اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• اختراق حسابات LinkedIn في حملة اختراق واسعة النطاق.

• استغلال جديد في Apple iOS 16 يمكّن من الوصول الخفي في وضع الطائرة الوهمي.

• استهداف خدمة Amazon cloud.

• شركة Xiaomi تضع علامة على Telegram على أنه خطير في الصين.

• برنامج Akira Ransomware يستهدف شبكات Cisco VPN لاختراق المؤسسات.

مخاطر وثغرات

• ثغرة في Dell Compellent تكشف عن اعتمادات مسؤول VMware vCenter.

• ثغرة في WinRAR تتيح للمهاجمين تشغيل برامج عند فتح ملفات الضغط بصيغة RAR.

• Ivanti تكشف عن ثغرة جديدة حرجة لتجاوز المصادقة.

• ثغرات جديدة في نظام تشغيل Juniper تُعرِّض الأجهزة للهجمات عن بُعد.

• Google Chrome يصدر تحديثات للعديد من الثغرات الأمنية عالية الخطورة. 

معلومة أمنية

• احذر تثبيت التطبيقات من مصادر غير معروفة   

اختراق حسابات LinkedIn في حملة اختراق واسعة النطاق
 

15 أغسطس 2023

يتعرض LinkedIn لهجمات مستهدفة في موجة من اختراق لحسابات المستخدمين؛ مما أدى إلى إغلاق العديد من الحسابات لأسباب أمنية أو في نهاية المطاف تم اختراقها من قبل المهاجمين.

ووفقًا لتقرير نشرته Cyberint، تقدم العديد من مستخدمي LinkedIn بشكاوى بشأن استيلاء الحسابات أو إغلاقها، وعدم القدرة على حل المشكلات من خلال دعم LinkedIn.

أفادت باحثة Coral Tayar في Cyberint: "لقد تعرض بعضهم لضغوط لدفع فدية لاستعادة السيطرة أو واجهوا حذف حساباتهم بشكل دائم".

"بينما لم تصدر LinkedIn بيانًا رسميًّا حتى الآن، يبدو أن وقت استجابتهم للدعم قد طال، مع وجود تقارير عن زيادة حجم طلبات الدعم".

كما يبدو أن دعم LinkedIn لم يكن مفيدًا في استعادة الحسابات التي تم اختراقها، حيث يشعر المستخدمون بالإحباط بسبب عدم وجود استجابة.

كتب أحد المستخدمين المتأثرين في سلسلة رسائل Reddit عن الاختراقات: "تم اختراق حسابي قبل 6 أيام. تم تغيير البريد الإلكتروني في منتصف الليل ولم يكن لدي القدرة على تأكيد التغيير أو منعه".

"لا توجد أي استجابة منهم على الإطلاق. حاولت الإبلاغ عن حسابي المخترق، والانتقال من خلال التحقق من الهوية، وحتى مراسلتهم على حسابهم @linkedinhelp على تويتر. لا استجابات على الإطلاق."

أفادت Cyberint أن هناك أيضًا علامات على الاختراق تنعكس في Google Trends ، حيث تُسجل مصطلحات البحث حول اختراق حساب LinkedIn أو استعادة الحساب زيادة بنسبة 5000% خلال الأشهر القليلة الماضية.

يبدو أن المهاجمين يستخدمون بيانات اعتمادات تم تسريبها أو التخمين لمحاولة السيطرة على عدد كبير من حسابات LinkedIn.

بالنسبة للحسابات التي تكون محمية بشكل مناسب باستخدام كلمات مرور قوية و/أو المصادقة الثنائية، تؤدي المحاولات المتعددة للاستيلاء على الحسابات إلى إغلاق مؤقت للحساب تفرضه المنصة كإجراء حماية.

بعد ذلك يُطلب من أصحاب هذه الحسابات التحقق من الملكية من خلال تقديم معلومات إضافية وتحديث كلمات المرور قبل السماح لهم بتسجيل الدخول مرة أخرى.

عندما يتمكن القراصنة من الاستيلاء على حسابات LinkedIn التي تكون ضعيفة الحماية، يقومون سريعًا بتغيير عنوان البريد الإلكتروني المرتبط بالحساب مع واحد من خدمة "rambler.ru".
 

بعد ذلك، يقوم القراصنة بتغيير كلمة المرور للحساب؛ مما يمنع الأصحاب الأصليين من الوصول إلى حساباتهم. أبلغ العديد من المستخدمين أيضًا أن القراصنة قاموا بتفعيل المصادقة الثنائية بعد الاستيلاء على الحساب، مما جعل عملية استعادة الحساب أكثر صعوبة.

في بعض الحالات التي لاحظها Cyberint، طلب المهاجمون فدية صغيرة لإعادة الحسابات إلى أصحابها الأصليين أو حذفوا الحسابات بلا سؤال.

تعتبر حسابات LinkedIn قيمة في الهندسة الاجتماعية والتصيد الاحتيالي وعمليات الاحتيال بعروض الوظائف التي قد تؤدي في بعض الأحيان إلى سرقة إلكترونية تكلف ملايين الدولارات.

خصوصًا بعد أن قدمت LinkedIn ميزات لمكافحة الملفات الشخصية الزائفة والسلوك السيئ على المنصة، أصبح الاستيلاء على الحسابات الحالية أكثر مناسبة بالنسبة للقراصنة.

