💎 #خبر: سیسکو با انتشار یک به‌روزرسانی جدید، ۱۲ آسیب‌پذیری با درجه حساسیت بالا را در محصولات ASA و FTD ترمیم کرد.

@iranopensource🐧

💎 #حبر: سیسکو با انتشار یک به‌روزرسانی جدید، ۱۲ آسیب‌پذیری با درجه حساسیت بالا را در محصولات ASA و FTD ترمیم کرد.

سیسکو با عرضه به‌روزرسانی، ۱۲ آسیب‌پذیری با درجه حساسیت "بالا" (High) را در محصولات Adaptive Security Appliance – به اختصار ASA – و Firepower Threat Defense – به اختصار FTD – ترمیم کرد.

به‌روزرسانی‌های منتشر شده، هشت اشکال "منع سرویس" (Denial-of-Service)، یک ضعف "افشای اطلاعات" (Information Disclosure)، یک باگ "نشت حافظه" (Memory-leak)، یک آسیب‌پذیری Path-traversal و ضعفی از نوع "دور زدن اصالت‌سنجی" (Authentication Bypass) را ترمیم می‌کنند.

حساس‌ترین آسیب‌پذیری برطرف شده توسط به‌روزرسانی‌های مذکور، ضعفی Path-traversal با شناسه CVE-۲۰۲۰-۳۱۸۷ است که بر طبق استاندارد CVSS به آن درجه اهمیت ۹,۱ تخصیص داده شده‌است. مهاجم می‌تواند با ارسال یک درخواست دستکاری شده HTTP، حاوی دنباله‌ای از نویسه‌های مسیر، فایل‌های سیستم را مشاهده یا حذف کند.

با این حال، سیسکو اعلام کرد در صورتی که دستگاه پس از بهره‌جویی (Exploit)، راه‌اندازی مجدد (Reload) شود تمامی فایل‌های حذف شده، بازگردانی می‌شوند. ضمن اینکه مهاجم قادر به مشاهده و حذف فایل‌ها تنها از طریق سیستم فایل سرویس‌های وب است که آن هم زمانی فعال می‌شود که دستگاه توسط امکانات WebVPN یا AnyConnect پیکربندی شده‌باشد.

جزییات بیشتر در خصوص CVE-۲۰۲۰-۳۱۸۷ در لینک زیر قابل دریافت است:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE۳azWw۴۳

آسیب‌پذیری "دور زدن اصالت‌سنجی" نیز که به آن شناسه CVE-۲۰۲۰-۳۱۲۵ تخصیص داده شده از عدم اعتبارسنجی صحیح پودمان اصالت‌سنجی مبتنی بر Kerberos بخش Key Distribution Center – به اختصار KDC – توسط ASA در زمان دریافت موفق یک پاسخ اصالت‌سنجی ناشی می‌شود.

مهاجم می‌تواند با جعل (Spoof) پاسخ KDC به دستگاه ASA از این آسیب‌پذیری بهره‌جویی کند. پاسخ مخرب توسط KDC اصالت‌سنجی نمی‌شود. Cisco هشدار داده که یک حمله موفق با سوءاستفاده از آسیب‌پذیری مذکور به مهاجم امکان می‌دهد تا اصالت‌سنجی Kerberos را دور بزند.

محصولات ASA که به‌صورت محلی یا از طریق VPN با اصالت‌سنجی مبتنی بر Kerberos قابل دسترس هستند از CVE-۲۰۲۰-۳۱۲۵ تأثیر می‌پذیرند.

سیسکو اعلام کرده که رفع کامل این آسیب‌پذیری مستلزم اعمال تغییراتی در تنظیمات محصول علاوه بر نصب به‌روزرسانی است. از جمله به پیکربندی فرامین alidate-kdc و aaa kerberos import-keytab اشاره شده‌است.

آسیب‌پذیری "نشت حافظه" نیز با شناسه CVE-۲۰۲۰-۳۱۹۵ از عدم پردازش صحیح برخی بسته‌های Open Shortest Path First – به اختصار OSPF – در محصولات ASA و FTD ناشی می‌شود. مهاجم می‌تواند با ارسال بسته‌های دستکاری شده OSPF به دستگاه آسیب‌پذیر از ضعف مذکور بهره‌جویی کند. در ادامه مهاجم قادر خواهد بود تا با استمرار، حافظه را به حدی اشغال کند که در نهایت موجب از کار افتادن خدمات‌دهی محصول شود.

