‫ ilam_heydari بلاگ

گوگل به دلیل بروز نقص در مدیریت رمز عبور عذرخواهی کرد

گوگل به دلیل بروز نقص در مدیریت رمز عبور عذرخواهی کرد

گوگل به دلیل نقص مدیریت رمز عبور خود برای میلیون‌ها کاربر ویندوز به دلیل نقصی که باعث شد بسیاری از کاربران به مدت نزدیک به 18 ساعت نتوانند به رمزهای عبور ذخیره شده خود دسترسی پیدا کنند، عذرخواهی کرده است.

گوگل اعتراف کرد به طور تصادفی مدیر رمز عبور خود را شکسته است این مشکل بر روی کاربران ویندوز در نسخه M127 مرورگر کروم تأثیر گذاشت و پس از 17 ساعت و 51 دقیقه برطرف شد به گفته گوگل، علت اصلی مشکل تغییر در رفتار محصول بدون ابزارهای حافظتی مناسب بوده است در نهایت، یک بروز رسانی معیوب عملکرد مدیر رمز عبور را مختل کرد و کاربران را از دسترسی به اطلاعات کاربری ذخیره شده باز داشت.

به روز رسانی معیوب باعث اختلال در عملکرد مدیر رمز عبور گوگل شد

شرکت گوگل وجود نقص را اینگونه بیان کرد: «کاربران تحت تأثیر نتوانستند رمزهای عبور را در مدیر رمز عبور Chrome پیدا کنند کاربران می‌توانستند رمزهای عبور را ذخیره کنند، اما برای آنها قابل مشاهده نبود برآوردهای مختلف حاکی از آن است که 15 تا 17 میلیون نفر تحت تأثیر قطعی تقریباً یک روزه قرار گرفته‌اند.

علاوه بر این، پس از اینکه بسیاری از مدیران از قبل با عواقب یک به‌روزرسانی مشکل‌ساز CrowdStrike که دستگاه‌های مایکروسافت را نیز تحت تأثیر قرار می‌داد دست و پنجه نرم می‌کردند این حادثه نیز باعث آسیب شد ماهیت جهانی این نقص، خطرات مرتبط با اتکا به مدیران رمز عبور مبتنی بر مرورگر را برجسته می کند در حالی که مدیران رمز عبور برای امنیت آنلاین بسیار مهم هستند آنها از چنین اختلالاتی مصون نیستند و این قطعی تنها به عنوان یادآوری است که سیستم‌های پشتیبان باید وجود داشته باشند.

در گزارش حادثه خود گوگل بابت این قطعی عذرخواهی کرد و افزود که کاربران آسیب دیده باید مرورگرهای خود را برای بازیابی عملکرد پس از رفع مشکل تایید شده در 25 جولای در ساعت 09:27 ایالات متحده/اقیانوس آرام، مجددا راه‌اندازی کنند.

این شرکت همچنین راهنمایی‌هایی را برای یک راه حل احتمالی در طول خاموشی صادر کرد، که ممکن است بسیاری از شرکت های کوچکتر قادر به انجام سریع آن نباشند با این حال، برای برخی از کاربران، این خطا طعم تلخی را در دهان آنها گذاشته است.

مراقب صندوق ورودی خود باشید، حملات ایمیل‌های تجاری در حال افزایش است!

مراقب صندوق ورودی خود باشید، حملات ایمیل‌های تجاری در حال افزایش است!

گزارش جدیدی از شبکه باراکودا مدعی شده است که حملات سایبری که از طریق ایمیل منتشر می‌شوند همچنان در حال افزایش هستند و با بکارگیری هوش مصنوعی (AI) خطرناک‌تر شده‌اند.

پس از تجزیه و تحلیل 69 میلیون حمله در 4.5 میلیون صندوق پستی در 12 ماه گذشته، باراکودا گفت که خطر ایمیل تجاری (BEC)، ربودن مکالمه و حملات کد QR همگی در حال رشد هستند.

