بررسی حملات BGP Hijacking
پروتکل Border Gateway Protocol (BGP) یکی از حیاتیترین اجزای مسیریابی در اینترنت است که وظیفه تعیین بهترین و بهینهترین مسیر برای انتقال دادهها از یک آدرس IP به آدرس دیگر را برعهده دارد. وقتی کاربری نام یک وبسایت را در مرورگر خود وارد میکند ابتدا سیستم DNS، آدرس IP مربوط به آن سایت را پیدا میکند، اما این BGP است که مسیر دقیق انتقال دادهها را بین شبکههای مختلف تعیین میکند تا اطلاعات به مقصد برسند. این پروتکل میان شبکههای بزرگ و مستقل که به آنها Autonomous Systems (AS) گفته میشود، ارتباط برقرار میکند و به روترها این امکان را میدهد تا مسیرهای دسترسی به IPها را با هم به اشتراک بگذارند و بهترین مسیر را انتخاب کنند. هرچند این سیستم به ظاهر ساده و کارآمد است، اما ضعفهایی نیز دارد که باعث شده است این پروتکل در برابر حملات سایبری حساس و آسیبپذیر باشد.
پروتکل Border Gateway Protocol (BGP) یکی از حیاتیترین اجزای مسیریابی در اینترنت است که وظیفه تعیین بهترین و بهینهترین مسیر برای انتقال دادهها از یک آدرس IP به آدرس دیگر را برعهده دارد. وقتی کاربری نام یک وبسایت را در مرورگر خود وارد میکند ابتدا سیستم DNS، آدرس IP مربوط به آن سایت را پیدا میکند، اما این BGP است که مسیر دقیق انتقال دادهها را بین شبکههای مختلف تعیین میکند تا اطلاعات به مقصد برسند. این پروتکل میان شبکههای بزرگ و مستقل که به آنها Autonomous Systems (AS) گفته میشود، ارتباط برقرار میکند و به روترها این امکان را میدهد تا مسیرهای دسترسی به IPها را با هم به اشتراک بگذارند و بهترین مسیر را انتخاب کنند. هرچند این سیستم به ظاهر ساده و کارآمد است، اما ضعفهایی نیز دارد که باعث شده است این پروتکل در برابر حملات سایبری حساس و آسیبپذیر باشد.
نسخه جدید Bitdefender GravityZone منتشر شد.
شرکت بیتدیفندر، در تاریخ ۲۷ مه ۲۰۲۵ نسخه جدید 6.42.1-2 از پلتفرم امنیتی GravityZone را منتشر کرد. مطابق با اطلاعات رسمی منتشر شده، این نسخه با هدف بهبود ثبات عملکرد و رفع مشکلی در عملکرد Update Server که در نسخههای پیشین مشاهده شده بود، عرضه شده است. این مشکل فنی، در برخی شرایط میتوانست فرآیند دریافت به روزرسانی توسط Agentها را دچار اختلال کند و همچنین، باعث ناپایداری در ارتباط بین Agentها و Control Center شود. در این راستا، با توجه به اهمیت پایداری و حفظ عملکرد صحیح در فرآیندهای بهروزرسانی، توصیه میشود تمامی سازمانهایی که از GravityZone استفاده میکنند، در اسرع وقت نسبت به نصب نسخهی جدید اقدام کنند. به روزرسانی به این نسخه، میتواند از بروز مشکلات احتمالی آتی جلوگیری کرده و عملکرد سیستمهای امنیتی را در سطح قابل قبولی حفظ کند.
