اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• تعرض أكبر بنك روسي، SBERBANK لهجوم كبير من نوع DDoS.

• اكتشاف برنامج التجسس CanesSpy في إصدارات WhatsApp المعدلة.

• تعرّض Samsung لانتهاك بيانات جديد. 

• مستخدمو Google Drive غاضبون من فقدان أشهر من البيانات المخزنة.

• خرق بيانات في Welltok يكشف عن بيانات 8.5 ملايين مريض أمريكي.

مخاطر وثغرات

• ثغرات Zero-Day في Microsoft Exchange تسمح بتنفيذ كود عن بُعد لسرقة البيانات.

• VMware تكشف عن تجاوز لمصادقة جهاز VCD بدون أي تصحيح.

• Fortinet تحذّر من ثغرة حقن الأوامر الحرجة في FortiSIEM. 

• CISA تحذر من استغلال لثغرة حرجة (RCE) في Juniper. 

• CISA تأمر الوكالات الفيدرالية بإصلاح ثغرة Looney Tunables في نظام التشغيل Linux.

معلومة أمنية

• الكشف عن تعرضك لاختراق وكيفية استعادة حساباتك            

تعرض أكبر بنك روسي، SBERBANK لهجوم كبير من نوع DDoS
 

9 نوفمبر 2023

واجه أكبر وأقدم بنك في روسيا، SBERBANK، هجوم حجب الخدمة الموزع "DDoS" وصلت قوته إلى مليون طلب في الثانية.

بعد غزو أوكرانيا، أصبحت معظم المؤسسات الروسية والشركات الدولية التي لا تزال تعمل في روسيا هدفًا لعدة مجموعات من نشطاء المهاجمين المؤيدين لأوكرانيا. 

أفاد البنك، بأن آخر هجوم حدث، كان أقوى هجوم في تاريخه.

أعلن Herman Gref، الرئيس التنفيذي ورئيس مجلس إدارة SBERBANK: "إذا تحدثنا عن حجب الخدمة الموزع DDoS، فإن آخر هجوم كان أقوى هجوم في تاريخنا. كان أقوى بحوالي ثلاثة إلى أربعة أضعاف من أقوى هجوم سابق. لاحظنا أن هؤلاء كانوا بعض القراصنة الجدد، لم يكن لدينا معلومات سابقة عنهم. بمعنى آخر، ظهر مجرمون جدد مؤهلون للغاية على الساحة بدأوا في شن هجمات منتظمة على أكبر الموارد الروسية بشكل منهجي ".

أكد Gref أن SBERBANK يواجه حوالي عشر هجمات في الشهر، ولكن لم ينجح المهاجمون في اختراق أنظمة البنك. ومع ذلك، حذر Gref من أن خبراءه لاحظوا أن الهجمات تصبح أكثر تعقيدًا.

في 30 أكتوبر تسبب الهجوم السيبراني في إسقاط موقع نظام الدفع الوطني National Payment Card System - NSCP، ومشغل البطاقة .Mir كما قام المهاجمون بتغيير الصفحة الخارجية للموقع ونشروا رسالة هناك تفيد بأنهم دفعوا لشركائهم عن طريق بيانات شخصية للعملاء من National Payment Card System (NSPK) للقيام بهذا العمل. وأفادت وكالة أنباء Interfax بأن مشغل البطاقة "Mir" نفى إمكانية تسرب البيانات من الموقع الإلكتروني للشركة.

أفاد Stanislav Kuznetsov، نائب رئيس مجلس إدارة البنك، بأن البنك تعرض في مايو 2022 لهجوم ضخم آخر لحجب الخدمة (DDoS) بلغ ذروته عند 400 جيجابيت في الثانية. تم شن الهجوم عبر شبكة من الأجهزة المصابة تزيد على 27000 جهاز، ولكن تم التصدي بنجاح من قبل المؤسسة المالية.

ومع ذلك، فإن الهجمات التي استهدفت SBERBANK يمكن مقارنتها بتلك التي لاحظتها شركات الأمن السيبراني مؤخرًا والتي اعتمدت على تقنية إعادة ضبط HTTP/2 Rapid الجديدة.

في أكتوبر، أعلنت Google أنها لاحظت سلسلة جديدة من هجمات حجب الخدمة الموزع "DDoS"   الضخمة والتي وصلت إلى ذروتها عند 398 مليون طلب في الثانية. اعتمدت الهجمات على تقنية إعادة ضبط HTTP/2 Rapid الجديدة، والتي تعتمد على تعدد الإرسال الذي أثر على العديد من شركات البنية التحتية للإنترنت.

وأشارت Google إلى أن الهجمات باستخدام هذه التقنية بدأت في أواخر أغسطس وما زالت مستمرة، مستهدفة مقدمي البنية التحتية الرئيسة، بما في ذلك خدمات Google وبنية السحابة الخاصة بها وعملائها. وأكدت Google قدرتها على التصدي للهجوم.

أشارت Cloudflare (هي شركة للبنية التحتية والأمن على نطاق واسع على شبكة الإنترنت) أنه تمكّن هذا الهجوم من استغلال بعض ميزات بروتوكول HTTP/2 وتفاصيل تنفيذ الخادم (راجع CVE-2023-44487 للتفاصيل). ونظرًا لأن الهجوم يقوم باستغلال نقطة ضعف أساسية في بروتوكول HTTP/2، نعتقد أن أي شركة قامت بتنفيذ HTTP/2 سيكون عرضة للهجوم. وهذا يشمل كل خادم ويب حديث. 

تقنية الهجوم تسيئ استخدام ميزة إلغاء التدفقات في HTTP/2، يقوم المهاجمون بإرسال وإلغاء الطلبات باستمرار إلى الخادم المستهدف؛ مما يؤدي إلى حالة من حالات رفض الخدمة (DOS).

في هجوم إعادة الضبط السريع لبروتوكول HTTP/2، يفتح العميل عددًا كبيرًا من التدفقات في وقت واحد، ولكنه لا ينتظر استجابة لكل تدفق طلب من الخادم أو الوكيل ويلغي كل طلب فورًا.

بعد إعادة ضبط التدفقات على الفور، يمكن لكل اتصال أن يحتوي على عدد غير محدود من الطلبات قيد التنفيذ.