إذا كنت تحتفظ بحساب LinkedIn، فإن الوقت الحالي هو وقت جيد لمراجعة التدابير الأمنية التي قمت بتنشيطها، وتفعيل المصادقة الثنائية، واختيار كلمة مرور مُبتكرة وطويلة.

استغلال جديد في Apple iOS 16 يمكِّن من الوصول الخفي في وضع الطائرة الوهمي 
 

17 أغسطس 2023

قام باحثو الأمن السيبراني بتوثيق تقنية جديدة للاستمرار بعد استغلال الثغرة على نظام iOS 16 يمكن استغلالها للبقاء والحفاظ على الوصول إلى جهاز Apple حتى عندما يعتقد الضحية أنه غير متصل بالإنترنت.

التقنية "تخدع المستخدم ليعتقد أن وضع الطائرة في جهازه يعمل في الواقع عندما يكون الهجوم ناجحًا، حيث يقوم المهاجم بتفعيل وضع طائرة وهمي يقوم بتعديل واجهة المستخدم لعرض أيقونة وضع الطائرة ويقوم بقطع اتصال الإنترنت عن جميع التطبيقات باستثناء تطبيق المهاجم.

وضع الطائرة، كما يوحي الاسم، يتيح للمستخدمين إيقاف ميزات الاتصال اللاسلكي في أجهزتهم، مما يمنعهم من الاتصال بشبكات Wi-Fi وبيانات الجوال cellular data وتقنية Bluetooth، وكذلك من إجراء مكالمات أو استقبال رسائل نصية.

عندما يقوم المستخدم بتشغيل وضع الطائرة، لن تعرض واجهة الشبكة cellular data عناوين الإنترنت IP ipv4/ipv6، حيث يتم فصل الشبكة cellular network ولا يمكن استخدامها على مستوى المستخدم، على الأقل."

في حين يتم تنفيذ التغييرات الأساسية من قِبل CommCenter، يتم التعامل مع التعديلات على واجهة المستخدم (UI)، مثل التحولات في الأيقونات، بواسطة SpringBoard (هو تطبيق يدير الشاشة الرئيسة لجهاز iPhone).

الهدف من الهجوم هو بالتالي ابتكار وضع الطائرة الاصطناعي الذي يبقي تغييرات واجهة المستخدم سارية المفعول ولكنه يحتفظ بالاتصال لحمولة ضارة يتم تسليمها وتثبيتها على الجهاز بوسائل أخرى.

"بعد تفعيل وضع الطائرة دون اتصال Wi-Fi، يتوقع المستخدمون أن فتح Safari لن يؤدي إلى أي اتصال بالإنترنت"، قال الباحثون. "التجربة النموذجية هي نافذة إشعار تطلب من المستخدم 'إيقاف وضع الطائرة".

لتنفيذ الخدعة، يتم استخدام CommCenter daemon لحظر الوصول إلى بيانات cellular لتطبيقات معينة وتزييفه على أنه وضع الطائرة من خلال تغير نافذة التنبيه لتبدو وكأن الإعداد قد تم تشغيله.

من الجدير بالذكر أن نواة نظام التشغيل system kernel تقوم بإخطار CommCenter عبر روتين استدعاء ردود الاتصال، الذي بدوره يخطر SpringBoard (تطبيق يدير الشاشة الرئيسة لجهاز iPhone) بعرض النافذة المنبثقة.

وقد كشف فحص أدق لخادم CommCenter عن وجود قاعدة بيانات SQL تُستخدم لتسجيل حالة وصول البيانات cellular data لكل تطبيق.

أفاد الباحثون " باستخدام قاعدة البيانات هذه لمعرفات التطبيقات المثبتة، يمكننا الآن حظر أو السماح انتقائيًا لتطبيق بالوصول إلى شبكة Wi-Fi أو بيانات cellular data"،

"عندما يتم دمج هذه التقنيات مع التقنيات الأخرى المشار إليها أعلاه، يبدو الوضع الطائر الوهمي الآن أنه يعمل تمامًا كما الوضع الحقيقي، باستثناء أن حظر الإنترنت لا ينطبق على عمليات غير التطبيقات مثل backdoor trojan".

عندما تم التواصل مع Apple للحصول على تعليق، أبلغوا موقع The Hacker News بأن الهجوم لا يتعلق بثغرة معينة في نظام التشغيل وأنه يوضح طريقة تتيح للمهاجم تحقيق استمرارية بعد الاختراق.
 

استهداف خدمة Amazon cloud 
 

07 أغسطس 2023

إن أنظمة Windows وLinux التي تستخدم خدمة Amazon السحابية تم استهدافها بواسطة حصان طروادة للوصول عن بُعد (remote access trojan - RAT)، حيث يمكن الاستيلاء على جهاز الضحية باستخدام أداة الإدارة management tool الخاصة بالشركة.

أعلنت Mitiga بعد مراقبتها لخدمة Amazon Web Services (AWS) لرؤية كيفية تعامل دفاعاتها مع remote access trojan "RAT".

ما يجعل هذا الناقل الهجومي خبيثًا للغاية هو أنه لا يلزم وجود تعليمات برمجية ضارة قائمة بذاتها — يمكن للمهاجم ببساطة استخدام مدير نظام system manager (SSM) الخاص بها Amazon Web Services (AWS) ضدها.

أفادت Mitiga: "يمكن للمهاجم إعادة استخدام SSM agent، وهو أداة شرعية تُستخدم بواسطة المسؤولين لإدارة الحالات الخاصة بهم، لتنفيذ أنشطة ضارة بشكل مستمر على الحالات".

