C
درس آموختههای سایبری جنگ رمضان در تحلیل موارد سایبری جنگ رمضان یک نکته کلیدی از منظر امنیت سایبری قابلتوجه است: هر میزان وابستگی کشور به سرویسها، پروتکلها و زیرساختهای دیجیتالی غیرخودی بیشتر باشد، دامنه و شدت خسارتها در زمان اختلال نیز بزرگتر خواهد بود. این پدیده به عنوان «عدم استقلال عملیاتی در لایههای حیاتی» شناخته میشود و معمولاً به سه منبع ریسک بازمیگردد:• تکیه بر فناوریهایی که خارج از حوزه کنترل یا نظارت فناورانه کشور هستند • عدم توسعه اکوسیستم نرمافزاری بومی پایدار و قابلاتکا • شکلگیری جریانهایی که بهجای خلق ارزش واقعی، روی «خالیفروشی محصول» یا تکرار ساختارهای کمعمق نرمافزاری تحت عنوان محصولاتبومی تمرکز داشتهانداین نوع محصولات ظاهراً «داخلی» محسوب میشوند، اما در عمل به وابستگی بیشتر منجر میگردند، زیرا:• استانداردهای امنیتی و پایداری را بهصورت کامل رعایت نمیکنند • موجب شکلگیری زنجیره تأمین ناسازگار و شکننده میشوند • امکان یکپارچهسازی با زیرساختهای حیاتی را کاهش میدهند • در زمان بحران، توان جذب ضربه را ندارند
برای زیرساختهای کلیدی اقتصادی ــ از انرژی و فولاد گرفته تا حملونقل، مالی و پتروشیمی ــ *تابآوری سایبری نه یک انتخاب، بلکه بخشی از امنیت ملی و بقای اقتصادی است. هرگونه اختلال در این لایهها، اگر با اتکای بیش از حد به فناوریهای برونمرزی یا محصولات داخلی کمعمق همراه باشد، میتواند موجب توقف فرآیندهای صنعتی، اختلال زنجیره تأمین، و در نهایت فشار اقتصادی گسترده شود.
برای کاهش ریسک و ایجاد پایداری بلندمدت، سه محور ضروری است:1) ایجاد استقلال عملیاتی در لایههای حیاتی سایبری
2) توسعه محصولات بومی با ارزش افزوده واقعی بهجای تولیدات تکراری یا کمعمق و مقابله با خالی فروشی*3) بازسازی اکوسیستم نرمافزاری بر پایه استانداردهای امنیتی، مهندسی قابلسنجش و زنجیره تأمین قابل اعتماد
این مسیر نه سیاسی است و نه احساسی؛ یک ضرورت فنی برای حفظ امنیت، اقتصاد و پایداری زیرساختهای دیجیتال در دنیای امروز است که در آن قانون جنگل حاکم است.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIR
۷:۱۳
VPSهای کوتاهمدت؛ نقطه داغ سوءاستفاده مهاجماندر بسیاری از حملات سایبری، بخش قابلتوجهی از زیرساخت مخرب روی VPSهای کوتاهمدت بنا میشود؛ سرورهایی که ظرف چند ساعت تا چند روز راهاندازی، استفاده و سپس کنار گذاشته میشوند.این VPSها معمولاً برای موارد زیر بهکار میروند: - راهاندازی سریع C2 یکبارمصرف- اجرای اسکن خودکار گسترده- ایجاد Relay/Proxy برای پنهانسازی مبدأ - میزبانی فیشینگ کوتاهعمر - توزیع موقت فایل و Dropper تحلیل مبتنی بر الگوی استفاده از VPSهای کوتاهمدت—نه صرفاً IOC—به تیمهای دفاعی کمک میکند:- چرخههای تکرار زیرساخت مهاجم را کشف کنند - Providerهای پرریسک را شناسایی کنند - استراتژی مسدودسازی دقیقتر طراحی کنند - تهدیدات سریعالظهور را زودتر شکار کنند درک رفتار VPSهای کوتاهعمر، یکی از کلیدهای تولید هوش تهدید عملیاتی است.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIR
۱۸:۴۵
هشدار : شناسایی کمپین فیشینگ هدفمند با استفاده از تایپواسکآتینگ و جعل برند در المپیادهای هوش مصنوعیدر جریان نظارت و پایش مداوم فعالیتهای سایبری، دامنه ioai-official[.]org به عنوان یکی از لینکهای اصلی در یک کمپین فیشینگ هدفمند شناسایی گردید. این دامنه با هدف جمعآوری اطلاعات حساس شخصی (مانند نام، آدرس ایمیل، جزئیات هویتی و اطلاعات پرداخت) از طریق فرم ثبتنام گوگل، در حال فعالیت است. بررسیهای فنی و اسناد رسمی نشان میدهد که این دامنه فاقد اعتبار لازم بوده و به طور قابل توجهی خطرناک و غیرقابل اعتماد ارزیابی میشود.شواهد اصلی عدم اعتبار دامنه1- ادعای نادرست حمایت یونسکو: سایت ioai-official[.]org به صراحت اعلام کرده است که «دومین دوره المپیاد بینالمللی هوش مصنوعی تحت حمایت (patronage) یونسکو برگزار شده است». با این حال، جستجوی گسترده و دقیق در پایگاههای داده، اسناد رسمی و صفحات مرتبط سایت unesco[.]org هیچ اشاره، تأییدیه، سند همکاری یا حمایت رسمی برای دامنه ioai-official[.]org یا رویداد IOAI نشان نمیدهد. این تناقض آشکار، الگوی رایج جعل اعتبار از سوی سازمانهای بینالمللی معتبر است.2- مقایسه فنی با دامنه معتبر: دامنه واقعی و تأییدشده iaio-official[.]org بر روی زیرساخت آکادمیک معتبر مؤسسه تحقیقاتی Jožef Stefan در اسلوونی (با نامسرورهای niobe[.]ijs[.]si و pelops[.]ijs[.]si) میزبانی میشود. این دامنه در اسناد رسمی مربوط به مرکز بینالمللی پژوهش در هوش مصنوعی (IRCAI) تحت نظر یونسکو مورد اشاره قرار گرفته است. در مقابل، دامنه ioai-official[.]org بر روی نامسرورهای اشتراکی و ارزانقیمت superdnsserver[.]net قرار دارد. این الگو در گزارشهای متعدد مراکز CERT و تحلیلهای تهدید سایبری، به عنوان نشانهای از typosquatting و brand hijacking شناخته میشود.3- الگوی عملیاتی فیشینگ: این کمپین با بهرهبرداری از شباهت نامها (IOAI در برابر IAIO)، ادعای حمایت بینالمللی جعلی و فرآیند ثبتنام و پرداخت : (فرم گوگل → فاکتور خصوصی → انتقال بانکی) طراحی شده است تا دادههای حساس کاربران را جمعآوری کند. این روش کاملاً با الگوهای شناختهشده سوءاستفاده از برندهای آموزشی همخوانی دارد و فاقد شفافیت مالی عمومی است.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIR
۱۴:۴۶