در واقع، حملات BEC اکنون یک دهم (10.6٪) از تمام حملات مهندسی اجتماعی مبتنی بر ایمیل را تشکیل می‌دهند که از 8٪ در سال 2022 و از 9٪ در سال 2021 افزایش یافته است در همان زمان، ربودن مکالمه 0.5٪ از حملات را تشکیل می‌دهد تمام حملات مهندسی اجتماعی در سال 2023 حدود 70 درصد افزایش یافته است در حالی که در مقایسه با سال 2022 تنها 0.3 درصد بوده است.

جیمیل و bit.ly

یک عامل تهدید، با ربودن مکالمه حساب ایمیل شخص را به خطر می‌اندازد و به دنبال مکالمه با اهداف بالقوه می‌گردد سپس آنها مکالمه را "ربایش" می‌کنند و به آخرین ایمیل پاسخ می‌دهند و زنجیره ارتباط را ادامه می‌دهند به این ترتیب، قربانی هیچ دلیلی برای اعتماد نکردن به محتوای ایمیل ندارد‌ و توزیع بدافزار و سرقت داده‌های حساس را بسیار آسان‌تر می‌کند.

در نهایت، از هر 20 صندوق پستی 1 مورد هدف حملات کد QR قرار گرفت که نسبتاً موفق آمیز هستند زیرا حمله کنندگان عمدتاً راه‌حل‌های سنتی فیلتر کردن ایمیل را دور می‌زنند علاوه بر این، آنها قربانیان را مجبور می‌کنند از یک دستگاه شخصی برای اسکن کد QR استفاده کنند که معمولاً توسط نرم افزار امنیتی شرکت محافظت نمی‌شود.

باراکودا اضافه کرد که مهاجمان معمولاً به سمت کاربران جی‌میل می‌روند زیرا جی‌میل 22 درصد از دامنه های مورد استفاده برای مهندسی اجتماعی را تشکیل می‌دهد علاوه بر این، bit.ly ابزاری مناسب برای کوتاه کردن URL است که تقریباً در 40٪ از حملات مهندسی اجتماعی استفاده می‌شود.

شیلا هارا (Sheila Hara)، مدیر بخش محصول در Barracuda، گفت: «متخصصان فناوری اطلاعات و امنیت باید روی تکامل تهدیدات ایمیل و آنچه که به معنای اقدامات امنیتی و واکنش به حوادث است متمرکز بمانند.

این شامل درک اینکه چگونه مهاجمان می‌توانند از هوش مصنوعی برای پیشبرد و مقیاس‌بندی فعالیت‌های خود استفاده کنند‌ و آخرین تاکتیک‌هایی را که برای عبور از کنترل‌های امنیتی استفاده می‌کنند، شامل می‌شود بهترین دفاع، فناوری امنیت ایمیل ابری مبتنی بر هوش مصنوعی است که می‌تواند به سرعت با یک چشم‌انداز در حال تغییر سازگار شود و صرفاً به جستجوی پیوندهای مخرب یا پیوست‌ها متکی نیست.

مهاجمان در حال بررسی دسترسی از راه دور به Check Point دستگاه های VPN هستند

مهاجمان در حال بررسی دسترسی از راه دور به Check Point دستگاه های VPN هستند

مهاجمان سعی می‌کنند از طریق حساب‌های محلی که فقط با رمز عبور محافظت می‌شوند به دستگاه‌های Check Point VPN دسترسی پیدا کنند هدف نهایی آنها استفاده از این دسترسی برای کشف کاربران سازمانی، سایر دارایی‌ها و به دست آوردن پایداری در محیط های سازمانی است.