من خلال إلغاء الطلبات بشكل متعمد، يضمن المهاجم ألا يتم تجاوز الحد الأقصى لعدد التدفقات المتزامنة المفتوحة. ونتيجة لذلك، يصبح عدد الطلبات قيد التنفيذ يعتمد بالكامل على عرض النطاق الترددي المتاح، دون أن يؤثر ذلك على زمن الذهاب والإياب (round-trip time RTT).
 

اكتشاف برنامج التجسس CanesSpy في إصدارات WhatsApp المعدلة
 

3 نوفمبر 2023

اكتشف باحثو الأمن السيبراني عددًا من التعديلات غير الرسمية في WhatsApp على نظام Android والتي تأتي مزودة بوحدة برامج تجسس يطلق عليها اسم .CanesSpy

وقد لوحظ أن هذه الإصدارات المعدلة من تطبيق المراسلة يتم نشرها عبر مواقع ويب غير واضحة تعلن عن مثل هذه البرامج المعدلة، بالإضافة إلى قنوات Telegram التي يستخدمها بشكل أساسي المتحدثون باللغة العربية، والتي تضم إحداها مليوني مستخدم.

أفاد Dmitry Kalinin، الباحث الأمني في Kaspersky: "يحتوي بيان العميل المصاب بفيروس طروادة على مكونات مشبوهة (خدمة وجهاز استقبال بث) لا يمكن العثور عليها في عميل واتساب الأصلي".

وعلى وجه التحديد، تم تصميم الإضافات الجديدة لتنشيط وحدة برامج التجسس عند تشغيل الهاتف أو بدء شحن الهاتف.

ويشرع بعد ذلك في إنشاء اتصال مع خادم القيادة والتحكم (command & control C2)، يليه إرسال معلومات حول الجهاز المخترق، مثل IMEI ورقم الهاتف ورمز شبكة الهاتف المحمول.

يرسل CanesSpy أيضًا تفاصيل حول جهات اتصال وحسابات الضحية كل خمس دقائق، بالإضافة إلى انتظار المزيد من التعليمات من خادم C2 كل دقيقة.

يتضمن ذلك إرسال الملفات من وحدة تخزين خارجية (على سبيل المثال، بطاقة SD قابلة للإزالة)، وجهات الاتصال، وتسجيل الصوت من الميكروفون، وإرسال البيانات، وتغيير خوادم القيادة والتحكم (command & control C2) كل فترة.

تشير حقيقة أن الرسائل المرسلة إلى خادم C2 كلها باللغة العربية إلى أن المطور الذي يقف وراء العملية هو متحدث باللغة العربية.

يُظهر التحليل الإضافي للعملية أن برنامج التجسس نشط منذ منتصف أغسطس 2023، حيث استهدفت هذه البرامج في المقام الأول أذربيجان والمملكة العربية السعودية واليمن وتركيا ومصر.

ويمثل هذا التطوير استمرار إساءة استخدام الإصدارات المعدلة من خدمات المراسلة مثل Telegram وWhatsApp لتوزيع البرامج الضارة على المستخدمين.

ومن جانبه، يتعامل WhatsApp مع الإصدارات غير الرسمية وإصدارات الطرف الثالث على أنها مزيفة، محذرًا من أنه "لا يمكننا التحقق من ممارساتهم الأمنية" وأن استخدامها قد يشكل خطرًا، حيث إنه قد يحتوي على برامج ضارة يمكن أن تنتهك خصوصية العملاء وأمنهم.

في العام الماضي، رفعت الشركة المملوكة لشركة Meta أيضًا دعوى قضائية ضد ثلاثة مطورين في الصين وتايوان لتوزيع تطبيقات WhatsApp غير الرسمية، بما في ذلك HeyMods، مما أدى إلى اختراق أكثر من مليون حساب مستخدم.

وقال Kalinin: "يتم توزيع تعديلات WhatsApp في الغالب من خلال متاجر تطبيقات أندرويد التابعة لجهات خارجية، والتي غالبًا ما تفتقر إلى الفحص وتفشل في إزالة البرامج الضارة". "تتمتع بعض هذه الموارد، مثل متاجر تطبيقات الطرف الثالث وقنوات Telegram، بشعبية كبيرة، لكن هذا لا يضمن الأمان."

تعرُّض Samsung لانتهاك بيانات جديد
 

15 نوفمبر 2023 

قامت شركة Samsung Electronics بإخطار بعض عملائها بحدوث خرق للبيانات أدى إلى كشف معلوماتهم الشخصية لشخص غير مصرح له.

أفادت الشركة أن الهجوم الإلكتروني أثر فقط على العملاء الذين أجروا عمليات شراء من متجر Samsung UK عبر الإنترنت في الفترة ما بين 1 يوليو 2019 و30 يونيو 2020.

يستغل المهاجم الثغرة في تطبيق تابع لجهة خارجية واكتشفت Samsung  خرق البيانات، في 13 نوفمبر، وقررت أنه كان نتيجة استغلال أحد المهاجمين لثغرة أمنية في تطبيق تابع لجهة خارجية تستخدمه الشركة.

لم يتم توفير أي تفاصيل حول قضية الأمان التي تمت الاستفادة منها في الهجوم أو التطبيق المصاب الذي سمح للمهاجم بالوصول إلى معلومات العملاء في Samsung.

تشير الإشعارات الموجهة للعملاء إلى أن البيانات التي تعرضت للخطر قد تشمل الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني. وتؤكد الشركة أن بيانات الاعتماد أو المعلومات المالية لم تتأثر بالحادث.

صرح متحدث باسم Samsung أنه تم تنبيه الشركة مؤخرًا بحادث يتعلق بالأمن السيبراني يقتصر على منطقة المملكة المتحدة ولا يؤثر على البيانات الخاصة بالعملاء في الولايات المتحدة أو الموظفين أو تجار التجزئة. لقد تم تنبيهنا مؤخرًا إلى حادث يتعلق بالأمن السيبراني؛ مما أدى إلى الحصول بشكل غير قانوني على معلومات اتصال معينة لبعض عملاء متجر Samsung UK الإلكتروني. ولم تتأثر أي بيانات مالية، مثل تفاصيل البنك أو بطاقة الائتمان أو كلمات مرور العملاء. ولا يؤثر على بيانات العملاء أو الموظفين أو بائعي التجزئة في الولايات المتحدة.