همبستگی میان دسترسی به اینترنت و افزایش آلودگیهای مرتبط با بدافزارهای سرقت داده در ایراناین نمودار چه چیزی را نشان میدهد؟این نمودار یک مقایسه 3 ساله با بازه هفتگی بین سطح دسترسی به اینترنت و حجم آلودگی به بدافزارهای خانواده سرقت داده را در ایران ارائه میدهد.نتایج نشان میدهد که اگرچه قطعی یا محدودیت اینترنت میتواند بهصورت موقت عملیاتهای سایبری را کاهش دهد، اما اثر آن صرفاً کاهشی نیست و معمولاً پیامدهای تأخیری به همراه دارد.بهعنوان مثال، در بازه آوریل تا مه ۲۰۲۳، محدودیت اینترنت باعث شد نرخ آلودگی تقریباً در سطح هفتههای قبل باقی بماند. با این حال، پس از بازگشت دسترسی، در ماههای بعد افزایش قابلتوجهی در تعداد آلودگیها مشاهده میشود که در ادامه سال ۲۰۲۳ به یک اوج چشمگیر میرسد. این الگو نشاندهنده یک همبستگی با تأخیر است؛ به این معنا که قطعی اینترنت در کوتاهمدت فعالیتهای مخرب را مختل میکند، اما در ادامه شرایطی ایجاد میشود که منجر به افزایش آلودگیها میگردد. این افزایش میتواند ناشی از اجرای با تأخیر حملات، کاهش توانمندی نگهداری زیرساخت و بهروزرسانی سیستمها در زمان قطعی، یا تشدید فعالیت مهاجمان پس از بازگشت اینترنت باشد.1-منشأ این آلودگیها چیست؟در زمان قطعی یا محدودیت اینترنت، عوامل مختلفی باعث افزایش آسیبپذیری میشوند:1.1-از دست رفتن دسترسی به منابع رسمی نرمافزارکاربران و سازمانها ممکن است به وبسایتها و مخازن رسمی دسترسی نداشته باشند و به منابع غیررسمی روی بیاورند.1.2-بهروز نشدن ابزارهای امنیتینبود دسترسی به اینترنت باعث میشود نرمافزارهای امنیتی بهروزرسانی نشوند و در برابر تهدیدات جدید آسیبپذیر بمانند.1.3-رفتارهای پرریسک کاربرانکاربران برای دور زدن محدودیتها یا دسترسی به اینترنت، ممکن است هر نرمافزار پیشنهادی از منابع غیرمعتبر را نصب کنند.1.4-افزایش فعالیت مهاجمان در زمان بحرانقطعی اینترنت معمولاً همزمان با رویدادهای سیاسی یا درگیریها رخ میدهد. این شرایط برای مهاجمان بسیار ارزشمند است و آنها ممکن است:کمپینهای بدافزاری جدید راهاندازی کننددسترسیهای قدیمی (مانند بکدورها) را دوباره فعال کننداز کاهش نظارت و ضعف دفاعی سوءاستفاده کنند2-راهکارها؟2.1-نقش رویکردهای #متن_باز در کاهش ریسککاهش ریسک زنجیره تأمیننرمافزارهای متنباز قابلیت بررسی و توزیع از طریق کانالهای قابل اعتماد یا داخلی را دارند و وابستگی به وبسایتهای غیررسمی آلوده را کاهش میدهند.2.2-امکان ایجاد مخازن محلیسازمانها میتوانند نسخههای محلی از مخازن نرمافزاری ایجاد کنند تا حتی در زمان اختلال اینترنت نیز بهروزرسانیها در دسترس باشند.2.3-کاهش وابستگی به اکوسیستمهای انحصاریکاهش وابستگی به پلتفرمهای خارجی (مانند سیستمعاملهای انحصاری) باعث افزایش تابآوری و کاهش هزینههای عملیاتی میشود.2.4-انعطافپذیری و شفافیت بیشترنرمافزارهای متنباز امکان بررسی، اصلاح و نگهداری مستقل را فراهم میکنند که در شرایط قطعی اینترنت بسیار حیاتی است.3-امنیت حسابهای کاربری و رفتار کاربران3.1-تغییر دورهای رمزهای عبوراعمال سیاست تغییر منظم رمز عبور، ریسک سوءاستفاده از اطلاعات لو رفته را کاهش میدهد، بهویژه پس از دورههای قطعی اینترنت.3.2-اجباری کردن احراز هویت چندمرحلهای (2FA)استفاده از 2FA حتی در صورت افشای رمز عبور، مانع دسترسی غیرمجاز میشود.3.3-استفاده از ابزارهای مدیریت رمز عبور امناستفاده از ابزارهایی مانند KeePass به کاربران کمک میکند رمزهای قوی و منحصربهفرد ایجاد و نگهداری کنند و از روشهای ناامن جلوگیری شود.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIR
۱۹:۳۶
معرفی مدل جدید OpenAI برای دفاع سایبری: GPT-5.4-Cyber شرکت OpenAI از مدل تخصصی GPT-5.4-Cyber رونمایی کرد؛ نسخهای بهینهشده از GPT-5.4 که مخصوص موارد استفاده دفاع سایبری طراحی شده است. لازم به ذکر است که این اقدام تنها چند روز پس از معرفی مدل رقیب «میتوس» توسط شرکت Anthropic انجام میشود. هدف اصلی از این مدل: کمک به مدافعان سایبری برای شناسایی و رفع سریعتر آسیبپذیریها در زیرساختهای دیجیتال. برنامه دسترسی ویژه: OpenAI برنامه «دسترسی قابل اعتماد برای سایبر (TAC)» را برای افراد متخصص احراز هویتشده و تیمهای مسئول امنیت نرمافزارهای حیاتی گسترش میدهد. چالش دوگانگی هوش مصنوعی: آنطور که ذکر شده است، با توجه به اینکه مدلهای هوش مصنوعی ذاتاً دوکاربرده هستند و ممکن است افراد با نیت آفندی از آنها برای کشف و سوءاستفاده از حفرههای امنیتی استفاده کنند. به همین دلیل، دسترسی به این مدل به صورت کنترلشده و تدریجی انجام میشود. سابقه موفقیت: طبق گزارشها، ابزار قبلی OpenAI یعنی Codex Security تاکنون به رفع بیش از ۳,۰۰۰ آسیبپذیری بحرانی و مهم کمک کرده است. رقابت با Anthropic: این حرکت در حالی است که مدل «میتوس» شرکت رقیب نیز موفق به کشف هزاران آسیبپذیری در سیستمعاملها، مرورگرها و نرمافزارهای دیگر شده است.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۹:۰۳