شرکت بیتدیفندر، در تاریخ ۲۷ مه ۲۰۲۵ نسخه جدید 6.42.1-2 از پلتفرم امنیتی GravityZone را منتشر کرد. مطابق با اطلاعات رسمی منتشر شده، این نسخه با هدف بهبود ثبات عملکرد و رفع مشکلی در عملکرد Update Server که در نسخههای پیشین مشاهده شده بود، عرضه شده است. این مشکل فنی، در برخی شرایط میتوانست فرآیند دریافت به روزرسانی توسط Agentها را دچار اختلال کند و همچنین، باعث ناپایداری در ارتباط بین Agentها و Control Center شود. در این راستا، با توجه به اهمیت پایداری و حفظ عملکرد صحیح در فرآیندهای بهروزرسانی، توصیه میشود تمامی سازمانهایی که از GravityZone استفاده میکنند، در اسرع وقت نسبت به نصب نسخهی جدید اقدام کنند. به روزرسانی به این نسخه، میتواند از بروز مشکلات احتمالی آتی جلوگیری کرده و عملکرد سیستمهای امنیتی را در سطح قابل قبولی حفظ کند.
آشنایی با حملات Steganography
حملهی steganography نوعی حملهی سایبری است که در آن مهاجمان با استفاده از تکنیکهای مخفی سازی اطلاعات، کدهای مخرب یا دادههای حساس را داخل فایلهای به ظاهر بیخطر مانند تصاویر، ویدیوها، صداها یا متون معمولی پنهان میکنند. هدف این نوع حمله این است که فعالیتهای مخرب به راحتی توسط ابزارهای امنیتی سنتی شناسایی نشوند و مهاجم بتواند بدون جلب توجه، به هدف خود برسد. در این حمله، اطلاعات مخرب نه به شکل مستقیم و آشکار بلکه در قالب دادههای پنهان شده در فایلهای عادی منتقل میشوند. برای مثال، یک تصویر از منظرهای زیبا میتواند حاوی کدهای خطرناک باشد که پس از دانلود به صورت مخفیانه اجرا میشوند و سیستم قربانی را آلوده میکنند. به دلیل ماهیت پنهان این حملات، تشخیص و مقابله با آنها نیازمند بهرهگیری از ابزارها و روشهای تخصصی و مبتنی بر تحلیل دقیق دادهها است.
حملهی steganography نوعی حملهی سایبری است که در آن مهاجمان با استفاده از تکنیکهای مخفی سازی اطلاعات، کدهای مخرب یا دادههای حساس را داخل فایلهای به ظاهر بیخطر مانند تصاویر، ویدیوها، صداها یا متون معمولی پنهان میکنند. هدف این نوع حمله این است که فعالیتهای مخرب به راحتی توسط ابزارهای امنیتی سنتی شناسایی نشوند و مهاجم بتواند بدون جلب توجه، به هدف خود برسد. در این حمله، اطلاعات مخرب نه به شکل مستقیم و آشکار بلکه در قالب دادههای پنهان شده در فایلهای عادی منتقل میشوند. برای مثال، یک تصویر از منظرهای زیبا میتواند حاوی کدهای خطرناک باشد که پس از دانلود به صورت مخفیانه اجرا میشوند و سیستم قربانی را آلوده میکنند. به دلیل ماهیت پنهان این حملات، تشخیص و مقابله با آنها نیازمند بهرهگیری از ابزارها و روشهای تخصصی و مبتنی بر تحلیل دقیق دادهها است.
نسخه ۲۱.۵ فایروال Sophos منتشر شد.
شرکت سوفوس به طور رسمی از انتشار نسخه ۲۱.۵ فایروال خود خبر داد. این نسخه جدید که پس از یک دوره آزمایشی موفق منتشر شده است، اکنون در اختیار تمامی مشتریان قرار دارد. از مهمترین ویژگیهای این به روزرسانی میتوان به افزودن قابلیت Network Detection and Response (NDR) اشاره کرد؛ قابلیتی که برای نخستین بار به صورت یکپارچه در فایروال سوفوس ارائه شده است و توانایی شناسایی تهدیدات فعال در شبکه را به طور چشمگیری افزایش میدهد. این بهروزرسانی جدید علاوه بر بهبود چشمگیر عملکرد سیستم، آسیبپذیریهای امنیتی حیاتی را نیز برطرف کرده است. به همین دلیل، به کاربران توصیه میشود هرچه سریعتر نسخه جدید را نصب کنند. در این مطلب به بررسی دقیقتر قابلیتهای جدید افزوده شده در نسخه ۲۱.۵ فایروال Sophos خواهیم پرداخت و نحوه به روزرسانی به این نسخه را نیز شرح میدهیم.
