسیب‌پذیری‌های متعدد استفاده می‌کنند.
 
واحدهای IT زیرساخت‌ها باید قابلیت‌های مدیریت خارجی را غیرفعال کنند و یک مدیریت شبکه out-of-band را راه‌اندازی کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا هم از مدیران، متخصصان و کارشناسان IT دستگاه‎های زیرساختی خواسته‌اند با فرض اینکه نفوذ اتفاق می‌افتد، برای فعالیت‌های پاسخگویی به حوادث، آماده باشند. 
 
لیست پنج آسیب‌پذیری مورد سوء استفاده هکرهای  SVRو تکنیک‌های نفوذ آنان، نشانه های آلودگی(IOC)، رول های شناسایی  و همچنین راهکارهای عمومی برای جلوگیری از حملات سایبری از محل این 5 آسیب‌پذیری، را می‌توانید در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی : https://www.afta.gov.ir/portal/home/?news/235046/237266/243431/  مشاهده و دریافت کنید.

سرورهای Fortinet FortiOS هدف جدید هکرها

/در , , , , , , , /توسط
 
 
مهاجمان APT از آسیب‌پذیری‌های حیاتی در سرورهای Fortinet FortiOS برای انجام حملات منع سرویس توزیع شده (DDoS) ، حملات باج‌افزار، حملات SQL، تخریب وب‌سایت‌ها سوءاستفاده کرده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، مهاجمان سایبری، سرورهای Fortinet FortiOS  را که دارای آسیب‌پذیری‌های CVE-2020-12812 و CVE-2019-5591 هستند و به‌روزرسانی نشده‌اند، شناسایی و دستگاه‌های آسیب‌پذیر با شناسه CVE-2018-13379 را اسکن می‌کنند.
 
در نوامبر 2020، یک مهاجم، لیستی از اکسپلویت‌های آسیب‌پذیری با شناسهCVE-2018- 13379   را به اشتراک گذاشت که برای سرقت اطلاعات کاربری VPN، تقریباً از 50 هزار سرو Fortinet VPN ، از جمله دولت‌ها و بانک‌ها سوءاستفاده شد.
 
هکرهای دولتی همچنین برای آسیب رساندن به سیستم‌های پشتیبانی انتخابات آمریکا که از طریق اینترنت قابل‌دسترسی هستند، از آسیب‌پذیری CVE-2018-13379 در VPN Fortinet FortiOS Secure Socket Layer (SSL) سوءاستفاده کردند.
 
در اوایل سال جاری، مهاجمان APT از آسیب‌پذیری‌های حیاتی برای انجام حملات منع سرویس توزیع شده (DDoS) ، حملات باج‌افزار، حملات SQL، تخریب وب‌سایت‌ها سوءاستفاده کرده‌اند.
 
پایگاه اینترنتی bleepingcomputer  نوشته است: گروه‌های APT ممکن است در آینده از این باگ‌های امنیتی برای سوءاستفاده از شبکه‌های خدمات دولتی، تجاری و فناوری استفاده کنند و وقتی‌که آنها به شبکه‌های هدف نفوذ می‌کنند، ممکن است از این دسترسی اولیه برای حملات آینده استفاده کنند.
 
ممکن است مهاجمان APT از یک یا همه این CVE ها برای دسترسی به شبکه‌ها در چندین بخش مهم زیرساختی برای دسترسی به شبکه‌های کلیدی جهت حملات رمزگذاری داده‌ها استفاده کنند.
 
همچنین مهاجمان APT ممکن است از سایر CVEها یا تکنیک‌های متداول نفوذ برای دسترسی به شبکه‌های زیرساخت‌های حیاتی برای حملات بعدی استفاده کنند.
 
شرکت Fortinet در اوایل سال‌جاری، چندین آسیب‌پذیری حیاتی شامل  اجرای کد از راه دور (RCE) ، SQL Injection و حملات منع سرویس (DoS) را برطرف کرد که بر محصولات FortiProxy SSL VPN و FortiWeb Web Application Firewall (WAF) تأثیر می‌گذاشت.

احتمال بروز اختلال در سامانه‌های کامپیوتری با آغاز سال ۱۴۰۰

/در , , , , , /توسط
 
 
مرکز مدیریت راهبردی افتا هشدار داد که با آغاز سال ۱۴۰۰ در سامانه‌های کامپیوتری و پایگاههای اطلاعاتی که فیلد سال در آنها به صورت دو رقمی نگهداری می‌شود، احتمال بروز اختلال وجود دارد.
 
به گزارش افتا، این نوع نگرانی قبلاً در ورود به سال ۲۰۰۰ میلادی نیز مطرح شده بود و تجربیات بین المللی در این زمینه وجود دارد.
 
