🔴 دیروز بازیگران تهدید Scattered Lapsus$ Hunters (SLH) مدعی نفوذ به شرکت امنیت سایبری Resecurity شدن و برای اثبات نفوذشون یکسری دیتا شامل اطلاعات کارمندان، ارتباطات داخلی و گزارش تهدید و ... رو منتشر کردن. مثلا در یک مورد ارتباطات بین کارکنان Resecurity و پرسنل Pastebin در مورد محتوای مخربی که در این پلتفرم به اشتراک گذاشته شده بود رو منتشر کردن.

هکرها اعلام کردن که این حمله تلافی‌ جویانه رو در برابر تلاشهای Resecurity برای مهندسی اجتماعی و یادگیری درباره ی عملیات‌شون انجام دادن.

هکرها گفتن که کارکنان Resecurity، در طول فروش یک دیتابیس مالی از ویتنام، وانمود کردن که خریدار هستن و به دنبال نمونه‌های رایگان و اطلاعات بیشتر بودن.

البته سخنگوی ShinyHunters گفته که در این هک نقشی نداشته.

کمپانی Resecurity هم گفته که هکرها زیرساختهای قانونی این شرکت رو هک نکردن بلکه به یک هانی پات نفوذ کردن.

هانی‌پات سیستمی یا اکانتی هستش که ‌بطور عمدی در معرض دید و تحت نظارت قرار میگیره و برای فریب حمله‌کنندگان طراحی شده و امکان مشاهده و آنالیز حمله کنندگان رو بدون اینکه ریسک داده‌ یا زیرساخت واقعی وجود داشته باشه، میده.

در 21 نوامبر تیم DFIR شرکت Resecurity، فعالیت های ریکان روی سیستمهای عمومی اشون رو شناسایی کردن و چندین آدرس IP مرتبط با این عامل رو ثبت کردن، از جمله آدرس‌هایی که از مصر و سرویسهای Mullvad VPN میان.

در ادامه یک حساب هانی پات در یک محیط ایزوله با داده های مصنوعی ایجاد کردن که خیلی شبیه به داده های دنیای واقعی بوده، تا فعالیت های بازیگر تهدید رو رصد کنن. فعالیت بازیگر تهدید در دسامبر بیشتر شده و شروع به استخراج داده ها کردن.

با توجه به مشکل اتصال پروکسی، هکرها در چندین مورد از IP واقعی استفاده کردن که به مجریان قانون گزارش شده.

با افزایش فعالیت هکرها، Resecurity هم داده های جعلی بیشتری رو اضافه کرده که منجر به شکست بیشتر OPSEC هکرها شده.

در واکنش به این خبر، هکرها گفتن که اطلاعات جدیدی رو بزودی منتشر میکنن.

#بازیگران_تهدید
#ScatteredLAPSUSHunters #Resecurity #SLH #opsec

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 اگر کنجکاو هستید عادت های دیجیتال شما و ابزارها و پلتفورم هایی که برای ارتباط و وب گردی استفاده میکنید چقدر امن هستن وضعیت شما مبتنی بر ریسک های موجود چطوره ، میتونید از این سایت استفاده کنید.

ارزش این سایت در واقع گردآوری و دسته بندی نکات امنیتی هست!

https://digital-defense.io/

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 یک هکر آلمانی بنام Martha Root در حین کنفرانس CCC، یک ‌سایت دوست یابی متعلق به گروه‌های نژادپرست سفیدپوست رو حذف کرد.

ایشون به این ‌سایت نفوذ کرده و با استفاده از چت‌بات هوش مصنوعی خودش، سعی کرد تا اطلاعات هر چه بیشتری از کاربران رو استخراج کنه. بعدش همه پروفایلها رو دانلود کرده. در ادامه هویت مالک ‌سایت رو کشف و در نهایت، تمام داده‌های ‌بدست‌ اومده رو منتشر کرده.

#39C3

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 دوره ی تست نفوذ، Georgia Weidman بصورت رایگان از طریق یوتیوب قابل دسترس هستش.