أفاد المتحدث أن الشركة اتخذت جميع الخطوات اللازمة للتعامل مع قضية الأمان، مشيرًا إلى أن الحادث قد تم الإبلاغ عنه أيضًا إلى مكتب المفوض البريطاني لحماية البيانات.

يعد هذا الانتهاك الثالث للبيانات الذي تعرضت له Samsung في غضون عامين. الحادث السابق وقع في نهاية يوليو 2022 - اكتشف في 4 أغسطس - حيث قام المهاجمون بالوصول إلى معلومات العملاء في Samsung وسرقة الأسماء وجهات الاتصال والمعلومات الديموغرافية وتواريخ الميلاد وبيانات تسجيل المنتج.

في مارس 2023، قامت مجموعة ابتزاز البيانات Lapsus$ باختراق شبكة Samsung وسرقة معلومات سرية، بما في ذلك الشيفرة المصدرية لهواتف Galaxy.

أكدت Samsung أن "بعض البيانات الداخلية" قد وقعت في يد جهة غير مصرح بها بعد أن قامت Lapsus$ بتسريب حوالي 190 جيجابايت من الملفات المؤرشفة مع وصف لمحتوياتها.
 

مستخدمو Google Drive غاضبون من فقدان أشهر من البيانات المخزنة
 

27 نوفمبر 2023

مستخدمو Google Drive يبلغون أن الملفات الأخيرة المخزنة في السحابة اختفت فجأة، حيث قامت خدمة السحابة بالعودة إلى لقطة تخزين كانت في الفترة من أبريل-مايو 2023.

Google Drive هو خدمة تخزين مستندة على السحابة تتيح للأشخاص تخزين والوصول إلى الملفات من أي جهاز متصل بالإنترنت عبر حساب Google الخاص بهم. إنها خدمة مستخدمة على نطاق واسع من قبل الأفراد والشركات كجزء من Google Workspace.

تم الإبلاغ عن مشكلة رائجة على منتديات دعم Google، يقول الناس فيها إنهم فقدوا بيانات حديثة وتغييرات في هيكل المجلد.

قال أحد مستخدمي Google Drive في موضوع الدعم: هناك مشكلة خطيرة تحتاج إلى التصعيد بشكل عاجل. لدينا دعم مفتوح من Google، وهذا لم يكن مفيدًا حتى الآن." 

كما نشر مستخدم آخر لـ Google Drive: "أدفع مبلغًا إضافيًّا شهريًّا لتخزين المجلدات في السحابة لضمان سلامتها، لذلك من الصعب أن يبدو أن كل أعمالي قد فقدت".

لا تُظهر سجلات النشاط على الحسابات المتأثرة أي تغييرات حديثة، مما يؤكد أن المستخدمين أنفسهم لم يقوموا بحذفها عن طريق الخطأ.

بشكل عام، لا توجد مؤشرات على وجود خطأ من قبل المستخدم، وإنما المشكلة تكمن في نظام الخدمة الذي منع تزامن البيانات بين الأجهزة المحلية وGoogle Cloud في وقت ما.

بعض المستخدمين لديهم ذاكرة مؤقتة غير متصلة بالإنترنت قد تحتوي على البيانات المفقودة، ولكن لا يوجد أي طريقة معروفة لاستعادة الوصول إلى البيانات داخلها.

نشر وكلاء الدعم التطوعيين في Google ردًا مزعومًا من مهندسي دعم Google يؤكد أنهم بالفعل يقومون بالتحقيق في المشكلة. ومع ذلك، لم يتم تقديم تقدير لتاريخ للإصلاح حتى الآن.

أفاد Google Support Team: “يرجى قبول اعتذاري الصادق إذا كنت غير قادر على الانضمام إلى جلسة Google Meet أنا أتتبع هذا الحال بشكل مستمر ولكي أكون شفافًا معك، نحن نتفق الآن تمامًا على أنك لست العميل الوحيد الذي تأثر بهذا السلوك. وبصرف النظر عن رابط الموضوع الذي قدمته، هناك مسؤولون آخرون الآن قد أبلغوا عن نفس السلوك الذي نواجهه، حيث اختفت بعض الملفات بعد التحديث. يقوم مهندسو المنتج حاليًا بالتحقيق في هذا الأمر، ونحن أيضًا في انتظار تحليل السبب الجذري وكذلك حول كيفية إصلاحه. نظرًا للاستقصاء الجاري، لا يمكننا تقديم تقدير زمني حاليًا. نحن لا نوصي أيضًا بإجراء تغييرات على مجلد الجذر/البيانات بينما ننتظر تعليمات من مهندسينا. سأستمر في مراقبة سلوك المشكلة التي تم الإبلاغ عنها من قبل المسؤولين الآخرين وسأقوم بجدولة مكالمة استدعاء غدًا في نفس الوقت على أمل وجود تقدم خلال اليوم يمكنني تقديمه قبل جلسة Google Meet لدينا".

توصية للأشخاص المتأثرين هي تجنب إجراء تغييرات على مجلد الجذر/البيانات حتى تتضح الحالة ويتم تحديد سبب الخلل.

بشكل مفهوم، يشعر العديد من المستخدمين بالإحباط من فقدان البيانات المهمة التي عهدوا بها إلى الخدمة المستندة إلى Google Drive، وفي كثير من الحالات قاموا بدفع مقابل استضافة ملفاتهم.

جانب بارز في الوضع هو أن منتديات دعم Google تعتمد على متطوعين لديهم رؤية محدودة أو فهم محدود للخدمة السحابية، لذا فإن عدم توفير مساعدة فعالة في مشاكل حرجة مثل هذه يجعل الأمور أسوأ.

في هذه الحالة، يجب على مستخدمي Google Drive الامتناع عن تغيير تخزينهم في السحابة، حيث قد يعقد ذلك عملية الاسترداد. بدلاً من ذلك، يُفضل التواصل مع دعم Google، وفتح حالة جديدة لمراقبة التحديثات الرسمية.

حتى يتم حل المشكلة، يكون من الأفضل عمل نسخ احتياطية للملفات المهمة محليًّا أو استخدام خدمة سحابة مختلفة.
 