آسیبپذیری بحرانی در Docker Engine (CVE‑2026‑34040) و امکان دور زدن کنترلهای امنیتیبر اساس رصد و پایش مستمر فضای تهدیدات سایبری، یک آسیبپذیری با شدت بالا (CVSS: 8.8) در Docker Engine و فریمورک Moby با شناسه CVE‑2026‑34040 شناسایی شده است که میتواند منجر به دور زدن مکانیزمهای کنترل دسترسی و تصرف کامل میزبان شود.تحلیلهای فنی نشان میدهد این آسیبپذیری ناشی از رفع ناقص آسیبپذیری پیشین CVE‑2024‑41110 بوده و در سناریوهایی که از پلاگینهای Authorization (AuthZ Plugins) برای اعمال سیاستهای امنیتی استفاده میشود، قابل بهرهبرداری است. در این حمله، مهاجم با ارسال درخواستهای HTTP حجیم (بیش از ۱ مگابایت) باعث ایجاد ناهماهنگی در پردازش درخواست میان Docker daemon و AuthZ plugin میشود؛ بهگونهای که بدنه درخواست به پلاگین امنیتی ارسال نشده اما daemon درخواست کامل را پردازش میکند. این وضعیت عملاً امکان عبور از سیاستهای امنیتی تعریفشده را فراهم میسازد.در صورت موفقیتآمیز بودن بهرهبرداری، مهاجم قادر خواهد بود:- کانتینرهای privileged ایجاد کرده و به فایلسیستم میزبان دسترسی کامل کسب کند.- کد مخرب با سطح دسترسی root اجرا نماید.- دادههای حساس را استخراج یا دستکاری کند.- بدافزار یا backdoor در زیرساخت کانتینری مستقر سازد.- در محیطهای containerized اقدام به حرکت جانبی (Lateral Movement) نماید.- در سناریوی بدبینانه، کنترل کامل زیرساخت cloud‑native سازمان را به دست گیرد.- با توجه به سادگی نسبی بهرهبرداری و گستردگی استفاده از Docker در محیطهای عملیاتی، این آسیبپذیری بهویژه برای زیرساختهای تولیدی و محیطهای با تراکم بالای کانتینر تهدیدی جدی محسوب میشود.اقدامات فوری پیشنهادی:ارتقای فوری Docker Engine به نسخه 29.3.1 یا بالاتر (همراه با Docker Desktop نسخه 4.66.1).در صورت استفاده از AuthZ Plugins (از جمله OPA، Prisma Cloud یا پلاگینهای سفارشی)، تا زمان اعمال وصله امنیتی:محدودسازی حجم درخواستهای HTTP در سطح Reverse Proxy یا WAF.اجتناب از اجرای کانتینرها در حالت privileged و اعمال سیاستهای سختگیرانه امنیتی نظیر:seccompAppArmorSELinuxمحدودسازی دسترسی به Docker daemon صرفاً برای کاربران و سرویسهای مجاز.پایش مستمر لاگهای Docker daemon و سامانههای مانیتورینگ جهت شناسایی رفتارهای غیرعادی.با توجه به احتمال بهرهبرداری فعال از این آسیبپذیری در حملات هدفمند علیه زیرساختهای کانتینری، توصیه میشود تیمهای امنیت اطلاعات و عملیات فناوری اطلاعات در کوتاهترین زمان ممکن نسبت به اعمال وصلهها و کنترلهای کاهنده ریسک اقدام نمایند.منابع فنی:https://nvd.nist.gov/vuln/detail/CVE-2026-34040https://access.redhat.com/security/cve/cve-2026-34040https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۲:۱۱
وقتی یک کارتپستال و یک اپلیکیشن ورزشی، OPSEC را به چالش میکشندامنیت عملیاتی (OPSEC) در سال ۲۰۲۶ دیگر فقط دربارهٔ بدافزار، زیرو-دی و APT نیست. گاهی یک ردیاب بلوتوث ۵ دلاری یا یک اپلیکیشن ورزشی میتواند از هر حمله سایبری پیچیدهتر مؤثر باشد.در یک سناریوی مطرحشده در میان پژوهشگران امنیت، نشان داده شد که اگر یک ردیاب کوچک را داخل یک کارتپستال قرار دهید و آن را از طریق پست نظامی به یک یگان دریایی بفرستید، میتوان تحرکات شناور را تقریباً در زمان واقعی رصد کرد — بدون هیچ نفوذ سایبری؛ فقط با سوءاستفاده از یک حلقهٔ ساده در زنجیرهٔ لجستیک.این سناریو، حتی اگر صرفاً اثبات مفهومی باشد، دقیقاً همان نقطهضعفی را هدف قرار میدهد که OPSEC سنتی معمولاً نادیده میگیرد: «اشیای کوچک» — کارتپستال، گجت ارزان، یک سنسور بیاهمیت.این یادآور یک نمونهٔ کاملاً مستندتر است: در سالهای ۲۰۱۷–۲۰۱۸، انتشار نقشهٔ حرارتی Strava باعث شد محل و الگوی تردد نیروهای نظامی در پایگاههای حساس نمایان شود. تحلیلگران OSINT نشان دادند که:- مسیر دویدن سربازان، - الگوهای رفتوآمد روزانه، - و حتی فعالیت روی عرشهٔ شناورها، روی نقشه ثبت و ناخواسته منتشر شده است.امنیت عملیاتی امروز نه فقط دربارهٔ اسناد محرمانه است، نه حتی دربارهٔ سیستمهای طبقهبندیشده؛ امروز هر سنسور، هر گجت و هر دادهٔ ظاهراً بیاهمیت میتواند تبدیل به یک سیگنال اطلاعاتی حساس شود.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۹:۵۴
CyberIR اطلاعیه فنی – فعالسازی طرح تداوم کسبوکار (BCP) در پی اختلال در تجهیزات امنیت لبه شبکه در پی گزارشهای دریافتی از بروز اختلال در بخشی از تجهیزات امنیتی لبه شبکه، بهویژه فایروالهای مبتنی بر محصولات سیسکو، فورتیگیت و میکروتیک، در برخی زیرساختهای ارتباطی، تیمهای عملیات امنیت و مدیریت زیرساخت اقدام به فعالسازی رویههای «تداوم کسبوکار» نمودهاند. در چارچوب اجرای BCP، اقدامات فنی و عملیاتی زیر در دستور کار قرار گرفته است: ۱. پایش و ارزیابی وضعیت - پایش لحظهای سلامت تجهیزات لبه شبکه و سامانههای امنیتی مرتبط - تحلیل لاگهای امنیتی فایروالها، سیستمهای IDS/IPS و سامانههای SIEM - شناسایی الگوهای غیرعادی در ترافیک شبکه، افزایش خطاهای پردازشی یا رفتارهای مشکوک ۲. ایزولهسازی و مهار اختلال - محدودسازی دسترسیهای مدیریتی به تجهیزات امنیتی صرفاً از شبکههای امن داخلی - اعمال سیاستهای موقت برای کاهش بار ترافیکی در تجهیزات آسیبدیده - جداسازی بخشهای متاثر از شبکه در صورت مشاهده رفتار غیرعادی ۳. تداوم ارائه سرویسهای حیاتی ۴. بازیابی و بازگردانی - بررسی صحت نسخههای پشتیبان پیکربندی تجهیزات (Configuration Backup) - بازگردانی تنظیمات پایدار در صورت بروز خطای پیکربندی یا خرابی نرمافزار - بررسی و نصب بهروزرسانیهای امنیتی و Firmware در صورت شناسایی نقص فنی ۵. مستندسازی و تحلیل پساحادثه - ثبت کامل رخدادها و شاخصهای عملکردی تجهیزات در طول اختلال - تحلیل ریشهای حادثه (Root Cause Analysis) پس از پایدارسازی شبکه - بهروزرسانی سناریوهای BCP و برنامه پاسخ به رخداد بر اساس یافتههای فنی همزمان از مدیران شبکه و مسئولان امنیت اطلاعات در سازمانها درخواست میشود ضمن بررسی وضعیت تجهیزات امنیتی خود، هرگونه رفتار غیرعادی در ترافیک شبکه، خطاهای پردازشی یا اختلال در عملکرد فایروالها را در سریعترین زمان ممکن به مراکز مسئول گزارش دهند. #مرکز_هوشتهدیدات_سایبری #مرکز_فرماندهی_عملیات_امنیت_سایبری #مرکز_ملی_فضایمجازی https://ble.ir/CyberIR