بالطبع، ما يعنيه هذا هو أن المهاجم يجب أن يكون قد حصل على وصول من خلال اختراق ناجح سابق لأنظمة الدفاع المستهدفة.

ولكن الذين تم اختراقهم قد يجدون أن بياناتهم المخزنة في السحابة عبارة عن هدف سهل لمجرمي الإنترنت الذين يستخدمون هذه التقنية، حيث تسمح هذه التقنية لـ "المهاجم الذي اخترق جهازًا، سواء أكان مستضيفًا على منصة AWS أو في أي مكان آخر، بالحفاظ على الوصول إليه وتنفيذ أنشطة ضارة متنوعة".

أضافت Mitiga أن هذا الاستخدام السيئ لـ SSM الخاص بـ AWS يسمح للمهاجمين بتجنب الكشف من قبل برامج مكافحة الفيروسات، مستخدمين في الأساس سمعة أمازون والشرعية المتصورة لتغطية آثارهم.

علاوةً على ذلك، يمكن للمهاجمين "استخدام حساب AWS الضار الخاص بهم كخادم للتحكم والتوجيه (Command and Control - C&C)، مما يمكّنهم من التحكم في وكيل SSM الذي تم اختراقه."

وأضافت: "يسمح ذلك لاتصالهم بأن تبدو مشروعة، مما يجعل من الصعب كشف أنشطتهم."

ويشمل ذلك استخدام ميزات تدعمها SSM مثل RunCommand أو StartSession للحصول على "تحكم سهل في الجهاز النهائي الذي تم اختراقه."

كما أفادت Mitiga "من هذا المنطلق، تعد AWS ضحية لشهرتها الخاصة، نظرًا لانتشار ميزاتها على نطاق واسع داخل نظامها البيئي الواسع. "يزيد هذا الانتشار من مدى الهجوم المحتمل ويوفر مجموعة كبرى من الأهداف المحتملة للخصوم". 

كلا المستخدمين في نظام Linux ونظام Windows عرضة للخطر، وبينما لم تذكر Mitiga نظام macOS في هذه النشرة، فقد قام محللون آخرون في مجال الأمن السيبراني مؤخرًا بالإبلاغ عن زيادة تعرض منتجات Apple للهجمات السيبرانية.

كما نشرت Mitiga: "الأجهزة التي تم تثبيت SSM agent النشط فيها والتي تعمل بنظام Linux ونظام Windows عرضة لهذا الآلية لاستمرارية ما بعد الاختراق".

يُحث المحترفون في مجال الأمن السيبراني ومستخدمو خدمة AWS الآخرون على اتباع التدابير الاحترازية الموصى بها من قبل Mitiga للحد من تعرضهم للهجمات التي تستغل خدمة Amazon السحابية SSM.

كما أفادت Mitiga: "من خلال فهم المخاطر وتنفيذ التدابير الأمنية الصحيحة، يمكن للشركات تعزيز دفاعاتها وحماية أنظمتها من هذه التهديدات المتطورة".

أفاد متحدث باسم AWS: "تعمل برمجيات AWS وأنظمتها على النحو المصمم لها ولا حاجة للعملاء لاتخاذ أي إجراء". وأضاف: "تتطلب المشاكل الموصوفة في النشرة الصادرة عن Mitiga الحصول على اعتمادات على مستوى root والوصول بنجاح إلى إحدى حالات Amazon Elastic Compute Cloud (EC2) (هي خدمة ويب توفر حوسبة آمنة وقابلة لتغيير حجمها) من أجل استغلالها".
 

شركة Xiaomi تضع علامة على Telegram على أنه خطير في الصين
 

11 أغسطس 2023

قامت شركة الهواتف الذكية الآسيوية العملاقة Xiaomi بمنع تثبيت تطبيق Telegram على الأجهزة باستخدام نظام MIUI وواجهة البرامج الثابتة الخاصة بها.

نظام MIUI هو نظام تشغيل مبني على نظام Android تستخدمه شركة Xiaomi على هواتفها الذكية وأجهزتها المحمولة. مع إصدار MIUI 13 في عام 2023، أضافت الشركة ميزة أمان جديدة للكشف عن ومنع تشغيل التطبيقات الضارة على الأجهزة.

ومع ذلك، واجهت هذه الميزة انتقادات وشكوكًا في الماضي، حيث توقع بعض المستخدمين أنها قد تكون محاولة مستترة من شركة Xiaomi، بالتعاون مع الحزب الشيوعي الصيني Chinese Community Party (CCP)، لمراقبة أنشطة المستخدمين ورقابة التطبيقات.

هذه الشكوك زادت بناءً على حقيقة أن نظام MIUI بدأ في منع التطبيقات التي تمكن المستخدمين من تغيير إعدادات الشبكة خارج الإعدادات الافتراضية. إذا تم اعتبار التطبيق ضارًا أو خطيرًا، يحاول نظام MIUI إزالة التطبيق من الجهاز ومنع تثبيته.

تشير الاكتشافات الأخيرة إلى أن نظام MIUI لشركة Xiaomi يقوم الآن بوضع علامة على منصة التراسل الشهيرة Telegram كتطبيق خطير في الصين.

برنامج Akira Ransomware يستهدف شبكات Cisco VPN لاختراق المؤسسات
 

22 أغسطس 2023

هناك أدلة على أن فيروس الفدية Akira يستهدف منتجات شبكات Cisco VPN للهجوم على شبكات الشركة، وسرقة البيانات، وتشفيرها في نهاية المطاف.