حملات علیه VPN و سایر خدمات

در اواسط آوریل 2024، Cisco Talos هشداری در مورد افزایش جهانی حملات brute-force علیه سرویس‌های VPN، رابط‌های احراز هویت برنامه‌های وب و سرویس‌های SSH منتشر کرد دستگاه‌هایی که در این حملات مورد هدف قرار گرفته‌اند، دستگاه‌های Cisco، Check Point، Fortinet و Sonicwall (VPN) و همچنین MiktroTik، Draytek و Ubiquiti بودند.

تلاش برای هک و نفوذ از آدرس‌های IP مرتبط با سرویس‌های پراکسی انجام می‌شد و ترکیبی از نام‌های کاربری و رمزهای عبور رایج، مانند “Passw0rd”, “qwerty”, “test123”, و غیره را امتحان می‌کردند.

نام های کاربری استفاده شده در یکی از چندین دسته زیر قرار می گیرند:

  • حروف اول نام + نام خانوادگی، به عنوان مثال "cwilliams"، "jgarcia"، "msmith"
  • نام‌های رایج مانند مری، برایان، لئون و غیره.
  • کلمات مرتبط با شغل/نوع سرویس: "test.user"، "superadmin"، "cloud"، "ftpadmin"، "backupuser"، "vpn" و غیره.

Check Point اکنون می‌گوید «ما حملات برای دسترسی غیرمجاز به VPN‌های مشتریان Check Point را رصد کرده‌ایم تا 24 مه 2024 تعداد کمی تلاش برای ورود به سیستم با استفاده از حساب‌های محلی VPN قدیمی شناسایی کردیم که با روش احراز هویت فقط با رمز عبور بوده است.

پیشگیری از حمله

خبر خوب این است که با انجام اقدامات زیر این حملات را می توان به راحتی خنثی کرد:

  • غیرفعال کردن حساب‌های محلی (در صورت عدم استفاده)
  • افزودن یک لایه دیگر احراز هویت (به عنوان مثال، سرتیفیکیت‌ها)
  • نصب یک Hotfix که کاربران داخلی را از ورود به Remote Access VPN با رمز عبور به عنوان تنها عامل احراز هویت مسدود می کند.

شرکت چک پوینت: «احراز هویت فقط با رمز عبور روشی نامطلوب برای اطمینان از بالاترین سطوح امنیت در نظر گرفته می‌شود، و توصیه می‌کنیم هنگام ورود به زیرساخت شبکه به آن اعتماد نکنید» و درمورد چگونگی بهبود امنیت VPN و بررسی هرگونه تلاش ناموفق برای دسترسی غیرمجاز توصیه‌هایی را ارائه کرد.

بات نت Ebury بیش از 400000 سرور لینوکس را در معرض خطر قرار می‌دهد

محققان ESET تحقیقات خود را در مورد یکی از پیشرفته ترین کمپین‌های بدافزار سمت سرور منتشر کردند که هنوز در حال رشد است و صدها هزار سرور در معرض خطر را در حملات حداقل 15 ساله خود دیده است گروه Ebury و بات‌نت در طول سال‌ها در انتشار هرزنامه‌ها، هدایت ترافیک وب و سرقت اعتبار نقش داشته‌اند در سال‌های اخیر آنها به سرقت کارت‌های اعتباری و ارزهای دیجیتال دست زده اند.

Ebury به عنوان یک درب پشتی برای به خطر انداختن تقریباً 400000 سرور Linux، FreeBSD و OpenBSD استفاده شده است در بسیاری از موارد، اپراتورهای Ebury می‌توانند به سرورهای بزرگ ISPها و ارائه‌دهندگان میزبانی معروف دسترسی کامل داشته باشند Ebury که حداقل از سال 2009 فعال است، یک درب پشتی OpenSSH و دزد اعتبار است برای استقرار بدافزار اضافی برای کسب درآمد از بات‌نت (مانند ماژول‌ها برای تغییر مسیر ترافیک وب)، ترافیک پروکسی برای هرزنامه، انجام حملات دشمن در وسط (AitM) و میزبانی که از زیرساخت‌های مخرب پشتیبانی می‌کند استفاده می‌شود در حملات AitM، ESET بیش از 200 هدف را در بیش از 75 شبکه در 34 کشور بین فوریه 2022 و مه 2023 مشاهده کرده است.