اطلاعیه فنی – فعالسازی طرح تداوم کسبوکار (BCP) در پی اختلال در تجهیزات امنیت لبه شبکه در پی گزارشهای دریافتی از بروز اختلال در بخشی از تجهیزات امنیتی لبه شبکه، بهویژه فایروالهای مبتنی بر محصولات سیسکو، فورتیگیت و میکروتیک، در برخی زیرساختهای ارتباطی، تیمهای عملیات امنیت و مدیریت زیرساخت اقدام به فعالسازی رویههای «تداوم کسبوکار» نمودهاند. در چارچوب اجرای BCP، اقدامات فنی و عملیاتی زیر در دستور کار قرار گرفته است: ۱. پایش و ارزیابی وضعیت - پایش لحظهای سلامت تجهیزات لبه شبکه و سامانههای امنیتی مرتبط - تحلیل لاگهای امنیتی فایروالها، سیستمهای IDS/IPS و سامانههای SIEM - شناسایی الگوهای غیرعادی در ترافیک شبکه، افزایش خطاهای پردازشی یا رفتارهای مشکوک ۲. ایزولهسازی و مهار اختلال - محدودسازی دسترسیهای مدیریتی به تجهیزات امنیتی صرفاً از شبکههای امن داخلی - اعمال سیاستهای موقت برای کاهش بار ترافیکی در تجهیزات آسیبدیده - جداسازی بخشهای متاثر از شبکه در صورت مشاهده رفتار غیرعادی ۳. تداوم ارائه سرویسهای حیاتی ۴. بازیابی و بازگردانی - بررسی صحت نسخههای پشتیبان پیکربندی تجهیزات (Configuration Backup) - بازگردانی تنظیمات پایدار در صورت بروز خطای پیکربندی یا خرابی نرمافزار - بررسی و نصب بهروزرسانیهای امنیتی و Firmware در صورت شناسایی نقص فنی ۵. مستندسازی و تحلیل پساحادثه - ثبت کامل رخدادها و شاخصهای عملکردی تجهیزات در طول اختلال - تحلیل ریشهای حادثه (Root Cause Analysis) پس از پایدارسازی شبکه - بهروزرسانی سناریوهای BCP و برنامه پاسخ به رخداد بر اساس یافتههای فنی همزمان از مدیران شبکه و مسئولان امنیت اطلاعات در سازمانها درخواست میشود ضمن بررسی وضعیت تجهیزات امنیتی خود، هرگونه رفتار غیرعادی در ترافیک شبکه، خطاهای پردازشی یا اختلال در عملکرد فایروالها را در سریعترین زمان ممکن به مراکز مسئول گزارش دهند. #مرکز_هوشتهدیدات_سایبری #مرکز_فرماندهی_عملیات_امنیت_سایبری #مرکز_ملی_فضایمجازی https://ble.ir/CyberIR دانشگاهها و زیرساختهای انرژی هدف جدید حملات در سطح سوییچها و فایروالهابنابر اخبار واصله به مرکز هوشتهدیدات سایبری، دانشگاهها و زیرساختهای انرژی مورد حملات جدید این لایه قرار گرفتهاند و لزوم اولویت اجرای BCP در این سطح باید در اولویت سازمانها و نهادها قرارگيرد.
در صورت مشاهده حادثه سایبری در این سطح فورا موارد را به این مرکز اعلام فرمایید.
همچنین قابلیت بازگردانی دستگاههای آسیبدیده محیا شده است.
#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۹:۱۳
کشف بدافزاری که ۵ سال قبل از Stuxnet توسعه یافته بود محققان SentinelOne بدافزاری به نام fast16 کشف کردهاند که قدمت آن به سال ۲۰۰۵ بازمیگردد؛ یعنی ۵ سال قبل از استاکسنت! هدف اصلی: دستکاری نتایج محاسبات دقیق در نرمافزارهای مهندسی ویژگیهای مهم:- اولین بدافزار ویندوزی با موتور Lua جاسازیشده- قابلیت انتشار خودکار در شبکه (مثل کرم)- مجهز به درایور کرنل برای sabotaging دقیق- هدفگیری نرمافزارهای شبیهساز فیزیک و مهندسی مثل LS-DYNA و PKPM نحوه عملکرد:بدافزار با تزریق خطاهای کوچک اما سیستماتیک در محاسبات دنیای واقعی، میتوانست- برنامههای تحقیقات علمی را مختل کند- سیستمهای مهندسی را به مرور تخریب نماید- بعضاً منجر به خسارات فاجعهبار گردد ارتباط با Shadow Brokers:این بدافزار از طریق لیکی از گروه هکری Shadow Brokers در سال ۲۰۱۷ شناسایی شد که ادعا میشد متعلق به Equation Group (مرتبط با NSA آمریکا) است. اهمیت تاریخی:این کشف نشان میدهد که عملیات sabotage سایبری علیه اهداف فیزیکی از اواسط دهه ۲۰۰۰ شروع شده بود؛ خیلی زودتر از آنچه قبلاً تصور میشد.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۱:۴۱
گزارش حملات سایبری سال 1404 در سطح راهبردی و چشمانداز تهدیدات سایبری سال جدید به زودی منتشر خواهد شد#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/cyberirhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۲۲:۰۴
دفاع مؤثر و پیشدستانه در برابر تهدیدات نوین، نیازمند اتخاذ رویکردی جامع و مبتنی بر دانش است. هوش تهدیدات سایبری باید در سه محور اساسی و به هم پیوسته مستقر و عملیاتی گردد: سطح راهبردی (استراتژیک): شناخت روندهای کلان، سیاستگذاری و هدایت تصمیمات امنیتی مدیریت ارشد برای محافظت از داراییهای حیاتی. سطح عملیاتی: رصد مستمر کمپینهای سایبری، تحلیل رفتار گروههای تهدید و شناسایی الگوهای پیچیده حمله. سطح میدانی و تکنیکی: پردازش بلادرنگ دادهها، استخراج شاخصهای سازش (IoC) و پیادهسازی اقدامات کنترلی فوری در لایههای شبکه و نقاط پایانی.تنها با اتصال دقیق این سه سطح است که یک چرخه دفاعی یکپارچه، هوشمند و مقاوم شکل میگیرد. هوشیاری مستمر و ارتقای توان تشخیص و پاسخ، الزام قطعی در معماری امنیت پایدار است.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۰:۴۱