ثغرة في Dell Compellent تكشف عن اعتمادات مسؤول VMware vCenter
 

10 أغسطس 2023

هناك ثغرة في مفتاح التشفير المدمج بشكل ثابت في أدوات دمج Dell's Compellent لـ VMware (CITV) يسمح للمهاجمين بفك تشفير اعتمادات مسؤول vCenter المخزنة واسترداد كلمة المرور النصية الواضحة.

تم تتبع هذه الثغرة، والتي تعرف بـ CVE-2023-39250، الناتجة عن وجود مفتاح تشفير AES ثابت، تتم مشاركته عبر جميع التثبيتات، والذي يُستخدم لتشفير اعتمادات vCenter المخزنة في ملف إعدادات البرنامج.

Dell Compellent هي سلسلة من أنظمة التخزين للشركات تقدم ميزات مثل تصنيف البيانات وترحيلها إلى المستوى الأمثل تلقائيًا data progression، والحجم المباشر live volume، إمكانية النسخ في وقت محدد لوحدة تخزين لتوفر استردادًا سريعًا للبيانات واستنساخها data snapshots and cloning، والإدارة المتكاملة integrated management.

البرمجيات تدعم التكامل مع VMware vCenter للتخزين، وهو منصة مستخدمة على نطاق واسع لإدارة أجهزة الخوادم الافتراضية ESXi.

ومع ذلك، تجب تهيئة العميل لاستخدام بيانات اعتماد VMware vCenter، التي يتم تخزينها في ملف الإعدادات المشفر لبرنامج Dell.

اكتشف الباحث Tom Pohl من LMG Security خلال اختبار اختراق أن Dell CITV يحتوي على مفتاح تشفير AES ثابت يكون متطابقًا لجميع عملاء Dell عبر جميع التثبيتات.

يُستخدم هذا المفتاح لتشفير ملف إعدادات CITV الذي يحتوي على إعدادات البرنامج، بما في ذلك اعتمادات مسؤول vCenter المُدخلة.

بما أن AES هو تشفير متماثل، فإنه يستخدم نفس المفتاح لتشفير وفك تشفير البيانات. وهذا يتيح للمهاجم الذي يستخرج المفتاح فك تشفير ملف الإعدادات بسهولة واسترداد كلمة المرور المشفرة.

تحتاج البرمجيات من Dell إلى اعتمادات vCenter الإدارية لتعمل بشكل صحيح، وهي تحمي هذه الاعتمادات في ملفات الإعدادات config files باستخدام مفتاح Advanced Encryption Standard (AES) ثابت لا يتغير.

يتفاعل Dell مع خوادمvCenter، ويحتفظ بالاعتمادات في ملف الإعدادات مشفرًا، حيث يجب أن يكون غير قابل للوصول للعرض من قبل أي شيء أو أي شخص آخر غير البرمجيات من Dell.

لا يجب أن يكون بإمكان المهاجمين الوصول إلى محتويات ذلك الملف، ولكنه قابل للوصول. ومع ذلك، بفضل هذه الثغرة المكتشفة حديثًا، يمكن للمهاجمين استخراج مفتاح التشفير الذي تستخدمه ببرنامج Dell لحماية محتويات ذلك الملف.

وجد فريق LMG Security أن دليل برنامج Dell Compellent يحتوي على ملف JAR الذي، عند فك تجميعه، كشف عن مفتاح مشفر Advanced Encryption Standard (AES) ثابت لا يتغير.

باستخدام مفتاح AES هذا، يمكن لـ Pohl فك تشفير ملف تكوين Dell Compellent واسترداد اسم المستخدم وكلمة المرور لمسؤول VMware vCenter، كما هو موضح أدناه.

الخادم الذي يحتوي على ذلك المفتاح كان قابلاً للوصول باستخدام اعتمادات ضعيفة  (admin/admin)  ومع ذلك، كما يظهر مرارًا وتكرارًا، يمكن للجهات المهددة الوصول إلى الخوادم بطرق مختلفة بسبب الثغرات.

علاوة على ذلك، يمكن أن تكون المشكلة قابلة للاستغلال من قبل العاملين أو الهجمات الخارجية ذات الامتياز المنخفض الذين لديهم وصول إلى Dell CITV.

في هذه الحالة، يمكن لفريق LMG أن يذهب أبعد من ذلك عن طريق الاستفادة من وصولهم إلى عناصر التحكم في النطاق، ولكنهم اختاروا بدلاً من ذلك إنشاء حساب مسؤول النطاق domain admin، وذلك باستغلال الفرصة عندما ترك مسؤول الشبكة غالبًا وحدة التحكم console مفتوحة عن طريق الخطأ.

تواصل المحللون مع شركة Dell عبر البريد الإلكتروني لإبلاغهم بالاكتشاف في 11 أبريل 2023، ولكن الشركة المصنعة للكمبيوتر والبرمجيات رفضت التقرير في البداية، وأُسيئ فهم النطاق. 

بعد مزيد من التواصل، تعهدت Dell بتنفيذ تصحيح بحلول نوفمبر 2023.

بما أن سياسة الإفصاح عن الثغرات القياسية لمدة 90 يومًا قد انقضت، قام   Pohl بمشاركة أبحاثه علنيًا في جلسة DEFCON بعنوان "Private Keys in Public Places".