خرق بيانات في Welltok يكشف عن بيانات 8.5 ملايين مريض أمريكي

22 نوفمبر 2023

حذرت شركة Welltok، مزود خدمات البرمجيات كخدمة (SaaS) في مجال الرعاية الصحية، من أن اختراقًا للبيانات قد أفشى بيانات الأفراد الشخصية لحوالي 8.5 ملايين مريض في الولايات المتحدة، بعد أن تم اختراق برنامج نقل الملفات الذي تستخدمه الشركة في الهجوم الذي تم لسرقة البيانات.

تعمل Welltok مع مقدمي خدمات الرعاية الصحية في جميع أنحاء الولايات المتحدة، حيث تدير برامج الصحة عبر الإنترنت، وتحتفظ بقواعد بيانات تحتوي على بيانات المرضى الشخصية، وتوليد التحليلات التنبؤية، ودعم احتياجات الرعاية الصحية مثل الالتزام بتناول الدواء والاستجابة للأوبئة.

في وقت سابق هذا العام، استغلت عصابة Clop Ransomware ثغرة zero-day في برنامج MOVEit لاختراق آلاف المؤسسات في جميع أنحاء العالم، وتلا ذلك مطالبات بفدية وتسريب بيانات تأثر بها أكثر من 77 مليون شخص.

قامت Welltok بنشر إشعار حول حادثة البيانات في أواخر أكتوبر، محذرةً من اختراق خادم MOVEit Transfer في 26 يوليو 2023. حدث ذلك على الرغم من تطبيق التحديثات الأمنية فور توافرها من قبل الشركة الموفرة لخدمة الأمن.

تم تعريض بيانات المرضى للاختراق ، بما في ذلك الأسماء الكاملة، عناوين البريد الإلكتروني، العناوين الفعلية، وأرقام الهواتف. بالنسبة لبعضهم، تشمل أيضًا أرقام الضمان الاجتماعي، وبعض معلومات التأمين الصحي وأرقام هوية Medicare/Medicaid، حيث إن Medicare: "برنامج تأمين صحي في الولايات المتحدة يستهدف الأفراد الذين تتراوح أعمارهم عادةً بين 65 عامًا فأكثر، وكذلك بعض الأشخاص الأصغر الذين يعانون من حالات صحية محددة".
وMedicaid: " برنامج تأمين صحي في الولايات المتحدة يستهدف الأفراد والعائلات ذوي الدخل المنخفض. يختلف تمويله وإدارته من ولاية إلى أخرى".

أثرت الحادثة على مؤسسات في عدة ولايات، بما في ذلك مينيسوتا، ألاباما، كانساس، شمال كارولينا، ميشيغان، نبراسكا، إلينوي، وماساتشوستس، حيث إن مقدمي الرعاية الصحية التاليين تأثروا:

• Blue Cross and Blue Shield of Minnesota and Blue Plus

• Blue Cross and Blue Shield of Alabama

• Blue Cross and Blue Shield of Kansas

• Blue Cross and Blue Shield of North Carolina

• Corewell Health

• Faith Regional Health Services

• Hospital & Medical Foundation of Paris, Inc. dba Horizon Health

• Mass General Brigham Health Plan

• Priority Health

• St. Bernards Healthcare

• Sutter Health

• Trane Technologies Company LLC and/or group health plans sponsored by Trane Technologies Company LLC or Trane U.S. Inc.

• The group health plans of Stanford Health Care, of Stanford Health Care, Lucile Packard Children’s Hospital Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners, and Packard Children’s Health Alliance

• The Guthrie Clinic

تباينت التقديرات الأولية حول عدد الأفراد المتأثرين نظرًا إلى أن Welltok لم تفصح عن هذه المعلومات على الفور.

ومع ذلك، في وقت سابق، أفادت الشركة على بوابة اختراق وزارة الصحة والخدمات الإنسانية الأمريكية أن تأكيد حدوث اختراق البيانات يؤثر على 8.493.379 شخص.
تضع هذه الأرقام اختراق Welltok كثاني أكبر اختراق لبيانات MOVEit بعد شركة الخدمات Maximus، الذي أثر خرق بياناته على 11 مليون شخص.
 

ثغرات Zero-Day في Microsoft Exchange تسمح بتنفيذ كود عن بُعد لسرقة البيانات
 

3 نوفمبر 2023

تأثر Microsoft Exchange بأربع ثغرات جديدة يمكن للمهاجمين استغلالها عن بُعد لتنفيذ كود برمجي أو الكشف عن معلومات حساسة على التثبيتات المتأثرة.

تم الكشف عن ثغرات من قبل مبادرة Trend Micro's Zero Day (ZDI)، التي قامت بالإبلاغ عنها إلى Microsoft في 7 و8 سبتمبر 2023.

وعلى الرغم من إقرار Microsoft بتلك التقارير، قرر مهندسو أمانها أن الثغرات ليست كافية لضمان خدمة فورية، مؤجلين تحديثها إلى وقت لاحق.

أبدى Trend Micro's Zero Day (ZDI) عدم اتفاقه مع هذا الرد وقرر نشر الثغرات تحت معرفات تتبع خاصة به لتحذير مسؤولي Exchange حول مخاطر الأمان. 

فيما يلي ملخص للثغرات:

• ZDI-23-1578 ثغرة في تنفيذ الكود عن بُعد (Remote Code Execution - RCE) في فئة 'ChainedSerializationBinder'، حيث لا يتم التحقق بشكل كافٍ من بيانات المستخدم، مما يتيح للمهاجمين فك تسلسل البيانات غير الموثوق بها. يُمكن استغلالها بنجاح لتنفيذ كود برمجي ضار كـ 'SYSTEM'، أعلى مستوى من الامتيازات على نظام التشغيل .Windows

• ZDI-23-1579 -تقع في 'DownloadDataFromUri'، وتعود هذه الثغرة إلى التحقق غير الكافي من Uniform Resource Identifier - URI قبل الوصول إلى الموارد. يمكن للمهاجمين استغلالها للوصول إلى معلومات حساسة من خوادم Exchange.

• ZDI-23-1580-تعود هذه الثغرة، أيضًا إلى التحقق غير الصحيح لـ Uniform Resource Identifier - URI، مما قد يؤدي إلى الكشف غير المصرح به عن معلومات عن طريق 'DownloadDataFromOfficeMarketPlace' .