این آسیب‌پذیری آن دسته از محصولات ASA و FTD را که پشتیبانی از مسیریابی OSPF و قابلیت پردازش بلوک‌های Link-Local Signaling – به اختصار LLS – در آنها فعال است تحت تأثیر قرار می‌دهد. Cisco اشاره کرده که پردازش بلوک LLS به‌صورت پیش‌فرض فعال است.

محصولات ASA و FTD که DNS over IPv۶ protocol در آن فعال شده نیز به ضعفی از نوع منع سرویس با شناسه CVE-۲۰۲۰-۳۱۹۱ که توسط این به‌روزرسانی‌ها ترمیم شده آسیب‌پذیر گزارش شده‌اند.

شرکت Cisco اعلام کرده که مهاجم به‌صورت از راه دور و بدون نیاز به در اختیار داشتن اطلاعات اصالت‌سنجی می‌تواند با ارسال یک درخواست پرس‌و‌جوی (Query) دستکاری شده DNS در بستر IPv۶ از این باگ بهره‌جویی کرده و دستگاه را دچار اختلال و بروز وضعیت از کاراندازی سرویس کند.

شرکت Cisco علاوه بر این ۱۲ آسیب‌پذیری با درجه حساسیت "بالا"، ۲۲ ضعف امنیتی با درجه حساسیت "متوسط" (Medium) را نیز در ASA، FTD و برخی دیگر از محصولات خود ترمیم کرده که جزییات آنها در این لینک قابل دسترس است.

@iranopensource🐧

⭕️ #خبر: نرم افزار Zabbix v5.0 منتشر شد!

#Zabbix_5_0 LTS released! It provides significant security enhancements, advanced automation and discovery, officially supports #ZabbixAgent2, and much more. Explore what's new in Zabbix 5.0 yourself: link

@iranopensource🐧

💎 سلام، دوستان
لطفاً اگر شرکت یا سازمانی رو میشناسید که توی positionهای زیر نیرو میخواد به بنده اطلاعات بدید:
CTO
CISO
IT Technical Manager
IT Director
ICT Manager
SOC Manager
DC Manager
CIO
Deputy CTO
Technical Project Manager
R&D Manager

ممنونم

@CCI30

💎 گروه امنیت الماس
@Diamond_Security 💎
#مقاله: ضرورت استفاده از سیستم های تشخیص پولشویی در بانکداری الکترونیکی
@iranopensource🐧

⭕️ #استخدام
استخدام فوری در اداره عملیات بانک کارافرین
SysAdmin
DbAdmin (Oracle)
Lan (Microsoft Services)

ارسال رزومه به روز و مرتبط👇
[email protected]

@iranopensource🐧

🌀 فرصت ها منتظرتان نمی مانند!!!!
روزی در یک مصاحبهٔ تلویزیونی، مجری برنامه از #بیل_گیتس دربارهٔ راز موفقیتش در کسب این همه ثروت می‌پرسد. بیل گیتس هم در پاسخ دسته‌چک‌اش را از جیب درآورده و یک برگ چک جدا کرده و به خانم مجری می‌دهد و می‌گوید: «هر چقدر دوست داری برای خودت بنویس.»

مجری برنامه جا خورده و در کمال شگفتی می‌گوید: «نه! منظور من این نبود! پرسیدم چطوری موفق شدین؟!» بیل گیتس مجدداً چک را به خانم مجری می‌دهد و باز هم مجری از دریافت آن امتناع می‌کند. سپس اسطورهٔ نوآوری و فناوری جهان، رو به دوربین، چک را پاره می‌کند و می‌گوید:‌ «راز موفقیت من همینه؛ من برخلاف شما هیچ فرصتی رو از دست نمی‌دم. شما الان می‌تونستی ثروتمندترین برنامه‌ساز تلویزیونی در جهان باشی.»

🔆 #فرصتها همیشه آنجا نخواهند بود! پس وقتی سر راهتان سبز شدند، #بقاپیدشان. شاید به‌قولی باید گفت موفقیت در زندگی تعارف‌بردار نیست. پس از امروز از فرصت‌های گوناگونِ سر راهتان سرسری نگذرید.
@iranopensource🐧

⭕️ #خبر: شرکت ISC2 تخفیف خیلی خوبی برای آزمون مدارکش در نظر گرفته. دوستانی که قصد دارن این مدارک رو کسب کنن، میتونن از فرصت استفاده کنند.
@iranopensource🐧

⭕️ #خبر: موسسه SoloLearn دوره های برنامه نویسی رو رایگان گذاشته. دوستانی که علاقه مند هستند میتونن شرکت کنند.
https://www.sololearn.com/Courses/