اكتشف Pohl مفاتيح ثابتة مشابهة في Netgear وFortinet في عام 2022، وتم إصلاحها بعد ذلك.

"أصدرت Dell Technologies تصحيحات لمعالجة ثغرة Dell Storage Compellent Integration Tools for VMware. . يجب على العملاء مراجعة تنبيه الأمان DSA-2023-282 من Dell في أقرب وقت ممكن للحصول على التفاصيل." 

مع ذلك، ليس واضحًا كيف يمكن أن يمنع ذلك المستخدم المحلي local user   من استخراج مفتاح Advanced Encryption Standard (AES).

ثغرة في WinRAR تتيح للمهاجمين تشغيل برامج عند فتح ملفات الضغط بصيغة RAR
 

18 أغسطس 2023  

 
 

تم إصلاح ثغرة ذات خطورة عالية في برنامج WinRAR، وهو أداة ضغط الملفات الشهيرة المستخدمة في نظام Windows من قبل الملايين، والتي يمكن أن تنفذ أوامر على جهاز الكمبيوتر ببساطة من خلال فتح ملف ضغط.

تم تتبع الثغرة باسم CVE-2023-40477 ويمكن أن تمنح المهاجمين عن بعد تنفيذ أوامر ضارة على النظام المستهدف بعد فتح ملف RAR مُعد بشكل خاص.

تم اكتشاف الثغرة من قبل الباحث "goodbyeselene" من Zero Day Initiative، الذي أبلغ عن الثغرة إلى RARLAB في 08 يونيو 2023.

وفقا للإعلان الأمني الذي تم نشره على موقع ZDI "الثغرة المحددة موجودة في معالجة وحدات تخزين الاسترداد recovery volumes".

تنتج هذه المشكلة عن عدم وجود تحقق من صحة البيانات التي يقدمها المستخدم، مما يمكن أن يؤدي إلى الوصول إلى الذاكرة بعد نهاية مخزن البيانات المُخصص.

بما أن الهدف يحتاج إلى خداع الضحية لفتح ملف ضغط، يقل تصنيف خطورة الثغرة إلى. 7.8، وفقًا لمقياس CVSS.

ومع ذلك، من وجهة نظر عملية، فإن خداع المستخدمين لأداء الإجراء المطلوب قد لا يكون تحديًا كبيرًا، ونظرًا لحجم مستخدمي WinRAR الكبير، فإن لدى المهاجمين فرصًا كبيرة للاستغلال الناجح.

قامت RARLAB بإصدار نسخة WinRAR 6.23 في 2 أغسطس 2023، وذلك لمعالجة بشكل فعّال الثغرة CVE-2023-40477 لذا، يُفضل بشدة على مستخدمي WinRAR تطبيق التحديث الأمني المتاح على الفور.

بصرف النظر عن إصلاح كود معالجة وحدات تخزين RAR4، تعالج النسخة 6.23 مشكلات في ملفات الضغط المعدة بشكل خاص تؤدي إلى بدء تشغيل ملفات خاطئة، وهو أمر يُعتبر أيضًا مشكلة ذات أهمية عالية.

يجب أيضًا ملاحظة أن Microsoft يختبر الآن دعمًا مدمجًا في Windows 11 لملفات RAR وZIP-7 وGZ، لذا، لن تكون هناك حاجة للبرمجيات من الجهات الخارجية مثل WinRAR  في هذا الإصدار ما لم تكن هناك حاجة لميزاته المتقدمة.

الأشخاص الذين يواصلون استخدام WinRAR يجب أن يحافظوا على تحديث البرنامج، حيث تم استغلال ثغرات مماثلة في الماضي من قبل المهاجمين لتثبيت برامج ضارة.

بالإضافة إلى ذلك، يُفضل أخذ الحذر عند فتح ملفات RAR واستخدام أداة مكافحة الفيروسات التي يمكنها فحص الملفات المضغوطة كإجراء أمان جيد.
 

Ivanti تكشف عن ثغرة جديدة حرجة لتجاوز المصادقة
 

2 أغسطس 2023

 
أعلنت شركة برمجيات وتقنية المعلومات Ivanti عن ثغرة أمنية حرجة جديدة في برنامج إدارة أجهزة موبايل MobileIron Core الخاص بها.

تم تعقب الثغرة برقم CVE-2023-35082، وهي ثغرة في الوصول عبر واجهة برمجة التطبيقات (API) بدون مصادقة عن بُعد وهي تؤثر على نسخة 11.2 والإصدارات السابقة من موبايل MobileIron Core.

يتيح استغلال الثغرة بنجاح للمهاجمين الوصول إلى معلومات الهوية الشخصية لمستخدمي أجهزة الموبايل personally identifiable information (PII) وإدخال خوادم مخترقة عبر استخدام الثغرة مع ثغرات أخرى.

أفادت شركة Ivanti أنها لن تصدر تصحيحات أمنية لإصلاح هذا الخلل؛ لأنه تمت معالجته بالفعل في الإصدارات الأحدث من المنتج، والتي تم تغيير علامتها التجارية إلى Endpoint Manager Mobile (EPMM).

كما أفادت "لقد توقف دعم MobileIron Core 11.2 منذ 15 مارس 2022. لذلك، لن تقوم Ivanti بإصدار تصحيح أو أي علاجات أخرى لمعالجة هذه الثغرة الأمنية في الإصدار 11.2 أو الإصدارات السابقة. الترقية إلى أحدث إصدار من Ivanti Endpoint Manager Mobile (EPMM) هي أفضل طريقة لحماية بيئتك من التهديدات".