شرکت سوفوس به طور رسمی از انتشار نسخه ۲۱.۵ فایروال خود خبر داد. این نسخه جدید که پس از یک دوره آزمایشی موفق منتشر شده است، اکنون در اختیار تمامی مشتریان قرار دارد. از مهمترین ویژگیهای این به روزرسانی میتوان به افزودن قابلیت Network Detection and Response (NDR) اشاره کرد؛ قابلیتی که برای نخستین بار به صورت یکپارچه در فایروال سوفوس ارائه شده است و توانایی شناسایی تهدیدات فعال در شبکه را به طور چشمگیری افزایش میدهد. این بهروزرسانی جدید علاوه بر بهبود چشمگیر عملکرد سیستم، آسیبپذیریهای امنیتی حیاتی را نیز برطرف کرده است. به همین دلیل، به کاربران توصیه میشود هرچه سریعتر نسخه جدید را نصب کنند. در این مطلب به بررسی دقیقتر قابلیتهای جدید افزوده شده در نسخه ۲۱.۵ فایروال Sophos خواهیم پرداخت و نحوه به روزرسانی به این نسخه را نیز شرح میدهیم.
بررسی حملات Cryptojacking
حمله Cryptojacking نوعی حمله سایبری است که در آن مهاجم بدون اطلاع کاربر، از منابع سختافزاری دستگاه او مانند پردازنده، حافظه و برق، برای استخراج ارز دیجیتال استفاده میکند. این نوع حمله معمولاً از طریق اجرای یک اسکریپت مخرب در مرورگر یا نصب بدافزار روی سیستم انجام میشود و برخلاف حملات دیگر، هدف آن سرقت اطلاعات نیست، بلکه بهرهبرداری پنهانی از قدرت محاسباتی دستگاه قربانی است. در این روش هکر با استفاده از توان پردازشی سیستم، معادلات پیچیده ریاضی را حل کرده و در ازای آن ارز دیجیتال دریافت میکند. در این حمله، مهاجم هیچ هزینهای برای تجهیزات و مصرف برق پرداخت نمیکند، اما در مقابل سیستم قربانی دچار کندی، افزایش مصرف منابع، کاهش عمر سختافزار و اختلال در عملکرد میشود. تشخیص زودهنگام و استفاده از راهکارهای امنیتی به روز نقش مهمی در مقابله با این تهدید دارد.
حمله Cryptojacking نوعی حمله سایبری است که در آن مهاجم بدون اطلاع کاربر، از منابع سختافزاری دستگاه او مانند پردازنده، حافظه و برق، برای استخراج ارز دیجیتال استفاده میکند. این نوع حمله معمولاً از طریق اجرای یک اسکریپت مخرب در مرورگر یا نصب بدافزار روی سیستم انجام میشود و برخلاف حملات دیگر، هدف آن سرقت اطلاعات نیست، بلکه بهرهبرداری پنهانی از قدرت محاسباتی دستگاه قربانی است. در این روش هکر با استفاده از توان پردازشی سیستم، معادلات پیچیده ریاضی را حل کرده و در ازای آن ارز دیجیتال دریافت میکند. در این حمله، مهاجم هیچ هزینهای برای تجهیزات و مصرف برق پرداخت نمیکند، اما در مقابل سیستم قربانی دچار کندی، افزایش مصرف منابع، کاهش عمر سختافزار و اختلال در عملکرد میشود. تشخیص زودهنگام و استفاده از راهکارهای امنیتی به روز نقش مهمی در مقابله با این تهدید دارد.
