در نسخه‌های 2.2.x (از 2.2.0 تا 2.2.25)، 3.1.x (از 3.1.0 تا 3.1.14) و 3.2.x (از 3.2.0 تا 3.2.10) فریم‌ورک Django، آسیب‌پذیری با شدت بالا (7.3 از 10) وجود دارد. در این آسیب‌پذیری مهاجم به‌صورت ریموت و از راه دور، می‌تواند با دستکاری مسیر و URL درخواست‌های HTTP که حاوی دنباله‌ای از مقادیر %0A باشد (این مقدار معادل خط جدید و NewLine در utf8 است.) کنترل سطح دسترسی و HTTP Request Handler را دور زده و دسترسی غیرمجاز به عملکردهای محدود شده، اتخاذ نماید. جدول زیر مشخصات کلی آسیب‌پذیری مذکور را نشان می‌دهد.

آخرین نسخه فریم‌ورک Django، 4.0 است که لازم است نسخه‌های قدیمی و آسیب‌پذیر به این نسخه ارتقاء یابند.

مطابق اعلام شرکت VMware تعداد قابل توجهی از محصولات این شرکت نسبت به آسیب‌پذیری‌های بحرانی اخیر در کتابخانه log4j (Log4Shell) آسیب‌پذیر هستند. برخی از این محصولات آسیب‌پذیر عبارتند از:

• VMware Horizon
  VMware Horizon Agents Installer
  VMware Horizon DaaS
  VMware Horizon Cloud Connector
• VMware vCenter Server
  VMware vCenter Cloud Gateway
  VMware Site Recovery Manager, vSphere Replication
  VMware HCX
  VMware NSX-T Data Center
  VMware vRealize Operations
  VMware vRealize Operations Cloud Proxy
  VMware vRealize Automation
  VMware vRealize Lifecycle Manager
  VMware vRealize Orchestrator
  VMware NSX Data Center for vSphere
  VMware AppDefense Appliance
  VMware vRealize Log Insight
  VMware Smart Assurance SAM [Service Assurance Manager]
  VMware Integrated OpenStack
  VMware vRealize Business for Cloud
  VMware vRealize Network Insight
  VMware SD-WAN VCO
  VMware NSX-T Intelligence Appliance

بهره‌برداری از آسیب‌پذیری‌های موجود در کتابخانه Log4j (CVE-2021-44228 و CVE-2021-45046) منجر به RCE می‌شود. با توجه به گستردگی نسبی استفاده از محصولات VMware در سطح کشور و مشاهده‌ی بهره‌برداری‌های فعال مهاجمان از این آسیب‌پذیری، علاوه بر به‌روزرسانی محصولات به آخرین نسخه توصیه می‌شود اقداماتی که در ادامه آمده است جهت امن‌سازی و کاهش مخاطرات آسیب‌پذیری‌های مذکور در دو محصول VMware Horizon و vCenter Server انجام شود. لیست کامل محصولات آسیب‌پذیر و دستورالعمل امن‌سازی آنها در پیوند زیر قابل مشاهده است:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

امن‌سازی محصولاتی که به طور مستقیم از طریق اینترنت در دسترس هستند را در اولویت قرار دهید.

1. vCenter Server

با توجه به اینکه در حال حاضر نسخه‌ی وصله‌ شده‌ای برای vCenter Server منتشر نشده است اکیداً توصیه می‌شود به عنوان راهکار موقت از اسکریپت پایتونی عرضه شده توسط VMware (vc_log4j_mitigator.py) موجود در آدرس زیر استفاده نمایید:

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000d7pBBQAY

این اسکریپت به‌تنهایی قادر است مخاطرات ناشی از آسیب‌پذیری‌های CVE-2021-44228 و CVE-2021-45046 را درvCenter Server ویندوزی کاهش دهد. برای اجرای اسکریپت در vCenter ویندوزی:

• محیط cmd (administrator) را باز کرده و دستور زیر را اجرا کنید. این دستور همه‌ی سرویس‌های vCenter را متوقف کرده، فایل‌های مورد نظر را به‌روز کرده، فایل‌های JndiLookup.class را حذف کرده و درنهایت سرویس‌ها را مجدداً راه‌اندازی می‌کند.