"لا تؤثر مشكلة عدم الحصانة هذه على أي إصدار من Ivanti Endpoint Manager أو MobileIron Core 11.3 وما أعلى، أو "Ivanti Neurons for MDM. كما أفادت الشركة في مشور أمني منفصل: "فريق الدعم لدينا متاح دائمًا لمساعدة العملاء على الترقية".

وفر Stephen Fewer، الباحث الأمني في Rapid7، الذي اكتشف الخطأ وأبلغ عنه، مؤشرات اختراق indicators of compromise (IOCs) لمساعدة المدافعين على اكتشاف علامات هجوم CVE-2023-35082 وحث عملاء Ivanti على تحديث برنامج MobileIron Core إلى أحدث إصدار على الفور.

تم استغلال ثغرات مماثلة في منتجات Ivanti في هجمات منذ أبريل 2023

وفقًا لتقرير نُشر من قِبل الهيئة الأمريكية للأمن السيبراني (CISA)، تم استغلال ثغرتي أمان أخريين في منتج Endpoint Manager Mobile (EPMM) من Ivanti المعروف سابقًا باسمـ MobileIron Core من قبل قراصنة حكوميين منذ أبريل 2023.

إحدى هذه الثغرات (CVE-2023-35078)، وهي ثغرة حرجة تمكن من تجاوز المصادقة، تم استغلالها كـ "Zero-Day" لاختراق شبكات عدة جهات حكومية نرويجية.

يمكن ربط هذه الثغرة بثغرة أخرى (CVE-2023-35081)، مما يتيح للمهاجمين الذين يمتلكون امتيازات إدارية نشر web shells على الأنظمة المتأثرة.

ذكرت CISA: "استغل مهاجمو التهديد المستمر المتقدم (APT) ثغرة CVE-2023-35078 كـ "Zero-Day" على الأقل منذ أبريل 2023 حتى يوليو 2023 لجمع معلومات من عدة منظمات نرويجية، بالإضافة إلى الوصول إلى شبكة وكالة حكومية نرويجية واختراقها."

تعد أنظمة إدارة الأجهزة المحمولة Mobile device management (MDM) أهدافًا جذابة لمهاجمي التهديدات نظرًا لأنها توفر وصولًا مرتفعًا إلى آلاف الأجهزة المحمولة، وقد استغل مهاجمو التهديد المستمر المتقدم ثغرة سابقة في منتج MobileIron. وعلى ذلك، يشعر CISA ومركز الأمن السيبراني الوطني النرويجي (NCSC-NO) بالقلق من احتمالية استغلال واسع النطاق في شبكات القطاعين الحكومي والخاص.

جاءت الاستشارة المشتركة بين CISA ومركز الأمن السيبراني الوطني النرويجي (NCSC-NO) استجابة لتوجيهات طلبت من وكالات الحكومة الفيدرالية الأمريكية تصحيح الثغرتين النشطتين بحلول 15 أغسطس و 21 أغسطس 2023.
 

ثغرات جديدة في نظام تشغيل Juniper تعرض الأجهزة للهجمات عن بُعد 
 

19 أغسطس 2023



  

أصدرت شركة Juniper تحديث أمان لمعالجة عدة ثغرات في مكون J-Web لنظام التشغيل Junos OS والذي يمكن دمجه لتحقيق تنفيذ تعليمات برمجية عن بُعد على عمليات التثبيت القابلة للإصابة.

الثغرات الأربع تمتلك تصنيفًا تقييميًّا CVSS تراكميًّا يبلغ 9.8 درجات، مما يجعلها ذات أهمية حرجة في الخطورة. تؤثر على جميع إصدارات نظام Junos OS على سلاسل SRX و EX.

أفادت الشركة "من خلال ربط استغلال هذه الثغرات، قد يكون بإمكان هجوم غير مصادق عليه ومستند إلى الشبكة تنفيذ كود عن بُعد على الأجهزة". 

تسمح واجهة J-Web للمستخدمين بتكوين وإدارة ومراقبة أجهزة Junos OS. فيما يلي وصف موجز للثغرات:

• CVE-2023-36844 و CVE-2023-36845 (درجات التقييم CVSS: 5.3): ثغرات في تعديل المتغير الخارجي PHP في J-Web لنظام Junos OS على سلاسل EX و SRX يسمحان لمهاجم غير مصادق عليه ومستند إلى الشبكة بالتحكم في بيئات متغيرة معينة ومهمة.

• CVE-2023-36846 و CVE-2023-36847 (درجات التقييم CVSS: 5.3):   

• مصادقتان مفقودتان لثغرات أمنية مهمة في Juniper Networks Junos OS على سلاسل EX و SRX يسمحان لمهاجم غير مصادق عليه ومستند إلى الشبكة بتسبب أثر محدود على نظام الملفات.

هذا يُمكن مهاجم من إرسال طلب مُصمم بشكل خاص لتعديل متغيرات بيئة PHP معينة أو رفع ملفات ضارة عبر J-Web بدون أي مصادقة لاستغلال المشكلات المذكورة بنجاح.

تمت معالجة الثغرات في الإصدارات التالية -

• EX Series - Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, and 23.2R1

• SRX Series - Junos OS versions 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3, and 23.2R1

يُنصح بتطبيق التصحيحات اللازمة للتقليل من التهديدات المحتملة لتنفيذ التعليمات البرمجية عن بُعد. كحل مؤقت، تقترح Juniper Networks على المستخدمين إما تعطيل J-Web أو تقييد الوصول إلى الأجهزة الموثوق بها فقط.
 