• ZDI-23-1581- وتشبه هذه الثغرة الثغرات السابقة بالتحقق غير الكافي من URI، مما يعرض مرة أخرى عرض البيانات الحساسة للكشف غير المصرح به عن طريق CreateAttachmentFromUri.

تتطلب جميع هذه الثغرات المصادقة للاستغلال، مما يقلل من تصنيفها حسب مؤشر CVSS إلى ما بين 7.1 و7.5 درجات. علاوة على ذلك، يعتبر الاحتياج إلى المصادقة عاملاً للتخفيف وربما هو السبب في عدم إيلاء Microsoft أولوية إصلاح الثغرات.

ومع ذلك، فإن لدى الجرائم الإلكترونية العديد من الطرق للحصول على بيانات اعتماد Exchange، بما في ذلك كلمات المرور الضعيفة، وتنفيذ هجمات التصيد الاحتيالي، أو الحصول عليها من سجلات سارق المعلومات.

لا ينبغي التعامل مع الثغرات الصفرية أعلاه على أنها غير مهمة، خاصة ZDI-23-1578 (RCE)، التي يمكن أن تؤدي إلى تعرض النظام للخطر بشكل كامل.

تقترح ZDI أن الاستراتيجية الوحيدة الفعّالة للتخفيف هي تقييد التفاعل مع تطبيقات Exchange ومع ذلك، يمكن أن يكون هذا مزعجًا للغاية للعديد من الشركات والمنظمات التي تستخدم هذا المنتج.

أقترح أيضًا تنفيذ التحقق من الهوية المتعدد العوامل لمنع الجرائم الإلكترونية من الوصول إلى حالات Exchange حتى عندما يتم اختراق بيانات الحساب.

وردّ متحدث باسم Microsoft بالتعليق بالبيان التالي:
"نقدر جهود هذا الشخص الذي قدّم هذه القضايا ضمن عملية الكشف التنسيقي للثغرات، ونحن ملتزمون باتخاذ الخطوات اللازمة للمساعدة في حماية عملائنا. لقد قمنا بمراجعة هذه التقارير وتبين لنا أنها إما تمت معالجتها بالفعل أو لا تلبي المعايير المطلوبة للخدمة الفورية وفقًا لإرشادات تصنيف الخطورة لدينا، وسنقوم بتقييم إصلاحها في الإصدارات والتحديثات المستقبلية حسب الاقتضاء." 

وقد قدمت Microsoft سياقًا إضافيًا حول كل الثغرات التي تم اكتشافها:

• بالنسبة لـ ZDI-23-1578: العملاء الذين قاموا بتطبيق تحديثات الأمان في أغسطس محميون بالفعل.

• بالنسبة لـ ZDI-23-1581: التقنية الموصوفة تتطلب من المهاجم أن يكون لديه وصول سابق إلى بيانات البريد الإلكتروني، ولم يُقدم أي دليل على أنه يمكن استغلالها للحصول على ارتقاء في الامتياز.

• بالنسبة لـ ZDI-23-1579: التقنية الموصوفة تتطلب من المهاجم أن يكون لديه وصول سابق إلى بيانات اعتماد البريد الإلكتروني.

• بالنسبة لـ ZDI-23-1580: التقنية الموصوفة تتطلب من المهاجم أن يكون لديه وصول سابق إلى بيانات اعتماد البريد الإلكتروني، ولم يُقدم أي دليل على أنه يمكن استغلالها للوصول إلى معلومات حساسة للعميل.

VMware تكشف عن تجاوز لمصادقة جهاز VCD بدون أي تصحيح
 

14 نوفمبر 2023

 
 

أعلنت VMware عن ثغرة حرجة غير مصححة لتجاوز المصادقة في التحقق من الهوية تؤثر على نشر تطبيق Cloud Director.

يُمكن لـ  Cloud Directorإتاحة إدارة خدمات الحوسبة السحابية لمسؤولي VMware  كجزء من مراكز البيانات الافتراضية Virtual Data Centers - VDC.

تؤثر هذه الثغرة في أمان التحقق من الهوية فقط على الأجهزة التي تعمل بنسخة VCD Appliance 10.5 والتي تمت ترقيتها من إصدار أقدم. وأضافت الشركة أيضًا أن CVE-2023-34060 لا تؤثر على تثبيتات VCD Appliance 10.5 الجديدة، وعمليات نشر Linux، والأجهزة الأخرى.

المهاجمون غير المصرح لهم يمكنهم استغلال الثغرة عن بُعد في هجمات ذات تعقيد منخفض ولا تتطلب تفاعل المستخدم.

أوضحت VMware: "في إصدار مطور من VMware Cloud Director Appliance 10.5، أنه يمكن لمهاجم لديه إمكانية الوصول إلى الشبكة الوصول إلى الجهاز وتجاوز قيود تسجيل الدخول عند المصادقة على المنفذ 22 (ssh) أو المنفذ 5480 (وحدة التحكم في إدارة الأجهزة).

هذا التجاوز غير موجود على المنفذ 443 (تسجيل الدخول لمزود VCD والمستأجر). بالنسبة لتثبيت جديد لبرنامج VMware Cloud Director Appliance 10.5، ا يكون التجاوز موجودًا."

على الرغم من أن برنامج VMware لا يحتوي على تصحيح لتجاوز الحرج في التحقق من الهوية هذا، فإن الشركة قدمت للمسؤولين حلاً مؤقتًا حتى يتم إصدار التحديثات الأمنية.

أفادت VMware في إشعار منفصل: "أصدرت VMware تنبيه أمان VMSA-2023-0026 لمساعدة العملاء في فهم المشكلة ومعرفة المسار الذي سيحل المشكلة."

الحل الذي قدمته VMware سيعمل فقط للنُسخ المتأثرة من VCD Appliance 10.5.0، ويتطلب تنزيل كود برمجي مرفق knowledgebase article هذا وتشغيله على الخلايا المعرضة لثغرة CVE-2023-34060.

وفقًا لـ VMware، لا يسبب الحل أي انقطاعات وظيفية، ولا يشكل وقت التوقف مصدر قلق، حيث لا يتطلب إعادة تشغيل الخدمة أو إعادة التشغيل.

