ا
️ افشای جزئیات نفوذ حنظله به موسسه مطالعات امنیت ملی اسرائیلگروه سایبری «حنظله» با انتشار بیانیهای از یک عملیات گسترده و طولانیمدت علیه مؤسسه مطالعات امنیت ملی (INSS) رژیم صهیونیستی خبر داد.
این گروه تاکید کرده است که توانسته برای سالها اسناد طبقهبندیشده این سازمان را بهطور خاموش بدست آورد.
بر اساس گفته حنظله، مهمترین بخش این عملیات در ۲۲ آوریل بوده که در آن زمان درهای ورودی ساختمان INSS در خیابان «حییم لوانون» بهطور ناگهانی باز شده و ۳ فرد نقابدار با سهولتی آشکار موفق شدهاند به زیرزمین طبقهٔ محرمانه (طبقه ۲-) این سازمان نفوذ کنند.
حنظله تأکید کرده که این نفوذ تنها یک رویداد مقطعی نبوده، بلکه حاصل سالها رخنه سیستماتیک است.
افشاگرانهترین بخش ادعای حنظله، اشاره به ضبط سالها جلسات مجازی این مؤسسه است. بر اساس این بیانیه، جلسات فوقمحرمانه INSS که در نرمافزار زوم برگزار میشد، برای سالها زیر نظر و ضبط حنظله قرار داشته است.
https://ble.ir/securation
۹:۵۷
۹:۵۷
۹:۵۷
️ آپاچی یه آپدیت امنیتی مهم برای وبسرور خودش منتشر کرده؛ نسخه 2.4.67 که از ۴ می ۲۰۲۶ در دسترس قرار گرفته. این آپدیت برای رفع چند آسیبپذیری امنیتی اومده و مهمترینش مربوط به ماژول HTTP/2 هست؛ همون بخشی که اگر روی سرور فعال باشه، ممکنه در نسخه قبلی یعنی 2.4.66 باعث کرش کردن سرویس یا در شرایط خاص حتی اجرای کد از راه دور بشه. به زبان سادهتر، اگر کسی سروری با Apache نسخه آسیبپذیر داشته باشه و HTTP/2 هم فعال باشه، بهتره این آپدیت رو جدی بگیره.فعلاً گفته شده اکسپلویت عمومی برای این مشکل منتشر نشده، ولی چون Apache روی تعداد خیلی زیادی از سرورها استفاده میشه، طبیعی که جامعه امنیتی سریع نسبت بهش حساس شده. توصیه اصلی هم اینه که تیمهای فنی، مخصوصاً کسایی که روی نسخه 2.4.66 هستن، وضعیت سرورهاشون رو چک کنن و در صورت نیاز سریع به 2.4.67 آپدیت کنن. اینجور باگها شاید برای همه مستقیم خطر فوری نسازن، ولی وقتی روی زیرساختهای پرتعداد و عمومی باشن، بهتره قبل از اینکه تبدیل به دردسر واقعی بشن، بسته بشن.
https://ble.ir/securation
۱۱:۲۳
️ CVE-2026-21858 (Ni8mare) در n8n یک آسیبپذیری بحرانی از نوع RCE بدون احراز هویت است که به مهاجم اجازه میدهد بدون لاگین، کد دلخواه را روی سرور اجرا کند. علت اصلی: ترکیب ضعف در احراز هویت (Broken Auth) و اعتبارسنجی ورودی (Input Validation) که باعث میشود داده کاربر مستقیماً وارد مسیر اجرای کد شود. نحوه حمله: مهاجم با ارسال یک درخواست HTTP مخرب به endpointهای execution یا webhook، payload خود را در workflow اجرا کرده و به shell، متغیرهای محیطی و سرویسهای متصل دسترسی پیدا میکند. چرا خطرناک است؟بدون نیاز به دسترسی اولیه (Unauthenticated)امکان کنترل کامل سرورقابلیت pivot به دیتابیس، API و cloudمناسب برای ایجاد persistence محدوده تأثیر:تمام instanceهای n8n که بهروز نشده و در اینترنت در دسترس هستند. اقدامات ضروری:بروزرسانی فوریمحدودسازی دسترسی به endpointهااستفاده از auth قوی / VPN / reverse proxyبررسی لاگها برای رفتارهای مشکوک جمعبندی: یک RCE بسیار خطرناک که بهدلیل ماهیت n8n میتواند به compromise زنجیرهای کل زیرساخت منجر شود.https://ble.ir/securation
۱۹:۱۲