Google Chrome يصدر تحديثات للعديد من الثغرات الأمنية عالية الخطورة 
 

23 أغسطس 2023

في تحديث أمني لمتصفح Chrome، قامت Google بتحديث Stable وExtended stable إلى 116.0.5845.110 لنظامي التشغيل Mac وLinux و111/116.0.5845.110 لنظام التشغيل Windows. 

في هذا الإصدار، هناك 5 إصلاحات أمنية. تم تصنيف أربع ثغرات أمنية على أنها "عالية الخطورة"، في حين تم تصنيف واحدة على أنها "متوسطة الخطورة".

أولاً: الثغرات ذات الخطورة العالية 

• تم حل مشكلة "Use after free" في Vulkan المُتتبعة بالرمز CVE-2023-4430 والتي كانت تصنف ضمن مدى خطورة عالٍ. قام Cassidy Kim (@cassidy6564) بالإبلاغ عن هذه المشكلة وحصل على مكافأة قدرها 10000 دولار.

• تم حل مشكلة "Use after free" في مكون التحميل Loader المتتبعة بالرمز CVE-2023-4429 والتي تصنف عالية الخطورة. الباحث الذي اكتشف هذه المشكلة حصل على مكافأة قدرها 3000 دولار.

• تم حل مشكلة "Out of bounds memory access" في CSS بمدى خطورة عالٍ المتتبعة بالرمز CVE-2023-4428 تم الإبلاغ عن هذه المشكلة من قبل Francisco Alonso (@revskills) وتمت مكافأته بمبلغ قدره 2000 دولار.

• تم حل مشكلة "Out of bounds memory access" في V8 بمدى خطورة عالٍ المتتبعة بالرمز CVE-2023-4427. تم الإبلاغ عن هذه المشكلة من قبل Sergei Glazunov من Google Project Zero.

ثانيًا: الثغرات ذات الخطورة المتوسطة

• تم حل مشكلة "Out of bounds memory access in Fonts " بمدى خطورة متوسط المتتبعة بالرمز CVE-2023-4431. تم الإبلاغ عن هذه الثغرة من قبل باحث أمني في Microsoft.

كيفية تحديث Google Chrome

• على جهاز الكمبيوتر الخاص بك، افتح. Chrome

• في أعلى يسار الصفحة، انقر على "المزيد".

• انقر فوق تعليمات حول. Google Chrome

• انقر فوق تحديث Google Chrome. هام: إذا لم تتمكن من العثور على هذا الزر، فأنت تستخدم الإصدار الأحدث.

• انقر فوق إعادة التشغيل.

ويقترح تطبيق التحديث في أسرع وقت ممكن لحماية المتصفح والنظام من أي عيوب.
 

احذر تثبيت التطبيقات من مصادر غير معروفة   
 

هل تعلم أن شيئًا بسيطًا مثل تثبيت تطبيقات من مصادر غير معروفة يمكن أن يعرض مؤسستك أو الأجهزة الشخصية بأكملها للخطر؟ لسوء الحظ، تتجاهل معظم الشركات هذا التهديد. سنتناول العواقب المحتملة لتثبيت التطبيقات من مصادر غير معروفة. 

من تثق به ومن لا تثق به، المصدر الأساسي الموثوق به لتثبيت التطبيقات على أجهزة Android هو متجر Google Play. بالنسبة لأجهزة iOS، فإن المصدر الوحيد الموثوق به لتثبيت التطبيق هو Apple App Store. بصرف النظر عن ذلك، يمكن أن تأتي التطبيقات أيضًا من متاجر تطبيقات المؤسسات، والتي تستخدمها المؤسسات لتوزيع التطبيقات المطورة داخليًا أو التطبيقات المصممة خصيصًا لموظفيها. يمكن اعتبار أي مصدر غير المصادر المذكورة أعلاه غير معروف.

لماذا هذه المصادر موثوقة؟ السبب الرئيس لذلك هو أن متاجر التطبيقات هذه لديها لوائح صارمة لمطوري التطبيقات. يقومون أيضًا بفحص كل تطبيق قبل توافره للتنزيل. يساعد ذلك في التأكد من أنها آمنة وخالية من أي تعليمات برمجية ضارة. بالإضافة إلى ذلك، تتطلب هذه المتاجر أن يتم توقيع التطبيقات رقميًا وستكون أيضًا معلومات المطور مرئية.

مخاطر يجب الانتباه إليها، فيما يلي بعض الأسباب التي تجعل تثبيت التطبيقات من مصادر غير معروفة ليس فكرة جيدة:

أولا: الأخطار الأمنية
ربما لم يتم اختبار التطبيقات من مصادر غير معروفة بشكل كافٍ للتحقق من وجود ثغرات أمنية. لسوء الحظ، هذا يعني أنها قد تحتوي على برامج ضارة malware أو برامج مؤذية harmful software أخرى يمكن أن تلحق الضرر بجهازك أو تسرق بياناتك. لذلك، دعنا نلقي نظرة أعمق قليلاً على الأنواع المختلفة من البرامج الضارة والمخاطر الأخرى التي قد تتضمنها هذه التطبيقات:

• برامج الإعلانات المتسللة Adware: 
  هي أجزاء من البرامج تعرض إعلانات غير مرغوب فيها. قد يواجه المستخدمون إزعاجًا كبيرًا منهم، وقد يقومون حتى بجمع البيانات الشخصية سرا.