هشدار امنیتی فوری – آسیبپذیری بحرانی در cPanelگزارشها حاکی از آن است که آسیبپذیری بحرانی CVE‑2026‑41940 با امتیاز ۹.۸ CVSS (Authentication Bypass) سرورهای cPanel را هدف قرار داده است.جزئیات فنی و کد بهرهبرداری (PoC) این نقص در فضای عمومی منتشر شده و گزارشها از سوءاستفاده فعال است.این آسیبپذیری امکان تسلط کامل مهاجم بر سرور را در صورت عدم نصب وصله فراهم میکند. توصیه فوری:مدیران سامانهها و شرکتهای میزبانی وب باید در اسرع وقت بهروزرسانی امنیتی cPanel را نصب نمایند و دسترسیهای مدیریتی را تا زمان اطمینان از ایمنسازی محدود کنند.#مرکز_هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۲:۲۷
هشدار امنیتی فوری: آسیبپذیری بحرانی ارتقاء سطح دسترسی در لینوکس (CVE-2026-31431)به کلیه مدیران سیستم، متخصصان امنیت و سازمانها در خصوص یک آسیبپذیری ارتقاء سطح دسترسی محلی (LPE) با نام Copy Fail و شناسه CVE-2026-31431 در کرنل لینوکس هشدار میدهد.بر اساس تحلیلهای فنی و رصدهای اخیر، یک پیادهسازی پیشرفته، بدون وابستگی (Dependency-free) و قابل حمل به زبان C برای این آسیبپذیری منتشر شده است. این اکسپلویت با سوءاستفاده از سیستمکال `splice` و رابط `AF_ALG`، حافظه نهان صفحات (Page Cache) را دستکاری کرده و امکان بازنویسی فایلهای فقط-خواندنی را در حافظه فراهم میکند.نکات کلیدی تهدید: گستردگی: نسخههای کرنل لینوکس از آگوست ۲۰۱۷ (نسخه ۴.۱۴) تا آوریل ۲۰۲۶ تحت تأثیر این آسیبپذیری قرار دارند. بسیاری از توزیعهای اصلی پیش از دریافت وصله، آسیبپذیر محسوب میشوند.روشهای نفوذ: مهاجمان میتوانند با تغییر حافظه نهان باینریهای `setuid` یا دستکاری مستقیم فایل `/etc/passwd` (تغییر UID به "0000")، دسترسی کامل Root را به دست آورند.قابلیت حمل بالا: کد مخرب با استفاده از `nolibc` بسیار سبکوزن شده (حدود ۱.۷ کیلوبایت) و روی معماریهای مختلف (x86_64، aarch64، ARM و...) بدون نیاز به تغییرات پیچیده قابل اجراست.اقدامات دفاعی و توصیهشده: بروزرسانی فوری: در اسرع وقت نسبت به اعمال آخرین وصلههای امنیتی و بروزرسانی کرنل لینوکس سیستمهای خود اقدام نمایید. محدودسازی: در محیطهای حساس، دسترسی به باینریهای `setuid` را به حداقل رسانده و نظارت دقیقی بر آنها داشته باشید. پاکسازی حافظه نهان: در صورت انجام تستهای امنیتی محلی، حتماً با دستور `echo 3 > /proc/sys/vm/drop_caches` حافظه نهان سیستم را پاکسازی کنید تا از باقی ماندن تغییرات مخرب در حافظه جلوگیری شود.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۹:۳۹
پشتپرده توییتر فارسی: شبکهای پیچیده، عملیات هماهنگ به نقل از مرکز تحقیقاتی Social Forensics
در سالهای اخیر دنیای توییتر فارسی شاهد موجی بیسابقه از حمله، سیلاب اطلاعاتی و عملیات حسابهای جعلی بوده است. تحلیلهای پژوهشی نشان میدهد این پدیده تنها یک بحث آزاد و طبیعی نبود، بلکه کارزار هماهنگی از طرف بازیگران سازمانیافته برای شکل دادن روایتها، تهدید فعالان و تخریب اعتبار افراد بوده است.
دادههایی که به واقعیت جدید توییتر فارسی اشاره دارند
مطالعات روی دیتا ست منشنهای توییتر نشان میدهد:در سه ماه ۱.۶ میلیون منشن درباره NIAC ثبت شده، با پیکهایی تا ۱۲۰ هزار منشن در روز؛
ویژگیهای حسابهای مشارکتکننده، نشاندهنده عملیات سازمانیافته است:
تقریبا نیمی از حسابها کمدنبالکننده (زیر ۱۰۰ فالوئر)۴۶٪ حسابها تازهساخت بودهاند، و ۲۴٪ پس از حادثه مهسا امینیبخش قابل توجهی از این حسابها حتی بیش از ۱۰۰ توییت در روز منتشر میکنند؛ امری که برای یک فرد معمولی غیرممکن است.
کلیدواژههای Astroturfing(جنبش اجتماعی پلاستیکی) و عملیات Sockpuppet(حساب عروسکی)حسابهای سلطنتطلب هستهای، با نشانههای خاصی مانند ایموجی تاج و تکرار پیامهای مشابه به حمایت از رضا پهلوی، نشانی از اِستراتژی Astroturfing دارند: ایجاد توهم حمایت مردمی گسترده با تکرار ساختگی پیامها.
پژوهشگران گزارش میدهد:بیش از ۳٬۴۰۰ حساب با ایموجی تاج وجود داشته؛ عمدتاً غیرواقعی و برای بزرگنمایی حمایتاتصال شبکهای حسابها در جامعه سلطنتطلب، غیرارگانیک و نشانه عملیات هماهنگ استحسابهایی جعلی با میانگین ۱۰۰ توییت در روز طی سه سال، نمونهای از چنین الگو هستند
ردی از دولتها و بازیگران خارجیتحلیل دادهها، ارتباط قابلتوجهی میان حسابهای جعلی سلطنتطلب و حساب رسمی فارسی دولت اسرائیل نشان میدهد؛ به طوری که ۱۸ هزار حساب از ۲۱۳ هزار حسابِ بررسیشده، دنبالکننده این اکانت هستند.
مقیاس و پیچیدگی؛ نشانهای از دخالت دولتیاعداد نجومی، تکرار پیامها و عملیات حسابهایی که بعد از تعلیق دوباره با نامهای جدید میآیند، نشاندهنده کارزارهای سازمانیافته دولتی است؛ عملیاتهایی که با مفاهیمی چون دیپلماسی الگوریتمی، propaganda دیجیتال و استفاده از دادهها و شبکههای اجتماعی برای اثرگذاری بر افکار عمومی تعریف میشوند.
آزادی بیان و حقوق بشر به سبک آمریکا:این پروپاگاندای رژیم صهیونیستی با ابزار سلطنت طلبی برای تخریب چهره جمهوری اسلامی، با همکاری مسئولین پلتفرم توئیتر همراه بوده، به طوریکه این پلتفرم اکانت رسمی مقامات ایران را که برای روشنگری افکار عمومی ایجاد شده بود را اغلب مسدود نموده و پرچم ایران را با نمادهای جعلی جایگزین کرده است.
جمعبندی: بازنگری در امنیت اطلاعات و شفافیتآنچه در توییتر فارسی رخ داده، هشدار بزرگی برای جامعه در خصوص آسیبپذیری در برابر عملیات دستکاری است، پدیدهای که نهتنها اعتبار افراد را هدف میگیرد، بلکه فضا را برای همگرایی واقعی و بحث آزاد دشوارتر میکند.
اگر نگران سلامت اکوسیستم رسانهای هستید، با دقت بیشتری روایتها و موجهای اطلاعاتی را پیگیری و تحلیل کنید.