️ آسیبپذیری RCE در ISC DHCP Server (روی Debian 13) یک ضعف بحرانی است که از طریق OMAPI بدون احراز هویت + Statement Injection به مهاجم اجازه میدهد کد دلخواه را از راه دور اجرا کند.در این سناریو، مهاجم بدون نیاز به لاگین به سرویس DHCP متصل میشود (OMAPI بدون auth) و با دستکاری تنظیمات مربوط به یک کلاینت (مثلاً از طریق MAC)، یک payload مخرب را در قالب دستور اجرایی تزریق میکند. سپس با ارسال یک درخواست DHCP (مثل DHCPDISCOVER)، این payload در سمت سرور اجرا شده و یک reverse shell به سمت مهاجم برقرار میشود.خروجی نشان میدهد که مهاجم موفق شده shell دریافت کند و حتی دسترسی root بگیرد، که یعنی compromise کامل سیستم. این موضوع بسیار خطرناک است چون DHCP معمولاً در سطح شبکه داخلی اجرا میشود و میتواند نقطه ورود مناسبی برای حملات lateral movement باشد.ریشه مشکل ترکیبی از عدم احراز هویت در OMAPI و عدم اعتبارسنجی مناسب ورودیها است که اجازه میدهد داده کاربر مستقیماً به دستور قابل اجرا تبدیل شود.برای کاهش ریسک، باید دسترسی به OMAPI محدود یا غیرفعال شود، احراز هویت قوی فعال گردد، سرویس DHCP از شبکههای غیرمجاز ایزوله شود و سیستم فوراً patch یا harden شود. این آسیبپذیری نمونهای واضح از تبدیل یک سرویس زیرساختی ساده به نقطه نفوذ کامل به سیستم است.https://ble.ir/securation
۹:۳۶
️ آسیبپذیری CVE-2026-32710 در MariaDB یک ضعف بحرانی از نوع Heap Out-of-Bounds است که میتواند به Privilege Escalation پایدار و در نهایت UDF RCE منجر شود. در این حمله، مهاجم با یک اکانت سطح دسترسی پایین مثل SELECT-only، ساختارهای مربوط به privilege را در حافظه overwrite میکند و سطح دسترسی خود را به ALL PRIVILEGES ارتقا میدهد.بعد از گرفتن دسترسی کامل، مهاجم از قابلیت UDF استفاده میکند تا یک shared library مخرب داخل plugin_dir قرار دهد و از طریق SQL روی سیستمعامل command اجرا کند. این یعنی compromise کامل MariaDB میتواند مستقیماً به اجرای کد روی سرور ختم شود.ریشه مشکل در corruption حافظه و ضعف در مدیریت ساختارهای access control است که باعث میشود مرز بین کاربر محدود و ادمین از بین برود. نکته خطرناک اینجاست که exploitation فقط به escalation ختم نمیشود و میتواند persistence هم ایجاد کند. نسخههای 11.4.x MariaDB (تأییدشده روی 11.4.9) تحت تأثیر هستند و بروزرسانی فوری، محدود کردن FILE privilege و مانیتورینگ UDFهای جدید ضروری است.https://ble.ir/securation
۶:۵۰
️آسیب پذیری جدید بانام Dirty Frag که هنوز patch نشده و امکان Local Privilege Escalation (LPE) تا سطح root را فراهم میکند. این آسیبپذیری روی توزیعهایی مثل Ubuntu، RHEL و Fedora تأثیر دارد و نکته خطرناک اینجاست که PoC عمومی آن هم منتشر شده است. مشکل از corruption در page cache و مدیریت fragmentها داخل kernel است که باعث میشود مهاجم از user عادی به root برسد. exploit فعلی بسیار ساده و پایدار گزارش شده و حتی با یک command هم میتواند root shell بدهد. فعلاً patch رسمی منتشر نشده و همین موضوع ریسک را بالا برده است؛ چون هر مهاجمی که یک foothold کوچک روی سیستم داشته باشد، میتواند سریع کل سیستم را takeover کند. برخی mitigation های موقت مثل غیرفعالکردن esp4، esp6 و rxrpc پیشنهاد شدهاند.https://ble.ir/securation
۹:۱۸
️ آسیب پذیری CVE-2026-7270 در FreeBSD یک Local Privilege Escalation (LPE) است که به مهاجم اجازه میدهد از یک user عادی به root برسد. برای این مورد exploit عمومی هم منتشر شده و ریسک سوءاستفاده را بالا برده است.مشکل از ضعف در مدیریت حافظه و کنترل دسترسی داخل kernel FreeBSD ناشی میشود و مهاجم میتواند با اجرای syscallهای خاص، privilege های خود را ارتقا دهد. در عمل، اگر مهاجم یک shell محدود روی سیستم داشته باشد، میتواند کل سیستم را takeover کند.