• برامج التجسس Spyware: 
  قد تحتوي بعض التطبيقات على برامج تجسس يمكنها مراقبة نشاطك على جهازك وسرقة المعلومات الشخصية مثل كلمات المرور وأرقام بطاقات الائتمان وأرقام التأمين الاجتماعي.

• التصيد الاحتيالي Phishing: 
  التصيد هو نوع من الهجمات الإلكترونية التي تنطوي على خداع الأشخاص لتقديم معلوماتهم الشخصية أو المالية من خلال التظاهر بأنهم مصدر موثوق. عادة ما يقوم مجرمو الإنترنت بذلك من خلال البريد الإلكتروني أو الرسائل النصية، ولكن أيضًا من خلال متاجر التطبيقات التابعة لجهات خارجية. بمجرد أن يقوم المستخدم بتثبيت التطبيق الضار، فإنه سيخدع المستخدم لإدخال بيانات اعتماد تسجيل الدخول الخاصة به. قد يقوم أيضًا بمراقبة الجهاز بحثًا عن بيانات حساسة.

ثانياً: قضايا الاستقرار
ربما لم يتم إنشاء التطبيقات من مصادر غير معروفة بنفس مستوى العناية والاهتمام بالتفاصيل كتلك التي نثبتها من متاجر التطبيقات الرسمية. نتيجة لذلك، قد يكونون أكثر عرضة للتسبب في مشكلات الاستقرار على جهازك.

• التوافق Compatibility: 
  قد لا يتم تصميم هذه التطبيقات للعمل مع جهازك المحدد أو نظام التشغيل أو تطبيقات أخرى، ويمكن أن تتسبب في تعطل التطبيق أو عدم عمله بشكل صحيح.

• الأداء Performance: 
  يمكن للتطبيقات ذات الترميز السيئ Poorly coded أو المحسّن أن تستخدم الذاكرة والبطارية بشكل مفرط أو تبطئ جهازك.

• الأخطاء والأعطال Error and crashes: 
  تكون التطبيقات المنشورة في مصادر غير معروفة أكثر عرضة لوجود أخطاء أو أخطاء قد تتسبب في تعطلها أو توقفها عن العمل تمامًا.

• التداخل مع التطبيقات الأخرى Interfere with other apps: قد تتعارض هذه التطبيقات مع التطبيقات الأخرى التي تعمل على جهازك، مما يتسبب في توقفها عن العمل بشكل صحيح أو توقفها عن الاستجابة.

• نقص الدعم Lack of Support: 
  قد لا يدعم المطور إصدارات التطبيق التي تم تنزيلها من مصادر غير معروفة، وقد تواجه مشكلات في استكشاف أخطاء التطبيق وإصلاحها أو الحصول على المساعدة.

ثالثًا: قضايا قانونية
هناك فرصة كبيرة لمواجهة العواقب القانونية عند استخدام التطبيقات المثبتة من مصادر لا توافق عليها الوكالات الحاكمة.

• انتهاك حقوق الطبع والنشر Copyright infringement: 
  قد تكون بعض التطبيقات من مصادر غير معروفة نسخًا مقرصنة من تطبيقات مدفوعة أو تحتوي على محتوى محمي بحقوق الطبع والنشر بدون إذن صاحبها. هذه قد تؤدي إلى انتهاكات حقوق النشر.

• انتهاك الملكية الفكرية Intellectual property infringement: 
  قد تستخدم بعض التطبيقات من مصادر غير معروفة الملكية الفكرية مثل العلامات التجارية وبراءات الاختراع دون إذن. هذا يمكن أن يؤدي أيضا إلى إجراءات قانونية.

• انتهاكات الخصوصية Privacy violations: 
  تجمع بعض التطبيقات معلوماتك الشخصية وتعالجها بطرق تنتهك قوانين الخصوصية.

• عدم الامتثال Non- compliance: 
  قد لا تمتثل بعض التطبيقات لقوانين وأنظمة دول ومناطق معينة. يمكن أن يؤدي تثبيت هذه التطبيقات واستخدامها إلى عقوبات قانونية.

لذلك من الأفضل دائمًا الابتعاد عن متاجر التطبيقات وصفحات الويب التابعة لجهات خارجية عند البحث عن تطبيق. أنت لا تريد أي برامج ضارة كامنة في جهازك. ومع ذلك، قد تكون هناك مواقف قد تضطر فيها إلى البحث عن مصادر غير موثوق بها لتثبيت تطبيقاتك، على سبيل المثال، عندما يكون التطبيق في مرحلة الاختبار التجريبي. سيكون من الأفضل أن تتخذ بعض الاحتياطات لتجنب الخطر في مثل هذه الحالات.

الخطوة الأكثر أهمية هي التحقق من الأذونات التي يطلبها التطبيق منك. على سبيل المثال، تطبيق الألعاب الذي يطلب الإذن لإرسال رسائل نصية قصيرة SMS والوصول إلى الكاميرا ليس له معنى. سيكون لبعض التطبيقات قوائم طويلة من الأذونات. من الأفضل استعراضها جيدًا قبل التثبيت بدلاً من الندم عليها لاحقًا. إذا قمت بتثبيت تطبيق مصاب ببرامج ضارة عن طريق الخطأ، فسيتعين عليك إلغاء تثبيته وإعادة ضبط المصنع للتأكد من إزالة جميع الملفات أو البرامج المصابة.