about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

آژانس امنیت سایبری و زیرساخت آمریکا اعلام کرد مهاجمان با سوءاستفاده از یک آسیب‌پذیری اجرای کد از راه دور در ژئو سرور موفق شدند به یک سازمان غیرنظامی اجرایی فدرال نفوذ کنند.

به گزارش کارگروه امنیت خبرگزاری سایبربان، پاسخ به این حادثه پس از هشدارهای سیستم شناسایی نقاط پایانی آغاز شد.

در طول سه هفته، مهاجمان سایبری با بهره‌گیری از این نقص توانستند دسترسی اولیه بگیرند، در شبکه به‌صورت جانبی حرکت کنند و ماندگاری خود را در چندین سرور تثبیت نمایند.

گزارش آژانس امنیت سایبری و زیرساخت آمریکا (CISA) بر ضرورت حیاتی وصله‌کردن به‌موقع آسیب‌پذیری‌ها، اجرای برنامه‌های پاسخ آزمایش‌شده و بررسی مستمر هشدارها تأکید دارد.

در ۱۱ ژوئیه ۲۰۲۴، مهاجمان از آسیب‌پذیری CVE-2024-36401 (آسیب‌پذیری موسوم به اول اینجکشن (eval injection) در ژئو سرور (GeoServer) استفاده کردند تا روی یک سرور عمومی فرمان اجرا کنند.

با وجود افشای این نقص ۱۱ روز پیش‌تر، سازمان هنوز وصله امنیتی را اعمال نکرده بود.

مهاجمان از این ضعف برای دانلود ابزارهای متن‌باز، نصب وب‌شل‌ها و ایجاد کرون‌جاب‌ها جهت ماندگاری استفاده کردند.

یازده روز بعد، همان آسیب‌پذیری روی یک نمونه دوم ژئو سرور هم مورد بهره‌برداری قرار گرفت و دامنه نفوذ گسترده‌تر شد.

پس از به خطر افتادن هر دو ژئو سرور، مهاجمان به یک سرور وب و سپس به یک سرور داخلی SQL نفوذ کردند.

آن‌ها با سوءاستفاده از قابلیت xp_cmdshell در سرور SQL توانستند قابلیت اجرای کد از راه دور را به دست آورند.

فعالیت آن‌ها در طول سه هفته شناسایی نشد، زیرا برخی از سیستم‌های در معرض اینترنت فاقد حفاظت نقطه پایانی بودند و هشدارهای EDR نیز به‌طور مستمر بررسی نمی‌شدند.

این نقض تنها زمانی آشکار شد که در ۳۱ ژوئیه یک هشدار EDR انتقال مشکوک فایل را گزارش کرد.

در پی آن، مرکز عملیات امنیت سازمان سرور SQL را ایزوله و آژانس امنیت سایبری و زیرساخت را فراخواند.

کاستی‌های کلیدی شناسایی‌شده توسط آژانس امنیت سایبری و زیرساخت آمریکا:

1.    وصله‌نشدن به‌موقع: نقص حیاتی ژئو سرور هفته‌ها پیش از سوءاستفاده اصلاح شده بود. اگر وصله سریع اعمال می‌شد، دسترسی اولیه مسدود می‌گردید.
2.    برنامه پاسخ تمرین‌نشده: برنامه پاسخ به حادثه سازمان آزمایش نشده بود و شامل دستورالعمل‌های لازم برای همکاری با شرکای خارجی یا دسترسی دادن به ابزارهای امنیتی نبود. این موضوع سرعت اقدام آژانس امنیت سایبری و زیرساخت را کاهش داد.
3.    نظارت ناقص بر هشدارها: هشدارهای EDR به‌طور مداوم پایش نمی‌شدند و برخی سرورهای عمومی فاقد حفاظت نقطه پایانی بودند. بررسی پیوسته هشدارها و پوشش کامل امنیت نقطه پایانی برای شناسایی زودهنگام حیاتی است.

این یافته‌ها نشان می‌دهد که فقط فناوری برای ایمن‌سازی سازمان کافی نیست؛ بلکه فرآیندها، برنامه‌ریزی و نیروی انسانی باید با هم کار کنند تا ریسک کاهش یابد، آمادگی برای حوادث فراهم شود و واکنش‌ها اثربخش باشند.

توصیه‌های آژانس امنیت سایبری و زیرساخت ایالات متحده برای همه نهادهای فدرال و سازمان‌های زیرساخت حیاتی:

•    پیشگیری از نفوذ با اولویت‌دادن به وصله سریع آسیب‌پذیری‌های شناخته‌شده در سیستم‌های عمومی.
•    آمادگی برای حوادث با نگهداری و تمرین یک برنامه پاسخ تفصیلی که شامل روند همکاری با طرف‌های ثالث و دسترسی به منابع کلیدی باشد.
•    افزایش توان شناسایی با پیاده‌سازی ثبت جامع رویدادها و متمرکز کردن لاگ‌ها در یک محل خارج از دسترس مستقیم سیستم‌ها تا در جریان حادثه محفوظ بمانند و امکان شکار تهدید به‌موقع فراهم شود.

این هشدار همچنین تاکتیک‌ها، تکنیک‌ها و روش‌های (TTPs) استفاده‌شده توسط مهاجمان و شاخص‌های نفوذ (IOCs) قابل دانلود در قالب‌های STIX و JSON را ارائه می‌دهد.

سازمان‌ها باید این شاخص‌ها را بررسی و قوانین شناسایی خود را مطابق آن تنظیم کنند.

با یادگیری از این حادثه، نهادها می‌توانند دفاع خود را در برابر سوءاستفاده‌های مشابه تقویت کرده و وضعیت کلی امنیتی‌شان را بهبود دهند.

 

منبع:

تازه ترین ها
تحریم
1405/04/22 - 15:39- جرم سایبری

تحریم هکرهای اطلاعات نظامی روسیه توسط اتحادیه اروپا و انگلیس

اتحادیه اروپا و بریتانیا در اقدامی هماهنگ، تحریم‌های جدیدی را علیه ده‌ها فرد و نهاد روسی به دلیل مشارکت در حملات سایبری و عملیات‌های بی‌ثبات‌کننده علیه کشورهای اروپایی اعمال کردند.

همکاری
1405/04/22 - 15:35- هوش مصنوعي

همکاری سازمان بین‌المللی کار و اتحادیه اروپا در زمینه هوش مصنوعی

سازمان بین‌المللی کار و اتحادیه اروپا همکاری در زمینه هوش مصنوعی و مشاغل را تقویت می‌کنند.

سومین
1405/04/22 - 15:18- هوش مصنوعي

سومین گفتگوی دیجیتال اتحادیه اروپا و استرالیا

زیرساخت‌های هوش مصنوعی، امنیت سایبری و اتصال امن، محورهای اصلی سومین گفتگوی دیجیتال اتحادیه اروپا و استرالیا بود.