بروزرسانی فوری FreeBSD توصیه میشود.
https://ble.ir/securation
۱۹:۱۸
آسیبپذیری NGINX (CVE-2026-42945)این یه آسیبپذیری بحرانی از نوع سرریز بافر پشته (heap buffer overflow) هست که تو ماژول ngx_http_rewrite_module در NGINX کشف شده. از سال ۲۰۰۸ وجود داشته، یعنی ۱۸ سال بدون شناسایی مونده بود.
امتیاز CVSS: 9.2 از ۱۰ (بحرانی)
اگه از کانفیگ rewrite در nginx استفاده میکنید، وب سرور شما در معرض RCE هست.
نسخههای آسیبپذیر: NGINX از نسخه 0.6.27 تا 1.30.0
کاشف: شرکت DepthFirst با استفاده از سیستم خودکار تحلیل کد منبع
راهحل:۱. ارتقاء به NGINX نسخه 1.30.1 (پایدار) یا 1.31.0 (اصلی)۲. اگه ارتقاء فوری ممکن نیست: قسمتهای کانفیگ بدون نام ($1, $2) رو با نامگذاری شده (term) جایگزین کنید.
جالبه که PoCمنتشر شده و این آسیبپذیری همراه با دو CVE دیگه در لینوکس یه زنجیره حمله کامل از اینترنت تا دسترسی روت لوکال در وب سرور رو تشکیل میده.یعنی هکر صفر تا صد کار رو زیر یک دقیقه میتونه انجام بده.
https://ble.ir/securation
۱۶:۲۱
️ آسیب پذیری در Next.jsبا شناسه CVE-2026-44578:یک آسیبپذیری Server-Side Request Forgery (SSRF) با امتیاز CVSS 8.6 در هندلر WebSocket ارتقای Next.js شناسایی شده که به مهاجمان بدون احراز هویت اجازه میدهد درخواستهای HTTP داخلی دلخواه ارسال کنند.
تأثیر:امکان دسترسی به متادیتای کلود (مانند AWS IMDS، Google Metadata و غیره)، سرورهای داخلی، credentialها و سرویسهای حساس پشت فایروال
نسخههای آسیبپذیر:نسخههای Next.js 13.4.13 و بالاترتمام نسخههای 14.xنسخههای 15.x تا قبل از 15.5.16نسخههای 16.0.0 تا 16.2.4
راهحل:فوری نسخه خود را ارتقا دهید:به 15.5.16 یا 16.2.5 (و بالاتر)
وضعیت انتشار:طبق نقشه حرارتی Modat Magnify، بیش از ۷۵۵ هزار instance از Next.js در ۱۹۶ کشور فعال است که بخش قابل توجهی از آنها احتمالاً در معرض خطر قرار دارند.
توصیه امنیتی:اگر از Next.js در محیط Production استفاده میکنید، اولویت اول را به پچ فوری بدهید.بررسی کنید که آیا WebSocket در اپلیکیشن شما فعال است یا خیر.
https://ble.ir/securation
۲۱:۴۰
️ ssh-keysign-pwn یک exploit برای Linux Kernel است که با سوءاستفاده از bypass در ptrace_may_access و pidfd_getfd، امکان سرقت فایلهای حساسی مثل SSH host private keys و /etc/shadow را فراهم میکند. این مشکل روی kernelهای قبل از patch مربوط به commit 31e62c2ebbfd اثر دارد. مهاجم میتواند بدون دسترسی root، به file descriptorهای processهای privileged مثل ssh-keysign دسترسی پیدا کند و کلید خصوصی SSH سرور یا هش پسوردها را استخراج کند. این موضوع میتواند به impersonation سرور و compromise کامل زیرساخت ختم شود. بروزرسانی فوری kernel و محدود کردن دسترسی local کاربران ضروری است.https://ble.ir/securation
۲۱:۰۴
️هشدار: گزارش جدیدی نشان میدهد در سه سال گذشته، بیش از ۱۵ هزار تلاش برای ردیابی موقعیت کاربران در سرتاسر جهان از طریق سوءاستفاده از زیرساخت شبکه مخابراتی شناسایی شده است.