اپراتورهای آن از بات نت Ebury برای سرقت کیف پول ارزهای دیجیتال، اعتبارنامه‌ها و جزئیات کارت اعتباری استفاده کرده اند. ESET خانواده‌های بدافزار جدیدی را کشف کرده است که توسط این باند برای منافع مالی ایجاد و مستقر شده‌اند، از جمله ماژول‌های آپاچی و یک ماژول هسته برای هدایت ترافیک وب اپراتورهای Ebury همچنین از آسیب‌پذیری‌های روز صفر در نرم‌افزار سرپرست برای به خطر انداختن سرورها به صورت انبوه استفاده کردند پس از به خطر افتادن یک سیستم، چندین جزئیات استخراج می شوند با استفاده از رمزهای عبور و کلیدهای شناخته شده به دست آمده در آن سیستم، اعتبارنامه ها مجدداً برای ورود به سیستم های مرتبط مورد استفاده قرار می گیرند هر نسخه اصلی Ebury تغییرات مهم، ویژگی های جدید و تکنیک های مبهم سازی را معرفی می کند.

ما موارد مستندی داریم که زیرساخت ارائه دهندگان هاست توسط Ebury به خطر افتاده است در این موارد، ما شاهد استقرار Ebury بر روی سرورهایی هستیم که بدون هیچ هشداری به اجاره کنندگان توسط ارائه دهندگان اجاره شده‌اند، این منجر به مواردی شد که مهاجمین Ebury توانستند هزاران سرور را در یک زمان به خطر بیندازند هیچ مرز جغرافیایی برای Ebury وجود ندارد تقریباً در همه کشورهای جهان سرورهایی با Ebury در خطر هستند هر زمان که یک  سرور در معرض خطر قرار می گرفت، منجر به ایجاد تعداد زیادی سرور در معرض خطر در همان مراکز داده می شد قربانیان شامل دانشگاه ها، شرکت های کوچک و بزرگ، ارائه دهندگان خدمات اینترنت، معامله گران ارزهای دیجیتال، گره های خروج Tor، ارائه دهندگان میزبانی مشترک و ارائه دهندگان سرور اختصاصی هستند.

در اواخر سال 2019، زیرساخت یک ثبت کننده دامنه بزرگ و محبوب مستقر در ایالات متحده و ارائه دهنده میزبانی وب به خطر افتاد. در مجموع، تقریباً 2500 سرور فیزیکی و 60000 سرور مجازی توسط مهاجمان در معرض خطر قرار گرفتند. اگر نگوییم همه، بخش بسیار بزرگی از این سرورها بین چندین کاربر به اشتراک گذاشته می شود تا وب سایت های بیش از 1.5 میلیون حساب را میزبانی کند. در یک حادثه دیگر، در سال 2023، در مجموع 70000 سرور از آن ارائه دهنده میزبانی توسط Ebury در معرض خطر قرار گرفت. Kernel.org، میزبان کد منبع هسته لینوکس، قربانی Ebury نیز شده بود.

Ebury یک تهدید جدی و یک چالش برای جامعه امنیتی لینوکس است هیچ راه حل ساده ای وجود ندارد که Ebury را بی اثر کند، اما تعدادی از اقدامات کاهشی را می توان برای به حداقل رساندن گسترش و تأثیر آن اعمال کرد نکته ای که باید بدانیم این است که این فقط برای سازمان ها یا افرادی اتفاق نمی افتد که کمتر به امنیت اهمیت می دهند بسیاری از افراد بسیار آگاه به فناوری و سازمان‌های بزرگ در میان لیست قربانیان قرار دارند.»

بایگانی

همیاران سایبری – تمام حقوق محفوظ است