• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
8 مارس 2021

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

 

براساس گزارش سایت Shodan.io تعداد ۲۶۶۶۲۹ ایمیل سرورهای Exchange آسیب پذیر همچنان روی اینترنت در دسترس است !

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

در ایران، در لحظه نگارش این مطلب بیش از ۱۰۰۰ سرور Exchange آسیب پذیر در دسترس است! نگاهی اجمالی به لیست سرورهای آسیب پذیر در ایران نشان می دهد Mail Server های سازمانهایی مثل:
– یک نهاد حاکمیتی،
– چند سازمان دولتی،
– یکی از بانکها،
– یکی از پژوهشگاه های مهم کشور،
– یکی از شرکتهای فعالی در حوزه نیروگاهی
– یک شرکت نفتی،
– چندین دانشگاه،
– یک شرکت بیمه ای،
– یک شرکت داروسازی،
– چند فروشگاه اینترنتی و زنجیره ای،
– یک شرکت بزرگ حمل و نقل و ترانزیت کالا،
– چندین کارخانه تولیدی
– و حتی چندین شرکت فعال در حوزه IT و امنیت، در میان سرورهای Exchange آسیب پذیر دیده می شوند!

مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.

تمامی نسخه‌های که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.

تاکید می شود عدم نصب Patch روی سرورهای آسیب پذیر می تواند به سادگی دسترسی کامل سرور ایمیل را در اختیار فرد هکر قرار دهد.

سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است.

بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده.

همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.

این سازمانها باید خیلی خوش شانس بوده باشند اگر تا کنون مورد نفوذ قرار نگرفته باشند!

8 مارس 2021

حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان

مایکروسافت هفته گذشته پک امنیتی مهمی را برای سرورهای سرویس Exchange منتشر کرد تا ۴ آسیب‌پذیری روز صفر آن‌ها را اصلاح کند.

اما این اتفاق ظاهرا از تداوم حملات هکرها جلوگیری نکرده است. مطابق گزارش وب‌سایت Krebs on Security و خبرگزاری Wired، گروه هکری «هافنیوم» (Hafnium) که به دولت چین وابسته است،

پس از انتشار این وصله امنیتی با توان بیشتری به حملات خود ادامه داده است.

این گروه در آمریکا به حداقل ۳۰ هزار سازمان نظیر اداره‌های پلیس، بیمارستان‌ها، فرمانداری‌های محلی، بانک‌ها، شرکت‌های اعتباری، ارائه‌دهندگان خدمات ارتباطی و شرکت‌های غیرانتفاعی نفوذ کرده است.

شمار قربانیان جهانی حمله به سرویس ایمیلی Exchange به چند صد هزار می‌رسد.

حمله هکرها به سرورهای Exchange

یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange

برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است.
مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.

ظاهرا این نقص‌های امنیتی توسط مایکروسافت رفع شده‌اند. اما متخصصان امنیتی می‌گویند شناسایی و پاک‌سازی به تلاشی عظیم از سوی هزاران اداره‌ی شهری، آتش‌نشانی و پلیس، حوزه‌ی آموزشی، مؤسسه‌های مالی و دیگر نهادهایی که از هک متأثر شده‌اند نیاز دارد.

براساس اطلاعیه‌ی مایکروسافت، آسیب‌پذیری Exchange Server هکرها را قادر ساخته‌ است به حساب‌های ایمیل دسترسی پیدا کنند.

هکرها با استفاده از آسیب‌پذیری‌ توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.

جزئیات فنی کاملتر به شرح ذیل میباشد:

۱- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده

و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد.

این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.

نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ،

با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ،

به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.

۲- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.

۳- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند

۴- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.

جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس .

میتوان از لینک زیر استفاده نمود:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

3 مارس 2021

اموزش نصب فایروال Sophos

برای نصب فایروال Sophos پس از ایجاد یک ماشین مجازی با هسته لینوکس ۶۴ بیتی و معرفی فایل ios فایروال به آن ماشین مجازی را روشن و مراحل نصب پیگیری کنید توجه داشته باشید که این ماشین حداقل باید دارای دو عدد کارت شبکه باشد و یکی از آن ها بر روی حالت host only تنظیم شده باشد.

به این ترتیب می توان از طریق مرورگر ویندوز خود به پنل فایروال Sophos دسترسی پیدا کنید.

زمانی که با پنل زیر مواجه شدید یعنی مراحل نصب فایروال به اتمام رسیده و اماده استفاده می باشد.

Sophos Main Menu

به طور پیش فرض آدرس آی پی فایروال بر روی ۲۴/۱۷۲٫۱۶٫۱۶٫۱۶ تنظیم شده است.

می توانید آی پی کارت شبکه خود را در این رنج قرار داده و با فایروال ارتباط برقرار کنید.

و یا از طریق منوی network configuration ادرس آی پی فایروال را تغییر دهید تا با کارت شبکه شما در یک شبکه قرار بگیرید.

سپس از منوی system configuration یک پسورد برای admin ست کنید.

می توانید از طریق مرورگر سیستم خود به پنل مدیریتی فایروال وارد شوید.

برای این کار کافیست آدرس ای پی فایروال خود را به همراه پورت ۴۴۴۴ در مرورگر خود واردکنید.

Firewall admin panel

پس از وارد کردن یوزر admin  و پسورد ست شده وارد پنل مدیریتی ادمین می شوید.