ایشون نویسنده کتاب "Penetration Testing: A Hands-On Introduction to Hacking" هستن.

#دوره

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 یک بازیگر تهدید با نام 1011، مدعی شده، تونسته از طریق Brute-force روی یک سرور توسعه NordVPN، بیش از ۱۰ دیتابیس، حاوی اطلاعات حساس مانند کلیدهای API مربوط به Salesforce و توکن‌های Jira رو بدزده.

سرویس NordVPN هم این ادعا رو تکذیب کرده و گفته که داده ها مربوط به یک محیط تست و ایزوله و حاوی داده های ساختگی بوده. در حقیقت این سرویس با فروشنده ای قرار بود همکاری کنه، این محیط تست رو ایجاد کردن اما چون قراردادی امضاء نشده، بنابراین داده ها و ... همگی ساختگی بوده. در نهایت هم با این فروشنده توافقی نشده و رفتن سراغ یکی دیگه.

در سال 2019، هکرها تونستن به سرورهای NordVPN و TorGuard نفوذ کنن و با دسترسی کامل Root، اطلاعات حساسی رو از این ارائه دهندگان VPN بدزدن. در واکنش به این حادثه، NordVPN برنامه ی باگ بانتی خودش رو راه اندازی کرد./ منبع

#VPN #NordVPN

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 شرکت Ledger، سازنده کیف پول سخت افزاری به برخی از مشتریان خودش اطلاع داده که نام و اطلاعات تماس‌شون در یک حادثه امنیتی مرتبط با Global-e به خطر افتاده.

اگه از این کیف پول سخت افزاری استفاده میکنید و با استفاده از Global-e به ‌عنوان Merchant of Record خرید انجام دادید، تحت تاثیر این حادثه هستید، در غیر اینصورت همه ی سامانه های نرم افزاری و سخت افزاری این پلتفرم امن هستن.

پلتفرم Global-e وظایفی مانند فرآیند پرداخت، پردازش سفارش، بومی‌سازی، محاسبه مالیات و عوارض، و رعایت الزامات قانونی رو برای چندین فروشگاه و برند آنلاین بر عهده داره. از جمله: Bang & Olufsen، adidas، Disney، Givenchy، Hugo Boss، Ralph Lauren، Michael Kors، Netflix و M&S.

پلتفرم Global-e اعلام کرده که در حال حاضر تمامی افراد بالقوه آسیب‌دیده و نهادهای نظارتی مرتبط رو مستقیما مطلع و تأکید کرده که هیچگونه اطلاعات پرداخت یا اعتبارنامه‌های حساب کاربری در این حادثه به خطر نیفتاده.

توصیه شده مراقب سوء استفاده از این حمله در قالب حملات فیشینگ و مهندسی اجتماعی باشید./ منبع

#کیف_پول #ارز_دیجیتال

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 نسخه ی فارسی این سایت هم به همت آقای حمید کشفی راه اندازی شده که میتونید ازش استفاده کنید.

https://amni.at/

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 قبلا سرویس وب تاریک (Dark web) گوگل رو معرفی کرده بودم، که کارش این هستش که داده های منتشر شده در دارک وب و ... رو میگرده، اگه اطلاعات شما داخلش بود، برای شما هشدار میده. (البته این سرویس داره بسته میشه.)

امروز صبح، یک هشداری گرفتم که ایمیل و نام کاربری توییتر من در یک نشتی با عنوان "Cryptocurrency Twitter Follower Data" وجود داره. با گوگل کردن جزییاتی از این دیتا نتونستم بدست بیارم.

نکته کنکوری قضیه این هستش که اگه این دیتا پابلیک بشه (شاید شده) افراد میتونن از ایمیل من به توییتر من و از توییتر من به ایمیل من برسن و هر کدوم از اینها درهای جدیدی از OSINT رو باز میکنه.

از طرفی هم داده ها مشخصا برای ارزهای دیجیتال هستش، بنابراین میتونم طعمه ی فیشینگ (ایمیل و ...) هم بشم.