#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
در سالهای اخیر دنیای توییتر فارسی شاهد موجی بیسابقه از حمله، سیلاب اطلاعاتی و عملیات حسابهای جعلی بوده است. تحلیلهای پژوهشی نشان میدهد این پدیده تنها یک بحث آزاد و طبیعی نبود، بلکه کارزار هماهنگی از طرف بازیگران سازمانیافته برای شکل دادن روایتها، تهدید فعالان و تخریب اعتبار افراد بوده است.دادههایی که به واقعیت جدید توییتر فارسی اشاره دارندمطالعات روی دیتا ست منشنهای توییتر نشان میدهد:در سه ماه ۱.۶ میلیون منشن درباره NIAC ثبت شده، با پیکهایی تا ۱۲۰ هزار منشن در روز؛
ویژگیهای حسابهای مشارکتکننده، نشاندهنده عملیات سازمانیافته است: تقریبا نیمی از حسابها کمدنبالکننده (زیر ۱۰۰ فالوئر)۴۶٪ حسابها تازهساخت بودهاند، و ۲۴٪ پس از حادثه مهسا امینیبخش قابل توجهی از این حسابها حتی بیش از ۱۰۰ توییت در روز منتشر میکنند؛ امری که برای یک فرد معمولی غیرممکن است. کلیدواژههای Astroturfing(جنبش اجتماعی پلاستیکی) و عملیات Sockpuppet(حساب عروسکی)حسابهای سلطنتطلب هستهای، با نشانههای خاصی مانند ایموجی تاج و تکرار پیامهای مشابه به حمایت از رضا پهلوی، نشانی از اِستراتژی Astroturfing دارند: ایجاد توهم حمایت مردمی گسترده با تکرار ساختگی پیامها.پژوهشگران گزارش میدهد:بیش از ۳٬۴۰۰ حساب با ایموجی تاج وجود داشته؛ عمدتاً غیرواقعی و برای بزرگنمایی حمایتاتصال شبکهای حسابها در جامعه سلطنتطلب، غیرارگانیک و نشانه عملیات هماهنگ استحسابهایی جعلی با میانگین ۱۰۰ توییت در روز طی سه سال، نمونهای از چنین الگو هستندردی از دولتها و بازیگران خارجیتحلیل دادهها، ارتباط قابلتوجهی میان حسابهای جعلی سلطنتطلب و حساب رسمی فارسی دولت اسرائیل نشان میدهد؛ به طوری که ۱۸ هزار حساب از ۲۱۳ هزار حسابِ بررسیشده، دنبالکننده این اکانت هستند. مقیاس و پیچیدگی؛ نشانهای از دخالت دولتیاعداد نجومی، تکرار پیامها و عملیات حسابهایی که بعد از تعلیق دوباره با نامهای جدید میآیند، نشاندهنده کارزارهای سازمانیافته دولتی است؛ عملیاتهایی که با مفاهیمی چون دیپلماسی الگوریتمی، propaganda دیجیتال و استفاده از دادهها و شبکههای اجتماعی برای اثرگذاری بر افکار عمومی تعریف میشوند.آزادی بیان و حقوق بشر به سبک آمریکا:این پروپاگاندای رژیم صهیونیستی با ابزار سلطنت طلبی برای تخریب چهره جمهوری اسلامی، با همکاری مسئولین پلتفرم توئیتر همراه بوده، به طوریکه این پلتفرم اکانت رسمی مقامات ایران را که برای روشنگری افکار عمومی ایجاد شده بود را اغلب مسدود نموده و پرچم ایران را با نمادهای جعلی جایگزین کرده است.جمعبندی: بازنگری در امنیت اطلاعات و شفافیتآنچه در توییتر فارسی رخ داده، هشدار بزرگی برای جامعه در خصوص آسیبپذیری در برابر عملیات دستکاری است، پدیدهای که نهتنها اعتبار افراد را هدف میگیرد، بلکه فضا را برای همگرایی واقعی و بحث آزاد دشوارتر میکند. اگر نگران سلامت اکوسیستم رسانهای هستید، با دقت بیشتری روایتها و موجهای اطلاعاتی را پیگیری و تحلیل کنید.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۸:۴۶
خلاصه مهمترین اخبار امنیت سایبری این هفتهآسیبپذیری بحرانی cPanel (CVE‑2026‑41940) در حال بهرهبرداری فعال است و در برخی حملات باعث پاک شدن کامل سایتها و بکاپها شده است. آسیبپذیری Copy Fail در کرنل لینوکس (CVE‑2026‑31431) با یک اکسپلویت کوچک پایتون امکان Privilege Escalation و حتی Container Escape در Kubernetes را میدهد و تقریباً همیشه موفق عمل میکند. باگ بحرانی GitHub (CVE‑2026‑3854) میتوانست تنها با یک `git push` باعث Remote Code Execution شود؛ پچ آن سریع منتشر شد. حملات Supply Chain به npm، PyPI و Packagist ادامه دارد و مهاجمان از CI/CDهای واقعی برای انتشار نسخههای آلوده استفاده میکنند. استفاده از AI در فیشینگ و کلاهبرداریها به سرعت در حال افزایش است.جمعبندی: فاصله بین انتشار آسیبپذیری و سوءاستفاده از آن بسیار کوتاه شده؛ Patch سریع، کنترل دسترسی SaaS و مدیریت دقیق توکنهای CI/CD حیاتی است#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۴:۵۶
حملات به زنجیره شرکتهای حوزه امنیت؛ اولویت تازه در میدان نبرد سایبریدر ماههای اخیر، الگوی تهدیدات سایبری یک تحول نگرانکننده را تجربه کرده است؛ مهاجمان پیشرفته دیگر تنها به نفوذ مستقیم به سازمانها بسنده نمیکنند، بلکه با تمرکز هدفمند بر زنجیره تأمین امنیتی، تلاش میکنند قلب اکوسیستم محافظتی کشورها و صنایع را دور بزنند.این تغییر تاکتیک یک پیام روشن دارد: هر نقطهای در زنجیره امنیت، حتی کوچکترین پیمانکار یا ارائهدهنده خدمات تخصصی، میتواند به سکوی پرتابی برای حملات گستردهتر تبدیل شود.چرا این موضوع حیاتی است؟ شرکتهای امنیتی معمولاً دسترسی عمیق و سطح «اعتماد بالا» در شبکههای مشتریان دارند. نفوذ به یک ارائهدهنده امنیت = دسترسی غیرمستقیم به دهها تا صدها سازمان. مهاجمان از ضعفهای کوچک در ارتباطات، بهروزرسانیها، پلاگینها یا زیرساختهای مشترک سوءاستفاده میکنند. این نوع حمله، شناسایی و ردیابی را پیچیدهتر و مقابله را دشوارتر میسازد.الگوی جدید عملیات مهاجمان هدفگیری پلتفرمهای مدیریت امنیت حمله به شرکتهای توسعهدهنده ابزارهای رمزنگاری و مدیریت کلید نفوذ به ارائهدهندگان خدمات ابری با نقش امنیتی بهرهبرداری از زنجیره بهروزرسانی (Software Update Chain)مرکز فرماندهی عملیات امنیت سایبری با رصد مستمر تهدیدات نوظهور، این الگوی تهاجمی را یکی از محورهای اصلی هشدارهای عملیاتی خود قرار داده است و با همکاری نهادها، آزمایشگاههای تحلیل بدافزار و تیمهای پاسخگویی، در حال تقویت سازوکارهای نظارتی و دفاعی در برابر این حملات است.توصیههای فوری برای سازمانها و پیمانکاران سختگیرانهسازی کنترلهای اعتماد متقابل در زنجیره تأمین ارزیابی امنیتی دورهای پیمانکاران و ارائهدهندگان خدمات جداسازی دقیق سطح دسترسی شرکتهای امنیتی و فناوری پایش رفتاری غیرمعمول در سرویسهای امنیتمحور اطمینان از اصالت و یکپارچگی بهروزرسانیهاامنیت امروز دیگر یک دیوار محافظتی نیست؛ یک شبکه پیچیده از روابط و اعتماد است. کوچکترین گره این شبکه اگر تقویت نشود، میتواند نقطه ورود مهاجمان باشد.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازیhttps://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۵:۱۶