%VMWARE_PYTHON_BIN% vc_log4j_mitigator.py

• برای اطمینان از اینکه بعد از اجرای اسکریپت هیچ فایل آسیب‌پذیر دیگری باقی نمانده است مجدداً اسکریپت را اینبار با سوییچ –r (dry run) به صورت زیر اجرا کنید:

%VMWARE_PYTHON_BIN% vc_log4j_mitigator.py -r

درصورتیکه هیچ فایل آسیب‌پذیری یافت نشد مخاطرات ناشی از Log4Shell به طور کامل در vCenter کاهش یافته است.
جهت اطلاعات دقیق‌تر و درصورتیکه تمایل دارید فرآیند کاهش مخاطرات را به صورت دستی انجام دهید به پیوند زیر مراجعه کنید:

https://kb.vmware.com/s/article/87096

اسکریپت مربوط به vCenter غیرویندوزی (Virtual Appliance) که عملکردی مشابه اسکریپت قبلی دارد نیز در لینک زیر در دسترس است:

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000d7ovWQAQ

- پس از دانلود اسکریپت با استفاده از دستور زیر آن را اجرا کنید:

python vc_log4j_mitigator.py

- برای اطمینان از اینکه بعد از اجرای اسکریپت هیچ فایل آسیب‌پذیر دیگری باقی نمانده است مجدداً اسکریپت را اینبار با سوییچ –r (dry run) به صورت زیر اجرا کنید:

python vc_log4j_mitigator.py -r

جهت اطلاعات دقیق‌تر و درصورتیکه تمایل دارید فرآیند را به صورت دستی انجام دهید به پیوند زیر مراجعه کنید:

https://kb.vmware.com/s/article/87081

2. VMware Horizon

اکیداً پیشنهاد می‌شود در صورتی‌که امکان به‌روزرسانیVMware Horizon را دارید از راهکارهای موقت به‌عنوان راهکار دائم استفاده نکرده و نسخه وصله شده را نصب کنید:
راهکار موقت دستی برای Horizon Connection Server:

https://kb.vmware.com/s/article/87073#Manual_Mitigation_for_Horizon_Connection_Server

راهکار موقت با استفاده از اسکریپت برای Horizon Connection Server Agent for Windows, HTML Access portal:

https://kb.vmware.com/s/article/87073#Scripted_Mitigation_for_Horizon_Connection_Server_Agent_for_Windows_HTML_Access_portal

راهکار موقت مربوط به Horizon Agent برای لینوکس بااستفاده از اسکریپت:

https://kb.vmware.com/s/article/87073#Scripted_Mitigation_for_Horizon_Agent_for_Linux

راهکار موقت دستی مربوط به Horizon Agent برای لینوکس:

https://kb.vmware.com/s/article/87073#Mitigation_for_Horizon_Agent_for_Linux

منبع:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

اخیراً در به‌روزرسانی‌های ماه دسامبر #‫مایکروسافت، تعدادی ‫آسیب‌پذیری منتشر و وصله شده‌اند. در بین آسیب‌پذیری‌های منتشر شده، دو آسیب‌پذیری دور زدن محدودیت‌‌های امنیتی با شناسه‌های CVE-2021-42287 و CVE-2021-42278 و با شدت 7.5 از 10 وجود دارند که مهاجم با ترکیب این دو آسیب‌پذیری و بهره‌برداری از آن‌ها قادر است با به خطر انداختن کاربر عادی و افزایش سطح دسترسی خود به یک سرپرست دامنه، دامنه ویندوز را به طور کامل تحت کنترل خود گیرد.
به کاربران توصیه می‌شود هرچه سریع‌تر به‌روزرسانی‌های منتشر شده را در سیستم‌های آسیب‌پذیر اعمال نمایند. همچنین جهت کاهش مخاطرات این آسیب‌پذیری‌ها توصیه می‌شود حالت Enforcement روی کنترل کننده‌های دامنه فعال گردد.
محصولات تحت تاثیر این آسیب‌پذیری‌ها به شرح زیر است:

• Windows Server 2012 R2 (Server Core Installation)
• Windows Server 2012 R2
• Windows Server 2012 (Server Core Installation)
• Windows Server 2012
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2016 (Server Core installation)
• Windows Server 2016
• Windows Server, version 20H2 (Server Core Installation)
• Windows Server, version 2004 (Server Core installation)
• Windows Server 2022 (Server Core installation)
• Windows Server 2022
• Windows Server 2019 (Server Core installation)
• Windows Server 2019

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42278
https://support.microsoft.com/en-us/topic/kb5008102-active-directory-security-accounts-manager-hardening-changes-cve-2021-42278-5975b463-4c95-45e1-831a-d120004e258e
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42287

• هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و با شناسه‌های CVE-2021-34473، CVE-2021-34523 و CVE-2021-26855 ProxyLogon جهت انتشار بدافزار به سرورهای Exchange اقدام کرده و حملاتی به صورت جعل یک فرستنده قانونی، یا یک ایمیل ساختگی از یک شرکت معتبر انجام داده‌اند.
• شناسایی آسیب‌پذیری در QNAP با شناسه CVE-2021-38685 و شدت خطر 9.8 که به مهاجم راه دور امکان اجرای فرمان بر روی دستگاه‌های آسیب‌پذیر را می‌دهد و آسیب پذیری CVE-2021-38686 با شدت خطر 8.8 که از ضعف در مکانیزم احراز هویت سرویس‌دهنده نشأت می‌گیرد.
• انتشار وصله‌ی امنیتی مایکروسافت برای آسیب‌پذیری روزصفر در Windows 10که در سرویس Mobile Device Management وجود داشته و سیستم‌های ویندوز 10 در نسخه‌های 1809 و بالاتر را تحت تأثیر قرار داده است.
• ‫آسیب‌پذیری با شناسه CVE-2021-44077 و شدت خطر بحرانی که از عملکرد ناسالم و ناشناخته فایل /RestAPI نشات گرفته و به مهاجم احراز هویت نشده راه دور امکان اجرای کد دلخواه را می‌دهد.
• انتشار دستورالعمل اقدامات پایه جهت پیشگیری از نشت اطلاعات سازمان‌ها و کسب‌و‌کارها توسط مرکز ماهر به‌‌منظور ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها
• شناسایی آسیب‌پذیری با شناسه CVE-2021-44515 و شدت خطر بحرانی که به مهاجم احراز هویت نشده امکان اجرای کد دلخواه خود را بر روی سرور Desktop Central MSP می‌دهد.
• انتشار اقدامات پیشگیرانه و محدود کننده‌ی اثرگذاری حملات باج افزاری توسط مرکز ماهر به منظور جلوگیری از نابودی اطلاعات و یا محدودسازی اطلاعات از دست رفته .
• شناسایی ‫آسیب‌پذیری روزصفرم بحرانی در کتابخانه Log4j مربوط بهApache با شناسه CVE-2021-44228 که از راه دور و بدون احرازهویت قابل بهره‌برداری است
• انتشار اقدامات لازم جهت امن‌سازی و کاهش مخاطرات آسیب‌پذیری‌های بحرانی اخیر در کتابخانه log4j (Log4Shell) در آخرین نسخه از نرم‌افزار Adobe Connect

گزارشی از 403 مورد خدمت ارائه شده توسط مرکز ماهر در آذر ماه سال 1400 در گراف‌های زیر قابل مشاهده است. خدمات ارائه شده شامل فراوانی گزارش‌های دریافتی و نوع رخدادهای رسیدگی شده توسط مرکز، بخش‌های دریافت کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.

در حال حاضر آخرین نسخه از نرم‌افزار Adobe Connect نسبت به آسیب‌پذیری‌های بحرانی اخیر در کتابخانه log4j (Log4Shell) که بهره‌برداری از آنها منجر به RCE می‌شود، ایمن نیست لذا با توجه به گستردگی استفاده از این نرم‌افزار در سطح کشور، توصیه می‌شود اقداماتی که در ادامه آمده است جهت امن‌سازی و کاهش مخاطرات آسیب‌پذیری‌های مذکور انجام شود.

امن‌سازی/کاهش مخاطرات آسیب‌پذیری (CVE-2021-44228) با شدت 10 از 10:

1. افزودن متغیر محلی سیستمی «LOG4J_FORMAT_MSG_NO_LOOKUPS» با مقدار true

2. راه‌اندازی مجدد (restart) سرور یا سرویس‌های نرم‌افزار Adobe Connect

امن‌سازی/کاهش مخاطرات آسیب‌پذیری (CVE-2021-45046) با شدت 9 از 10:
این آسیب‌پذیری با به‌روزرسانی Log4j به نسخه 2.16.0 برطرف خواهد شد. ازآنجایی‌که در حال حاضر نسخه‌ی جدیدی از نرم‌افزار Adobe Connect که حاوی log4j با نسخه‌ی 2.16.0 باشد، منتشر نشده است، جهت کاهش مخاطرات این آسیب‌پذیری و حذف کلاس JndiLookup، در سرور لینوکسی دستور زیر را اجرا کنید:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

و برای حذف کلاس JndiLookup در سرور ویندوزی:
1. همه‌ی سرویس‌های Adobe Connect را متوقف کنید.
2. دستور cmd زیر را به صورت آدمین اجرا کنید :

FOR /R C:\Connect %v IN (log4j-core-*.jar) DO "C:\Program Files\7-Zip\7z.exe" d "%v" org/apache/logging/log4j/core/lookup/JndiLookup.class

3. همه‌ی سرویس‌های Adobe Connect را مجدداً راه‌اندازی کنید.