از طرف دیگه خیلی از ما، چند سال پیش، در جریان همستر و ... برای گرفتن توکن بیشتر، پستهایی رو در توییتر با موضوع ارز دیجیتال منتشر کردیم یا پروژه هایی رو فالو و ... کردیم و بنابراین ممکنه در این لیست باشیم.

خلاصه مراقبت کنید.

#ارز_دیجیتال #توییتر #نشت_داده
#Leak #Twitter #Cryptocurrency

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری بحرانی در n8n:

یک آسیب پذیری بحرانی با شناسه ی CVE-2026-21858 و با امتیاز 10 در n8n گزارش و اصلاح شده که با نام Ni8mare هم شناخته میشه.

آسیب پذیری به مهاجم اجازه میده از طریق اجرای برخی گردش‌کارهای مبتنی بر فرم، به فایل‌های موجود روی سرور زیرساخت دسترسی پیدا کنه. یک گردش‌کار آسیب‌پذیر میتونه به یک مهاجم راه دور و بدون احراز هویت، دسترسی بده. این موضوع ممکن منجر به افشای اطلاعات حساس ذخیره‌شده روی سیستم بشه و بسته به نحوه‌ی استقرار و استفاده از گردش‌کارها، زمینه‌ی نفوذهای بیشتر رو هم فراهم کنه.

نسخه های آسیب پذیر: 1.65.0 و قبل از اون.
نسخه های اصلاح شده: 1.121.0 و بالاتر ( نسخه ی 1.121.0 در نوامبر منتشر شده).

طی این دو هفته، n8n با این آسیب پذیری در مجموع چهار آسیب پذیری بحرانی رو اصلاح کرده:
- آسیب پذیری CVE-2025-68613: مهاجم احرازهویت شده، امکان RCE داره.
- آسیب پذیری CVE-2025-68668 یا N8scape: به کاربر احراز هویت‌شده با مجوز ایجاد یا ویرایش گردش‌کارها، اجازه میده دستورات دلخواه رو روی سیستم میزبان n8n اجرا کنه.
- آسیب پذیری CVE-2026-21877: به مهاجم احراز هویت‌شده اجازه میده از طریق سرویس n8n کد غیرقابل‌اعتماد اجرا کرده و کنترل کامل نمونه رو بدست بگیره.

#آسیب_پذیری_امنیتی
#n8n #cve #Ni8mare

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 از 21 تا 24 دی، نخستین هفته ی ملی امنیت فناوری اطلاعات در تهران با شعار "امنیت دیجیتال، زیرساخت اعتماد ملی" برگزار میشه.

نشست‌های تخصصی که در قالب پنل برگزار میشه:

- 21 دی: امنیت فناوری اطلاعات در شبکه بانکی
- 21 دی: نقش دانشگاه‌ها در توسعه فناوری امنیت
- 22 دی: تهدیدات نوین سایبری در سایه هوش مصنوعی
- 22 دی: حکمرانی داده و الزامات امنیتی
- 23 دی: توسعه صنعت افتای داخلی
- 23 دی: امنیت اطلاعات در شبکه‌های صنعتی

کارگاه‌ها:
- 21 دی - 9-12 - کارگاه امنیت در شبکه‌های صنعتی (مرکز افتا)
- 22 دی - 8:30-10 - مدیریت دارایی، مدیریت ریسک و نشت اطلاعات (شرکت فناوری اطلاعات رجاء)
- 22 دی - 10:30-12 - شبیه‌سازی حملات (BAS): سنجش اثربخشی تشخیص تهدیدات سایبری در مرکز عملیات امنیت

روزهای 23 و 24 دی‌ هم نمایشگاهی برگزار میشه که بازدید از اون برای عموم آزاد است. این نمایشگاه با مشارکت 40 شرکت بخش خصوصی فعال در زمینه تولید محصولات بومی امنیت سایبری و شرکتهای ارائه دهنده خدمات افتایی برگزار میشه.

جهت کسب اطلاعات بیشتر، میتونید از سایت رویداد، بازدید کنید.