CyberIR هشدار امنیتی فوری: آسیبپذیری بحرانی ارتقاء سطح دسترسی در لینوکس (CVE-2026-31431) به کلیه مدیران سیستم، متخصصان امنیت و سازمانها در خصوص یک آسیبپذیری ارتقاء سطح دسترسی محلی (LPE) با نام Copy Fail و شناسه CVE-2026-31431 در کرنل لینوکس هشدار میدهد. بر اساس تحلیلهای فنی و رصدهای اخیر، یک پیادهسازی پیشرفته، بدون وابستگی (Dependency-free) و قابل حمل به زبان C برای این آسیبپذیری منتشر شده است. این اکسپلویت با سوءاستفاده از سیستمکال `splice` و رابط `AF_ALG`، حافظه نهان صفحات (Page Cache) را دستکاری کرده و امکان بازنویسی فایلهای فقط-خواندنی را در حافظه فراهم میکند. نکات کلیدی تهدید: گستردگی: نسخههای کرنل لینوکس از آگوست ۲۰۱۷ (نسخه ۴.۱۴) تا آوریل ۲۰۲۶ تحت تأثیر این آسیبپذیری قرار دارند. بسیاری از توزیعهای اصلی پیش از دریافت وصله، آسیبپذیر محسوب میشوند. روشهای نفوذ: مهاجمان میتوانند با تغییر حافظه نهان باینریهای `setuid` یا دستکاری مستقیم فایل `/etc/passwd` (تغییر UID به "0000")، دسترسی کامل Root را به دست آورند. قابلیت حمل بالا: کد مخرب با استفاده از `nolibc` بسیار سبکوزن شده (حدود ۱.۷ کیلوبایت) و روی معماریهای مختلف (x86_64، aarch64، ARM و...) بدون نیاز به تغییرات پیچیده قابل اجراست. اقدامات دفاعی و توصیهشده: بروزرسانی فوری: در اسرع وقت نسبت به اعمال آخرین وصلههای امنیتی و بروزرسانی کرنل لینوکس سیستمهای خود اقدام نمایید. محدودسازی: در محیطهای حساس، دسترسی به باینریهای `setuid` را به حداقل رسانده و نظارت دقیقی بر آنها داشته باشید. پاکسازی حافظه نهان: در صورت انجام تستهای امنیتی محلی، حتماً با دستور `echo 3 > /proc/sys/vm/drop_caches` حافظه نهان سیستم را پاکسازی کنید تا از باقی ماندن تغییرات مخرب در حافظه جلوگیری شود. #هوشتهدیدات_سایبری #مرکز_فرماندهی_عملیات_امنیت_سایبری #مرکز_ملی_فضایمجازی https://ble.ir/CyberIR https://rubika.ir/CyberIR https://virasty.com/CyberIR
هشدار امنیتی فوری: آسیبپذیری بحرانی ارتقاء سطح دسترسی در لینوکس (CVE-2026-31431) به کلیه مدیران سیستم، متخصصان امنیت و سازمانها در خصوص یک آسیبپذیری ارتقاء سطح دسترسی محلی (LPE) با نام Copy Fail و شناسه CVE-2026-31431 در کرنل لینوکس هشدار میدهد. بر اساس تحلیلهای فنی و رصدهای اخیر، یک پیادهسازی پیشرفته، بدون وابستگی (Dependency-free) و قابل حمل به زبان C برای این آسیبپذیری منتشر شده است. این اکسپلویت با سوءاستفاده از سیستمکال `splice` و رابط `AF_ALG`، حافظه نهان صفحات (Page Cache) را دستکاری کرده و امکان بازنویسی فایلهای فقط-خواندنی را در حافظه فراهم میکند. نکات کلیدی تهدید: گستردگی: نسخههای کرنل لینوکس از آگوست ۲۰۱۷ (نسخه ۴.۱۴) تا آوریل ۲۰۲۶ تحت تأثیر این آسیبپذیری قرار دارند. بسیاری از توزیعهای اصلی پیش از دریافت وصله، آسیبپذیر محسوب میشوند. روشهای نفوذ: مهاجمان میتوانند با تغییر حافظه نهان باینریهای `setuid` یا دستکاری مستقیم فایل `/etc/passwd` (تغییر UID به "0000")، دسترسی کامل Root را به دست آورند. قابلیت حمل بالا: کد مخرب با استفاده از `nolibc` بسیار سبکوزن شده (حدود ۱.۷ کیلوبایت) و روی معماریهای مختلف (x86_64، aarch64، ARM و...) بدون نیاز به تغییرات پیچیده قابل اجراست. اقدامات دفاعی و توصیهشده: بروزرسانی فوری: در اسرع وقت نسبت به اعمال آخرین وصلههای امنیتی و بروزرسانی کرنل لینوکس سیستمهای خود اقدام نمایید. محدودسازی: در محیطهای حساس، دسترسی به باینریهای `setuid` را به حداقل رسانده و نظارت دقیقی بر آنها داشته باشید. پاکسازی حافظه نهان: در صورت انجام تستهای امنیتی محلی، حتماً با دستور `echo 3 > /proc/sys/vm/drop_caches` حافظه نهان سیستم را پاکسازی کنید تا از باقی ماندن تغییرات مخرب در حافظه جلوگیری شود. #هوشتهدیدات_سایبری #مرکز_فرماندهی_عملیات_امنیت_سایبری #مرکز_ملی_فضایمجازی https://ble.ir/CyberIR https://rubika.ir/CyberIR https://virasty.com/CyberIR
Copy Fail با شناسه CVE‑2026‑31431 یک آسیبپذیری در هسته لینوکس است که پژوهشگران آن را تقریباً یک LPE ایدهآل مینامند: یک کاربر عادی محلی میتواند بدون race condition، بدون حدسزدن offsetها و بدون آمادهسازی پیچیده به دسترسی root برسد.نویسندگان میگویند یک PoC پایتون ۷۳۲ بایتی روی بسیاری از توزیعهای بزرگ لینوکس که از سال ۲۰۱۷ به بعد منتشر شدهاند کار میکند. دموها روی اینها تأیید شدهاند:- Ubuntu - Amazon Linux - RHEL - SUSE
ماهیت باگ:یک خطای منطقی در زیرسیستم رمزنگاری (crypto subsystem) لینوکس وجود دارد. زنجیره زیر باعث ایجاد امکان نوشتن کنترلشده در page cache میشود:نتیجه این است که مهاجم میتواند رفتار یک باینری setuid را تغییر دهد و در نهایت به root برسد.