حملات باجافزاری با سوءاستفاده از آسیبپذیریهای شناخته شده Fortinet
در جدیدترین موج حملات سایبری، گروه باجافزاری Qilin با سوءاستفاده از دو آسیبپذیری مهم در محصولات Fortinet، حملات گستردهای را علیه سازمانهای مختلف آغاز کرده است. این آسیبپذیریها به مهاجمان امکان میدهند تا بدون نیاز به احراز هویت به دستگاههای آسیبپذیر دسترسی پیدا کرده و کدهای مخرب را از راه دور اجرا کنند. گروه Qilin که با نام Phantom Mantis نیز شناخته میشود، نخستین بار در سال ۲۰۲۲ فعالیت خود را با یک عملیات باجافزاری با نام Agenda آغاز کرد و تاکنون مسئولیت بیش از ۳۱۰ حمله را در وبسایت افشای اطلاعات خود در دارک وب برعهده گرفته است. در راستای این حملات، کارشناسان امنیتی هشدار دادهاند که سازمانها باید هر چه سریعتر اقدام به بهروزرسانی و تقویت امنیت زیرساختهای خود کنند تا از نفوذهای احتمالی جلوگیری شود.
در جدیدترین موج حملات سایبری، گروه باجافزاری Qilin با سوءاستفاده از دو آسیبپذیری مهم در محصولات Fortinet، حملات گستردهای را علیه سازمانهای مختلف آغاز کرده است. این آسیبپذیریها به مهاجمان امکان میدهند تا بدون نیاز به احراز هویت به دستگاههای آسیبپذیر دسترسی پیدا کرده و کدهای مخرب را از راه دور اجرا کنند. گروه Qilin که با نام Phantom Mantis نیز شناخته میشود، نخستین بار در سال ۲۰۲۲ فعالیت خود را با یک عملیات باجافزاری با نام Agenda آغاز کرد و تاکنون مسئولیت بیش از ۳۱۰ حمله را در وبسایت افشای اطلاعات خود در دارک وب برعهده گرفته است. در راستای این حملات، کارشناسان امنیتی هشدار دادهاند که سازمانها باید هر چه سریعتر اقدام به بهروزرسانی و تقویت امنیت زیرساختهای خود کنند تا از نفوذهای احتمالی جلوگیری شود.
انتشار PoC Exploit برای آسیبپذیری zero-day بحرانی در محصولات Fortinet
یک PoC Exploit برای آسیبپذیری بحرانی zero-day با شناسه CVE-2025-32756 منتشر شده است که چندین محصول Fortinet از جمله FortiVoice FortiMail، FortiNDR، FortiRecorder و FortiCamera را تحت تأثیر قرار میدهد. این آسیبپذیری با امتیاز 9.8 CVSS، امکان اجرای کد از راه دور(Remote Code Execution) بدون نیاز به احراز هویت را از طریق یک نقص Stack-Based Buffer Overflow فراهم میکند. این نقص از عدم بررسی صحیح دادهها هنگام پردازش پارامتر enc در کوکی AuthHash و در مسیر remote/hostcheck_validate ناشی میشود. مهاجم میتواند با ارسال یک درخواست HTTP POST دستکاری شده، بدون نیاز به احراز هویت، کنترل کامل دستگاه آسیبپذیر را به دست آورد. کد PoC منتشرشده با زبان Python نوشته شده و امکان بهرهبرداری از این آسیبپذیری را فراهم میسازد.
یک PoC Exploit برای آسیبپذیری بحرانی zero-day با شناسه CVE-2025-32756 منتشر شده است که چندین محصول Fortinet از جمله FortiVoice FortiMail، FortiNDR، FortiRecorder و FortiCamera را تحت تأثیر قرار میدهد. این آسیبپذیری با امتیاز 9.8 CVSS، امکان اجرای کد از راه دور(Remote Code Execution) بدون نیاز به احراز هویت را از طریق یک نقص Stack-Based Buffer Overflow فراهم میکند. این نقص از عدم بررسی صحیح دادهها هنگام پردازش پارامتر enc در کوکی AuthHash و در مسیر remote/hostcheck_validate ناشی میشود. مهاجم میتواند با ارسال یک درخواست HTTP POST دستکاری شده، بدون نیاز به احراز هویت، کنترل کامل دستگاه آسیبپذیر را به دست آورد. کد PoC منتشرشده با زبان Python نوشته شده و امکان بهرهبرداری از این آسیبپذیری را فراهم میسازد.