یک خبر دیگه از افتا هم اینکه، دکتر نوروززاده، رئیس مرکز راهبردی افتا گفته:

- تربیت، جذب، حفظ و نگه‌داشت نیروی متخصص امنیت سایبری از دغدغه‌های مهم دستگاه‌ها و سازمان‌ها و بخش خصوصی است.

- طرحی رو ستاد توسعه علوم و فن‌آوری افتا به سازمان امور اداری و استخدامی داده تا تخصیص و تعیین حقوق نیروی متخصص امنیت سایبری از شمول قوانین حقوق دولتی خارج بشه تا بتونه با تامین انگیزه مالی نیروی امنیت سایبری، حقوق پرسنل بخش امنیت سایبری بخش‌های دولتی رو به بخش خصوصی نزدیک کنه.

- پیکربندی نامناسب، سهل انگاری نیروی انسانی و نقض سیاست‌های امنیت سایبری عمده دلایل بروز حوادث سایبری است که لازمه با مدیرانی که با وجود آئین نامه‌ها و ابلاغیه‌های مرکز مدیریت راهبردی افتا، ترک فعل کردن، برخورد قانونی صورت بگیره.

- برای رهایی از تسلط سایبری دشمنان، ضروری است تا هر چه بیشتر از محصولات سایبری تولید داخل استفاده و جایگزین محصولات خارجی بشه.

- همچنین تاسیس و راه‌اندازی مراکز ملی هوش تهدید (CTI)، تشخیص و پاسخ به تهدیدات (MDR) و تبادل و تحلیل اطلاعات تهدیدات (ISAC) از دیگر طرح‌ها و برنامه‌های آتی مرکز افتا هستش./ منبع

#ایران #افتا

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 اینترنت بین‌الملل در ایران مدتی با اختلال شدید و قطع‌ و ‌وصلهای مکرر همراه بود و چند روزی هست که تا حدی در دسترس قرار گرفته. این مدت، بدلیل همین شرایط فعالیتی در کانال نداشتیم. راستش بیشتر از هر چیز، دل‌ودماغش نبود؛ اینترنت و این مسائل شاید بهانه‌ای باشه، ولی حال‌وهوای این روزها رو همه‌مون حس کردیم.

به هر حال، همه‌مون ایرانی هستیم و دلمون برای ایران می‌تپه.

این اواخر، چند نفر از دوستان لطف داشتن و پیگیر فعالیت کانال بودن و گفتن که دوست دارن این روزها هم کانال فعال باشه؛ شاید برای چند ساعت، ذهنشون از استرس و غم دور بشه. آدم‌ها شبیه هم نیستن و هر کسی راه خودش رو برای کنار اومدن داره.

سعی می‌کنم اخبار امنیت سایبری این مدت رو به‌ تدریج پوشش بدم تا دوستانی که به تلگرام دسترسی دارن، از این طریق دنبال کنن.

از خودتون مراقبت کنید.

مخلص همه. 🖤

#ایران

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 محققین امنیتی متوجه شدن که در اندروید و IOS، وقتی کاربری روی یک لینک پروکسی کلیک میکنه، تلگرام یک کانکشن تست با سرور پروکسی برقرار میکنه. مشکل این کانکشن تست این هستش که با IP واقعی انجام میگیره.

مثلا اگر IP سیستم شما، 1.2.3.4 باشه، وقتی روی لینکی مانند زیر کلیک میکنید:

https://xn--r1a.website/proxy?server=1.1.1.1&port=53&secret=...

تلگرام شما یک کانکشن تست از 1.2.3.4 با سرور که در مثال ما 1.1.1.1 هستش برقرار میکنه. در این صورت صاحب سرور پروکسی میتونه IP شما و در ادامه اطلاعاتی که از IP میشه در آورد مثلا موقعیت مکانی و ... رو بدست بیاره.