في يونيو، قامت الشركة أيضًا بإصلاح ثغرة zero-day في ESXi استخدمها مهاجمون صينيون لسرقة البيانات، وحذرت العملاء من ثغرة حرجة يتم استغلالها حاليًا في أداة تحليل  Aria Operations for Networks

وفي أكتوبر، قامت بتصحيح ثغرة حرجة في vCenter Server (CVE-2023-34048) يمكن استغلالها في هجمات تنفيذ أوامر برمجية عن بُعد.
 

Fortinet تحذّر من ثغرة حقن الأوامر الحرجة في FortiSIEM 
 

16 نوفمبر 2023

حذّرت Fortinet العملاء من ثغرة حقن أوامر النظام التشغيلي الحرجة في خادم تقارير FortiSIEM، يمكن للمهاجمين وغير المصادق عليهم استغلالها لتنفيذ أوامر عبر طلبات API مُصمّمة بشكل خاص.

FortiSIEM (إدارة المعلومات والأحداث الأمنية) هو حل شامل للأمن السيبراني يوفّر رؤية محسّنة وتحكّمًا دقيقًا للمؤسسات في موقفها الأمني.

يتم استخدامه في الشركات من جميع الأحجام في قطاعات الرعاية الصحية، والخدمات المالية، والبيع بالتجزئة، والتجارة الإلكترونية، والحكومة، والقطاع العام.

الثغرة الجديدة المعروفة الآن باسم CVE-2023-36553 هي نوع مختلف من ثغرة أخرى تسمى CVE-2023-34992، حيث اكتشف فريق أمان منتجات Fortinet هذه الثغرة وقاموا بتصنيفها بدرجة خطورة حرجة بمعدل 9.3. تم تخصيص درجة 9.8 من قبل Fortinet مبدئيًا لهذه الثغرة، ولكن لم يُنظر في المقاييس الزمنية التي تشير إلى توافر تقنيات الاستغلال أو التصحيحات أو الحلول المؤقتة.

أفادت " Fortinet أن التحييد غير الصحيح للعناصر الخاصة المستخدمة في ثغرة أمنية في أوامر نظام التشغيل [CWE-78] في خادم تقارير FortiSIEM قد يسمح لمهاجم غير مصادق عليه عن بعد بتنفيذ أوامر غير مصرح بها عبر طلبات API  واجهة برمجة التطبيقات." 

أفاد الباحثون أن CVE-2023-36553 هو نوع مختلف من مشكلة أمان ذات أهمية حرجة تم تحديدها سابقًا باسم CVE-2023-34992 والتي تم إصلاحها في بدايات أكتوبر.

تنشأ مشكلات عدم تحييد العناصر عندما يفشل البرنامج في تحسين المدخلات، مثل الرموز الخاصة أو العناصر التحكمية، قبل أن تمر من خلال أمر نظام التشغيل المقبول الذي يتم تسليمه إلى مترجم فوري.

في هذه الحالة، يأخذ البرنامج طلبات API ويمررها إلى نظام التشغيل كأمر يجب تنفيذه، مما يؤدي إلى سيناريوهات خطيرة مثل الوصول غير المصرح به للبيانات أو تعديلها أو حذفها.

الإصدارات المتأثرة تشمل إصدارات FortiSIEM من 4.7 إلى 5.4. تحث Fortinet مسؤولي النظام على الترقية إلى الإصدارات 6.4.3 أو 6.5.2 أو 6.6.4 أو 6.7.6 أو 7.0.1 أو 7.1.0 وما بعدها.

تشمل منتجات Fortinet جدران الحماية وأمان النقاط النهائية وأنظمة اكتشاف الاختراق. يستهدف هذه المنتجات غالبًا من قبل مجموعات قرصنة متقدمة مدعومة من الدول، للوصول إلى شبكة المؤسسة.

في عام 2023، أكدت تقارير أمنية سيبرانية متنوعة وجود استغلال عيوب في منتجات Fortinet من قبل مهاجمين إيرانيين لمهاجمة شركات الطيران الأمريكية وتجمعات التجسس الصينية. [1, 2] 

بالإضافة إلى ذلك، كانت هناك حالات اختراق، حيث استغل المهاجمون ثغرات صفرية في منتجات Fortinet لاختراق شبكات الحكومة، تم اكتشافها بعد عملية هندسة مُعقدة لمكونات محددة من نظام التشغيل FortiGate.
 

CISA تحذر من استغلال لثغرة حرجة (RCE) في Juniper 

13 نوفمبر 2023



  

حذرت CISA الوكالات الفيدرالية من ضرورة تأمين أجهزة Juniper على شبكاتها ضد أربع ثغرات تُستخدم في هجمات تنفيذ أوامر برمجية عن بُعد (remote code execution – RCE) كجزء من سلسلة استغلال ما قبل المصادقة.

يأتي هذا التحذير بعد أن قامت Juniper بتحديث تنبيهها لإعلام العملاء بأن الثغرات الموجودة في واجهة J-Web الخاصة بـ Juniper المتتبعة باسم CVE-2023-36844 وCVE-2023-36845 وCVE-2023-36846 وCVE-2023-36847  تم استغلالها بنجاح.

أفادت الشركة: Juniper SIRT" نحن على دراية الآن بنجاح استغلال هذه الثغرات. يُطلب من العملاء الترقية فورًا".

تأتي هذه التحذيرات بعد أن كشفت خدمة رصد التهديدات ShadowServer أنها اكتشفت محاولات الاستغلال في 25 أغسطس 2023، بعد أن أصدرت Juniper  تحديثات أمنية لسد الثغرات وفي الوقت الذي أصدر فيه أيضًا فريق بحث أمني من  watchTowr Labs دليلاً على تنفيذ الاستغلال.

وفقًا لبيانات Shadowserver، يتعرض أكثر من 10000 جهاز Juniper لاستخدام واجهات J-Web الخاصة بها عبر الإنترنت، معظمها في كوريا الجنوبية يعرض Shodan أكثر من 13600 جهاز Juniper قابل للاختراق على الإنترنت.

تحث الإدارة المسؤولين على تأمين أجهزتهم فورًا من خلال ترقية JunOS إلى أحدث إصدار، أو على الأقل، قم بتقييد الوصول إلى واجهة J-Web عبر الإنترنت للتخلص من نقطة الهجوم.