منبع:

https://www.connectusers.com/forums/viewtopic.php?pid=50455#p50455

با توجه به حساسیت و شدت خطر ‫آسیب‌پذیری log4j در صورتی که از waf ،UTM یا IDS استفاده می‌کنید، حتما قواعد مرتبط با جلوگیری از این حمله را بروزرسانی کنید. مرکز ماهر به تولیدکنندگان این گونه محصولات امنیتی داخلی هشدار لازم جهت اعمال قواعد مرتبط با جلوگیری و تشخیص این حملات را ارسال کرده است. همچنین اگر از محصول خارجی از این نوع استفاده می‌نمایید، حتما بروزرسانی‌های مرتبط امضاءهای این حمله را از شرکت مربوطه دریافت نمایید. در حال حاضر تعدادی زیادی مهاجم در حال اسکن و یافتن نقاط آسیب‌پذیر برای انجام حمله از طریق این اسیب‌پذیری هستند.

اخیراً یک ‫آسیب‌پذیری روزصفرم بحرانی در کتابخانه Log4j مربوط بهApache یافت شده است و از آن‌جایی که این کتابخانه کاربرد بسیاری دارد، آسیب‌پذیری مذکور بخش بزرگی از اینترنت را تحت تاثیر خود قرار می‌دهد. در واقع با توجه به اینکه این کتابخانه با زبان جاوا پیاده‌سازی شده است، تقریباً هر سروری که از زبان جاوا استفاده می‌کند (نسخه‌های پیش از 2.14.1 کتابخانه Log4j و نسخه‌های جاوای پیش از 6u212، 7u202، 8u192 و 11.0.2)، نسبت به این آسیب‌پذیری آسیب‌پذیر است. در برخی موارد برنامه به‌طور مستقیم از کتابخانه Log4j2 استفاده نمی‌کند اما ممکن است برخی زیرساخت‌های آن اعم از سرور برنامه، سرور پایگاه داده یا دستگاه های شبکه از این کتابخانه استفاده کنند که کاربر را در معرض خطر این آسیب‌پذیری قرار می‌دهد؛ لذا به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی سرور‌های آسیب‌پذیر اقدام کنند. (به‌روزرسانی به نسخه rc2- 2.15.0 و جاوا نسخه 8u121)
این آسیب‌پذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی 10 از 10 است. این آسیب‌پذیری از راه دور و بدون احرازهویت قابل بهره‌برداری است و مهاجم با بهره‌برداری موفق از این آسیب‌پذیری قادر است کد دلخواه خود را در سرور‌های آسیب‌پذیر اجرا نماید. آسیب‌پذیری CVE-2021-44228 در حال حاضر تحت بهره‌برداری فعال قرار داشته و اکسپلویت آن در لینک زیر موجود است:

https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce

جهت کاهش مخاطرات این آسیب‌پذیری به طور موقت، راهکارهای زیر پیشنهاد می‌شود:

• تنظیم مقدار true برای ویژگی log4j2.formatMsgNoLookups
• حذف کلاس JndiLookup از مسیر کلاس‌ها

منابع:

www.cloudsavvyit.com/15042/critical-rce-zero-day-exploit-found-in-popular-java-logging-library-log4j-affects-much-of-the-internet/
https://access.redhat.com/security/cve/cve-2021-44228
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://www.oracle.com/security-alerts/alert-cve-2021-44228.html?source=:em:eo:ie:cpo:::RC_WWMK210714P00017:SEV400208211
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
https://www.veracode.com/blog/security-news/urgent-analysis-and-remediation-guidance-log4j-zero-day-rce-cve-2021-44228
https://www.cert.govt.nz/it-specialists/advisories/log4j-rce-0-day-actively-exploited/