مرکز مدیریت راهبردی افتا از مسئولان و متخصصان IT زیرساخت‌های حیاتی، تولیدکنندگان سامانه‌ها و ارائه دهندگان خدمات پشتیبانی خواست، برای پیشگیری از وقوع هر اختلالی به هنگام آغاز سال ۱۴۰۰ ،تمامی سامانه‌های وابسته به تاریخ شمسی از جمله CRM، انبارداری، فروش، حسابداری، مدیریت محتوا و هر سامانه دیگری را از نظر امکان بروز مشکل در تغییر تاریخ و آغاز سال جدید، بررسی کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا یادآور شده‌اند: اهمیت مسئله و چالش‌های ناشی از بروز مشکل تغییر تاریخ در آغاز سال جدید، در سامانه‌های ارائه دهنده خدمات عمومی و همچنین سامانه‌های قدیمی بیشتر است.
 
به همه مسئولان و متخصصان IT زیرساخت‌های حیاتی ، تولید کنندگان سامانه‌ها و ارائه دهندگان خدمات پشتیبانی توصیه شده است، با هدف رفع مشکل احتمالی سامانه‌ها، قراردادهای خدمات پشتیبانی سامانه‌های حیاتی و دارای اهمیت، تمدید و به‌روزرسانی شوند.
 
مرکز مدیریت راهبردی افتا از همه متخصصان و مسئولان IT دستگاه‌های دارای زیرساخت حیاتی و همچنین ارائه دهندگان خدمات پشتیبانی، خواسته است تا پایگاه‌های داده و چگونگی نگه‌داری تاریخ شمسی را در آنها از جهت بروز مشکل و اختلالات تغییر تاریخ بررسی کنند.

آسیاتک موفق به تمدید گواهینامه سیستم امنیت اطلاعات از افتا شد

/در , , , , , , /توسط
 
 
به گزارش روابط عمومی آسیاتک ، این شرکت برحسب رویکرد مشتری ­‌مدارانه و تلاش در راستای رعایت امنیت اطلاعات و حقوق مشتریان خود، در اسفند ماه 1399موفق به تمدید گواهینامه ISO27001، سیستم مدیریت امنیت اطلاعات (ISMS) از شرکت مرزبان کیفیت تحت اعتبار افتا شد که این ممیزی به مدت 3 روز به طول انجامید.
 
سیستم مدیریت امنیت اطلاعات، با افزایش اعتماد و اطمینان به مشتریان این اطمینان را می دهد که اطلاعات فرد به بهترین نحو حفاظت شده، همچنین رویکرد پیاده ‌سازی اصول امنیت اطلاعات و دریافت گواهینامه مرکز افتاISO27001، تایید دیگری بر اعتبار شرکت انتقال داده های آسیاتک در ارائه خدمات امن می باشد.
 
از جمله مزیت‌های به‌کارگیری این استاندارد می‌توان به شناسایی مخاطرات به صورت سیستماتیک، حفظ و ارتقای محرمانگی، یکپارچگی و دسترس پذیری اطلاعات و در نتیجه بهبود مداوم کسب و کار و ایمن سازی کلیه دارایی‌ها و سرویس‌های مرکز داده اشاره کرد.
 
شرکت آسیاتک با استقرار سیستم مدیریت امنیت اطلاعات ، گام دیگری در جهت پیشبرد اهداف سازمانی و ارتقای امنیت شبکه‌های سیستمی و تمامی سرویس‌های ارائه شده خود برداشته است.

آسیاتک موفق به تمدید گواهینامه سیستم امنیت اطلاعات از افتا شد

/در , , , , , , /توسط
 
 
به گزارش روابط عمومی آسیاتک ، این شرکت برحسب رویکرد مشتری ­‌مدارانه و تلاش در راستای رعایت امنیت اطلاعات و حقوق مشتریان خود، در اسفند ماه 1399موفق به تمدید گواهینامه ISO27001، سیستم مدیریت امنیت اطلاعات (ISMS) از شرکت مرزبان کیفیت تحت اعتبار افتا شد که این ممیزی به مدت 3 روز به طول انجامید.
 
سیستم مدیریت امنیت اطلاعات، با افزایش اعتماد و اطمینان به مشتریان این اطمینان را می دهد که اطلاعات فرد به بهترین نحو حفاظت شده، همچنین رویکرد پیاده ‌سازی اصول امنیت اطلاعات و دریافت گواهینامه مرکز افتاISO27001، تایید دیگری بر اعتبار شرکت انتقال داده های آسیاتک در ارائه خدمات امن می باشد.
 
از جمله مزیت‌های به‌کارگیری این استاندارد می‌توان به شناسایی مخاطرات به صورت سیستماتیک، حفظ و ارتقای محرمانگی، یکپارچگی و دسترس پذیری اطلاعات و در نتیجه بهبود مداوم کسب و کار و ایمن سازی کلیه دارایی‌ها و سرویس‌های مرکز داده اشاره کرد.
 
شرکت آسیاتک با استقرار سیستم مدیریت امنیت اطلاعات ، گام دیگری در جهت پیشبرد اهداف سازمانی و ارتقای امنیت شبکه‌های سیستمی و تمامی سرویس‌های ارائه شده خود برداشته است.

هشدار افتا درباره سوء استفاده از آسیب‌پذیری Microsoft Exchange

/در , , , , , /توسط
 
مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Microsoft Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.
 