مشکلی که وجود داره، امکان فیشینگ هستش. یعنی میشه این لینک رو پشت یک نام کاربری یا لینک خاصی قرار داد. مثلا:

@durov, https://xn--r1a.website/durov, https://google.com

منبع ویدیو

#تلگرام #telegram

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 اخیرا کلاهبردارها، برای پست های لینکدین، کامنت جعلی می فرستادن، بطوریکه انگار خود لینکدین فرستاده. در این کامنتها که نمونه ای رو ضمیمه کردم، به کاربرها در خصوص نقض قوانین و سیاستهای پلتفرم هشدار میدادن و کاربران رو ترغیب میکردن برای حل مشکل، روی لینکی کلیک کنن.

در این کامنتها، از برندینگ لینکدین و کوتاه کننده لینک لینکدین (lnkd.in) سوء استفاده میکردن.

وقتی کاربر وارد سایت فیشینگ میشد، مثلا very1929412.netlify[.]app، یکسری توضیحات جعلی در خصوص محدود شدن اکانت در اختیار قربانی میذاشت و برای رفع محدودیت از کاربر میخواست تا هویت خودش رو تایید کنه.

برای تایید هویت، کاربر وارد سایت https://very128918[.]site میشد که در نهایت منجر به سرقت اطلاعات لاگین کاربر میشد.

لینکدین، حسابهای مرتبط با این کمپین رو حذف کرده و اعلام کرده که هرگز بصورت عمومی و در قالب کامنت، نقض قوانین رو به کاربران ارائه نمیده.

#لینکدین
#LinkedIn

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 اینستاگرام اخیرا یک باگی رو رفع کرده که به مهاجمین امکان میداد تا بصورت انبوه، ایمیل بازنشانی پسورد ارسال کنن.

در همین حال شرکت Malwarebytes هشداری به مشتریاش ارسال و اعلام کرده که بازیگران تهدید تونستن داده های 17.5 میلیون اکانت اینستاگرام رو بدزدن.

این داده ها در چندین فروم بصورت رایگان منتشر شده و کسی که داده ها رو منتشر کرده، اعلام کرده که از طریق یک نشت تایید نشده در API اینستاگرام در سال 2024 جمع آوری کرده.

این مجموعه شامل ۱۷,۰۱۷,۲۱۳ اکانت اینستاگرام و حاوی اطلاعات زیر است (اکانتها اطلاعات مختلفی رو دارن):

- شناسه (ID): ۱۷,۰۱۵,۵۰۳
- نام کاربری: ۱۶,۵۵۳,۶۶۲
- ایمیل: ۶,۲۳۳,۱۶۲
- شماره تلفن: ۳,۴۹۴,۳۸۳
- نام: ۱۲,۴۱۸,۰۰۶
- آدرس: ۱,۳۳۵,۷۲۷

برخی محققین گفتن که داده ها مربوط به سال 2022 هستش و با منابع مختلف تکمیل شده، اما مدرک خاصی نیاوردن.

متا هم اعلام کرده که هیچ رخدادی در خصوص API، در سالهای 2022 و 2024 نداشته.

با توجه به اینکه، این داده ها، شامل پسورد نیست، بنابراین نیازی به تغییر پسورد وجود نداره. اما باید حواستون به فیشینگ باشه.

همچنین توصیه شده اگه پیام یا لینک بازنشانی پسورد رو دریافت کردید که خودتون نفرستادید، توجهی به این پیامها نکنید و همچنین در صورت امکان 2FA رو فعال کنید.

#اینستاگرام
#Instagram

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 متاسفانه ایمان و سعید سوزنگر در جریان اتفاقات اخیر دستگیر شدن. امیدوارم که هر چه زودتر، صحیح و سلامت آزاد بشن.

#ایران


🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 در چند پست بعدی، آسیب پذیریهایی که در این چند وقت سر و صدا کردن رو قرار دادم، تا کمک حداقلی به کسب و کارها باشه. حالا ضرری که از اختلال داشتن به کنار، هک و ... هم داستان نشه براشون.

امیدوارم که بتونن بروزرسانی کنن، در غیر اینصورت حداقل مونیتور کنن.