حملات باج‌افزاری از آسیب‌زننده‌ترین حملات سایبری سال‌های اخیر هستند که لطمات جدی به کسب و کارها و سازمان‌های مختلف در داخل و خارج کشور زده‌اند. شدت تاثیر این حملات به حدی است که در شماری از کشورها، استراتژی‌های مشخصی برای پیگیری و پاسخگویی به این حملات و مهاجمین پشت پرده تدوین و ابلاغ شده است. رعایت شماری از اقدامات پیشگیرانه می‌تواند مانع از دست رفتن اطلاعات و یا محدودسازی اطلاعات از دست رفته شود. این نکات عبارتند از:

• تهیه و نگهداری کپی‌های پشتیبان از اطلاعات بصورت آفلاین. لازم به توجه است این نسخه پشتیبان لزوما باید بصورت کاملا آفلاین بوده و بطور فیزیکی از شبکه و سیستم‌ها جدا باشد. وجود هرگونه ارتباط آنلاین نظیر NAS متصل به شبکه، هارد اکسترنال متصل به پورت USB یا پارتیشن NAS متصل به سرورها می‌تواند در هنگام وقوع حمله منجر به از بین رفتن کپی پشتیبان به همراه داده‌های اصلی گردد.
• بررسی و صحت‌سنجی مداوم نسخه‌های پشتیبان آفلاین
• جداسازی (Segmentation) شبکه به زیرشبکه‌های کوچک و با دسترسی محدود و کنترل شده
• اعمال سیاست‌های سخت‌گیرانه در دسترسی‌های لبه‌ی شبکه به ویژه مسدودسازی دسترسی‌های مدیریتی راه دور نظیر RDP/SSH/Telnet و کنسول‌های مدیریتی تحت وب تجهیزات مختلف
• مسدودسازی پیوست‌های خطرناک در سرویس‌ دهنده‌های ایمیل سازمان
• عدم استفاده از نرم‌افزارهای نامطمئن به‌ویژه برنامه‌های کرک شده و نامعتبر
• نصب و بروزرسانی آنتی ویروس در سطح همه‌ی سیستم‌های متصل به شبکه
• رصد و پایش سرور اکتیودایرکتوری به عنوان مهم‌ترین سیستم در سطح شبکه
• بروزرسانی پیوسته‌ی نرم‌افزارها و سیستم‌های عامل‌ها
• از دستکاری سیستم آلوده تا حد امکان خودداری شود. اگر از داده‌ی پشتیبان وجود دارد بهتر است تا زمانیکه بدافزار پاکسازی نشده از بازیابی خودداری شود. چرا که وجود بدافزار ممکن است منجر به آلودگی مجدد شده و پشتیبانها نیز از دست بروند.
• حین حادثه رایانه‌های آلوده سریعا خاموش شده و از راه‌اندازی مجدد آن از طریق سیستم عامل خود دستگاه خودداری شود.
• حین حادثه تمامی هارد‌ها و رسانه‌های ذخیره‌سازی به صورت فیزیکی از مدار خارج شوند.

‫آسیب‌پذیری با شناسه CVE-2021-44515 و شدت خطر بحرانی به مهاجم احراز هویت نشده راه دور امکان احراز هویت به سرویس دهنده را از را دور بزند و به صورت مستقیم کد دلخواه خود را بر روی سرور Desktop Central MSP اجرا نماید. متخصصان امنیت هشدار داده اند که با پیوستن این آسیب پذیری به زنجیره دو آسیب پذیری دیگر که اخیرا انتشار یافته یعنی CVE-2021-44077, CVE-2021-40539 می تواند باعث شود که مهاجمان، زیر ساخت های شبکه یک سازمان را به خطر بی اندازند.
تمامی نسخه های قبل از 12002 مستعد این آسیب پذیری است.
به مدیران و مسئولان مربوطه اکیدا توصیه می شود تا نسخه مورد استفاده خود را به آخرین نسخه به روز نمایند.
مدیران و مسئولان مربوطه می توانند با استفاده از فایل RCEScan.bat قرار داده شده در لینک زیر از صحت آلوده بودن یا آلوده نبودن سیستم خود اطمینان حاصل نمایند.

https://downloads.zohocorp.com/dnd/Desktop_Central/XTsIm8tSrnzjXhW/detector.zip

نحوه اجرای این تکه برنامه به شکل زیر می باشد.
ابتدا فایل را در یکی از مسیر های زیر کپی کرده و مطابق شکل از طریق Command Prompt آن را اجرا می نمایم :

\ManageEngine\UEMS_CentralServer\bin folder

or

ManageEngine\DesktopCentral_Server\bin folder

منبع:

https://thehackernews.com/2021/12/warning-yet-another-zoho-manageengine.html