كما أفاد باحثو watchTowr Labs في أغسطس 2023: "نظرًا لسهولة الاستغلال وللموقف المتميز الذي تحتله أجهزة JunOS في الشبكة، لن نفاجأ إذا شهدنا استغلالًا على نطاق واسع". "يُحث الذين يعملون على جهاز متأثر على التحديث إلى الإصدار الذي تمت معالجته في أقرب فرصة ممكنة، و/أو تعطيل الوصول إلى واجهة J-Web إذا كان ذلك ممكنًا".

أضافت CISA أيضًا الثغرات الأربع التي تم استغلالها بنشاط في Juniper إلى فهرس الثغرات المعروفة التي تم استغلالها، ووصفتها بأنها "نقاط هجوم متكررة للمهاجمين السيبرانيين وتشكل مخاطر كبيرة للمؤسسات الفيدرالية.

مع إضافتها إلى قائمة CISA KEV، يجب الآن على وكالات الحكومة الفيدرالية الأمريكية (FCEB) تأمين أجهزة Juniper على شبكاتها في إطار زمني محدد، وذلك بمتابعة توجيه تشغيلي ملزم (BOD 22-01) والذي صدر قبل عام.

على الرغم من أن BOD 22-01 يستهدف بشكل أساسي وكالات الحكومة الفيدرالية الأمريكية، فإن CISA تشجع بقوة جميع المؤسسات، بما في ذلك الشركات الخاصة، على إعطاء أولوية لتصحيح الثغرات في أقرب وقت ممكن.

في يونيو، أصدرت CISA التوجيه التشغيلي الملزم الأول (BOD) للعام، حيث كانت توجيهاته تتضمن تعزيز أمان معدات الشبكات القابلة للاختراق على الإنترنت أو التي تم تكوينها بشكل غير صحيح، مثل جهاز حماية الجدار الناري وأجهزة التبديل التابعة لشركة Juniper، خلال فترة زمنية قدرها أسبوعين بعد اكتشاف الثغرات.
 

CISA تأمر الوكالات الفيدرالية بإصلاح ثغرة Looney Tunables في نظام التشغيل Linux

21 نوفمبر 2023

أمرت CISA الوكالات الفيدرالية الأمريكية بتأمين أنظمتها ضد الثغرة الأمنية المستغلة بشكل نشط والتي تسمح لهم بالحصول على امتيازات root على العديد من توزيعات Linux الرئيسة.

تمت تسمية الثغرة بـ 'Looney Tunables' من قبل وحدة أبحاث التهديدات في Qualys (التي اكتشفت الثغرة) وتم تتبعها باسم CVE-2023-4911، وهي ثغرة ناتجة عن ضعف في التخزين المؤقت في المُحمل الديناميكي ld.so، بمكتبة GNU C Library.

الثغرة الأمنية تؤثر على الأنظمة التي تعمل بأحدث إصدارات التوزيعات الشهيرة من Linux مثل Fedora وUbuntu وDebian في تكويناتها الافتراضية.

يتم حث المسؤولين على تحديث أنظمتهم في أقرب وقت ممكن، حيث إن الثغرة تستغل بنشاط وتم إصدار العديد من عمليات استغلال إثبات المفهوم (PoC) عبر الإنترنت منذ الكشف عنها في أوائل أكتوبر 2023.

حذر سعيد عباسي من Qualys قائلاً: "مع القدرة على توفير وصول كامل بصلاحيات root  على الأنظمة الأساسية الشائعة مثل Fedora وUbuntu وDebian، فمن الضروري على المسؤولين للنظم التصرف بسرعة".

أضافت CISA أيضًا ثغرة Linux التي تُستغل بنشاط إلى فهرس الثغرات المستغلة المعروفة الخاص بها، مضمنة إياها في قائمتها "ناقلات الهجوم المتكررة للجهات الفاعلة السيبرانية الخبيثة" وتشكل "مخاطر كبيرة للمؤسسات الفيدرالية".

وبعد إضافتها إلى قائمة KEV الخاصة بـCISA ، يجب على وكالات السلطة التنفيذية المدنية الفيدرالية الأمريكية (FCEB) تحديث أجهزة Linux في شبكاتها بحلول 12 ديسمبر 2023، وفقًا لتوجيه تشغيلي ملزم (BOD 22-01) الصادر قبل عام واحد.

على الرغم من أن BOD 22-01 يستهدف في المقام الأول الوكالات الفيدرالية الأمريكية، فقد نصحت CISA أيضًا جميع المؤسسات (بما في ذلك الشركات الخاصة) بإعطاء أولوية لتحديث ثغرة أمان Looney Tunables على الفور.

تم استغلال ثغرة "Looney Tunables" في هجمات البرمجيات الخبيثة Kinsing.

على الرغم من عدم إسناد CISA لاستغلال ثغرة "Looney Tunables" المستمرة، أظهر باحثون أمنيون في شركة Aqua Nautilus السحابية أن مشغلي البرمجيات الضارة Kinsing  يستخدمون الثغرة في هجمات استهداف البيئات السحابية.

تبدأ الهجمات بالاستفادة من ثغرة معروفة داخل إطار اختبار PHP المسمى 'PHPUnit.' يسمح هذا الانتهاك الأولي لهم بإنشاء قاعدة تنفيذ الأكواد، يليه استغلال مشكلة 'Looney Tunables' لتصعيد الامتيازات.

بعد الحصول على وصول root إلى أجهزة Linux المخترقة، يقوم المهاجمون بتثبيت JavaScript web shell  للوصول الخلفي. تتيح لهم تنفيذ الأوامر وإدارة الملفات وإجراء استطلاعات على الشبكة والخادم.

الهدف النهائي لمهاجمي Kinsing هو سرقة بيانات اعتماد موفر الخدمة السحابية (CSP)، بهدف الوصول إلى بيانات هوية AWS.

تشتهر Kinsing باختراق ونشر برمجيات تعدين العملات المشفرة في أنظمة السحابة، بما في ذلك Kubernetes وواجهات Docker APIs و Redis و Jenkins.

شهدت Microsoft أيضًا مؤخرًا استهداف هذه المجموعة لتجميعات Kubernetes من خلال حاويات PostgreSQL غير المهيأة بشكل صحيح، في حين رصدت TrendMicro استغلالهم لثغرة Apache ActiveMQ CVE-2023-46604 الحرجة لاختراق أنظمة Linux.
 