Sophos admin panel

برای دسترسی یوزر های عادی به پنل کاربری خود نیز از همان آدرس آی پی بدون وارد کردن پورت ۴۴۴۴ استفاده می شود.

Sophos User Panel

فایروال Sophos XG

www.sophos.com

فروش فایروال سوفوس

2 مارس 2021

از امروز دقیقا ۲۹ روز به مهلت ارتقاء UTMهای Cyberoam به Sophos باقی مانده است. یکی از سئوالات مکرری که پرسیده می شود این است که چه مدلهایی از Cyberoam قابلیت نصب Firmwareهای سوفوس را دارند؟

چه مدلهایی از Cyberoam قابلیت نصب Firmwareهای سوفوس را دارند؟
چه مدلهایی از Cyberoam قابلیت نصب Firmwareهای سوفوس را دارند؟

پاسخ:
همه مدلهای سری iNG بجز CR10iNG و CR15iNG می توانند به Sophos ارتقا پیدا کنند.
مدلهای CR200i و CR300i نیز می توانند ارتقا پیدا کنند.
از سری ia مدل CR500ia به بالا می توانند ارتقا پیدا کنند.
سایر مدلهای سایبروم نمی توانند به سوفوس ارتقا پیدا کنند و رسما بازنشسته می شوند.

نکته مهم: پس از ارتقاء به سوفوس نیازی به پیکربندی مجدد فایروال نیست و Config قبلی شما به سوفوس Convert خواهد شد.

 

بنابر تصمیم جدید سوفوس فایروالهای سایبروم از تاریخ ۳۱ مارچ ۲۰۲۱ (۱۱ فروردین ۱۴۰۰) برای همیشه از پشتیبانی خارج شده و هیچگونه بروزرسانی دریافت نخواهند کرد.
بنابراین اگر همچنان از فایروالهای محبوب سایبروم استفاده می کنید حدودا ۲۹ روز فرصت دارید تا آنرا به Sophos XG ارتقا داده و از امکانات جدید آن بهره مند شوید. این ارتقا بصورت رسمی و رایگان قابل انجام بوده و لایسنسهای فعلی شما به سوفوس Convert می شود.

 

لینکهای مربوطه:

 

فایروال سوفوس Sophos XG

مديريت فايروال سوفوس XG

فروش لایسنس سوفوس با آپدیت سرور ایرانی

مهاجرت فایروال های سوفوس از سری SG به سری XG

مدل لایسنس و ماژولهای لایسنس سوفوس

ارتقاي فایروالهای Cyberoam به Sophos XG

 

27 فوریه 2021

انواع بدافزارها

اشکالات 

نوعی نقص یا خرابی خطا که نتیجه نامطلوب یا غیرمنتظره ای ایجاد می کند. اشکالات معمولاً در کد منبع وب سایت وجود دارد و می تواند باعث آسیب رساندن به طیف گسترده ای شود.

ویروس

قطعه ای از کد که بدون اطلاع شما در وب سایت یا رایانه شما بارگیری می شود. به راحتی می تواند چند برابر شود و به صورت پیوست یا پرونده منتقل شود.

اسب های تروا

مانند یک افسانه ، یک تروجان خود را به عنوان یک پرونده معمولی پنهان می کند و کاربران را فریب می دهد تا آن را بارگیری کنند و در نتیجه بدافزار نصب کنند.

تبلیغ افزار

نوعی بدافزار که به طور خودکار تبلیغات ناخواسته را نمایش می دهد. با کلیک بر روی یکی از این تبلیغات ، شما را به یک سایت مخرب هدایت می کند.

کرمها

کرم برای تکثیر و گسترش خود در سایر رایانه ها به نقص امنیتی متکی هستند. آنها اغلب در فایلهای پیوست پنهان هستند و پهنای باند را مصرف می کنند و یک وب سرور را بیش از حد بارگیری می کنند.

رباتها

یک برنامه نرم افزاری ایجاد شده برای انجام وظایف خاص. ربات ها می توانند هرزنامه ارسال کنند یا در حمله DDoS مورد استفاده قرار گیرند تا کل وب سایت را از بین ببرند.

باج افزار

باج افزار دسترسی به پرونده های شما را رد کرده و و خواستار پرداخت از طریق بیت کوین است تا دسترسی مجدد داده شود.

جاسوس افزار

نوعی بدافزار که با جاسوسی در فعالیت کاربر عمل می کند. این نوع جاسوسی شامل نظارت بر فعالیت کاربر است. ضربه زدن به کلیدها و موارد دیگر.

 

24 فوریه 2021

کنترل دسترسی در kaspersky security center

در kaspersky security center 12 به منظور افزایش امنیت در شبکه و سیستم کاربران وجلوگیری از آلوده شدن کلاینت ها توسط بد افزار های موجود بر روی حافظه های جانبی همانند فلش دیسک ها،مموری کارت ها،دیسک های نوری و… و همچنین کنترل لوازم های جانبی همچون پرینتر ها ،وب کم،مودم،بلوتوث و.. می توان برای کاربران شبکه محدودیت اعمال کرد و دسترسی آن ها را گرفت.
بدین منظور وارد پوشه دسته کاربران خود شوید.

کنترل دسترسی در kaspersky security center

سپس بر روی تب policies کلیک کنید.در منوی باز بر روی پالسی مورد نظر کاربران دابل کلیک کنید.

ادامه مطلب