این حملات بدون نصب هیچ نرمافزاری روی گوشی قربانی و بدون هیچ نشانهای روی صفحه دستگاه انجام شدهاند.
مکانیزم فنی در دو لایه۱. پروتکل SS7 : پروتکل علامتدهی طراحیشده در دهه ۱۹۷۰ برای مسیریابی تماس، پیامک و رومینگ بینالمللی، که بر پایه «اعتماد ضمنی» میان اپراتورها بنا شده است. هر اپراتور متصل میتواند با درخواستهایی مانند ProvideSubscriberInfo یا SendRoutingInfoForSM، موقعیت یک مشترک را پرسوجو کند. پاسخ شامل شناسه سلول (Cell ID) و کد ناحیه (LAC) است که با ترکیب آنها، موقعیت تقریبی کاربر (از چند ده متر در محیطهای متراکم شهری تا چند کیلومتر در نواحی کمجمعیت) قابل تعیین میشود.۲. پروتکل Diameter : جایگزین SS7 در شبکههای ۴G و بیشتر شبکههای ۵G، طراحیشده برای احراز هویت، صدور مجوز و حسابداری (AAA). این پروتکل قرار بود ضعفهای امنیتی SS7 را برطرف کند، اما گزارش نشان میدهد همان الگوی سوءاستفاده، با درخواستهایی مانند Update-Location-Request، در آن نیز قابل اجراست. روش سیمجکینگمهاجم یک پیامک دودویی از نوع OTA (Over-the-Air) به سیمکارت قربانی ارسال میکند. این پیامک، یک برنامه درون سیمکارت (معمولاً S@T Browser یا WIB) را فعال میکند و به آن دستور میدهد موقعیت دستگاه را، از طریق پیامک پاسخ، به مهاجم ارسال نماید. چون این پیامک مستقیماً به سیمکارت ارسال میشود و نه به برنامه پیامرسان گوشی، روی صفحه نمایش داده نمیشود و در صندوق پیام ثبت نمیگردد. نقش اپراتورهای جعلیشرکتهای مهاجم با اجاره یا جعل «عنوان سراسری» (Global Title)، یعنی نشانی اپراتور در شبکه سیگنالینگ بینالمللی، خود را بهعنوان اپراتور قانونی به شبکه معرفی میکنند. بر اساس گزارش ها، در یکی از عملیات شناساییشده، بیش از ۵۰۰ تلاش ردیابی در تایلند، آفریقای جنوبی، نروژ، بنگلادش، مالزی و چند کشور دیگر ثبت شده است.پیامد برای کاربر• بهروز بودن سیستمعامل گوشی، مانع این حمله نیست؛ سطح حمله، شبکه و سیمکارت است، نه دستگاه.• نسل جدید شبکه بهتنهایی، حریم خصوصی را تضمین نمیکند. توصیههای فنی۱. ارتباطات حساس را از طریق پیامرسان دارای رمزنگاری سرتاسری انجام دهید.۲. احراز هویت دو مرحلهای را با رمز یکبار مصرف زمانمحور (TOTP) یا کلیدهای سختافزاری FIDO2/WebAuthn فعال نمایید؛ از پیامک بهعنوان روش دوم پرهیز کنید.۳. در سطح اپراتوری، اجرای توصیهنامههای امنیت سیگنالینگ GSMA (مانند FS.11 برای SS7) و استقرار دیوار آتش سیگنالینگ (Signaling Firewall) برای فیلتر درخواستهای مشکوک ضروری است.۴. پیامکهای نامفهوم، اختلال موقت در آنتندهی یا فعالیت غیرمنتظره سیمکارت را به مراجع رسمی گزارش دهید.این توصیهها بهتنهایی تمامی روشهای ردیابی در سطح شبکه را خنثی نمیکنند، اما لایهای از حفاظت ایجاد میکنند که در حال حاضر برای بسیاری از کاربران وجود ندارد.