بیشتر آسیب پذیریها اکسپلویت فعال دارن.

علاوه بر این آسیب پذیریها، برای یکسری از آسیب پذیریهای سال پیش هم اکسپلویت و PoC اومده.


#ایران


🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری CVE-2025-69258:

آسیب پذیری بحرانی در Apex Central (نسخه On-Premise) هستش و به مهاجم راه دور و بدون احراز هویت امکان لوود یک DLL مخرب و در نهایت افزایش امتیاز به SYSTEM رو میده.  

محصول Apex Central یک کنسول مدیریتی تحت وب هستش که به مدیران سیستم کمک میکنه، چندین محصول و سرویس #ترندمیکرو مانند آنتی‌ویروس، امنیت محتوا و ... رو مدیریت کنن.

مهاجم با ارسال یک درخواست مخرب به MsgReceiver.exe که روی پورت TCP:20001 هستش، میتونه از این آسیب پذیری سوء استفاده کنه.

برای رفع آسیب پذیری، ترندمیکرو یک بسته بروزرسانی با عنوان Critical Patch Build 7190 منتشر کرده.

🔴 آسیب پذیری CVE 2026 24061:

آسیب پذیری در مولفه ی telnetd در GNU InetUtils هستش. برای اکسپلویت مهاجم مقدار USER رو برابر با -f root  قرار میده و با دستور telnet –a متصل میشه که میتونه فرایند احرازهویت رو دور بزنه و امتیاز root رو بگیره.

نسخه های 1.9.3 تا 2.7 آسیب پذیر و در نسخه ی 2.8 GNU InetUtils اصلاح شده. GNU InetUtils مجموعه ای از ابزارهای کلاسیک شبکه مانند #تلنت رو در سیستم های لینوکسی و یونیکسی فراهم میکنه. با اینکه تلنت یک پروتکل قدیمی هستش اما امروزه در برخی دستگاههای اینترنت اشیاء، دوربین ها،حسگرهای صنعتی و ... استفاده میشه.

🔴 آسیب پذیری CVE-2026-20045:

آسیب پذیری که زیرودی هستش و در حملاتی مورد اکسپلویت قرار گرفته، محصولات زیر رو تحت تاثیر قرار میده:

Cisco Unified CM, Unified CM IM&P, Unified CM SME, Webex Calling Dedicated Instance, Cisco Unity Connection: 12.5,14,15 – FIX: 14SU5, 15SU4

مهاجم با ارسال درخواستهای مکرر http به رابط مدیریتی مبتنی بر وب یک دستگاه، میتونه آسیب پذیری رو اکسپلویت و با امتیاز ROOT کد از راه دور اجرا کنه. امتیاز 8.2 و شدت بحرانی داره.

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری CVE-2026-23550:

آسیب پذیری در پلاگین وردپرسی Modular DS و در نسخه های ۲.۵.۱ و قدیمی‌تر هستش. آسیب پذیری امکان دور زدن احرازهویت و دسترسی ادمین رو به مهاجم میده.

این افزونه به صاحبان، توسعه‌دهندگان یا ارائه‌دهندگان هاست اجازه میده تا سایتهای وردپرسی رو از راه دور نظارت کنن، بروزرسانیها رو انجام بدن، کاربران رو مدیریت کنن و ....

از 13 ژانویه هم اکسپلویت فعال داره. نسخه ی اصلاح شده ۲.۵.۲ هستش.

🔴 آسیب پذیری CVE-2025-20393:

سیسکو بالاخره برای این آسیب پذیری که از نوامبر 2025 در حال اکسپلویت بود، اصلاحیه منتشر کرده. آسیب پذیری در تجهیزات Cisco Secure Email Gateway، Secure Email، نرم‌افزار AsyncOS و Web Manager هستش و به بازیگران تهدید امکان اجرای دستورات دلخواه با امتیازات root رو در سیستم عامل زیرین دستگاه میده.