این آسیبپذیری بهخودیخود یک RCE از راه دور نیست؛ مهاجم باید دسترسی محلی یا امکان اجرای کد روی سیستم داشته باشد. اما برای محیطهایی مثل موارد زیر بسیار خطرناک است:- shared hosting - CI/CD runners - کلاسترهای Kubernetes - sandboxها - سرورهای توسعه - پلتفرمهای SaaS که کد کاربر را اجرا میکنند
در چنین سناریوهایی یک کانتینر یا کاربر عادی میتواند به تهدیدی در سطح کل میزبان (host) تبدیل شود.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازیhttps://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۰:۵۱
۱۲ می — روز مقابله با باجافزارهادوازدهم می یادآور یکی از مهمترین رخدادهای امنیت سایبری در جهان است. در این روز در سال ۲۰۱۷، بدافزار باجافزاری WannaCry با بهرهبرداری از یک آسیبپذیری شناختهشده، در مدت کوتاهی در سطح جهانی گسترش یافت و صدها هزار سامانه رایانهای در سازمانها، بیمارستانها، شرکتها و زیرساختهای عمومی را دچار اختلال کرد.این رخداد نشان داد که بیتوجهی به بهروزرسانی سامانهها و مدیریت آسیبپذیریها میتواند حتی از یک ضعف فنی شناختهشده، یک بحران گسترده در مقیاس جهانی ایجاد کند.باجافزارها همچنان از جدیترین تهدیدات فضای سایبری بهشمار میروند. این بدافزارها با رمزگذاری دادهها و مسدودسازی دسترسی به سامانهها، علاوه بر ایجاد اختلال در خدمات و عملیات سازمانی، خسارات مالی و اعتباری قابلتوجهی به همراه دارند.در راستای ارتقای تابآوری سایبری، رعایت اقدامات زیر ضروری است: بهروزرسانی مستمر سیستمعاملها و نرمافزارها تهیه و نگهداری نسخههای پشتیبان از اطلاعات و آزمون فرآیند بازیابی مدیریت و محدودسازی دسترسیها و پیادهسازی بخشبندی شبکه استفاده از احراز هویت چندمرحلهای (MFA) آموزش مستمر کاربران برای شناسایی حملات فیشینگ تدوین و تمرین برنامه واکنش به رخدادهای امنیتیصیانت از داراییهای اطلاعاتی و زیرساختهای دیجیتال، مستلزم هوشیاری، آمادگی و اقدام پیشدستانه در برابر تهدیدات سایبری است.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازیhttps://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۱۵:۰۵
هشدار امنیتی | تداوم حملات زنجیره تأمین در npm و PyPIکمپین مخرب Mini Shai-Hulud با هدف قرار دادن زنجیره تأمین نرمافزار، همچنان در حال گسترش است. در این موج، پکیجها و کتابخانههای پرکاربردی از جمله TanStack، UiPath، Mistral AI، OpenSearch و Guardrails AI آلوده گزارش شدهاند.بر اساس بررسیهای منتشرشده، نسخههای آلوده حاوی payloadهایی بودهاند که با هدف جمعآوری اطلاعات حساس از محیطهای CI/CD، GitHub Actions، توکنهای دسترسی، متغیرهای محیطی و زیرساختهای build طراحی شدهاند.اهمیت این رخداد در آن است که برخی از پکیجهای هدف، دارای میلیونها دانلود هفتگی بوده و بهصورت مستقیم یا غیرمستقیم در تعداد زیادی از پروژهها و زنجیرههای dependency مورد استفاده قرار میگیرند. در چنین شرایطی، حتی فاصله زمانی کوتاه میان انتشار نسخه آلوده و شناسایی آن میتواند منجر به آلودگی گسترده در محیطهای توسعه و عملیاتی شود.همچنین برخی گزارشها حاکی از آن است که در بخشی از payload، مکانیزمهای وابسته به locale پیادهسازی شده و در سیستمهایی با تنظیمات منطقهای خاص، رفتارهای تخریبی مشابه حذف گسترده فایلها مشاهده شده است.توصیه میشود سازمانها و تیمهای فنی اقدامات زیر را در اولویت قرار دهند: بازبینی فوری dependencyها و نسخههای نصبشده اعتبارسنجی lockfileها و جلوگیری از بهروزرسانی کنترلنشده پکیجها محدودسازی دسترسی توکنها و secrets در محیطهای CI/CD پایش رفتارهای غیرعادی در فرآیند build و deployment استفاده از ابزارهای تحلیل امنیت زنجیره تأمین نرمافزار نگهداری mirror و registryهای داخلی برای پکیجهای حیاتیامنیت زنجیره تأمین نرمافزار، یکی از مؤلفههای حیاتی تابآوری سایبری در زیرساختهای توسعه و تولید محسوب میشود و غفلت از آن میتواند منجر به نفوذ گسترده در مقیاس سازمانی شود.#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازیhttps://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR۲۳:۳۰
مایکروسافت Patch Tuesday ماه مه ۲۰۲۶ را منتشر کرد که شامل وصلههایی برای ۱۲۰ آسیبپذیری امنیتی است؛ با این حال اطلاعاتی درباره آسیبپذیریهای روز-صفر (0-day) منتشر نشده است.در مجموع:- ۱۷ آسیبپذیری «بحرانی» اصلاح شدهاند- از این میان: - ۱۴ مورد اجرای کد از راه دور (RCE) - ۲ مورد افزایش سطح دسترسی (EoP) - ۱ مورد افشای اطلاعات
توزیع کلی آسیبپذیریها:- ۶۱ مورد افزایش سطح دسترسی (EoP)- ۶ مورد دور زدن مکانیزمهای امنیتی- ۳۱ مورد اجرای کد از راه دور (RCE)- ۱۴ مورد افشای اطلاعات- ۸ مورد منع سرویس (DoS)- ۱۳ مورد جعل یا دستکاری داده (Spoofing)
این آمار شامل مشکلاتی که پیشتر در محصولات زیر وصله شدهاند نیست:- Mariner- Azure- Copilot- Microsoft Teams- Microsoft Partner Center
همچنین ۱۳۱ آسیبپذیری مربوط به Microsoft Edge/Chromium نیز جداگانه محسوب نشدهاند.
در این Patch Tuesday، مایکروسافت هیچ 0-day رسمی اعلام نکرده، اما همچنان آسیبپذیریهای مهمی وجود دارند که نیازمند توجه فوری هستند.
از جمله مهمترین موارد:آسیبپذیریهای متعدد در:- Microsoft Office- Word- Excel
که میتوانند به اجرای کد از راه دور منجر شوند؛ بسیاری از آنها حتی از طریق Preview Pane قابل سوءاستفاده هستند.
برخی از مهمترین CVEها:- CVE-2026-35421 آسیبپذیری RCE در Windows GDI که با باز کردن یک فایل مخرب Enhanced Metafile (EMF) در Microsoft Paint قابل بهرهبرداری است.
- CVE-2026-40365 آسیبپذیری اجرای کد از راه دور در Microsoft SharePoint Server. یک مهاجم احراز هویتشده میتواند از طریق شبکه روی سرور SharePoint کد اجرا کند.
- CVE-2026-41096 آسیبپذیری RCE در Windows DNS Client. یک DNS Server کنترلشده توسط مهاجم میتواند پاسخ DNS دستکاریشدهای به سیستم ویندوزی ارسال کند که باعث پردازش نادرست پاسخ، خرابی حافظه و در نهایت اجرای کد از راه دور میشود.
همچنین پژوهشگر امنیتی Nightmare Eclipse که ماه گذشته آسیبپذیریهای 0-day با نامهای BlueHammer و RedSun را افشا کرده بود، اعلام کرده تنها چند دقیقه پس از انتشار Patch Tuesday موفق به کشف دو آسیبپذیری روز-صفر جدید در ویندوز شده است:
- GreenPlasma آسیبپذیری افزایش سطح دسترسی
- YellowKey آسیبپذیری دور زدن BitLocker
جزئیات کامل هر آسیبپذیری و سیستمهای تحت تأثیر در گزارش رسمی مایکروسافت منتشر شده است.
#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازیhttps://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR
۴:۵۰