#هوشتهدیدات_سایبری#مرکز_فرماندهی_عملیات_امنیت_سایبری#مرکز_ملی_فضایمجازی
https://ble.ir/Securation
۱۰:۵۷
how-openai-uses-codex.pdf
۷.۶۷ مگابایت
️ کمپانی OpenAi یک PDF منتشر کرده در مورد اینکه چطور از Codex به صورت داخلی در تیمهای امنیت، زیرساخت، فرانتاند و API بصورت هر روزه استفاده میکنند.https://ble.ir/securation
۱۴:۴۰
️خطاب به آنان که اینترنت را قطع میکنند!بهای خاموش کردن یک ملت را تاریخ از شما خواهد گرفت.آگاهی دکمه خاموشی ندارد.اینترنت ابزار تفریح یا تجمل نیست؛ حافظه است. کار است. آموزش است. زبان است. ارتباط است. امکان مشارکت در جهان است. این محدودیتها بیش از آنکه طبقات برخوردار را متوقف کنند،طبقات ضعیفتر را فرسوده کرده اند. کسی که توان مالی بیشتری دارد،راه دور زدن پیدا کرده؛ اما فشار اصلی بر دوش دانشجو،فریلنسر،فروشندهٔ کوچک،نوجوان جویای آموزش،و خانوادهای ست که اینترنت برایش ابزار بقاست،نه امتیاز لوکس. وقتی استاد،پزشک یا طبقهٔ برخوردار میتواند به جهان آزاد اطلاعات وصل شود،اما دانشجو،نوجوان بااستعداد،یا کارگر کمدرآمد باید در اینترنت محدود و کند باقی بماند،در عمل فرصت رشد ذهنی خریدوفروش میشود.و این،فقط شکاف اقتصادی ایجاد نمیکند؛شکاف شناختی تولید میکند.در گذشته،سواد در انحصار بود.بعد دانشگاه در انحصار بود. امروز اتصال به امتیاز انحصاری تبدیل شده!چطور این عقب گرد را توجیه می کنید؟قطعی اینترنت مشروعیت خودتان را از مدار خارج میکند.در دنیای جدید،قدرت فقط با منابع طبیعی یا ابزار امنیتی سنجیده نمیشود؛قدرت واقعی یعنی توانایی نگه داشتن مغزها،سرمایهها،متخصصان و اعتماد عمومی درون کشور. چطور این بدیهیات را نمیدانید؟چطور هنوز نمیفهمید که انسان آگاه امروز را نمیتوان با منطق انزوا اداره کرد؟چطور تصور میکنید میشود ملتی را که جهان را دیده،آگاه شده،مقایسه کرده و پیچیدگی زندگی مدرن را فهمیده را می توان دوباره به زیست محدود و خاموش برگرداند؟ آگاهی، پدیدهای برگشتناپذیر است. اما ذهنی که یکبار «امکان دیگرگونه زیستن»را دیده،دیگر هرگز به ناآگاهی سابق بازنمیگردد. با فرسوده کردن سرمایهٔ روانی مردم قدرتمند نیستید و نمی مانید.قدرت فقط توانایی کنترل نیست؛توانایی خلق جامعهایست که مردمش هنوز میل ماندن،ساختن و خیالپردازی دربارهٔ آینده را داشته باشند. قطع اینترنت شاید در ظاهر یک تصمیم امنیتی باشد،اما در لایهای عمیقتر،شبیه این است که برای آرام کردن یک اتاق،اکسیژن را کم کنید. هزاران کسبوکار کوچک دچار اضطراب شده اند، دانشجویان از جهان علمی عقب افتاده اند.برنامهنویس،طراح،مترجم،پژوهشگر،مدرس،هنرمند و کارآفرین،احساس میکنند در حال زیستن پشت دیواری نامرئی اند.انسان آگاه امروز را نمیتوان با منطق دیوار اداره کرد. میشود سرعت رودخانه را کم کرد، اما نمیشود برای همیشه،جلوی رسیدن آب به دریا را گرفت. و شاید خردمندانهتر این باشد که بهجای جنگیدن با جریان زمانه،و استفاده از زور و ارعاب و توهم،یاد بگیریم چگونه امنیت و اعتماد بسازیم.در بلندمدت،از ضعیف شدن ذهن جمعی مردم سود نخواهید برد.بردهداری مدرن دقیقاً همیشه با زنجیر و شلاق نمیآید. گاهی با محروم نگه داشتن بخشی از جامعه از ابزار رشد میآید.جامعهای که اینترنت آزاد را به امتیاز طبقاتی تبدیل کند،در واقع دارد آینده را میان طبقات توزیع میکند. یعنی از همین امروز تعیین میکند چه کسی امکان جهش خواهد داشت و چه کسی باید فقط برای بقا بجنگد. میدانم که فرسودگی روان مردم،خوابتان را آشفته نمیکند؛اما اگر رنج مردم هم قانعتان نمیکند،دستکم از منظر قدرت به ماجرا نگاه کنید و به داد خودتان برسید!
https://ble.ir/securation
۱۸:۵۸