احتمال میدن یک گروه هکری چینی بنام UAT-9686 پشت حملات باشه و ابزارهایی مانند بکدور AquaShell، ابزارهای تانلینگ AquaTunnel و Chisel و پاک کننده لاگهای AquaPurge رو در این کمپین استفاده کرده باشه.

🔴 آسیب پذیری CVE-2026-0227:

آسیب پذیری به مهاجم بدون احرازهویت، امکان غیر فعال کردن محافظتهای فایروال رو از طریق حملات DoS میده.

محصولات تحت تاثیر:

Cloud NGFW All و PAN-OS 12.1 و PAN-OS 11.2 و PAN-OS 11.1 و PAN-OS 10.2 و Prisma Access 11.2 و Prisma Access 10.2

🔴 آسیب پذیری CVE-2026-22709:

آسیب پذیری در کتابخانه ی سندباکس vm2 Node.js هستش. شدت بحرانی داره و امکان دور زدن سندباکس و اجرای کد دلخواه در میزبان فراهم میکنه.

کتابخونه ی vm2 به کاربران امکان میده تا کدهای ناامن جاوااسکریپت رو در یک محیط امن اجرا کنن. معمولا در پروژه های چت بات، اجرا کننده های کد آنلاین و ... مورد استفاده قرار میگیره. نسخه ی اصلاح شده vm2 3.10.1 به بالا هستش.

🔴 آسیب پذیری CVE-2025-64155:

آسیب پذیری از نوع OS Command Injection هستش و نسخه های FortiSIEM 6.7  تا  7.5 رو تحت تاثیر قرار میده. مهاجم احراز هویت نشده با ارسال درخواستهای TCP مخرب، میتونه کد یا دستور مخرب اجرا کنه.

نسخه های اصلاح شده:

FortiSIEM 7.4.1 or later, 7.3.5 or later, 7.2.7 or later, or 7.1.9 or later

با توجه به اینکه رایتآپ و POC براش منتشر شده، در حال اکسپلویت شدن هستش. اگه امکان بروزرسانی ندارید، یک روش کاهشی، محدود کردن phMonitor روی پورت 7900 هستش.

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 فورتی نت یک آسیب پذیری با شناسه ی CVE 2025 59718 رو در دسامبر اصلاح کرد که امکان دور زدن احرازهویت رو به مهاجم میداد. اما اخیرا خیلی از کاربران اعلام کردن با اینکه آخرین اصلاحیه ها رو نصب کردن اما دوباره هک شدن.

الان مشخص شده که از 15 ژانویه کمپین جدیدی علیه فایروالهای FortiGate در حال انجام هستش که هکرها از طریق یک آسیب پذیری ناشناخته در قابلیت Single Sign-On (SSO) این دستگاهها، سوء استفاده کرده و اکانتهایی با دسترسی VPN ایجاد کرده و تنها در عرض چند ثانیه پیکربندیهای فایروال رو استخراج میکنن.

برای اکسپلویت اگه قابلیت FortiCloud SSO فعال باشه، یک پیام SAML مخرب ارسال و آسیب پذیری رو اکسپلویت میکنن.

با توجه به شباهت حمله با اکسپلویت CVE-2025-59718، محققا حدس میزنن که احتمالا هکرها تونستن اصلاحیه ی CVE-2025-59718 رو دور بزنن.

فورتی نت هم تایید کرده که اصلاحیه ی FortiOS 7.4.10 کامل نبوده و قراره در آینده FortiOS 7.4.11، 7.6.6 و 8.0.0 رو ارائه بده. با توجه به اینکه فعلا اصلاحیه ای نیست، توصیه شده قابلیت FortiCloud SSO رو غیر فعال کنید:

System -> Settings -> Allow administrative login using FortiCloud SSO=Off

یا دستوری:

config system global
set admin-forticloud-sso-login disable
end

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 در Patch Tuesday ژانویه 2026، مایکروسافت 115 آسیب پذیری رو در محصولات مختلفش اصلاح کرده. در این پست نگاهی به موارد بحرانی و 0Day انداختیم.

#مایکروسافت #زیرودی
#PatchTuesday #Microsoft #0day

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)