 مرکز مدیریت راهبردی افتا با هشداری اضطراری اعلام کرد کارشناسان این مرکز،  برای جلوگیری از سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange از متخصصان و کارشناسان IT حوزه های زیرساختی کشور خواسته‌اند تا بطور موقت سرورهای Exchange را از شبکه سازمان‌های خود جدا کنند و سرورهای Exchange را بررسی فارنزیکی کنند.  
 
کارشناسان مرکز مدیریت راهبردی افتا همچنین از کارشناسان و متخصصان حوزه IT زیرساخت‌ها خواسته‌اند تا شواهد وجود «وب شل» را در شبکه سازمانی خود  به کمک کتابچه شکار وب شل بررسی کنند، این کتابچه راهنما در سایت مرکز افتا قرار داده شده است.
 
مرکز افتا از مسئولان حوزه IT زیرساخت‌ها خواسته است در صورت مشاهده وجود شواهد نفوذ، بلافاصله این مرکز را از طریق پست الکترونیکی [email protected] مطلع کنند. مسوولان، متخصصان و کارشناسان IT سازمان‌های زیرساختی کشور باید در کمترین زمان ممکن، وصله‌های ارائه‌شده توسط مایکروسافت را بر روی سرورهای Exchange اعمال و در صورت عدم وجود شواهد نفوذ، سرورها را به شبکه متصل کنند.
 
بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.
 
شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف  Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است. خبر کامل این هشدار افتایی به همراه اطلاعات فنی آن در این لینک در سایت مرکز مدیریت راهبردی افتا منتشر شده است.
 

رشد ۴ برابری استفاده از آسیب‌پذیری‎های امنیتی سایبری

/در , , , , , , /توسط
 
بهره‌جویی از ۲۲۳ آسیب‌پذیری امنیتی، در سال گذشته میلادی، در مقایسه با دوره قبل از آن، حدود ۴ برابر افزایش داشته است.
 
به گزارش مرکز مدیریت راهبردی افتا، در بهره‌جویی از این آسیب پذیری‌ها، ۱۲۵ خانواده باج‌افزاری نقش داشته‌اند که به طور میانگین، هر یک از ۱۷ آسیب‌پذیری بهره‌جویی کرده‌اند.
 
اصلاحیه ۹۶ درصد از آسیب‌پذیری‌های مذکور از قبل از سال ۲۰۱۹ در دسترس قرار داشته است و عمر برخی از این باج‌افزارها به بیش از ۸ سال می‌رسد و به نظر نمی‌آید که به این زودی‌ها گردانندگان آنها قصد بازنشستگی داشته باشند، برای مثال می‌توان به خانواده باج‌افزارهای CryptoMix اشاره کرد که از پنجاه آسیب‌پذیری بهره‌جویی کرده است که کشف قدیمی‌ترین آنها به سال ۲۰۱۰ و جدیدترین آنها به سال ۲۰۲۰ باز می‌گردد.
 
گردانندگان حرفه‌ای باج‌افزار، هوشمندانه در حال گسترش دامنه اهداف خود از سیستم‌های عامل سرورها به بسترها و برنامه‌های تحت وب هستند که ۱۸ مورد از آسیب‌پذیری‌ها، با محصولاتی چون Apache Struts، WordPress ، Java ، PHP ، Drupal و ASP.net مرتبط هستند.
 
از محصولات کدباز و پروژه‌های آنها همچون Nomad ، Jboss ، OpenShift ، Elasticsearch ، TomCat ، OpenStack ، MySQL و Jenkins نیز ۱۹ مورد از آسیب‌پذیری‌ها ناشی شده‌اند.
 
بر اساس گزارش شرکت ریسک‌سنس (RiskSense, Inc) چهل درصد از آسیب‌پذیری‌های بررسی شده نیز به دلیل عدم محدودسازی درست در عملیات مرتبط با مرز یک بافر حافظه، کنترل‌های دسترسی، عدم اعتبارسنجی صحیح ورودی، فراهم شدن دسترسی به اطلاعات حساس برای کاربر غیرمجاز و عدم کنترل صحیح ایجاد کد، به وجود آمده‌اند که سه مورد از این پنج آسیب‌پذیری، در فهرست خطرناک‌ترین آسیب‌پذیری نرم‌افزاری ۲۰۲۰ به چشم می‌خورند.
 
گزارش شرکت ریسک‌سنس همچنین حاکی‌است که ۳۳ تهدید پیشرفته و مستمر (APT) در مجموع از ۶۵ باج‌افزار بهره‌جویی کرده‌اند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند از آنجا که سوءاستفاده از آسیب‌پذیری‌های امنیتی از روش‌های مؤثر، متداول و بسیار مخرب است و مهاجمان، برای آلوده‌سازی دستگاه‌ها به بدافزار و رخنه به شبکه اهداف خود از آن‌ها بهره می‌گیرند، اصلی‌ترین راهکار در مقابله با این تهدیدات، اطمینان از نصب کامل اصلاحیه‌های امنیتی است.