@iranopensource🐧

⭕️ #خبر:
Are you looking for CCSP Certification in this 2020?.. If so, You have FREE Official Course offering by ISC2 about CCSP Domains which having the Premier topics covered in CCSP Official training!!!.. Enjoy it.

https://www.isc2.org/Certifications/CCSP/Webcast-Series

@iranopensource🐧

⭕️ #خبر: موسسه Bicsi که استاندارد دیتاسنترش هم معروف هست یکی دوره آنلاین رایگان گذاشته و بعضی از دوره های هم تا 30% تخفیف دارن.
https://www.bicsi.org/education-certification/education-@-bicsi-learning-academy/bicsi-connect/online-courses

@iranopensource🐧

.
سلام بر مخاطبین سایت Kianisam.ir
امیدوارم حالتون خوب باشه.
.
یک لایو خوب تدارک دیدیم در حوزه #سیسکو، با حضور یکی از دوستان و همکاران خوب بنده دارای مدرک بین المللی CCIE#31036
#جناب_مهندس_شمیم_نائل.
امیدوارم درصورت تمایل تشریف بیارید و سوالای خودتون رو بپرسید.
.
جمعه مورخ 99/02/26 ساعت 18 الی 19
.
مدرس دعوت شده:
شمیم_نائل
.
میزبان مصاحبه آنلاین:
@reza.kiani.sam
.
طراح پوستر:
@lamia_design
.
راه های ارتباطی:
▶️INSTAGRAM◀️
instagram.com/Reza.Kiani.Sam
.
▶️TELEGRAM ID◀️
t.iss.one/Kianisam_ir
.
▶️TELEGRAM CHANNEL◀️
t.iss.one/RezaKianiSam
.
🌹منتظر پیام شما عزیزان هستم🌹
.
#شبکه#میکروتیک#پکیج#آنلاین#مدرس#آنلاین#مدرس#سیسکو#لینوکس#مایکروسافت

⭕️ متأسفانه بعضی وقت ها بعضی از مصاحبه کنندگانی که مغز پوسیده ای دارند وقتی شما چند تا تخصص یا مدارک مختلف توی CV و یا رزومه خودتون دارید ممکنه بهتون بگن که "برای هر تخصص 10 سال زمان نیازه". به این افراد باید گفت "مغزهای کوچیک زنگ زده" چون یه نفر احتمالاً توی کلاس یا آموزشگاه یا محل کار و پروژه چنین جمله احمقانه ای رو تو ذهنشون جاسازی کرده و هرچی هم بخوای بگی بهشون که عزیزم این طور نیست حالیشون نمیشه. به عنوان مثال همین شخصی که من رزومه شون رو براتون قرار میدم فقط یکی از 100ها نمونه یا هزاران نمونه ای هست که من فقط روی linkedin میشناسم. که هم شبکه و زیرساخت، هم امنیت اطلاعات، هم VMware، هم Citrix، هم IBM و هم Juniper کار میکنن. تقریبا بیشترشون رو هم certified هستن و کارشون Solution Managerی هست. خوب اگر برای هر تخصص 10 سال نیازه که ایشون باید سن حضرت نوح رو داشته باشه.

لینک رزومه این متخصص روی Linkedin

لطفاً همه افراد رو با خودتون و تخصص هایی که دارید مقایسه نکنید. قرار نیست همه افراد Single Field باشن. بسیاری از افراد Multi Feild کار میکنن تازه خیلی هم قوی هر کدوم رو کار میکنن.
@iranopensource🐧

💎 #خبر: اگر شما هم از علاقه مندان به مباحث Forensic در امنیت هستید، Autospy یک دوره آنلاین 8 ساعته رایگان برگزار میکنه که تا 1 ژوئن هم می تونید در این دوره ثبت نام کنید. هزینه این دوره قبلاً 500 دلار بوده ولی در حال حاضر رایگان هست.

@iranopensource🐧

بهتر است کاری را
امتحان کنید...
و در آن موفق نشوید..
تااینکه درحسرت انجام
آن کار بمانید.

@iranopensource🐧

💎 #خبر: توزیع محبوب Kali Linux 2020.2 منتشر شد!
لینک جزئیات بیشتر

@iranopensource🐧

⭕️ #جواد: این داستان دست نکردن تو جیب مردم!!!

فقط وزیر جوان به این سوال هم باید جواب بده که این شرکت هایی که فرمودن تا کی میتونن تحمل کنن وضع و اوضاع و شرایط اقتصادی رو و تا کی تو جیب مردم دست نمیکنن؟؟؟
@iranopensource🐧