الكشف عن تعرضك للاختراق وكيفية استعادة حساباتك 
  

لقد أُختُرقَ حسابي، ماذا أفعل الآن؟ 
يمكن أن يكون الإنترنت مرهقًا، مع تغير التقنيات الجديدة طوال الوقت. بغض النظر عن مدى محاولتك أن تكون آمنًا، عاجلاً أم آجلاً، قد يكون حظك مؤسفًا بما يكفي للتعرض للاختراق. كلما اكتشفت حدوث شيء سيئ بشكل أسرع، وكلما زادت استجابتك بشكل أسرع، كلما تمكنت من تقليل التأثير. 

فيما يلي علامات تشير إلى احتمال تعرضك للاختراق، وإذا كان الأمر كذلك، اقتراحات لحلها.

أدلة أن يكون أحد حساباتك على الإنترنت قد تم اختراقه:

• يخطرك أفراد العائلة أو الأصدقاء بأنهم يتلقون رسائل أو دعوات غير عادية منك تعلم أنك لم ترسلها.

• كلمة المرور الخاصة بك لأحد حساباتك لم تعد تعمل على الرغم من أنك تعرف أن كلمة المرور صحيحة.

• تتلقى إشعارات من مواقع الويب بأن شخصًا ما قد قام بتسجيل الدخول إلى حسابك عندما تعلم أنك لم تقم بتسجيل الدخول بنفسك.

• تتلقى رسائل بريد إلكتروني تؤكد التغييرات التي أجريتها على ملفك الشخصي على الإنترنت والتي لم تقم بإجرائها.

أدلة على أن جهاز الكمبيوتر أو الجهاز المحمول الخاص بك قد تم اختراقه:

• يقوم برنامج مكافحة الفيروسات الخاص بك بإنشاء تنبيه بأن نظامك مصاب. تأكد من أن برنامج مكافحة الفيروسات المُثبت على جهازك هو الذي يصدر التنبيه، وليس نافذة منبثقة عشوائية من موقع ويب يحاول خداعك للاتصال برقم أو تثبيت شيء آخر. غير متأكد؟ افتح برنامج مكافحة الفيروسات الخاص بك للتأكد مما إذا كان جهاز الكمبيوتر الخاص بك مصابًا بالفعل.

• أثناء تصفح الويب، غالبًا ما تتم إعادة توجيهك إلى الصفحات التي لم ترغب في زيارتها، أو تظهر صفحات جديدة غير مرغوب فيها.

• تظهر لك نافذة منبثقة تفيد بأن جهاز الكمبيوتر الخاص بك قد تم تشفيره ويجب عليك دفع فدية لاستعادة ملفاتك.

أدلة على أن بطاقتك الائتمانية أو أموالك قد تم اختراقها:

• هناك رسوم مشبوهة أو غير معروفة على بطاقتك الائتمانية أو تحويلات غير مصرح بها في حسابك المصرفي والتي تعلم أنك لم تقم بها.

كيفية استعادة زمام الأمور
إذا كنت تشك في تعرضك للاختراق، فابق هادئًا. إذا كان الاختراق متعلقًا بالعمل، فلا تحاول إصلاح المشكلة بنفسك. بدلاً من ذلك، قم بالإبلاغ عنه على الفور. إذا كان النظام أو الحساب الشخصي قد تم اختراقه، فإليك بعض الخطوات التي يمكنك اتخاذها:

استعادة حساباتك عبر الإنترنت: 

• إذا كان لا يزال بإمكانك الوصول إلى حسابك، فقم بتسجيل الدخول من جهاز كمبيوتر موثوق به وأعد تعيين كلمة المرور الخاصة بك باستخدام كلمة مرور جديدة وفريدة وقوية - كلما طالت كان ذلك أفضل. 

• إذا لم تكن قد قمت بتمكين المصادقة متعددة العوامل (MFA)، فهذا هو الوقت المناسب لتمكينها. 

• إذا لم يعد بإمكانك الوصول إلى حسابك، فاتصل بموقع الويب وأبلغهم أنه تم الاستيلاء على حسابك. 

• إذا كان لديك أي حسابات أخرى تشترك في نفس كلمة المرور مثل حسابك الذي تم اختراقه، فقم أيضًا بتغيير كلمات المرور هذه على الفور.

استعادة جهاز الكمبيوتر أو الجهاز الشخصي الخاص بك: 

• إذا كان برنامج مكافحة الفيروسات الخاص بك غير قادر على إصلاح جهاز كمبيوتر مصاب أو كنت تريد التأكد من أن نظامك آمن، ففكر في إعادة تثبيت نظام التشغيل وإعادة بناء الكمبيوتر. 

• إذا كنت لم تستطع إعادة تطوير جهازك، أو إذا كان جهاز الكمبيوتر أو الجهاز الخاص بك قديمًا، فقد يكون الوقت قد حان لشراء جهاز جديد.

التأثير المالي بالنسبة للمشكلات المتعلقة ببطاقتك الائتمانية أو أي حسابات مالية:

• اتصل بالبنك أو شركة بطاقة الائتمان الخاصة بك على الفور. كلما اتصلت بهم مبكرًا، زادت احتمالية استرداد أموالك. لا تتصل بهم باستخدام رقم الهاتف الموجود في رسالة بريد إلكتروني، ولكن استخدم رقم هاتف موثوقًا به، مثل الرقم المدرج على ظهر بطاقتك المصرفية أو موقعهم على الويب. 

• راقب بياناتك وتقاريرك الائتمانية بشكل متكرر. 

• إذا أمكن، قم بتمكين الإشعارات التلقائية عندما يكون هناك رسوم أو تحويل أموال.

ماذا تفعل لتظل متقدمًا على المهاجمين الإلكترونيين؟

• حافظ على تحديث جميع أنظمتك وأجهزتك وتحديثها إلى أحدث إصدار.

• استخدم كلمات مرور قوية وفريدة لكل حساب من حساباتك، وقم بإدارة تلك الحسابات باستخدام مدير كلمات المرور، وقم بتمكين MFA.

• كن متشككًا - راقب أساليب الهندسة الاجتماعية مثل رسائل البريد الإلكتروني التصيدية.